- •Aaa в сетях подвижной радиосвязи
- •Введение
- •Архитектура aaa
- •Аутентификация
- •Авторизация
- •Рис 1.1. Агентская последовательность
- •Обобщенная архитектура ааа
- •2. Radius Основные положения
- •Архитектура radius
- •Общая схема взаимодействия при использовании протокола radius
- •Алгоритмы аутентификации, авторизации и учета radius
- •3. Реализация ааа в различных сетях aaa-сервер в ims сети
- •Aaa-сервер в WiMax сети
- •Функциональность современного aaa-сервера
Обобщенная архитектура ааа
Сервер аутентификации, авторизации и учета (AAA-сервер) является тем единым сетевым элементом, в котором выполняются указанные процедуры ААА.
Элементы обобщенной архитектуры ААА
На рис. 1.5 представлен центральный элемент ААА-архитектуры - обобщенный AAA-сервер, обрабатывающий запросы аутентификации, выполняющий авторизацию и накапливающий информацию учета. Обобщенный сервер ААА взаимодействует со следующими элементами общей инфраструктуры ААА:
Модуль приложения - устройство, которое управляет ресурсами услуги и выполняет конфигурационные функции оборудования, осуществляющего предоставление услуги. Модуль приложения может участвовать в процедуре авторизации, так как ему доступна специфическая для запрашиваемой услуги информация, которая может потребоваться в процессе авторизации. Эта информация может быть получена путем обращения к базе данных приложения, а также путем интерпретации специфических для услуги параметров обслуживания. Следует отметить, что специфическая для услуги информация не обязательно должна быть «понятна» обобщенному AAA-серверу, так как во многих случаях она является уникальной для услуги, и «научить» сервер распознавать информацию, специфическую для большого числа услуг, не представляется возможным.
Вместо этого серверу достаточно знать, к какому модулю приложения следует обратиться при авторизации того или много запроса, для чего в запрос авторизации в том или ином виде должен включаться идентификатор модуля приложения.
Рис. 1.5. Элементы обобщенной архитектуры ААА
Хранилище событий и политики. В целях аудита обобщенный ААА-сервер должен сохранять информацию о событиях с привязкой данных о них ко времени в определенном хранилище. Подобным хранилищем в AAA- архитектуре выступает хранилище событий и политики. Как следует из названия, еще одной функцией этого элемента является хранение разной политики доступа, то есть разных правил авторизации пользователя при предоставлении ему доступа к имеющимся услугам и ресурсам.
Хранилище информации об услуге - база данных, содержащая сведения об услуге определенного типа. Модуль приложения при поступлении на него запроса авторизации взаимодействует с этим хранилищем для получения данных, необходимых для обслуживания запроса.
Типичная последовательность обслуживания запроса авторизации в рамках обобщенной архитектуры ААА будет выглядеть следующим образом:
пользователь или сетевое оборудование, действующее по запросу пользователя, сформирует запрос авторизации доступа к услуге и отправит его на ААА-сервер;
для проведения аутентификации пользователя ААА-сервер обратится к базе данных пользователей, а также к хранилищу политики и событий для регистрации запроса и определения правил авторизации;
для авторизации компонентов, относящихся к информации, специфической для приложения, отправляется запрос к модулю соответствующего приложения. Для авторизации компонентов, требующих обработки другими AAA-серверами, запрос будет переправлен к соответствующим серверам;
результаты авторизации, а также информация, необходимая для первоначальной конфигурации услуги, передаются на сетевой элемент, отправивший запрос авторизации.