一 AAA服务器概述:
随着物联网的兴起,2G/3G无线接入技术在金融、保险、税务、彩票、交通、环保、地震、电力、安防等重要行业的应用越来越广泛,无线接入系统的安全性也是不容忽视的重要课题,针对此需要,我公司研发推出了针对无线接入系统的安全AAA认证服务器HT-3000,HT-3000可以确保只有身份合法的用户名、合法的用户密码、全球唯一的IMSI号、指定的IP地址、指定的ID编号各项都正确,才可以接入客户无线系统。HT-3000服务器杜绝了系统被非法入侵的可能,为无线接入系统的安全保驾护航。
图1 无线接入的典型案例
在移动通信系统中,用户要访问网络资源,首先要进行用户的入网认证,这样用户才能保护网络资源。鉴别的过程就是验证用户身份的合法性;鉴别完成后,才能对用户访问网络资源进行授权,并对用户访问网络资源进行计费管理。一般来讲,鉴别过程由三个实体来完成的。用户(Client)、认证器(Authenticator)、AAA服务器(Authentication、Authorization和Accounting Server)。在第三代移动通信系统的早期版本中,用户也称为MN(移动节点),Authenticator在NAS(Network Access Server)中实现,它们之间采用PPP协议,认证器和AAA服务器之间采用AAA协议(以前的方式采用远程访问拨号用户服务RADIUS(RemoteAccess Dial up User Service);Raduis(远程访问拨号接入用户服务)英文原意为半径,原先的目的是为拨号用户进行鉴别和计费。后来经过多次改进,形成了一项通用的鉴别计费协议)。
AAA
AAA是验证、授权和记账(Authentication、Authorization、Accounting )三个英文单词的简称。其主要目的是管理哪些用户可以访问网络服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记账。具体为:
1、 验证(Authentication): 验证用户是否可以获得访问权限;
、
图2 AAA服务器银行ATM机无线接入方案
2、授权(Authorization) : 授权用户可以使用哪些服务;
3、记账(Accounting) : 记录用户使用网络资源的情况。
AAA服务器
AAA服务器(AAA server)是一个能够处理用户访问请求的服务器程序。提供验证授权以及帐户服务。AAA服务器通常同网络访问控制、网关服务器、数据库以及用户信息目录等协同工作。同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务(RADIUS)”。
RADIUS协议
协议概述
RADIUS(Remote Authentication Dial In User Service)协议是在IETF的RFC 2865和2866中定义的。RADIUS 是基于 UDP 的一种客户机/服务器协议。RADIUS客户机是网络访问服务器,它通常是一个路由器、交换机或无线访问点。RADIUS服务器通常是在UNIX或Windows2000服务器上运行的一个监护程序。RADIUS 协议的认证端口是1812 ,计费端口是1813。
RADIUS协议的主要特点
概括的来说,RADIUS 的主要特点如下:
1、客户/服务模式(Client/Server)
RADIUS是一种C/S结构的协议,它的客户端最初就是网络接入服务器NAS(Network Access Server),现在运行在任何硬件上的RADIUS客户端软件都可以成为RADIUS的客户端。客户端的任务是把用户信息(用户名,口令等)传递给指定的RADIUS服务器,并负责执行返回的响应。
2、RADIUS服务器负责接收用户的连接请求,对用户身份进行认证,并为客户端返回所有为用户提供服务所必须的配置信息。
一个RADIUS服务器可以为其他的RADIUS Server或其他种类认证服务器担当代理。
客户端和RADIUS服务器之间的交互经过了共享保密字的认证。另外,为了避免某些人在不安全的网络上监听获取用户密码的可能性,在客户端和RADIUS服务器之间的任何用户密码都是被加密后传输的。
3、灵活的认证机制
RADIUS服务器可以采用多种方式来鉴别用户的合法性。当用户提供了用户名和密码后,RADIUS服务器可以支持点对点的PAP认证(PPPPAP)、点对点的CHAP认证(PPP CHAP)、UNIX的登录操作(UNIX Login)和其他认证机制。
4.扩展协议
所有的交互都包括可变长度的属性字段。为满足实际需要,用户可以加入新的属性值。新属性的值可以在不中断已存在协议执行的前提下自行定义新的属性。
RADIUS的工作过程
RADIUS协议旨在简化认证流程。其典型认证授权工作过程是:
1、用户输入用户名、密码等信息到客户端或连接到NAS;
2、客户端或NAS产生一个“接入请求(Access-Request)”报文到RADIUS服务器,其中包括用户名、口令、客户端(NAS)ID 和用户访问端口的ID。口令经过MD5算法进行加密。
3、RADIUS服务器对用户进行认证;
4、若认证成功,RADIUS服务器向客户端或NAS发送允许接入包(Access-Accept),否则发送拒绝加接入包(Access-Reject);
5、若客户端或NAS接收到允许接入包,则为用户建立连接,对用户进行授权和提供服务,并转入6;若接收到拒绝接入包,则拒绝用户的连接请求,结束协商过程;
6、客户端或NAS发送计费请求包给RADIUS服务器;
7、RADIUS服务器接收到计费请求包后开始计费,并向客户端或NAS回送开始计费响应包;
8、用户断开连接,客户端或NAS发送停止计费包给RADIUS服务器;
9、RADIUS服务器接收到停止计费包后停止计费,并向客户端或NAS回送停止计费响应包,完成该用户的一次计费,记录计费信息,目前的2G/3G无线接入应用基本采用包月或者包流量的方式,还没有使用的计费功能
二、进行AAA认证的必要性:
1、系统运行更安全。由于无线接入具有一定的移动性,所以设备一旦丢失或被搬离监控区域,由于无线设备已经配置了接入用户名和口令,任意电脑终端通过无线设备完全可以接入用户系统进行相关交易等工作,这是目前无线接入系统的安全性死穴。有了AAA认证服务器之后,客户可以第一时间将丢失的设备ID号、随同设备的SIM卡号设置为非法,此设备再次发出接入请求时将被拒绝,系统可以最大限度的降低入侵危险。
2、设备管理更方便。CISICO路由器等设备也可以通过配置用户名和口令完成部分AAA认证的功能,但不能完全适应无线接入的实际需要,不能对换了手机卡的EMSI号、设备ID号等进行认证,安全性就会降低;另外CISICO命令行的配置方式使用起来不是很方便,HT-3000采用WEB方式进行配置,管理方便,对于用户数量巨大的用户,添加用户更为方便,免除了命令行的繁杂方式。
3、远程维护更简单。无线设备接入系统后,所有前端设备的工作信息、IP地址、上下线时间、工作日志等都在AAA服务器上有记录,可以随时通过远程登陆的方式对前段设备进行管理和维护。
三.HT3000 AAA服务器基本功能
支持中国电信CDMA /中国联通WCDMA/中国移动GPRS虚拟专用拨号数据网(VPDN) 支持用户名+域名设置 支持自动获得/指定PPP上线IP地址
支持UIM卡、用户名、密码、分配固定IP四绑定功能 支持PAP、CHAP、MS-CHAP多种PPP 验证机制 支持 IMSI (国际移动用户识别码)验证及绑定 支持 500 用户(可扩展至5000用户) 支持双机热备份,保证系统稳定可靠工作
四.HT3000 AAA服务器功能特点
HT3000采用1U标准机架式设计,占用空间小,安装灵活,移动方便。
HT3000采用嵌入式无硬盘设计,故障率低,功耗小,环境适应性强,安全稳定。
HT3000 核心软件针对中国电信VPDN网络应用定制设计,配置简单,容易维护。
HT3000 配置管理界面采用WEB方式,无需安装客户端软件,部署管理灵活。
HT3000 系统配置文件和用户列表文件可通过管理界面下载及上传,方便备份与恢复。
HT3000 嵌入式操作系统,无虑盗版软件和病毒侵袭。
HT3000支持实时双机热备份,确保数据同步。
五.HT3000 AAA服务器应用方案及网络拓扑说明
如图3所示:cisco7200 与 HT3000的内网口(eth0) 分配同一子网的两个地址 9.43.192.102 和 9.43.192.1,可直接通信用以承载Radius协议报文。
拨号建立过程:
1.无线路由器HT-1A的PPP建立请求,通过CDMA承载网络发至中国电信。
2.中国电信核心交换网与HT-1A通信,验证IMSI号及用户域名。
3.电信通过验证后,电信LAC侧将二次请求包通过专线转发至分行中心的cisco7200。
4.cisco7200收到PPP通信请求包,根据Radius配置,将验证、授权部分交给HT3000。
5.HT3000验证用户名+域名,口令及IMSI成功后,将验证成功及上线IP地址等信息反馈给cisco7200。
6.cisco7200接受到HT3000的验证及授权信息后,与HT-1A建立PPP连接。
7 在工作过程中,如果AAA服务器主机出现异常断电等故障、备机自动切换提供认证服务等全部功能。
六.HT3000 硬件参数
处理器:Intel 酷睿双核处理器
主 频:1.66GHZ 电 源:220V/3.0A RJ45网口 :6 个 千兆网口
USB接口: 2 个
console接口:1 个
尺 寸: 426x44x320MM