（認證、授權和記賬）簡介

  AAA（身份驗證，授權和記賬）簡介

AAA服務器

 AAA是認證，授權和計費（認證，授權，計費）的三個英文字的縮寫。其主要目的是管理哪些用戶可以訪問網絡服務器，哪些服務可供具有訪問權限的用戶使用，以及如何考慮使用網絡資源的用戶。具體來說：

1.驗證:驗證用戶是否可以訪問;

2.授權（授權）:授權用戶可以使用哪些服務;

3.計費:記錄用戶對網絡資源的使用。

RADIUS（遠程身份驗證撥入用戶服務）協議是IETF RFC 2865和2866中定義的唯一AAA標準.RADIUS是基於UDP的客戶端/服務器協議。 RADIUS客戶端是網絡訪問服務器，通常是路由器，交換機或無線訪問點。 RADIUS服務器通常是在UNIX或Windows 2000服務器上運行的監視器。RADIUS協議的認證端口爲1812，計費端口爲1813.

RADIUS協議的主要功能：

1.客戶端/服務模式（客戶端/服務器）

RADIUS是一種C/S結構協議。它的客戶端最初是網絡訪問服務器（NAS）。現在，在任何硬件上運行的RADIUS客戶端軟件都可以成爲RADIUS客戶端。客戶端的任務是將用戶信息（用戶名，密碼等）傳遞給指定的RADIUS服務器，並負責執行返回的響應。 RADIUS服務器負責接收用戶的連接請求，驗證用戶的身份，並向客戶端返回向用戶提供服務所需的所有配置信息。

RADIUS服務器可以充當其他RADIUS服務器或其他類型的身份驗證服務器的代理。

2.網絡安全

客戶端和RADIUS服務器之間的交互由共享密鑰進行驗證。另外，爲了防止某些人聽到在不安全的網絡上獲得用戶密碼的可能性，客戶端和RADIUS服務器之間的任何用戶密碼都被加密和傳輸。

3.靈活的認證機制

RADIUS服務器可以使用各種方法來驗證用戶的合法性。用戶提供用戶名和密碼後，RADIUS服務器可以支持對等PAP認證（PPP PAP），對等CHAP認證（PPP CHAP），UNIX登錄（UNIX登錄）和其他認證機制。

4.擴展協議

所有交互都包括可變長度屬性字段。爲滿足實際需求，用戶可以添加新的屬性值。 new屬性的值可以定義新屬性，而不會中斷現有協議的執行。

RADIUS工作流程

RADIUS協議旨在簡化身份驗證過程。典型的認證和授權流程是：

1.用戶將用戶名，密碼和其他信息輸入客戶端或連接到NAS;

2.客戶端或NAS向RADIUS服務器生成Access-Request消息，包括用戶名，密碼，客戶端（NAS）ID和用戶訪問端口的ID。密碼由MD5算法加密。

3. RADIUS服務器對用戶進行身份驗證;

4.如果認證成功，則RADIUS服務器向客戶端或NAS發送Access-Accept，否則發送Access-Reject報文;

5.如果客戶端或NAS收到允許的訪問包，則爲用戶建立連接，授權並向用戶提供服務，並轉移到6;如果收到拒絕接入報文，則拒絕用戶的連接請求，並結束協商。處理;

6.客戶端或NAS向RADIUS服務器發送計費請求報文;

7. RADIUS服務器收到計費請求報文後，開始計費，並向客戶端或NAS發送開始計費響應報文;

8.用戶斷開連接，客戶端或NAS向RADIUS服務器發送停止計費報文;

9. RADIUS服務器收到停止計費報文後，停止計費，並向客戶端或NAS發送停止計費響應報文，完成用戶的主要計費，並記錄計費信息。

流媒體中的AAA系統

AAA服務器是流媒體系統的一個非常重要的部分。它執行訪問身份驗證，授權和記帳功能。目前，由於RADIUS協議仍然是唯一的AAA協議標準，我們系統中AAA服務器的實現仍然使用RADIUS協議來實現RADIUS協議中提供的AAA服務功能。同時，系統提供諸如用戶和賬單信息的存儲和管理之類的功能。

AAA系統主要包括認證、計費服務器外，還包括用戶和計費信息的存儲、用戶和計費策略管理等。在整個AAA系統中，RADIUS服務器之間以及RADIUS認證服務器與客戶端通訊遵循RADIUS協議標準；用戶信息和計費信息保存在 MySQL 數據庫中。

1、 用戶認證 

用戶在申請享受服務時，需要得到用戶信息的認證。在本系統中，客戶端發送AAA認證數據包給服務器，數據包包含用戶ID和password，服務器對數據包進行驗證給出結果。驗證過程加密傳輸。   

2、 用戶服務授權 

在本系統中，不同的用戶可以享受不同的服務。AAA服務器在通過用戶的認證請求後，按照該用戶的權限來決定用戶是否可以享受申請的服務內容。   

3、 服務計費 

系統提供基本的計費信息和計費算法，支持一定的計費策略，並保存計費過程產生的中間數據。系統達到實時計費的要求。計費的最小單位爲分，並且能夠保證用戶不會透支費用。  

 4、 用戶信息管理 

主要功能包括用戶註冊、費用管理查詢、權限設置等。管理平臺可以對用戶信息數據庫和計費信息數據庫進行管理。一般用戶只能查詢本帳號的基本情況，如用戶基本信息和帳戶餘額，可修改本人的基本信息；管理員能查詢和修改用戶的基本信息、爲用戶充值、查詢用戶餘額、完成計費策略的編輯、訪問和修改。

—————————————————————————————————————————————————————————
Wiradius是用戶認證計費管理系統，採用國際標準協議RADIUS爲基本支撐，可以實現對VOIP電話、網絡接入、即時通信、電子商務網站提供認證、計帳、漫遊、虛擬計費服務。是由北京時訊遨遊網絡科技有限公司研製出!