分組域-AAA技術(shù)原理與部署

1、分組域分組域系列教材之系列教材之AAAAAA技術(shù)原理與部署技術(shù)原理與部署中國電信中國電信20092009年度移動互聯(lián)網(wǎng)業(yè)務(wù)維護技能競賽專用教材年度移動互聯(lián)網(wǎng)業(yè)務(wù)維護技能競賽專用教材 CDMA分組核心網(wǎng)產(chǎn)品主要包括PDSN和AAA設(shè)備，本文檔將對AAA進行詳細說明介紹。學習完此課程，您將會： 掌握AAA基本概念與功能 掌握RADIUS協(xié)議 了解AAA/ANAAA的業(yè)務(wù)流程 了解AAA的計費方案與模式第第2章章 AAA功能與應(yīng)用功能與應(yīng)用第第3章計費方案與模式章計費方案與模式第第4章章 ANAAA功能與應(yīng)用功能與應(yīng)用第第5章章 現(xiàn)網(wǎng)部署情況現(xiàn)網(wǎng)部署情況第第6章章 名詞解釋名詞解釋第第2節(jié)節(jié) RAD

2、IUS 認證認證第第3節(jié)節(jié) RADIUS 計費計費第第4節(jié)節(jié) RADIUS 漫游漫游RADIUS RADIUS 基礎(chǔ)基礎(chǔ) RADIUS 協(xié)議是為用戶提供接入的設(shè)備（RADIUS客戶端）與存放用戶認證信息的設(shè)備（RADIUS服務(wù)器端）之間交換信息的一個標準方法。 一般由三個部件構(gòu)成：接入客戶端，網(wǎng)絡(luò)接入服務(wù)器，RADIUS服務(wù)器?；诨赗ADIUS的遠端接入環(huán)境的遠端接入環(huán)境 RADIUS RADIUS 基礎(chǔ)基礎(chǔ)為配置AAA系統(tǒng)，需要了解關(guān)于RADIUS包的如下重要信息：RADIUS包攜帶RADIUS客戶端和RADIUS服務(wù)器之間的交流的信息。RADIUS包遵循請求/響應(yīng)的機制：客戶端發(fā)送一個

3、請求給服務(wù)器，并期待服務(wù)器返回一個響應(yīng)，如果客戶端沒有接到響應(yīng)，那么客戶端能夠周期性的重發(fā)這個請求。每一個包都有特定的目的：認證或計費。一個包可以包含多個值，這些值稱為屬性。每個包可包含的屬性受到報的類型（認證或計費）以及發(fā)送這個包的設(shè)備（如NAS的廠家和型號）的限制。如果要了解RADIUS包的類型和內(nèi)容的詳細信息，可以查閱RFC 2865中的表格。這個手冊也提供了一些常用屬性以及它們的可能取值，要了解計費包的屬性可查閱文檔RFC 2866。RADIUSRADIUS數(shù)據(jù)包格式與結(jié)構(gòu)數(shù)據(jù)包格式與結(jié)構(gòu)RADIUS客戶端和RADIUS服務(wù)器通過RADIUS包來進行信息交換。RADIUS使用UDP/I

4、P作為傳輸協(xié)議：端口號為：1645/1646（舊）或1812/1813（新）認證包(Authentication)端口為：1645或1812計費包(Accounting)端口為：1646或1813RADIUS數(shù)據(jù)包的格式為：RADIUS數(shù)據(jù)包結(jié)構(gòu)如下：12345678Octets11CodeIdentifierLength2Authenticator16AttributesnCode標識這是一個什么類型的包，1：Access-Request，2：Access-Accept，3：Access-Reject，4：Accounting-Request，5：Accounting-Response第第1

5、節(jié)節(jié) RADIUS 基礎(chǔ)基礎(chǔ)第第3節(jié)節(jié) RADIUS 計費計費第第4節(jié)節(jié) RADIUS 漫游漫游RADIUS RADIUS 認證認證消息條件消息條件消息屬性作用消息屬性作用當網(wǎng)絡(luò)接入設(shè)備（NAS）從用戶處接到一個連接請求時，NAS將通過發(fā)送一個Access-Request消息給RADIUS服務(wù)器來認證這個用戶請求認證用戶描述用戶想要建立的連接的類型當RADIUS服務(wù)器能夠認證這個連接請求時，它返回一個Access-Accept消息給它的客戶端（通常為NAS）允許NAS完成接入?yún)f(xié)商配置連接的詳細信息，例如，向NAS提供一個IP地址，這個IP地址將分配給用戶。為這個連接提供時間限制或別的服務(wù)類別信

6、息當RADIUS服務(wù)器不能認證這個連接請求時，返回一個Access-Reject消息給客戶端（NAS）終止接入?yún)f(xié)商給出認證失敗原因為了理解認證過程，我們需要對認證消息有個大概的了解，下表給出了產(chǎn)生RADIUS消息的條件以及在相應(yīng)條件下消息中可以包含的屬性，以及這些屬性的作用。RADIUS RADIUS 認證認證認證方式：認證方式： PAPPAP：在PAP（Password Authentication Protocol）協(xié)議中，用戶與NAS通過明文方式進行協(xié)商，也就是說，用戶在發(fā)送密碼信息給NAS時不使用加密。 CHAPCHAP：CHAP （Challenge Handshake Authen

7、tication Protocol）協(xié)議可以避免密碼信息在任何網(wǎng)段上以明文形式傳輸。第第1節(jié)節(jié) RADIUS 基礎(chǔ)基礎(chǔ)第第2節(jié)節(jié) RADIUS 認證認證第第4節(jié)節(jié) RADIUS 漫游漫游RADIUS RADIUS 計費計費消息條件消息條件消息屬性作用消息屬性作用RADIUS客戶端使用Accounting-Request消息發(fā)送計費數(shù)據(jù)到服務(wù)器端，不同制造商制造的客戶端在不同的條件下會發(fā)送不同類型的Accounting-Request消息，這兒描述最典型的情況。保證RADIUS服務(wù)器接收到計費請求包是客戶端的責任。多數(shù)客戶端都采用長時間的周期性重發(fā)策略來保證服務(wù)器正確接收到計費請求包。在接到RA

8、DIUS服務(wù)器發(fā)來的Access-Accept包之后，NAS就是完成與用戶之間的接入?yún)f(xié)商，然后NAS就會發(fā)送一個開始消息（Start）給服務(wù)器。根據(jù)Acct-Status-Type屬性的取值，計費消息可以分為：Start，Stop， Interim-Acct， Accounting-On和Accounting-Off幾種。記錄連接信息，包括：用戶名，NAS標示，NAS端口標示，端口類型，連接開始時間等。在連接終止后，NAS會發(fā)送一個結(jié)束消息（Stop）給服務(wù)器記錄關(guān)于這次連接的統(tǒng)計信息。這個消息中包含NAS能夠記錄的統(tǒng)計屬性的最終值。大約每隔10分鐘，NAS會發(fā)送一個中間消息（Interim-

9、Acct）給服務(wù)器記錄關(guān)于這次連接統(tǒng)計信息的一個“快照”，這個消息中包含的是NAS能夠記錄的統(tǒng)計屬性的當前值RADIUS RADIUS 計費計費消息條件消息條件消息屬性作用消息屬性作用每次客戶端設(shè)備上線（不管是因為當機，還是由于正常關(guān)機導致的下線）時，都會發(fā)送一個Accounting-On消息給服務(wù)器標示這個設(shè)備上線每次客戶端設(shè)備正常關(guān)機，在關(guān)機之前會發(fā)送一個Accounting-Off消息給服務(wù)器標示這個設(shè)備下線RADIUS服務(wù)器在接收到一個Accounting-Request消息后，會發(fā)送一個Accounting-Response消息給客戶端完成請求/響應(yīng)循環(huán)第第1節(jié)節(jié) RADIUS 基礎(chǔ)

10、基礎(chǔ)第第2節(jié)節(jié) RADIUS 認證認證第第3節(jié)節(jié) RADIUS 計費計費RADIUS RADIUS 漫游漫游 代理（代理（ProxyProxy）認證）認證RADIUS認證消息代理轉(zhuǎn)發(fā)過程如下： RADIUS服務(wù)器接收到一個Access-Request消息； 第一個服務(wù)器（代理RADIUS服務(wù)器）轉(zhuǎn)發(fā)這個請求消息到第二個服務(wù)器（目標RADIUS服務(wù)器）； 目標服務(wù)器執(zhí)行請求的認證服務(wù)，并返回一個響應(yīng)給代理服務(wù)器；1.代理服務(wù)器中繼發(fā)送響應(yīng)給最初的RADIUS客戶端。RADIUS RADIUS 漫游漫游代理（代理（ProxyProxy）計費）計費RADIUS計費消息代理轉(zhuǎn)發(fā)過程如下：RADIUS服

11、務(wù)器接收到一個Accounting-Request消息；服務(wù)器上代理計費參數(shù)的配置將決定對這個請求消息如何動作，動作可以為：a)轉(zhuǎn)發(fā)這個計費請求到目標服務(wù)器；或b)在代理服務(wù)器本地記錄下計費請求中的計費數(shù)據(jù)；或c)a和b都做。1. 如果代理服務(wù)器沒有收到轉(zhuǎn)發(fā)的計費請求包的回復(fù)，它會按自己的重發(fā)策略來周期性的重發(fā)這個計費請求。RADIUS RADIUS 漫游漫游 漫游（漫游（ProxyProxy）域）域 漫游域是指使用一個RADIUS服務(wù)器池來作為目標服務(wù)器，代理服務(wù)器可以轉(zhuǎn)發(fā)請求到這個RADIUS服務(wù)器池。 通過配置漫游域，可以實現(xiàn)負載均衡，目標服務(wù)器冗余等功能，還可配置使代理服務(wù)器把認證和計

12、費請求包發(fā)送到不同的服務(wù)器。第第1章章 RADIUS協(xié)議簡單介紹協(xié)議簡單介紹第第3章計費方案與模式章計費方案與模式第第4章章 ANAAA功能與應(yīng)用功能與應(yīng)用第第5章章 現(xiàn)網(wǎng)部署情況現(xiàn)網(wǎng)部署情況第第6章章 名詞解釋名詞解釋第第1節(jié)節(jié) AAA基本概念基本概念第第2節(jié)節(jié) CARD 業(yè)務(wù)流程業(yè)務(wù)流程第第3節(jié)節(jié) WAP 業(yè)務(wù)流程業(yè)務(wù)流程第第4節(jié)節(jié) VPDN 業(yè)務(wù)流程業(yè)務(wù)流程第第5節(jié)節(jié) 用戶授權(quán)用戶授權(quán)AAAAAA基本定義基本定義 AAA（Authentication、Authorization、Accouting），即認證、授權(quán)與計費服務(wù)器 認證（Authentication）指用戶在使用網(wǎng)絡(luò)系統(tǒng)中的資

13、源時對用戶身份的確認。這一過程，通過與用戶的交互獲得身份信息（諸如用戶名、口令組合等），AAA服務(wù)器對身份信息與存儲在數(shù)據(jù)庫里的用戶信息進行核對處理，然后根據(jù)處理結(jié)果確認用戶身份是否正確。 授權(quán)（Authorization）指網(wǎng)絡(luò)系統(tǒng)授權(quán)用戶以特定的方式使用其資源。這一過程指定了被認證的用戶在接入網(wǎng)絡(luò)后能夠使用的業(yè)務(wù)和擁有的權(quán)限，如授予的IP地址。 計費（Accouting）指網(wǎng)絡(luò)系統(tǒng)收集、記錄用戶對網(wǎng)絡(luò)資源的使用情況，以便向用戶收取資源使用費用，或者用于性能統(tǒng)計等目的。如記錄用戶數(shù)據(jù)傳送的時間和流量。第第1節(jié)節(jié) AAA基本概念基本概念第第2節(jié)節(jié) CARD 業(yè)務(wù)流程業(yè)務(wù)流程第第3節(jié)節(jié) WAP

14、業(yè)務(wù)流程業(yè)務(wù)流程第第4節(jié)節(jié) VPDN 業(yè)務(wù)流程業(yè)務(wù)流程第第5節(jié)節(jié) 用戶授權(quán)用戶授權(quán)CARD CARD 業(yè)務(wù)流程業(yè)務(wù)流程移動終端移動終端PDSNPDSNFAAAFAAAHAAAHAAA1 12 23 34 45 56 67 78 89 91010CDMA 1X分組網(wǎng)用戶認證、計費過程：1、用戶向PDSN發(fā)送Username/Password2、PDSN向FAAA發(fā)送Access-Request（包含Username/Password，PDSN地址，移動終端號碼等）， FAAA檢查PDSN地址是否合法，然后檢查Username，確定是本地用戶還是漫游用戶3、如果是漫游用戶，向HAAA轉(zhuǎn)發(fā)Acces

15、s-Request，HAAA在數(shù)據(jù)庫中查找用戶的Profile，檢查 Username和Password是否相符，是否要返回特定的屬性等4、HAAA向FAAA發(fā)送認證的結(jié)果：Access-Accept（包含要返回的特定屬性）或Access-Reject5、FAAA向PDSN轉(zhuǎn)發(fā)認證的結(jié)果，Access-Accept或Access-Reject6、PDSN通知用戶認證的結(jié)果，是否允許訪問網(wǎng)絡(luò)7、如果認證通過，PDSN向FAAA發(fā)送Accounting-Start，包含3GPP2規(guī)定的屬性及一些廠商專有屬性8、FAAA向HAAA轉(zhuǎn)發(fā)Accounting-Start，可以設(shè)置本地是否保存一份計費包副

16、本9、HAAA向FAAA發(fā)送Accounting-Response，確認計費包已經(jīng)收到*10、FAAA向PDSN轉(zhuǎn)發(fā)計費確認包，認證、計費過程結(jié)束*HAAA保存這些計費原始數(shù)據(jù)(UDR)，并進行必要的處理，通過AAA-營帳系統(tǒng)接口傳送給營帳系統(tǒng)第第1節(jié)節(jié) AAA基本概念基本概念第第2節(jié)節(jié) CARD 業(yè)務(wù)流程業(yè)務(wù)流程第第3節(jié)節(jié) WAP 業(yè)務(wù)流程業(yè)務(wù)流程第第4節(jié)節(jié) VPDN 業(yè)務(wù)流程業(yè)務(wù)流程第第5節(jié)節(jié) 用戶授權(quán)用戶授權(quán)WAP WAP 業(yè)務(wù)流程業(yè)務(wù)流程WAP WAP 業(yè)務(wù)流程業(yè)務(wù)流程WAP業(yè)務(wù)流程如下： 用戶向PDSN發(fā)送Username/Password PDSN向FAAA發(fā)送Access-Req

17、uest（包含Username/Password，PDSN地址，移動終端號碼等），F(xiàn)AAA檢查PDSN地址是否合法，然后檢查Username，確定是本地用戶還是漫游用戶。 如果是漫游用戶，向HAAA轉(zhuǎn)發(fā)Access-Request，HAAA在數(shù)據(jù)庫中查找用戶的Profile，檢查Username和Password是否相符，是否要返回特定的屬性等 HAAA向FAAA發(fā)送認證的結(jié)果：Access-Accept（包含要返回的特定屬性）或Access-Reject。 FAAA向PDSN轉(zhuǎn)發(fā)認證的結(jié)果，Access-Accept或Access-Reject。 PDSN通知用戶認證的結(jié)果，是否允許訪問網(wǎng)絡(luò)

18、。 如果認證通過，PDSN向FAAA發(fā)送Accounting-Start，包含3GPP2規(guī)定的屬性及一些廠商專有屬性。 FAAA向HAAA轉(zhuǎn)發(fā)Accounting-Start，可以設(shè)置本地是否保存一份計費包副本。 FAAA向WAPGW轉(zhuǎn)發(fā)Accounting-Start，可以設(shè)置本地是否保存一份計費包副本。 WAPGW向FAAA發(fā)送Accounting-Response，確認計費包已經(jīng)收到。 HAAA向FAAA發(fā)送Accounting-Response，確認計費包已經(jīng)收到。 FAAA向PDSN轉(zhuǎn)發(fā)計費確認包，認證、計費過程結(jié)束。*HAAA保存這些計費原始數(shù)據(jù)(UDR)，并進行必要的處理，通過A

19、AA-營帳系統(tǒng)接口傳送給營帳系統(tǒng)第第1節(jié)節(jié) AAA基本概念基本概念第第2節(jié)節(jié) CARD 業(yè)務(wù)流程業(yè)務(wù)流程第第3節(jié)節(jié) WAP 業(yè)務(wù)流程業(yè)務(wù)流程第第4節(jié)節(jié) VPDN 業(yè)務(wù)流程業(yè)務(wù)流程第第5節(jié)節(jié) 用戶授權(quán)用戶授權(quán)VPDNVPDN業(yè)務(wù)流程業(yè)務(wù)流程VPDNVPDN業(yè)務(wù)流程業(yè)務(wù)流程VPDN業(yè)務(wù)流程如下： 終端用戶與PDSN進入PPP LCP階段，同時PDSN與終端用戶建立認證方式PAP/CHAP。首先PDSN根據(jù)所設(shè)置的優(yōu)選認證方式CHAP（或者PAP）向終端用戶發(fā)出協(xié)商，如終端支持PDSN的優(yōu)選認證方式CHAP，則終端使用CHAP認證方式與AAA進行認證。如終端不支持PDSN的優(yōu)選方式CHAP，則使用P

20、DSN的次選方式PAP與AAA進行認證。 終端用戶使用用戶名（XXX域名）撥號，通過無線接入網(wǎng)設(shè)備BSC/PCF與PDSN發(fā)出連接請求。 終端用戶向PDSN發(fā)出VPDN認證請求。 PDSN向拜訪地AAA轉(zhuǎn)發(fā)接入請求。 拜訪地AAA根據(jù)用戶IMSI轉(zhuǎn)向歸屬地AAA進行認證，歸屬地AAA根據(jù)用戶域名判斷該用戶是否VPDN用戶，是否具有接入權(quán)限。(如用戶在歸屬地進行VPDN撥號由歸屬地局端AAA認證后進入（8）。)1.歸屬地AAA通過用戶VPDN認證后，向拜訪地AAA返回此VPDN用戶的相關(guān)信息。VPDNVPDN業(yè)務(wù)流程業(yè)務(wù)流程VPDN業(yè)務(wù)流程（續(xù)）：拜訪地AAA向PDSN返回VPDN屬性，包括LN

21、S地址，隧道類型、LNS分布方式（單一LNS、主備、輪詢）、L2TP隧道密鑰等。PDSN與LNS開始建立L2TP隧道。LNS向PDSN返回Tunnel 認證消息，PDSN與LNS隧道建立成功。PDSN向LNS傳送用戶名、密碼、認證方式等信息。如LNS不認可PDSN所傳來的信息或LNS配置強制LCP重協(xié)商，則LNS向終端發(fā)出LCP重協(xié)商請求，否則直接進入（12）。終端用戶和LNS進入PPP LCP階段。VPDN AAA根據(jù)LNS傳送過來的用戶名、密碼、認證方式等信息對終端用戶進行二次認證，認證終端用戶是否能接入用戶網(wǎng)絡(luò)。LNS發(fā)出認證通過信息。終端用戶和LNS進入PPP IPCP階段。7. LN

22、S分配用戶IP地址，終端用戶和LNS建立PPP連接 第第1節(jié)節(jié) AAA基本概念基本概念第第2節(jié)節(jié) CARD 業(yè)務(wù)流程業(yè)務(wù)流程第第3節(jié)節(jié) WAP 業(yè)務(wù)流程業(yè)務(wù)流程第第4節(jié)節(jié) VPDN 業(yè)務(wù)流程業(yè)務(wù)流程第第5節(jié)節(jié) 用戶授權(quán)用戶授權(quán)用戶授權(quán)用戶授權(quán)當用戶認證成功后，AAA對用戶進行授權(quán)時，每個用戶可能根據(jù)需要返回不同的授權(quán)屬性，AAA可以通過給用戶分配不同授權(quán)屬性列實現(xiàn)。一個授權(quán)屬性列是一組授權(quán)屬性的集合，在NAI或IMSI配置時，可以選擇某個授權(quán)屬性列，返回NAS用戶授權(quán)屬性列中的屬性。添加用戶授權(quán)屬性列時，需要配置用戶授權(quán)屬性列的名稱以及授權(quán)屬性及其授權(quán)值。一個授權(quán)屬性列可以配置多個授權(quán)屬性，如

23、選擇授權(quán)屬性的設(shè)備商、授權(quán)屬性名以及輸入屬性值。授權(quán)屬性值的取值范圍和配置方法是和屬性名是相關(guān)的，對不同的RADIUS屬性有不同的配置方法和取值，第第1章章 RADIUS協(xié)議簡單介紹協(xié)議簡單介紹第第2章章 AAA功能與應(yīng)用功能與應(yīng)用第第4章章 ANAAA功能與應(yīng)用功能與應(yīng)用第第5章章 現(xiàn)網(wǎng)部署情況現(xiàn)網(wǎng)部署情況第第6章章 名詞解釋名詞解釋話單記錄話單記錄AAA產(chǎn)生話單記錄的原則： 所有話單記錄都是采用CDR詳單格式產(chǎn)生： 所有話單記錄都是以ASCII編碼格式進行編碼，話單內(nèi)的字段域按順序排列： 為避免混淆，如有不同類型的話單，各類話單記錄獨立為一個記錄，不同類的話單記錄不能合并產(chǎn)生。話單文件話單

24、文件序號字段名最大長度備注1文件序列號CHAR (4)00009999序列號順序遞增，循環(huán)使用。從0000開始排序，排滿后重置。2文件版本號CHAR (2)003文件產(chǎn)生日期CHAR (8)YYYYMMDD4首個記錄日期CHAR (8)YYYYMMDD5首個記錄時間CHAR (6)HHMMSS6末個記錄日期CHAR (8)YYYYMMDD7末個記錄時間CHAR (6)HHMMSS8話單總記錄數(shù)CHAR (10)右對齊，左補09換行CHAR (1)“n”話單文件話單文件 AAA定時在指定目錄下生成原始計費話單文件，計費系統(tǒng)定時到AAA指定的目錄采集文件。 計費話單文件由一條或多條完整的話單記錄組

25、成。每條記錄占一行，記錄之間以換行符分隔。 每個CDR記錄由多個域構(gòu)成，每個域?qū)?yīng)一個字段，域之間以“t”分隔。字段可以有子類型，子類型之間以“|”分隔。各字段及子類型按規(guī)范定義的順序排列，如果相應(yīng)的屬性值為空，則直接用分隔符分開，分隔符之間無其他符號。話單文件采集話單文件采集 AAA和計費系統(tǒng)之間的接口采用文件方式，使用FTP協(xié)議采集。 采集時延是某個話單文件生成的時間與計費系統(tǒng)對該話單文件采集完成的時間之間的延遲。因此，采集時延取決于計費系統(tǒng)對采集點設(shè)定的采集時長，根據(jù)計費系統(tǒng)的要求設(shè)置。 AAA要求具備話單文件的備份能力，即，在計費系統(tǒng)采集完成后，將相應(yīng)的話單文件備份到備份目錄，并從采集

26、目錄中刪除。話單記錄格式話單記錄格式序序號號字段名字段名字段描述字段描述類型類型長度長度(octets)(octets)取值取值1StreamNumber記錄序列號在一個設(shè)備中唯一標識一個CDR的流水號Integer42Acct-Status- Type計費狀態(tài)標識收到的是由RADIUS Accounting Start/Stop/Interim Request消息而產(chǎn)生的CDRInteger41：Start開始2：Stop結(jié)束3：Interim-Update中間更新3RoamFlag漫游標記標識用戶是否漫游，以及漫游類型Integer40：本地1：省際漫入2：省際漫出3：國際漫入4：國際漫出

27、4PaidType付費類型標識用戶是普通付費用戶還是預(yù)付費用戶，及是否是內(nèi)容計費Integer40：未知1：普通2：預(yù)付費3：內(nèi)容計費4：內(nèi)容計費的預(yù)付費5MDN用戶號碼用戶的MDN號碼String206MSIDIMSI號碼用戶的IMSI號碼String157ESN電子序列號終端和網(wǎng)絡(luò)使用ESN時有效String158MEID移動臺設(shè)備標識 終端和網(wǎng)絡(luò)使用MEID時有效String14話單記錄格式話單記錄格式序序號號字段名字段名字段描述字段描述類型類型長度長度(octets)(octets)取值取值9Source IP Address源IP地址用戶的IPv4地址IP-Addr410Networ

28、k Access Identifier（NAI）網(wǎng)絡(luò)接入標識用戶的帳號，標識用戶名和歸屬網(wǎng)絡(luò)，格式為：userrealmString7211Source IPv6 Prefix源IPv6前綴用戶IPv6地址的前綴。IPv6-prefix4-2012IPv6 Interface IDIPv6接口標識 用戶IPv6地址的接口標識String1013Account Session ID計費會話標識由服務(wù)的PDSN產(chǎn)生的唯一標識號，標識一個會話連接的多條記錄。當FLOW-ID Parameter字段沒有時，一個會話連接表示一個A10連接或R-P連接；當有FLOW-ID Parameter字段時，一個會

29、話連接表示FLOW-ID指示的一個IP數(shù)據(jù)流String814Correlation ID關(guān)聯(lián)標識由服務(wù)的PDSN產(chǎn)生的唯一標識，標識一個PPP連接中的多個會話連接String815Session Continue會話繼續(xù)標識指示該CDR是否為一個連接的最后一條話單記錄，如不是，說明后續(xù)還有話單記錄Integer40：是1：不是,繼續(xù)16Beginning Session會話開始標識 指示該CDR是否為會話的第一條話單記錄Integer40：不是1：是17Service Reference ID業(yè)務(wù)參考標識 從無線側(cè)收到的業(yè)務(wù)參考標識號Integer可變18FLOW ID parameterI

30、P流標識標識一個IP數(shù)據(jù)流Integer219Home Agent歸屬代理地址 HA的IPv4地址IP-Addr420PDSN AddressPDSN地址PDSN的IPv4地址IP-Addr4話單記錄格式話單記錄格式序序號號字段名字段名字段描述字段描述類型類型長度長度(octets)(octets)取值取值21Serving PCF服務(wù)PCF地址服務(wù)的PCF的IP地址IP-Addr422BSID基站標識該標識包括：SID（4octets）+NID（4octets）+CI（4octets）。CI的高12比特為小區(qū)標識，低4比特為扇區(qū)標識String1223Foreign Agent Addres

31、s外地代理地址FA-CoA的IPv4地址IP-Addr424Subnet子網(wǎng)號DO系統(tǒng)的子網(wǎng)和扇區(qū)標識String3725Carrier-ID運營商標識唯一標識產(chǎn)生該CDR的運營商String426User Zone用戶域用戶所在區(qū)域標識Integer427GMT-Time-Zone-OffsetGMT時間區(qū)域偏置 從GMT時間計算的偏移量,以秒為單位String428Service Option 業(yè)務(wù)選擇所用的cdma網(wǎng)絡(luò)類型Integer433：cdma1x59：EVDO29IP TechnologyIP技術(shù)IP技術(shù)類型Integer41：簡單IP2：移動IP30Compulsory Tu

32、nnel Indicator強制隧道標識強制隧道類型Integer40：無隧道1：非加密隧道2：加密隧道31Release Indicator關(guān)閉標識關(guān)閉記錄的原因標識Integer432Always On永遠在線指示永遠在線的業(yè)務(wù)狀態(tài)Integer40：不是1：是33Hot-Line Accounting Indication熱計費標識指示是否是熱計費Integer40：不是1：是34Flow Status數(shù)據(jù)流狀態(tài)指示IP數(shù)據(jù)流的狀態(tài)Integer40：激活1：不激活話單記錄格式話單記錄格式序序號號字段名字段名字段描述字段描述類型類型長度長度(octets)(octets)取值取值35Da

33、ta Octet Count (Termination)發(fā)送給用戶的字節(jié)數(shù)PDSN發(fā)送給用戶的IP數(shù)據(jù)包的總字節(jié)數(shù)，等同于PDSN從IP網(wǎng)絡(luò)收到的總字節(jié)數(shù)。（不考慮加密和分段等）Integer436Data Octet Count (Originating)用戶發(fā)起的字節(jié)數(shù)用戶發(fā)出的IP數(shù)據(jù)包的總字節(jié)數(shù)Integer437Bad PPP Frame CountPPP壞幀用戶發(fā)出的、由于錯誤被PDSN丟棄的PPP的壞幀。Integer438Event Time事件時間戳指示以下事件的時間戳：開始話單中為會話開始的時間；結(jié)束話單中為會話結(jié)束的時間；中間話單中為中間計費事件的時間Time439Act

34、ive Time激活時長業(yè)務(wù)信道上統(tǒng)計的會話激活的時長（以秒為單位）。如果沒有FLOW-ID Parameter字段時，指業(yè)務(wù)信道上的總時長；有FLOW-ID Parameter字段時，指FLOW-ID指示的那個IP數(shù)據(jù)流在業(yè)務(wù)信道上的總時長Integer440Number of Active Transitions激活轉(zhuǎn)換次數(shù) 一次PPP連接中從休眠狀態(tài)到激活狀態(tài)轉(zhuǎn)換的次數(shù)Integer441In-Bound IP Signaling Octet Count收到的MIP信令字節(jié)數(shù)移動IP信令流量，用戶發(fā)送注冊請求等的MIP信令字節(jié)數(shù) Integer442Outbound IP Signali

35、ng Octet Count發(fā)送的MIP信令字節(jié)數(shù)移動IP信令流量，用戶接收注冊回復(fù)、代理廣播等的MIP信令字節(jié)數(shù)。（不考慮加密和分段等）Integer443Last User Activity Time用戶最后一次激活時間用戶最后一次激活的時間戳Time4話單記錄格式話單記錄格式序序號號字段名字段名字段描述字段描述類型類型長度長度(octets)(octets)取值取值44Filtered Octet Count (Terminating)過濾的字節(jié)數(shù)（收）PDSN統(tǒng)計從IP網(wǎng)絡(luò)收到的過濾掉的總字節(jié)數(shù)。PDSN根據(jù)特定的過濾和重定向（IP重定向或HTTP重定向）規(guī)則將從IP網(wǎng)絡(luò)接收到的IP數(shù)

36、據(jù)包進行過濾和重定向，不再發(fā)往用戶。過濾和重定向規(guī)則從RADIUS的接入-接受和COA報文中得到，包括Filter ID（過濾標識）、IP Filter Rule（IP過濾規(guī)則）、HTTP Redirection Rule（HTTP重定向規(guī)則）、IP Redirection Rule（IP重定向規(guī)則）。Integer445Filtered Octet Count (Originating)過濾的字節(jié)數(shù)（發(fā)）PDSN統(tǒng)計從用戶收到的過濾掉的總字節(jié)數(shù)。PDSN根據(jù)特定的過濾和重定向（IP重定向或HTTP重定向）規(guī)則將用戶發(fā)來的IP數(shù)據(jù)包進行過濾和重定向，不再發(fā)往Internet網(wǎng)。過濾和重定向規(guī)則

37、從RADIUS的接入-接受和COA報文中得到，包括Filter ID（過濾標識）、IP Filter Rule（IP過濾規(guī)則）、HTTP Redirection Rule（HTTP重定向規(guī)則）、IP Redirection Rule（IP重定向規(guī)則）Integer446RSVP Inbound Octet Count收到的RSVP信令字節(jié)用戶發(fā)送的RSVP信令字節(jié)數(shù)Integer447RSVP Outbound Octet Count發(fā)送的RSVP信令字節(jié)用戶接收的RSVP信令字節(jié)數(shù)Integer448RSVP Inbound Packet Count收到的RSVP信令包用戶發(fā)送的RSVP信令

38、數(shù)據(jù)包數(shù)Integer449RSVP Outbound Packet Count發(fā)送的RSVP信令包用戶接收的RSVP信令數(shù)據(jù)包數(shù)Integer450IP Quality of Service服務(wù)質(zhì)量IP網(wǎng)絡(luò)的用戶質(zhì)量等級碼Integer4話單記錄格式話單記錄格式序序號號字段名字段名字段描述字段描述類型類型長度長度(octets)(octets)取值取值51Granted QoS Parameters授權(quán)的QoS參數(shù)由FLOW-ID標識的IP數(shù)據(jù)流可用的服務(wù)質(zhì)量參數(shù)Integer可變52Container容器當計費需要時，容器內(nèi)可以嵌入3GPP2 VSA參數(shù)和/或RADIUS計費屬性Strin

39、g可變53Acct-Authentic計費認證表示用戶使用的認證方式是RADIUS、本地或其他遠端認證協(xié)議Integer41：RADIUS2：Local本地3：Remote遠端54Acct-Session-Time計費會話時長 會話在線的總時長，包括激活時長和休眠時長 Integer455Acct-Input-Packets上行包數(shù)用戶發(fā)出的IP數(shù)據(jù)包數(shù)Integer456Acct-Output-Packets下行包數(shù)PDSN發(fā)送給用戶的IP數(shù)據(jù)包數(shù)Integer457Acct-Terminate-Cause會話結(jié)束的原因會話結(jié)束的原因標識Integer458Acct-Input-Gigawo

40、rds上行流量翻轉(zhuǎn)次數(shù)當累計流量溢出Data Octet Count (Termination)能表達的范圍（閥值）時，該字段的值表示了溢出的倍數(shù)Integer459Acct-Output-Gigawords上行流量翻轉(zhuǎn)次數(shù)當累計流量溢出Data Octet Count (Originating)能表達的范圍（閥值）時，該字段的值表示了溢出的倍數(shù)Integer4第第1章章 RADIUS協(xié)議簡單介紹協(xié)議簡單介紹第第2章章 AAA功能與應(yīng)用功能與應(yīng)用第第3章計費方案與模式章計費方案與模式第第5章章 現(xiàn)網(wǎng)部署情況現(xiàn)網(wǎng)部署情況第第6章章 名詞解釋名詞解釋第第2節(jié)節(jié) EVDO 鑒權(quán)鑒權(quán)AN-AAAAN-

41、AAA基本概述基本概述 AN-AAA是一個在EVDO網(wǎng)絡(luò)中執(zhí)行認證、授權(quán)的一個實體，它與接入網(wǎng)AN (Access Network)通過A12接口協(xié)議相連。 A12接口（RADIUS協(xié)議）對合法的用戶返回其對應(yīng)的IMSI。 在單純的EVDO網(wǎng)絡(luò)中AN-AAA是個可選網(wǎng)元。 在EVDO和CDMA1X混合的網(wǎng)絡(luò)中必須有AN-AAA。 AN-AAA可以說是遵從A12接口的AAA。 為了滿足用戶不換卡、不換號使用DO網(wǎng)絡(luò)，需要AN-AAA支持CAVE算法。 A12接口用于執(zhí)行AN級的MS/AT接入認證，通過AN-AAA獲取用于A8/A9與A10/A11接口的MN ID（IMSI），該值用于AN之間PD

42、SN分組數(shù)據(jù)對話切換和HRPD與CDMA1X系統(tǒng)間的切換。AN-AAAAN-AAA基本概述基本概述A12接口包括如下消息： A12接入請求 A12接受通過 A12接受拒絕認證功能： 支持基于PAP協(xié)議的認證方式 支持基于CHAP協(xié)議的認證方式 支持基于EAP協(xié)議中基本的EAP-MD5認證方法，且為其他方法保留擴展性 支持基于CAVE算法的認證方式授權(quán)功能： 根據(jù)用戶名返回其對應(yīng)的IMSI第第1節(jié)節(jié) AN-AAA基本概述基本概述EV-DOEV-DO鑒權(quán)鑒權(quán)包括接入鑒權(quán)和核心網(wǎng)鑒權(quán)：接入鑒權(quán)發(fā)生在AT 與AN-AAA 之間，在AT 發(fā)起與AN 的PPP 連接時進行，它是網(wǎng)絡(luò)對終端設(shè)備的鑒權(quán)，不需要

43、用戶參與。 接入鑒權(quán)有兩種方式：MD5 鑒權(quán)算法和CAVE鑒權(quán)算法； 新發(fā)行的3G UIM卡支持上述兩種算法，現(xiàn)網(wǎng)中老用戶使用的老卡都是只支持CAVE算法的； 兩種接入鑒權(quán)方式的共同點在于：兩者都使用CHAP 協(xié)議和RADIUS 協(xié)議作為接入鑒權(quán)的信令交互協(xié)議； 不同點在于前者采用MD5 鑒權(quán)算法，而后者沿用了CDMA2000 1x 的CAVE鑒權(quán)算法，并且為了實現(xiàn)SSD 在兩網(wǎng)的同步更新或共享，在AN-AAA 與HLR/AC 之間增加了IS-41 接口。核心網(wǎng)鑒權(quán)是AT 與PDSN-AAA 或HAAA 之間的鑒權(quán)，需要用戶的參與（比如需要用戶輸入密碼）。采用簡單IP 接入時，核心網(wǎng)鑒權(quán)與AT

44、、PDSN 和AAA 有關(guān)；采用移動IP 接入時，核心網(wǎng)鑒權(quán)與AT、HA 和HAAA 有關(guān)。EV-DO EV-DO 鑒權(quán)鑒權(quán)接入鑒權(quán)接入鑒權(quán)CAVECAVE算法示意圖算法示意圖Ak：64bit核心鑒權(quán)參數(shù)核心鑒權(quán)參數(shù)ESN：32bitRANDSSD：網(wǎng)絡(luò)隨機數(shù)：網(wǎng)絡(luò)隨機數(shù)32bitSSD：128bit，SSDB 64bit加密，加密，SSDA 64bit 認證認證EVDOEVDO鑒權(quán)過程鑒權(quán)過程/CAVE/CAVE新用戶鑒權(quán)成功新用戶鑒權(quán)成功/SSD/SSD更新更新條件：該用戶為EVDO網(wǎng)絡(luò)新開戶用戶，且已經(jīng)在cdma2000 1x網(wǎng)絡(luò)完成了注冊、鑒權(quán)。其鑒權(quán)成功信令流程如下：EVDOEVDO

45、鑒權(quán)過程鑒權(quán)過程/CAVE/CAVE新用戶鑒權(quán)成功新用戶鑒權(quán)成功/SSD/SSD更新更新鑒權(quán)具體過程如下： a.AT和AN之間建立HRPD會話，AT做好在接入流上交換數(shù)據(jù)的準備。 b.AT和AN為接入鑒權(quán)發(fā)起PPP和LCP協(xié)商。 c.AN發(fā)起一個Random Challenge，通過CHAP Challenge消息發(fā)送給AT。 d.AT執(zhí)行CAVE-based鑒權(quán)，并且發(fā)送CHAP Response消息。 e.AN向AN-AAA發(fā)送A12-Access Request消息。 f.AN-AAA根據(jù)A12-Access Request消息內(nèi)容構(gòu)造Authentication Request INV

46、OKE消息，并發(fā)送給HLR/AC。 g.HLR/AC執(zhí)行CAVE-based鑒權(quán)。如果鑒權(quán)通過，HLR/AC將向AN-AAA發(fā)送Authentication Request Return Result消息，并包含SSD參數(shù) h.AN-AAA存儲由HLR/AC分配的SSD。 i.AN-AAA向AN發(fā)送A12-Access Accept消息 。 j.AN向AT返回CHAP Authentication Success的指示。 k.AT和AN接著執(zhí)行后續(xù)的處理過程。 EVDOEVDO鑒權(quán)過程鑒權(quán)過程/CAVE/CAVESSDSSD共享共享條件：SSD已經(jīng)在AN-AAA處共享。其鑒權(quán)成功的信令見流程如

47、下：EVDOEVDO鑒權(quán)過程鑒權(quán)過程/CAVE/CAVESSDSSD共享共享鑒權(quán)具體過程如下： a AN發(fā)起空中接口PPP-LCP協(xié)商過程，協(xié)商CHAP鑒權(quán)協(xié)議類型，并建立空中接口PPP連接；AN產(chǎn)生鑒權(quán)的隨機數(shù)，向AT發(fā)送CHAP查詢消息，AT根據(jù)該隨機數(shù)利用MD5算法計算鑒權(quán)結(jié)果，鑒權(quán)結(jié)果與鑒權(quán)標識共同構(gòu)成鑒權(quán)密鑰，并向AN發(fā)送CHAP響應(yīng)消息，該消息包含了NAI、鑒權(quán)隨機數(shù)及鑒權(quán)密碼等接入鑒權(quán)參數(shù)； b AN通過A12接入請求消息向AnAAA轉(zhuǎn)發(fā)NAI、鑒權(quán)隨機數(shù)及鑒權(quán)密碼等參數(shù)； c SSD已經(jīng)在AnAAA處共享，AnAAA將不會再轉(zhuǎn)發(fā)認證消息給HLR，直接根據(jù)用戶認證輸入?yún)?shù)返回認證

48、消息，并將SSD同步計數(shù)器加1； d AnAAA將收到的NAI、硬件鑒權(quán)參數(shù)為CAVE算法的輸入?yún)?shù)，計算鑒權(quán)結(jié)果，并與AN轉(zhuǎn)發(fā)的終端鑒權(quán)結(jié)果比較，若兩者一致，則鑒權(quán)成功，AnAAA向AN發(fā)送A12接入允許消息；否則，鑒權(quán)失敗，AnAAA向AN發(fā)送A12接入拒絕消息； e AN將接入鑒權(quán)的結(jié)果通過CHAP鑒權(quán)成功消息或CHAP鑒權(quán)失敗消息通知AT，完成接入鑒權(quán)過程； f AT根據(jù)接入鑒權(quán)的結(jié)果決定下一步流程，如接入鑒權(quán)成功，則繼續(xù)分組域認證和鑒權(quán)，如接入鑒權(quán)失敗則拒絕AT接入。EVDOEVDO鑒權(quán)過程鑒權(quán)過程/CAVE/CAVESSDSSD同步同步條件：該用戶的SSD同步計數(shù)器達到門限，需要進

49、行SSD同步。AN-AAA定期同步SSD成功的信令流程如下：EVDOEVDO鑒權(quán)過程鑒權(quán)過程/CAVE/CAVESSDSSD同步同步鑒權(quán)具體過程如下： a AN發(fā)起空中接口PPP-LCP協(xié)商過程，協(xié)商CHAP鑒權(quán)協(xié)議類型，并建立空中接口PPP連接；AN產(chǎn)生鑒權(quán)的隨機數(shù)，向AT發(fā)送CHAP查詢消息，AT根據(jù)該隨機數(shù)利用MD5算法計算鑒權(quán)結(jié)果，鑒權(quán)結(jié)果與鑒權(quán)標識共同構(gòu)成鑒權(quán)密鑰，并向AN發(fā)送CHAP響應(yīng)消息，該消息包含了NAI、鑒權(quán)隨機數(shù)及鑒權(quán)密碼等接入鑒權(quán)參數(shù)； b AN通過A12接入請求消息向AnAAA轉(zhuǎn)發(fā)NAI、鑒權(quán)隨機數(shù)及鑒權(quán)密碼等參數(shù)； c SSD如未在AnAAA處共享或已達到SSD同步

50、門限值，AnAAA將轉(zhuǎn)發(fā)認證消息給HLR，由HLR對用戶進行接入鑒權(quán)； d 如HLR接入鑒權(quán)成功，則AnAAA將保存由HLR共享的SSD，并將SSD同步計數(shù)器清零； e AnAAA將接入鑒權(quán)的結(jié)果通過CHAP鑒權(quán)成功消息或CHAP鑒權(quán)失敗消息通知AT，完成接入鑒權(quán)過程。EVDOEVDO鑒權(quán)過程鑒權(quán)過程/MD5/MD5EVDOEVDO鑒權(quán)過程鑒權(quán)過程/MD5/MD5鑒權(quán)具體過程如下： a. AN 發(fā)起空口PPP-LCP 協(xié)商過程，協(xié)商CHAP 鑒權(quán)協(xié)議類型，并建立空口PPP 連接。 b. AN 產(chǎn)生鑒權(quán)隨機數(shù)，向AT 發(fā)送CHAP 查詢消息。 c. AT 根據(jù)該隨機數(shù)利用MD5 算法計算鑒權(quán)結(jié)果，鑒權(quán)結(jié)果與鑒權(quán)標識一道構(gòu)成鑒權(quán)密鑰，并向AN 發(fā)送CHAP 響應(yīng)消息，該消息中包含了NAI、鑒權(quán)隨機數(shù)及鑒權(quán)密碼等接入鑒權(quán)參數(shù)。 d. AN 通過A12 接入請求消息向AN-AAA 轉(zhuǎn)發(fā)NAI、鑒權(quán)隨機數(shù)及鑒權(quán)密碼等參數(shù)。 e. AN-AAA 將收到的NAI、鑒權(quán)隨機數(shù)及鑒權(quán)密碼作為MD5 算法的輸入?yún)?shù)