鑒權、授權和結算

鑒權、授權和結算

鑒權授權計費伺服器(Authentication Authorization Accounting,簡稱AAA)。AAA伺服器為本地用戶提供鑒權、授權、計費服務,並為拜訪用戶提供鑒權、授權、計費報文中轉服務。

含義

鑒權、授權和結算 鑒權、授權和結算

該鑒權授權計費伺服器包括:區域識別單元,用於在接收到鑒權請求的情況下,根據鑒權請求攜帶的分組數據服務節點標識信息,獲取有關發出鑒權請求的用戶所在區域的信息;鑒權授權單元,用於根據用戶的簽約信息、有關發出鑒權請求的用戶所在區域的信息判斷是否允許用戶接入用戶所在區域,並在判斷結果為是的情況下,通知用戶所在區域的分組數據服務節點允許用戶接入;以及計費執行單元,用於在接收到用戶所在區域的分組數據服務節點的計費請求的情況下,對用戶進行計費,生成用戶的話單檔案。

相關專利

本發明的主旨在於,通過在一台AAA伺服器上引入多區域的概念,實現用戶在AAA伺服器中按區域簽約,AAA系統管理員按區域進行許可權限制,使得原先多個區域分別部屬的AAA伺服器在物理上合成一台,達到既節省資源,又方便管理的目的。

具體地,將原先系統中各區域的AAA物理合一,在該合一AAA上設定區域管理帳號,每個區域管理帳號僅能管理該區域內的簽約用戶信息,僅能看到該區域AAA的功能。為合一AAA中的每個用戶增加區域標識,每個用戶屬於且僅屬於一個區域。各區域中的PDSN都與合一AAA相連,彼此之間配置安全聯盟(Security Association,用於PDSN和AAA之間進行訊息認證的密鑰信息)。當用戶從任一區域的PDSN接入時,PDSN向合一AAA傳送鑒權請求報文;合一AAA根據PDSN的地址來判斷該用戶從哪個區域中接入,並與用戶的簽約信息進行比較,如果用戶信息正確,則完成鑒權、授權;PDSN向AAA傳送計費報文;AAA根據用戶所屬區域在不同的區域目錄下生成原始話單,各區域的管理帳號僅能訪問所屬區域下的話單檔案。

其中,合一AAA可以根據PDSN的標識(NAS-Identifier屬性,由PDSN在發往AAA的鑒權、計費訊息中攜帶)來判斷用戶從哪個區域中接入。如果用戶從拜訪區域中接入,則AAA可以根據已配置的用戶是否允許漫遊來決定接受或拒絕用戶的接入。另外,AAA可以設定高級級的管理用戶,可以同時管理所有區域中的數據信息,包括但不限於用戶信息、帳單信息,已達到特定場合下的集中管理目的。

相關詞條

熱門詞條

聯絡我們