AAA认证、授权、计费

AAA是验证、授权和记账（Authentication、Authorization、Accounting ）三个英文单词的简称。其主要目的是管理哪些用户可以访问网络服务器，具有访问权的用户可以得到哪些服务，如何对正在使用网络资源的用户进行记账。具体为：
           1、 验证(Authentication): 验证用户是否可以获得访问权限；
           2、 授权(Authorization) : 授权用户可以使用哪些服务；
           3、 记账(Accounting) : 记录用户使用网络资源的情况。

目前RADIUS（Remote Authentication Dial In  User Service）协议是唯一的AAA标准，在IETF的RFC 2865和2866中定义的。RADIUS 是基于 UDP 的一种客户机/服务器协议。RADIUS客户机是网络访问服务器，它通常是一个路由器、交换机或无线访问点。RADIUS服务器通常是在UNIX或Windows 2000服务器上运行的一个监护程序。RADIUS 协议的认证端口是1812，计费端口是1813。

 

RADIUS协议的主要特点

概括的来说，RADIUS 的主要特点如下：

1、 客户/服务模式(Client/Server)
       RADIUS是一种C/S结构的协议，它的客户端最初就是网络接入服务器NAS（Network Access Server），现在运行在任何硬件上的RADIUS客户端软件都可以成为RADIUS的客户端。客户端的任务是把用户信息（用户名，口令等）传递给指定的RADIUS服务器，并负责执行返回的响应。
RADIUS服务器负责接收用户的连接请求，对用户身份进行认证，并为客户端返回所有为用户提供服务所必须的配置信息。
一个RADIUS服务器可以为其他的RADIUS Server或其他种类认证服务器担当代理。

2、 网络安全
    客户端和RADIUS服务器之间的交互经过了共享保密字的认证。另外，为了避免某些人在不安全的网络上监听获取用户密码的可能性，在客户端和RADIUS服务器之间的任何用户密码都是被加密后传输的。

3、 灵活的认证机制
      RADIUS服务器可以采用多种方式来鉴别用户的合法性。当用户提供了用户名和密码后，RADIUS服务器可以支持点对点的PAP认证（PPP PAP）、点对点的CHAP认证（PPP CHAP）、UNIX的登录操作（UNIX Login）和其他认证机制。

4． 扩展协议
    所有的交互都包括可变长度的属性字段。为满足实际需要，用户可以加入新的属性值。新属性的值可以在不中断已存在协议执行的前提下自行定义新的属性。

RADIUS的工作过程

RADIUS协议旨在简化认证流程。其典型认证授权工作过程是：
1、用户输入用户名、密码等信息到客户端或连接到NAS；
2、客户端或NAS产生一个“接入请求（Access-Request）”报文到RADIUS服务器，其中包括用户名、口
   令、客户端（NAS）ID 和用户访问端口的ID。口令经过MD5算法进行加密。
3、RADIUS服务器对用户进行认证；
4、若认证成功，RADIUS服务器向客户端或NAS发送允许接入包（Access-Accept），否则发送拒绝加接
     入包（Access-Reject）；
5、若客户端或NAS接收到允许接入包，则为用户建立连接，对用户进行授权和提供服务，并转入6；若
     接收到拒绝接入包，则拒绝用户的连接请求，结束协商过程；
6、客户端或NAS发送计费请求包给RADIUS服务器；
7、RADIUS服务器接收到计费请求包后开始计费，并向客户端或NAS回送开始计费响应包；
8、用户断开连接，客户端或NAS发送停止计费包给RADIUS服务器；
9、RADIUS服务器接收到停止计费包后停止计费，并向客户端或NAS回送停止计费响应包，完成该用户的
   一次计费，记录计费信息。

流媒体中的AAA系统

       AAA服务器是本流媒体系统中非常重要的一个部分，它完成接入认证、授权以及计费的功能。目前，由于RADIUS协议仍然是唯一的AAA协议标准，因此我们的系统中AAA服务器的实现仍采用RADIUS协议，实现RADIUS协议中提供的AAA服务功能。同时系统提供用户和计费信息的存储与管理等功能。
   我们的AAA系统主要包括认证、计费服务器外，还包括用户和计费信息的存储、用户和计费策略管理等。在整个AAA系统中，RADIUS服务器之间以及RADIUS认证服务器与客户端通讯遵循RADIUS协议标准；用户信息和计费信息保存在MySQL 数据库中。

1、 用户认证
    用户在申请享受服务时，需要得到用户信息的认证。在本系统中，客户端发送AAA认证数据包给服务器，数据包包含用户ID和password，服务器对数据包进行验证给出结果。验证过程加密传输。

2、 用户服务授权
    在本系统中，不同的用户可以享受不同的服务。AAA服务器在通过用户的认证请求后，按照该用户的权限来决定用户是否可以享受申请的服务内容。

3、 服务计费
    系统提供基本的计费信息和计费算法，支持一定的计费策略，并保存计费过程产生的中间数据。系统达到实时计费的要求。计费的最小单位为分，并且能够保证用户不会透支费用。

4、 用户信息管理
    主要功能包括用户注册、费用管理查询、权限设置等。管理平台可以对用户信息数据库和计费信息数据库进行管理。一般用户只能查询本帐号的基本情况，如用户基本信息和帐户余额，可修改本人的基本信息；管理员能查询和修改用户的基本信息、为用户充值、查询用户余额、完成计费策略的编辑、访问和修改。