1、概述

AAA指的是Authentication（鑒別），Authorization（授權），Accounting（計費）。自網絡誕生以來，認證、授權以及計費體制（AAA）就成為其運營的基礎。網絡中各類資源的使用，需要由認證、授權和計費進行管理。而AAA的發展與變遷自始至終都吸引著營運商的目光。對于一個商業系統來說，鑒別是至關重要的，只有確認了用戶的身份，才能知道所提供的服務應該向誰收費，同時也能防止非法用戶（黑客）對網絡進行破壞。在確認用戶身份后，根據用戶開戶時所申請的服務類別，系統可以授予客戶相應的權限。最后，在用戶使用系統資源時，需要有相應的設備來統計用戶所對資源的占用情況，據此向客戶收取相應的費用。

其中，鑒別（Authentication）指用戶在使用網絡系統中的資源時對用戶身份的確認。這一過程，通過與用戶的交互獲得身份信息（諸如用戶名—口令組合、生物特征獲得等），然后提交給認證服務器；后者對身份信息與存儲在數據庫里的用戶信息進行核對處理，然后根據處理結果確認用戶身份是否正確。例如，GSM移動通信系統能夠識別其網絡內網絡終端設備的標志和用戶標志。授權（Authorization）網絡系統授權用戶以特定的方式使用其資源，這一過程指定了被認證的用戶在接入網絡后能夠使用的業務和擁有的權限，如授予的IP地址等。仍以GSM移動通信系統為例，認證通過的合法用戶，其業務權限（是否開通國際電話主叫業務等）則是用戶和運營商在事前已經協議確立的。計費（Accounting）網絡系統收集、記錄用戶對網絡資源的使用，以便向用戶收取資源使用費用，或者用于審計等目的。以互聯網接入業務供應商ISP為例，用戶的網絡接入使用情況可以按流量或者時間被準確記錄下來。

認證、授權和計費一起實現了網絡系統對特定用戶的網絡資源使用情況的準確記錄。這樣既在一定程度上有效地保障了合法用戶的權益，又能有效地保障網絡系統安全可靠地運行。考慮到不同網絡融合以及互聯網本身的發展，迫切需要新一代的基于IP的AAA技術。因此出現了Diameter協議。

2、AAA在移動通信系統中的應用

在移動通信系統中，用戶要訪問網絡資源，首先要進行用戶的入網認證，這樣用戶才能訪問網絡資源。鑒別的過程就是驗證用戶身份的合法性；鑒別完成后，才能對用戶訪問網絡資源進行授權，并對用戶訪問網絡資源進行計費管理。一般來講，鑒別過程由三個實體來完成的。用戶（Client）、認證器（Authenticator）、AAA服務器（Authentication 、Authorization和Accounting Server）。在第三代移動通信系統的早期版本中，用戶也稱為MN（移動節點），Authenticator在NAS（Network Access Server）中實現，它們之間采用PPP協議，認證器和AAA服務器之間采用AAA協議（以前的方式采用遠程訪問撥號用戶服務RADIUS（Remote Access Dial up User Service）；Raduis英文原意為半徑，原先的目的是為撥號用戶進行鑒別和計費。后來經過多次改進，形成了一項通用的鑒別計費協議）。

RADIUS是一種C/S結構的協議，它的客戶端最初就是NAS（Net Access Server）服務器，現在任何運行RADIUS客戶端軟件的計算機都可以成為RADIUS的客戶端。RADIUS協議認證機制靈活，可以采用PAP、CHAP或者Unix登錄認證等多種方式。RADIUS是一種可擴展的協議，它進行的全部工作都是基于Attribute-Length-Value的向量進行的。RADIUS的基本工作原理是:用戶接入NAS，NAS向RADIUS服務器使用Access-Require數據包提交用戶信息，包括用戶名、密碼等相關信息，其中用戶密碼是經過MD5加密的，雙方使用共享密鑰，這個密鑰不經過網絡傳播；RADIUS服務器對用戶名和密碼的合法性進行檢驗，必要時可以提出一個Challenge，要求進一步對用戶認證，也可以對NAS進行類似的認證；如果合法，給NAS返回Access-Accept數據包，允許用戶進行下一步工作，否則返回Access-Reject數據包，拒絕用戶訪問；如果允許訪問，NAS向RADIUS服務器提出計費請求Account-Require，RADIUS服務器響應Account-Accept，對用戶的計費開始，同時用戶可以進行自己的相關操作。

RADIUS是目前最常用的認證計費協議之一，它簡單安全，易于管理，擴展性好，所以得到廣泛應用。但是由于協議本身的缺陷，比如基于UDP的傳輸、簡單的丟包機制、沒有關于重傳的規定和集中式計費服務，都使得它不太適應當前網絡的發展，需要進一步改進。

隨著新的接入技術的引入（如無線接入、DSL、移動IP和以太網）和接入網絡的快速擴容，越來越復雜的路由器和接入服務器大量投入使用，對AAA協議提出了新的要求，使得傳統的RADIUS結構的缺點日益明顯。目前,3G網絡正逐步向全IP網絡演進，不僅在核心網絡使用支持IP的網絡實體，在接入網絡也使用基于IP的技術，而且移動終端也成為可激活的IP客戶端。如在WCDMA當前規劃的R6版本就新增以下特性：UTRAN和CN傳輸增強；無線接口增強；多媒體廣播和多播（MBMS）；數字權限管理（DRM）；WLAN-UMTS互通；優先業務；通用用戶信息（GUP）；網絡共享；不同網絡間的互通等。在這樣的網絡中，移動IP將被廣泛使用。支持移動IP的終端可以在注冊的家鄉網絡中移動，或漫游到其他運營商的網絡。當終端要接入到網絡，并使用運營商提供的各項業務時，就需要嚴格的AAA過程。AAA服務器要對移動終端進行認證，授權允許用戶使用的業務，并收集用戶使用資源的情況，以產生計費信息。這就需要采用新一代的AAA協議——Diameter。此外，在IEEE的無線局域網協議802.16e的建議草案中，網絡參考模型里也包含了鑒別和授權服務器ASA Server，以支持移動臺在不同基站之間的切換。可見，在未來移動通信系統中，AAA服務器占據了很重要的位置。 

經過討論，IETF的AAA工作組同意將Diameter協議作為下一代的AAA協議標準。Diameter（為直徑，意為著Diameter協議是RADIUS協議的升級版本）協議包括基本協議，NAS（網絡接入服務）協議，EAP（可擴展鑒別）協議，MIP（移動IP）協議，CMS（密碼消息語法）協議等。Diameter協議支持移動IP、NAS請求和移動代理的認證、授權和計費工作，協議的實現和RADIUS類似，也是采用AVP，屬性值對（采用Attribute-Length-Value三元組形式）來實現，但是其中詳細規定了錯誤處理, failover機制,采用TCP協議，支持分布式計費，克服了RADIUS的許多缺點，是最適合未來移動通信系統的AAA協議。