中國電信維護崗位認證教材（移動分組域專業(yè)）AAA/AN-AAA原理1CDMA分組核心網(wǎng)產(chǎn)品主要包括PDSN和AAA設備，本文檔將對AAA進行詳細說明介紹。前言2學習完此課程，您將會：掌握AAA基本概念與功能掌握RADIUS協(xié)議了解AAA/ANAAA的業(yè)務流程了解AAA的計費方案與模式目標3目錄第一章RADIUS協(xié)議簡單介紹第二章AAA功能與應用第三章計費方案與模式第四章ANAAA功能與應用第五章現(xiàn)網(wǎng)部署情況第六章名詞解釋4內容介紹第1章RADIUS協(xié)議簡單介紹第1節(jié)RADIUS基礎第2節(jié)RADIUS

認證第3節(jié)RADIUS

計費第4節(jié)RADIUS

漫游51.1RADIUS基礎（1/2）RADIUS協(xié)議是為用戶提供接入的設備（RADIUS客戶端）與存放用戶認證信息的設備（RADIUS服務器端）之間交換信息的一個標準方法。一般由三個部件構成：接入客戶端，網(wǎng)絡接入服務器，RADIUS服務器?；赗ADIUS的遠端接入環(huán)境61.1RADIUS基礎（2/2）為配置AAA系統(tǒng)，需要了解關于RADIUS包的如下重要信息：RADIUS包攜帶RADIUS客戶端和RADIUS服務器之間的交流的信息。RADIUS包遵循請求/響應的機制：客戶端發(fā)送一個請求給服務器，并期待服務器返回一個響應，如果客戶端沒有接到響應，那么客戶端能夠周期性的重發(fā)這個請求。每一個包都有特定的目的：認證或計費。一個包可以包含多個值，這些值稱為屬性。每個包可包含的屬性受到報的類型（認證或計費）以及發(fā)送這個包的設備（如NAS的廠家和型號）的限制。如果要了解RADIUS包的類型和內容的詳細信息，可以查閱RFC2865中的表格。這個手冊也提供了一些常用屬性以及它們的可能取值，要了解計費包的屬性可查閱文檔RFC2866。71.1RADIUS數(shù)據(jù)包格式與結構RADIUS客戶端和RADIUS服務器通過RADIUS包來進行信息交換。RADIUS使用UDP/IP作為傳輸協(xié)議：端口號為：1645/1646（舊）或1812/1813（新）認證包(Authentication)端口為：1645或1812計費包(Accounting)端口為：1646或1813RADIUS數(shù)據(jù)包的格式為：RADIUS數(shù)據(jù)包結構如下：Code標識這是一個什么類型的包，1：Access-Request，2：Access-Accept，3：Access-Reject，4：Accounting-Request，5：Accounting-Response8內容介紹第1章RADIUS協(xié)議簡單介紹第1節(jié)RADIUS基礎第2節(jié)RADIUS

認證第3節(jié)RADIUS

計費第4節(jié)RADIUS

漫游91.2RADIUS認證（1/2）消息條件消息屬性作用當網(wǎng)絡接入設備（NAS）從用戶處接到一個連接請求時，NAS將通過發(fā)送一個Access-Request消息給RADIUS服務器來認證這個用戶請求認證用戶描述用戶想要建立的連接的類型當RADIUS服務器能夠認證這個連接請求時，它返回一個Access-Accept消息給它的客戶端（通常為NAS）允許NAS完成接入?yún)f(xié)商配置連接的詳細信息，例如，向NAS提供一個IP地址，這個IP地址將分配給用戶。為這個連接提供時間限制或別的服務類別信息當RADIUS服務器不能認證這個連接請求時，返回一個Access-Reject消息給客戶端（NAS）終止接入?yún)f(xié)商給出認證失敗原因為了理解認證過程，我們需要對認證消息有個大概的了解，下表給出了產(chǎn)生RADIUS消息的條件以及在相應條件下消息中可以包含的屬性，以及這些屬性的作用。101.2RADIUS認證（2/2）認證方式：PAP：在PAP（PasswordAuthenticationProtocol）協(xié)議中，用戶與NAS通過明文方式進行協(xié)商，也就是說，用戶在發(fā)送密碼信息給NAS時不使用加密。CHAP：CHAP（ChallengeHandshakeAuthenticationProtocol）協(xié)議可以避免密碼信息在任何網(wǎng)段上以明文形式傳輸。11內容介紹第1章RADIUS協(xié)議簡單介紹第1節(jié)RADIUS基礎第2節(jié)RADIUS

認證第3節(jié)RADIUS

計費第4節(jié)RADIUS

漫游121.3RADIUS計費（1/2）消息條件消息屬性作用RADIUS客戶端使用Accounting-Request消息發(fā)送計費數(shù)據(jù)到服務器端，不同制造商制造的客戶端在不同的條件下會發(fā)送不同類型的Accounting-Request消息，這兒描述最典型的情況。保證RADIUS服務器接收到計費請求包是客戶端的責任。多數(shù)客戶端都采用長時間的周期性重發(fā)策略來保證服務器正確接收到計費請求包。在接到RADIUS服務器發(fā)來的Access-Accept包之后，NAS就是完成與用戶之間的接入?yún)f(xié)商，然后NAS就會發(fā)送一個開始消息（Start）給服務器。根據(jù)Acct-Status-Type屬性的取值，計費消息可以分為：Start，Stop，

Interim-Acct，

Accounting-On和Accounting-Off幾種。記錄連接信息，包括：用戶名，NAS標示，NAS端口標示，端口類型，連接開始時間等。在連接終止后，NAS會發(fā)送一個結束消息（Stop）給服務器記錄關于這次連接的統(tǒng)計信息。這個消息中包含NAS能夠記錄的統(tǒng)計屬性的最終值。大約每隔10分鐘，NAS會發(fā)送一個中間消息（Interim-Acct）給服務器記錄關于這次連接統(tǒng)計信息的一個“快照”，這個消息中包含的是NAS能夠記錄的統(tǒng)計屬性的當前值131.3RADIUS計費（2/2）消息條件消息屬性作用每次客戶端設備上線（不管是因為當機，還是由于正常關機導致的下線）時，都會發(fā)送一個Accounting-On消息給服務器標示這個設備上線每次客戶端設備正常關機，在關機之前會發(fā)送一個Accounting-Off消息給服務器標示這個設備下線RADIUS服務器在接收到一個Accounting-Request消息后，會發(fā)送一個Accounting-Response消息給客戶端完成請求/響應循環(huán)14內容介紹第1章RADIUS協(xié)議簡單介紹第1節(jié)RADIUS基礎第2節(jié)RADIUS

認證第3節(jié)RADIUS

計費第4節(jié)RADIUS

漫游151.4RADIUS漫游（1/3）代理（Proxy）認證RADIUS認證消息代理轉發(fā)過程如下：RADIUS服務器接收到一個Access-Request消息；第一個服務器（代理RADIUS服務器）轉發(fā)這個請求消息到第二個服務器（目標RADIUS服務器）；目標服務器執(zhí)行請求的認證服務，并返回一個響應給代理服務器；代理服務器中繼發(fā)送響應給最初的RADIUS客戶端。161.4RADIUS漫游（2/3）代理（Proxy）計費RADIUS計費消息代理轉發(fā)過程如下：RADIUS服務器接收到一個Accounting-Request消息；服務器上代理計費參數(shù)的配置將決定對這個請求消息如何動作，動作可以為：a)轉發(fā)這個計費請求到目標服務器；或b)在代理服務器本地記錄下計費請求中的計費數(shù)據(jù)；或c)a和b都做。如果代理服務器沒有收到轉發(fā)的計費請求包的回復，它會按自己的重發(fā)策略來周期性的重發(fā)這個計費請求。171.4RADIUS漫游（3/3）漫游（Proxy）域漫游域是指使用一個RADIUS服務器池來作為目標服務器，代理服務器可以轉發(fā)請求到這個RADIUS服務器池。通過配置漫游域，可以實現(xiàn)負載均衡，目標服務器冗余等功能，還可配置使代理服務器把認證和計費請求包發(fā)送到不同的服務器。18目錄第一章RADIUS協(xié)議簡單介紹第二章AAA功能與應用第三章計費方案與模式第四章ANAAA功能與應用第五章現(xiàn)網(wǎng)部署情況第六章名詞解釋19內容介紹第2章AAA功能與應用第1節(jié)AAA基本概念第2節(jié)CARD業(yè)務流程第3節(jié)WAP業(yè)務流程第4節(jié)VPDN業(yè)務流程第5節(jié)用戶授權202.1AAA基本定義AAA（Authentication、Authorization、Accouting），即認證、授權與計費服務器認證（Authentication）指用戶在使用網(wǎng)絡系統(tǒng)中的資源時對用戶身份的確認。這一過程，通過與用戶的交互獲得身份信息（諸如用戶名、口令組合等），AAA服務器對身份信息與存儲在數(shù)據(jù)庫里的用戶信息進行核對處理，然后根據(jù)處理結果確認用戶身份是否正確。授權（Authorization）指網(wǎng)絡系統(tǒng)授權用戶以特定的方式使用其資源。這一過程指定了被認證的用戶在接入網(wǎng)絡后能夠使用的業(yè)務和擁有的權限，如授予的IP地址。計費（Accouting）指網(wǎng)絡系統(tǒng)收集、記錄用戶對網(wǎng)絡資源的使用情況，以便向用戶收取資源使用費用，或者用于性能統(tǒng)計等目的。如記錄用戶數(shù)據(jù)傳送的時間和流量。21內容介紹第2章AAA功能與應用第1節(jié)AAA基本概念第2節(jié)CARD業(yè)務流程第3節(jié)WAP業(yè)務流程第4節(jié)VPDN業(yè)務流程第5節(jié)用戶授權222.2CARD業(yè)務流程移動終端PDSNFAAAHAAA12345678910CDMA1X分組網(wǎng)用戶認證、計費過程：1、用戶向PDSN發(fā)送Username/Password2、PDSN向FAAA發(fā)送Access-Request（包含Username/Password，PDSN地址，移動終端號碼等），F(xiàn)AAA檢查PDSN地址是否合法，然后檢查Username，確定是本地用戶還是漫游用戶3、如果是漫游用戶，向HAAA轉發(fā)Access-Request，HAAA在數(shù)據(jù)庫中查找用戶的Profile，檢查Username和Password是否相符，是否要返回特定的屬性等4、HAAA向FAAA發(fā)送認證的結果：Access-Accept（包含要返回的特定屬性）或Access-Reject5、FAAA向PDSN轉發(fā)認證的結果，Access-Accept或Access-Reject6、PDSN通知用戶認證的結果，是否允許訪問網(wǎng)絡7、如果認證通過，PDSN向FAAA發(fā)送Accounting-Start，包含3GPP2規(guī)定的屬性及一些廠商專有屬性8、FAAA向HAAA轉發(fā)Accounting-Start，可以設置本地是否保存一份計費包副本9、HAAA向FAAA發(fā)送Accounting-Response，確認計費包已經(jīng)收到*10、FAAA向PDSN轉發(fā)計費確認包，認證、計費過程結束*HAAA保存這些計費原始數(shù)據(jù)(UDR)，并進行必要的處理，通過AAA-營帳系統(tǒng)接口傳送給營帳系統(tǒng)23內容介紹第2章AAA功能與應用第1節(jié)AAA基本概念第2節(jié)CARD業(yè)務流程第3節(jié)WAP業(yè)務流程第4節(jié)VPDN業(yè)務流程第5節(jié)用戶授權242.3WAP業(yè)務流程（1/2）123456789101112252.3WAP業(yè)務流程（2/2）WAP業(yè)務流程如下：用戶向PDSN發(fā)送Username/PasswordPDSN向FAAA發(fā)送Access-Request（包含Username/Password，PDSN地址，移動終端號碼等），F(xiàn)AAA檢查PDSN地址是否合法，然后檢查Username，確定是本地用戶還是漫游用戶。如果是漫游用戶，向HAAA轉發(fā)Access-Request，HAAA在數(shù)據(jù)庫中查找用戶的Profile，檢查Username和Password是否相符，是否要返回特定的屬性等HAAA向FAAA發(fā)送認證的結果：Access-Accept（包含要返回的特定屬性）或Access-Reject。FAAA向PDSN轉發(fā)認證的結果，Access-Accept或Access-Reject。PDSN通知用戶認證的結果，是否允許訪問網(wǎng)絡。如果認證通過，PDSN向FAAA發(fā)送Accounting-Start，包含3GPP2規(guī)定的屬性及一些廠商專有屬性。FAAA向HAAA轉發(fā)Accounting-Start，可以設置本地是否保存一份計費包副本。FAAA向WAPGW轉發(fā)Accounting-Start，可以設置本地是否保存一份計費包副本。WAPGW向FAAA發(fā)送Accounting-Response，確認計費包已經(jīng)收到。HAAA向FAAA發(fā)送Accounting-Response，確認計費包已經(jīng)收到。FAAA向PDSN轉發(fā)計費確認包，認證、計費過程結束。

*HAAA保存這些計費原始數(shù)據(jù)(UDR)，并進行必要的處理，通過AAA-營帳系統(tǒng)接口傳送給營帳系統(tǒng)26內容介紹第2章AAA功能與應用第1節(jié)AAA基本概念第2節(jié)CARD業(yè)務流程第3節(jié)WAP業(yè)務流程第4節(jié)VPDN業(yè)務流程第5節(jié)用戶授權272.4VPDN業(yè)務流程（1/3）282.4VPDN業(yè)務流程（2/3）VPDN業(yè)務流程如下：終端用戶與PDSN進入PPPLCP階段，同時PDSN與終端用戶建立認證方式PAP/CHAP。首先PDSN根據(jù)所設置的優(yōu)選認證方式CHAP（或者PAP）向終端用戶發(fā)出協(xié)商，如終端支持PDSN的優(yōu)選認證方式CHAP，則終端使用CHAP認證方式與AAA進行認證。如終端不支持PDSN的優(yōu)選方式CHAP，則使用PDSN的次選方式PAP與AAA進行認證。終端用戶使用用戶名（XXX@域名）撥號，通過無線接入網(wǎng)設備BSC/PCF與PDSN發(fā)出連接請求。終端用戶向PDSN發(fā)出VPDN認證請求。PDSN向拜訪地AAA轉發(fā)接入請求。拜訪地AAA根據(jù)用戶IMSI轉向歸屬地AAA進行認證，歸屬地AAA根據(jù)用戶域名判斷該用戶是否VPDN用戶，是否具有接入權限。(如用戶在歸屬地進行VPDN撥號由歸屬地局端AAA認證后進入（8）。)歸屬地AAA通過用戶VPDN認證后，向拜訪地AAA返回此VPDN用戶的相關信息。292.4VPDN業(yè)務流程（3/3）VPDN業(yè)務流程（續(xù)）：拜訪地AAA向PDSN返回VPDN屬性，包括LNS地址，隧道類型、LNS分布方式（單一LNS、主備、輪詢）、L2TP隧道密鑰等。PDSN與LNS開始建立L2TP隧道。LNS向PDSN返回Tunnel認證消息，PDSN與LNS隧道建立成功。PDSN向LNS傳送用戶名、密碼、認證方式等信息。如LNS不認可PDSN所傳來的信息或LNS配置強制LCP重協(xié)商，則LNS向終端發(fā)出LCP重協(xié)商請求，否則直接進入（12）。終端用戶和LNS進入PPPLCP階段。VPDNAAA根據(jù)LNS傳送過來的用戶名、密碼、認證方式等信息對終端用戶進行二次認證，認證終端用戶是否能接入用戶網(wǎng)絡。LNS發(fā)出認證通過信息。終端用戶和LNS進入PPPIPCP階段。LNS分配用戶IP地址，終端用戶和LNS建立PPP連接30內容介紹第2章AAA功能與應用第1節(jié)AAA基本概念第2節(jié)CARD業(yè)務流程第3節(jié)WAP業(yè)務流程第4節(jié)VPDN業(yè)務流程第5節(jié)用戶授權312.5用戶授權當用戶認證成功后，AAA對用戶進行授權時，每個用戶可能根據(jù)需要返回不同的授權屬性，AAA可以通過給用戶分配不同授權屬性列實現(xiàn)。一個授權屬性列是一組授權屬性的集合，在NAI或IMSI配置時，可以選擇某個授權屬性列，返回NAS用戶授權屬性列中的屬性。添加用戶授權屬性列時，需要配置用戶授權屬性列的名稱以及授權屬性及其授權值。一個授權屬性列可以配置多個授權屬性，如選擇授權屬性的設備商、授權屬性名以及輸入屬性值。授權屬性值的取值范圍和配置方法是和屬性名是相關的，對不同的RADIUS屬性有不同的配置方法和取值，32目錄第一章RADIUS協(xié)議簡單介紹第二章AAA功能與應用第三章計費方案與模式第四章ANAAA功能與應用第五章現(xiàn)網(wǎng)部署情況第六章名詞解釋333.1話單記錄AAA產(chǎn)生話單記錄的原則：所有話單記錄都是采用CDR詳單格式產(chǎn)生：所有話單記錄都是以ASCII編碼格式進行編碼，話單內的字段域按順序排列：為避免混淆，如有不同類型的話單，各類話單記錄獨立為一個記錄，不同類的話單記錄不能合并產(chǎn)生。343.1話單文件（1/2）序號字段名最大長度備注1文件序列號CHAR(4)0000～9999序列號順序遞增，循環(huán)使用。從0000開始排序，排滿后重置。2文件版本號CHAR(2)003文件產(chǎn)生日期CHAR(8)YYYYMMDD4首個記錄日期CHAR(8)YYYYMMDD5首個記錄時間CHAR(6)HHM’M’SS6末個記錄日期CHAR(8)YYYYMMDD7末個記錄時間CHAR(6)HHM’M’SS8話單總記錄數(shù)CHAR(10)右對齊，左補09換行CHAR(1)“\n”353.1話單文件（2/2）AAA定時在指定目錄下生成原始計費話單文件，計費系統(tǒng)定時到AAA指定的目錄采集文件。計費話單文件由一條或多條完整的話單記錄組成。每條記錄占一行，記錄之間以換行符分隔。每個CDR記錄由多個域構成，每個域對應一個字段，域之間以“\t”分隔。字段可以有子類型，子類型之間以“|”分隔。各字段及子類型按規(guī)范定義的順序排列，如果相應的屬性值為空，則直接用分隔符分開，分隔符之間無其他符號。363.1話單文件采集AAA和計費系統(tǒng)之間的接口采用文件方式，使用FTP協(xié)議采集。采集時延是某個話單文件生成的時間與計費系統(tǒng)對該話單文件采集完成的時間之間的延遲。因此，采集時延取決于計費系統(tǒng)對采集點設定的采集時長，根據(jù)計費系統(tǒng)的要求設置。AAA要求具備話單文件的備份能力，即，在計費系統(tǒng)采集完成后，將相應的話單文件備份到備份目錄，并從采集目錄中刪除。373.1話單記錄格式（1/6）序號字段名字段描述類型長度(octets)取值1StreamNumber記錄序列號在一個設備中唯一標識一個CDR的流水號Integer42Acct-Status-Type計費狀態(tài)標識收到的是由RADIUSAccountingStart/Stop/InterimRequest消息而產(chǎn)生的CDRInteger41：Start開始2：Stop結束3：Interim-Update中間更新3RoamFlag漫游標記標識用戶是否漫游，以及漫游類型Integer40：本地1：省際漫入2：省際漫出3：國際漫入4：國際漫出4PaidType付費類型標識用戶是普通付費用戶還是預付費用戶，及是否是內容計費Integer40：未知1：普通2：預付費3：內容計費4：內容計費的預付費5MDN用戶號碼用戶的MDN號碼String206MSIDIMSI號碼用戶的IMSI號碼String157ESN電子序列號終端和網(wǎng)絡使用ESN時有效String158MEID移動臺設備標識終端和網(wǎng)絡使用MEID時有效String14383.1話單記錄格式（2/6）序號字段名字段描述類型長度(octets)取值9SourceIPAddress源IP地址用戶的IPv4地址IP-Addr410NetworkAccessIdentifier（NAI）網(wǎng)絡接入標識用戶的帳號，標識用戶名和歸屬網(wǎng)絡，格式為：user@realmString7211SourceIPv6Prefix源IPv6前綴用戶IPv6地址的前綴。IPv6-prefix4-2012IPv6InterfaceIDIPv6接口標識用戶IPv6地址的接口標識String1013AccountSessionID計費會話標識由服務的PDSN產(chǎn)生的唯一標識號，標識一個會話連接的多條記錄。當FLOW-IDParameter字段沒有時，一個會話連接表示一個A10連接或R-P連接；當有FLOW-IDParameter字段時，一個會話連接表示FLOW-ID指示的一個IP數(shù)據(jù)流String814CorrelationID關聯(lián)標識由服務的PDSN產(chǎn)生的唯一標識，標識一個PPP連接中的多個會話連接String815SessionContinue會話繼續(xù)標識指示該CDR是否為一個連接的最后一條話單記錄，如不是，說明后續(xù)還有話單記錄Integer40：是1：不是,繼續(xù)16BeginningSession會話開始標識指示該CDR是否為會話的第一條話單記錄Integer40：不是1：是17ServiceReferenceID業(yè)務參考標識從無線側收到的業(yè)務參考標識號Integer可變18FLOWIDparameterIP流標識標識一個IP數(shù)據(jù)流Integer219HomeAgent歸屬代理地址HA的IPv4地址IP-Addr420PDSNAddressPDSN地址PDSN的IPv4地址IP-Addr4393.1話單記錄格式（3/6）序號字段名字段描述類型長度(octets)取值21ServingPCF服務PCF地址服務的PCF的IP地址IP-Addr422BSID基站標識該標識包括：SID（4octets）+NID（4octets）+CI（4octets）。CI的高12比特為小區(qū)標識，低4比特為扇區(qū)標識String1223ForeignAgentAddress外地代理地址FA-CoA的IPv4地址IP-Addr424Subnet子網(wǎng)號DO系統(tǒng)的子網(wǎng)和扇區(qū)標識String3725Carrier-ID運營商標識唯一標識產(chǎn)生該CDR的運營商String426UserZone用戶域用戶所在區(qū)域標識Integer427GMT-Time-Zone-OffsetGMT時間區(qū)域偏置從GMT時間計算的偏移量,以秒為單位String428ServiceOption業(yè)務選擇所用的cdma網(wǎng)絡類型Integer433：cdma1x59：EVDO29IPTechnologyIP技術IP技術類型Integer41：簡單IP2：移動IP30CompulsoryTunnelIndicator強制隧道標識強制隧道類型Integer40：無隧道1：非加密隧道2：加密隧道31ReleaseIndicator關閉標識關閉記錄的原因標識Integer432AlwaysOn永遠在線指示永遠在線的業(yè)務狀態(tài)Integer40：不是1：是33Hot-LineAccountingIndication熱計費標識指示是否是熱計費Integer40：不是1：是34FlowStatus數(shù)據(jù)流狀態(tài)指示IP數(shù)據(jù)流的狀態(tài)Integer40：激活1：不激活403.1話單記錄格式（4/6）序號字段名字段描述類型長度(octets)取值35DataOctetCount(Termination)發(fā)送給用戶的字節(jié)數(shù)PDSN發(fā)送給用戶的IP數(shù)據(jù)包的總字節(jié)數(shù)，等同于PDSN從IP網(wǎng)絡收到的總字節(jié)數(shù)。（不考慮加密和分段等）Integer436DataOctetCount(Originating)用戶發(fā)起的字節(jié)數(shù)用戶發(fā)出的IP數(shù)據(jù)包的總字節(jié)數(shù)Integer437BadPPPFrameCountPPP壞幀用戶發(fā)出的、由于錯誤被PDSN丟棄的PPP的壞幀。Integer438EventTime事件時間戳指示以下事件的時間戳：開始話單中為會話開始的時間；結束話單中為會話結束的時間；中間話單中為中間計費事件的時間Time439ActiveTime激活時長業(yè)務信道上統(tǒng)計的會話激活的時長（以秒為單位）。如果沒有FLOW-IDParameter字段時，指業(yè)務信道上的總時長；有FLOW-IDParameter字段時，指FLOW-ID指示的那個IP數(shù)據(jù)流在業(yè)務信道上的總時長Integer440NumberofActiveTransitions激活轉換次數(shù)一次PPP連接中從休眠狀態(tài)到激活狀態(tài)轉換的次數(shù)Integer441In-BoundIPSignalingOctetCount收到的MIP信令字節(jié)數(shù)移動IP信令流量，用戶發(fā)送注冊請求等的MIP信令字節(jié)數(shù)Integer442OutboundIPSignalingOctetCount發(fā)送的MIP信令字節(jié)數(shù)移動IP信令流量，用戶接收注冊回復、代理廣播等的MIP信令字節(jié)數(shù)。（不考慮加密和分段等）Integer443LastUserActivityTime用戶最后一次激活時間用戶最后一次激活的時間戳Time4413.1話單記錄格式（5/6）序號字段名字段描述類型長度(octets)取值44FilteredOctetCount(Terminating)過濾的字節(jié)數(shù)（收）PDSN統(tǒng)計從IP網(wǎng)絡收到的過濾掉的總字節(jié)數(shù)。PDSN根據(jù)特定的過濾和重定向（IP重定向或HTTP重定向）規(guī)則將從IP網(wǎng)絡接收到的IP數(shù)據(jù)包進行過濾和重定向，不再發(fā)往用戶。過濾和重定向規(guī)則從RADIUS的接入-接受和COA報文中得到，包括FilterID（過濾標識）、IPFilterRule（IP過濾規(guī)則）、HTTPRedirectionRule（HTTP重定向規(guī)則）、IPRedirectionRule（IP重定向規(guī)則）。Integer445FilteredOctetCount(Originating)過濾的字節(jié)數(shù)（發(fā)）PDSN統(tǒng)計從用戶收到的過濾掉的總字節(jié)數(shù)。PDSN根據(jù)特定的過濾和重定向（IP重定向或HTTP重定向）規(guī)則將用戶發(fā)來的IP數(shù)據(jù)包進行過濾和重定向，不再發(fā)往Internet網(wǎng)。過濾和重定向規(guī)則從RADIUS的接入-接受和COA報文中得到，包括FilterID（過濾標識）、IPFilterRule（IP過濾規(guī)則）、HTTPRedirectionRule（HTTP重定向規(guī)則）、IPRedirectionRule（IP重定向規(guī)則）Integer446RSVPInboundOctetCount收到的RSVP信令字節(jié)用戶發(fā)送的RSVP信令字節(jié)數(shù)Integer447RSVPOutboundOctetCount發(fā)送的RSVP信令字節(jié)用戶接收的RSVP信令字節(jié)數(shù)Integer448RSVPInboundPacketCount收到的RSVP信令包用戶發(fā)送的RSVP信令數(shù)據(jù)包數(shù)Integer449RSVPOutboundPacketCount發(fā)送的RSVP信令包用戶接收的RSVP信令數(shù)據(jù)包數(shù)Integer450IPQualityofService服務質量IP網(wǎng)絡的用戶質量等級碼Integer4423.1話單記錄格式（6/6）序號字段名字段描述類型長度(octets)取值51GrantedQoSParameters授權的QoS參數(shù)由FLOW-ID標識的IP數(shù)據(jù)流可用的服務質量參數(shù)Integer可變52Container容器當計費需要時，容器內可以嵌入3GPP2VSA參數(shù)和/或RADIUS計費屬性String可變53Acct-Authentic計費認證表示用戶使用的認證方式是RADIUS、本地或其他遠端認證協(xié)議Integer41：RADIUS2：Local本地3：Remote遠端54Acct-Session-Time計費會話時長會話在線的總時長，包括激活時長和休眠時長Integer455Acct-Input-Packets上行包數(shù)用戶發(fā)出的IP數(shù)據(jù)包數(shù)Integer456Acct-Output-Packets下行包數(shù)PDSN發(fā)送給用戶的IP數(shù)據(jù)包數(shù)Integer457Acct-Terminate-Cause會話結束的原因會話結束的原因標識Integer458Acct-Input-Gigawords上行流量翻轉次數(shù)當累計流量溢出DataOctetCount(Termination)能表達的范圍（閥值）時，該字段的值表示了溢出的倍數(shù)Integer459Acct-Output-Gigawords上行流量翻轉次數(shù)當累計流量溢出DataOctetCount(Originating)能表達的范圍（閥值）時，該字段的值表示了溢出的倍數(shù)Integer443目錄第一章RADIUS協(xié)議簡單介紹第二章AAA功能與應用第三章計費方案與模式第四章ANAAA功能與應用第五章現(xiàn)網(wǎng)部署情況第六章名詞解釋44內容介紹第4章ANAAA功能與應用第1節(jié)AN-AAA基本概述第2節(jié)EVDO鑒權454.1AN-AAA基本概述（1/2）AN-AAA是一個在EVDO網(wǎng)絡中執(zhí)行認證、授權的一個實體，它與接入網(wǎng)AN(AccessNetwork)通過A12接口協(xié)議相連。A12接口（RADIUS協(xié)議）——對合法的用戶返回其對應的IMSI。在單純的EVDO網(wǎng)絡中AN-AAA是個可選網(wǎng)元。在EVDO和CDMA1X混合的網(wǎng)絡中必須有AN-AAA。AN-AAA可以說是遵從A12接口的AAA。為了滿足用戶不換卡、不換號使用DO網(wǎng)絡，需要AN-AAA支持CAVE算法。A12接口用于執(zhí)行AN級的MS/AT接入認證，通過AN-AAA獲取用于A8/A9與A10/A11接口的MNID（IMSI），該值用于AN之間PDSN分組數(shù)據(jù)對話切換和HRPD與CDMA1X系統(tǒng)間的切換。464.1AN-AAA基本概述（2/2）A12接口包括如下消息：A12接入請求A12接受通過A12接受拒絕認證功能：支持基于PAP協(xié)議的認證方式支持基于CHAP協(xié)議的認證方式支持基于EAP協(xié)議中基本的EAP-MD5認證方法，且為其他方法保留擴展性支持基于CAVE算法的認證方式授權功能：根據(jù)用戶名返回其對應的IMSI47內容介紹第4章ANAAA功能與應用第1節(jié)AN-AAA基本概述第2節(jié)EVDO鑒權484.2EV-DO鑒權包括接入鑒權和核心網(wǎng)鑒權：接入鑒權發(fā)生在AT與AN-AAA之間，在AT發(fā)起與AN的PPP連接時進行，它是網(wǎng)絡對終端設備的鑒權，不需要用戶參與。接入鑒權有兩種方式：MD5鑒權算法和CAVE鑒權算法；新發(fā)行的3GUIM卡支持上述兩種算法，現(xiàn)網(wǎng)中老用戶使用的老卡都是只支持CAVE算法的；兩種接入鑒權方式的共同點在于：兩者都使用CHAP協(xié)議和RADIUS協(xié)議作為接入鑒權的信令交互協(xié)議；不同點在于前者采用MD5鑒權算法，而后者沿用了CDMA20001x的CAVE鑒權算法，并且為了實現(xiàn)SSD在兩網(wǎng)的同步更新或共享，在AN-AAA與HLR/AC之間增加了IS-41接口。核心網(wǎng)鑒權是AT與PDSN-AAA或HAAA之間的鑒權，需要用戶的參與（比如需要用戶輸入密碼）。采用簡單IP接入時，核心網(wǎng)鑒權與AT、PDSN和AAA有關；采用移動IP接入時，核心網(wǎng)鑒權與AT、HA和HAAA有關。494.2EV-DO鑒權——接入鑒權504.2CAVE算法示意圖Ak：64bit－－－－核心鑒權參數(shù)ESN：32bitRANDSSD：網(wǎng)絡隨機數(shù)32bit

SSD：128bit，SSD－B64bit加密，SSD－A64bit認證514.2EVDO鑒權過程/CAVE－新用戶鑒權成功/SSD更新條件：該用戶為EVDO網(wǎng)絡新開戶用戶，且已經(jīng)在cdma20001x網(wǎng)絡完成了注冊、鑒權。其鑒權成功信令流程如下：524.2EVDO鑒權過程/CAVE－新用戶鑒權成功/SSD更新鑒權具體過程如下：a.AT和AN之間建立HRPD會話，AT做好在接入流上交換數(shù)據(jù)的準備。b.AT和AN為接入鑒權發(fā)起PPP和LCP協(xié)商。c.AN發(fā)起一個RandomChallenge，通過CHAPChallenge消息發(fā)送給AT。d.AT執(zhí)行CAVE-based鑒權，并且發(fā)送CHAPResponse消息。e.AN向AN-AAA發(fā)送A12-AccessRequest消息。f.AN-AAA根據(jù)A12-AccessRequest消息內容構造AuthenticationRequestINVOKE消息，并發(fā)送給HLR/AC。g.HLR/AC執(zhí)行CAVE-based鑒權。如果鑒權通過，HLR/AC將向AN-AAA發(fā)送AuthenticationRequestReturnResult消息，并包含SSD參數(shù)h.AN-AAA存儲由HLR/AC分配的SSD。i.AN-AAA向AN發(fā)送A12-AccessAccept消息。j.AN向AT返回CHAPAuthenticationSuccess的指示。k.AT和AN接著執(zhí)行后續(xù)的處理過程。

534.2EVDO鑒權過程/CAVE－SSD共享條件：SSD已經(jīng)在AN-AAA處共享。其鑒權成功的信令見流程如下：544.2EVDO鑒權過程/CAVE－SSD共享鑒權具體過程如下：

aAN發(fā)起空中接口PPP-LCP協(xié)商過程，協(xié)商CHAP鑒權協(xié)議類型，并建立空中接口PPP連接；AN產(chǎn)生鑒權的隨機數(shù)，向AT發(fā)送CHAP查詢消息，AT根據(jù)該隨機數(shù)利用MD5算法計算鑒權結果，鑒權結果與鑒權標識共同構成鑒權密鑰，并向AN發(fā)送CHAP響應消息，該消息包含了NAI、鑒權隨機數(shù)及鑒權密碼等接入鑒權參數(shù)；bAN通過A12接入請求消息向AnAAA轉發(fā)NAI、鑒權隨機數(shù)及鑒權密碼等參數(shù)；cSSD已經(jīng)在AnAAA處共享，AnAAA將不會再轉發(fā)認證消息給HLR，直接根據(jù)用戶認證輸入?yún)?shù)返回認證消息，并將SSD同步計數(shù)器加1；dAnAAA將收到的NAI、硬件鑒權參數(shù)為CAVE算法的輸入?yún)?shù)，計算鑒權結果，并與AN轉發(fā)的終端鑒權結果比較，若兩者一致，則鑒權成功，AnAAA向AN發(fā)送A12接入允許消息；否則，鑒權失敗，AnAAA向AN發(fā)送A12接入拒絕消息；eAN將接入鑒權的結果通過CHAP鑒權成功消息或CHAP鑒權失敗消息通知AT，完成接入鑒權過程；fAT根據(jù)接入鑒權的結果決定下一步流程，如接入鑒權成功，則繼續(xù)分組域認證和鑒權，如接入鑒權失敗則拒絕AT接入。554.2EVDO鑒權過程/CAVE－SSD同步條件：該用戶的SSD同步計數(shù)器達到門限，需要進行SSD同步。AN-AAA定期同步SSD成功的信令流程如下：564.2EVDO鑒權過程/CAVE－SSD同步鑒權具體過程如下：

aAN發(fā)起空中接口PPP-LCP協(xié)商過程，協(xié)商CHAP鑒權協(xié)議類型，并建立空中接口PPP連接；AN產(chǎn)生鑒權的隨機數(shù)，向AT發(fā)送CHAP查詢消息，AT根據(jù)該隨機數(shù)利用MD5算法計算鑒權結果，鑒權結果與鑒權標識共同構成鑒權密鑰，并向AN發(fā)送CHAP響應消息，該消息包含了NAI、鑒權隨機數(shù)及鑒權密碼等接入鑒權參數(shù)；bAN通過A12接入請求消息向AnAAA轉發(fā)NAI、鑒權隨機數(shù)及鑒權密碼等參數(shù)；cSSD如未在AnAAA處共享或已達到SSD同步門限值，AnAAA將轉發(fā)認證消息給HLR，由HLR對用戶進行接入鑒權；d如HLR接入鑒權成功，則AnAAA將保存由HLR共享的SSD，并將SSD同步計數(shù)器清零；eAnAAA將接入鑒權的結果通過CHAP鑒權成功消息或CHAP鑒權失敗消息通知AT，完成接入鑒權過程。574.2EVDO鑒權過程/MD5584.2EVDO鑒權過程/MD5鑒權具體過程如下：

a.AN發(fā)起空口PPP-LCP協(xié)商過程，協(xié)商CHAP鑒權協(xié)議類型，并建立空口PPP連接。b.AN產(chǎn)生鑒權隨機數(shù)，向AT發(fā)送CHAP