51学通信技术论坛

 找回密码
 立即注册
搜索
查看: 20443|回复: 27
打印 上一主题 下一主题

为什么cmwap业务需要做RADIUS的Accouting?     [复制链接]

Rank: 9Rank: 9

懒

跳转到指定楼层
楼主
发表于 2011-7-14 21:50:12 |只看该作者 |倒序浏览
一键分享 一键分享
  根据我的理解,现在在使用cmwap这个APN时,基本上都是透明接入。即不做用户的鉴权。这样在做PDP激活时,延迟会减少。因为不需要等GGSN和RADIUS Server之间的Access Request/Access Response消息才能完成PDP上下文激活。
  但虽然鉴权取消了,RADIUS的Accouting功能仍然是在cmwap这个APN里面是打开的。即GGSN收到SGSN过来的Create PDP Context Request消息后会给RADIUS Server发Accouting Request消息,并等待Accouting Response消息,然后给SGSN回Create PDP Context Response消息。为什么这个Accouting流程还要保留呢?可能有朋友不大了解Accouting是做什么的,它是RADIUS的AAA功能的一部分,鉴权/审计/授权中的审计功能。在这个流程中,GGSN可以给RADIUS提供关于用户的IMSI、MSISDN、APN、IP地址等等信息。然后,RADIUS将这些信息提供给WAP网关,WAP网关就可以根据这些信息来了解用户的更多信息,从而更好的为这个用户提供服务。这就是为什么Accouting流程没有取消的原因,是因为WAP网关需要了解关于用户的信息。但如果没有这个Accouting流程的话,GGSN将通过GRE协议将纯IP包封装好后发给WAP网关,WAP网关得不到任何用户的身份等信息,无法配合后台(业务网络)完成对用户提供更好的服务。
  但Accouting这个流程会增加延迟,各厂家在GGSN上都有相关的开关,可以设置支持GGSN不用等到RADIUS的Accouting Response消息就可以直接给SGSN回Create PDP Context Response消息,从而减少延迟。
www.gprshome.com: GPRS及移动通信技术学习交流分享平台。

Rank: 8

沙发
发表于 2011-7-14 22:07:36 |只看该作者
?看不大懂,第一段末尾说不需要等待。第二段又说要等待accouting response在发create response??到底是等不等??
博学之,审问之,慎思之,明辨之,笃行之

使用道具 举报

Rank: 9Rank: 9

懒

板凳
发表于 2011-7-14 22:14:09 |只看该作者
lsjier 发表于 2011-7-14 22:07
?看不大懂,第一段末尾说不需要等待。第二段又说要等待accouting response在发create response??到底是等 ...

  第一段末尾是说Access Request/Access Response消息,这是用于对业务网络的鉴权,是一定要等的,因为不完成鉴权,PDP上下文就无法激活。而后面提到的是Accouting Request/Response消息,是用于GGSN为RADIUS提供用户的相关身份及业务访问相关信息的,用于审计的目的。按正常流程来说是要等的,但因为这个流程没有鉴权重要,相当于只是一个Notification流程。所以各厂家的GGSN都提供了配置可选项,不用等就可以完成激活,来加快PDP激活的响应时间。
www.gprshome.com: GPRS及移动通信技术学习交流分享平台。

使用道具 举报

特殊贡献用户

分组域未来之星

VIP 论坛核心会员 特殊贡献奖

地板
发表于 2011-7-16 20:54:25 |只看该作者
“按正常流程来说是要等的,但因为这个流程没有鉴权重要,相当于只是一个Notification流程。”   受教了   呵呵~
生命只有一次,珍惜珍重,勿浪费

使用道具 举报

Rank: 6Rank: 6Rank: 6Rank: 6Rank: 6Rank: 6

5#
发表于 2011-7-17 01:08:22 |只看该作者
爱卫生 发表于 2011-7-14 21:50
根据我的理解,现在在使用cmwap这个APN时,基本上都是透明接入。即不做用户的鉴权。这样在做PDP激活时,延 ...

请问楼主,用户是使用什么APN时,是非透明接入的呢?

使用道具 举报

Rank: 7Rank: 7Rank: 7Rank: 7Rank: 7Rank: 7Rank: 7

版主 论坛核心会员 特殊贡献奖

6#
发表于 2011-7-17 10:01:33 |只看该作者
因为不需要等GGSN和RADIUS Server之间的Access Request/Access Response消息才能完成PDP上下文激活……
第一段末尾是说Access Request/Access Response消息,这是用于对业务网络的鉴权,是一定要等的,因为不完成鉴权,PDP上下文就无法激活。……
不理解,有点矛盾...

使用道具 举报

Rank: 6Rank: 6Rank: 6Rank: 6Rank: 6Rank: 6

7#
发表于 2011-7-21 14:03:45 |只看该作者
LZ的意思是
access可以省略,即透明接入
但account是一定要做的,只是GGSN的create pdp response用不用等radius的account response,这个是有开关控制,是为了减少响应时间。

理解的对不?

使用道具 举报

Rank: 2Rank: 2

8#
发表于 2011-7-21 22:06:32 |只看该作者
回复 cmcc_demon 的帖子

我理解的意思大概是:理论上应该等,但是由于存在会影响延时,且没有太大必要,因此实际实现上没有等

使用道具 举报

Rank: 2Rank: 2

9#
发表于 2011-7-21 22:23:13 |只看该作者
有点疑问:在附着的时候进行过一次鉴权?为什么这里又进行一次?估计要是想访问企业内部网的话估计还得进行一次鉴权吧?

使用道具 举报

Rank: 9Rank: 9

懒

10#
发表于 2011-7-22 20:47:12 |只看该作者
heropoet 发表于 2011-7-17 01:08
请问楼主,用户是使用什么APN时,是非透明接入的呢?

  通常cmwap/cmnet这些向所有公众开放的数据业务,为了减少接入的延迟,提升用户体验。都采用透明接入。
  但如果是一些企业网APN,例如银行电力,则肯定是要非透明接入了。因为要保证一个安全性。个人理解。

点评

ken_tung  赞!回复非常到位。受教了  发表于 2013-4-25 10:53:10
www.gprshome.com: GPRS及移动通信技术学习交流分享平台。

使用道具 举报

Rank: 9Rank: 9

懒

11#
发表于 2011-7-22 20:57:42 |只看该作者
weishengzi 发表于 2011-7-21 14:03
LZ的意思是
access可以省略,即透明接入
但account是一定要做的,只是GGSN的create pdp response用不用等 ...

  对的对的。access是对用户身份的确认,即鉴权。accouting的功能则是审计,也就是网络侧要知道这个用户在网络里做了什么,如果做了什么非法的事情则需要进行管理。如果不做accouting的话,则为用户提供WAP业务的WAP网关将无法得到用户的身份等信息、例如手机号,IMSI,接入技术,使用的地址等等。因为GGSN和WAP网关采用的GRE协议,封装的是纯IP包。不像Gn接口GTP包头中能携带用户的很多信息。所以,WAP网关要像对用户的访问网络的行为进行监控,则只能由accouting流程来做,GGSN将用户的信息通过accouting报给RADIUS Server,RADIUS Server有时会集成在WAP网关上,这样WAP网关就可以有用户的信息对用户的行为进行监控了。
www.gprshome.com: GPRS及移动通信技术学习交流分享平台。

使用道具 举报

Rank: 9Rank: 9

懒

12#
发表于 2011-7-22 21:04:20 |只看该作者
王二麻子 发表于 2011-7-21 22:23
有点疑问:在附着的时候进行过一次鉴权?为什么这里又进行一次?估计要是想访问企业内部网的话估计还得进行 ...

  对的。好问题。附着时候的鉴权不涉及到PDN网络,所以附着的鉴权只是对手机的身份进行确认,保证这个手机不是根据IMSI复制的非法手机。这个鉴权是由通信运营商来控制的,附着成功后,代表手机的身份得到确认,并且有了访问GPRS业务的能力。
  但激活时的鉴权是确认用户具有访问某个外部PDN网络的权限,和前者不同,激活时的鉴权是由为用户提供服务的PDN网络服务器的拥有者所主导的,例如电力银行等企业网,有自己企业网独立的APN,他们就可以在自己的网络内设置Radius服务器,对接入电力银行企业网的用户身份进行鉴权。因为即使你有访问GPRS业务的权限(这很简单,5元钱就可以开通),但不见得你能允许访问我的企业内部网。例如一台银行的ATM取款机。
  另外,附着时的鉴权采用的是GSM三元组,3G是五元组的鉴权方式。但激活时对APN网络的鉴权则需要手机用户提供用户名和口令来完成鉴权。方式是不一样的。
www.gprshome.com: GPRS及移动通信技术学习交流分享平台。

使用道具 举报

Rank: 3Rank: 3Rank: 3

13#
发表于 2011-8-20 20:10:05 |只看该作者
回复 爱卫生 的帖子

请问一下,比如那些企业服务器对吧,它是建立在公网之上的,那么对于一个普通用户的话我们是可以看到它的网站的吧,至于能不能进去则需要他对你进行一个鉴权。是不是这样的呀,老板。

使用道具 举报

Rank: 9Rank: 9

懒

14#
发表于 2011-8-20 21:59:27 |只看该作者
zglaojiang 发表于 2011-8-20 20:10
回复 爱卫生 的帖子

请问一下,比如那些企业服务器对吧,它是建立在公网之上的,那么对于一个普通用户的话 ...

  企业服务器虽然是和运营商的网络挂靠在一起,但不一定是建立在公网之上,也就是说运营商在它的IP承载网中会将企业网和公网Internet通过MPLS VPN等技术进行分离,所以普通用户是访问不了的。而且普通用户也不可能签约企业APN。因为企业网都是企业的核心业务网络,例如银行的取款、电力等。对安全性要求是很高的。
  一般用户是肯定无法访问的。做鉴权相当于是多加一层保护,就是说这个用户如果已经闯进来了,那就需要去确认它的身份,并根据它的身份能够授予相应的权限。进行控制。
www.gprshome.com: GPRS及移动通信技术学习交流分享平台。

使用道具 举报

Rank: 2Rank: 2

15#
发表于 2011-10-11 17:07:55 |只看该作者
回复 爱卫生 的帖子

首先爱总讲的这里WAP网管需要一些MS的信息做些业务管理和控制,本人是赞同的。


但是个人觉得这里accouting理解成审计,不太确切,审计的话应该用Auditing比较恰当,accouting一般是作为记账开始和结束的意思,另外也可以用作预付费用户的扣费,让RADIUS SERVER 通知BILLING 扣除一定的费用,比如发三条短信,每条短信一毛钱。当然如果一条短信发送失败还要通知RADIUS SERVER 退还一毛钱。请参考DIAMETER Accounting-Request, ACR, 271消息的使用。


please refer :


认证、授权与记账(Authentication, Authorization and
Accounting, AAA)





RFC 2866                   RADIUS Accounting                   June 2000


4.1.  计费请求

   描述

      计费请求报文是由客户端(典型的情况是NAS或者代理服务器)发送到
      RADIUS计费服务器的,其中包含为用户提供服务的计费的信息。客户端发送
      一个Code域值为4(计费请求)的RADIUS数据报文。

      一旦接收到计费请求报文,如果服务器能够成功地记录下计费报文的话,必
      须(MUST)回应一个计费回应报文,但如果记录计费报文失败,则不能
      (MUST NOT)回应计费回应报文。

使用道具 举报

Rank: 9Rank: 9

懒

16#
发表于 2011-10-11 21:30:35 |只看该作者
回复 arrowbroken 的帖子

  谢谢指正!我完全同意你的说法。说审计其实应该是数据通信固网里更合适一些,如果是移动通信里的Accouting就是你所说的计费的开始和结束。因为RADIUS的3个在IP网当中的原始功能就是识别你是谁、你能做什么、你做了什么。这里说的Accouting的审计功能就是最后一个功能“知道你做了什么”,你的所有行为都会有日志记录,并发送到RADIUS Server,这才是审计。移动通信网络里面用的不是这个审计功能。偏计费。
www.gprshome.com: GPRS及移动通信技术学习交流分享平台。

使用道具 举报

Rank: 2Rank: 2

17#
发表于 2011-10-12 09:07:51 |只看该作者
回复 爱卫生 的帖子

爱总,你说到的“说审计其实应该是数据通信固网里更合适一些,。。。。。。。。。。所有行为都会有日志记录,并发送到RADIUS Server,这才是审计。”,这个审计移动网应该也有,LI(Lawful  Interception)的功能就像是审计。

使用道具 举报

Rank: 6Rank: 6Rank: 6Rank: 6Rank: 6Rank: 6

特殊贡献奖

18#
发表于 2011-12-8 20:10:28 |只看该作者
但Accouting这个流程会增加延迟,各厂家在GGSN上都有相关的开关,可以设置支持GGSN不用等到RADIUS的Accouting Response消息就可以直接给SGSN回Create PDP Context Response消息,从而减少延迟。

爱楼主,你好,请教下:GGSN上 能否设置,在发accounting request 之前,就可以直接给SGSN回 create PDP context response吗? 多谢{:soso_e133:}

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

站长邮箱|Archiver|51学通信 ( 粤ICP备11025688 )

GMT+8, 2024-11-29 15:23 , Processed in 0.027425 second(s), 13 queries .

Powered by Discuz! X2

© 2001-2011 Comsenz Inc.

回顶部