Обзор решения

Одним из основных компонентов сети является AAA Сервер. AAA Сервер обеспечивает аутентификацию, авторизацию и аккаунтинг, управление сессиями абонентов в режиме реального времени для обеспечения мобильности, роуминга, безопасности и контроля за используемыми услугами и сервисами. AAA Сервер поддерживает prepaid и postpaid схемы. В некоторых специализированных сценариях AAA Сервер выполняет функции proxy-сервера и предоставляет доступ к информации о сессиях абонента.

Основные особенности AAA Сервера:

• Поддержка всех типов сетей. AAA Сервер поддерживает различные сети доступа. Способность AAA Сервера одновременно поддерживать различные сети и услуги позволяет операторам, имеющим лицензии на предоставление услуг в различных типах сетей, экономить инвестиции и эксплуатационные затраты. Операторы могут построить единую систему AAA для реализации аутентификации, авторизации и учета всех данных пользователей для фиксированных и мобильных сетей, обеспечив централизованное управление пользователями и их услугами.
• Решение операторского класса с высокой производительностью и надежностью. В решении предусмотрено резервирование основных компонент и узлов. Механизмы распределения и балансировки нагрузки позволяют устранить единую точку отказа. AAA Сервер поставляется с механизмами контроля трафика и защиты от перегрузок, что позволяет реализовать расширяемую конфигурацию для обслуживания трафика миллионов абонентов.

Функциональность AAA Сервера

Гибкая аутентификация

AAA Сервер поддерживает аутентификацию на основе одного или нескольких атрибутов (набор атрибутов настраивается), таких как IMSI, MSISDN, IMEI, NAI, Realm/Domain, имя пользователя и т.д.

Комбинации этих параметров настраиваются в Policy Engine, который определяет статические правила, применяемые при процедуре аутентификации.

AAA Сервер поддерживает несколько политик аутентификации, которые могут быть настроены в Policy Engine.

Упорядоченный список правил настраивается в Policy Engine. Каждое правило состоит из одного условия и одного действия.

• Условие указывает атрибут и его значение, который должен присутствовать в запросах с типом Access или Accounting. Для максимальной гибкости могут быть использованы любые атрибуты из запроса.
• Действие определяет, что AAA Сервер должен выполнить с запросом при выполнении условия. Действие также может ссылаться на другое правило, для возможности создания сложных правил аутентификации с вложенными условиями.

Методы аутентификации

AAA Сервер поддерживает следующие методы: CHAP, PAP, MSCHAPv1/v2, EAP (EAP-MD5), Microsoft PEAP, EAP-MSCHAP-v2 for PEAP, EAP-AKA, EAP-SIM, и EAP-TLS

AAA Сервер поддерживает функцию «Черный список». Если пользователь в ходе аутентификации вводит неправильные пароли, при достижении определенного количества неудачных попыток AAA Сервер может заблокировать пользователя. В течение определенного времени AAA Сервер будет неуспешно аутентифицировать пользователя даже в случае предоставления корректного пароля. Данная функция, допустимое количество попыток аутентификации и продолжительность блокировки являются полностью конфигурируемыми параметрами.

Функциональность «Черный список» может быть конфигурируемым по APN, realm\domain, NAS и т.д.

Интеграция с IN и Billing системами (prepaid и postpaid)

AAA Сервер поддерживает следующие протоколы для реализации тарификации в режиме реального времени:

• DIAMETER DCCA
• SOAP (OSA/Parlay)

AAA Сервер поддерживает генерацию, доставку и хранение записей CDR для всех событий, которые необходимо протарифицировать. Формат CDR и набор полей в записях может быть различным в зависимости от требований оператора. Например: CSV, ASN.1, XML и др.

AAA Сервер поддерживает следующие интерфейсы (Billing Collection Interfaces): FTP, SFTP, FTPS, ssh, XML over HTTP(S), 3GPP API Charging Subset.

Дополнительные интерфейсы могут быть разработаны в соответствии с требованиями Заказчика.

SPR

В состав AAA Сервера входит база данных, которая используется для следующих целей:

• База данных профилей абонентов.
• База данных по использованным услугам (счетчики трафика/услуг) абонентов
• База данных, содержащая активные сессии абонентов

AAA Сервер предоставляет интерфейс провижионинга (SOAP) для BSS/OSS систем для возможности управления абонентскими профилями. Дополнительные интерфейсы могут быть настроены/разработаны в соответствии с требованиями Заказчика. База данных, список параметров и их значений могут быть настроены в соответствии с требованиями Заказчика. Сервер AAA может быть интегрирован с внешней базой данных по стандартному протоколу LDAP (v3).

База данных по использованному трафику наполняется согласно аккаунтинговым сообщениям пользовательских сессий, в том числе сессий, которые были проксированы на внешние серверы.

База данных, содержащая активные сессии абонентов. После того как пользователь устанавливает соединение, AAA Сервер сохраняет информацию об открытой сессии. Информация о сессии включает в себя MSISDN, IP адрес, IMSI и множество других параметров. Внешние системы, например такие как Call-центр, могут запрашивать информацию о сессиях через HTTP интерфейс. При этом поиск может осуществляться по MSISDN, IMSI, IMEI или другому ID.

Режим Proxy

AAA Сервер включает в себя высокопроизводительный Proxy Engine.

Proxy Engine поддерживает балансировку запросов, механизмы fault detection и failover.

Proxy Engine может использовать различные сервера для проксирования аутентификационных и аккаунтинговых сообщений.

Взаимодействие между RADIUS серверами осуществляется в соответствии с RFC 2865. Для аутентификации и шифрования используется разделяемый ключ (shared secret).

Условия, при которых AAA Сервер проксирует ACCESS или ACCOUNTING сообщения на внешний сервер, задаются в правилах Policy Engine. Условия проксирования могут быть заданы на основании любых атрибутов, присутствующих в ACCESS или ACCOUNTING сообщении, таких как domain, NAS, APN, subscriber id и т.д.

Несколько внешних AAA серверов могут быть объединены в одну группу в режиме failover или балансировки нагрузки. Режим failover обеспечивает высокую степень доступности процесса аутентификации благодаря использованию альтернативных серверов из группы в случае, если основной сервер недоступен или отвечает с задержками. Если первый сервер группы не отвечает в установленное время, AAA Сервер перепосылает запросы на следующий сервер в группе. Если ответ не получен ни от одного сервера в группе, то согласно настроенным правилам, в ответ на запрос может быть отправлен отрицательный ответ (reject) либо положительный (accept) с локальной авторизацией пользователя.

Объединение внешних серверов в группы в режиме балансировки нагрузки (load-sharing) позволяет распределять запросы ACCESS и ACCOUNTING между несколькими серверами по циклическому (round-robin) алгоритму.

Перед отправкой запроса на внешний AAA сервер, AAA Сервер может модифицировать любой RADIUS-атрибут в запросе. Например, если значения определенных атрибутов удовлетворяют заданному условию, то AAA Сервер может включить в запрос новый атрибут, удалить из запроса существующий атрибут или изменить значение существующего атрибута.

Пакеты PoD и CoA

AAA Сервер использует CoA сообщения для динамического изменения активной сессии пользователя. RADIUS атрибуты в CoA могут содержать инструкции для NAS создать, изменить или завершить сервис абонента. CoA сообщения содержат информацию для динамической реавторизации сессии абонента.

Для CoA сообщений используются следующие коды команд: CoA-Request (43), CoA-ACK (44), CoA-NAK (45).

Аналогичным образом AAA Сервер отправляет PoD сообщения на NAS по факту получения от OCS сообщений об удалении абонента, изменении статуса абонента и т.д. Правила формирования и отправки PoD и CoA сообщений настраиваются в Policy Engine.

Управление IP адресами

AAA Сервер предоставляет механизм централизованного управления IP адресами. Централизованный механизм упрощает процедуры управления пулами IP адресов, например, исключая необходимость конфигурирования пулов адресов на каждом NAS. Пулы IP адресов могут быть созданы для каждого отдельного NAS или для группы NAS. Когда абонент устанавливает соединение, для его сессии назначается IP адрес. Абонент может иметь статический IP адрес, либо IP адрес может назначаться из пула адресов AAA Сервером или NAS. Пулы IP адресов могут быть определены в AAA Сервере для каждого NAS.