kamailio-ACC_RADIUS模块详解，附加AAA协议

AAA 协议详解

AAA 是 Authentication（认证）、Authorization（授权） 和 Accounting（计费） 的缩写，是网络管理中用于控制用户访问资源的核心框架。AAA 协议的主要目的是确保只有合法用户可以访问网络资源，并记录用户的使用情况。

1. AAA 的三大功能

1.1 认证（Authentication）

• 定义：验证用户的身份，确保用户是其所声称的那个人。
• 常见方式：
  • 用户名和密码：最常用的认证方式。
  • 双因素认证（2FA）：结合密码和一次性验证码（如短信或应用程序生成）。
  • 生物识别：如指纹、面部识别等。
• 示例：
  • 用户登录 Wi-Fi 时输入用户名和密码。
  • 用户登录 VPN 时使用双因素认证。

1.2 授权（Authorization）

• 定义：确定用户有权访问哪些资源或执行哪些操作。
• 常见方式：
  • 基于角色的访问控制（RBAC）：根据用户的角色分配权限。
  • 基于策略的访问控制（PBAC）：根据预定义的策略决定权限。
• 示例：
  • 管理员用户可以访问所有系统设置，普通用户只能访问部分功能。
  • 用户登录后只能访问特定的网络资源（如内部文件服务器）。

1.3 计费（Accounting）

• 定义：记录用户使用资源的情况，用于计费、审计或监控。
• 常见数据：
  • 会话的开始时间、结束时间和时长。
  • 用户使用的数据流量（上传和下载）。
  • 用户访问的服务类型（如 VoIP、视频流等）。
• 示例：
  • 记录用户的网络使用情况，生成详细的计费报告。
  • 监控用户的网络行为，用于安全审计。

2. AAA 协议的应用场景

2.1 网络接入

• Wi-Fi 接入：用户连接 Wi-Fi 时，需要通过 AAA 协议进行认证和授权。
• VPN 接入：用户通过 VPN 连接企业网络时，AAA 协议确保只有合法用户可以访问。

2.2 计费系统

• ISP（互联网服务提供商）：记录用户的网络使用情况，用于计费。
• 企业网络：监控员工的网络使用情况，用于成本分摊或审计。

2.3 安全审计

• 记录用户行为：AAA 协议可以记录用户的登录时间、访问资源等信息，用于安全审计。
• 检测异常行为：通过分析计费数据，可以发现潜在的安全威胁（如异常登录行为）。

3. 常见的 AAA 协议

3.1 RADIUS

• 简介：RADIUS（Remote Authentication Dial-In User Service）是最早的 AAA 协议之一，广泛用于网络接入和计费。
• 特点：
  • 基于 UDP 协议，默认端口为 1812（认证/授权）和 1813（计费）。
  • 支持多种认证方式（如 PAP、CHAP、EAP）。
  • 灵活性强，支持自定义属性。
• 应用场景：
  • Wi-Fi 认证。
  • VPN 接入。
  • 计费系统。

3.2 TACACS+

• 简介：TACACS+（Terminal Access Controller Access-Control System Plus）是 Cisco 开发的 AAA 协议，主要用于网络设备的访问控制。
• 特点：
  • 基于 TCP 协议，默认端口为 49。
  • 支持更细粒度的授权控制。
  • 安全性更高，支持加密整个消息体。
• 应用场景：
  • 网络设备（如路由器、交换机）的管理员登录。
  • 企业网络的访问控制。

3.3 Diameter

• 简介：Diameter 是 RADIUS 的升级版，支持更复杂的 AAA 功能。
• 特点：
  • 基于 TCP 或 SCTP 协议，支持更高的可靠性和性能。
  • 支持更多的属性和扩展功能。
  • 安全性更强，支持 TLS/IPSEC。
• 应用场景：
  • 移动网络（如 LTE、5G）的 AAA 功能。
  • 大规模网络的认证和计费。

4. AAA 协议的工作流程

4.1 认证流程

1. 用户尝试访问资源（如连接 Wi-Fi）。
2. 客户端（如 NAS）将用户的认证信息（如用户名和密码）发送到 AAA 服务器。
3. AAA 服务器验证用户信息：
   • 如果验证成功，返回 Access-Accept 消息，允许用户访问。
   • 如果验证失败，返回 Access-Reject 消息，拒绝用户访问。

4.2 授权流程

1. 用户通过认证后，AAA 服务器根据用户的角色或策略决定其权限。
2. 客户端根据授权结果，限制用户可以访问的资源或执行的操作。

4.3 计费流程

1. 用户成功访问资源后，客户端会发送 Accounting-Request（Start） 消息，记录会话开始。
2. 在会话期间，客户端可能会发送 Accounting-Request（Interim-Update） 消息，更新会话状态。
3. 当用户断开连接时，客户端发送 Accounting-Request（Stop） 消息，记录会话结束。

5. AAA 协议的优势

5.1 安全性

• 通过认证和授权，确保只有合法用户可以访问资源。
• 通过计费功能，记录用户行为，用于安全审计。

5.2 灵活性

• 支持多种认证方式（如密码、双因素认证、生物识别）。
• 支持自定义属性和扩展功能。

5.3 可扩展性

• 适用于各种规模的网络（从小型企业到大型 ISP）。
• 支持与其他系统（如 LDAP、Active Directory）集成。

6. AAA 协议的局限性

6.1 性能瓶颈

• 在高并发场景下，AAA 服务器可能成为性能瓶颈。
• 需要优化服务器配置和网络架构。

6.2 安全性不足

• 某些 AAA 协议（如 RADIUS）的安全性较弱，容易受到攻击。
• 需要结合其他安全措施（如防火墙、IDS）提升安全性。

6.3 复杂性

• 配置和管理 AAA 系统需要一定的技术能力。
• 需要定期维护和更新，以确保系统的安全性和稳定性。

7. AAA 协议的实际应用

7.1 FreeRADIUS

• 简介：FreeRADIUS 是一个开源的 RADIUS 服务器，支持 AAA 功能。
• 特点：
  • 支持多种认证方式（如 PAP、CHAP、EAP）。
  • 可扩展性强，支持自定义模块。
  • 广泛用于企业网络和 ISP。

7.2 Cisco ISE

• 简介：Cisco Identity Services Engine（ISE）是一个企业级的 AAA 解决方案。
• 特点：
  • 支持 RADIUS 和 TACACS+ 协议。
  • 提供强大的安全性和策略管理功能。
  • 适用于大型企业网络。

7.3 Kamailio 的 AAA 模块

• 简介：Kamailio 支持通过模块（如 acc_radius）实现 AAA 功能。
• 配置示例：

  loadmodule "acc_radius.so"
  modparam("acc_radius", "radius_flag", 1)
  modparam("acc_radius", "radius_config", "/etc/radiusclient-ng/radiusclient.conf")
  

总结

AAA 协议是网络管理中不可或缺的一部分，通过认证、授权和计费功能，确保网络资源的安全和有效使用。常见的 AAA 协议包括 RADIUS、TACACS+ 和 Diameter，每种协议都有其特点和适用场景。选择合适的 AAA 协议和解决方案，可以显著提升网络的安全性和管理效率。

##ACC_RADIUS 模块
作者
Juha Heinanen
jh@tutpro.com
Daniel-Constantin Mierla
asipto.com
miconda@gmail.com

编辑
Daniel-Constantin Mierla
asipto.com
miconda@gmail.com

版权
© 2002, 2003 FhG FOKUS

目录

1. 管理员指南
   1. 概述
   2. 依赖
      2.1 Kamailio 模块
      2.2 外部库或应用程序
   3. 参数
      3.1 radius_config（字符串）
      3.2 radius_flag（整数）
      3.3 radius_missed_flag（整数）
      3.4 service_type（整数）
      3.5 radius_extra（字符串）
      3.6 rad_time_mode（整数）
   4. 函数
      4.1 acc_rad_request(comment)

1. 概述

ACC_RADIUS 模块用于将事务信息记录到 RADIUS 服务器。它绑定到 ACC 模块的 API，并使用与其他后端相同的计费机制。

因此，您只需要此模块来将计费数据发送到 RADIUS 服务器。有关计费的更多文档，请参阅 ACC 模块的说明。

2. 依赖

2.1 Kamailio 模块

该模块依赖于以下模块（即以下模块必须在此模块之前加载）：

• acc：计费模块。

2.2 外部库或应用程序

在运行 Kamailio 之前，必须安装以下库或应用程序：

• radiusclient-ng 0.5.0 或更高版本，或 freeradius-client（GitHub 链接），或 radcli（官网链接）。
  • 如果要使用 freeradius-client 库，请在编译前设置环境变量 FREERADIUS=1。
  • 如果要使用 radcli 库，请在编译前设置环境变量 RADCLI=1。

3. 参数

3.1 radius_config（字符串）

此参数是 RADIUS 特定的。指定 RADIUS 客户端配置文件的路径。请正确设置配置文件，并在其中指定服务器地址、共享密钥（应与 FreeRadius 服务器中的 /usr/local/etc/raddb/clients 文件中的密钥一致）和字典。请参阅示例配置文件和字典。

如果此参数设置为空字符串，则禁用 RADIUS 计费支持（即使已编译）。
默认值为 NULL。

示例 1.1. radius_config 示例

modparam("acc_radius", "radius_config", "/etc/radiusclient/radiusclient.conf")

3.2 radius_flag（整数）

请求标志，用于标记需要计费的事务（RADIUS 特定）。
默认值为未设置（无标志）。

示例 1.2. radius_flag 示例

modparam("acc_radius", "radius_flag", 2)

3.3 radius_missed_flag（整数）

请求标志，用于标记需要计费的未接呼叫（RADIUS 特定）。
默认值为未设置（无标志）。

示例 1.3. radius_missed_flag 示例

modparam("acc_radius", "radius_missed_flag", 3)

3.4 service_type（整数）

用于计费的 RADIUS 服务类型。
默认值为 15（SIP）。

示例 1.4. service_type 示例

modparam("acc_radius", "service_type", 16)

3.5 radius_extra（字符串）

通过 RADIUS 记录的额外值（RADIUS 特定）。
默认值为 NULL。

示例 1.5. radius_extra 示例

modparam("acc_radius", "radius_extra", "via=$hdr(Via[*]); email=$avp(s:email)")

3.6 rad_time_mode（整数）

RADIUS 的 Event-Timestamp 格式。
可选值：

• 0：默认值，仅使用 Unix 时间戳（例如：1445590624）。
• 1：使用 Unix 时间戳加微秒格式，需要将 RADIUS 服务器和客户端的 Event-Timestamp 属性类型更改为字符串（例如：1445590624.377372）。
  默认值为 0（Unix 时间戳）。

示例 1.6. rad_time_mode 示例

modparam("acc_radius", "rad_time_mode", 1)

4. 函数

4.1 acc_rad_request(comment)

类似于 acc_log_request 函数，报告 SIP 请求事件。它将报告发送到 radius_config 中配置的 RADIUS 服务器。

参数说明：

• comment：要附加的注释。第一个标记可以是 SIP 响应代码，用于解释事件类型（例如，使用 200 表示事务被视为成功响应）。

使用范围：
可以在 REQUEST_ROUTE 和 FAILURE_ROUTE 中使用。

示例 1.7. acc_rad_request 使用示例

acc_rad_request("Some comment");
...
# 将记录写为事务响应 200 代码时的情况
acc_rad_request("200 From Config");

总结

ACC_RADIUS 模块允许将 Kamailio 的事务信息记录到 RADIUS 服务器。通过配置 radius_config 文件和相关参数，可以灵活地控制计费数据的记录方式和内容。