51学通信技术论坛

标题: 关于非透明接入GGSN是否能替换PCO字段中的用户名和密码 [打印本页]

作者: eryk 时间: 2011-6-21 00:34:42 标题: 关于非透明接入GGSN是否能替换PCO字段中的用户名和密码

对于非透明接入，GGSN能不能根据配置替换PCO字段中的用户名和密码后再发送access request到AAA，怎么替换？是根据不同的APN呢？还是………………
谢谢

作者: 爱卫生 时间: 2011-6-21 15:43:21

本帖最后由爱卫生于 2011-6-21 15:43 编辑

回复 eryk 的帖子

我查了下。是可以的。至少在Juniper平台的GGSN上是可以的。有一个参数是override-user-info 就可以覆盖掉用户在PCO中提供的用户名和密码。然后还可以使用user-password-value参数来设置GGSN指定的用户名和密码。上述参数都是在APN这个Level下配置的。所以你说的对，是针对APN来配置的。

作者: gprssanling 时间: 2011-6-22 01:43:36

1、PCO（protocol configuration options）：该参数为可选参数。该参数主要是用来指定用户鉴权和计费时使用的用户名和密码。在非透明模式接入中，GGSN配置了公用用户名和密码去鉴权，是为AAAserver提供用户身份认证，如果用户激活时如果没有携带PCO或者PCO中没有携带用户名和密码，则用户激活失败。
2、主要配置语法：
2.1,爱立信语法：edit services ggsn apn apn-name radius authentication message-attributes
{override-user-info;
user-value name;
user-password-value password;}
2.2,华为语法：access-mode non-transparent authentication-mode apn authentication-password password-string pco-priority disable

作者: eryk 时间: 2011-6-28 00:28:38

谢谢两位；
另外现在有些终端默认采用PAP认证协议，透明传递用户名和密码；有些终端默认采用CHAP,我在网上查了下CHAP介绍：
CHAP 用于使用3次握手周期性的验证对端身份。在链路建立初始化时这样做，也可以在链路建立后任何时间重复验证。
以下这个例子说明，如果 A 要向 B 进行验证，所需进行的步骤：
在连线建立之后，使用者 A 会发出一个“challenge”信息给使用者 B。
当 B 在收到这个讯息后，会使用 hash function，像是 MD5 来计算出杂凑值。
之后 B 会将这个杂凑值送回去给 A。
A 在收到之后，也会使用自身的 hash function 将原本的“challenge”信息运算，得到一组杂凑值。
此时 A 就可以比较：自己算出来的这组与收到(从B来)的杂凑值是否相同，如果相同，则通过验证。
之后 B 也可以彷照上述方法，向 A 进行验证。
CHAP通过增量改变标识和“challenge-value”的值避免“playback attack”攻击。验证的两端都需要知道“challenge”信息的明文，但不会在互联网上传播。
如果手机采用CHAP，从创建pdp上下文后，那三次握手是怎样的信令流程阿？
谢谢了。

作者: 爱卫生 时间: 2011-6-30 22:18:50

回复 eryk 的帖子

不知道这个截图能否回答你的问题。

[attach]677[/attach]

图例：PDP激活中的CHAP

欢迎光临 51学通信技术论坛 (http://www.51xuetongxin.com/bbs/)