为什么cmwap业务需要做RADIUS的Accouting?

爱卫生

  根据我的理解，现在在使用cmwap这个APN时，基本上都是透明接入。即不做用户的鉴权。这样在做PDP激活时，延迟会减少。因为不需要等GGSN和RADIUS Server之间的Access Request/Access Response消息才能完成PDP上下文激活。
  但虽然鉴权取消了，RADIUS的Accouting功能仍然是在cmwap这个APN里面是打开的。即GGSN收到SGSN过来的Create PDP Context Request消息后会给RADIUS Server发Accouting Request消息，并等待Accouting Response消息，然后给SGSN回Create PDP Context Response消息。为什么这个Accouting流程还要保留呢？可能有朋友不大了解Accouting是做什么的，它是RADIUS的AAA功能的一部分，鉴权/审计/授权中的审计功能。在这个流程中，GGSN可以给RADIUS提供关于用户的IMSI、MSISDN、APN、IP地址等等信息。然后，RADIUS将这些信息提供给WAP网关，WAP网关就可以根据这些信息来了解用户的更多信息，从而更好的为这个用户提供服务。这就是为什么Accouting流程没有取消的原因，是因为WAP网关需要了解关于用户的信息。但如果没有这个Accouting流程的话，GGSN将通过GRE协议将纯IP包封装好后发给WAP网关，WAP网关得不到任何用户的身份等信息，无法配合后台（业务网络）完成对用户提供更好的服务。
  但Accouting这个流程会增加延迟，各厂家在GGSN上都有相关的开关，可以设置支持GGSN不用等到RADIUS的Accouting Response消息就可以直接给SGSN回Create PDP Context Response消息，从而减少延迟。

爱卫生

lsjier 发表于 2011-7-14 22:07
？看不大懂，第一段末尾说不需要等待。第二段又说要等待accouting response在发create response？？到底是等 ...

  第一段末尾是说Access Request/Access Response消息，这是用于对业务网络的鉴权，是一定要等的，因为不完成鉴权，PDP上下文就无法激活。而后面提到的是Accouting Request/Response消息，是用于GGSN为RADIUS提供用户的相关身份及业务访问相关信息的，用于审计的目的。按正常流程来说是要等的，但因为这个流程没有鉴权重要，相当于只是一个Notification流程。所以各厂家的GGSN都提供了配置可选项，不用等就可以完成激活，来加快PDP激活的响应时间。

爱卫生

heropoet 发表于 2011-7-17 01:08
请问楼主，用户是使用什么APN时，是非透明接入的呢？

  通常cmwap/cmnet这些向所有公众开放的数据业务，为了减少接入的延迟，提升用户体验。都采用透明接入。
  但如果是一些企业网APN，例如银行电力，则肯定是要非透明接入了。因为要保证一个安全性。个人理解。

爱卫生

weishengzi 发表于 2011-7-21 14:03
LZ的意思是
access可以省略，即透明接入
但account是一定要做的，只是GGSN的create pdp response用不用等 ...

  对的对的。access是对用户身份的确认，即鉴权。accouting的功能则是审计，也就是网络侧要知道这个用户在网络里做了什么，如果做了什么非法的事情则需要进行管理。如果不做accouting的话，则为用户提供WAP业务的WAP网关将无法得到用户的身份等信息、例如手机号，IMSI，接入技术，使用的地址等等。因为GGSN和WAP网关采用的GRE协议，封装的是纯IP包。不像Gn接口GTP包头中能携带用户的很多信息。所以，WAP网关要像对用户的访问网络的行为进行监控，则只能由accouting流程来做，GGSN将用户的信息通过accouting报给RADIUS Server，RADIUS Server有时会集成在WAP网关上，这样WAP网关就可以有用户的信息对用户的行为进行监控了。

爱卫生

王二麻子 发表于 2011-7-21 22:23
有点疑问：在附着的时候进行过一次鉴权？为什么这里又进行一次？估计要是想访问企业内部网的话估计还得进行 ...

  对的。好问题。附着时候的鉴权不涉及到PDN网络，所以附着的鉴权只是对手机的身份进行确认，保证这个手机不是根据IMSI复制的非法手机。这个鉴权是由通信运营商来控制的，附着成功后，代表手机的身份得到确认，并且有了访问GPRS业务的能力。
  但激活时的鉴权是确认用户具有访问某个外部PDN网络的权限，和前者不同，激活时的鉴权是由为用户提供服务的PDN网络服务器的拥有者所主导的，例如电力银行等企业网，有自己企业网独立的APN，他们就可以在自己的网络内设置Radius服务器，对接入电力银行企业网的用户身份进行鉴权。因为即使你有访问GPRS业务的权限（这很简单，5元钱就可以开通），但不见得你能允许访问我的企业内部网。例如一台银行的ATM取款机。
  另外，附着时的鉴权采用的是GSM三元组，3G是五元组的鉴权方式。但激活时对APN网络的鉴权则需要手机用户提供用户名和口令来完成鉴权。方式是不一样的。

爱卫生

zglaojiang 发表于 2011-8-20 20:10
回复 爱卫生 的帖子

请问一下，比如那些企业服务器对吧，它是建立在公网之上的，那么对于一个普通用户的话 ...

  企业服务器虽然是和运营商的网络挂靠在一起，但不一定是建立在公网之上，也就是说运营商在它的IP承载网中会将企业网和公网Internet通过MPLS VPN等技术进行分离，所以普通用户是访问不了的。而且普通用户也不可能签约企业APN。因为企业网都是企业的核心业务网络，例如银行的取款、电力等。对安全性要求是很高的。
  一般用户是肯定无法访问的。做鉴权相当于是多加一层保护，就是说这个用户如果已经闯进来了，那就需要去确认它的身份，并根据它的身份能够授予相应的权限。进行控制。

爱卫生

回复 arrowbroken 的帖子

  谢谢指正！我完全同意你的说法。说审计其实应该是数据通信固网里更合适一些，如果是移动通信里的Accouting就是你所说的计费的开始和结束。因为RADIUS的3个在IP网当中的原始功能就是识别你是谁、你能做什么、你做了什么。这里说的Accouting的审计功能就是最后一个功能“知道你做了什么”，你的所有行为都会有日志记录，并发送到RADIUS Server，这才是审计。移动通信网络里面用的不是这个审计功能。偏计费。

爱卫生

回复 sddtc 的帖子

  标准的流程应该是在收到RADIUS的Accouting Response消息后，GGSN给SGSN回Create PDP Context Response。如果没收到Accouting Response，GGSN不是删除（因为它根本就没有创建），而是给SGSN回Create PDP Context Reject。
  但这种标准流程将非常影响PDP激活时间，因为到RADIUS是Gi接口，属于IP网络，延迟可能比较大。如果要等到Accouting Response消息再回Create PDP Context Response就会时间很长，所以GGSN上很多厂家都可以配置不用等待RAIDUS的Accouting Response，先给SGSN回Create PDP Context Response。因为这是和计费相关的信息，可以慢慢等一会。

爱卫生

回复 hycl5410 的帖子

  非常感谢补充和指正！谢谢！{:soso_e181:}

爱卫生

谢谢补充。liu大侠的观点我都很赞同。包括ACR/ACA用于离线，CCR/CCA用于在线以及GPRS业务的鉴权和业务鉴权是两回事这些。包括鉴权要具体分析这块也是。有时候不光是从技术角度来考虑，运营商可能从运营以及增加用户业务体验的角度来考虑，本来有些业务是要分开鉴权的，但现在合并了，也就是常说的透明接入。