kamailio-ACC_RADIUS模块详解，附加AAA协议

AAA 协议详解

AAA 是 Authentication（认证）、Authorization（授权） 和 Accounting（计费） 的缩写，是网络管理中用于控制用户访问资源的核心框架。AAA 协议的主要目的是确保只有合法用户可以访问网络资源，并记录用户的使用情况。

1. AAA 的三大功能

1.1 认证（Authentication）

定义：验证用户的身份，确保用户是其所声称的那个人。
常见方式：
- 用户名和密码：最常用的认证方式。
- 双因素认证（2FA）：结合密码和一次性验证码（如短信或应用程序生成）。
- 生物识别：如指纹、面部识别等。
示例：
- 用户登录 Wi-Fi 时输入用户名和密码。
- 用户登录 VPN 时使用双因素认证。

1.2 授权（Authorization）

定义：确定用户有权访问哪些资源或执行哪些操作。
常见方式：
- 基于角色的访问控制（RBAC）：根据用户的角色分配权限。
- 基于策略的访问控制（PBAC）：根据预定义的策略决定权限。
示例：
- 管理员用户可以访问所有系统设置，普通用户只能访问部分功能。
- 用户登录后只能访问特定的网络资源（如内部文件服务器）。

1.3 计费（Accounting）

定义：记录用户使用资源的情况，用于计费、审计或监控。
常见数据：
- 会话的开始时间、结束时间和时长。
- 用户使用的数据流量（上传和下载）。
- 用户访问的服务类型（如 VoIP、视频流等）。
示例：
- 记录用户的网络使用情况，生成详细的计费报告。
- 监控用户的网络行为，用于安全审计。

2. AAA 协议的应用场景

2.1 网络接入

Wi-Fi 接入：用户连接 Wi-Fi 时，需要通过 AAA 协议进行认证和授权。
VPN 接入：用户通过 VPN 连接企业网络时，AAA 协议确保只有合法用户可以访问。

2.2 计费系统

ISP（互联网服务提供商）：记录用户的网络使用情况，用于计费。
企业网络：监控员工的网络使用情况，用于成本分摊或审计。

2.3 安全审计

记录用户行为：AAA 协议可以记录用户的登录时间、访问资源等信息，用于安全审计。
检测异常行为：通过分析计费数据，可以发现潜在的安全威胁（如异常登录行为）。

3. 常见的 AAA 协议

3.1 RADIUS

简介：RADIUS（Remote Authentication Dial-In User Service）是最早的 AAA 协议之一，广泛用于网络接入和计费。
特点：
- 基于 UDP 协议，默认端口为 1812（认证/授权）和 1813（计费）。
- 支持多种认证方式（如 PAP、CHAP、EAP）。
- 灵活性强，支持自定义属性。
应用场景：
- Wi-Fi 认证。
- VPN 接入。
- 计费系统。

3.2 TACACS+

简介：TACACS+（Terminal Access Controller Access-Control System Plus）是 Cisco 开发的 AAA 协议，主要用于网络设备的访问控制。
特点：
- 基于 TCP 协议，默认端口为 49。
- 支持更细粒度的授权控制。
- 安全性更高，支持加密整个消息体。
应用场景：
- 网络设备（如路由器、交换机）的管理员登录。
- 企业网络的访问控制。

3.3 Diameter

简介：Diameter 是 RADIUS 的升级版，支持更复杂的 AAA 功能。
特点：
- 基于 TCP 或 SCTP 协议，支持更高的可靠性和性能。
- 支持更多的属性和扩展功能。
- 安全性更强，支持 TLS/IPSEC。
应用场景：
- 移动网络（如 LTE、5G）的 AAA 功能。
- 大规模网络的认证和计费。

4. AAA 协议的工作流程

4.1 认证流程

用户尝试访问资源（如连接 Wi-Fi）。
客户端（如 NAS）将用户的认证信息（如用户名和密码）发送到 AAA 服务器。
AAA 服务器验证用户信息：
- 如果验证成功，返回 Access-Accept 消息，允许用户访问。
- 如果验证失败，返回 Access-Reject 消息，拒绝用户访问。

4.2 授权流程

用户通过认证后，AAA 服务器根据用户的角色或策略决定其权限。
客户端根据授权结果，限制用户可以访问的资源或执行的操作。

4.3 计费流程

用户成功访问资源后，客户端会发送 Accounting-Request（Start） 消息，记录会话开始。
在会话期间，客户端可能会发送 Accounting-Request（Interim-Update） 消息，更新会话状态。
当用户断开连接时，客户端发送 Accounting-Request（Stop） 消息，记录会话结束。

5. AAA 协议的优势

5.1 安全性

通过认证和授权，确保只有合法用户可以访问资源。
通过计费功能，记录用户行为，用于安全审计。

5.2 灵活性

支持多种认证方式（如密码、双因素认证、生物识别）。
支持自定义属性和扩展功能。

5.3 可扩展性

适用于各种规模的网络（从小型企业到大型 ISP）。
支持与其他系统（如 LDAP、Active Directory）集成。

6. AAA 协议的局限性

6.1 性能瓶颈

在高并发场景下，AAA 服务器可能成为性能瓶颈。
需要优化服务器配置和网络架构。

6.2 安全性不足

某些 AAA 协议（如 RADIUS）的安全性较弱，容易受到攻击。
需要结合其他安全措施（如防火墙、IDS）提升安全性。

6.3 复杂性

配置和管理 AAA 系统需要一定的技术能力。
需要定期维护和更新，以确保系统的安全性和稳定性。

7. AAA 协议的实际应用

7.1 FreeRADIUS

简介：FreeRADIUS 是一个开源的 RADIUS 服务器，支持 AAA 功能。
特点：
- 支持多种认证方式（如 PAP、CHAP、EAP）。
- 可扩展性强，支持自定义模块。
- 广泛用于企业网络和 ISP。

7.2 Cisco ISE

简介：Cisco Identity Services Engine（ISE）是一个企业级的 AAA 解决方案。
特点：
- 支持 RADIUS 和 TACACS+ 协议。
- 提供强大的安全性和策略管理功能。
- 适用于大型企业网络。

7.3 Kamailio 的 AAA 模块

简介：Kamailio 支持通过模块（如 acc_radius）实现 AAA 功能。

配置示例：

loadmodule "acc_radius.so"
modparam("acc_radius", "radius_flag", 1)
modparam("acc_radius", "radius_config", "/etc/radiusclient-ng/radiusclient.conf")

总结

AAA 协议是网络管理中不可或缺的一部分，通过认证、授权和计费功能，确保网络资源的安全和有效使用。常见的 AAA 协议包括 RADIUS、TACACS+ 和 Diameter，每种协议都有其特点和适用场景。选择合适的 AAA 协议和解决方案，可以显著提升网络的安全性和管理效率。

##ACC_RADIUS 模块
作者
Juha Heinanen
jh@tutpro.com
Daniel-Constantin Mierla
asipto.com
miconda@gmail.com

编辑
Daniel-Constantin Mierla
asipto.com
miconda@gmail.com

管理员指南
1. 概述
2. 依赖
  2.1 Kamailio 模块
  2.2 外部库或应用程序
3. 参数
  3.1 radius_config（字符串）
  3.2 radius_flag（整数）
  3.3 radius_missed_flag（整数）
  3.4 service_type（整数）
  3.5 radius_extra（字符串）
  3.6 rad_time_mode（整数）
4. 函数
  4.1 acc_rad_request(comment)

1. 概述

ACC_RADIUS 模块用于将事务信息记录到 RADIUS 服务器。它绑定到 ACC 模块的 API，并使用与其他后端相同的计费机制。

因此，您只需要此模块来将计费数据发送到 RADIUS 服务器。有关计费的更多文档，请参阅 ACC 模块的说明。

2. 依赖

2.1 Kamailio 模块

该模块依赖于以下模块（即以下模块必须在此模块之前加载）：

acc：计费模块。

2.2 外部库或应用程序

在运行 Kamailio 之前，必须安装以下库或应用程序：

radiusclient-ng 0.5.0 或更高版本，或 freeradius-client（GitHub 链接），或 radcli（官网链接）。
- 如果要使用 freeradius-client 库，请在编译前设置环境变量 FREERADIUS=1。
- 如果要使用 radcli 库，请在编译前设置环境变量 RADCLI=1。

3. 参数

3.1 radius_config（字符串）

此参数是 RADIUS 特定的。指定 RADIUS 客户端配置文件的路径。请正确设置配置文件，并在其中指定服务器地址、共享密钥（应与 FreeRadius 服务器中的 /usr/local/etc/raddb/clients 文件中的密钥一致）和字典。请参阅示例配置文件和字典。

如果此参数设置为空字符串，则禁用 RADIUS 计费支持（即使已编译）。
默认值为 NULL。

示例 1.1. radius_config 示例

modparam("acc_radius", "radius_config", "/etc/radiusclient/radiusclient.conf")

3.2 radius_flag（整数）

请求标志，用于标记需要计费的事务（RADIUS 特定）。
默认值为未设置（无标志）。

示例 1.2. radius_flag 示例

modparam("acc_radius", "radius_flag", 2)

3.3 radius_missed_flag（整数）

请求标志，用于标记需要计费的未接呼叫（RADIUS 特定）。
默认值为未设置（无标志）。

示例 1.3. radius_missed_flag 示例

modparam("acc_radius", "radius_missed_flag", 3)

3.4 service_type（整数）

用于计费的 RADIUS 服务类型。
默认值为 15（SIP）。

示例 1.4. service_type 示例

modparam("acc_radius", "service_type", 16)

3.5 radius_extra（字符串）

通过 RADIUS 记录的额外值（RADIUS 特定）。
默认值为 NULL。

示例 1.5. radius_extra 示例

modparam("acc_radius", "radius_extra", "via=$hdr(Via[*]); email=$avp(s:email)")

3.6 rad_time_mode（整数）

RADIUS 的 Event-Timestamp 格式。
可选值：

0：默认值，仅使用 Unix 时间戳（例如：1445590624）。
1：使用 Unix 时间戳加微秒格式，需要将 RADIUS 服务器和客户端的 Event-Timestamp 属性类型更改为字符串（例如：1445590624.377372）。
默认值为 0（Unix 时间戳）。

示例 1.6. rad_time_mode 示例

modparam("acc_radius", "rad_time_mode", 1)

4. 函数

4.1 acc_rad_request(comment)

类似于 acc_log_request 函数，报告 SIP 请求事件。它将报告发送到 radius_config 中配置的 RADIUS 服务器。

参数说明：

comment：要附加的注释。第一个标记可以是 SIP 响应代码，用于解释事件类型（例如，使用 200 表示事务被视为成功响应）。

使用范围：
可以在 REQUEST_ROUTE 和 FAILURE_ROUTE 中使用。

示例 1.7. acc_rad_request 使用示例

acc_rad_request("Some comment");
...
# 将记录写为事务响应 200 代码时的情况
acc_rad_request("200 From Config");

总结

ACC_RADIUS 模块允许将 Kamailio 的事务信息记录到 RADIUS 服务器。通过配置 radius_config 文件和相关参数，可以灵活地控制计费数据的记录方式和内容。