Juniper-FUNK-SBR-OAC解决方案.doc

Juniper AAA解决方案 Juniper AAA系统 解决方案 ——Steel Belted Radius & Odyssey Access Client产品 Juniper Networks, Inc. 目录 1. 项目背景 3 2. 需求分析 3 2.1 系统总体架构 3 2.2 系统具体设计 4 2.3 Juniper Steel Belted Radius服务器功能概述： 4 2.4 系统容量分析 5 3. Steel Belted Radius 产品介绍 7 3.1 Juniper Steel-Belted Radius企业版本介绍 7 3.1.1 Steel Belted Radius功能特点 7 3.1.2 Steel Belted Radius（GEE版本）功能表 15 3.1.3 Steel Belted Radius（EE版本）功能表 16 3.2 Steel Belted Radius Appliance 16 3.3 Steel-Belted Radius服务提供商版本介绍 17 3.3.1 Steel-Belted Radius SIM Server 18 3.3.2 Steel-Belted Radius MIM（Mobile IP Module） 19 4. 802.1x客户端软件（OAC） 20 1. 项目背景 为满足xxxxxx系统规划的用户接入管理控制功能，对xxx应用系统提供部署所必要的认证(Authentication)、授权(Authorization)与计费/审计(Accounting)机制，并考虑未来的扩充性以及与其它系统的整合，建立一套完善的符合RADIUS标准的AAA系统是至关重要的。 Juniper网络公司的 Steel-Belted Radius（SBR）产品继承于业界专业的Radius服务器软件供应商FUNK公司，为广大用户提供最为强大的AAA系统。SBR基于用户需求的不同，分别提供GEE（Global Enterprise Edition）版本、EE（Enterprise Edition）版本和SPE（Service Provider Edition）版本。 2. 需求分析 核心AAA认证管理系统功能要求： l 实现***规定的Radius功能，验证用户、管理IP分配策略，并实现计费或审计。 l 为系统提供事务处理记录用于审计或计费及出帐。 l 其它 2.1 系统总体架构 AAA系统主要由Radius服务器、后台数据库组成。 Radius在方案中做为接入管理的控制部分，配合系统的接入端设备（例如BRAS、VPN接入…）为用户提供认证和审计服务，负责按照策略进行接入准入、IP地址分配、访问事件记录等功能。 后台数据库服务器负责存储用户信息，Radius基于数据库用户相关信息，予以判断返给用户何种授权。Juniper Steel-Belted Radius除了可以使用其自身的认证库(native database)，也支持集成外部的数据库认证方式。目前Juniper SBR能够集成下列第三方系统做为整体解决方案： l XP/2000/NT and UNIX操作系统 l Active Directory, NT Domains and Hosts l Solaris Network Information Services (NIS) and NIS+. l Token-based身份认证系统，包括RSA SecurID, CryptoCard, VASCO DigiPass, Safeword. l LDAP directories 包括Novell’s eDirectory., Sun Java System Directory Server, Open LDAP. l SQL databases 包括Oracle, MySQL等. l 任何ODBC- or JDBC-compliant database l TACACS+ l Juniper SBR还可以与其它RADIUS servers 通过代理的方式进行集成，通过代理认证将用户的认证请求转发到远端的RADIUS Server进行最终认证。 通过Steel-Belted Radius与以上各种认证资料库的组合，为一个多重帐户资料库的复杂环境下，建立统一的认证计费平台，而原有的用户资料库不需要做任何调整和修改，即可集成到Juniper SBR认证系统中，为用户提供一个统一的认证计费接口。 2.2 系统具体设计 （需要根据项目的具体需求添加设计概要） 2.3 Juniper Steel Belted Radius服务器功能概述： 根据完整应用的Radius协议执行过程，Radius服务器的主要功能包括认证、授权及计费三个部分。它能够提供集中管理所有的远程和有线/无线LAN用户或设备，对所有接入用户进行接入认证、网络授权及事件审计并计费，从而实现网络接入的安全性。 Steel-Belted Radius主要执行三个重要的功能： l 认证（Authentication）——根据中心安全数据库的内容，验证任何接入的用户或设备相关信息，如用户名和口令等，以确保只有有效信任度的请求才能被准予访问该网络。 l 授权（Authorization）——对于每一个新连接，为远程接入点或WLAN接入点设备提供信息，如使用什么IP地址、会话时间限制信息、或者是建立什么类型的隧道等。 l 计费（Accounting）——记录所有远程和WLAN连接，包括用户名和连接时间，以便进行跟踪和计费。 当一个用户通过远程接入服务器、防火墙、路由器、接入点、或任何其它相应网络接入设备被连接到网络上时，该设备就通过询问Steel-Belted Radius来确认该用户的连接是否已经被授权。Steel-Belted Radius根据中心数据库中的用户信息判定接受或者拒绝该连接，对正确的连接授权相应类型的连接或服务。当该用户中止连接后，该网络接入设备就通知Steel-Belted Radius，随即Steel-Belted Radius记录此事务处理的完整信息用于计费或审计。 2.4 系统容量分析 本系统规划采用Juniper Steel-Belted Radius（？？Edition）。考虑到现有用户业务系统的现状以及满足将来业务发展的需要，AAA系统容量应按照以下原则进行规划：（以下是一个计算例子） (1) 认证模式: 50% of HTTP Authentication；50% of EAP-PEAP Authentication (2) 用户量：50,000 Total users (3) 在线连接量（业务高峰期）：通常按照总用户量的30% 计算，具体需要视用户系统的业务模型而定 (4) Radius服务器的并发事务处理能力：通常按照Radius在线用户的0.5%计算 基于以上原则，根据SBR RADIUS承载硬件平台计算表，得出系统硬件容量规划如下： No. Description Assumptions Total 1 Total Subscriber Base: 500,000 500,000 2 Concurrent Subscribers (Sessions) during peak period: 30.0% 150,000 　 (Calculation: % in relation to total subscriber base) 　 　 3 Subscribers (sessions) established per second: TPS 0.50% 750 　 (Calculation: % in relation to concurrent subscribers) 　 　 4 CPU utilization should not exceed (%) during peak 75.0% 1,000 RADIUS TPS REQUIREMENT: 　 1,000 SUN Solaris Platform(500k accounts) CPU options (Minimum Requirement): 　 　 1 Single CPU 1,000 MHz per CPU 2 Dual CPU 500 MHz per CPU 3 Quad CPU 250 MHz per CPU RAM (Minimum Requirement): 1,212 MB HDD (Minimum Requirement): 38 GB Linux Platform CPU options (Minimum Requirement): 　 　 1 Single CPU 1,333 MHz per CPU 2 Dual CPU 667 MHz per CPU 3 Quad CPU 333 MHz per CPU RAM (Minimum Requirement): 1,445 MB HDD (Minimum Requirement): 44 GB Windows Platform CPU options (Minimum Requirement): 　 　 1 Single CPU 3,000 MHz per CPU 2 Dual CPU 1,500 MHz per CPU 3 Quad CPU 750 MHz per CPU RAM (Minimum Requirement): 2,312 MB HDD (Minimum Requirement): 74 GB 3. Steel Belted Radius 产品介绍 3.1 Juniper Steel-Belted Radius企业版本介绍 Juniper Steel Belted Radius企业版本包含全球级企业版（Global Enterprise Edition）和标准企业版本（Enterprise Edition）。其主要特点如下： l 通过单一的认证数据库和鉴控台上集中管理远程用户和LAN用户的网络接入 l 集中管理不同种类Radius客户端设备，如NAS、BRAS、防火墙、VPN、802.1x交换机以及WLAN接入设备（AP） l 与现有的NT/2000、Solaris、NetWare、SQL/LDAP等用户数据库以及令牌系统进行集成，为用户提供集中的认证审计平台 l 阻止未经授权的任何接入 l 管理到您网络的ISP接入 l 安全地将您的网络与用于电子商务的Internet结合起来 l 容易跟踪并记录所有的用户接入活动事件 3.1.1 Steel Belted Radius功能特点 （1） 全面支持各种接入认证功能（Authentication），包括Wired/Wireless接入、远程接入（NAS/BRAS）、VPN接入等。 Steel-Belted Radius可以与最多类型的网络接入设备和接入方法进行集成，它能够同时管理通过拨号、Internet、VPN/隧道、ISP以及WLAN等方式连接的用户，Steel-Belted Radius不仅仅对用户访问进行认证和授权，甚至能够跟踪和记录所有的接入业务的具体事件。 尤其在安全的无线接入网络中（WLAN），Steel-Belted Radius扮演了重要的角色，它为IEEE 802.1x无线网络提供业界最为全面的接入认证标准，支持几乎所有通用的EAP认证协议，例如：EAP-TTLS, EAP-PEAP, EAP-TLS, EAP-FAST, Cisco’s LEAP, and EAP-MD5。配合具有802.1x功能的无线AP接入设备或者有线的交换机(Switch)，依据访问者相关信息属性，进行动态的IP地址分配或Virtual LAN (VLAN)和划分管理，大幅增强网络的安全性，降低了因为员工移动访问所带来的管理成本和安全隐患。保障WLAN接入及其安全性——Steel-Belted Radius是最佳的选择。 在典型的Internet运营商OSS系统中，Radius也起着无可替代的重要作用，Juniper Steel Belted Radius可以帮助服务提供商（ISP）实现对接入用户进行认证和计费，在PPP/PPPOE的接入方式，通过SBR对NAS或BRAS设备的控制管理，协助业务系统的运行。 另外，Steel-Belted Radius也可以对远端VPN访问接入提供集中的安全管理。它支持标准的RADIUS tunneling attributes以及大部分的vendor-specific attributes(VSA)，也支持MS-CHAP v2加密形式与Microsoft RAS 进行PPTP接入管理连接。并灵活支持各种帐户格式，例如user@tunnel, tunnel#user, 或者按照被叫号码（Called Station ID）区分不同的VPN帐户类型。 有了Steel-Belted Radius，你可以基于现有的用户数据库信息，对所有的远程用户认证，无论他们是以何种方式连接到网络。 （2） 建立所有用户的统一访问管理平台 对于一个复杂的网络环境下，存在各种各样的网络接入设备和途径，以前分散的认证系统导致企业IT管理的混乱，不仅用户数据库不能有效利用，而且认证系统之间没有必然的联系，因此为用户提供一个统一的认证管理接口是大势所趋。 Steel-Belted Radius可以管理多种网络接入设备，并可以集成多种用户数据资料库，因此用户访问管理将大大简化。你不再需要为网络上的每一台接入设备建立独立认证系统和用户数据库。 Steel-Belted Radius服务器可以集成如下的第三方用户数据资料库，为所有用户认证提供一个集中的接口，帮助用户简化其网络接入管理系统。 l 基于令牌的认证系统， 如RSA安全性ACE/服务器、CryptoCard、以及VASCO DigPass l SQL数据库，包括Oracle和Sybase，对于运行在Windows NT和Solaris上的Steel-Belted Radius服务器。Steel-Belted Radius用您现有的SQL表结构进行工作，不需要重新设计数据库，而且可以按照一个或多个SQL数据库进行认证，即使它们是从不同的厂家购买的产品。 l LDAP目录 用于Steel-Belted Radius的Windows NT和Solaris版本。 l 任何支持ODBC的数据库 用于Steel-Belted Radius的Windows NT版本。 l TACACS+ 用于Steel-Belted Radius的Windows NT和Solaris版本。 l 其它RADIUS服务器 基于RADIUS服务器的代理认证功能（Proxy radius）。 （3） 集中管理网络访问设备 Steel-Belted Radius支持不同类型的网络设备，与这些网络接入设备进行配合。网络接入设备在AAA认证系统中，承担Radius Client的作用，负责转发用户的访问认证请求并接收来自Radius服务器返回的授权信息，除此之外这些网络接入设备还负责传递用户的在线状况，提供有效的用户访问事件记录。 Steel-Belted Radius能够自动地与每一台设备用其语言进行通讯，它们之间传递相互理解的信息(即各种Radius协议可以识别的属性)，而这一功能是基于描述了各个厂家对RADIUS协议字典（Dictionary）的扩展。因此无论您是采用了拨号、Internet、VPN、外协、WLAN、或任何其它形式通过任何网络接入设备， Steel-Belted Radius都能够进行管理。典型的网络接入设备包括： l 窄带拨号的远程接入服务器 3Com、Cisco、Lucent、Nortel、华为等 l 宽带接入服务器 Juniper、Redback、Huawei等 l 防火墙连接的用户认证 Juniper、Check Point、Cisco、以及其它产品 l 路由器设备建立隧道/VPN Juniper、3Com、Check Point、Microsoft、Nortel、Red Creek、V-One等 l WLAN接入点（AP）设备 Juniper、3Com、Agere、Avaya、Cisco、Enterasya、Proxim、Symbol、Aruba等 l 802.1x交换机设备 3com、Cisco、Huawei、Alcatel、Extreme、Enterasy、Foundry等 除此以外，任何支持标准RADIUS协议的其它设备均可以通过Juniper Steel Belted Radius进行管理。 （4） 强大的EAP认证协议支持 Steel-Belted Radius在无线LAN用户访问管理方面起到一个关键的作用，为了能够管理WLAN接入热点（AP）或基于802.1x协议的LAN设备，Steel-Belted Radius服务器支持如下协议和方法： l 可扩展的认证协议（EAP），即802.1x协议中规定的传输协议，用于用户和接入设备之间连接的沟通。 l EAP认证方法，包括： EAP-MD5-Challenge EAP-LEAP EAP-FAST EAP-TLS EAP-TTLS EAP-PEAP (Cisco & Microsoft) EAP-Generic-Token-Code (GTC) EAP-POTP EAP认证方法是一种标准的安全性验证机制，它用于保证证书交换、数据传输。Steel-Belted Radius服务器完全支持上述EAP认证方法，包括它们生成和交换密钥的要求。WLAN上的安全性等级是由使用中的EAP认证类型确定的。EAP认证类型提供了信任度安全性、数据安全性，或者是两者，而且其安全性等级和提供的可管理性随之变化。 对于最强一级的WLAN安全性，要么选择EAP-TTLS、EAP-PEAP，或者选择EAP-TLS。它们提供了卓越额信任度安全性，客户机和服务器之间强的相互认证，并按照每个会话分配一个128位的密钥，并且按照指定的时间间隔修改该密钥，以保护数据的安全。 然而，选择合适的EAP方法不仅仅是为了安全性问题。这些协议在如何容易地管理，以及它们提供的认证数据库的范围方面都有所不同。 例如，EAP-TLS依赖客户端的认证（certificates）来对WLAN用户进行认证。因此，它最适合于已经使用（配置）或承诺PKI基础设施的企业。其它的企业也会发现他们需要使用客户端的认证对他们非常难以承受的拥护进行认证。 然而，当把EAP-PEAP的运行方法和其安全性两者与EAP-TTLS进行比较时就会发现，它不像EAP-TTLS那样灵活，而且还不能支持隧道内认证方法的范围，而EAP-TTLS能够支持。 于2003年初开始出现的商用EAP-PEAP曾经受互用性问题的困扰。然而，由于Microsoft和Cisco公司的产品支持该协议，因此，可以预期它还将会得到广泛的应用。它完全适用于执行对Windows域和目录业务（Directory Service）的安全性认证。 EAP-TTLS支持最广泛的口令协议及认证数据库，因为它允许使用对WLAN用户认证的任何现有系统，包括活动目录（Active Directory）、令牌系统、LDAP以及SQL数据库等，因而使其应用大大简化。 为了达到全安全性，需要能够支持EAP-TTLS、EAP-PEAP、或EAP-TLS的802.1x客户机软件，Juniper在提供Radius服务器软件的同时，也提供802.1x客户端软件，Odyssey Access Client(OAC)，本方案最后章节将描述此产品。 另外，Steel-Belted Radius服务器还通过如下方法提供WLAN上增强的安全性： l 防止恶意的接入点 Steel-Belted Radius服务器将忽略来自任何非注册接入点的通讯。这样就可以阻止非法安装或使用设备对网络的侵入。 l 支持时间会议（会话）限制、日时间限制，以及其它RADIUS属性。 这将使您给WLAN的使用强制增加了安全性约束。例如，您可以指定WLAN接入只能在工作时间内发生，或者是强制再次认证只能在指定的一段时间后进行。 （5） 对访问请求的授权(Authorization) Steel Belted Radius允许管理员依据User Profile或群组 (Group)方式定义需要认证检查（check List）的信息进行校验，对用户请求授予相应的访问权限（return list），例如： Check List内容举例： User Name /Password /Called Station ID /NAS-identifier等等 Return List内容举例： Framed Protocol / Session timeout /Service Type /Black listing等等 （6） RADIUS审计和计费功能（Accounting） Steel-Belted Radius将记录所有的事务处理，因此，您将会看到全部的认证请求历史数据和处理结果，以及访问事件的详细审计信息，如访问开始时间、访问结束时间、访问流量信息等。通常用户可以根据Radius的Accounting信息进行安全审计或者进行计费。 Accounting数据可以被很容易地输出到电子数据表、数据库以及专用的计费软件。而Radius在此的作用是提供这些事件的详细记录，如何处理这些事件，需要另外的第三方系统支持，例如一个完善的计费系统，不仅仅要有Radius模块采集计费信息，还需要计费模块、批价模块以及帐务模块处理，通过费率引擎定义的计费策略，对每一条计费事件进行算费、出帐等。 （7） 有效地处理代理认证 代理RADIUS是RADIUS规范中一个强大的特点，它允许一台RADIUS服务器将认证请求传递给另外一台具有执行认证所必要的数据库的RADIUS服务器。 Steel-Belted Radius完全支持代理RADIUS；其支持的功能包括： l 将RADIUS请求转发给另外一台RADIUS服务器； l 作为目标服务器来处理来自其它RADIUS服务器的请求； l 透明传递计费信息给目标服务器； 当你拥有多个网络接入点，且远程用户能够潜在地连接到这些网络时，如果使用了代理RADIUS，就可以节省大量的处理时间。此时第一级的Radius并不许要将每一个上网用户的认证信息存储在每一个服务器上。相反，我们只需要简单地按照用户类型将其转发的最终Radius服务器信息存储到认证数据库，这样就可以帮助用户实现基于Radius认证的用户漫游（Roaming）。 Steel-Belted Radius 在支持Proxy RADIUS功能时能够将Radius request转发到最终的目的RADIUS，通常规划转发用户类型的方法如下： Forward according to Username decoration – Suffix (user@realm) Forward according to - Username decoration – Prefix (realm/user) Dialed Number Information Services (DNIS or the called number) 根据Radius请求中包含的属性信息，例如用户名，或者被叫号（Called Station ID）可以区分每种用户类型用户的最终认证服务器，所以用户的详细信息就只需要存放在最终Radius认证数据库中。 而审计和计费信息可以根据需求转发到指定的服务器。Steel-Belted Radius允许将审计信息按照各种形式存放，包括： l 本地存储–Proxy server 保存所有RADIUS accounting 信息到本地log文件 l 转发（Forward） – Proxy server 转交所有RADIUS accounting 信息给最终 RADIUS server l 本地存储和转发 －Proxy Radius Server 和Home Radius Server都存储计费信息 （8） 具有卓越的性能表现 Steel-Belted Radius做为性能卓越的商业化RADIUS服务器软件，高效进行事务处理。例如其处理能力可以达到： 每400MHz的CPU每秒钟能够处理400个RADIUS事务。 SBR自身数据库最大支持20000用户，但是通过与第三方用户资料库的集成，可实现任意扩充用户数目，因此能够同时支持大量有线和无线用户，满足随着机构内部对无线上网需要的增长而必然出现用户数量剧增的需要。 （9） Steel Belted Radius符合的标准协议 RFC 2865 RADIUS Authentication RFC 2866 RADIUS Accounting RFC 2809 Compulsory Tunneling via Radius RFC 2867 Accounting attributes for Tunnel Support RFC 2868 RADIUS Attributes for Tunneling Support RFC 2869 Radius Extensions RFC 3579 Radius Extensions RFC 2284 PPP Extensible Authentication Protocol (EAP) RFC 3748 Extensible Authentication Protocol (EAP) RFC 2716 PPP EAP-TLS Authentication RFC 3580 IEEE 802.1x RADIUS Usage Guidelines RFC 2882 NAS Requirements: Extended RADIUS Practices RFC 2433 Microsoft PPP CHAP Extensions RFC 2607 Proxy Chaining and Policy Implementation in Roaming RFC 2548 Microsoft Vendor Specific RADIUS Attributes SNMP MIB Support Steel-Belted Radius/GEE RADIUS Authentication Server MIB (RFC 2619) RADIUS Accounting Server MIB (RFC 2621) RADIUS Authentication Client MIB (RFC 2618) RADIUS Accounting Client MIB (RFC 2620) SNMP MIB for Network Management of TCP/IP-Based Internets: MIB-II (RFC 1213) SNMP Management Frameworks (RFC 2271) Structure and Identification of Management Information for TCP/IP-based Internets (RFC 1155) （10） Steel-Belted Radius的平台支持 Steel-Belted Radius for Windows XP/2000/NT runs on Windows NT 4.0 with Service Pack 6, Windows 2000 (all editions), Windows XP (all editions), and Windows Server 2003 (all editions). Steel-Belted Radius for Solaris runs on Solaris 8 or 9 running on SPARC or UltraSPARC. Steel-Belted Radius for Linux runs on the SuSE Enterprise Server 9 (SLES9) and Red Hat (Enterprise and Advanced Server 3) versions of Linux. 3.1.2 Steel Belted Radius（GEE版本）功能表 3.1.3 Steel Belted Radius（EE版本）功能表 3.2 Steel Belted Radius Appliance Steel Belted Radius GEE和EE服务器同时提供与硬件平台集成在一起的网络工具，直接提供给用户使用，SBR AP具有以下规范： 硬件： 外观：1U 机柜高 尺寸（高x宽x深）：1.75x16.7x14 英寸 处理器：2.8 GHz Pentium 内存：512 MB RAM 磁盘空间：80 GB 连接性：主板上双 100/1000 NIC 监管遵从：UL1950；CSA22.2 No.950；EN60950；PCC Part 15 Class A；EN55024:1998；EN55022:1998；EN50082-0；VCC V-3/200.4；AS/NZS 3548 认证：cULus、CE、VCCI、FCC Part 15、C-Tick、TUV 软件： SBR EE 或 SBR GE Microsoft® Windows® 2000 Professional，Security Hardened 基于浏览器的安全管理控制台 性能：每秒 1,500 次事务处理 3.3 Steel-Belted Radius服务提供商版本介绍 Steel-Belted Radius/SPE（服务提供商版本，Service Provider Edition）是一个强大的RADIUS服务器，它可以满足无线运营商，运行商和服务提供者对认证、记帐和服务分发的需求。 其与企业版本最大的区别在于提供专有的附加模块，例如针对CDMA 无线运营商的SBR/Mobile IP Module、提供 EAP-SIM、EAP-AKA 和可选的 SMS 插件模块、以及为运营商提供分级管理的Service level manager模块等，具体功能表如下： Funk Radius SPE功能特点（包含所有企业版功能的基础上）： 针对大规模、外包的、无线的、宽带和漫游的服务提供商的RADIUS/AAA解决方案。 l 能够支持EAP-SIM/EAP-AKA认证方法 l 能够处理最繁忙网络的高能力 l 能够容易地管理服务发布 l 能够与你的网络操作中心从客户数据库到计费系统各方面集成 l 实时记帐服务的关键 l 能够与其它RADIUS服务器互操作，因此你可以轻易地在WAN上发布认证方式和记帐方式 l 最佳的多厂家的AAA解决方案 l 从GUI或着通过LDAP从命令行进行管理 3.3.1 Steel-Belted Radius SIM Server Juniper Networks Steel-Belted Radius SIM 服务器允许用户提供公共无线局域网和免许可移动联盟（UMA）接入等基于 IP 的业务，为 802.1X / 非 802.1X 以及 UMA 网络提供 AAA 服务，从而使您能够多种方式向客户提供新业务。 SBR SIM 提供接口，将用户认证请求从 IP 网络传递到基于SIM的验证信息的GSM系统中，该信息在SS7 网络上的HLR/AuC中保存。在根据 HLE/AuC对来自用户移动设备的SIM 证书进行成功验证后，用户即可获得IP网络接入权。 SBR SIM 结合了 Juniper 网络公司和 Ulticom 的以下领先技术： l Juniper 网络公司的 Steel-Belted Radius Service Provider Edition RADIUS 服务器，提供 EAP-SIM、EAP-AKA 和可选的 SMS 插件模块。 l Ulticom 的 Signalware SS7 信令软件和接口卡，提供 2、4、8、16 或 32 链路的许可 EAP-SIM 认证方法 EAP-SIM 协议规定了对GSM网络认证的增强特性，以及一个提供相互认证中保护消息完整性的协定。 Juniper Networks SBR SIM 的 EAP-SIM模块可管理用户发送的所有基于 EAP-SIM 的验证请求。该模块支持基于 IMSI 信息的用户验证，还支持 EAP-SIM 重新验证。 EAP-AKA 认证方法 第三代移动网络使用不同的验证和密钥协议机制。3GPP 指定了一种 在 UMTS 网络中使用的改进的验证和密钥协议（AKA）。EAP-AKA 通过使用加长的会话密钥和多重保护增强安全性。 Juniper Networks SBR SIM 的 EAP-AKA 模块可管理用户发送的所有基于 EAP-AKA 的验证请求。该模块支持基于 IMSI 信息的用户验证，因此您可定期更换无线链路上使用的加密密钥，以保护用户数据的私密性。 在 802. 1X 网络环境中，一旦用户获准接入网络，就可以使用 Wi-Fi受保护接入™ 2（WPA2）、WPA 或动态 WEP 对其无线连接数据进行加密，这些加密协议可保护数据免受无线侦听，以保持数据在热点环境中的私密性。但是这种安全保障同时也需要802.1X 接入客户端的支持，Juniper 网络公司的 Odyssey Access Client 支持所有常用的加密协议，包括 WPA2 和 WPA。 3.3.2 Steel-Belted Radius MIM（Mobile IP Module） 伴随着3G业务在全球的广泛部署，满足他们向基于IP 的下一代 3G/移动网络过渡中AAA 业务要求。SBR/MIM 在诸多3G无线基础设施中扮演着多种至关重要的作用。通过对整个移动用户的IP资源管理，并支持3GPP2 定义的授权控制，SBR/MIM 使交付移动电子商务、按需交付个性化内容的广告等无线增值业务成为可能。 SBR/MIM 基于Juniper Steel Belted Radius （SPE）集3G/移动IP用户管理与业界应用最为广泛并获得众多厂商支持的RADIUS 功能于一体。这一基于标准的创新技术具有强大的性能，可为CDMA网络中管理客户提供重要作用。 网络接入和地址管理 CDMA2000® 架构的一个主要优势是移动 IP。Juniper