AAA教学模式(推荐)_aaa教育-尔学网

AAA教学模式

AAA教学模式（精选九篇）

AAA教学模式篇1

教育家Leo Van Lier (1996) 教授在其著作《语言课程设计的互动性》中提出了“AAA” (Awareness, Autonomy, Authenticity) 教学法。他认为真实性 (authenticity) 是语言教学的基础。英语教学中真实性问题主要集中于语言材料和教材的真实性。后来随着交际语言教学的发展, 真实性问题因能考虑到整个教学环境及社会和学习者的需求而受到了各方的好评, 教师逐渐开始研究真实性问题, 这其中涉及了语言材料、课堂活动和情景交际等。

Leo Van L ier还提到了英语课堂的对等性 (symmetry) , 为英语教学提供了理论基础。关于课堂的真实性, Leo Van Lier提到了另一个词, 即不自然性 (artificiality/unnatural) 。Leo Van Lier认为, 课堂的不自然性是影响课堂语言教学的关键因素。要摆脱课堂的不自然性, 就要选择真实的教学材料和教学语言。

一、语言材料的真实性

真实的材料是能够在实际交际活动中使用的材料, 而不是为了语言教学而特意编写的材料, 来自实际生活中的材料才可以称为真实性的语言材料。语言材料真实是交际法教学的基本要求之一。真实的材料可以让学生接触到自然真实的语言, 了解其文化背景, 使其掌握真正的语言交际。传统外语教学使用的教材陈旧过时, 很难适应目前的教学需求。

真实材料的选择首先要考虑学生现有的语言水平, 然后需要考虑到学科知识、学习者需求、当前有关语言教学的见解以及常规经验。教师可以通过一些测试来考查学生的语言水平, 在所选用的材料上可以先让学生接触简单的知识, 然后再根据学生的水平使用经过适当处理的材料。真实的材料并不一定是文本材料, 也可以是真实的物品。客观的教学材料可以丰富学生的学习体验, 既能活跃课堂气氛, 又能激发学生的学习兴趣。这样的课堂教学可以增加师生之间的互动, 营造轻松、快乐的学习氛围。

真实的语言材料贴近日常生活, 在长时间的真实性语言材料学习中, 学生会产生一定的语感, 比如每日收听VOA、BBC等原声新闻, 学生在实际表达中会潜意识地模仿原声发音, 从而产生语感, 使表达更地道。美国语言学家克拉申认为语言使用能力不是教出来的, 而是随着时间的推移, 在接触大量的可理解的语料之后自然获得的。只有不断地输入目标语, 才可以培养学生用目标语思考的习惯, 才能避免母语思维定势。这样, 在提高学生听、说、读、写等基本技能的同时, 又可发展其语言交际能力, 从而真正实现现代外语的教学目标。

真实的语言材料更强调文化背景知识, 更注重社会性和文化性。语言材料的文化真实性强调社会的多样性和文化的多元性, 提倡在不同文化之间建立桥梁, 促进相互理解, 培养学生对文化差异的敏感度。使用真实材料还可以实现非语言类教学目标, 这些目标一般与学习者个人、社会、文化和政治上的需求有关。深入来说, 语言材料的真实性还可以反映出现实社会的文化, 如人文、历史等方面, 从而增强不同文化之间的交流和沟通。因此, 教师要注重真实的语言教学, 创造出真实的语言学习活动。交际法认为语言教学的目的是培养学生使用目的语进行交际的能力, 重视培养学生的语言能力, 主张采用真实、地道的语言材料, 用句型加情景的方式学习语言, 鼓励学生接触和使用外语。教师与学生双方共同参与教学活动时应努力使课堂教学交际化, 由以教师为主的课堂转变为师生之间的互动交际。在真正的课堂交际活动中, 教师可以融合情景教学法和交际教学法, 设计出生动具体的场景, 在引起学生体验兴趣的基础上帮助他们理解语言, 同时, 需要进行有效加工, 使之适用于课堂教学, 这为教师提出了新的挑战。

二、课堂活动的真实性

在课堂教学上使用真实的材料是为了达到真正沟通交流的目的, 也就是说, 学习者学到的是能够真正用于日常生活的语言, 那么教师设计的课堂活动也要有可实施性, 能解决实际生活中遇到的问题。语言教学就是要让学生从词汇、句法、语法、语用、语义等各个方面接触语言。根据实际生活和真实交际设计的课堂教学可以为学生提供真实的语境, 培养学生的创造力, 增强学生参与课堂的积极性, 可以使学生在语言交际能力上有较全面、系统的提升。如果教师不顾材料真实性而一味追求完成教学任务, 忽略课堂上师生之间的互动和课堂活动的可实施性, 笔者认为, 这样的语言教学即使完美地完成了教学任务, 对学生能力的培养也难见成效。

课堂交际性活动包括获取技能和使用技能两个步骤。前者涉及语言学习, 后者才是语言应用。在教学过程中, 教师教授的不仅是语言知识体系, 还有语用能力。也就是说, 教师不应把教授语言知识作为课堂的根本, 在组织语言教学课堂和真实教材选择设计时, 还要思考如何在利用语言材料真实性的基础上展开真实的课堂活动, 尽可能多地为学生提供练习及使用语言的机会。教师在开展语言教学时要明确学生既是学习者也是使用者。只有设计出真实的课堂活动, 语言材料才能发挥效用, 学生在参与的过程中才能学会使用技能。

三、教学环境的真实性

语言教学的真实性也包括尽可能地为学生创造与目标语相近的学习氛围和环境。虽然课堂不可能完全呈现出真实场景, 但师生在课堂上共同学习、互相交流却是真实的经历。因此, 课堂教学本身也具有真实性。教师要在教材真实性的基础上充分利用课堂教学的外部因素, 以在学校开展外语文化节、外文辩论赛等方式为学生创造语言学习的机会和场合, 在鼓励学习者参与的同时, 引导学生全身心投入到英语的环境中, 尽可能地培养学生对英语的热情和学习兴趣, 使学生在参与活动中感受学习英语带来的快乐和满足, 逐步提高自身对语言的交际使用能力。学生都是真实的个体, 学生在学习过程中交流情感、观点、信息, 根据自身语言水平理解课堂教学活动。因此, 教师还要满足学生在语言学习中的不同需求, 并充分激发学生的潜力, 充分发挥他们在活动中的作用。

四、师生关系的真实性

师生关系是指教师和学生在教育教学过程中结成的相互关系, 包括彼此所处的地位、作用和相互对待的态度。它是一种特殊的社会关系和人际关系, 是教师和学生为实现教育目标, 以各自独特的身份和地位通过教与学的直接交流活动而形成的多质性、多层次的体系。在一定师生关系维系下进行, 师生共同参与的活动被称为教育活动。师生关系良好保证了学校教育的质量, 有利于社会文明风气的形成, 而且师生关系还受教育活动的制约, 反映了一定的社会关系。

教师并不是课堂的唯一能动者, 学生也具有主观能动性, 他们会参与课堂活动, 这就体现出师生之间的真实性。Leo Van Lier也提出:就交际情境的参与过程以及参与者自身的共同特征来讲, 真实性与教师和学生在教学过程中的相互地位以及互动形式有关;就个人行为来讲, 真实性指的是自我认识和交际活动的真实性, 因为一个真实的人能够认识自己并且能够行为自然地把真实的自己表达给他人;在课堂上, 真实性关系到教学活动中的自我实现、内在动机以及人际关系中的尊重和正直感等因素。

虽然Leo Van Lier在书中着重阐述的是课堂教学的真实性, 但是师生关系的真实性也是不可忽视的, 因为教学活动是人的活动, 是诸多社会活动的一种。Leo Van Lier指出课堂教学中的真实性最终来自于学生互动过程中的自我决定意识, 互动中的实现理解和互动目的努力程度, 以及互动的透明度。课堂真实性是教师和学生共同努力、下意识不断追求的结果。

Leo Van Lier在真实性的基础上进一步提出课堂师生关系的对等观念, 指出师生关系的对等对实现课堂的真实性起着至关重要的作用, 而课堂真实性的实现又影响着师生关系的对等性。可见, 二者相互影响, 相互制约, 共同影响着课堂的效度。

Leo Van Lier提出, 在有限的社会结构下, 交际情境中的参与者之间存在内在不平等性趋势 (除非交际平等性本身被制度化) , 以及交际形式的多元化和功能单一化趋势。他指出, 传统的教育具有以下特点:

第一, 教育中的各种关系, 包括政府与教师以及教师与学生之间的关系存在内在固有的不平等性。

第二, 学校作为教育机构的存在, 注定了教育过程要受到教育制度、教育目的和教育程序的限制。

第三, 制度化教育成功是通过目标、方式以及实现目标的手段等标准来衡量的, 而受标准化的课程设计、大纲设计、教材设计以及评估程序等的限制, 这种成功的可能性却被降低。在这种氛围下, 教育模式和功能的效率化、线性化和单一化很可能被看得比多元化、多功能化更重要。

Leo Van Lier提倡使用课堂情境中的谈话活动 (conversation, 与dialogue区别开来) 来达到课堂互动过程中师生谈话的对等性。因为conversation具有能改善传统教育的三个特点:一是具有交际平等性趋势, 二是相对摆脱体制限制的谈话趋势, 三是其形式和功能的多元化趋势 (胡燕2009) 。

教师要重视师生关系的真实性, 与学生建立良好关系。教学过程中, 尽量使用真实性强的材料, 并就材料进行对等的谈话, 使课堂气氛轻松活泼, 创造开放式语言教学课堂, 使每个学生都有机会、有兴趣参与发言。

结束语

真实性的交际课堂和对等的师生关系可以拉近师生之间的距离, 营造自由而愉悦的教学氛围, 进而促进教学相长, 使师生共同进步。然而, 实现真实性交际课堂、师生对等关系和教学分享模式还需要教师在各个方面进行反思和探索, 如教师如何控制和管理自己的情绪, 如何使课堂教学保持弹性和活力, 如何激发学生的学习热情等。总之, 真实性交际课堂还需要每一位从事和热爱教育工作的人不断地努力和探索。

摘要：在Van Lier“AAA”教学法的基础上, 从语言材料、课堂活动、教学环境、师生关系等四个方面详细分析英语课堂的真实性。指出教师应根据学生的实际水平合理选择真实的语言材料, 并合理运用语言材料设计真实的课堂活动, 创造真实的教学环境, 使学生在获取技能的同时学会使用技能;教师还应注重与学生建立平等的师生关系, 创造开放式语言课堂。

关键词：英语教学,真实性,师生关系

参考文献

胡燕.2009.从对话走向和谐——大学课堂师生关系的危机与转向[J].商场现代化, (9) .

AAA教学模式篇2

【教材分析】

本课选自江苏省九年制义务教育课程标准实验教科书第三册第四课，属于“设计·应用”领域。本课的教学内容力求让学生通过大量图例的欣赏，引导他们发现二方连续多种排列方法和表现手法所呈现的装饰美感。二方连续直观的排列规律和基本形式便于学生发现，并通过欣赏、练习、纠错的一系列活动，引导学生认识二方连续纹样就是一个或多个大小、形状、色彩相同的图样，向左右或上下一字排开。本课创作表现的方法以画、剪、实物拼贴和印为主，易于学生操作，学生均能寻找到自己喜欢的表现方法并在操作中体验到成功的乐趣。通过本课学习，让学生在生活中拥有一双发现美的慧眼，从而提升感受美、创造美的能力。

【学情分析】

二年级的学生正处于对周边的事物充满好奇、具有强烈求知欲的心理阶段，对排列有序、充满节奏感的二方连续已具有初浅的表象，因此对学习内容会产生一种亲近感，并激发浓厚的兴趣。再者，他们已经通过一年的学习，掌握了最简单的画、剪、拼贴、印等表现技能，这一切都为学生学习本课内容提供了可行性的依据。

【教学目标】

认知领域：通过图例的欣赏和日常生活的回忆，感受二方连续图案的排列方式和装饰美感。

操作领域：尝试用自己喜欢的材料和方法创作出富有个性的二方连续纹样。情感领域：在二方连续图案的构思、组合、创意中，培养学生的发散性思维，认真细心的态度和创造美的能力。

【教学重点】了解二方连续的基本形式和多种排列方法。【教学难点】富有个性的表现方法和表现形式。

【教学准备】课件、公鸡和花朵图片、颜料及各种实物等。【教学流程】

一、创设情境欣赏激趣

1、（点击媒体出现画面）从这几位小姑娘的身上，你发现了什么？学生观察比较并发现：形状、色彩都相同，并排成一队。

2、看到模样、色彩都相同的小舞蹈家们排成了一队，你有什么样的感受？学生欣赏并发现：很整齐，很有秩序。

（设计意图：此环节旨在通过舞蹈演员整齐划一的动作、服饰、发型，创造出一种整齐美的情境，通过这一动画画面让学生发现整齐是一种美的形式，并观察到相同图样排排队的排列规律，激起学生的学习愿望，学生的学习期待被唤醒，为下面学习二方连续作了相应的铺垫。）

3、整齐就是一种美。象这种色彩、形状相同的图样，一个一个地重复有规律地排列，我们给他起了个好听的名字，叫相同图样排排队。这里的图样指的是谁？

二、观察生活感受纹样

1、生活中你们见过这种相同图样排排队的现象吗？师相机点击媒体

2、这里的图样指的是什么？我们在欣赏中发现图样可以是哪些形象？学生观察发现：可以是动物、植物、人物、花卉……

（设计意图：此环节旨在引导学生观察生活中的相同图样，并由此观察发现图样可以是动物、植物、花卉、几何形等构成，拓宽学生视野，并为他们创作的丰富性进行预设。）

3、你们可不可以在课堂上找到它们的身影？

——顶灯、窗户、地面、桌椅、衣服的纽扣、衣服上的花纹……

4、原来生活中很多地方都有相同图样排排队的身影，看到了这么多排排队的相同图样，给你带来怎样的感受？

师生交流并发现：它让我们的生活变得更加美丽、更加整齐了。（预设：二年级的学生可能会回答不上来，教者相机引导如下：假如去掉我毛衣上的这些花纹，毛衣还有这么美吗？花纹让毛衣变得怎么样？）

(设计意图：通过这一环节的设计让学生通过生活中的实例，在形象生动的视觉认识的基础之上，了解相同图样在生活中应用的广泛性，唤醒学生的生活记忆。让学生真正了解艺术源于生活，艺术美化生活的道理。）

二、动手操作自主体验

1、老师出示公鸡图样，指名生在黑板上给他们排排队。

（现场采访学生）能告诉老师你排的时候注意了什么吗？学生发现：应该注意排排队的图样大小、形状、色彩都必须相同。

(设计意图：采访这一环节的设计，强调相同图样排排队的排列规律，并在纠错中，让学生形象直观的发现图样的大小、颜色、形状必须一模一样，突出教学重点。）

2、除了横着排，还可以怎么排？再请学生上台排列。学生排列后发现：还可以有竖向排列、斜向排列。

（设计意图：通过这一环节，引导学生发现二方连续不同方位的排列方法。）

3、如果在刚才的图样中再加一个图样，让两个图样组合成一个新的图样，你会怎么排呢？这里的图样指的是什么？

4、还可以再加图样吗？指名生演示和（分学习小组，每小组桌上放一个篮子，篮内放各种图片）组内自由排。

（设计意图：通过活动让学生在拼摆纹样和雪花片时，自主发现二方连续排列方式的多样性，进一步帮助学生构建对二方连续构成规律的认知。）

5、象这样用相同图样向上下或左右有规律地连续重复排列起来的图样，在我们美术里还有一个好听的名字叫“二方连续”（板书二方连续），我们来看看它还有哪些排法？（点击媒体演示构成方式）

（设计意图：这一环节的设计旨在引导学生掌握相应的美术术语，丰富学生的美术内涵。）

5、欣赏了这么多漂亮的二方连续纹样，老师也想设计一个呢！（用雪花片印）。（设计意图：通过老师的示范，顺势引出二方连续的表现方法，既巧妙而又自然地衔接下一环节。）

四、自主学习探究方法

1、小朋友们看到老师是用什么方法来设计的？学生观察发现：印的方法。（设计意图：老师的适时示范，为学生的大胆表现起到了激励作用，同时直观展示了具体的创作表现方法。）

2、小朋友们，想想看还可以用什么不同的方法设计出相同的图样呢？学生交流发现：画、剪贴、实物拼贴、描画等方法。

3、指名生到讲台前演示二方连续的剪纸方法，发现纸多次重叠后可剪出多个连接着的二方连续纹样和多个分开的单独纹样。

4、想看看其他小朋友的画吗，我们一起来看看他们用了哪些设计方法？

（设计意图：此环节旨在通过讨论、交流、欣赏，发现二方连续创作的多种表现方法及表现质材,多渠道打开学生的发散思维，为学生的创作拓宽了思路,突破本课的教学难点，同时也为学生个性化作品的创作提供借鉴。）

五、开拓思维创新表现

1、请同学们当一回小设计师，课桌上的信封里，有请我们小设计师们设计的产品，同学们选好自己喜欢的东西进行设计。

（设计意图：此环节设计的目的是让学生尝试装饰日用品，通过活动具体感受艺术美化生活的意义，并学以致用。）

2、想一想你准备用什么方法来设计？设计什么图样？

3、交流：说一说你的构思？（设计意图：此环节旨在通过讨论、交流，使全体学生的想法得以相互借鉴，产生新的整合和激变。）

4、色彩要求：色彩鲜艳、协调。

六、展示作品师生同评

1、学生作品展示

2、欣赏并交流：你最喜欢哪一幅作品，为什么喜欢？最喜欢作品的哪一方面？（设计意图：此环节旨在进行创作的拓展,引导学生从创意和色彩两个角度进行评价，进一步引领学生用美术的眼光进行审美评价，同时也激发了他们的语言的表达能力,培养学生的综合素质。这样的评价更加关注学生的个性化，珍视学生的独特感受。）

七、课堂延伸

1、让我们为这些优秀的作品来一次热烈的掌声。师引导鼓掌，掌声的节奏由快到慢重复进行。

2、你发现了什么？这是谁在排排队？学生倾听发现：是相同的节奏在排排队。

3、生活中，不仅有相同图样排排队的现象，还有相同节奏排排队的现象。课后同学们再去找一找，看看在其他地方还有哪些排排队的现象。

（设计意图：这一环节的设计旨在引导学生认识生活中的排排队现象随处可见，排列的艺术形式多种多样，并给人以美的享受。以此激励学生留心观察生活，享受生活，做生活的主人，并养成良好的观察习惯。）

教学后记：

这节课从整体上看，无论是教学内容、教学设计还是组织形式都让新的教学理念得到很好的落实体现。教学中突出学生的主体地位，注重培养学生的美术素养，课堂开放而富有活力。可以说，这是一节内容丰富、综合性很强的美术课。其中有两点设计较为成功：

一、营造了自主探究的活动空间。

本课教学活动在引导学生充分观察、感受生活中的二方连续纹样的形式美以后，预设了两个层次的自主探究二方连续排列方法的活动。如：活动

一、通过学生自主排列单个的图样，在操作体验中发现二方连续纹样的形状、大小、颜色必须相同。活动二：通过老师的引导，加进一个或多个纹样组合成单位纹样进行重复排列，由此发现一个单位纹样还可以由两个或多个纹样组成。就这样学生在老师营造的宽松学习氛围中，通过反反复复的排列、比较，真正理解了二方连续排列方法的多样性。从而叩开学生的艺术心门，让他们的形象思维得以展开。这一探究活动的成功在最后个性纷呈的作品中得到呈现，同时这一活动也实实在在地体现了新课程所倡导的学习理念。

二、激发了创新设计的浓厚兴趣。

AAA教学模式篇3

早期的Internet是一个非赢利性网络, 随着Internet的发展, 它已包括了众多的商业网络, 人们对Internet计费也越来越关注。计费 (accounting) 过程包括以下子过程:计量 (metering) 、定价 (pricing或rating) 、费用计算 (charging) 和记帐 (billing) , 在某些情况下, 也有人使用计费的狭义, 即认为计费仅仅是计量的过程。

AAA技术即认证 (Authentication) 、授权 (Authorization) 和计费 (Accounting) 三种技术的结合, 目前已经广泛的应用到Internet业务服务中, 为安全可靠的提供服务提供了保障。在Internet计费管理领域, 互联网工程任务组IETF (Internet Engineering Task Force) 和互联网研究任务组IRTF (Interne Research Task Force) 起了很大的作用。AAA工作组是在操作和管理领域的一个IETF工作组, 计费是其中一个重要的课题。

目前的计费协议主要有RADIUS, TACACS, SNMP等。随着网络技术发展和应用需求的增长, 新的网络服务不断涌现, IETF的AAA工作组从上世纪90年代末期开始着手设计下一代的AAA协议Diameter。Diamete协议是目前网络AAA协议的研究热点, 也是本文研究的重点。本文在研究Diameter协议的基础上, 对AAA系统的计费部分进行了设计和实现。

2 Diameter协议研究

2.1 Diameter协议的工作机制

Diameter由一个基本协议和一组扩展协议组成 (比如强安全性扩展, Mobile IP扩展等) , 通用的功能 (比如传输控制和流量控制) 在基本协议中定义, 而特定的应用功能在相应的扩展协议中进行说明。Diameter基本协议提供了AAA协议对传输所需要的最少要求, 基本协议不能够单独使用, 必须与一个Diameter应用扩展相结合。Diameter协议的层次结构如图1所示。

2.2 Diameter基本协议

Diameter的基本协议必须被所有应用支持, 在基本协议中定义了Diameter消息包的格式、消息包的传输机制和一些基本的安全服务。一个基本的Diameter消息包由一个包头和多个AVP (Attribution Value Pair) 组成, 其中AVP用来携带更多的AAA信息 (如认证计费授权信息, 以及路由、安全信息等) 。

2.2.1 Diameter网络节点

在Diameter协议中, 包括多种类型的Diameter节点, 除了Diameter客户端和Diameter服务器外, 还有Diameter中继、Diameter代理、Diameter重定向器和Diameter协议转换器等。

2.2.2 Diameter消息格式

Diameter消息的头部包括20个字节, 头4个字节是8比特的版本信息和24比特的消息长度 (包括消息头长度) , 随后的4个字节是8比特的消息标志位和24比特的命令代码。

2.3 Diameter扩展协议

2.3.1 Diameter的NAS协议

D i a m e t e r的N A S (N e t w o r k A c c e s s Service, 网络接入服务协议) 协议, 由NAS客户机处理用户MN (Mobile Node, 移动节点) 的接入请求 (Reg Req) , 将收到的客户认证信息转送给NAS服务器;服务器对客户进行鉴别, 将结果发给客户机;客户机通过接入应答 (Reg Reply) 将结果发回给MN, 并根据结果对MN进行相应处理。

NAS作为网络接入服务器, 在其用户端口接收到呼叫或服务请求时便开始与AAA服务器之间进行消息交换, 有关呼叫的信息、用户身份和用户鉴别信息被打包成一种AAA消息发给AAA服务器。

2.3.2 Diameter的EAP协议

D i a m e t e r的E A P (E x t e n s i b l e Authentication Protocol, 可扩展鉴别协议) 协议提供了一个支持各种鉴别方法的标准机制。EAP其实是一种框架、一种帧格式, 可以容纳各种鉴别信息。EAP协议描述用户、NAS (AAA客户机) 和AAA服务器之间有关EAP鉴别消息的请求和应答的关系, 完成一次对鉴别请求的应答, 中间可能需要多次消息交换过程。在移动终端MN移动的环境下, MN与FA (Foreign Agent, 外部代理) 之间的鉴别扩展采用EAP, 即把FA看做是一个NAS, 它作为Diameter AAA的客户机, Diameter AAA服务器作为EAP的后端服务器, 两者之间载送EAP分组。

2.3.3 Diameter的CMS协议

Diameter的CMS (Cryptographic Message Syntax, 密码消息语法) 协议实现了协议数据的端到端 (Peer-to-Peer) 加密。由于Diameter网络中存在不可信的中继 (Relay) 和代理 (Proxy) , 而IPSec (IP Security) 和TLS (Transport Layer Security) 又只能实现跳到跳的安全, 所以IETF定义了Diameter的CMS应用协议来保证数据安全。

3 基于Diameter的AAA系统

3.1 AAA系统概述

AAA技术即认证、授权和计费三种技术的结合, 目前已经广泛的应用到Internet业务服务中, 为安全可靠的提供服务提供了保障。

3.2 AAA系统的组成

AAA系统的组成如图2所示, 这种分布式结构由服务器来完成认证授权和计费工作, 大大减轻了网关的压力, 能够处理大量的用户请求, 支持多种计费功能, 可以对用户进行有效的控制, 因而具有较强的生命力, 在接入网中有着广泛的应用。

3.3 AAA系统的体系结构

AAA系统的体系结构如图3所示, 在服务器和客户端之间运行AAA协议, 这里采用Diameter协议。AAA客户端不提供任何服务, 但它可以请求服务。AAA服务器通过接口连接特殊应用模块, 特殊应用模块可以提供服务 (移动IP接口、目录服务等) 或者计费功能。服务器还有对外部认证模块的接口, 以便可以使用多种认证技术。

AAA服务器或客户端通过标准化的域间AAA协议进行通信, 客户端只需使用AAA协议消息的一部分。特殊应用模块和服务器之间的通信是域内的, 但特殊应用模块也可以作为客户端使用。

3.4 AAA系统计费过程

当用户漫游到异地域时, 对用户的计费有两种模式:一种是由家乡域的AAA服务器来生成计费记录, 然后根据计费记录直接向相应的用户收取费用;另一种是由访问域的AAA服务器来生成计费记录, 然后将计费记录返回给家乡域服务器, 再由家乡域服务器根据计费记录向相应的用户收取费用。而当用户在家乡域通信时就由家乡域的AAA服务器对用户进行计费操作。

根据上述两种情况, 图中的客户端为接入器, 它可以访问域中用户新的接入器或者是用户在家乡域的接入器;而AAA服务器也可以是用户的家乡域的AAA服务器或者是访问域的AAA服务器。如图4所示, AAA系统计费过程描述如下:

(1) 当客户端收到认证应答中的成功消息后, 根据情况产生了用户计费请求, 发送给AAA服务器, 同时生成相关的计费记录, 保存在客户端并把它发送给AAA服务器。客户端只有在接收到成功的记账应答消息时, 才能清除已经发送的计费记录。

(2) 当AAA服务器收到计费请求, 首先判断该请求的目的域是否为本机, 如果是则接受该请求, 开始计费, 生成相应的计费记录并保存, 并且根据该请求产生相应的计费应答消息。否则判断该目的域是否可达, 若可达则转发请求消息给相应的目的域的AAA服务器;不可达则不予处理, 返回计费拒绝消息。当客户端收到计费拒绝消息, 则中止用户接入, 否则为用户提供相应的服务。

(3) 当移动用户发生切换, 用户主动发送会话中断请求给客户端, 则发送连接中断请求给AAA服务器, AAA服务器中断计费, 根据中断请求消息生成中断应答消息, 将它和计费开始到中断的计费记录一并返回给客户端。

(4) 当客户端收到中断应答消息时, 中断对该用户提供的服务。

客户端只有在收到成功的计费响应时, 才能清除已经发送的计费记录。当收到计费拒绝指示时, 客户端将终止用户接入。

4 基于Diameter协议的AAA系统计费部分的设计

4.1 消息帧格式设计

首先, 对Diameter服务器和客户机都要用到的计费消息的内容和格式进行规定, 原则是最大可能接近原协议规定。Diameter服务器软件中的计费部分主要完成:收集从Diameter客户机发来的计费信息, 并且存储在数据库中, 然后向客户机发回应答等;用到的消息有ACR (Accounting Request, 计费请求) 和ACA (Accounting Answer, 计费应答) 。

Diameter客户机软件中的计费部分主要完成:从具体的应用协议软件 (如Mobile IP) 收集用户的计费信息, 然后向Diameter服务器发起计费请求等。用到的消息有ACR和ACA。

4.2 计费系统服务器端设计

4.2.1 计费系统服务器端模块组成

计费系统服务器端模块组成如图5所示, 包括数据库、Diameter服务器软件和操作系统。

4.2.2 计费系统服务器端工作流程

计费系统服务器端工作流程如图6所示。

4.3 计费系统客户端设计

4.3.1 计费系统客户端模块组成

计费系统客户端模块组成如图7所示, 包括数据库、Diameter客户机软件和操作系统。

4.3.2 计费系统客户端工作流程

计费系统客户端工作流程如图8所示。

5 基于Diameter协议的AAA系统计费部分的实现

5.1 系统开发环境

本文设计的系统软件运行于Linux9.0.2操作系统或以上版本, 自适应通信环境ACE、XERCESC++、BOOST等。具体需要的Lib库包括GUN g++versions, Xerces C++XML Parser, ACE library, BOOST library, Open SSL, Autoconf, Automake等。

5.2 模块和库

实现的基本协议被分为四个逻辑模块, 分别为:一个应用核心、一个会话管理模块、一个传输管理模块和一个消息解析模块。

5.3 基本消息处理

基本消息处理分为:消息的传输和会话的处理、消息解析两部分。

5.3.1 消息的传输和会话的处理

一个从远程对端接入的消息, 最初的接收和处理是通过传输管理里的一个为远程对端服务的对端线程进行的。一旦完全收到, 传输管理便可以部分的解析消息头和部分消息体, 以决定是否需要转发。如果消息是发给远程主机的, 消息被加入到工作队列里为终点对端服务的对端线程里;消息是本地处理的, 传输管理则传输消息给会话管理。

5.3.2 消息解析

当一个Diameter消息从对端接收到, 传输管理需要解析消息以决定消息是不是需要加入到消息解析队列里, 并由会话管理进行进一步的处理或者将它转发给其它对端。在这种情况下, 只有特定的AVP (如终点主机AVP和终点域AVP) 需要被解析, 而不是根据命令字典解析所有的AVP。当收到一个Diameter消息后由会话管理来进行处理, 消息根据命令字典被会话管理器完全解析。

5.4 计费信息数据记录生成

计费信息数据以磁盘文件的方式存放在应用程序目录下, 文件名为accountingnas txt, 每个数据记录对应文本文件中的一行。在系统中的具体实现如下:

5.4.1 相关的数据结构定义

5.4.2 数据表类的定义和实现

6 结束语

本文在对Diameter协议进行研究的基础上, 阐述了基于Diameter协议的AAA系统的组成、体系结构及计费过程, 并对基于Diameter协议的AAA系统计费部分的服务器端和客户端进行了设计, 最后对设计的AAA系统计费部分进行了实现, 从而说明本文给出的AAA系统计费部分设计是可行的。

参考文献

[1]辜丽川, 尹家生, 张友华等.一种基于Diameter协议的NAS模型[J].计算机技术与发展, 2008, 18 (10) :184-186.

[2]周伟东, 鄢楚平, 孙硕.RADIUS协议安全与分析[J].计算机应用与软件, 2002, (11) :55-57.

[3]任祥颖, 翁睿, 凌力.AAA系统中Diameter协议故障恢复算法的改进和实现[J].计算机应用与软件, 2007, 24 (5) :139-142.

[4]裘妹平, 陈能干.基于Diameter协议的AAA的研究[J].计算机应用, 2003, 23 (10) :119-125.

AAA七夕策划案篇4

B 雷迪森杰特们。

A 这是一个特别的日子。

B 迪斯一丝额歪瑞死被甩呆。

A 这是一个值得纪念的日子。

B 迪斯一丝额值得纪念的呆。

A 问君你也是蛮拼的。

B 感谢天真的理解，我恨节目组。

A 欢迎各位参加弦和天昭共同举办的七夕活动，单身们欢呼吧！情侣们上火堆吧！

B 而且今天，不仅仅是简单的七夕活动。长久以来，天昭和弦就双边攻受问题一直进行着严肃友好的磋商，两帮代表一直秉持着【有本事你就来咬我啊】的思想感情，在阴暗的政治阴谋中相互周旋。可是没想到，最后——

A 最后，他们之间诞生了说不清道不明的感情。

B 是的。今夜七夕活动的前半场，将是大弦最咸的男子鱼汤，和天昭最甜的男子情书，相互之间感情纠葛的终结。

A 我们节目组特地设置了三道关卡，用公平、公开、公正的方式来决定，到底是谁来娶谁。除了各自帮会的亲友团成员外，所有的现场观众都将有机会参与到角逐之中；你们将决定，他们的0和1。失败的一方将会获得节目组特别送出的神秘礼物。

B 在前半场的活动结束后，我们也安排了一些广大人民群众喜闻乐见的游戏环节，积极参与也将获得小奖励，但更多的是开心和愉悦。

A 好了，废话不必多说，先让我们请出两位新人，阿不，两位主角，他们将各自用30秒的时间，来为自己拉票。

B 首先根据猜硬币的结果，请出天昭的草食系男子，情书再不朽

„„

A 接下来是大弦的没用的吉祥物，霸道总裁鱼汤

B 想必经过拉票环节后，大家都或多或少对两位有所了解，那么我们立刻进入抢亲的第一道关卡：爱的证言。

A只有爱过，才论攻受！假如抢亲的一方只是抱着“玩一玩”的心态，那简直就是对真爱的践踏！对在场无数嫁不出去的少年少女的嘲弄！因此，娘家人有权利和义务，刁难上门抢亲的未来女婿，验证他对自家好闺女的爱有多深沉！

B 你刚才讲了闺女对吧。

A 这是节目组的阴谋请不要在意。

B 那么我来为大家讲解一下具体规则。弦和天昭的亲友团及支持者将向对方提出各种刁钻的问题，而对方将有20秒的时间来回答以证明自己的爱的深沉程度。首先，各自帮会的主持人会先向对方提出本帮亲友团准备的2个问题，之后我们会从现场抽取观众朋友们上来提问，什·么·问·题·都·可·以·哟~当4个问题都问完后，我们会开放现场投票，根据大家对两位吉祥物的回答的满意程度，决定哪一方获得本环节的胜利。

A 根据这一关的胜负结果，胜利方的2名参与者将各获得2000金的奖励，失败方的参与者各获得1000金的奖励。

A 在经过娘家人的拷问之后，双方算是一只脚迈进了对方的大门，然而还有第二关在等着他们，这一关的名字，叫做爱的聘礼。

B不要问爷爱你有多深，爷的存款代表了爷的心！既然是要上门迎娶对方，怎能不带上几份有范儿的聘礼来博取未来丈人丈母娘的欢心？

A本次线上活动将开放给所有人参与。首先，我们会公布鱼汤和情书的伴娘伴郎的ID，他们将负责带各位进行本轮活动；在公布他们的ID之后，各位就可以在游戏里点他们进团准备参加活动。

B因此如何合理分配团员在有限的时间里收集将是活动的重点。

A本次活动的总时间是20分钟。前10分钟是收集阶段，最后10分钟我们将会给出通知，请大家将收集到的灰色物品统一交给团长。20分钟后，我们会请伴娘伴郎上麦，通报己方获得的聘礼数量，并评定胜负，获得的灰色物品种类较多的一方获胜；当种类数相同时，根据灰色物品总数决定胜负。

B需要提醒各位的是：本次活动有参与人数的限制，双方的聘礼团人数上限为15人，所以想参加的话要手快一点哈。本次活动胜利一方的参与者将获得每人3000金的奖励，失败的一方也有每人2000金的奖励。

（第二关开始后）

A 在大家努力准备聘礼的同时，我们也将进入献歌环节，由弦和天昭的歌手们来陪伴我们等待最后结果的诞生。

（歌手顺序待定）

A 经过了娘家人的无理取闹，踏过千山万水备好杂货商都嫌弃的聘礼，霸道总裁鱼汤，情书再不朽，他们终于面对面站到了一起。

B 是时候决定以后家务谁做了。

A 是时候决定孩子跟谁姓了。

B 是时候决定谁睡沙发谁睡床了。

A 醒来吧沉睡的野兽！

B 战斗吧不屈的斗士！

A 七夕抢亲最后一关！

B 爱！的！传！递！

A 爱！就要缩出来！爱！就要张扬就要放肆！YEAH——！

B 如何把自己那份深沉的情愫，好好的传递给对方？当然要靠言语，靠嘴巴的运动！

A 我们将从现场总共抽取20名观众，10名作为鱼汤的传递代表，10名作为情书的传递代表。当导播放起BGM之后，从第一位开始，每个人都能替鱼汤或情书喊出一句表白的话，也只有一句话。第一个将以“鱼汤啊你知道嘛”或者“情书啊你知道嘛”为开头，后面的参与者要尽力让这份表白连贯通顺承前启后。当10位参与者都说完之后，将由鱼汤和情书本人亲自来为这份表白补上最后的一句话！

B 双方表白结束后，我们将开启最后一次投票，请用大家手中神圣的一票，来帮他们分出胜负吧！

A 这轮胜出一方的参与者，将每人获得2000金的奖励，即使是失败的一方，也有每人1000金的奖励。

B 现在，三道关卡已经全部结束，全场参与的观众想必已经对结果心知肚明了。当然，无论最终结果如何，我们都希望，在七夕这个特殊的日子里，天下有情人终成兄妹，成就一番大好姻缘。

A 那么由我来宣布最后的结果吧。本次七夕抢亲活动的三道关卡，获得最终胜利，成功迎娶对方的人就是——XXX！

B 请大家为他们送上最后的祝福，让我们在公屏里刷起那永恒的三个字：在、一、起！

A 当然，即使抢亲失败，也希望XXX不要太过沮丧。我们一开始就说过，节目组会给输掉的一方送上一份精美的小礼品作为安慰奖，是时候公布答案了。

B 由节目组特别为其订制的，【绝世小媳妇】精美牌匾一副！（发至公屏）

A 接下来的时间，我们也为大家准备了喜闻乐见，充满爆点的小游戏环节。后半场的主持人将交给羽墨和司马承风，更多精彩节目，广告之后，即将揭晓！

C 放心吧，节目组这么穷酸，没人来打广告的啦。那么大家好，我是负责接下来活动的司马承风。

D 我是羽墨。接下来的这个小游戏，其实是一小撮别有用心的分子，为了在七夕这天满足自己内心邪恶的欲望，而欺骗广大不明真相的群众的活动，这个小游戏的名字就叫：猜猜假情缘。

C在这个环节中，弦和天昭各推出3对“假情缘”，他们的声音经过了变声器的处理，YY马甲也隐藏了起来。同时，我们会从现场通过抢麦序的方式抽取一共6名观众，这6名观众可以各自挑选一名在现场的其他观众作为搭档，总共12人组成评审团。我们会提供给评审们一系列的“一句话场景”，评审们挑选出某个场景来要求“假情缘”即兴演绎，演绎的时间为90秒，表演结束后评审们需要根据“假情缘”们透露出的蛛丝马迹来猜测他们的真实性别。如果猜测成功，则评审们会获得额外奖励；如果猜错，那么奖励就会成为“假情缘”的七夕活动经费咯。

AAA教学模式篇5

“AAA测试”就是高水平大学自主选拔学业能力测试 (英文名称为Advanced Assessment for Admission, 简称AAA) , 是由上海交通大学、中国人民大学、中国科学技术大学、西安交通大学、南京大学、浙江大学和清华大学共同发起, 共同委托专业考试机构组织的高中毕业生学业能力测试。

AAA测试的科目主要包括:阅读与写作 (Reading and Writing) 、数学 (Mathemetics) 、自然科学 (Natural Science) 、人文与社会 (Humanities and Social Sciences) 。人文与社会测试内容包括但不限于高中政治、历史、地理的教学内容。

二、AAA测试地理部分的命制特点

地理试题属于人文与社会板块, 命题的形式主要有选择题和简答题两种。纵观近几年的AAA试卷及样卷, AAA测试地理部分的试题主要有以下几个方面的特点。

1.试题情境生活性

试题情境生活性是AAA测试的一个显著的特点, 从近几年的试题和样卷看, 试题的情境都是取自生活, 强调在现实生活中的能力考查。测试的每个单元都创设了一个真实的生活情境, 一般是一段简短的文字, 加上一张表格、图表、统计图、图片。测试的任务常常是在曲线图、图示或者表格中查找信息、描述表或曲线图中信息的组织方式、解释文中不同部分之间的联系, 比较文字部分和地图之间的关系等, 根据情境素材设计3~4个小问题测试学生。这种试题情境的生活化加强了学生关注生活、从生活实景中进行分析, 将学科知识、方法技能应用于生活中的能力。例如2010年样卷, 第一组题以生活中的常见的日出、日落的方位为情境考查地球运动知识及空间距离计算技能;2010年样卷的综合题以生活中常见的自然灾害“台风”为情境;2011年综合题以目前面临的生态环境问题全球变暖为情境等。

2.试题立意三维性

所谓立意, 是指试题是围绕哪个主题展开, 引导学生关注何种现象, 体现怎样的能力考查主旨, 达到哪些目的等。AAA试题通过知识、能力、态度三个维度来描述和评价学生地理学科素养。

第一维度:知识。地理知识既是地理学科的基本内容, 也是培养学生能力的载体。通过基础知识的理解与运用来考查学生的基本能力是AAA试题命制的主要方法。纵观近年来的AAA试题, 可以发现, 对地理知识的考查主要对地理主干知识进行考查。如地球视运动、天气与气候、洋流、自然灾害、地理环境的整体性与区域差异性、环境问题与可持续发展等。

第二维度:能力。AAA对地理能力的测试与高考对地理能力的测试侧重点不同, 高考主要考查考生获取和解读信息能力、调动和运用知识能力、描述和阐释事物能力、论证和探讨问题能力。AAA测试考查的核心是科学探究能力, 主要是指识别科学问题、科学地解释现象、有根据地得出结论的能力, 其基础是逻辑推理和批判性分析能力。

第三维度:态度。高考地理学科主要对地理基础知识、地理原理、规律以及四个方面能力的考核, 而完全忽视了对学生情感、态度、价值观的考查。AAA测评“考查重点为学生的阅读量与知识面, 对人文与社会问题思考的深度、审美能力, 并对学生的情感、态度、价值观进行一定的描述。”从其考试说明可以看出, AAA测评不仅重点考查“知识”、“能力”, 并对“学生的情感、态度、价值观进行一定的描述。”从近年考查情况看, AAA对情感方面的考查重点是对考生的对待科学的兴趣、对科学探究的态度、对自然资源与环境有意识地采取负责任行动以及伦理观的考查。

例如, 2010年样卷。阅读资料, 完成8~10题。

当低纬地区海水表面温度超过27.5℃的时候, 空气的扰动 (如局部雷电等) 就会导致热带气旋在该海域诞生。热带气旋在低纬海区移动过程中, 可能逐步加强发育成强热带风暴, 直到台风、强台风。它们到达人类活动的海域以及滨海地带形成灾害性天气, 给人类生命财产造成巨大危害。有人设想:对热带气旋经过的海面进行人为干预来限制其加强的过程, 降低台风、强台风形成的几率, 减轻此类灾害性天气带来的危害。

8.试说明热带气旋移动过程中加强的大体过程。

9.扼要阐述人为干预海面限制热带气旋加强过程的基本原理。

10.简述你对这种设想可行性的看法。

【参考答案】

8.从途经的表面温度超过27.5℃的表层海水获得能 (热) 量、水蒸气;所获得的能量和水蒸气大于消耗量;其中心的气压逐步下降, 与周围的气压梯度随之加大, 强度得到加强。

9.通过降低热带气旋所经过海面的表层水温, 使得其获得的能量和水蒸气的补充量都低于其消耗量。

10. (说明:无论赞成还是不赞成, 只要言之成理, 均可以得分, 最高不超过6分。)

赞成:可以通过机械措施, 如使深层海水和表层海水混合, 达成热带气旋经过海面降温的目标。将预防灾害天气和进行救灾的费用, 预先用在海面干预中。不赞成:首先, 热带气旋移动路径有较大不确定性, 且当我们通过人工干预, 使得一个区域的表层海水温度发生变化时, 就同时改变了近海面的气压场的态势, 势必也就干预了热带气旋运行的路径。其次, 干预措施将耗费巨大的物力, 极可能得不偿失。第三, 这样的干预本身, 还可能引发目前无法预见的变化。

【解析】从试题的情境看, 台风是我国东南沿海地区常见的自然灾害, 其出现频率高, 影响范围广, 造成损失大, 是学生生活中比较熟悉的自然现象, 体现了“考查生活中的地理”理念;从考查知识的立意看, 以台风为例, 考查大气运动相关的地理规律、地理原理、基础知识;从考查能力的立意看, 通过提供充分的、翔实的文字材料, 给考生交代了台风的形成过程、形成的条件, 考查学生自主学习的能力以及运用知识探究解决实际问题的能力;从考查情感、态度的立意看, 通过“简述你对这种设想可行性的看法”问题, 考查考生对待科学的态度以及考生对干预自然灾害的意愿。

3.答案设置开放性

开放性的答案能为学生提供充分想象的空间, 有利于培养学生的发散性思维, 而且也能充分尊重学生的个性, 有利于学生的心智发展。例如上例中的“简述你对这种设想 (指人为干预台风) 可行性的看法”, 既可以答赞成, 也可以答不赞成, “只要言之成理, 均可以得分”。再如2011年AAA试题:阅读资料, 完成11-12题。

2009年以来, 北冰洋海域永久性冰盖的范围大幅度退缩, 浮冰平均厚度变薄。

11.分析北冰洋冰盖退缩对国际贸易产生的影响。

12.简述北冰洋海域冰情变化对生态环境的影响。

这两个问题的答案都是开放的、不确定的、非标准的, 至于北冰洋冰盖退缩对国际贸易究竟有什么影响也是仁者见仁, 智者见智, 无一定论, 只要言之有理, 都可以得分。总体来看可能产生下列影响:随冰盖厚度变薄融化, 北冰洋沿岸航线开通, 将大大缩短北半球亚欧大陆和北美大陆中高纬度国家海上航线的的距离;大大提高海上运输的通过能力, 苏伊士运河和巴拿马运河通过能力有限, 北冰洋沿岸航线的开发将大大提高世界海上运输的通过能力, 缓解通过两运河航线的压力;在很大程度上改变世界海上运输线的分布格局, 形成新航线和新的港口如奥斯陆、雷克雅未克、摩尔曼斯克将发育成更高级的港口城市, 美国和加拿大北冰洋岸的一些有海运条件的沿海城镇也会发育成港口城市;随着北冰洋沿岸航线的开发, 北冰洋沿岸附近地区的资源将得到开发, 形成新的工矿业区和北冰洋沿岸工业地带;随航线开发, 北半球资源、经济联系更加紧密, 从而加剧南北半球的差距, 等等。

4.评分标准层次性

选择题部分采用层次得分的方法是AAA测试评分标准的的一大亮点, 和传统高考地理试卷的评分标准相比较有非常大的进步。选择题答题说明为“每小题设四个选项, 每一选项的分值可能为0、1、2、3分。请选出你认为最符合题目要求的一项。多选该小题不得分”, 从说明可以看出, 考生选择不同的答案, 具体得分不同, 并不是传统高考的选择题要么满分要么0分。这样的采分标准体现了对考生思维层次的认同与尊重, 更能体现“以人为本”的教育思想, 充满了对考生每个智慧都给予肯定的新课程理念, 更为选拔性考试追求其有较高的区分度展示了样本。例如, 2010年AAA样卷:

45°N纬线穿越图1所示区域。L地的观测者于3月21日看到太阳在M地落下的时间恰为16时 (地方时) 。判断:M地相对于L地的方位及L、M间的距离约为

该题的得分标准为:

正确答案是B, 答B者的满分;答D者, 方位判断正确, 距离没有判断对, 得2分;答答A者, 虽然方位和距离不正确, 但两者有实际都比较接近, 说明考生的答题方法可能正确但运算的过程某个环节出现了问题, 导致答案与实际有一定的偏差, 得少部分的分数;答C者, 方位和距离都不正确, 说明知识和能力都没有达到要求, 理所当然不能得分。

三、备考策略

AAA考试说明这样写道:“AAA测试的命题以现行中学教学大纲为参照, 重点在于考查学生对于知识的综合应用能力和学习能力, 以不超出中学大纲的知识为主要考查目标。”针对考试说明的要求结合实际试题情况, 笔者认为, 在复习应考中应注意以下几个方面。

1.重视高中地理必修部分主干知识的复习

“AAA测试的命题以现行中学教学大纲为参照, 以不超出中学大纲的知识为主要考查目标”要求考生在平时备考中, 还是要立足于中学教学, 把必修部分的地理基础知识、基本原理掌握熟, 理解透, 把地理原理的来龙去脉弄清楚, 而不是机械记忆地理事实。例如在复习热力环流时, 很多学生只记住“热低压, 冷高压”的结论, 以为两地相比较, 只要气温低, 则气压就高;气温高, 则气压就低。其实“热低压, 冷高压”的结论是有条件的, 是热力作用的结果, 如果不是热力作用就有可能出现“热高压、冷低压”的情况, 例如副热带高压带, 夏季时气温高, 气压也高, 因为副热带高压的形成不是热力原因, 而是动力原因。在复习地球运动时, 地球运动产生的现象也要结合现实生活理解深、理解透, 并学会运用相关知识解释、解决实际问题。这样, 才能适应AAA测试的要求, 达到为顶尖高校选拔顶尖人才的目的。

2.适当拓宽知识广度和深度

虽然“AAA测试的命题以现行中学教学大纲为参照, 以不超出中学大纲的知识为主要考查目标”, 但考试的难度较大, 要求考生要有非常深厚的知识基础, 这就要求考生在平时的复习中应适当拓宽知识视野。从上述例题可以看出, 清华大学的自主招生重视自然地理基本规律、基本原理的考查, 因为这样能够更好地考查考生理性的逻辑思维能力及运用地理原理 (或假设) 分析、探究地理现象的能力。鉴于此, 平时复习中应适当增加一些有关大气、地质、地貌、水文等知识, 以拓展考生的知识广度、深度等。具体来讲主要增加下列内容:地-气系统辐射差额分布规律及原因分析;河流地貌;戴维斯侵蚀循环学说;风化壳基本类型及其特征;土壤剖面形态等。

3.关注社会热点、关注全球生态

2011年, 考查北冰洋海域永久性冰盖的范围大幅度退缩, 浮冰平均厚度变薄, 对国际贸易和生态环境的影响。全球日益变暖, 引发的问题一直都是人类非常关注的问题, 本组题就是以北冰洋海冰的融化, 来说明全球变暖对人类活动的深刻影响。鉴于这种情况, 考生在应考复习时应关注全球或地区的生态环境问题;关注我国的生态工程的建设等。具体主要包括:全球变暖、厄尔尼诺现象、拉尼娜现象产生的机理及其对全球或区域地理环境的不良影响;关注我国生态议题“东海西调”工程;关注我国一些地区退耕还林、还草工程;思考三峡建成后对地区气候的影响;极端天气多发的原因探究等。对于生态问题可以从产生的原因、形成的机理、个人的态度、产生的影响等方面思考。例如, 2010年11月5日, “陆海统筹海水西调高峰论坛”在乌鲁木齐市召开。论坛上关于“海水西调引渤入新”的建议引发广泛讨论。此设想是通过大量海水填充沙漠中的干盐湖、咸水湖和封闭的构造盆地, 形成人造的海水河、湖, 从而镇压沙漠。根据这个议题可以思考以下几个问题:

(1) 从地理角度分析该工程建设可能遇到的主要问题。

(2) 分析海水西调工程运营后改善西部地区生态环境的机理。

(3) 简述你对这种设想可行性的看法。

AAA教学模式篇6

校园网是为学校师生提供教学、科研和信息服务的网络。在校园网上有着大量的用户,这些用户的信息不仅经常发生变更, 而且缺乏必要的上网安全意识,因此加强网络集中管理必不可少。同时在校园网络中存在一些懂技术的用户,他们在校园网络中为了炫耀自己的能力对校园网进行破坏,严重时造成网络的瘫痪。本文主要以建立安全的校园网络为目的,使用AAA认证技术通过对认证、授权和计费这三种安全功能进行配置,达到对网络的安全管理。

AAA认证技术是由三个独立安全功能构成的体系结构,并根据他们来实现安全的访问控制功能,AAA这个安全模型可以智能地控制一些用户对网络资源的访问,使用相应的授权策略并审计用户使用情况。AAA认证技术主要包括三大基本内容:认证(Authentication)、授权(Authorization)、审计(Accounting), 他们三者存在依赖关系,可以在没有使用授权或审计的情况下使用认证功能,但是不能在没有使用认证的情况下使用授权或审计功能。AAA认证中用到的协议主要有RADIUS协议和Tacacs+ 协议以及HWTACACS协议。

1校园网AAA认证部署

本文以某学院为例,如图1所示:某学院学生宿舍网络连接图。要求中心机房区域部署了一台AAA服务器,而在学生宿舍端,设有学生客户端。中间设备为思科的3700系列路由器,而右边学生宿舍区用一台插入交换模块的路由器来作为宿舍楼层交换机(在GNS3中可以这么做来仿真成交换机)。图中用一台名为ISP的路由器来模拟因特网服务提供商。图中的云表示网络。 AAA服务器采用的是RADIUS认证(RADIUS作为)在交换机上采用802.1x认证体系。

关于802.1x认证体系:802.1x起源于802.11协议,802.11是IEEE的无线局域网协议,但是IEEE802 LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备(如交换机),就可以访问局域网中的设备资源。而802.1x是一种基于端口的认证协议,端口可以是物理端口,也可以是逻辑端口。802.1认证的最终目的就是为了确定一个端口是否可用。

1.1网络设备的配置

(1)学生宿舍端交换机配置,SW1

SW1(config)#hostname SW1//给设备命名为SW1

SW1(config)#enable password cisco //用户进入特权模式密码为“CISCO”

(2)AAA的配置

SW1(config)#aaa new-model //全局开启AAA,默认情况下是关闭的

SW1(config)#aaa authentication login default group radius local //配置登录验证方式先用RADIUS,当RADIUS不能提供认证服务,则采用本地认证,认证调用的名称按默认名称default

SW1(config)#aaa authentication login LOCAL1 local //配置本地登录的名称为“LOCAL1”的登录列表

SW1(config)#aaa authentication login NOACS line none // 线下保护,防止登录失效后无法进入路由器

SW1(config)#aaa authentication dot1x default group radius local

SW1(config)#aaa authorization exec cisco group radius local//对privilege exec级别用户授权

SW1(config)#aaa authorization network default group radius local //当认证通过之后,授权用户能进入网络,授权也由RADIUS来完成

SW1(config)#aaa accounting exec cisco start-stop group radius//对进入exec模式的用户进行审计,记录开始至结束时间

SW1(config)#aaa accounting commands 15 cisco start-stop group tacacs+

......

在R2上只要配置相应的接口和OSPF路由协议即可:

......

( 3 ) R2端口配置(略)

R2 ( config ) #router ospf 1

R2(config-router)# router-id 2.2.2.2

R2(config-router)# log-adjacency-changes

R2 ( config-router ) # network 10.10.10.2 0.0.0.0 area 0

R2 ( config-router ) # network 12.1.1.2 0.0.0.0 area 0

在R3上同样配置相应接口和OSPF路由协议。

在R3上可以做一个NAT转换,让内网私有地址转换成公网地址去访问外部网络:

R3(config)# ip nat inside source list 100 interface Loopback0overload

R3 ( config ) #access-list 100 permit icmp any any

......

1.2服务器端配置

(1)如图2所示,在ACS服务器上创建一个用户名为snc15的用户,填写用户名和密码(user setup),即接入网络的用户帐号。

(2)如图3,添加AAA客户端信息和AAA服务器信息 (network configuration):AAA Client Ip address就填写交换机中VLAN 2的IP地址shared Secret填写之前在交换机上配置的密码“cisco”,Authenticate Using选择RADIUS。

(3)接下来配置组的授权,组的授权通过以后,用户能够接入网络(Group Setup)。在IETF RADIUS Attributes栏里面, 对相关选项进行设置。

(4)在以上步骤完成之后,就可以在交换机上测试定义的用户和密码能否完成认证,如图4显示表示认证成功。

SW1#test aaa group radius snc15 cisco new-code

1.3验证结果

(1)到客户端去验证普通用户是否能够登录网络,按照提示点击图5中所示的位置。

(2)如图6,在弹出的图中输入刚刚测试使用的用户名和密码,点击确定,等待认证成功。

(3)等待片刻以后,显示认证成功如图7所示,点击本地连接,选择支持,会看到通过DHCP指派获得的IP地址10.10.10.6/24网关是10.10.10.1。

(4)在客户机端打开CMD命令行,尝试用刚刚登录使用的用户名和密码登录SW1:telnet 10.10.10.1,则将登录SW1,键入用户名和密码后进入SW1,通过远程可实现对交换机进行相应配置。

通过以上操作我们能够看出通过认证的用户,能够获取到有用的IP地址,并且能够访问外网,可以远程管理交换机,还能够查到用户的登录时间。

AAA教学模式篇7

虚拟专用网 (VPN) 代表了当今网络发展的最新趋势, 以VPN为主结合AAA构成的网络安全与认证系统综合了传统数据网络的部分性能优点 (安全和服务质量) 和共享数据网络结构的优点 (简单和低成本) , 能够提供远程固定或移动地接入访问, 外部网互联和内部网互联, 并使得这些访问更安全更保密更具有可管理性, 价格又比传统的专线网络要低得多。而且, VPN技术还在不断发展, VPN在降低成本的同时将尽量满足对网络带宽、接入和服务不断增加的需求, 而AAA系统的技术已经比较成熟, 因此, 以VPN为主结合AAA的网络安全认证系统必将成为未来企业传输业务的主要工具。

AAA技术的采用可提高网络访问的安全性、可控性。通过统一的认证、授权、记帐中心实现安全的接入、有限度的授权、及时的记录。

2、网络安全与认证系统

VPN通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等跟公司的企业网连接起来, 构成一个扩展的公司企业网。VPN通过隧道技术和安全技术, 很大程度上提高了在公网上传输企业私有信息数据的安全性, 但作为还在更新发展中的技术, 它的安全性还是仅能保护端到端通信的建立, 而且对这种通信的管理与监控仍无能为力。为了有效管理VPN系统, 网络管理人员应当能够随时跟踪和掌握系统的使用者, 连接数目, 正在进行的操作, 异常活动, 出错情况等。同时, 日志记录和实时信息对记费、审计和报警或其它错误提示具有很大帮助。

验证、授权和统计 (AAA) 是一种有关如何配置不同的安全特性和对网络访问进行控制管理的框架体系。AAA的加入更进一步提高了网络访问的安全性, 并使数据通信得到了监控和管理, 因此, 本人提出了以VPN为主体, 结合AAA服务来构成网络安全与认证系统。利用这个系统来解决企业在组网过程中遇到的灵活性和安全性问题。

3、案例分析及实现

在实际应用中, 本人对福建某公司的项目进行了分析, 通过网络现状及建设目标的分析, 提出了两种解决方案, 并进行了比较。

3.1 网络建设目标

随着网络使用的进一步普及, 网络资源可管理可调配的要求越来越高, 为提高该公司网络的性能、稳定性和可管理性, 使网络平台更好地为企业服务, 进一步提升企业资源管理的信息化和网络化程度, 并配合上海数据中心的安排, 提出了本次VPN项目, 对当前网络进行升级改造。

3.2 解决方案对比

第一种解决方案是ATM/FR专线组网方案。如图3-1所示:

如果完全采用星型结构, 直接与总部相联, 需要花费较多的长途线路费用。因此, 建议各省市帧中继网络通过区内、区间线路先汇接在当地的中心网络, 然后通过长途线路连接总部网络。

第二种方案是采用以VPN为主, 结合AAA服务的网络安全与认证系统。如图3-2所示:

通过VPN能够提供雪津啤酒所有经销点的接入, 同时对于出差在外的雪津啤酒员工, 也能够通过VPN方便、安全和快捷的接入内部网络。又利用了AAA服务的认证授权和统计的特性, 使众多的接入连接得到管理和监控。

总部中心配置一台PIX防火墙作为终结设备, 配置一台AAA服务器做身份验证使用。当各地用户接入的时候, 访问服务器通过防火墙向AAA服务器发出认证请求, 只有通过验证的用户才允许接入。同时防火墙对连接的用户进行限制, 只允许对相应的服务器进行相关的访问。

3.3 案例实现

以VPN为主体, 结合AAA服务的网络安全与认证系统在理论上的优越性在案例中得到了体现。接下来将通过在实验室的具体操作来完成网络安全与认证系统的实现。

3.3.1 网络规划与设计

为了能够在不同区域进行内网互访, 并在网络访问过程中进行管理和控制, 保证访问的安全性, 规划了通过IPSecGateB与IPSecGateA之间建立隧道, 使两个内网用户UserA和UserB能够进行通信, 并利用AAA服务对UserB的访问进行认证授权与管理。

3.3.2 实现过程

要正确地配置IPSec加密, 必须进行预先规划才能最大限度地减少配置错误。下面配置了共用保密密钥交换的算法。

IPSecGateA (config-isakmp) #group 1

IPSecGateA (config-isakmp) #authentication pre-share

验证方法为共用密钥。告诉路由器要使用预先共享的密码

IPSecGateA (config-isakmp) #lifetime 3800

对生成新SA的周期进行调整。这个值以秒为单位, 默认值为86400, 也就是一天。

下面配置了预共享密钥和peer端地址。

IPSecGateA (config) #crypto isakmp key 6 cisco address 202.101.66.2

返回到全局设置模式确定要使用的预先共享密钥和指定VPN另一端路由器IP地址。

下面配置了变化集和IPSec所使用的参数。

IPSecGateA (config) #crypto ipsec transform-set vpnseta aespdes

以上命令是定义所使用的IPSec的安全协议和算法。

创建了加密映射图, 并指定使用isakmp来建立IPSec SA。

IPSecGateA (config) #crypto map mapa 20 ipsec-isakmp

该命令在全局模式下执行, 创建或修改了加密映射图, 并指定建立IPSec SA的方法。

下面设置了加密映射图的具体参量。

IPSecGateA (config-crypto-map) #set peer 202.101.66.2

IPSecGateA (config-crypto-map) #set transform-set seca

IPSecGateA (config-crypto-map) #match address 101

通信双方按照预期的方式进行隧道的建立和密钥的管理, 说明IPSecVPN的通信已经成功。在IPSecVPN配置成功的基础上加入AAA服务的配置。

首先配置ACS服务器, 实验中在Windows2000AdverServer上安装ACS服务器软件Cisco Secure ACS v3.2。

然后要建立用户信息和其授权情况, 接着要定义AAA的客户端。

接下来, 在AAA客户端上指定AAA服务器, 配置用于协商的key, 做相应的认证授权统计配置。

先开启AAA。然后指定AAA服务器和key。接着配置默认的验证内容和验证方法。

再接着配置统计, 为了管理上的方便, 一般放在AAA服务器上配置。

最后用telnet服务进行验证, 需要通过AAA验证, 并受控于AAA。

在登录时跳出了验证框, 并通过了验证, 可以在AAA服务器上查看用户操作统计。

通过以上的一系列步骤, 成功实现了以VPN为主, 结合AAA服务的网络安全与认证系统。使两个内网用户能够进行通信, 并利用AAA服务对用户的访问进行认证授权与管理。

4、结束语

网络安全与认证系统的实现, 解决了企业在不同分支机构与总部的安全信息互联, 解决了远程用户在家或在外地与企业网络的通信, 并较好地控制了成本。利用这种网络可以为企业带来更好的办事效率和更方便快捷、更安全的服务。通过对网络安全与认证系统的研究探讨与实现, 本人发现它在经济性和灵活性上较传统的网络组建方式有很大的进步, 但还无法保证服务质量, 而且这种VPN技术暂时只能支持单播, 对组播和广播还不支持, 并且只能运用在纯IP网络中, 在与网络地址转换并用时还存在着一些兼容性问题, 为此, 本文提出了对网络安全与认证系统的一些改进建议。

由于VPN是在公共网络上传输数据, 而公共网络只是个尽力转发的网络, 它无法保证数据包在网络上传输时因为网络堵塞或链路故障等问题的可靠性, 而且有些重要数据流可能需要优先使用网络带宽。为了解决这个问题, 本人建议在网络的前端增加一个网络流量控制器, 这可以使出入内网的流量得到一定程度的控制。考虑到设备的冗余性和网络流量的大小, 本人建议在出入网的位置增加一套起冗余和负载均摊作用的防火墙、VPN网关和AAA服务器等设备, 这样可以增加网络访问的可靠性和使网络流量得到负载均摊。当前的VPN只能支持单播, 而不支持组播和广播, 对于需要组播和广播的协议和应用如内网的IP路由等, 本人建议采用支持组播和广播的第二层隧道协议来完成。当需要进行网络地址转换时, 由于VPN技术对数据包包头进行加密封装, 这将导致不能正常进行地址转换, 本人建议采用IPSec NAT Transparency技术来解决这个问题。

参考文献

[1]Cisco Systems公司.组建Cisco远程接入网络[M].北京:人民邮电出版社, 2006.

[2]Mark Lewis.VPN故障诊断与排除[M].北京:人民邮电出版社, 2006.

[3]于秀莲, 徐惠民.虚拟专用网[M].北京:人民邮电出版社, 2000

[4]Carlton R.Davis.IPSec VPN的安全实施[M].北京:清华大学出版社, 2002.

[5]沙尔马, 赵刚.Cisco网络安全宝典[M].北京:电子工业出版, 2002.

[6]何宝宏.IP虚拟专用网技术[M].北京:人民邮电出版社, 2002.

[7]杨义先, 钮心忻.网络安全理论与技术[M].北京:人民邮电出版社, 2003.

[8]高海英.VPN技术[M].北京:机械工业出版社, 2004.

AAA教学模式篇8

随着移动通信系统和互联网技术的迅猛发展, 为了提供更加丰富多彩的服务业务, 各种网络的融合已成为必然。以IP技术为核心的全IP网络已成为网络融合的主动力量。目前3G 网络正逐步向全IP网络演进, 不仅在核心网络使用支持IP的网络实体, 在接入网络也使用基于IP的技术, 而且移动终端也成为可激活的IP客户端。这使得移动IPv6[1]和新的接入技术 (如无线接入、DSL、移动 IP 和以太网) 得到了快速发展, 也对现有的AAA (认证、授权、计费) 协议提出了新的要求。

现有的移动IPv6 AAA认证系统多数采用Radius协议;网络接入协议一般采用PPPoE或IEEE 802.1x等, 这些系统虽然得到广泛应用, 但也存在很多问题, 如:无法满足多种接入方式、对MIPv6的支持不充分、切换延迟比较大[2]等。

针对以上问题, 本文设计了一个基于Diameter[3]EAP 协议和采用PANA协议进行访问控制的移动IPv6 AAA系统, 该系统支持多种EAP认证方式, 可用于任何接入技术, 并支持移动节点的域间漫游和记帐功能。除此之外, 本文还对移动节点的认证流程进行了优化, 简化了认证过程, 进而减小了认证时延和提高了安全性。

1 技术背景

1.1 移动IPv6协议

移动IP的主要目标就是使得移动节点总是通过家乡地址寻址, 不管是连接在家乡链路还是移动到外地链路, 这使得移动节点对于IP层以上的协议层是完全透明的, 如TCP、UDP及所有的应用程序。

现在的移动IPv4协议由于其本身的缺陷, 已经无法满足全IP网络的应用要求了, 在这种情况下, 移动IPv6协议被提出来。移动IPv6协议借鉴了移动IPv4协议的很多特点, 吸取了其开发经验, 并做了很多改进。

与移动IPv4协议相比, 移动IPv6有明显的优势:巨大的地址空间, 无需外地代理;实现了对等端的通信;地址结构更加合理, 简化了路由过程;内置IPsec安全机制, 实现端到端的安全;地址的自动配置;服务质量更好;优化路由, 解决了三角路由问题;更好地支持主机的移动性等。

然而, 移动IPv6协议本身还无法满足在不同服务域间漫游和申请网络服务的需要, 要大规模部署移动IPv6, 使其商业化, 就必须解决移动IPv6设备的接入认证问题。目前, 一个广泛使用的方法是借助于AAA协议实现移动用户对不同域间资源的访问, 并提供认证、授权和计费服务。

1.2 Diameter协议

Diameter协议是由IETF制定的最新AAA协议, 与现有的用于实现AAA的Radius协议不同, Diameter协议设计灵活, 容易进行新应用的扩展, 支持移动IPv6和移动漫游。所以它不仅被互联网采用, 同时也被下一代移动通信网 (3G) 所采用。

Diameter定义了一种新的AAA框架结构, 它由一个基础协议和一组应用扩展协议 (如:NASREQ、Mobile IP、CMS Security 等) 组成, 如图1所示。

Diameter基础协议定义了AAA的基本功能, 为各种应用提供了基本的框架, 是每个Diameter节点必须实现的功能。主要包括Diameter节点间的对等连接、能力协商、消息格式、消息的接收及发送、用户会话、差错处理、计费等功能。基础协议通常与一个应用扩展相结合提供AAA服务。

1.3 Diameter移动IPv6应用扩展模型

所谓移动IP, 是指当MN (移动节点) 在改变Internet连接点时, 仍能够同其它的节点通信, 并且不需要改变它的IP地址。但是移动IP本身并不对域间漫游提供特定的支持, 并且没有考虑授权、计费这些实际应用问题, 这极大限制了移动IP的商业应用和普及。

基于Diameter的AAA协议允许移动用户在不同服务提供商之间漫游并得到服务, 并可提供可靠高效的AAA机制完成认证、授权和计费。

基于Diameter的移动IPv6 AAA系统应用扩展模型如图2所示。 (1) AAA client: AAA客户端, 为MN提供网络接入服务。 (2) AAAV:访问域的AAA服务器。 (3) AAAH:MN节点家乡网络的AAA服务器。 (4) HA:MN的家乡网络移动IPv6代理。 (5) Diameter broker:Diameter中间代理。

当MN在家乡域网络接入时由AAAH对MN进行认证。当MN在访问域漫游接入时, AAAL需与MN的家乡ISP的AAAH服务器交互信息进行认证、授权。另外, MN节点将移动IPv6绑定更新信息封装在AAA请求报文中发送给HA, 由HA对MN注册。这样就完成了MN的认证、授权和移动IPv6的漫游注册过程。

2 系统设计

2.1 系统模型的设计

同其它已有的移动IPv6 AAA系统一样, 本方案的系统结构也包含如下几个部分:MN、AAA客户端 (AR) 、AAAV、AAAH、HA, 如图3所示。但与已有方案不同的是, 本方案中, 在MN和Diameter AAA服务器之间采用EAP (Extensive Authentication Protocol) 协议进行认证, 实现了端到端的安全, 支持多种认证方法。在MN和AR间采用PANA (Protocol for Carrying Authentication for Network Access) [4]协议, 使得系统支持任何接入方式。

在实际应用中MN会根据自身需求、当前网络状况以及访问的网络资源, 对接入的安全级别有不同的要求, 并会采用不同的认证方法, 这就要求系统能够满足不同认证方法。EAP协议是一个认证方法的框架协议, 它提供了一种支持多种认证方法的标准机制, 可以方便地扩展出不同的认证方法, 并且支持各种有线、无线接入方式。Diameter EAP应用协议是在Diameter框架下为EAP认证定义的应用扩展协议, 它使得Diameter可以很好地完成EAP消息的传输任务。

图3中, 在MN和AAA客户端之间, EAP认证消息由PANA协议承载;在AAA客户端上EAP认证消息被从PAPA消息中提取出来, 封装到Diameter的AAA消息中 (反之EAP认证消息被从Diameter消息中提取出来, 装入PANA消息中) ;在AAA客户端与AAA服务器之间, EAP认证消息由Diameter承载。如果对漫游的MN认证, EAP认证消息由Diameter AAA消息承载在AAAV和AAAH以及其它AAA服务器之间交换。总之EAP认证消息包含在MN和AAAH服务器之间的交互消息中。

在MN和AAA客户端之间使用PANA协议通信, AAA客户端和Diameter AAA服务器以及AAA服务器之间使用Diameter协议通信。

PANA协议是由IETF开发的独立于链路层的网络接入认证协议, 用于在用户和接入网络间传输EAP消息, 为用户的网络接入认证提供支持。PANA协议的主要负载是EAP报文, 并且可以用于任何接入网络 (802.11, 802.16, xDSL, GPRS, 3G, etc) , 而不管其底层的安全如何, 这种认证方式更加灵活。PANA协议在PAC (MN中的PANA用户端模块) 和PAA (AAA客户端中的PANA服务器端模块) 之间完成MN网络访问过程。

图3, 图4是移动IPv6 AAA系统的基本实现模型和协议栈。

该模型在MN中内置了PANA用户端模块PAC;AR (接入路由器) 作为AAA客户端, 在其中内置了PANA服务器端模块和AAA客户端模块。

2.2 该系统模型的基本认证过程

移动IPv6的MN漫游到一个新的外地链路时, MN发生了切换, 开始了移动IPv6的AAA过程。同时MN通过动态地址配置机制获得转交地址 (CoA) , 并且要向家乡代理发送绑定更新消息进行注册。移动IPv6 AAA的基本认证过程如图5所示。

(1) 接入路由器 (AR) 向MN发出路由通告 (RA) 。

(2) MN向AR发送接入请求 (ACER) 消息。MN初始化PANA认证过程。同时使用加密算法运算challenge和共享密钥以构造安全认证信息。

(3) AR向访问域AAA服务器 (AAAV) 发送AAA请求 (ARR) 消息。包括认证、绑定更新、NAI信息和安全信息等。

(4) AAAV向家乡域AAA服务器 (AAAH) 转发ARR消息。

(5) AAAH发送绑定更新请求 (BUR) 给家乡代理 (HA) 。AAAH根据数据库中的用户信息验证认证信息, 若能通过验证, 则对MN授权。同时向家乡代理发送BUR。

(6) HA给AAAH发回绑定更新应答消息 (BUA) 。

(7) AAAH向AAAV发回AAA应答消息 (ARA) 。

(8) AAAV向AR发送AAA应答消息 (ARA) 。

(9) AR向MN发回接入请求应答消息 (ACEA) 。

2.3 认证过程的进一步优化

上述基本认证过程虽然实现了简单的移动IPv6 AAA过程, 但还不能满足未来实际应用的要求, 因为实际应用中MN需要在管理域间频繁的切换, 切换时延对MN的通信质量和移动IP的应用至关重要。每次MN切换到外地链路或在外地链路启动时, 为了实现对MN的认证、授权、计费和绑定更新, AAAV和AAAH要交互信息。交互过程要来回穿越访问域和家乡域间的网络, 增加了切换时延, 浪费了网络资源。切换时延主要是穿越AAAV和AAAH间的网络所花费的时间。

为了减少时延减轻网络负担, 本文采用了一种信息缓存的方法, 即将MN的认证和授权信息暂存在MN访问域的AAA服务器 (AAAV) 的缓存中, 当MN切换回该访问域时, 如果存在AAAV缓存中的信息依然存在且有效, 就可以对MN直接认证、授权, 无需家乡AAA服务器的参与, 减少了AAAV与AAAH之间的通信, 因而减少了延迟。如果AAAV中缓存的信息过期或MN初次切换到该访问域时, 则采用一般的移动IPv6 AAA认证过程对MN进行认证、授权。认证成功后, 将MN的认证、授权信息缓存在访问的AAAV中, 这样下次访问时可以直接使用。

改进的认证过程如图6所示。与图5相比, 显然减少了认证消息在AAAV和AAAH之间的传输。

然而, 这种认证方案的一个问题是, MN的认证授权消息临时保存在AAAV的缓存中, 当网络规模很大时, 需要保存的信息会很庞大, 由于AAA认证过程需要在AAAV的缓存列表中查找MN的认证授权信息, 当缓存列表很大时查找过程很费时间。一个减轻AAAV缓存量的方案是采用小型计录, 简化认证授权信息。但这种方案却又带来了另外两个严重的问题: 其一, 由于采用简化的信息, 使得认证授权的安全性和完整性大大降低, 这无疑违背了AAA认证协议的宗旨。其二, 该方法要求MN保存简化计录, 因而在每次接入中都要求检索计录列表, 这无疑又增加了MN的负担和操作难度。

为了解决上述问题, 本文采用了如下方案:

(1) 在AAAV中缓存MN的完整认证授权信息

随着存储设备技术的不断发展, 大容量、小体积、高效、廉价的存储设备已被广泛使用, 完全能够满足在AAAV中缓存大量MN的认证授权信息的要求。为了保证信息的完整和有效, 本设计使用了完整的认证授权信息。

(2) 对认证过程进行优化

考虑到当网络规模很大时, AAAV缓存列表也会很大, 对它的查询会有很大的延迟。为了解决这一问题, 本设计在AAAV的缓存中定义了一个新的数据结构, 命名为Sdata, 它包含存放每个MN用户认证授权信息的数据结构、每个用户的最基本信息、数据的生存期和时间戳。该数据结构如下:

优化的基本思想是:

(1) AAAV收到MN的认证请求后, 提取认证请求中的NAI, 按照AAA_Sdata_list列表逐个核对相应AAASdata数据结构中的用户名和域名。如果有匹配的, 则用相应aaadata中的认证授权信息对MN进行认证。如果认证失败则丢弃此认证请求;如果认证成功, 就用aaadata中存储的授权信息对MN授权, 同时用当前时间更新时间戳。由于检索时只需查找和匹配用户名和域名, 要匹配的内容非常简单, 所以加快了查询速度。

(2) 如果在AAAV缓存中没有用户名和域名与认证请求的NAI匹配, 则启动基本的AAA认证过程, 通过MN的AAAH进行认证, 并将认证授权信息缓存在AAAV中。

(3) 在AAASdata中包括生存时间和时间戳, 如果某个AAASdata对象的生存时间到期了, 则将其从缓存列表中删除, 这样可以缓解AAAV的缓存压力。

(4) 当有新的AAASdata对象加入或删除时, 根据时间戳调整AAA_Sdata_list列表的位置, 把时间戳最新的AAASdata指针放在前面, 这样可以减少检索的时间, 提高效率, 因为移动用户一般会集中在几个区域频繁切换。

通过上述优化处理, 减少了认证信息在AAAV和AAAH间的交互, 缩短了检索缓存列表的时间, 可减小MN切换的时间延迟。

3 结论

本文给出了基于Diameter的移动IPv6 AAA系统实现模型。设计中, 除了使用了Diameter协议传输AAA消息和采用EAP的认证方法及基于PANA协议的访问控制, 还对移动节点的认证过程进行了优化, 因而系统除了支持多种EAP认证方式、支持各种接入技术及移动节点的域间漫游和记帐功能外, 还减小了认证时延和提高了安全性。根据PANA协议和Diameter协议, 结合OpenDiameter开源软件包可以实现以上设计的移动IPv6 AAA系统模型。

参考文献

[1]Steven J.Vaugnan-Nichols.Mobile IPv6 and the future of wireless In-ternet access[J].Computer, February, 2003:18 -20.

[2]李军, 张瀚文, 叶新铭.面向WLAN的移动IPv6 AAA系统研究与实现[J].计算机应用, 2006, 26 (6) :1263.

[3]Airespace PC, Loughney J, Guttman E.Diameter Base Protocol[S].IETF RFC3588, September 2003.

AAA教学模式篇9

有效的身份认证能够实现校园网有限资源的再分配, 真实可信的网络身份认证体系一方面能够让恶意者在做有害行为之前有所顾忌, 防微杜渐;另一方面也可以让校园网络管理者在安全事件发生后能准确及时地找到肇事者, 在一定程度上防止安全事件的再次发生。系统获取用户的身份后, 可以根据用户身份的不同, 分配不同的资源使用权限, 避免网络资源的滥用和管理混乱。

1高校校园网现状

随着国际、国内网络安全事件的不断升级和网络应用的普及, 由于用户群密集且活跃, 校园网成为安全问题的“重灾区”, 管理也更为复杂、困难。主要体现在:①要求实现实名入网, 防止盗用, 使得各种安全事件能够落地;②要求能够有效地防止对其它网络用户、网络设备产生压力和欺骗攻击, 如arp攻击和广播风暴;③要求能够有效地防止非合法授权使用他人身份或二次代理现象;④要求认证本身对网络带宽占用率消耗尽可能低, 内网能够不受限制地流畅访问;⑤能够实现有线无线的一体化认证;⑥业务数据和管理数据的分离。

高校校园网经过多年的发展, 逐渐形成了许多行之有效的身份认证技术和系统。但由于政策和管理模式不同, 所采取的技术方案和管理制度也不尽相同。

1.1静态IP入网

该种模式以静态IP分配模式进行组网, 往往采用二级网络模式, 核心以下都在一个vlan里。主要是受制于学校的设备更新速度慢、设备参数较低、带来的问题是出现大量的IP地址盗用现象, arp攻击猖獗、广播风暴明显, 给用户和管理人员带来诸多不便。

1.2校内开放访问

只在用户访问校外资源时进行认证, 一般在校园网出口处安装认证网关设备。这种方法比较适合CERNET流量计费政策, 但是无法防止用户通过代理访问外部资源, 不能防止外来用户滥用校园网中的资源, 对于校内发生的安全事件也无法追查和落地。

1.3基于MAC地址的认证

在三层交换机上登记用户的网卡地址, 只有授权的主机可以访问, 在用户数量较多的高校, 用户还可能频繁地修改Mac地址, 这种方式的管理难度很大。

1.4PPPOE方式拨号认证访问

PPPoE由于采用动态分配IP地址方式, 用户拨号后无需自行配置IP地址、网关、域名等, 它们均是自动生成, 不存在用户自行更改IP地址的问题, 对用户管理方便。但存在的不足是认证在包头和用户数据直接插入了PPPOE和PPP封装, 对一些特殊业务和网络利用率有一定影响。

1.5基于802.1x的认证访问

IEEE 802.1x是一种链路层验证机制协议, 控制着对网络访问端口即网络连接点的访问, 如实施在无线接入点的物理交换端口或逻辑端口。通过控制网络访问, 用户可以在多层安全架构部署第一道防线。在连接设备得到验证之前, 网络访问权完全被禁止。得到验证之后, 用户可以被提供附加服务。这些服务包括第三层过滤、速率限制和第四层过滤。

2基于802.1x认证的优势

基于以太网端口认证的802.1x协议有如下特点:①IEEE 802.1x协议为二层协议, 不需要到达三层, 对设备的整体性能要求不高, 可以有效降低建网成本;②借用EAP (扩展认证协议) , 可以提供良好的扩展性和适应性, 实现对传统PPP认证架构的兼容;③802 1x的认证体系结构中采用了“受控端口”和“非控端口”的逻辑功能, 从而可以实现业务与认证分离, 由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制, 业务报文直接承载在正常的二层报文上通过可控端口进行交换, 其通过认证后的数据包是无需封装的纯数据包;④可以使用现有的后台认证系统降低部署的成本, 并有丰富的业务支持;⑤可以映射不同的用户认证等级到不同的VLAN;⑥可以使交换端口和无线LAN具有安全的认证接入功能。

2.1802.1x的组成

IEEE 802.1x定义了下列几个角色:

请求者:连接到网络、请求其服务的设备, 通常是终端站。它是最终用户所扮演的角色, 一般是个人PC。它请求对网络服务的访问, 并对认证者的请求报文进行应答。恳请者必须运行符合IEEE 802.1x 客户端标准的软件。

认证者:认证者一般为交换机等接入设备。该设备的职责是根据客户端当前的认证状态控制其与网络的连接状态。该设备扮演着中介者的角色, 从客户端要求用户名, 核实从服务器端的认证信息, 并且转发给客户端。因此, 设备除了扮演IEEE802.1x 的认证者的角色, 还扮演RADIUS Client 角色。

该种设备有两种类型的端口:受控端口 (controlled Port) 和非受控端口 (uncontrolled Port) 。连接在受控端口的用户只有通过认证才能访问网络资源;而连接在非受控端口的用户无须经过认证便可以直接访问网络资源。

验证服务器:提供向验证者申请验证服务的实体, 认证服务器通常为RADIUS 服务器, 认证过程中与认证者配合, 为用户提供认证服务。认证服务器保存了用户名及密码, 以及相应的授权信息, 一台服务器可以对多台认证者提供认证服务, 这样就可以实现对用户的集中管理。认证服务器还负责管理从认证者发来的记帐数据。

在实际应用中3者为工作站 (client) 、交换机 (network access sever) 和Radius-Sever。

2.2802.1x扩展协议EAP工作工程

IEEE定义了一种封装模式, 允许EAP通过LAN传输, EAP over LAN (EAPoL) 于是应运而生。各种验证服务都可以通过这种协议运行, 包括用户名/口令、Kerberos、数字证书、一次性口令和生物检测技术等服务。EAP数据包在请求者和验证者之间的链路层上传输, 并通过验证者与验证服务器之间的IP/RADIUS连接。

EAP本身并不为流量传输明确规定任何保护机制, 相反, EAP内运行的验证协议 (在RFC 2284当中定义为验证类型) 为安全操作提供了数据的机密性和完整性。

2.3基于802.1x的AAA认证过程

(1) 客户端开启认证, 发送EAPOL-Start报文, 开始802.1X认证接入; (2) 接入设备收到EAPOL-Start报文后, 向客户端发送EAP-Request/Identity报文, 要求客户端将用户账号信息传送上来; (3) 客户端回应一个EAP-Response/Identity给接入设备的请求, 其中包括用户账号; (4) 接入设备将EAP-Response/Identity报文封装到RADI-US Access-Request报文中, 发送给认证服务器; (5) 认证服务器产生一个Challenge, 通过接入设备将RADIUS Access-Challenge报文发送给客户端, 其中包含有EAP-Request/MD5-Challenge; (6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端, 要求客户端进行认证; (7) 客户端收到EAP-Request/MD5-Challenge报文后, 将密码和Challenge做MD5算法后的Challenged-Pass-word, 在EAP-Response/MD5-Challenge回应给接入设备; (8) 接入设备将Challenge, Challenged Password和用户名一起传送到RADIUS服务器, 由RADIUS服务器进行认证; (9) RADIUS服务器根据用户信息, 做MD5算法, 判断用户是否合法, 然后回应认证成功/失败报文到接入设备。如果成功, 携带协商参数, 以及用户的相关业务属性给用户授权。如果认证失败, 则流程到此结束; (10) 如果认证通过, 用户通过标准的DHCP协议 (可以是DHCP Relay) , 通过接入设备获取规划的IP地址; (11) 如果认证通过, 接入设备发起计费开始请求给RADIUS用户认证服务器; (12) RA-DIUS用户认证服务器回应计费开始请求报文。

至此, 用户上线完毕, 获得授权, 开始正常使用网络。

3基于802.1X的AAA认证的设计与实现

3.1设备选型

实施中存在接入设备支持方面的问题, 使得在全校范围内推广实施802.1X接入控制有一定的难度。表现在, 校园网早期购买交换机品牌较多, 有的交换机支持802.1X、有的交换机不支持;802.1X分基本功能与扩展功能两部分, 许多802.1X控制功能是由其私有的扩展功能来实现的。不同厂家交换机802.1X扩展部分的功能不一样, 给全校实施802.1X控制措施带来困难。

在实施工程中, 我们选用同一家的产品, 对不同厂商的网络设备需要进行更换或改造。选择华为的93系列交换机作为汇聚, 33系列交换机作为接入层设备。

3.2模式选择

管理员通过配置IP授权模式来限定用户获得IP地址的方式。IP授权模式有4种:DISABLE模式、DHCPSERVER模式、RADIUS SERVER模式、SUPPLICANT模式。

由于涉及到学生在不同校区之间漫游, 以及学生群体的特殊性, 选择了DHCP SERVER模式, 同时通过在交换设备上启用DHCP SNOOPING指定DHCP信任端口来有效防止DHCP代理, 启用交换机的DHCP relay功能, 将dhcp上发到DHCP服务器进行统一处理。DHCPSERVER模式:用户的IP通过指定的DHCP SERVER获得, 对于DHCP模式可以使用DHCP relay option82实现802.1X的更为灵活的IP分配策略, 管理员通过配置设备的DHCP RELAY来限定用户访问的DHCP SERVER, 这样, 只有指定的DHCP SERVER分配的IP才是合法的。

3.3设计配置实现

3.3.1 AAA认证配置

dot1xenable

dot1xauthentication-method eap

aaa

accounting-scheme radius

accounting-mode radius

accounting realtime 3

domain default

authentication-scheme radius

accounting-scheme radius

radius-server AAA认证设备地址

3.3.2防“非法”代理配置

dhcp enable

dhcp snooping enable

dhcp snooping trusted interface GigabitEthernet0/0/1 (上行允许dhcp的端口)

dhcp-server DHCP服务器地址

交换机端口默认为不信任, 只有指定端口为信任端口, 才能从信任端口获取DHCP地址。

3.3.3交换设备端口隔离配置

port link-type access

port default vlan VLANID

undo ntdp enable

undo ndp enable

bpdu enable

dot1xenable

port-isolate enable group 1

3.3.4业务流和管理流分离

通过把业务流和管理流归到不同的VLAN, 这样业务数据和管理数据不再干扰, 保证了管理数据的稳定和畅通。网络采用典型的三层设计, 终端用户通过楼栋交换设备上指定的网关地址向上发出请求, 通过小区汇聚和核心交换设备向AAA服务器递交申请。凡涉及到用户的行为落地都可以由该次IP地址查询到所属楼栋和楼层, 为安全和管理提供了有力的技术保障。

3.3.5内网服务器访问保护

由于采用AAA实名认证, 只要通过认证的用户便可稳定、流畅的访问内网服务器。进行内外网隔离, 采用防火墙隔离, 内网、外网不能直接互相访问, 所有内网、外网之间的访问全部通过防火墙实现。只对授权用户访问外网进行流控, 对内网用户不作流量限制, 如果未通过认证, 则必须通过外网访问服务器, 并采取相应的身份识别和流量控制。这样, 一方面保障了校内资源的高效访问, 另一方面对未授权的访问进行有效的隔离。

3.3.6有线无线一体化

由于学生群体的流动性较强, 因此方案中采用有线无线一体化设计, 在学生寝室加设无线路由, 采用统一SSID命名, 路由器工作在AP模式下, 学生不管是通过有线还是无线连接上路由器, 都可以通过AAA方式以分配的有效账号进行登录。这种方式允许学生在校内网络覆盖的任何地方漫游, 保障了学生群网络使用的便利性。

参考文献

[1]周鹏, 李英, 李志蜀.基于AAA机制的校园网安全计费管理系统设计[J].天中学刊, 2010 (2) .

[2]彭伟.使用802.1x实现校园网认证[J].计算机应用, 2003 (3) .

[3]高祥, 周林.802.1x协议及其在宽带接入中的应用[J].重庆邮电学院学报:自然科学版, 2004 (1) .

[4]丰艳.基于Radius协议的VOIP认证/计费系统的设计与实现[J].计算机工程与设计, 2008 (13) .

[5]张敬伟, 周娅, 周德新.RADIUS在端口认证中的应用及其实现[J].计算机应用, 2004 (6) .

[6]吴伟斌.校园网AAA系统设计与实现[J].中国教育网络, 2007 (2) .