Trong mạng Internet cốđịnh (wired), có một số chuẩn cho việc xác thực và cấp phép truy nhập cho các máy tính quay số. Giao thức AAA được biết tới và triển khai nhiều nhất là RADIUS (Remote Dialing User Service). Một giao thức AAA mới được coi là thế hệ tiếp theo của RADIUS là DIAMETER.
Mô hình AAA cơ bản triển khai cho Mobile IP được đề xuất trong [6] , [20] Các định nghĩa mở rộng cho thông điệp đăng ký để sử dụng các thiết lập bảo mật giữa MN và máy chủ AAA cho HA, FA được định nghĩa trong [7]
Khi một “khách” (client) thuộc một vùng (domain) quản lý khác có nhu cầu sử dụng các tài nguyên tại một vùng khác, cần có các chứng nhận từ khách đó. Theo mô hình cơ bản được đề xuất (Hình 40), một cơ chế kiểm soát cục bộ (AAAF – Foreign Authority) tại vùng mới tới của khách sẽ thông qua một agent (còn gọi là
phục vụ - attendant) yêu cầu và kiểm tra các chứng thực từ “khách”, đảm bảo tính hợp lệ trước khi “khách” có thể truy cập các tài nguyên.
Hình 40: Mô hình Mobile IP/AAA cơ bản
Thường thì AAAF không có khả năng xác thực cho khách. Tuy nhiên, AAAF có .khả năng thương lượng việc xác thực khách với một cơ chế xác thưc bên ngoài, đó là server AAA tại vùng thường trú của khách (AAAH - Home Authority). AAAF và AAAH sẽ có các thiết lập bảo mật với nhau và có khả năng thương lượng và cấp truy nhập cho các “người dùng” của nhau.
Hình 41: Các thiết lập bảo mật trong mô hình Mobile IP/AAA
Mô hình Mobile IP/AAA có một vài thiết lập bảo mật cụ thể như được minh họa trong Hình 41.Đây là sự khác nhau cơ bản giữa mô hình này và mô hình bảo mật của giao thức Mobile IP chuẩn. Khác với giao thức Mobile IP chuẩn, mô hình AAA giả sử rằng MN có một thiết lập bảo mật SA1 với AAAH; còn trong giao thức Mobile IP chuẩn, MN có một thiết lập bảo mật với HA.
Mô hình AAA này có các yêu cầu cơ bản [20] :
- Giữa mỗi phục vụ và AAA server (AAAF) phải có một thiết lập bảo mật bắt buộc.
- Giữa hai miền (thường trú và tạm trú) phải có các thiết lập bảo mật để
có thể xác thực các chứng thực của “khách”.
- Trong khi miền tạm trú liên lạc với miền thường trú để trao đổi, phục vụ
phải lưu giữ trạng thái cho các yêu cầu đang chờ xử lý.
- MN phải có khả năng cung cấp các chứng thực tin cậy mà không bắt bưộc trước đó phải tương tác trực tiếp với miền của nó.
Khi đó máy chủ AAA có các nhiệm vụ bổ sung đối với Mobile IP:
- Máy chủ AAA cấp phép để MN có thể sử dụng Mobile IP và các dịch vụ cụ thể khác.
- Máy chủ AAA phải khởi tạo và cho phép xác thực các thông điệp đăng ký.
- Máy chủ AAA phải phân phối khóa tới các MN, HA, FA.
Mỗi sự lặp lại của tiến trình phân phối khóa có thể gây ra các sự trễ kéo dài giữa các lần đăng ký. Do đó, tất cả các thiết lập bảo mật được phân phối bởi máy chủ AAA cần có thời gian sống thích hợp để tránh những sự trễđó. Nếu sự trễ trong
đăng ký xảy ra, các gói tin sẽ bị hủy và dẫn tới ngắt quãng dịch vụ.