AAA trong môi trường CDMA2000 dựa rất nhiều vào việc sử dụng RADIUS và các giao thức khác như PAP và CHAP. Trong phần này ta sẽ phân tích chi tiết hơn kiến trúc AAA và ảnh hưởng của nó lên MVPN. ðể ñảm bảo hoạt ñộng AAA bền
vững cho truy nhập mạng số liệu riêng, cần mở rộng thêm một bước khái niệm hạ
tầng AAA khách-nhà phân bố. ðể thỏa mãn tốt hơn yêu cầu ñối với các phương pháp truy nhập mạng số liệu riêng khác nhau và giảm nhẹ trao ñổi ñồng cấp mà không cần thiết lập trước các thỏa thuận, cần phát triển kiến trúc ở dạng kiến trúc AAA khách-môi giới-nhà như thấy ở hình 3.9, giảm nhẹ kiến trúc mạng ñược chia
sẻ bởi nhiều thực thể riêng ñồng cấp như ISP, ASP, các mạng hãng và các nhà khai thác di ñộng.
MS truy nhập mạng số liệu riêng qua mạng truy nhập do một ñối tác thứ ba cung cấp cần ñược xác thực bởi cả hai mạng. MS sẽ ñược nhận dạng ñối với mạng truy nhập bởi ID của mình (IMSI chẳng hạn), và ñối với mạng số liệu riêng bởi NAI. Như hình 3.9, nhận dạng này ñòi hỏi chức năng AAA tại cả mạng khách lẫn mạng nhà. Trong CDMA2000, chức năng này ñược thực hiện bởi RADIUS AAA client (ñược ñặt trong PDSN) và server mạng khách, và RADIUS AAA client (ñược ñặt
trong HA ñối với MIP và LNS ñối với IP VPN ñơn giản) và server mạng nhà. Ngoài xác thực và trao quyền MS trong CDMA2000 khi cần truy nhập mạng số
liệu riêng, các yêu cầu xác thực ñược gửi ñi từ AAA server khách liên kết với PDSN ñến AAA server nhà liên kết với HA và trả lời ủy quyền ñược gửi theo phía ngược lại. Thông tin kế toán khi này cũng ñược lưu trong AAA server khách và tùy chọn ñược gửi ñến AAA nhà bằng cách sử dụng giao thức AAA tin cậy và sau ñó ñược gửi ñến hệ thống tính cước. ðối với dịch vụ VPN, thông tin kế toán có thể
gồm các thông số: NAI, QoS, nhận dạng phiên ñối với dịch vụ IP ñơn giản và ñịa chỉ nơi nhận. Thông tin AAA nhà-khách (ñược xây dựng trên một cơ chế giao vận
tin cậy) có thể ñược tùy chọn bảo vệ bởi IPSec và có khả năng phân phối secret shared cho IKE.
Mô hình này căn bản như nhau ñối với cả IP VPN ñơn giản lẫn MIP VPN và có thể bao gồm cả các phần tử tùy chọn như server ñại diện RADIUS và các bộ môi giới AAA. ðối với cả hai kiểu VPN này, truyền thông cơ sở giữa các RADIUS client và các server tuân theo [RFC2865] và [RFC2866]. Tùy chọn, truyền thông tin
này cũng ñược ñảm bảo an ninh bởi IPSec ñể cung cấp một liên kết an ninh giữa MS, PDSN và HA (hay LNS trong trường hợp IP ñơn giản) và hỗ trợ phân phối khóa ñộng sử dụng IKE.