一、SAM+对接AAA运营商方案主要角色

SAM+：

SAM+是SAM系列产品中的最高权限版本，一般情况下可以兼容比其版本号低的企业版、标准版升级到当前SAM+。SAM+具有组件授权时，可直接与运营商radius-server对接。

运营商radius-server：

运营商radius-server是运营商的认证系统，该系统相当于SAM的认证功能（包含认证、接入控制、授权等）。在SAM运营商解决方案中，它处理来自运营商SAM中转的radius报文。另外，它还可以产生原始的话单（比如产生：用户名、上线时间、下线时间、使用带宽、流量等一条条记录）。

运营商BOSS系统：

运营商boss是运营商的计费授权系统，用于定制用户的套餐，管理用户的余额等账务信息。

二、SAM多运营商方案概念

1、账号：

在SAM运营商方案中，账号分为两类：校园网账号和运营商账号。

校园网账号一般是学号/工号+密码，是由学校给学生制定的账号、密码，用于学校内部入网管理。

运营商账号通常是手机号码/宽带账号 +密码，是运营商宽带业务的账号、密码，能与运营商的radius-server进行对接。大多数情况下，学生在申请运营商账号的时候是重新发放一个手机号，并且该手机号绑定了通话、宽带等套餐。

同一个校园网帐号可以绑定多个不同运营商的账号，使用校园网账号可以认证任意运营商，认证成功之后也可以进行运营商服务之间的切换。

如果校园网用户想要使用运营商账号的宽带服务，则需要将申请到的运营商账号绑定到校园网账号上。在SAM的“运营商对接配置中”可以限制用户在认证时只能采用校园网账号或者运营商账号认证，也可以允许用户采用任意一组账号认证。

            2、用户：

      在SAM运营商方案中，和账号一样，同样存在两种用户：校园网用户和运营商用户。从技术角度看，在SAM运营商方案中，运营商和高校合作，实际上是SAM和运营商radius-server之间的认证、计费对接过程，区分校园网用户和运营商用户，主要是看账务由哪个系统来管理。

校园网用户：不使用运营商服务，认证、计费直接在校园网SAM或者是运营商SAM本地完成。

       运营商用户：使用运营商服务，认证在运营商radius-server完成，账务和计费由运营商BOSS系统管理。

同一个用户，可以同时是校园网用户，也可以是运营商用户，用可用服务进行区分。

3、交互标准：

SAM+、运营商radius-server两者之间使用radius-proxy进行交互。（运营商radius-server必须支持radius-proxy）

本质上还是radius报文，转给运营商radius-server的报文增加了报文属性Proxy-State。

4、支持的加密方式：

SAM+和接入NAS设备之间，支持原有五位一体方案中的加密标准。

SAM+――运营商radius-server的加密方式只支持PAP和CHAP，由于CHAP比PAP多一次交互过程，更加安全，因此只要系统支持，一般在实施时加密方式建议选择CHAP。