Diameter协议.doc复习课程

1、Di a me t e r 协 议 . do c Diameter 协议 2009-10-23 09:43 Diameter 协议 Diameter协议族包括基础协议(Diameter Base Protocol )和各种应用协 议。本文介绍的基础协议提供了作为一个AAA协议的最低需求，是Diameter 网络节点都必须实现的功能，包括节点间能力的协商、Diameter消息的接收 及转发、计费信息的实时传输等。应用协议则充分利用基础协议提供的消息 传送机制，规范相关节点的功能以及其特有的消息内容，来实现应用业务的 AAA基础协议可以作为一个计费协议单独使用，但一般情况下需与某个应用 一起使用。

2、 iTIAJV |i|L|EWfr urstir it .irwi； 图1是Diameter的协议层次图。 Diameter网络节点 在Diameter协议中，包括多种类型的 Diameter节点。除了 Diameter客户端 和Diameter服务器外，还有 Diameter中继、Diameter代理、Diameter重定 向器和Diameter协议转换器。 Diameter中继 能够从Diameter请求消息中提取信息，再根据 Diameter 基于域的路由表的内容决定消息发送的下一跳Diameter节点。Diameter中继 只对过往消息进行路由信息的修改，而不改动消息中的其他内容。 D

3、iameter代理 根据Diameter路由表的内容决定消息发送的下一跳 Diameter节点。此外，Diameter代理能够修改消息中的相应内容。 Diameter重定向器 不对消息进行应用层的处理，它统一处理Diameter消 息的路由配置。当一个 Diameter节点按照配置将一个不知道如何路由的请求 消息发给Diameter重定向器时，重定向器将根据其详尽的路由配置信息，把 路由指示信息加入到请求消息的响应里，从而明确地通知该Diameter节点的 下一跳Diameter节点。 Diameter协议转换器 主要用于实现 RADIUS与 Diameter，或者TACACS与 Diamet

4、er之间的协议转换。 上述各种Diameter节点，通过配置建立一对一的网络连接，组成一个 Diameter 网络。 Diameter 网络节点间的对等连接 Diameter 节点间的网络连接是在 Diameter 节点启动过程中动态建立的基于 TCP或者SCTP专输协议上的套接字连接。 对于一个 Diameter 节点，其对端节点，或者基于静态配置，或者基于动态 (利用SLP DNS协议)发现。当Diameter协议栈启动时，Diameter节点会 尝试与每一个它所得知的对端节点建立套接字连接。 在成功建立一个套接字连接，即对等连接后，两个 Diameter 节点将进行能力 协商，交换协议版

5、本、所支持的应用协议、安全模式等信息。能力协商是通 过 Diameter 的能力交换请求( CER， Capabilities-Exchange-Request )和能 力交换响应( CEA， Capabilities-Exchange-Answer )两个 Diameter 消息的 交互实现的。能力协商之后，应该把有关对端所支持的应用等信息保存在高 速缓存中，这样就可以防止把对端不认识的消息和AVP发送给对端。 对等连接可以被正常中止，这需要一个 Diameter 节点主动发起对等连接中止 请求( DPR， Disconnect-Peer-Request )消息，对端收到此消息，并回答对 等

6、连接中止应答( DPA， Disconnect-Peer-Answer )消息后，先行中止底层连 接。对于除此之外的对等连接的中止情况(如网络故障、一端系统故障 等)，在发现这类连接异常中止的一端时，要按照定时器设置，不断地尝试 恢复建立对等连接。 正常的对等连接上可以专输各类 Diameter 消息，在连接空闲无消息专送超过 一定时间时，对等连接两端将发送连接正常检测消息(DWR/DW， ADevice- Watchdog-Request/Answer )。而一旦 DWR/DWA息收发异常，Diameter 节点 将认定对等连接故障，或者尝试恢复建立连接，或者将消息通路转换到备用 的对等连接

7、上。 Diameter 的消息格式 Diameter 消息的头部包括 20个字节，结构如图 2 所示。头 4个字节是 8比特 的版本信息和 24比特的消息长度(包括消息头长度)。随后的 4 个字节是 8 比特的消息标志位和 24 比特的命令代码。 0123 9 1 34678901 230578991 2345578901 Ver |Mese Length 耆=-t 而 Diameter 服务器必须支持 Ipsec 和 TLS。 I Pse c 主要应用在网络的边缘和域内 的流量，而域间的流量主要通过 TLS来保证安全。 由于IPsec和TLS只能保证逐跳的安全，也就是一个传输连接上的安全。当

8、 消息通过Diameter代理时，代理会修改消息，这样通过IPsec或TLS取得的 安全信息在通过代理时就丢弃了。而 Diameter CMS应用提供了端到端的安全 性。端到端的安全性是通过两个对等端点间支持AVP的完整性和机密性提供 的。 Diameter CMS 应用中采用了数字签名和加密技术来提供所要求的安全业 务。 尽管是由每个对等端的安全策略决定使用端到端的安全性的场合，如当 TLS 或 IPsec 提供的传输层面上的安全性足够时，可能不需要端到端的安全性， 但 Diameter 基础协议中还是强烈建议所有的 Diameter 实现都支持端到端的 安全性。这样Diameter CMS

9、应用就有别于其他的Diameter应用，它一般是 和 Diameter 基础协议共存的。 Radius 开放式系统的认证有以下几种需求 : 安全性 : 认证机制必须足够安全 , 不致成为攻击的薄弱环节。 可靠性: 认证服务是其他服务的基础 ,它的可靠性决定整个系统的可靠性。 透明性 : 用户应该感受不到认证服务的存在。 可扩展性 :当和不支持认证机制的系统通信时 , 应该保持一切不受影响。 一般而言，认证的机制分为两类： 简单认证机制 和 强认证机制 。简单的认证中只有名字和口令被服务系统 校验。由于明文的密码在网上传输极容易被窃听截取，一般的解决办法是使用一次性口令（OTP， One Tim

10、e Password ）机制。这种机制的最大优势是无须在网上传输用户的真实口令，并且由于具有一次性的 特点，可以有效防止重放攻击（ Replay Attack ）。根据一次性口令生成机制的不同，通常OTP可分为: 时间同步的安全标志符，Challenge-Response的Crypto Card （密码卡）和增强的 S/Key （安全密钥） 等。RADIUS协议就是属于这种类型的认证协议；强认证机制一般将运用多种加密手段来保护认证过程中 相互交换的信息，其中， Kerberos 协议是此类认证协议中比较完善、较具优势的协议，得到了广泛的应 用。 下面讨论几种常用的身份认证机制，并对它们的安全性

11、进行分析。 RADIUS认证机制 RADIUS( Remote Authentication Dial In User Service ）协议最初是由 Livingston 公司提出的，原先 的目的是为拨号用户进行认证和计费。后来经过多次改进，形成了一项通用的认证计费协议。RADIUS认 证要用到基于挑战/应答(Challenge/Response )的认证方式。 RADIUS是一种C/S结构的协议，它的客户端最初就是NAS( Net Access Server )服务器，现在任何运行 RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活，可以采用PAR

12、CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议，它进行的全部工作都是基于 Attribute-Length-Value的向量进行的。 RADIUS的基本工作原理是用户接入NAS NAS向RADIUS服务器使用Access-Require数据包提交用户信 息，包括用户名、密码等相关信息，其中用户密码是经过 MD5加密的，双方使用共享密钥，这个密钥不经 过网络传播；RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进 一步对用户认证，也可以对 NAS进行类似的认证；如果合法，给NAS返回Access-Accept数据包，允许用 户进

13、行下一步工作，否则返回Access-Reject数据包，拒绝用户访问；如果允许访问，NAS向RADIUS服 务器提出计费请求 Account-Require ，RADIUS服务器响应Account-Accept，对用户的计费开始，同时用 户可以进行自己的相关操作。 RADIUS服务器和NAS服务器通过UDP协议进行通信，RADIUS服务器的1812端口负责认证，1813端口负 责计费工作。采用 UDP的基本考虑是因为 NAS和 RADIUS服务器大多在同一个局域网中，使用 UDP更加快 捷方便。 RADIUS协议还规定了重传机制。如果 NAS向某个RADIUS服务器提交请求没有收到返回信息，那

14、么可以要 求备份RADIUS服务器重传。由于有多个备份RADIUS服务器，因此NAS进行重传的时候，可以采用轮询的 方法。如果备份RADIUS服务器的密钥和以前 RADIUS服务器的密钥不同，则需要重新进行认证。 RADIUS协议应用范围很广，包括普通电话、上网业务计费，对VPN的支持可以使不同的拨入服务器的用 户具有不同权限。 目前使用最多的是 FreeRadius+Mysql来架设Radius服务器 FreeRadius: 不过这个是支持 Linux 的 一代的 AAA协议Diameter 2008-05-21 02:41 新一代的AAA协议

15、Diameter 文章导读 在Diameter协议的MIP应用中一个用户终端如何完成一次完整的认证。最后指 出在未来移动通信网逐渐向全IP过渡的情况下，Diameter协议必将得到广泛 的应用。 正文 摘 要 本文首先介绍了鉴别，授权，计费协议的概念，并指出其在移动通 信系统中的地位和作用。接着分析了目前最常用的认证计费协议 RADIUS， 分析了该协议的优点和缺陷。针对 RADIUS勺不足之处，本文引入了它的升级版 本 Diameter 协议。在全面介绍 Diameter 协议的基础上，重点描述了在 Diameter协议的MIP应用中一个用户终端如何完成一次完整的认证。最后指出 在未来移动通

16、信网逐渐向全 IP 过渡的情况下， Diameter 协议必将得到广泛的 应用。 关键词 鉴别 授权 计费 移动通信 Radius Diameter 移动 IP 1 AAA简介 AAA旨的是 Authentication（鉴别），Authorization（授权）， Accounting（计费）。自网络诞生以来，认证、授权以及计费体制 （AAA）就成为其 运营的基础。网络中各类资源的使用，需要由认证、授权和计费进行管理。而 AAA的发展与变迁自始至终都吸引着营运商的目光。对于一个商业系统来说， 鉴别是至关重要的，只有确认了用户的身份，才能知道所提供的服务应该向谁 收费，同时也能防止非法用户 （

17、黑客）对网络进行破坏。在确认用户身份后，根 据用户开户时所申请的服务类别，系统可以授予客户相应的权限。最后，在用 户使用系统资源时，需要有相应的设备来统计用户所对资源的占用情况，据此 向客户收取相应的费用。 其中，鉴别 （Authentication） 指用户在使用网络系统中的资源时对用户身 份的确认。这一过程，通过与用户的交互获得身份信息（诸如用户名 口令组 合、生物特征获得等 ） ，然后提交给认证服务器；后者对身份信息与存储在数据 库里的用户信息进行核对处理，然后根据处理结果确认用户身份是否正确。例 如，GSM动通信系统能够识别其网络内网络终端设备的标志和用户标志。授 权（Authoriz

18、ati on）网络系统授权用户以特定的方式使用其资源，这一过程指定 了被认证的用户在接入网络后能够使用的业务和拥有的权限，如授予的 IP 地址 等。仍以GSh移动通信系统为例，认证通过的合法用户，其业务权限（是否开通 国际电话主叫业务等 ） 则是用户和运营商在事前已经协议确立的。计费 （Accounting） 网络系统收集、记录用户对网络资源的使用，以便向用户收取资 源使用费用，或者用于审计等目的。以互联网接入业务供应商 ISP 为例，用户 的网络接入使用情况可以按流量或者时间被准确记录下来。 认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的 准确记录。这样既在一定程度上有效地

19、保障了合法用户的权益，又能有效地保 障网络系统安全可靠地运行。考虑到不同网络融合以及互联网本身的发展，迫 切需要新一代的基于IP的AAA技术。因此出现了 Diameter协议。 2 AAA在移动通信系统中的应用 在移动通信系统中，用户要访问网络资源，首先要进行用户的入网认证， 这样用户才能访问网络资源。鉴别的过程就是验证用户身份的合法性；鉴别完 成后，才能对用户访问网络资源进行授权，并对用户访问网络资源进行计费管 理。一般来讲，鉴别过程由三个实体来完成的。用户 (Client) 、认证器 (Authenticator)、AAAK务器(Authentication、Authorization 和

20、 Accounting Server) 。在第三代移动通信系统的早期版本中，用户也称为 MN移动节点)，Authenticator 在 NAS(Network Access Server)中实现，它们 之间采用PPP协议，认证器和AAAK务器之间采用AAA协议(以前的方式采用远 程访问拨号用户服务 RADIUS(Remote Access Dial up User Service)；Raduis 英文原意为半径，原先的目的是为拨号用户进行鉴别和计费。后来经过多次改 进，形成了一项通用的鉴别计费协议 )。 RADIUS是一种C/S结构的协议，它的客户端最初就是NAS(Net Access Ser

21、ver)服务器，现在任何运行RADIUS客户端软件的计算机都可以成为 RADIUS 的客户端。RADIUS*议认证机制灵活，可以采用 PAP CHAP或者Unix登录认 证等多种方式。RADIUS是 一种可扩展的协议，它进行的全部工作都是基于 Attribute-Length-Value的向量进行的。RADIUS的基本工作原理是：用户接入 NAS NAS向 RADIUS艮务器使用Access-Require数据包提交用户信息，包括用 户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密 钥，这个密钥不经过网络传播；RADIUS艮务器对用户名和密码的合法性进行检 验，必要时可以提

22、出一个 Challenge ，要求进一步对用户认证，也可以对 NAS 进行类似的认证；如果合法，给 NAS返回Access-Accept数据包，允许用户进 行下一步工作，否则返回 Access-Reject 数据包，拒绝用户访问；如果允许访 问，NAS向RADIUS艮务器提出计费请求 Account-Require，RADIUS艮务器响应 Account-Accept ，对用户的计费开始，同时用户可以进行自己的相关操作。 RADIUS是目前最常用的认证计费协议之一，它简单安全，易于管理，扩展 性好，所以得到广泛应用。但是由于协议本身的缺陷，比如基于UDP的传输、 简单的丢包机制、没有关于重传的

23、规定和集中式计费服务，都使得它不太适应 当前网络的发展，需要进一步改进。 随着新的接入技术的引入(如无线接入、DSL移动IP和以太网)和接入网 络的快速扩容，越来越复杂的路由器和接入服务器大量投入使用，对AAA协议 提出了新的要求，使得传统的 RADIUS吉构的缺点日益明显。目前，3G网络正逐 步向全 IP 网络演进，不仅在核心网络使用支持 IP 的网络实体，在接入网络也 使用基于IP的技术，而且移动终端也成为可激活的IP客户端。如在 WCDM当 前规划的R6版本就新增以下特性：UTRA和 CN传输增强；无线接口增强；多 媒体广播和多播（MBMS）数字权限管理（DRM； WLAN-UMTS通；

24、优先业务；通 用用户信息（GUP）;网络共享；不同网络间的互通等。在这样的网络中，移动 IP 将被广泛使用。支持移动 IP 的终端可以在注册的家乡网络中移动，或漫游 到其他运营商的网络。当终端要接入到网络，并使用运营商提供的各项业务 时，就需要严格的AAA过程。AAAK务器要对移动终端进行认证，授权允许用 户使用的业务，并收集用户使用资源的情况，以产生计费信息。这就需要采用 新一代的AAA协议 Diameter。此外，在IEEE的无线局域网协议802.16e的 建议草案中，网络参考模型里也包含了鉴别和授权服务器ASA Server，以支持 移动台在不同基站之间的切换。可见，在未来移动通信系统中

25、，AAA服务器占 据了很重要的位置。 经过讨论，IETF的AAA工作组同意将Diameter协议作为下一代的AAA协 议标准。Diameter（为直径，意为着Diameter协议是RADIUS协议的升级版本） 协议包括基本协议，NAS网络接入服务）协议，EAP（可扩展鉴别）协议，MIP（移 动IP）协议，CMS密码消息语法）协议等。Diameter协议支持移动IP、NAS请求 和移动代理的认证、授权和计费工作，协议的实现和RADIUS类似，也是采用 AVP属性值对（采用Attribute-Length-Value三元组形式）来实现，但是其中 详细规定了错误处理,failover 机制,采用TCPW议，支持分布式计费，克服 了 RADIUS的许多缺点，是最适合未来移动通信系统的 AAA协议。 AAA协议Diameter和RADIUS：匕较总结 2009-10-23 09:45 今天就把两种主要的 AAA协议Diameter和RADIUS进行比较总结，如下： （1） RADIUS固有的C/S模式限制了它的进一步发展。Diameter采用了 peer- to-peer 模式， peer 的任何一端都可以发送消息以发起计费等功能或中断连 接。 （2）可靠的传输机制。RAD