Diameter协议学习笔记一
diameter协议,avp
竭诚为您提供优质文档/双击可除diameter协议,avp篇一:aaa协议diameter和Radius进行比较总结aaa协议diameter和Radius比较总结今天就把两种主要的aaa协议diameter和Radius进行比较总结,如下:(1)Radius固有的c/s模式限制了它的进一步发展。
diameter采用了peer-to-peer模式,peer的任何一端都可以发送消息以发起计费等功能或中断连接。
(2)可靠的传输机制。
Radius运行在udp协议上,并且没有定义重传机制,而diameter运行在可靠的传输协议tcp、sctp之上。
diameter还支持窗口机制,每个会话方可以动态调整自己的接收窗口,以免发送超出对方处理能力的请求。
(3)失败恢复机制。
Radius协议不支持失败恢复机制,而diameter支持应用层确认,并且定义了失败恢复算法和相关的状态机,能够立即检测出传输错误。
(4)大的属性数据空间。
diameter采用aVp (attributeValuepair)来传输用户的认证和授权信息、交换用以计费的资源使用信息、中继代理和重定向diameter 消息等。
网络的复杂化使diameter消息所要携带的信息越来越多,因此属性空间一定要足够大,才能满足未来大型复杂网络的需要。
(5)支持同步的大量用户的接入请求。
随着网络规模的不断扩大,aaa服务器需要同时处理的用户请求的数量不断增加,这就要求网络接入服务器能够保存大量等待认证结果的用户的接入信息,而Radius的255个同步请求显然是不够的,diameter可以同时支持232个用户的接入请求。
(6)服务器初始化消息。
由于在Radius中服务器不能主动发起消息,只有客户能发出重认证请求,所以服务器不能根据需要重新认证。
而diameter指定了两种消息类型,重认证请求和重认证应答消息,使得服务器可以随时根据需要主动发起重认证。
(7)diameter还支持认证和授权分离,重授权可以随时根据需求进行。
Diameter协议.
Diameter协议的网络架构
Diameter 重定向
2、请求
3、重定向通知
接入设备
1、请求 6、应答
Diameter 中继
4、请求 5、应答
归属 Diameter
服务器
Diameter协议的消息格式
Diameter消息头格式
01234567890123ቤተ መጻሕፍቲ ባይዱ56789012345678901
传输层安全 提供统一的传输层安全机制,Diameter协议要求在传输层, IPSEC是必须的,TLS是可选的。
传输的可靠性 Diameter协议运行于可靠的传输TCP、SCTP之上,保证了 传输的可靠性。 Diameter基本协议运行在TCP和SCTP传输 协议的端口3868上,以后版本将强制
应用层 在会话状态机的基础之上定义Diameter消息的结构和参数, 完成业务的要求。
Diameter协议的功能
AVP信息传送 Diameter连接维护、管理 事务缓存 能力协商 对端发现和配置
Diameter协议的特点
故障恢复 Diameter协议提供统一的故障恢复方式,支持应用层的故障 确认、定义了故障恢复的算法和相应的状态机。
议
Diameter协议的体系架构
连接层 负责维护管理两个对等端之间的Diameter连接状态机,为上 层数据传输提供数据通道。
事务层 负责处理Diameter消息的事务处理部分,包括消息缓存队列 维护、请求消息和响应消息的对应、事务逐跳标识的维护管 理等。
会话层 构建和维护AAA体系的鉴权、授权以及计费的会话状态机。
Diameter协议特点
支持代理 RADIUS没有明确支持代理功能,包括代理服务器、中继服务器、重定 向服务器。而Diameter协议则提供对上述代理的支持。
Diameter基础协议介绍
Peer discovery and configuration Agent support
Dynamic discovery of peers through DNS Proxies, Redirects, Relays
Diameter传输
Diameter基础协议运行在TCP和SCTP(Stream Control Transmission Protocol,流控制传输协议)传输协议的3868端口上 Diameter客户端必须支持TCP或SCTP,Diameter代理和 服务器必须两者都支持。以后版本将强制客户端支持SCTP
BGCF
Mj
IMMGCF MGW Mn
Mb
Mg Mr
S-CSCF
Mw
HSS
Dx
SLF
MRFP
Mp Mb Mb Mb
MRFC
P-CSCF
Gm
UE
Ut
IMS Subsystem
秘密▲
Diameter 基础协议 Diameter基础协议(Diameter Base Protocol)
•Diameter协议的框架结构 •Diameter传输 •Diameter消息加密 •Diameter实体 •Diameter其他相关
连接和会话之间并没有关系,一个会话可以跨越多个连接,
而用于多会话的Diameter消息也可以在一个单独的连接中传送
客户
中继
服务器
对等端连接A 用户会话X
对等端连接B
连接与会话示意图
Diameter其他相关——对等端表
对等端表被用在消息前转过程中,同时还要参考域路由表 对等端表包含以下字段:
Diameter基础协议(Diameter Base Protocol)
DIAMETETR协议简介
AAA的新框架——DIAMETER基础协议刘清乐燕群Diameter协议族包括基础协议(Diameter Base Protocol)和各种应用协议。
本文介绍的基础协议提供了作为一个AAA协议的最低需求,是Diameter网络节点都必须实现的功能,包括节点间能力的协商、Diameter消息的接收及转发、计费信息的实时传输等。
应用协议则充分利用基础协议提供的消息传送机制,规范相关节点的功能以及其特有的消息内容,来实现应用业务的AAA。
基础协议可以作为一个计费协议单独使用,但一般情况下需与某个应用一起使用。
图1是Diameter的协议层次图。
Diameter网络节点在Diameter协议中,包括多种类型的Diameter节点。
除了Diameter客户端和Diameter服务器外,还有Diameter中继、Diameter代理、Diameter重定向器和Diameter协议转换器。
● Diameter中继能够从Diameter请求消息中提取信息,再根据Diameter基于域的路由表的内容决定消息发送的下一跳Diameter节点。
Diameter中继只对过往消息进行路由信息的修改,而不改动消息中的其他内容。
● Diameter代理根据Diameter路由表的内容决定消息发送的下一跳Diameter节点。
此外,Diameter代理能够修改消息中的相应内容。
● Diameter重定向器不对消息进行应用层的处理,它统一处理Diameter消息的路由配置。
当一个Diameter节点按照配置将一个不知道如何路由的请求消息发给Diameter重定向器时,重定向器将根据其详尽的路由配置信息,把路由指示信息加入到请求消息的响应里,从而明确地通知该Diameter节点的下一跳Diameter节点。
● Diameter协议转换器主要用于实现RADIUS与Diameter,或者TACACS+与Diameter之间的协议转换。
diameter协议lte
编号:_______________本资料为word版本,可以直接编辑和打印,感谢您的下载diameter协议lte甲方:___________________乙方:___________________日期:___________________diameter 协议lte篇一:浅析diameter信令网龙源期刊网.cn浅析diameter 信令网作者:梁艳来源:《中国新通信》20xx年第08期【摘要】随着lte时代的到来,核心网分组域将向epc网络演进,epc网络将引入基于ip协议的diameter信令。
本文主要介绍了diameter信令网的网络应用、组网模式,并对diameter信令网与no.7信令网的关系进行分析。
【关键词】diameterdRaepcno.7 组网一、diameter 协议介绍diameter协议是是ietF开发的新一代aaa协议,diameter协议的最初提出是作为Radius协议的改进或者替代,它的引入是作为支持基于ip技术的aaa框架的aaa协议。
随着ims、epc的引入,原有基于电路交换的核心网正越来越快地向基于ip 包交换的网络演进,底层基于ip的信令越来越多,其中diameter协议被广泛应用在ims/pcc/epc架构中,诸如hss、cscF、pcRF、ocs等大H网元之间都采用diameter信令进行交互,使其成为现阶段电信网中分布最广,也最重要的几个信令之一。
二、diameter信令的网络应用2.1diameter 在ims网络中1的应用ims网络中的diameter信令通过对“网元标识”或“用户标识”的解析进行寻址。
ims域内用户通话与注册均接续回归属网络内进彳T, diameter信令不存在跨省网的用户信息查询,同一省份网络内网元数虽相对有限,一省网络内ims网元的增减不会造成全网络的数据调整,因此ims网络的diameter信令不需要设置信令转接点,采用平面组网方式。
AS053011 DRA(SPS V3)Diameter协议介绍 ISSUE6.00
Base Format.
DiameterIdentity value is used to uniquely identify a Diameter node for purposes of duplicate connection and routing loop detection. The contents of the string MUST be the FQDN of the Diameter node. same host, each Diameter If multiple Diameter nodes run on the
Integer32 Integer64 Unsigned32 Unsigned64 Float32 Float64 Grouped The Data field is specified as a sequence of AVPs. Each of these AVPs follows - in the order in which they are specified - including their headers and padding. The AVP Length field is set to 8 (12 if the 'V' bit is enabled) plus the total length of all included AVPs, including their headers and padding. Thus the AVP length field of an AVP of type Grouped is always a multiple of 4.
node MUST be assigned a unique DiameterIdentity. If a Diameter picked at startup, and used as the only
Diameter协议及其在3G计费中的应用
允 许主 动消息 发送到 接入服 务器 。可 以按需 返 回计 费信 息,可 由服务器发起会话终止消息等【】 2。
Dimee 协 议 着 眼 于 今 后 较 长 时期 内 更 好 的 满 足 l a tr P
3 Da ee1 议在3 计费中的应用 im tr # G
随着3 G技 术 和 相 关业 务 的 成 熟 , 3 G商 用正 在 轰 轰 烈 烈 地 加 入 国 内 外 电信 运 营 商 的 业 务 发 展 的 日程 表 。3 G为 电信 运 营 商 带来 了新 的机 遇 , 同 时 也提 出 了 新 的 挑 战 。 在 众 多挑 战 当 中, 3 G计 费是 一 个 重 要 方面 , 能 否 建 立 适 合 3 G业 务 发 展 的强 大计 费 系 统 是 电信 运 营 商 在 3 G市 场 竞 争
求处理能力。Da tr 议还支持商家 自定 义的命令 。 imeet  ̄ , 为了得到更可 靠的传输保 证, Da t r ime e协议 必须能
够 在 可 以提 供 重 传 策 略 的传 输 层 上 运 行 , 以使 其 能 够 在 对 等 端 不 可 达 时, 有 效 地 转换 另一 个 主 机 【】 3 。与 R I 协 ADUS 议 相 反 , Dimee f议 要 求代 理 链 上 的每 一 个 节 点 都 应 在 a tr 办 ,
D ㈣ t 撼 奉 协议
T I S
传送 协
权 功 能 上 。Dime e 要 求 在 每 个 连 接 上 应 用 传 输 层 安 全 a tr
S I I l
( S I S c 。 因此 , 每 一 个 连 接 都 需 要 认 证 、 重 放 TL 或 P e ) 和 完 整 性 保 护 以及 基 于 分 组 的 加 密 。 在 建 立 一 个 连 接 之 前 , Dime e协 议 对 沿 途 每 一 连 接 进 行 授 权 检 查 。 通 过 a tr
Diameter协议介绍
命令代 码 272 272 258 258
257 257 280 280
282 282 274 274
缩略语
CCR CCA RAR RAA CER CEA DWR DWA
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 7
第1章 协议概述 第2章 消息结构 第3章 常用命令 第4章 基本流程 第5章 码流解析
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 8
认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的 准确记录。这样既在一定程度上有效地保障了合法用户的权益,又能有效 地保障网络系统安全可靠地运行。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 3
协议优点
Diameter和Radius两者之间的比较 ➢拥有良好的失败机制,支持失败替代(failover)和失败回溯(faiback); ➢拥有更好的包丢弃处理机制,Diameter协议要求对每个消息进行确认; ➢可以保证数据体的完整性和机密性; ➢支持端到端安全,支持TLS和IPSec; ➢引入了“能力协商”能力
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 6
Diameter网络节点
•Diameter Client :处于网络边缘提供接入控制的设备,比如NAS (network access server)。
Diameter基础协议介绍
Reliable transport
Capability negotiation
Error handling
No
Roaming support
Secure and scalable roaming
Not suitable for wide-scale deployment
Manually configure requiring name or address No explicit support for agents
BGCF
Mj
IMMGCF MGW Mn
Mb
Mg Mr
S-CSCF
Mw
HSS
Dx
SLF
MRFP
Mp Mb Mb Mb
MRFC
P-CSCF
Gm
UE
Ut
IMS Subsystem
秘密▲
Diameter 基础协议 Diameter基础协议(Diameter Base Protocol)
•Diameter协议的框架结构 •Diameter传输 •Diameter消息加密 •Diameter实体 •Diameter其他相关
秘密▲
Diameter节点在源端口上初始化连接后,在端口3868上准备接受连接 一般情况下,对等端的一个给定Diameter实例只能使用一个传输连
接与其对等端通信。
当向对等端发起连接时,首先尝试SCTP,然后才是TCP
Diameter安全机制
Diameter客户端,如网络接入服务器(NAS)和各种代理必
Diameter其他相关——域路由表1
所有基于域的路由查找都是依靠域路由表来执行的
域路由表入口包含以下字段: Diameter基础协议(Diameter Base Protocol) 域名:该字段通常用作路由表查询中的主关键字。 应用标识符:一个应用是由运营商ID 和应用ID 来标识的。 一个路由入口基于消息中的应用标识AVP 可能拥有不同的目的地。 应用标识符必须用作路由表查询的第二关键字字段 本地动作:本地动作字段用来标识一个消息将被如何处理。 支持以下动作: •LOCAL:本地动作设置为LOCAL 的Diameter 消息可以 在本地处理,无需被路由到其它服务器; •RELAY:所有属于本类型的Diameter 消息必须被路由到 下一跳的服务器,无需修改任何非路由AVP; •PROXY:所有属于本类型的Diameter 消息必须被路由到 下一跳的服务器。本地服务器可以在路由之前通 过将新的AVP 插入到该消息中,来实行本地策略; •REDIRECT:所有属于本类型的Diameter 消息必须附加归 属Diameter 服务器的标识,并且返回给消息的发送者;
Diameter协议学习笔记一
Diameter协议学习笔记一(协议介绍)一、摘要:Diameter协议主要为应用程序提供认证、鉴权、计费框架,即AAA,并支持本地AAA和漫游场景下的AAA。
二、介绍:AAA协议、例如TACACS、RADIUS起初是为了提供PPP及终端接入,随着Internet及新的接入技术的发展,包括无线、DSL、移动IP, 以太网路由、网络访问服务器(NAS)在复杂和密集性方面有所增强,这对AAA协议提出了新的要求。
例如,网络访问对AAA 协议提出的要求总结有以下这些:∙Failover(故障转移)RADIUS协议没有定义failover机制,因此,failover的行为随着程序的实现不同而各异,为了提供一个明确定义的failover行为,Diameter支持应用层的应答,并定义failover的西装算法和偶联状态机。
∙传输层安全RADIUS在定义了应用层的认证,但仅使用了响应包,RADEXT定义了另外的认证,但仅要求在EAP session中使用,且支持属性隐藏。
RFC3162为RADIUS定义了IPsec,但对其支持并没有做要求,Diameter强制要求支持IPSec,TLS的支持可选择。
∙可靠传输RADIUS运行在UDP上,且没有定义重传行为,所有,可靠性因实现不同而各异。
Diameter运行在可靠的传输层(TCP, SCTP)上。
∙代理支持RADIUS没有明确地规定支持agent,包括Proxies, Redirects, Relays。
Diameter明确地定义了代理的行为。
∙服务器发起消息RADIUS中对于服务器发起消息的支持是可选的,这就使用一些如主动断链、或者重新认证或重新鉴权等特性实现困难。
服务器发起消息在Diameter中强制要求支持。
∙可审核性RADIUS没有定义数据对象安全机制,结果,不受信任的代理可能修改属性或都包头,并且不会被检测出来,结合对能力协商机制的缺失,无法预期结果会发生什么。
Diameter协议理解
Diameter路由 – 基本规则
Message中如何标识目的地 Destination-Realm(domain, URL方式) + Destination-Host (optional, URL方式) 可以在全网寻找
Message 从Client到Server的路由过程 1. 静态路由优先(应该适用于高优先级的应用吧)
注意,能力交换问题 两个节点之间建立连接之初,交换能力信息,以次避免发送对方不支持的 请求,能力信息包括,protocol version number, supported Diameter applications, security mechanisms, etc.
Diameter Routing – 路由表及细节
Diameter – 可能的疑问
Diameter基于IP的协议,节点之间全网互联,完 全依赖IP路由?消息时延如何保证?security如 何保证?
• Diameter 协议概要 • Diameter路由 • Diameter安全保证 • Diameter协议其他知识 • Diameter扩展 - 3GPP Cx,Dx
.
Diameter – Key features
提供AAA服务(扩展应用不限于AAA)
完整的路由方案 管理域(Realm)划分,路由表,局向(peer)表
完善的Security保证 - Per packet security (应用IPSec, TLS) -可以扩展实现应用级(基于diameter数据结构)的端到端security
即首先找本地配置的Agent信息(相当于STP),if unavailable 2. 应用服务定位方法找到Server路由 应用SLPv2 [SLP] 自动发现通往合适server的路由,if still un-reach 3.发起NAPTR查询,自动发现通往合适server的路由,if still un-reach, 4. 向DNS查询 (这个优先级最低,应该适用于QOS要求较低的业务,当然 收费低廉)通往合适server的路由
diameter信令的code
Diameter信令的Code介绍Diameter信令是一种网络协议,用于在计算机网络中进行认证、授权和计费。
该协议是基于RADIUS协议的扩展,用于提供更强大、更安全的认证和控制功能。
Diameter信令的Code是用来标识各种Diameter消息类型的字段。
本文将详细探讨Diameter信令的Code的含义和用途。
Diameter信令的Code结构Diameter信令的Code是一个32位的字段,由3个子字段组成:Message Type、Command Flags和Command Code。
下面将对这些子字段进行详细解释。
Message TypeMessage Type字段用于表示Diameter消息的类型。
它占据字段的前6位,共有64个可能的取值。
每个取值对应一个不同的Diameter消息类型,如请求、响应、错误等。
Message Type字段的取值范围是从1到63,其中1到32是预定义的固定消息类型,33到63是用于扩展的自定义消息类型。
Command FlagsCommand Flags字段用于标识Diameter消息的属性和特性。
它占据字段的第7和第8位,共有4个可能的取值。
每个取值对应一个不同的属性或特性,如请求、响应、错误、重传等。
Command Flags字段的取值范围是从0到3,其中0和1是预定义的固定取值,2和3是用于扩展的自定义取值。
Command CodeCommand Code字段用于标识Diameter消息的具体功能和操作。
它占据字段的后24位,共有16,777,216个可能的取值。
每个取值对应一个不同的功能或操作,如认证、授权、计费等。
Command Code字段的取值范围是从0到16,777,215,其中0到32767是预定义的固定取值,32768到16,777,215是用于扩展的自定义取值。
Diameter信令的Code的应用Diameter信令的Code在Diameter协议中起着至关重要的作用。
Diameter协议安全性分析
拥有 的易于扩展 、支持多种认 证方式等优点 而被众多厂商使用
来开发 了大量 的产 品, 而成为 了网络环境上一个 事实的标准。 从 但随着时代的进步 ,互 联 网的发展 , ais因其 内在 的先天缺 R du 陷, 已不能满足网络新兴应用对 A A协议提 出的要求 。应运而 A 生的就是 R d s的增 强版 本—— Da ee 协 议 ,它保持 了对 ai u ir tr n R du 协议的向后兼容性 ,同时也提供 了不少新 功能以应对 网 ais
在 目前 网络上 流行 的 A A ( 权 A to zt n A 授 uh r ao ,认证 A — i i u t ni t n 计 费 A cu t g协议 中 , h tai , e e o con n ) i 上世 纪 9 0年 代初设 计 的 R IS R m t A tet a o ilI sr ev e协议 因其 AD U ( e o uhn et nDa nU e ri ) e i i - S c
D a t 连接在没有使用 IS c ,则必须交换一个含 有 i e me r Pe 时 T S值的 A P属性值 。同时 , L V 还建议在域 内部交换时使用 T S安 L 全协议 。在使用它时 ,发起 连接 的 Da e r im t 结点作为 T S客户 e L 端, 接收连接的则作 为 T S服务器。这些结点必须支持建立 T S L L 会话的双向认证 ,为确保这点 ,L 服务器会要求客户端必须提 TS 供安全证书。Da e r im t 结点要求必须支持 以下 T S加密机制1 e L 3 1 :
_ — — — — — — — —
DES EDE CBC SHA TL RSA W I S TH 3
_ _ _ _ _ —
Diameter协议---Cx和Dx接口规范要求
7.1 注册状态查询 ...............................................................................................................14 7.1.1 注册/重注册..........................................................................................................14 7.1.2 用户发起的注销...................................................................................................15 7.1.3 S-CSCF 的重选.........................................................................................................16
中国电信 Diameter 协议 -----Cx/Dx 接口规范要求 (征求意见稿 V1.0)
中国电信股份有限公司广州研究院
中国电信 Diameter 协议 -----Cx/Dx 接口规范要求
(征求意见稿)
主管院长审核: 科技管理部审核: 技术责任人审核: 项目负责人: 项目组成员: 项目编号:
Diameter协议学习笔记一(协议介绍)
c)
Request forwarding Destination-Realm AVP Auth-Application-Id Acct-Application-Id Vendor-
Specific-Application-Id Realm Routing Table Request Routing
d) DIAMETER_UNABLE_TO_DELIVER
Qos ,
Accounting-Sub-Session-Id
· Transaction state( )
Diameter
failover
· Translation Agent( )
dimaeter diameter AAA RADIUS
· Translation Connection( )
diameter TCP SCTP
Connection Session
+--------+
+-------+
+--------+| Client |
| Relay |
| Server |+--------+
+-------+
+-----
---+
<---------->
<----------> peer connection A peer connection B<-------------------------------------------
·
Agent Answer Agent Hop-by-Hop Reqeust Hop-by-Hop Answer
Diameter Relay Agent Request Answer
Diameter协议简要分析
Diameter协议结构
Diameter Application part
AAA App Mobile-IP App 3GPP App
. Diameter 优选SCTP承载,Port=3868
. 优选IPSec作为承载加密
. Diameter基本协议部分主要处理连接, 路由,能力协商和可靠性 . 支持应用加密 . 支持Relay,Redirect,Proxy路由方式 . 支持应用层扩展(向IANA申请 Vendor代码,或操作码)
Diameter节点类型
B (Proxy)
A (Client)
B (Relay)
C (Server)
B (Redirect)
中间节点
. Diameter 节点分为客户节点,服务节点,和(Proxy,relay, redirect)等中间节 点
. 中间节点一般用于Topology 会聚,和路由会聚 . “Relay” node 与应用无关,只负责路由字段的分析和查询
. Proxy/Redirect node与应用相关,可能分析应用体,并修改。如分析用户号码 以决定进一步的路由。需要维护Session会话。
. Client/Server 都有可能成为会话的发起者
Diameter路由
Next hop destination Action Roe analyze with Destination analyze keys Host Name Realm-Name Roe analyze result with Application ID Next hop destination Ream-Name Host-Name Local process Relay Proxy Redirect
Diameter协议结构原理
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 15
常用命令1——CER\CEA
Capabilities-Exchange-Request <CER> ::= < Diameter Header: 257, REQ > { Origin-Host } { Origin-Realm } 1* { Host-IP-Address } { Vendor-Id } { Product-Name } [ Origin-State-Id ] * [ Supported-Vendor-Id ] * [ Auth-Application-Id ] * [ Inband-Security-Id ] * [ Acct-Application-Id ] * [ Vendor-Specific-Application-Id ] [ Firmware-Revision ] * [ AVP ] Capabilities-Exchange-Answer <CEA> ::= < Diameter Header: 257 > { Result-Code } { Origin-Host } { Origin-Realm } 1* { Host-IP-Address } { Vendor-Id } { Product-Name } [ Origin-State-Id ] [ Error-Message ] * [ Failed-AVP ] * [ Supported-Vendor-Id ] * [ Auth-Application-Id ] * [ Inband-Security-Id ] * [ Acct-Application-Id ] * [ Vendor-Specific-Application-Id ] [ Firmware-Revision ] * [ AVP ]
Diameter协议理解
Diameter - Agent的角色
Agent是位于client和server之间的中转点,用于, •通过agent集中接入 •集中点for VAS service •集中load-balance •集中点分类分发鉴权请求到不同的鉴权中心
Diameter - Agent的角色
中继型relay agent •位于某一地区,用于集中接入到diameter server. •减少了server 上对client信息的配置,server只需配置agent信息 即可(用于鉴别身份)
2. SLF 就是一个 redirect agent
Diameter路由概貌-其他可能性2
Proxy Agent
加入增值业务,如准 入,流量控制。
可以修改Message
Diameter Client 如CSCF
1. Proxy Agent可以认为是一个特殊的relay 2. 此处可进行Policy enhancement以加入VAS业务 3. 为实现VAS业务,它可以修改Message内容
Why need diameter, Radius is not enough?
- 完整的 fail-over处理 - 传输级security - 传输可靠性, 基于TCP, SCTP, Raduis基于UDP - Diameter支持基于DNS的节点动态发现 Radius靠静态配置peer site - Agent 支持 - 支持Server-initiated messages - 漫游支持 - etc.
Diameter 协议理解
Michelle Jiang 3G SE Team
Agenda
• Diameter 协议概要 • Diameter路由 • Diameter安全保证 • Diameter协议其他知识 • Diameter扩展 - 3GPP Cx,Dx
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Diameter协议学习笔记一(协议介绍)一、摘要:Diameter协议主要为应用程序提供认证、鉴权、计费框架,即AAA,并支持本地AAA和漫游场景下的AAA。
二、介绍:AAA协议、例如TACACS、RADIUS起初是为了提供PPP及终端接入,随着Internet及新的接入技术的发展,包括无线、DSL、移动IP, 以太网路由、网络访问服务器(NAS)在复杂和密集性方面有所增强,这对AAA协议提出了新的要求。
例如,网络访问对AAA 协议提出的要求总结有以下这些:∙Failover(故障转移)RADIUS协议没有定义failover机制,因此,failover的行为随着程序的实现不同而各异,为了提供一个明确定义的failover行为,Diameter支持应用层的应答,并定义failover的西装算法和偶联状态机。
∙传输层安全RADIUS在定义了应用层的认证,但仅使用了响应包,RADEXT定义了另外的认证,但仅要求在EAP session中使用,且支持属性隐藏。
RFC3162为RADIUS定义了IPsec,但对其支持并没有做要求,Diameter强制要求支持IPSec,TLS的支持可选择。
∙可靠传输RADIUS运行在UDP上,且没有定义重传行为,所有,可靠性因实现不同而各异。
Diameter运行在可靠的传输层(TCP, SCTP)上。
∙代理支持RADIUS没有明确地规定支持agent,包括Proxies, Redirects, Relays。
Diameter明确地定义了代理的行为。
∙服务器发起消息RADIUS中对于服务器发起消息的支持是可选的,这就使用一些如主动断链、或者重新认证或重新鉴权等特性实现困难。
服务器发起消息在Diameter中强制要求支持。
∙可审核性RADIUS没有定义数据对象安全机制,结果,不受信任的代理可能修改属性或都包头,并且不会被检测出来,结合对能力协商机制的缺失,无法预期结果会发生什么。
Diameter也没有定义数据对象安全机制,但支持能力协商。
∙转换支持Diameter使用的通用协议数据单元(PDU)与RADIUS不同,但支持向前兼容RADIUS,所以两种协议可以部署在同一网络中。
∙能力协商RADIUS不支持错误消息、能力协商、及表示属性强制/非强制的标志位。
因此RADIUS的客户端和服务端不担心对方的能力,它们可能不会成功地协商一个相互接受的服务,或者在一些情况下,需要知道哪些服务对端已经实现,以上几点Diameter均支持。
∙对端发现及配置RADIUS要求人工配置服务端或客户端的名称或地址,相应地增加了秘密的共享,带来管理和安全上的负担。
通过DNS,Diameter可以动态发现对端,并通过传输层安全来保证。
∙漫游支持RADIUS不提供对proxyr的明确支持,缺少可审核性、传输层安全,使得在漫游场景下容易引发安全问题,Diameter支持域内漫游、消息路由、可审核性、传输层安全特性,可提供可安全和可靠的漫游。
术语:∙AAA认证、鉴权、计费∙Accounting(计费)为能力计划制定、审计、账单、费用分配等目的而进行资源使用的信息的收集动作。
∙Accounting Record (计费记录)记录某个用户在整个会话期间资源消费的情况,∙Authentication(认证)校验一个实体一致性的动作。
∙Authorization(鉴权)决定一个请求实体是否允许访问某项资源。
∙AVP (属性值对)Diameter消息由一个报文头后跟一个或多个Attribute-Value-Pairs(AVPs),一个AVP包含一个头用于协议细节数据(例如路由信息)。
∙Broker (代理)代理是一个用于AAA架构中的商业术语,可以是relay, proxy,或者redirect agent。
∙Diameter Agent(Diameter 代理)指一个提供relay、proxy、redirect或翻译服务的diameter结点。
∙Diameter Client(Diameter 客户端)为一个处于网络边缘的,提供访问控制的设备。
如NAS。
∙Diameter Node(Diameter 节点)为一个实现了diameter协议的主机进程,其行为为客户端、代理、服务端之一。
∙Diameter Peer (Diameter 对端)为一个具有直连连接的diameter节点。
∙Diameter Security Exchange (diameter 安全交换)为一个进程,两个diameter节点可以通过它建立端到端的安全。
∙Diameter Server(diameter 服务端)用于处理指定域中认证、鉴权、计费请求。
∙End-to-End Security (端到端安全)TLS和IPSec提供逐跳的安全,当relays或proxy很复杂时,逐跳的安全不能保证全部的diameter用户会话,端到端安全为两个diameter节点间的安全,或者Agent间的,这种安全保证了整个dimeter传送路径上的安全。
∙Home Realm(归属域)为一个维护帐户关系的管理域。
∙Interim accounting(临时计费)一个临时计费消息提供一个用户会话的使用快照,通常为一个用户会话在设备重启或者网络问题出现时提供部分的计费。
∙Local Realm(本地域)一个提供服务的管理域。
∙Multi-Sessin(多会话)一个多会话表示多个会话的逻辑连接,多会话使用Acct-Multi-Session-Id来跟踪。
∙Network Access Identifier(网络接入标识)即NAI,用来在diameter协议中提取一个用户的标识及域。
用于在认证中识别用户,域用来消息路由。
∙Proxy Agent or Proxy (代理)除传输请求和响应外,代理制定与资源有关的策略,通常用来完成NAS设备状态的跟踪,代理在收到一个服务端的响应前不会对客户端的请求进行应答。
当策略被违反时,它们可能会生成一个拒绝消息。
因此,代理需要理解通过它们传输的消息的语义,它们可能不支持所有的diameter应用。
∙Realm(域)在NAI中跟在@符号之后的字符串,NAI的域要求为唯一的,且为DNS域的分段,用于判断消息是否满足本地处理的条件,或者被路由或重定向。
∙Real-time Accounting(实时计费)它包含在一个限定的时间窗内处理资源使用的信息,时间限制通常用来限制风险。
∙Relay Agent or Relay(中继代理或转播)转播请求和响应基于路由相关的AVPs和路由表,中继不会制定策略,他们不会检查或更改非路由AVPs,因此,中继从不产生消息,不需要理解消息的语义或者非路由AVPs,可能会处理八种diameter应用或消息类型,因此,中继依据路由和域来做决定,并且不保存NAS资源使用的状态或会话。
∙Redirect Agent(重定向代理)与其在客户端和服务端间传递消息,重定向代理涉及客户端和服务端,并允许它们直接通信,所以重定向代理不出现在传输路径中,它们从不修改客户端和服务端传输的任何AVPs,也不产生消息,可以处理任何消息类型,尽管它们可能仅配置为重定向特定类型的消息,与Proxy代理相比,重定向代理不保存会话或NAS资源相关的状态。
∙Security Association(安全偶联)一个安全的偶联是指两个端点之间的diameter会话,此会话允许端点完整且可信地通信,包括中继和/或Proxy。
∙Session(会话)会话是指一个事件相关的活动。
每个应用应该为会话的开始和结束提供指导,所有具有相同会话标识的diameter包被认为同一个会话的一部分。
∙Sub-session(子会话)一个子会话表示一个明确的服务(例如Qos),这些服务可能同时或连续发生(例如同时产生的语音和同一会话中传输的数据)。
此类会话由Accounting-Sub-Session-Id来跟踪。
∙Transaction state(传输状态)Diameter协议要求代理来维护传输状态,用于failover。
传输状态暗指一个请求,逐跳标识被保存,且原来存储对应应答接收时的初始值字段被本地唯一标识符替代,当拒绝一个应答时请求的状态被释放。
∙Translation Agent(传输代理)是指为一个具有状态的dimaeter节点,用于在diameter和其它的AAA协议(如RADIUS)间进行翻译。
∙Translation Connection(传输连接)一个传输连接是指直接存在于两个diameter对端间的TCP或SCTP连接,或者说端到端连接。
∙Upstream(上行)用来标识一个特定的diameter消息从接入设备到归属服务器的传送方向。
∙User(用户)产生请求或使用某些资源的实体,支持diameter客户端产生一个请求。
∙链接和会话的区别:链接为传输层概念,会话为应用层的概念,通过AVP Session-Id来标识,两者之前没有联系。
如下图:+--------+ +-------+ +--------+| Client | | Relay | | Server |+--------+ +-------+ +--------+<----------> <---------->peer connection A peer connection B<----------------------------->User session xFigure 1: Diameter connections and sessions∙对端表用于消息传递和路由表全使用,包括以下信息:1. Host标识:包括Origin-Host AVP,在CER/CEA消息中使用。
2. StatusT:对端实体的状态。
3. Static or Dynamic:指对端是静态配置的还是动态发现。
4. Expiration time:指使用动态发现机制时刷新超时的时长。
5. TLS Enablee: 与对端通信时是否使用TLS。
基于域名的路由表1. 域名:用于查找路由表时使用的主键。
2. 应用程序标识:使用一个Vendor id和一个applicaiont id标识,其为路由表的第二主键。
3. Local Action:决定消息如何处理,有以下几个选项:LOCAL:本地处理,不需要路由到下一个服务器。
RELAY:路由到下一跳,注意不修改任何非路由的AVP。
PROXY:路由到下一跳,注意可能会在消息中添加新的AVP。
REDIRECT:具有一个源diameter服务器的标识,且将消息返回给发送者。
4. 服务器标识:必须出现在对端表中,当Local Action为RELAY或PROXY 时,此字段标识消息被路由到的地址,当为REDIRECT时,表示消息应该重定向到的一个或多个服务器。