Diameter基础协议介绍

Diameter协议的框架结构
Diameter协议族包括基础协议和应用协议 Diameter基础协议提供了一个AAA协议的最低需求，是Diameter网络节点必 须实现的功能，包括节点间能力协商、消息接受与转发、计费消息的实时传 输等
秘密▲
Diameter应用协议则利用基础协议提供的消息传送机制，规范相关节点的
秘密▲
Diameter over RADIUS
Diameter RADIUS Failover Yes No
Transmission-level security
IPsec (mandatory) TLS (optional) TCP, SCTP
No replay attack prevention, Public key encryption, UDP
须支持IPSec,并且可以支持TLS. Diameter服务器必须支持TLS和IPSec 不允许在没有任何安全机制的情况下使用Diameter协议
秘密▲
Diameter实体
•Diameter客户端(Client)：执行访问控制的网络设备， 向服务器端(Server)发起Diameter访问请求 •Diameter服务端(Server)：一个域中处理认证，授 权，计费请求的网络实体。除基本协议以外， Diameter服务器还必须支持Diameter应用扩展
Reliable transport
Capability negotiation
Error handling
No
Roaming support
Secure and scalable roaming
Not suitable for wide-scale deployment
Manually configure requiring name or address No explicit support for agents
秘密▲
IMS系统中的AAA协议
IP Multimedia Networks
CS Network
Mb Mb CS CS Mk Mm
Legacy mobile signalling Networks
AS
Mm ISC Dh Cx Cx Sh C, D, Gc, Gr
BGCF
Mk
I-CSCF
Mg Mw Mi
秘密▲
Diameter其他相关——域路由表2
服务器标识符：消息会被路由到一个或多个服务器。这些服务器也 Diameter基础协议(Diameter Base Protocol) 必须出现在对等端表中。当本地动作设置为RELAY 或PROXY 时， 该字段包含消息必须被路由到的服务器的标识符。当本地动作设置为 REDIRECT时，该字段包含消息将被重定向到的一个或多个服务器的 标识符； 静态或动态：指定某个路由入口是静态配置的还是动态发现的 生命期：指定某个动态发现的路由表入口的到期时间
秘密▲
必须重点指出，Diameter代理必须至少支持LOCAL、RELAY、PROXY 或REDIRECT操作模式之中的一种。为了与协议规定一致，代理不需要 支持所有的操作模式。中继代理和Proxy不允许重排AVP。 路由表可以包括一个默认入口，为任何与其它入口都不匹配的请求使用。 路由表可以仅包含这样一个入口
Diameter其他相关——应用标识符1
每一个Diameter应用都必须有一个IANA指定的应用标志符
Diameter基础协议(Diameter Base Protocol) 由于对基础协议是强制性的，因此基础协议不需要应用标识符
秘密▲
在能力交换过程中，Diameter节点通知对等端本地所支持 的应用，并且所有的Diameter消息都包含应用标识符，它 们在消息向前转发的过程中使用 Diameter中继和Proxy代理必须广播中继应用标识符，而 其他Diameter节点必须广播本地支持的应用 广播中继服务的能力交换消息的接受者必须假定发送端支 持所有现有的将来的应用 Diameter中继和Proxy代理负责寻找一个上行服务器，它支持 某一特定的应用。如果没有找到，它需要返回错误消息， Result-Code AVP设置为DIMETER_UNABLE_TO_DELIVER
Diameter基础协议
2009.11 宋大猛
主要内容
•
•
•
•
•
Diameter协议在IMS系统中的位置 Diameter基础协议(Diameter Base Protocol) Diameter消息格式(Diameter Message Format ) Diameter对等端通讯(Diameter Peers) Diameter消息处理流程(Diameter Message Processing)
Diameter其他相关——应用标识符2
规定范围0x00000001到0x00ffffff为标准应用预留
0x10000001到0xfffffffe为运营商自行定义的应用预留 目前定义了以下应用标识符：
应用标识符 值
秘密▲
Diameter通用消息
0
NASREQ
1
移动IP
2
Diameter基础计费
重定向消息示意图
Diameter 翻译代理

Diameter基础协议(Diameter Base Protocol) 翻译代理是提供两种协议（例如 RADIUS与Diameter） 之间翻译的设备。翻译代理通常用来兼容使用以前的 协议的设备。
秘密▲

翻译代理必须保持会话状态和事务状态。翻译代理必 须仅广播它们本地支持的应用
Peer discovery and configuration Agent support
Dynamic discovery of peers through DNS Proxies, Redirects, Relays
Diameter传输
Diameter基础协议运行在TCP和SCTP（Stream Control Transmission Protocol，流控制传输协议）传输协议的3868端口上 Diameter客户端必须支持TCP或SCTP，Diameter代理和 服务器必须两者都支持。以后版本将强制客户端支持SCTP
1、请求 接入设备 4、应答 example.net example.net Diameter 中继 3、应答 2、请求 归属 Diameter 服务器
秘密▲
example.com
Diameter Proxy代理
Diameter基础协议(Diameter Base Protocol)
秘密▲
与中继类似，Proxy代理利用Diameter路由表来路由Diameter 消息。 它们不同之处在于，Proxy代理修改消息以达到策略的强制实施。 这要求Proxy保持它们下行对等端（例如，接入设备）的状态以 执行资源的使用，提供准入控制和预配置。
秘密▲
秘密▲
Diameter基础协议(Diameter Base Protocol)
2、请求 3、重定向通知
Diameter 重定向
1、请求 接入设备 6、应答 example.net example.net Diameter 中继
4、请求 归属 Diameter 服务器
5、应答
example.com
功能以及其特有的消息内容，来实现应用业务的AAA 基础协议一般需与某个应用一起使用
Diameter 移动IP应用 Diameter NASREQ应用 Diameter 基础协议 TLS TCP IP/IPsec SCTP Diameter 3GPP应用 Diameter 其它应用... Diameter CMS应用
3
中继
0xffffffff
Diameter其他相关——连接与会话
连接是两个对等端之间的一个传输层连接，用于发送和接收 Diameter消息
Diameter基础协议(Diameter Base Protocol)
秘密▲
会话是一个应用层的逻辑概念，在一个接入设备和一个服务 器之间共享，并且通过会话ID AVP来标识
秘密▲
Diameter节点在源端口上初始化连接后，在端口3868上准备接受连接 一般情况下，对等端的一个给定Diameter实例只能使用一个传输连
接与其对等端通信。
当向对等端发起连接时，首先尝试SCTP，然后才是TCP
Diameter安全机制
Diameter客户端，如网络接入服务器Fra Baidu bibliotekNAS)和各种代理必
执行资源限制的Proxy必须保持会话状态。 所有Proxy必须 保持事务状态。 由于执行策略需要了解提供的业务，Proxy仅需广播它们支 持的Diameter应用。
Diameter 重定向代理
重定向代理在 Diameter路由需要集中配置的情况下非常有用。重定 Diameter基础协议(Diameter Base Protocol) 向代理为某个集团的所有成员提供服务，但不希望负担域间消息中 继的任务。优势在于，当某个成员的结构发生变化时，无需集团 向它的成员提供路由更新。 由于重定向代理不中继消息，仅返回一个应答，其中包括Diameter 代理间直接通信所需要的信息，它们不修改消息。重定向代理不 接收应答消息，所以它们不用保持会话状态。而且，重定向代理从 来不会中继请求，它们也不需要保持事务状态。 由于重定向代理不执行任何应用级别的程序，它们为所有Diameter 应用提供服务，因此必须广播中继应用标识符
秘密▲
Diameter中继代理
Diameter中继接受请求并根据域路由表列表和对等端 列表转发消息 中继通过插入和删除路由信息等动作来修改Diameter消 息，但是不会修改消息的其他部分 中继不维护会话状态，但应该维护事务状态 由于中继不执行任何应用级别的程序，它们提供的中继服务可以 用于所有Diameter应用，因此它们必须广播中继应用标识符
Diameter其他相关——域路由表1
所有基于域的路由查找都是依靠域路由表来执行的
域路由表入口包含以下字段： Diameter基础协议(Diameter Base Protocol) 域名：该字段通常用作路由表查询中的主关键字。 应用标识符：一个应用是由运营商ID 和应用ID 来标识的。 一个路由入口基于消息中的应用标识AVP 可能拥有不同的目的地。 应用标识符必须用作路由表查询的第二关键字字段 本地动作：本地动作字段用来标识一个消息将被如何处理。 支持以下动作： •LOCAL：本地动作设置为LOCAL 的Diameter 消息可以 在本地处理，无需被路由到其它服务器； •RELAY：所有属于本类型的Diameter 消息必须被路由到 下一跳的服务器，无需修改任何非路由AVP； •PROXY：所有属于本类型的Diameter 消息必须被路由到 下一跳的服务器。本地服务器可以在路由之前通 过将新的AVP 插入到该消息中，来实行本地策略； •REDIRECT：所有属于本类型的Diameter 消息必须附加归 属Diameter 服务器的标识，并且返回给消息的发送者；
连接和会话之间并没有关系，一个会话可以跨越多个连接，
而用于多会话的Diameter消息也可以在一个单独的连接中传送
客户
中继
服务器
对等端连接A 用户会话X
对等端连接B
连接与会话示意图
Diameter其他相关——对等端表
对等端表被用在消息前转过程中，同时还要参考域路由表 对等端表包含以下字段：
Diameter基础协议(Diameter Base Protocol)
BGCF
Mj
IMMGCF MGW Mn
Mb
Mg Mr
S-CSCF
Mw
HSS
Dx
SLF
MRFP
Mp Mb Mb Mb
MRFC
P-CSCF
Gm
UE
Ut
IMS Subsystem
秘密▲
Diameter 基础协议 Diameter基础协议(Diameter Base Protocol)
•Diameter协议的框架结构 •Diameter传输 •Diameter消息加密 •Diameter实体 •Diameter其他相关
秘密▲
主机标识：格式遵循DiameterIdentity 扩展AVP 数据格式。 该字段包含在CER 或CEA 消息中发现的源主机AVP 的内容
状态：对等端入口的状态，必须与对等端状态机值中的某个匹配
静态或动态：指定某个对等端入口是静态配置的还是动态发现的 生命期：指定动态发现的对等端表入口被刷新或到期的时间 TLS 有效：指定对等端通信时是否使用TLS 附加安全信息（可选）：例如关键字、证书等