Diameter协议介绍
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
--AVP头--
AVP Code: AVP的类别,用于标识AVP。例如Original-Host AVP的Code值为264; AVP Flags: V: 本AVP头之中是否出现Vendor-ID字段; M: 本AVP是否属于必需AVP,就一个特定的Diameter命令而言,有一些AVP是必须出现的, 例如Original-Host 和Original-Realm AVP在任何Diameter消息之中都是必须出现的; P: 本AVP的数据部分是否经过了加密; AVP Length: AVP包含的八位组数量; Vendor-ID: 可选,标识生成本AVP值的设备的供应商;
字节开始表示地址。 Time:以OctetString 为基础,表示从1900 年1 月1 日0 时起的秒数,到
2036 年02 月7 日6 点28 分16 秒截止。 UTF8String:使用UTF-8 传输格式。可变长度需要标具体使用情况。 DiameterIdentity:唯一表示DCC 节点,用于重复连接和路由环路检测。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 14
常用命令
命令名
Credit-Control-Request Credit-Control-Answer Re-Auth-Request Re-Auth-Answer Capabilities-Exchange-Request Capabilities Exchange Answer Device-Watchdog-Request Device-Watchdog-Answer
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 7
第1章 协议概述 第2章 消息结构 第3章 常用命令 第4章 基本流程 第5章 码流解析
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 8
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 10
消息体
Diameter消息的消息体部分以AVP(Attribute-Value-Pair)为单位,Diameter把与一条消息 相关的的各种信息用一个个的AVP封装起来,然后逐个头尾衔接。
{ Origin-Host } { Origin-Realm } [ Origin-State-Id ]
设备监控请求Device-Watchdog-Request (DWR),命令码为280,命令标记 ‘R’比特置位,当两个对等端之间没有流量交互时,发送至对等端。一旦检测到 传输差错,则该消息不允许发送至备选对等端。 DWR实际上就是握手请求。
认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的 准确记录。这样既在一定程度上有效地保障了合法用户的权益,又能有效 地保障网络系统安全可靠地运行。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 3
协议优点
Diameter和Radius两者之间的比较 ➢拥有良好的失败机制,支持失败替代(failover)和失败回溯(faiback); ➢拥有更好的包丢弃处理机制,Diameter协议要求对每个消息进行确认; ➢可以保证数据体的完整性和机密性; ➢支持端到端安全,支持TLS和IPSec; ➢引入了“能力协商”能力
中断会话请求和响应,它由任何服务器向提 供接入服务的接入设备发送,来请求中断指 定的会话。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 15
DWR和DWA
Device-Watchdog-Request <DWR> ::= < Diameter Header: 280, REQ >
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 4
协议框架
DCCA TCP
NASREQ Diameter Base
TLS
IP/IPsec
MIP SCTP
基础协议(RFC 3588):提供了作为一个AAA协议的最低需求,是Diameter 网络节点都必须实现的功能,包括节点间能力的协商、Diameter消息的接收 及转发、计费信息的实时传输等。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 16
DWR和DWA
Device-Watchdog-Answer
<DWA> ::= < Diameter Header: 280 > { Result-Code } { Origin-Host } { Origin-Realm } [ Error-Message ]
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 6
Diameter网络节点
•Diameter Client :处于网络边缘提供接入控制的设备,比如NAS (network access server)。
•Diameter Server: 处理一个特定域的 认证,授权和计费请求
•Diameter中继:能够从Diameter请求消息中提取信息,再根据Diameter基于域的路由表的 内容决定消息发送的下一Diameter节点,Diameter中继只对过往消息进行路由信息的修改, 而不改动消息中的其他内容。
•Diameter代理:根据Diameter路由表的内容决定消息发送的下一跳Diameter节点。此外, Diameter代理能够修改消息中的相应内容。
第2章 消息结构
2.1 消息头 2.2 消息体
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 9
消息头
Version: 目前全部填写1; Message Length: 填写包含消息头的整个消息的长度; Command Flag: R: 请求消息填写为1, 响应消息填写为0; P: 本消息是否可以被转发,Diameter基本协议命令字CER\DPR\DWR不能被转发; E: 通常通过设置E位来说明这是一个错误消息。但该位不可在请求消息中设置; T: 本消息是否是重发消息; Command-Code: 消息命令字,响应消息和对应的请求消息的命令字是一样的; Diameter协议的基本命令字包括CER\CEA(257), DWR\DWA(280), DPR\DPA(282); Diameter应用协议命令字包括CCR\CCA(272); Application-ID: 消息涉及的应用ID。例如: Diameter基本协议之中定义的Application-ID 包括:Diameter Common Messages(0), NASREQ(1), Mobile-IP(2), Diameter Base Accounting(3), Relay (0xffffffff); DCCA(4); Hop-by-Hop:逐跳标识用于判断请求与应答的对应关系; , End-to-End: 端到端标识主要用于重复消息的检查。
DPR DPA ASR ASA
说明
信用控制请求和响应
重新鉴权/授权请求和响应,该命令可以由任 何服务器发送给提供会话服务的接入设备, 来请求对用户进行重新认证/授权。 能力交换请求消息和响应
设备监控请求和响应(心跳消息),用于进 行链路异常检测,以降低消息被发送到无法 响应的对端的可能性。 拆除对等端连接请求和响应,将此消息发送 至对等端,提示对方自己将关闭传输连接。
•Diameter重定向器:不知道如何路由的请求消息发给Diameter重定向器时,重定向器将根 据其详尽的路由配置信息,把路由指示信息加入到请求消息的响应里,从而明确地通知该 Diameter节点的下一跳Diameter节点。
•Diameter协议转换器:主要用于实现RADIUS与Diameter,或者TACACS+与Diameter之间 的协议转换。
Vendor-ID
VMP
AVP Code AVP Length
Vendor-ID data
VMP
AVP Code AVP Length
Vendor-ID data
HUAWEI Confidential
Page 13
第1章 协议概述 第2章 消息结构 第3章 常用命令 第4章 基本流程 第5章 码流解析
AVP Length
(3 octets)
Vendor-ID
(4 octets - opt)
avp3
avp4
…….
VMPrrrrr
AVP Code AVP Length
Vendor-ID data
HUAWEI TECHNOLOGIES CO., LTD.
VMPrrrrr
AVP Code AVP Length
应用协议:充分利用基础协议提供的消息传送机制,规范相关节点的功能以 及其特有的消息内容,来实现应用业务的AAA。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 5
协议框架
➢IETF的AAA工作组已经完成Diameter NASREQ应用、Diameter移动IP v4 应用、Diameter多媒体应用等应用协议的制定 ➢在Diameter基础协议上扩展的信用控制应用协议Diameter Credit Control Application (RFC 4006) ,定义了实时计费协议框架,采用信用额 度控制实现了基于会话及事件的计费,解决了对于预付费的计费需求;
HUAWEI Confidential
Page 2
背景
Diameter协议的最初提出是作为Radius协议的改进或者替代,它的引入是作 为支持基于IP技术的AAA框架的AAA协议。
– 认证(Authentication) :用户在使用网络系统中的资源时对用户身份的 确认。 –计费(Accounting) :网络系统收集、记录用户对网络资源的使用,以便 向用户收取资源使用费用,或者用于审计等目的。 – 授权(Authorization) :网络系统授权用户以特定的方式使用其资源。
DCC 节点的FQDN。 Enumerated :枚举类型。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 12
AVP数据类型
Grouped:一组数据类型的组合
VMPrrrrr
(*) (1 octet)
avp1
avp2
AVP Code
(4 octets)
Security Level:
Diameter协议
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
第1章 协议概述 第2章 消息结构 第3章 常用命令 第4章 基本流程 第5章 码流解析
HUAWEI TECHNOLOGIES CO., LTD.
Disconnect-Peer-Request Disconnect-Peer-Anwser Abort-Session-Request Abort-Session-Answer
命令代 码 272 272 258 258
257 257 280 280
282 282 274 274
缩略语
CCR CCA RAR RAA CER CEA DWR DWA
--AVP 数据-- Data: 记录具体的数据值,具体数据的类型IES CO., LTD.
HUAWEI Confidential
Page 11
AVP数据类型
OctetString:可变长字符串 Integer32:32bit长的整数 Integer64:64bit长的整数 Unsigned32:32bit长的无符号整数 Unsigned64:64bit长的无符号整数 Float32:32bit长的浮点数 Float64:64bit长的浮点数 Grouped:一组数据类型的组合 Address:以OctetString 为基础,前两个字节为ddressType,从第三个
AVP Code: AVP的类别,用于标识AVP。例如Original-Host AVP的Code值为264; AVP Flags: V: 本AVP头之中是否出现Vendor-ID字段; M: 本AVP是否属于必需AVP,就一个特定的Diameter命令而言,有一些AVP是必须出现的, 例如Original-Host 和Original-Realm AVP在任何Diameter消息之中都是必须出现的; P: 本AVP的数据部分是否经过了加密; AVP Length: AVP包含的八位组数量; Vendor-ID: 可选,标识生成本AVP值的设备的供应商;
字节开始表示地址。 Time:以OctetString 为基础,表示从1900 年1 月1 日0 时起的秒数,到
2036 年02 月7 日6 点28 分16 秒截止。 UTF8String:使用UTF-8 传输格式。可变长度需要标具体使用情况。 DiameterIdentity:唯一表示DCC 节点,用于重复连接和路由环路检测。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 14
常用命令
命令名
Credit-Control-Request Credit-Control-Answer Re-Auth-Request Re-Auth-Answer Capabilities-Exchange-Request Capabilities Exchange Answer Device-Watchdog-Request Device-Watchdog-Answer
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 7
第1章 协议概述 第2章 消息结构 第3章 常用命令 第4章 基本流程 第5章 码流解析
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 8
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 10
消息体
Diameter消息的消息体部分以AVP(Attribute-Value-Pair)为单位,Diameter把与一条消息 相关的的各种信息用一个个的AVP封装起来,然后逐个头尾衔接。
{ Origin-Host } { Origin-Realm } [ Origin-State-Id ]
设备监控请求Device-Watchdog-Request (DWR),命令码为280,命令标记 ‘R’比特置位,当两个对等端之间没有流量交互时,发送至对等端。一旦检测到 传输差错,则该消息不允许发送至备选对等端。 DWR实际上就是握手请求。
认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的 准确记录。这样既在一定程度上有效地保障了合法用户的权益,又能有效 地保障网络系统安全可靠地运行。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 3
协议优点
Diameter和Radius两者之间的比较 ➢拥有良好的失败机制,支持失败替代(failover)和失败回溯(faiback); ➢拥有更好的包丢弃处理机制,Diameter协议要求对每个消息进行确认; ➢可以保证数据体的完整性和机密性; ➢支持端到端安全,支持TLS和IPSec; ➢引入了“能力协商”能力
中断会话请求和响应,它由任何服务器向提 供接入服务的接入设备发送,来请求中断指 定的会话。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 15
DWR和DWA
Device-Watchdog-Request <DWR> ::= < Diameter Header: 280, REQ >
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 4
协议框架
DCCA TCP
NASREQ Diameter Base
TLS
IP/IPsec
MIP SCTP
基础协议(RFC 3588):提供了作为一个AAA协议的最低需求,是Diameter 网络节点都必须实现的功能,包括节点间能力的协商、Diameter消息的接收 及转发、计费信息的实时传输等。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 16
DWR和DWA
Device-Watchdog-Answer
<DWA> ::= < Diameter Header: 280 > { Result-Code } { Origin-Host } { Origin-Realm } [ Error-Message ]
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 6
Diameter网络节点
•Diameter Client :处于网络边缘提供接入控制的设备,比如NAS (network access server)。
•Diameter Server: 处理一个特定域的 认证,授权和计费请求
•Diameter中继:能够从Diameter请求消息中提取信息,再根据Diameter基于域的路由表的 内容决定消息发送的下一Diameter节点,Diameter中继只对过往消息进行路由信息的修改, 而不改动消息中的其他内容。
•Diameter代理:根据Diameter路由表的内容决定消息发送的下一跳Diameter节点。此外, Diameter代理能够修改消息中的相应内容。
第2章 消息结构
2.1 消息头 2.2 消息体
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 9
消息头
Version: 目前全部填写1; Message Length: 填写包含消息头的整个消息的长度; Command Flag: R: 请求消息填写为1, 响应消息填写为0; P: 本消息是否可以被转发,Diameter基本协议命令字CER\DPR\DWR不能被转发; E: 通常通过设置E位来说明这是一个错误消息。但该位不可在请求消息中设置; T: 本消息是否是重发消息; Command-Code: 消息命令字,响应消息和对应的请求消息的命令字是一样的; Diameter协议的基本命令字包括CER\CEA(257), DWR\DWA(280), DPR\DPA(282); Diameter应用协议命令字包括CCR\CCA(272); Application-ID: 消息涉及的应用ID。例如: Diameter基本协议之中定义的Application-ID 包括:Diameter Common Messages(0), NASREQ(1), Mobile-IP(2), Diameter Base Accounting(3), Relay (0xffffffff); DCCA(4); Hop-by-Hop:逐跳标识用于判断请求与应答的对应关系; , End-to-End: 端到端标识主要用于重复消息的检查。
DPR DPA ASR ASA
说明
信用控制请求和响应
重新鉴权/授权请求和响应,该命令可以由任 何服务器发送给提供会话服务的接入设备, 来请求对用户进行重新认证/授权。 能力交换请求消息和响应
设备监控请求和响应(心跳消息),用于进 行链路异常检测,以降低消息被发送到无法 响应的对端的可能性。 拆除对等端连接请求和响应,将此消息发送 至对等端,提示对方自己将关闭传输连接。
•Diameter重定向器:不知道如何路由的请求消息发给Diameter重定向器时,重定向器将根 据其详尽的路由配置信息,把路由指示信息加入到请求消息的响应里,从而明确地通知该 Diameter节点的下一跳Diameter节点。
•Diameter协议转换器:主要用于实现RADIUS与Diameter,或者TACACS+与Diameter之间 的协议转换。
Vendor-ID
VMP
AVP Code AVP Length
Vendor-ID data
VMP
AVP Code AVP Length
Vendor-ID data
HUAWEI Confidential
Page 13
第1章 协议概述 第2章 消息结构 第3章 常用命令 第4章 基本流程 第5章 码流解析
AVP Length
(3 octets)
Vendor-ID
(4 octets - opt)
avp3
avp4
…….
VMPrrrrr
AVP Code AVP Length
Vendor-ID data
HUAWEI TECHNOLOGIES CO., LTD.
VMPrrrrr
AVP Code AVP Length
应用协议:充分利用基础协议提供的消息传送机制,规范相关节点的功能以 及其特有的消息内容,来实现应用业务的AAA。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 5
协议框架
➢IETF的AAA工作组已经完成Diameter NASREQ应用、Diameter移动IP v4 应用、Diameter多媒体应用等应用协议的制定 ➢在Diameter基础协议上扩展的信用控制应用协议Diameter Credit Control Application (RFC 4006) ,定义了实时计费协议框架,采用信用额 度控制实现了基于会话及事件的计费,解决了对于预付费的计费需求;
HUAWEI Confidential
Page 2
背景
Diameter协议的最初提出是作为Radius协议的改进或者替代,它的引入是作 为支持基于IP技术的AAA框架的AAA协议。
– 认证(Authentication) :用户在使用网络系统中的资源时对用户身份的 确认。 –计费(Accounting) :网络系统收集、记录用户对网络资源的使用,以便 向用户收取资源使用费用,或者用于审计等目的。 – 授权(Authorization) :网络系统授权用户以特定的方式使用其资源。
DCC 节点的FQDN。 Enumerated :枚举类型。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 12
AVP数据类型
Grouped:一组数据类型的组合
VMPrrrrr
(*) (1 octet)
avp1
avp2
AVP Code
(4 octets)
Security Level:
Diameter协议
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
第1章 协议概述 第2章 消息结构 第3章 常用命令 第4章 基本流程 第5章 码流解析
HUAWEI TECHNOLOGIES CO., LTD.
Disconnect-Peer-Request Disconnect-Peer-Anwser Abort-Session-Request Abort-Session-Answer
命令代 码 272 272 258 258
257 257 280 280
282 282 274 274
缩略语
CCR CCA RAR RAA CER CEA DWR DWA
--AVP 数据-- Data: 记录具体的数据值,具体数据的类型IES CO., LTD.
HUAWEI Confidential
Page 11
AVP数据类型
OctetString:可变长字符串 Integer32:32bit长的整数 Integer64:64bit长的整数 Unsigned32:32bit长的无符号整数 Unsigned64:64bit长的无符号整数 Float32:32bit长的浮点数 Float64:64bit长的浮点数 Grouped:一组数据类型的组合 Address:以OctetString 为基础,前两个字节为ddressType,从第三个