Diameter协议介绍.ppt

Diameter协议第1章协议概述第2章消息结构第3章常用命令第4章基本流程第5章码流解析内容介绍背景Diameter协议的最初提出是作为Radius协议的改进或者替代,它的引入是作为支持基于IP技术的AAA框架的AAA协议。认证(Authentication):用户在使用网络系统中的资源时对用户身份的确认。计费(Accounting):网络系统收集、记录用户对网络资源的使用,以便向用户收取资源使用费用,或者用于审计等目的。授权(Authorization):网络系统授权用户以特定的方式使用其资源。认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。这样既在一定程度上有效地保障了合法用户的权益,又能有效地保障网络系统安全可靠地运行。协议优点Diameter和Radius两者之间的比较拥有良好的失败机制,支持失败替代(failover)和失败回溯(faiback);拥有更好的包丢弃处理机制,Diameter协议要求对每个消息进行确认;可以保证数据体的完整性和机密性;支持端到端安全,支持TLS和IPSec;引入了“能力协商”ANASREQMIPDiameterBaseTLSTCPSCTPIP/IPsec基础协议(RFC3588):提供了作为一个AAA协议的最低需求,是Diameter网络节点都必须实现的功能,包括节点间能力的协商、Diameter消息的接收及转发、计费信息的实时传输等。应用协议:充分利用基础协议提供的消息传送机制,规范相关节点的功能以及其特有的消息内容,来实现应用业务的AAA。协议框架IETF的AAA工作组已经完成DiameterNASREQ应用、Diameter移动IPv4应用、Diameter多媒体应用等应用协议的制定在Diameter基础协议上扩展的信用控制应用协议DiameterCreditControlApplication(RFC4006),定义了实时计费协议框架,采用信用额度控制实现了基于会话及事件的计费,解决了对于预付费的计费需求;Diameter网络节点DiameterClient:处于网络边缘提供接入控制的设备,essserver)。DiameterServer:处理一个特定域的认证,授权和计费请求Diameter中继:能够从Diameter请求消息中提取信息,再根据Diameter基于域的路由表的内容决定消息发送的下一Diameter节点,Diameter中继只对过往消息进行路由信息的修改,而不改动消息中的其他内容。Diameter代理:根据Diameter路由表的内容决定消息发送的下一跳Diameter节点。此外,Diameter代理能够修改消息中的相应内容。Diameter重定向器:不知道如何路由的请求消息发给Diameter重定向器时,重定向器将根据其详尽的路由配置信息,把路由指示信息加入到请求消息的响应里,从而明确地通知该Diameter节点的下一跳Diameter节点。Diameter协议转换器:主要用于实现RADIUS与Diameter,或者TACACS+与Diameter之间的协议转换。:目前全部填写1;MessageLength:mandFlag:R:请求消息填写为1,响应消息填写为0;P:本消息是否可以被转发,Diameter基本协议命令字CER\DPR\DWR不能被转发;E:通常通过设置E位来说明这是一个错误消息。但该位不可在请求消息中设置;T:mand-Code:消息命令字,响应消息和对应的请求消息的命令字是一样的;Diameter协议的基本命令字包括CER\CEA(257),DWR\DWA(280),DPR\DPA(282);A(272);Application-ID:消息涉及的应用ID。例如:Diameter基本协议之中定义的Application-ID包括:monMessages(0),NASREQ(1),Mobile-IP(2),ounting(3),Relay(0xffffffff);DCCA(4);Hop-by-Hop:逐跳标识用于判断请求与应答的对应关系;,End-to-End:端到端标识主要用于重复消息的检查。