⼀、引⾔
转子气体流量计 Diameter系列协议是新⼀代的AAA技术,由于其强⼤的可扩展性和安全保证,正在得到越来越多的关注。在ITU,3GPP和3GPP2等国际标准组织中,都已经正式将DIAM-ETER协议作为NGN,WCDMA和cdma2000等未来通信⽹络的⾸选AAA协议。对于⽤户的访问控制是下⼀代⽹络(NGN)⽹络安全的重要组成部分,⽽本⽂讨论的Diameter协议在SIP环境中的应⽤则是这个问题的重要切⼊点。
⼆、Diameter协议的设计⽬的
内德滋 RADIUS和TACACS+⼀直被⼴泛应⽤于很多的ISP和企业⽹。实际上,这两个协议在设计之初,都是应⽤于仅⽀持若⼲要求简单基于服务器认证的终端⽤户的⼩型⽹络设备的。⽬前接⼊提供商都在为成千上万的使⽤不同接⼊技术(包括⽆线、DSL、移动IP、以及以太⽹等)的并发终端⽤户提供AAA服务。AAA服务的安全、可升级性对于RADIUS和TACACS+来说也都不能⼗分令⼈满意。 宠物清洗机
现在的AAA协议已经⽆法胜任⽬前以及今后IP⽹络,尤其是NGN时代对AAA服务⽇益增长的要求。因此IETF着⼿开发了下⼀代AAA协议—Diameter协议,以期解决现在AAA服务中存在的⼀些问题。
Diameter的设计⽬的是创建⼀个能够充分满⾜⽬前乃⾄今后IP⽹络(包括NGN以及3G等等)⽤户访问控
制要求的AAA协议。其设计要求的具体内容包括:
(1)具有良好的⽹络适应性和可扩展性;
(2)统⼀且良好的失败控制和检测机制;
(3)完整的传送层安全保证(包括域内和域间);
(4)数据传输可靠性保证机制;
(5)⽀持各种类型的代理,包括Proxy代理、重定向代理以及中继代理等:
(6)⽀持服务器发起的消息,即允许服务器主动发送消息给其客户端; (7)与现有⽹络协议的良好可互操作性;
(8)⽀持节点间的能⼒协商机制:
(9)⽀持动态对等端发现和配置机制;
(10)⽀持安全和可扩展的漫游。
三、Diameter协议的特性与优势
Diameter协议有很多⾮常好的特性,使其在实际⽹络中应⽤时,相对于以前的AAA协议具有很⼤的优势。
(1)为了保证新⼀代的AAA协议能够很长⼀段时期内都能够满⾜各种不同⽹络环境的需求.Diameter协议采⽤了⼀种新的协议定义模式:⾸先推出⼀个轻量的、易于实施的基础协议,旨在提供⼀个AAA框架,其中包括实现AAA功能最基本的要求。并针对不同的⽹络情况和业务需求,分别制定相应的应⽤扩展。
(2)新⼀代的AAA协议为了能够在今后较长时期内更好的满⾜IP⽹络建设和业务⼏乎⽆法预期的发展速度,通过各种技术⼿段⼤⼤提⾼了Diameter的⽹络可扩展性和业务可扩展性。这其中包括扩展了请求标识长度,Diameter协议称为“端到端ID字段”,长度为4字节 232(RADIUS:1字节255),这样可以⼤⼤提⾼⽀持的同时发起未决请求数量;属性值对(AVP)的数量空间从RADIUS的255个扩展为232个;Diameter还⽀持⽀持商家定义的命令,这是RADIUS所不具备的。
为了得到更可靠的传输保证,Diameter协议必须能够在可以提供重传策略的传输层上运⾏,以使其
能够在对等端不可达时,有效地转换另⼀个主机。与RADIUS相反,Diameter协议要求代理链上的每⼀个节点都应在“传输层”对请求或响应进⾏确认。由于Diameter运⾏在提供可靠传输的SCTP上,代理链上的每个节点都有责任对没有确认的消息进⾏重传。⽽且SCTP协议还提供到服务器的流量控制。Diameter协议还有很多其它优秀特性:
(1)拥有良好的失败机制,⽀持失败替代(failover)和失败回溯(faiback):
(2)拥有快速检测到对端不可达的能⼒;
(3)拥有更好的包丢弃处理机制,Diameter协议要求对每个消息进⾏确认:
(4)⽀持服务器发起到客户的主动消息,这可以⽤于某些特殊计费业务(如预付费);
(5)可以保证数据体的完整性和机密性;
(6)⽀持端到端安全,⽀持TLS和IPSec;
(7)为每个会话进⾏认证/授权,以保证安全性;
(8)与RADIUS协议尽量兼容。
毛豆剥壳机
四、Diameter的框架结构
Diameter包含基础协议、传送协议、不同的应⽤扩展,如NASREQ和移动IP等。所有应⽤和服务共⽤的基本功能都在基础协议中实现,⽽应Diameter基础协议旨在提供⼀个AAA框架,以⽤于各种应⽤。基础协议还定义了所有Diameter应⽤使⽤的,并且所有Diameter 设备都必须⽀持的消息格式、传输、差错报告和安全服务。医用压片机
图1是Diameter协议结构的⽰意图,图中的传输机制主要定义Diameter协议传输层的问题及解决⽅法,包括失败检测算法和状态机等,其它拥有各种不同功能的应⽤都必须⽀持基础协议。图中的SIP应⽤是Diameter协议应⽤在IP环境中的要求。
图1 Diameter协议框架结构
五、Diameter会话初始协议(SIP)应⽤概述
Diameter会话初始协议(SIP)应⽤是与会话初始协议(SIP)结合在⼀起使⽤的,在SIP服务器中提供Diameter客户端功能,SIP服务器必须能够请求Diameter服务器认证⽤户,授权SIP资源使⽤。 I
Diameter SIP应⽤扩展允许Diameter客户端向Diameter服务器为基于IP多媒体业务的初始会话协议(SIP)请求认证、授权信息。假定SIP服务器和Diameter客户端位于相同节点,SIP服务器能够接收、
处理SIP请求消息和回答消息,分别基于为认证SIP请求消息和授权特定SIP业务的AAA体系结构。当SIP协议⽤于初始和终截多媒体会话或SIP协议⽤于⾮会话相关的应⽤时,Diameter SIP应⽤扩展提供Diameter规程,⽤于实现特定功能。
Diameter SIP应⽤扩展假定了⼀个通⽤体系结构,即归属域由⼀个或多个实现Diameter或SIP功能的节点构成。其中,⾄少有个这样的节点实现Diameter服务器功能。Diameter服务器有权使⽤⽤户数据库。特定⽤户的⽤户数据储在⽤户数据库中。⽹络中可以有多于⼀个的Diameter服务器,所有的Diameter服务器均有权使⽤⽤户数据库。
⽤特定的功SIP⽹络环境中,归属域有多种配置。在其中⼀种配置情况下,SIP服务器被分配给⽤户,⽤于触发和执⾏业务。⽤户在⽹络中进⾏注册时动态分配SIP服务器。在这种配置情况下,要求有⼀个位于⽹络边缘的SIP服务器,⽀持对SIP请求和回答消息的路由算法。SIP服务器节点实现Diameter客户端功能。在另⼀种配置情况下,SIP输出代理被配置为SIP端点。在SIP输出代理节点中的输出Diameter客户端认证⽤户、为SIP请求消息要求授权并完成计费活动。
hg(scn)2
六、Diameter在SIP环境中应⽤的⼀般结构
图2是带有AAA构架的SIP环境结构简单⽰意图,该图仅仅是⼀个Diameter SIP应⽤的可能结构⽰例。图中SIP⽤户代理(UA)⽤来发起或终结SIP穿越⼀个或多个SIP服务器的SIP业务流;⽽两个SIP服
务器都可以作为⼀个Diameter客户⽀持Diameter应⽤。
图2 Diameter在SIP环境中应⽤的⼀般结构
在图2中可以看到,SIP服务器1和SIP服务器2之间通过Diameter服务器相发送并接收不同的Diameter命令。这是由于图1中SIP服务器1位于⽹络的边缘,其主要的任务就是定位(寻址)SIP服务器2。服务器2并不位于⽹络边缘,它从Diameter服务器请求并接收认证和授权数据。Diameter SL(⽤户定位器)是⽤来定位包含该⽤户相关数据的Diameter服务器的。
能则会在不同的应⽤中实施。
七、Diameter在SIP环境中应⽤的简单流程⽰例
以⼀个SIP可管理⽹络域中Diameter服务器认证⽤户请求的简单流程举例。其中,⽹络⼤⼩中等,Diameter服务器负责保存⽤户记录并认证SIP请求。这⾥仅选择了⼀个SIP REGISTER请求作为⽰例,实际上SIP服务器可以请求认证任何其他的SIP请求。
从图3中可以看到,⼀个SIP⽤户代理客户端(UAC)发送了⼀个SIP REGISTER请求给⾃⼰的归属域(第1步)。SIP服务器1接收该SIP请求。我们假设该SIP服务器可以被定位,例如,它在该⾏政管理归属域的边缘。SIP服务器1中的Diameter客户端将通过发送⼀个Diameter ⽤户授权请求(UAR)消息(第2
步)与其⾃⼰的Diameter服务器联系,以决定是否允许该⽤户接受服务,如果可以,请求能够控制该⽤户的本地SIP服务器的地址。Diameter服务器以⼀个Diameter⽤户授权应答(UAA)消息应答(第3步),该消息将指明SIP服务器1可以使⽤的、适合的SIP服务器(SIP服务器2)列表或者⼀个或多个指向SIP服务器2的SIP URL。
SIP服务器1前转SIP REGISTER请求(第4步)给⼀个适合的SIP服务器(SIP服务器2)。SIP服务器2中的Diameter客户端通过发送⼀个Diameter多媒体认证请求(MAR)请求在Diameter服务器进⾏⽤户认证(第5步)。该请求同样也⽤于使Diameter服务器获得SIP或SIP服务器2的SIP URI列表,才能够准确的将同样⽤户的随后请求转给同⼀个SIP服务器2。Diameter服务器利⽤结果代码AVP值为
DIAMETER_MUL TI_ROUND_AUTH的Diameter多媒体认证应答(MAA)消息(第6步)响应。该Diameter服务器还包括⼀个“征询”,SIP 服务器2在SIP 401(未被授权的)响应(第7步)中将该征询映射到WWW认证头中,该响应被发送回SIP服务器1,随后返回给SIP UAC(第8步)。
SIP服务器1将接收到⼀个包含该⽤户认证信息(credentials)的SIP REGISTER请求(第9步)。需要注意的是,SIP服务器1不需要保留状态,并且该SIP请求也不⼀定会被传送到同⼀个SIP服务器1,在冗余配置下,很有可能有⼀组SIP服务器1。SIP服务器1中的Diameter客户端将通过发送⼀个Diameter UAR消息来与⼀个Diameter服务器联系(第10步),以判断哪个SIP服务器是分配给该⽤户的。该Diameter服务器将在⼀个Diameter UAA消息中发送该SIP服务器2的SIP或SIP URI(第11步)。
SIP服务器1则前转该SIP REGISTER请求给SIP服务器2(第12步)。SIP服务器2从该SIP REGISTER请求中提取认证信息。SIP服务器2中的Diameter客户端将这些认证信息放在⼀个Diameter MAR消息中,并将该消息发送给Diameter服务器(第13步)。此时Diameter服务器才能够认证该⽤户,认证成功后,将返回⼀个Diameter MAA消息(第14步),消息中的AVP结果码置为值DIAMETER_SUCCESS。该Diameter MAA消息还包括该⽤户的定制信息,以供SIP服务器2为⽤户提供服务使⽤。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议