Diameter協議學習筆記一

 

 1、摘要：

   Diameter協議主要爲應用程序提供認證、鑑權、計費框架，即AAA，並支持本地AAA和漫遊場景下的AAA。

2、介紹：

  AAA協議、例如TACACS、RADIUS起初是爲了提供PPP及終端接入，隨着Internet及新的接入技術的發展，包括無線、DSL、移動IP, 以太網路由、網絡訪問服務器（NAS）在複雜和密集性方面有所加強，這對AAA協議提出了新的要求。

  例如，網絡訪問對AAA 協議提出的要求總結有如下這些：

• Failover（故障轉移）

  RADIUS協議沒有定義failover機制，所以，failover的行爲隨着程序的實現不一樣而各異，爲了提供一個明肯定義的failover行爲，Diameter支持應用層的應答，並定義failover的西裝算法和偶聯狀態機。

• 傳輸層安全

  RADIUS在定義了應用層的認證，但僅使用了響應包，RADEXT定義了另外的認證，但僅要求在EAP session中使用，且支持屬性隱藏。RFC3162爲RADIUS定義了IPsec，但對其支持並無作要求，Diameter強制要求支持IPSec,TLS的支持可選擇。

• 可靠傳輸

  RADIUS運行在UDP上，且沒有定義重傳行爲，全部，可靠性因實現不一樣而各異。Diameter運行在可靠的傳輸層（TCP, SCTP）上。

• 代理支持

  RADIUS沒有明確地規定支持agent，包括Proxies, Redirects, Relays。Diameter明確地定義了代理的行爲。

• 服務器發起消息

  RADIUS中對於服務器發起消息的支持是可選的，這就使用一些如主動斷鏈、或者從新認證或從新鑑權等特性實現困難。服務器發起消息在Diameter中強制要求支持。

• 可審覈性

  RADIUS沒有定義數據對象安全機制，結果，不受信任的代理可能修改屬性或都包頭，而且不會被檢測出來，結合對能力協商機制的缺失，沒法預期結果會發生什麼。Diameter也沒有定義數據對象安全機制，但支持能力協商。

• 轉換支持

  Diameter使用的通用協議數據單元(PDU)與RADIUS不一樣，但支持向前兼容RADIUS,因此兩種協議能夠部署在同一網絡中。

• 能力協商

  RADIUS不支持錯誤消息、能力協商、及表示屬性強制/非強制的標誌位。所以RADIUS的客戶端和服務端不擔憂對方的能力，它們可能不會成功地協商一個相互接受的服務，或者在一些狀況下，須要知道哪些服務對端已經實現，以上幾點Diameter均支持。

• 對端發現及配置

  RADIUS要求人工配置服務端或客戶端的名稱或地址，相應地增長了祕密的共享，帶來管理和安全上的負擔。經過DNS，Diameter能夠動態發現對端，並經過傳輸層安全來保證。

• 漫遊支持

  RADIUS不提供對proxyr的明確支持，缺乏可審覈性、傳輸層安全，使得在漫遊場景下容易引起安全問題，Diameter支持域內漫遊、消息路由、可審覈性、傳輸層安全特性，可提供可安全和可靠的漫遊。