《Diameter基础协议介绍课件》由会员分享,可在线阅读,更多相关《Diameter基础协议介绍课件(54页珍藏版)》请在金锄头文库上搜索。
1、Diameter基础协议,2009.11 宋大猛,主要内容,Diameter协议在IMS系统中的位置 Diameter基础协议(Diameter Base Protocol) Diameter消息格式(Diameter Message Format ) Diameter对等端通讯(Diameter Peers) Diameter消息处理流程(Diameter Message Processing),IMS系统中的AAA协议,Diameter基础协议(Diameter Base Protocol),Diameter基础协议,Diameter协议的框架结构,Diameter传输,Diameter消
2、息加密,Diameter实体,Diameter其他相关,Diameter协议的框架结构,Diameter协议族包括基础协议和应用协议,Diameter基础协议提供了一个AAA协议的最低需求,是Diameter网络节点必 须实现的功能,包括节点间能力协商、消息接受与转发、计费消息的实时传 输等,Diameter应用协议则利用基础协议提供的消息传送机制,规范相关节点的 功能以及其特有的消息内容,来实现应用业务的AAA,基础协议一般需与某个应用一起使用,Diameter over RADIUS,Diameter传输,Diameter基础协议运行在TCP和SCTP(Stream Control Tra
3、nsmission Protocol,流控制传输协议)传输协议的3868端口上,Diameter客户端必须支持TCP或SCTP,Diameter代理和 服务器必须两者都支持。以后版本将强制客户端支持SCTP,Diameter节点在源端口上初始化连接后,在端口3868上准备接受连接,一般情况下,对等端的一个给定Diameter实例只能使用一个传输连 接与其对等端通信。,当向对等端发起连接时,首先尝试SCTP,然后才是TCP,Diameter安全机制,Diameter客户端,如网络接入服务器(NAS)和各种代理必 须支持IPSec,并且可以支持TLS.,Diameter服务器必须支持TLS和IPS
4、ec,不允许在没有任何安全机制的情况下使用Diameter协议,Diameter实体,Diameter客户端(Client):执行访问控制的网络设备, 向服务器端(Server)发起Diameter访问请求,Diameter服务端(Server):一个域中处理认证,授 权,计费请求的网络实体。除基本协议以外, Diameter服务器还必须支持Diameter应用扩展,Diameter中继代理,Diameter中继接受请求并根据域路由表列表和对等端 列表转发消息,中继通过插入和删除路由信息等动作来修改Diameter消 息,但是不会修改消息的其他部分,中继不维护会话状态,但应该维护事务状态,由于
5、中继不执行任何应用级别的程序,它们提供的中继服务可以 用于所有Diameter应用,因此它们必须广播中继应用标识符,Diameter基础协议(Diameter Base Protocol),Diameter Proxy代理,执行资源限制的Proxy必须保持会话状态。 所有Proxy必须保持事务状态。 由于执行策略需要了解提供的业务,Proxy仅需广播它们支持的Diameter应用。,与中继类似,Proxy代理利用Diameter路由表来路由Diameter消息。 它们不同之处在于,Proxy代理修改消息以达到策略的强制实施。 这要求Proxy保持它们下行对等端(例如,接入设备)的状态以 执行资
6、源的使用,提供准入控制和预配置。,Diameter基础协议(Diameter Base Protocol),Diameter 重定向代理,重定向代理在Diameter路由需要集中配置的情况下非常有用。重定 向代理为某个集团的所有成员提供服务,但不希望负担域间消息中 继的任务。优势在于,当某个成员的结构发生变化时,无需集团 向它的成员提供路由更新。 由于重定向代理不中继消息,仅返回一个应答,其中包括Diameter 代理间直接通信所需要的信息,它们不修改消息。重定向代理不 接收应答消息,所以它们不用保持会话状态。而且,重定向代理从 来不会中继请求,它们也不需要保持事务状态。 由于重定向代理不执行
7、任何应用级别的程序,它们为所有Diameter 应用提供服务,因此必须广播中继应用标识符,Diameter基础协议(Diameter Base Protocol),重定向消息示意图,Diameter基础协议(Diameter Base Protocol),Diameter 翻译代理,翻译代理是提供两种协议(例如RADIUS与Diameter)之间翻译的设备。翻译代理通常用来兼容使用以前的协议的设备。 翻译代理必须保持会话状态和事务状态。翻译代理必须仅广播它们本地支持的应用,Diameter基础协议(Diameter Base Protocol),Diameter其他相关应用标识符1,每一个Di
8、ameter应用都必须有一个IANA指定的应用标志符,由于对基础协议是强制性的,因此基础协议不需要应用标识符,在能力交换过程中,Diameter节点通知对等端本地所支持 的应用,并且所有的Diameter消息都包含应用标识符,它 们在消息向前转发的过程中使用,Diameter中继和Proxy代理必须广播中继应用标识符,而 其他Diameter节点必须广播本地支持的应用,广播中继服务的能力交换消息的接受者必须假定发送端支 持所有现有的将来的应用,Diameter中继和Proxy代理负责寻找一个上行服务器,它支持 某一特定的应用。如果没有找到,它需要返回错误消息, Result-Code AVP设
9、置为DIMETER_UNABLE_TO_DELIVER,Diameter其他相关应用标识符2,规定范围0 x00000001到0 x00ffffff为标准应用预留,0 x10000001到0 xfffffffe为运营商自行定义的应用预留,目前定义了以下应用标识符:,Diameter基础协议(Diameter Base Protocol),Diameter其他相关连接与会话,连接是两个对等端之间的一个传输层连接,用于发送和接收 Diameter消息,会话是一个应用层的逻辑概念,在一个接入设备和一个服务 器之间共享,并且通过会话ID AVP来标识,连接与会话示意图,连接和会话之间并没有关系,一个会
10、话可以跨越多个连接, 而用于多会话的Diameter消息也可以在一个单独的连接中传送,Diameter基础协议(Diameter Base Protocol),Diameter其他相关对等端表,对等端表被用在消息前转过程中,同时还要参考域路由表,对等端表包含以下字段:,主机标识:格式遵循DiameterIdentity 扩展AVP 数据格式。 该字段包含在CER 或CEA 消息中发现的源主机AVP 的内容,状态:对等端入口的状态,必须与对等端状态机值中的某个匹配,静态或动态:指定某个对等端入口是静态配置的还是动态发现的,生命期:指定动态发现的对等端表入口被刷新或到期的时间,TLS 有效:指定对
11、等端通信时是否使用TLS,附加安全信息(可选):例如关键字、证书等,Diameter基础协议(Diameter Base Protocol),Diameter其他相关域路由表1,所有基于域的路由查找都是依靠域路由表来执行的,域路由表入口包含以下字段:,域名:该字段通常用作路由表查询中的主关键字。,应用标识符:一个应用是由运营商ID 和应用ID 来标识的。 一个路由入口基于消息中的应用标识AVP 可能拥有不同的目的地。 应用标识符必须用作路由表查询的第二关键字字段,本地动作:本地动作字段用来标识一个消息将被如何处理。 支持以下动作:,LOCAL:本地动作设置为LOCAL 的Diameter 消息
12、可以 在本地处理,无需被路由到其它服务器;,RELAY:所有属于本类型的Diameter 消息必须被路由到 下一跳的服务器,无需修改任何非路由AVP;,PROXY:所有属于本类型的Diameter 消息必须被路由到 下一跳的服务器。本地服务器可以在路由之前通 过将新的AVP 插入到该消息中,来实行本地策略;,REDIRECT:所有属于本类型的Diameter 消息必须附加归 属Diameter 服务器的标识,并且返回给消息的发送者;,Diameter基础协议(Diameter Base Protocol),Diameter其他相关域路由表2,服务器标识符:消息会被路由到一个或多个服务器。这些服
13、务器也 必须出现在对等端表中。当本地动作设置为RELAY 或PROXY 时, 该字段包含消息必须被路由到的服务器的标识符。当本地动作设置为 REDIRECT时,该字段包含消息将被重定向到的一个或多个服务器的 标识符;,静态或动态:指定某个路由入口是静态配置的还是动态发现的,生命期:指定某个动态发现的路由表入口的到期时间,必须重点指出,Diameter代理必须至少支持LOCAL、RELAY、PROXY 或REDIRECT操作模式之中的一种。为了与协议规定一致,代理不需要 支持所有的操作模式。中继代理和Proxy不允许重排AVP。,路由表可以包括一个默认入口,为任何与其它入口都不匹配的请求使用。
14、路由表可以仅包含这样一个入口,Diameter基础协议(Diameter Base Protocol),Diameter消息格式,Diameter头,Diameter AVPs,基本 AVP数据格式,导出AVP数据格式,Diameter基础协议(Diameter Base Protocol),Diameter消息格式Diameter头,版本:该字段必须被置为1,表明Diameter版本1,消息长度:该字段为3个八位组,指明该Diameter消息的字节长度,命令标记:该字段为8个比特,命令码:该字段为3个八位组,用于表明与该消息相关联的命令,Diameter消息格式Diameter头(续),应用
15、ID:应用ID为4个八位组,用于标识该消息可适用于哪个应用 Hop-by-Hop标识符:为一个无符号32比特整数字段,用来帮助匹配请求和响应 端到端标识符:为一个无符号32比特整数字段,用来检测重复消息 AVP:AVP是封装与Diameter消息相关信息的一种方法,Diameter基础协议(Diameter Base Protocol),Diameter头命令标记解析,R(Request):如果设置,表明该消息是一个请求 如果清零,该消息是一个应答,P(Proxiable):如果设置,表明该消息可以被Proxy、中继或者重定向。 如果清零,该消息必须在本地处理;,E(Error):如果设置,表
16、明该消息包含一个协议差错,且该消息与ABNF 中描述的该命令不一致。“E”比特设置的消息一般当作差错消息。 在请求消息中不能设置该比特,T(Potentially re-transmitted message):该标记在链路失败过程后被设置, 以帮助去除重复的请求。 当重发请求还没有被确认时,需要设置该比特,以作为链路失 败而造成的可能的重复包的指示,r(reserved):这些标记为将来使用预留,必须设置为0,接收者应当忽略,消息示例,Diameter基础协议(Diameter Base Protocol),Diameter消息格式Diameter AVPs,AVP 码:AVP码与制造商ID 结合,可以唯一标识属性,AVP 标记:AVP标记字段告知接收者如何处理每个属性,AVP长度:AVP长度字段为3个八位组,指明在这个AVP中的八位组 的数量,包括AVP码、AVP长度、AVP标记、Vendor-ID字段 (如果出现)以及AVP数
