Diameter信令技术及信令网组织.ppt

Diameter信令技术及信令网组织 网络部 2013年7月 网络组织规范体系的制定原则 2 1 网络组织规范体系的定位 2 Diameter协议基本原理 1 3 DRA组网及网络演进 DRA寻址方法及安全策略 信令IP化演进 承载层 信令层 应用层 信令网从承载面的IP化（Sigtran协议）逐渐向信令层IP化演进 Diameter是全IP信令时代典型的核心网网元间通信协议 Diameter协议的起源 Diameter（直径）协议的最初提出是作为Radius（半径） （Remote Authentication Dial In User Service）协议的改进或者替代 Diameter协议是新一代AAA（ Authentication ， Authorization ， Accounting ）协议【认证、授权、计费】 -Authentication：认证表示确认请求是否合法，主要用于验证实体（例如设备名，用户名）的标识是否有效，是对用户身份的确认。 -Authorization：授权表示确认该请求是否允许，主要用于确认授予该请求的权限（例如申请多少带宽），是对用户使用资源的权限的确认。 -Accounting：计费表示收集用户的资源使用情况，主要用来审计、记账、趋势分析，是对用户资源使用情况的确认。 认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。这样既在一定程度上有效地保障了合法用户的权益，又能有效地保障网络系统安全可靠地运行。 Diameter协议优势 项目 Diameter Radius 传输机制 有流量控制机制和拥塞控制机制（TCP，SCTP） 没有流量控制机制和拥塞控制机制（UDP） 故障检测和处理能力 支持失败替代(failover)和失败回溯(faiback)； 没有定义确切的重传机制，只简单的规定如果请求消息在一段时间内没有应答，这个请求将重传若干次 错误消息处理机制 假设服务器没有收到消息将进行重传消息直到最终放弃该消息 无声丢弃 安全 支持端到端安全，支持TLS和IPSec； 提供基于逐跳的安全，没有端到端的安全机制 认证授权能力 服务器可以随时根据需要主动发起重认证 持与认证相分离的授权 只有客户能发出重认证请求。服务器不能根据需求要求重认证 认证与重授权必须成对出现 相对Radius，Diameter协议有如下优势： Diameter ＝ 2×Radius Diameter协议栈 Diameter协议采用了一种新的协议定义模式：首先推出一个轻量的、易于实施的基础协议，旨在提供一个基本框架，其中包括实现相关功能的最基本要求。并针对不同的网络情况和业务需求，分别制定相应的应用扩展 Diameter协议族包括：基础协议、传送协议、不同的应用协议 Diameter基础协议在IETF RFC3588中定义，描述了Diameter协议的基本功能（如消息格式、AVP格式、逐跳安全、代理、错误报告等），是应用的基础 各种应用协议可以在基础协议的基础上，根据具体应用需求进行扩展 Diameter-连接与会话 Connection（连接） 是传输层的概念，负责在两个对等端（Peer）之间传输Diameter消息 Session（会话） 是应用层的概念，在一个接入设备和一个服务器之间共享，可以用Session-id AVP来标识 一个会话可以跨越多个连接，而用于多会话的Diameter消息也可以在一个单独的连接中传送 Diameter-角色 Client（客户） 发起一个请求 处于Diameter网络边缘，完成接入控制，例如NAS。为所服务的用户请求认证、授权和计费服务 Server（服务器） 响应一个请求 完成对用户的认证、授权和计费 Agent（代理） 代理 自身不完成认证和授权的处理 包括Relay，Proxy，Redirect，Translation四种类型 Relay: 利用路由表进行消息路由，本身是协议透明的 Proxy:提供对请求和响应的增值处理，同时利用路由表进行消息路由 Redirect:重定向请求 Translation: 实现其它AAA协议（如Radius）和Diameter协议的转换 在Diameter协议之中，每一个（支持Diameter协议的）网络功能节点都称为Peer，任何一个Peer可以充当Client/Server/Agent的角色，且一个Peer可能同时充当上述多种角色； Peer之间通过Diameter Connection（Diameter链路集）相连； Diameter链路集内可以包括1到多个Diameter链路。 Diameter协议中功能节点角色分为三类 Diameter-Relay Agent Relay Agent 对消息进