《DCC协议培训.pptVIP

提纲 Diameter协议介绍 Diameter电信行业中的应用 Diameter协议介绍 Diameter新一代的AAA协议 AAA是什么 Authentication（认证）：指用户在使用网络系统中的资源时对用户身份的确认。这一过程，通过与用户的交互获得身份信息（如用户名和口令组合），然后提交给认证服务器；后者对身份信息与存储在数据库里的用户信息进行核对处理，然后根据处理结果确认用户身份是否正确。 Authorization（授权）：网络系统授权用户以特定的方式使用其资源，这一过程指定了被认证的用户在接入网络后能够使用的业务和拥有的权限，如授予的IP地址等。 Accounting（计费）：网络系统收集、记录用户对网络资源的使用，以便向用户收取资源使用费用，或者用于审计等目的。以互联网接入业务供应商ISP为例，用户的网络接入使用情况可以按流量或者时间被准确记录下来。 Diameter——背景 Diameter是由IETF开发的AAA协议，用来给众多的接入技术提供AAA服务。Diameter并不是从零开始构建协议，而是大致上基于Radius（远程拨入用户认证服务）来构建的。 Diameter是对Radius的增强和扩展 Diameter—— 设计目的 Diameter协议的设计目的是创建一个能够充分满足网络访问控制要求的AAA协议，其特性如下： 具有良好的网络适应性和可扩展性 统一且良好的失败控制和检测机制 完整的传送层安全保证 数据传输可靠性保证机制 支持各种类型的代理，包括Proxy 代理、重定向代理以及中继代理等 支持服务器发起的消息，即允许服务器主动发送消息给其客户端 与现有网络协议的良好可互操作性 支持节点间的能力协商机制 支持动态对等端发现和配置机制 支持安全和可扩展的漫游 Diameter—— 框架结构（一） Diameter包含基础协议、传送协议、不同的应用扩展，如NASREQ和移动IP。所有应用和服务共用的基本功能都在基础协议中实现，而应用特定的功能则会在不同的应用中实施。 Diameter基础协议注重能力协商，消息发送以及对等端如何最终被拒绝。基础协议还规定了特定规则以用于Diameter节点之间所有的消息交换。Diameter基础协议旨在提供一个AAA框架，以用于各种应用。基础协议还定义了所有Diameter应用使用的，并且所有Diameter设备都必须支持的消息格式、传输、差错报告和安全服务。 Diameter—— 框架结构（二） Diameter—— 传输协议与网络安全 传输协议 Diameter基本协议运行在TCP和SCTP传输协议的端口3868上。Diameter客户必须支持TCP或SCTP，而代理和服务器必须两者都支持。而SCTP是最好的选择。 网络安全 Diameter客户，例如网络接入服务器（NAS）和各种代理必须支持IPSec，并且可以支持TLS。Diameter服务器必须支持TLS和IPsec。不允许在没有任何安全机制（TLS或IPsec）的情况下使用Diameter协议。 推荐在边缘和域内业务流量中可以将IPsec作为首选，例如在NAS和本地AAA Proxy之间使用预共享（pre-shared）密钥。这也放松了对NAS支持证书的要求。同时还建议域间流量应首先使用TLS。 Diameter——应用实体 Diameter Client Diameter Server Diameter Agent Diameter——消息格式（一） Diameter——消息格式（二） 命令标记：表示Diameter消息类型 R(equest) ：如果设置，表明该消息是一个请求。如果清零，该消息是一个应答。 P(roxiable)： 如果设置，表明该消息可以被Proxy、中继或者重定向。如果清零，该消息必须在本地处理。 E(rror) ：如果设置，表明该消息包含一个协议差错，且该消息与ABNF中描述的该命令不一致。“E”比特设置的消息一般当作差错消息。在请求消息中不能设置该比特。 T(Potentially re-transmitted message)：该标记在链路失败过程后被设置，以帮助去除重复的请求。当重发请求还没有被确认时，需要设置该比特，以作为链路失败而造成的可能的重复包的指示。当第一次发送一个请求时，该比特必须被清零，否则发送者必须设置该比特。Diameter代理仅需要关心它们发送的同一请求消息的遍数；其他实体进行的重传不须考虑。Diameter代理接收到一个T比特设置为1的请求，必须在前转该请求时保持T标记的设置。如果接收到一个以前消息的差错消息（例如协议差错），则不可以设置该标记。该标记只有在没有接收到任何来自服务器的该请求的应答、且该请