Diameter基础协议介绍

Diameter基础协议2009.11宋大猛主要内容•Diameter协议在IMS系统中的位置•Diameter基础协议(DiameterBaseProtocol)•Diameter消息格式(DiameterMessageFormat)•Diameter对等端通讯(DiameterPeers)•Diameter消息处理流程(DiameterMessageProcessing)秘密▲IMS系统中的AAA协议P-CSCFS-CSCFMGCFHSSCxIPMultimediaNetworksIM-MGWCSNetworkMnMbMgMmMRFPMbMrMbLegacymobilesignallingNetworksI-CSCFMwMwGmMjMiBGCFMkMkC,D,Gc,GrUEMbMbMbMRFCSLFDxMpCSCSIMSSubsystemCxMmASISCShUtBGCFMgDh秘密▲Diameter基础协议(DiameterBaseProtocol)Diameter基础协议•Diameter协议的框架结构•Diameter传输•Diameter消息加密•Diameter实体•Diameter其他相关秘密▲Diameter协议的框架结构Diameter协议族包括基础协议和应用协议Diameter基础协议提供了一个AAA协议的最低需求，是Diameter网络节点必须实现的功能，包括节点间能力协商、消息接受与转发、计费消息的实时传输等Diameter应用协议则利用基础协议提供的消息传送机制，规范相关节点的功能以及其特有的消息内容，来实现应用业务的AAA基础协议一般需与某个应用一起使用IP/IPsecTCPSCTPTLSDiameter基础协议DiameterCMS应用Diameter移动IP应用DiameterNASREQ应用Diameter3GPP应用Diameter其它应用...秘密▲DiameteroverRADIUSDiameterRADIUSFailoverYesNoTransmission-levelsecurityIPsec(mandatory)TLS(optional)Noreplayattackprevention,Publickeyencryption,ReliabletransportTCP,SCTPUDPCapabilitynegotiationErrorhandlingNoRoamingsupportSecureandscalableroamingNotsuitableforwide-scaledeploymentPeerdiscoveryandconfigurationDynamicdiscoveryofpeersthroughDNSManuallyconfigurerequiringnameoraddressAgentsupportProxies,Redirects,RelaysNoexplicitsupportforagents秘密▲Diameter传输Diameter基础协议运行在TCP和SCTP（StreamControlTransmissionProtocol，流控制传输协议）传输协议的3868端口上Diameter客户端必须支持TCP或SCTP，Diameter代理和服务器必须两者都支持。以后版本将强制客户端支持SCTPDiameter节点在源端口上初始化连接后，在端口3868上准备接受连接一般情况下，对等端的一个给定Diameter实例只能使用一个传输连接与其对等端通信。当向对等端发起连接时，首先尝试SCTP，然后才是TCP秘密▲Diameter安全机制Diameter客户端，如网络接入服务器(NAS)和各种代理必须支持IPSec,并且可以支持TLS.Diameter服务器必须支持TLS和IPSec不允许在没有任何安全机制的情况下使用Diameter协议秘密▲Diameter实体•Diameter客户端(Client)：执行访问控制的网络设备，向服务器端(Server)发起Diameter访问请求•Diameter服务端(Server)：一个域中处理认证，授权，计费请求的网络实体。除基本协议以外，Diameter服务器还必须支持Diameter应用扩展秘密▲Diameter中继代理Diameter中继接受请求并根据域路由表列表和对等端列表转发消息中继通过插入和删除路由信息等动作来修改Diameter消息，但是不会修改消息的其他部分中继不维护会话状态，但应该维护事务状态由于中继不执行任何应用级别的程序，它们提供的中继服务可以用于所有Diameter应用，因此它们必须广播中继应用标识符接入设备Diameter中继归属Diameter服务器1、请求3、应答4、应答2、请求example.netexample.netexample.com秘密▲Diameter基础协议(DiameterBaseProtocol)DiameterProxy代理执行资源限制的Proxy必须保持会话状态。所有Proxy必须保持事务状态。由于执行策略需要了解提供的业务，Proxy仅需广播它们支持的Diameter应用。与中继类似，Proxy代理利用Diameter路由表来路由Diameter消息。它们不同之处在于，Proxy代理修改消息以达到策略的强制实施。这要求Proxy保持它们下行对等端（例如，接入设备）的状态以执行资源的使用，提供准入控制和预配置。秘密▲Diameter基础协议(DiameterBaseProtocol)Diameter重定向代理重定向代理在Diameter路由需要集中配置的情况下非常有用。重定向代理为某个集团的所有成员提供服务，但不希望负担域间消息中继的任务。优势在于，当某个成员的结构发生变化时，无需集团向它的成员提供路由更新。由于重定向代理不中继消息，仅返回一个应答，其中包括Diameter代理间直接通信所需要的信息，它们不修改消息。重定向代理不接收应答消息，所以它们不用保持会话状态。而且，重定向代理从来不会中继请求，它们也不需要保持事务状态。由于重定向代理不执行任何应用级别的程序，它们为所有Diameter应用提供服务，因此必须广播中继应用标识符秘密▲Diameter基础协议(DiameterBaseProtocol)接入设备Diameter中继归属Diameter服务器1、请求5、应答6、应答4、请求example.netexample.netexample.comDiameter重定向2、请求3、重定向通知重定向消息示意图秘密▲Diameter基础协议(DiameterBaseProtocol)Diameter翻译代理翻译代理是提供两种协议（例如RADIUS与Diameter）之间翻译的设备。翻译代理通常用来兼容使用以前的协议的设备。翻译代理必须保持会话状态和事务状态。翻译代理必须仅广播它们本地支持的应用秘密▲Diameter基础协议(DiameterBaseProtocol)Diameter其他相关——应用标识符1每一个Diameter应用都必须有一个IANA指定的应用标志符由于对基础协议是强制性的，因此基础协议不需要应用标识符在能力交换过程中，Diameter节点通知对等端本地所支持的应用，并且所有的Diameter消息都包含应用标识符，它们在消息向前转发的过程中使用Diameter中继和Proxy代理必须广播中继应用标识符，而其他Diameter节点必须广播本地支持的应用广播中继服务的能力交换消息的接受者必须假定发送端支持所有现有的将来的应用Diameter中继和Proxy代理负责寻找一个上行服务器，它支持某一特定的应用。如果没有找到，它需要返回错误消息，Result-CodeAVP设置为DIMETER_UNABLE_TO_DELIVER秘密▲Diameter其他相关——应用标识符2规定范围0x00000001到0x00ffffff为标准应用预留0x10000001到0xfffffffe为运营商自行定义的应用预留目前定义了以下应用标识符：应用标识符值Diameter通用消息0NASREQ1移动IP2Diameter基础计费3中继0xffffffff秘密▲Diameter基础协议(DiameterBaseProtocol)Diameter其他相关——连接与会话连接是两个对等端之间的一个传输层连接，用于发送和接收Diameter消息会话是一个应用层的逻辑概念，在一个接入设备和一个服务器之间共享，并且通过会话IDAVP来标识客户中继服务器对等端连接B对等端连接A用户会话X连接与会话示意图连接和会话之间并没有关系，一个会话可以跨越多个连接，而用于多会话的Diameter消息也可以在一个单独的连接中传送秘密▲Diameter基础协议(DiameterBaseProtocol)Diameter其他相关——对等端表对等端表被用在消息前转过程中，同时还要参考域路由表对等端表包含以下字段：主机标识：格式遵循DiameterIdentity扩展AVP数据格式。该字段包含在CER或CEA消息中发现的源主机AVP的内容状态：对等端入口的状态，必须与对等端状态机值中的某个匹配静态或动态：指定某个对等端入口是静态配置的还是动态发现的生命期：指定动态发现的对等端表入口被刷新或到期的时间TLS有效：指定对等端通信时是否使用TLS附加安全信息（可选）：例如关键字、证书等秘密▲Diameter基础协议(DiameterBaseProtocol)Diameter其他相关——域路由表1所有基于域的路由查找都是依靠域路由表来执行的域路由表入口包含以下字段：域名：该字段通常用作路由表查询中的主关键字。应用标识符：一个应用是由运营商ID和应用ID来标识的。一个路由入口基于消息中的应用标识AVP可能拥有不同的目的地。应用标识符必须用作路由表查询的第二关键字字段本地动作：本地动作字段用来标识一个消息将被如何处理。支持以下动作：•LOCAL：本地动作设置为LOCAL的Diameter消息可以在本地处理，无需被路由到其它服务器；•RELAY：所有属于本类型的Diameter消息必须被路由到下一跳的服务器，无需修改任何非路由AVP；•PROXY：所有属于本类型的Diameter消息必须被路由到下一跳的服务器。本地服务器可以在路由之前通过将新的AVP插入到该消息中，来实行本地策略；•REDIRECT：所有属于本类型的Diameter消息必须附加归属Diameter服务器的标识，并且返回给消息的发送者；秘密▲Diameter基础协议(DiameterBaseProtocol)Diameter其他相关——域路由表2服务器标识符：消息会被路由到一个或多个服务器。这些服务器也必须出现在对等端表中。当本地动作设置为RELAY或PROXY时，该字段包含消息必须被路由到的服务器的标识符。当本地动作设置为REDIRECT时，该字段包含消息将被重定向到的一个或多个服务器的标识符；静态或动态：指定某个路由入口是静态配置的还是动态发现的生命期：指定某个动态发现的路由表入口的到期时间必须重点指出，Diameter代理必须至少支持LOCAL、RELAY、PROXY或REDIRECT操作模式之中的一种。为了与协议规定一致，代理不需要支持所有的操作模式。中继代理和Proxy不允许重排AVP。路由表可以包括一个默认入口，为任何与其它入口都不匹配的请求使用。路由表可以仅包含这样一个入口秘密▲Diameter基础协议(DiameterBaseProtocol)Diameter消息格式Diameter头DiameterAVPs基本AVP数据格式导出AVP数据格式秘密▲Diameter基础协议(DiameterBaseProtocol)Diameter消息格式——Diameter头端到端标识符Hop-by-Hop标识符应用ID命令标记RPETrrrr命令码版本0