（计算机应用技术专业论文）基于diameter协议的移动mipv6+aaa系统研究.pdf

南京邮电大学硕士研究生学位论文摘要 摘要 无线网络资源的有限性以及i p v 6 巨大的地址空间带来了诸如用户的合法性验证以及 控制用户有限制地访问网络资源等一系列问题。因此，i e t fa a a 工作组提出将d i a m e t e r 协议作为下一代网络的a 从标准，但至今未能将其成功地应用到m i p v 6 系统中。 本文通过研究刖执相关协议、d i a m e t e r 基础协议以及m 口v 4 扩展应用，基于m 口v 6 丸蛆系统的草案模型，提出了本文优化的基于d i a m e t e r 协议的m i p v 6 a a a 应用模型。 根据m 口v 6 和d i a m e t e r 协议的应用层次和协议通信使用的唯一标识不同，以及草案 模型中的不足，因此，在优化的系统模型中，本文通过扩展a r 的功能，使m p v 6 可以提 供m n 的n a i 信息，并将m n 的b u 信息封装到d i a m e t e r 消息中传输；改进m i p v 6 提供 的h a 功能，使得h a 不必执行d i a m e t e r 协议构架也具备m p v 6a a a 系统需要的h a 功 能，以降低h a 的处理负担；改变m i p v 6a a a 系统中接入请求的数据结构，使得m n 发 送的b u 消息中携带n a i 信息；采用内核与用户空间通信的方式，实现分组在内核中的处 理，以达到扩展和改进的目的；同时设计简单的计费过程、密钥的分配过程以及系统实现 的协议栈。 在l i n u x 下，本文使用l i n u x 系统的n e t f i l e t e r i p t a b l e s 软件、p r o c 文件系统以及s kb u f f 控制结构实现内核和用户空间之间的通信，分别实现系统中各模块的功能，并通过测试基 本实现了基于d i a m e t e r 协议的m i p v 6a a a 系统。 最后，本文通过分析系统性能消耗模型，计算两种模型下的系统消耗比，得出优化的 系统模型能够有效提高a a a 系统的性能。 关键字：认证、授权、计费，d i a m e t e r ，移动i p v 6 ，接入路由器，家乡代理，网络接入标 标识 南京邮电大学硕士研究生学位论文 a b s t r a c t a b s t r a c t t h el i m i to ft h ew i r e l e s sn e t w o r kr e s o u r c ea n dt h ee 1 1 0 i f f l o u 8d v 6a d d r e s s e sb r i n gas e r i e s o fq u e s t i o n s ，e g v a l i d a t i n gt h el e g i t i m a c yo fu s e r sa n dc o n t r o l l i n gu s e r st oa c c e s st h en e t w o r k a b s o l u t e l y ，w h i c hn e e d se f f e c t i v em e c h a n i s m st oc o n t r 0 1 t h e r e f o r e , t h ei e e ea a aw o r k i n g g r o u pp r o p o s e st h ed i a m e t e rp r o t o c o la st h ea a as t a n d a r df o rt h en e x tg e n e r a t i o nn e t w o r k ，b u t w h i c hh a m tb e e ns u c c e e d e da p p l y i n gt ot h em o b i l e 口v 6a a a s y s t e mu n t i ln o w t h r o u g hr e s e a r c h i n go nt h er e l a t i v ea a ap r o t o c o l s ，t h ed i a m e t e rp r o t o c o la n dt h ee x t e n d e d a p p l i c a t i o no fm d v 4 ，b a s e do nt h ed r a f tm o b i l e 口v 6j 必as y s t e mm o d e l ，t h ep a p e rp r o p o s e s t h eo p t i m i z a t i o nm o b i l ei p v 6a a am o d e lb a s e do nt h ed i a m e t e rp r o t o c 0 1 b y t h ed i f f e r e n c e so ft h em i p v 6a n dd i a m e t e rp r o t o c o la p p l y i n gl a y e r sa n dc o m m u n i c a t i o n i d e n t i f i e r , a n dd e f i c i e n c yo ft h ed r a f tm o d e l ，i nt h eo p t i m i z a t i o nm o d e l ，b ye x t e n d i n gt h e f u n c t i o no fa r ，w em a k em 脚6s u p p l ym n n a ii n f o r m a t i o n ，a n de n c a p s u l a t e st h eb ui n t ot h e d i a m e t e rm e s s a g e ；i m p r o v e st h em i p v 6h 氏w h i c hm a k eh ad on o tn e e di m p l e m e n t i n gt h e d i a m e t e ra r c h i t e c t u r et oi m p l e m e n tt h em i p v 6aaa s y s t e mh af u n c t i o n ，a n dd e c r e a s e st h eh a p r o c e s s i n gb u r d e n ；a l t e r st h ed a t as t r u c t u r e so ft h ea c c e s sr e q u e s t si no r d e rt h a tm n sb uc a n t a k en a ii n f o r m a t i o n ；a d o p t sk e r n e la n du s e rs p a c ec o m m u n i c a t i o n sm e t h o dt oi m p l e m e n tt h e e x t e n d i n ga n di m p r o v i n gg o a l ；d e s i g n st h es i m p l ea c c o u n t i n g ，k e yd i s t r i b u t i n gp r o c e d u r e sa n d s y s t e ms t a c kf o ri m p l e m e n t i o n i nl i n u xs y s t e m ，t h es y s t e mc o n t r o l st h ec o m m u n i c a t i o nb e t w e e nt h ek e r n e la n du s e rs p a c e s b yn e t f i l e t e r i p t a b l e s ，p r o cf i l es y s t e ma n ds u _ b u f fs t r u c t u r e , a n di m p l e m e n t st h es y s t e me n t i t i e s r e s p e c t i v e l y b yt e s t i n gt h es y s t e m ，t h ep a p e ri m p l e m e n t st h em d v 6a a as y s t e mb a s i c a l l y f i n a l l y , b ya n a l y z i n gt h es y s t e mc o n s u m p t i o nm o d e la n dc o m p a r i n gt h et w or a t e s ，g e t sa r e s u l tt h a tt h eo p t i m i z e ds y s t e mm o d e lc a ne n h a n c et h ep e r f o r m a n c eo ft h ea a as y s t e m k e yw o r d s ：a a a ，d i a m e t e r , m o b i l ei p v 6 ，a r ，h a ，n a i 南京邮电大学硕士研究生学位论文缩略语 缩略语 缩写英文全称中文全称 a a aa u t h e n t i c a t i o na u t h o r i z a t i o na c c o u n t i n g认证、授权、计费 a a a ca a ac ：l i e n ta a a 客户端 a a a ha a ah o s ts e r v e r家乡域a a a 服务器 a a a va a av i s i ts e r v e r访问域a a a 服务器 a a a f f o r e i g n d o m a i naa as e r v e r外部域a a a 服务器 a m aa a m o b i l e n o d e a n s w e rm n 认证授权应答 a m r a a m o b i l e - n o d e r e q u e s tm n 认证授权请求 a ra c c e s s1 o u t e l 接入路由器 a r a a a r e g i s t r a t i o n - a n s w e r a a a 注册请求应答 a r r a a r e g i s t r a t i o n r e q u e s ta a a 注册请求 斟pa t t r i b u t ev a l u ep a i r 属性值对 b u b i n g d i n gu p d a t e 绑定更新 b ab ua n s w e r 绑定更新确认 c n c o r r e s p o n d e n tn o d e 通信对端 c o ac a r e o f a d d r e s s 转交地址 f a f o r e i g na g e n t 外地代理 h ah o m ea g e n t 家乡代理 h o a h o m e - a g e n t - m i p v 6 - - a n s w e r家乡代理m i p v 6 应答 h o r h o m e - a g e n t - - m i p v 6 - - r e q u e s t家乡代理m i p v 6 请求 m s a m o b i l i t ys e c u r i t ya s s o c i a t i o n移动安全关联 m nm o b i l en o d e 移动节点 n a in e t w o r ka c c e s si d e n t i f i e r 网络接入标识符 r a d i u sr e m o t ea u t h e n t i c a t i o nd i a li nu s e rs e r v i c e 远程拨入用户认证服务 s p i s e c u r i t yp a r a m e t e r si n d e x安全参数索引 v 南京邮电大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及研究成果。尽我 所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的 研究成果，也不包括为获得南京邮电大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本文研究所做的任何贡献均以在论文中作了明确的说明并表示了 谢意。 研究生签名：4 日期：盈删 南京邮电大学学位论文使用授权声明 南京邮电大学、中国科学技术信息研究所、国家图书馆有权保留本人所交学位论文的 复印件和电子文档，可以采用影印、缩印或其他复制手段保存论文。本人电子文档的内容 和纸质论文的内容相一致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公 布( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权南京邮电大学研究 生部办理。 研究生躲缸犁导师签名蜀燧 期：雄， 南京邮电大学硕士研究生学位论文第一章引言 第一章引言 1 1 研究背景介绍 随着移动网络的发展，m i p v 6 将逐步取代m 口v 4 成为下一代移动网络通信技术标准【l 】。 新的网络技术对用户的a a a 要求也越来越复杂，目前广泛应用的a a a 技术卅a d u i s 协议由于本身的限制不能很好地支持m i p v 6 技术，尤其不能提供在不同域之间建立信任关 系的机制。随着用户的大量增加以及不同域之间对切换速度和性能要求的提高，迫切需要 新的a a a 协议【2 】。i e t fa a a 工作组在9 0 年代末开始设计下一代a a a 协议_ d i a m e t e r 协议，在作了大量的研究工作之后于2 0 0 1 年6 月，正式提出将d i a m e t e r 协议作为下一代 钆认协议标准。d i a m e t e r 协议包括基础协议和扩展应用，其扩展应用中包括对移动性的扩 膨3 1 ，随着m i p v 6 技术的发展，其m i p 应用越来越受到重视。 d i a m e t e r 协议保持了与r a d u i s 协议的兼容，并克服了r a d u i s 协议在接入用户数量 和不支持域间漫游方面的不足。文献 3 】论述了d i a m e t e r 基础协议以及协议的多种扩展应 用，在这些扩展中论述了d i a m e t e r 协议在m i p 中的应用，并规定了应用的技术以及需要 的a v p 格式。文献 4 将d i a m e t e ra a a 功能成功地应用到m i p v 4 系统中。i e t f 也推出了 一系列的草案：草案 5 】主要讨论了d i a m e t e r 协议在m i p v 6 中支持网络接入服务；草案【6 】 主要论述了h m i p v 6 中d i a m e t e r 协议的a a a 应用；草案 7 】全面地讨论了m i p v 6a a a 技 术。不断提出的草案和r f c 文档，从不同的方面讨论和研究d i a m e t e r 协议在m i p v 6a a a 应用中需要解决的技术问题。此外，还有许多科研机构和公司也在致力于d i a m e t e r 协议在 无线环境下的应用，以及丸认协议等方面的研究。f u n ks o f t w a r e 公司比较了所有a a a 协议，而文献 8 】论述了在无线网络环境下基于口的r a d i u s 协议应用，分析了r a d i u s 协议的优势和不足。h e w l e t t p a c k a r d 公司也很早提出了关于d i a m e t e r 协议的a a a 应用， 文献 9 】介绍了d i a m e t e r 协议，并提出了在无线m i p v 6 环境下应用的观点。 国内对新一代m i p v 6a a a 协议的研究比较晚，有些大学、科研机构和运营商也已经 开始了对d i a m e t e r 协议的扩展应用研究。北京邮电大学成功地实现了在i m s ( i pm u l t i m e d i a s u b s y s t e m ，多媒体子系统) 中对d i a m e t e r 协议的扩展应用。中通思普科技公司也j 下致力 于s i p 和d i a m e t e r 协议的结合。中科院计算机信息网络室、中国i t 实验室、j u n i p e r 网络 公司等都在研究d i a m e t e r 协议的各种应用。吉林大学提出在没有外地代理的条件下，如何 斛决在d i a m e t e r 协议m 1 p v 6a a a 系统中可靠地传输a a a 信息i 。文献11 对a a a 的各 种叻、议进行了比较，提出在m i p v 6 下，d i a m e t e r 协议将成为新一代a a a 阱议标准。 南京邮电大学硕士研究生学位论文第一章引言 1 2 研究目的 为解决无线网络发展带来的安全问题，根据i e t f 等机构对m i p v 6 执系统的发展要 求【1 2 】，针对当前移动网络中的a a a 问题，本文研究的主要目的是： ( 1 ) 分析相关a a a 、m i p v 6 协议以及d i a m e t e r 协议在m i p v 4 系统中的应用，得出r a d i u s 协议不能够很好地应用在m i p v 6 系统中以及不能够简单地将d i a m e t e r 协议移植到 m 口v 6 下的结论： ( 2 ) 通过优化m m v 6 础蛆系统的草案模型，针对m 口v 6 的特点，提出优化的系统模型， 并设计系统中各个模块的功能； ( 3 ) 在优化的系统模型下，在l i n u x 下，基本实现基于d i a m e t e r 协议的m i p v 6a a a 系统 中，实现m n 的绑定更新和认证授权过程； ( 4 ) 通过性能分析，根据系统的性能消耗比，优化的基于d i a m e t e r 协议的m 口、，6a a a 应 用系统模型能够提高m i p v 6a a a 系统的性能。 1 3 本文的组织形式 第1 章引言：对本文的研究背景以及研究目的做出简要性说明，得出研究将d i a m e t e r 协议应用在m i p v 6a a a 系统中的必要性。 第2 章相关研究：主要介绍了m i p v 6 的相关技术以及a a a 技术的发展过程，简要介 绍了现有的a a a 协议。分析了在移动环境下，r a d i u s 协议的缺点，从而引入d i a m e t e r 协议，以适应m i p v 6 环境的要求，并比较了这两种协议的优势和不足。 第3 章d i a m e t e r 基础协议和关键技术：主要论述了d i a m e t e r 基础协议以及协议中的 关键技术，详细描述了d i a m e t e r 协议中的各种数据结构以及管理技术。 第4 章基于d i a m e t e r 协议的m p v 6a 从系统优化模型：介绍了基于d i a m e t e r 协议 的m i p v 6a a a 应用系统模型，提出了本文优化的系统模型。在此模型下，扩展了a r 以 及改进m i p v 6h a 功能，修改相关数据机构以及设计计费、密钥分发过程，并使用p r o c 文 件、s kb u f f 结构以及l i n u x 提供的n e t f i l e t e r i p t a b l e s 软件实现控制内核和用户空间的通信 过程，实现m n 的绑定更新和认证过程。 第5 章基于d i a m e t e r 协议的m i p v 6a a a 系统实现：介绍了系统实现的网络硬件以及 软件平台。改进m i p v 6m n 的数据结构，设计主要的a v p 。基本实现基于d i a m e t e r 的m i p v 6 a a a 系统，并通过分析系统消耗模型证明优化的模型具有更好的系统性镝皂。 第6 章结束语：对本文做出了总结，并指出下一步要做的二 作。 南京邮电大学硕士研究生学位论文第二章相关协议研究 第二章相关协议研究 2 1 移动i p v 6 概述 作为下一代移动网络的核心技术，m i p v 6 技术已经越来越显示出它强大的优越性。 m i p v 6 使得m n 在改变位置和地址的时候保持现有通信的连接，达到这一目标不是通过修 改面向连接协议，而是通过处理口层地址来实现。m i p v 6 支持口层以上各层的透明性， 包括对传输层会话的维护。 m w v 6 ”】主要实体有m n 、c n 、a r 、h a 等。m n 在家乡链路上使用本地子网前缀创 建家乡地址) ，当m n 移动到外地网络时，会不断地发送路由器请求代理通告，并同时收 n j b 地网络广播的路由代理请求通告，然后m n 使用外地子网前缀创建转交地址( c o a ) ， 此地址将用于在外地网络时与c n 的通信。 当m n 处于家乡链路时，c n 发送给m n 的消息由h a 转发来进行通信。当m n 移动 到外地网络时创建c o a 并向h a 注册。m n 可以同时拥有多个c o a ，但是只有一个c o a 可以在h a 中注册为主c o a ，注册c o a 的消息称为绑定更新( b u ) 消息。h a 收到b u 之 后向m n 回复绑定更新确认( b a ) 消息，同时与m n 建立安全反向隧道，用于转发m n 离开家乡网络后c n 发送给m n 的数据分组。另一种传输模式称为路由优化模式【1 4 】，在这 种模式下m n 向h a 注册c o a 的同时也向c n 进行注册。该模式是通过执行路由可达过程 检测以授权建立，但c n 没有收到m n 的b u 之前，c n 仍然通过h a 与m n 进行通信。 m i p v 6 也提供多个h a 支持，使用动态家乡代理发现机制。在本文中m n 只涉及一个 h a ，m n 可以动态地发现其家乡链路上h a 的地址，因此并没有对多个h a 的情况进 行深入研究。m p v 6 使用移动报头( m h ，m o b i l eh e a d e r ) 定义新的i p v 6 协议，m h 中携带 的消息有：家乡测试初始消息、家乡测试、转交测试初始、转交测试，绑定更新、绑定更 新确认、绑定更新刷新请求、绑定更新错误。 2 2 移动环境中丸讼相关协议概述 2 2 1a a a 协议综述 随着移动网络的发展，用户希望能够在不同厂商提供的网络间漫游，获得网络服务和 网络资源。为了合理地利用各种网络资源以及提供统一的接入方式，a a a 协议组将网络上 的各种砹备联合起来，实现对各种网络资源的合理利刚。 a a a 咖议i l 5 j 组是代表认汪、授权和汁费的组协议，川丁、证州j 身份、数抓 分组 网络资源和j 管理网络资源、提供计费信，自、等。且体i i - i r ： 南京邮电大学硕士研究生学位论文第二荦相关协议研究 ( 1 ) 认证 当用户要访问网络资源时，需要提供自己的身份，将唯一标识自己身份的信息发送给 认证服务器。认证服务器根据用户的身份信息检索用户信息数据库，如果存在当前请求的 用户信息时，返回一个认证成功的消息，然后将网络资源分配给用户，不存在就回送认证 失败的消息。在认证过程中，信息的传递可以使用安全的加密机制和安全协议来保证信息 的正确性、完整性和有效性。 ( 2 ) 授权 当用户的身份得到成功认证之后，用户就会以特定的方式使用网络资源。在这一过程 中，网络服务器就会根据用户申请访问网络的请求，提供用户访问网络的特定权限和能够 拥有的业务( 例如，获得口地址) 。 ( 3 ) 计费 网络认证系统会收集并记录用户使用的网络资源，对用户使用的网络资源进行管理， 可以合理地利用网络资源，便于审计等。由于i s p 提供服务的多样性，各种计费的方式也 有所不同。 随着a a a 协议的发展，i e t f 工作组不断推出了a a a 协议来满足网络发展和用户的 需要。当前使用的a a a 协议有r a d i u s 和d i a m e t e r 协议，早期还有t a c a c s + ，k e r b e r o s 协议等，本文主要介绍k e r b e r o s 、r a d i u s 和d i a m e t e r 协议。 2 2 2k e r b e r o s 协议 k e r b e r o s 协议最初由美国麻省理工学院提出并实现，发展到今天一共经历了5 个版本。 k e r b e r o s 协议基于私钥加密算法，需要信任的第三方作为认证服务器。在通信中需要验证 实体的身份，能够防止旁听和重放等攻击，并且确保通信数据的保密性和完整性。 k e r b e r o sv 5 1 6 1 认证协议的工作过程简单地描述如下：客户机作为特定服务器向a s ( a u t h e n t i c a t i o ns e r v e r ，认证系统) 发送“c r e d e n t i a l s ”请求，然后a s 会响应这些在客户 机密钥中加密的c r e d e n t i a l s ，一个c r e d e n t i a l s 由2 部分构成，服务器“t i c k e t ”和一个临时 加密密钥。另外k e r b e r o s 也是一种用于维护多k e r b e r o s 数据库的备份协议。 2 2 3r a d i u s 协议 r a d i u s 5 7 1 协议消息，格式如图2 1 所示，使用u d p 承载，因此其a a a 信息的传输 存在不安全性。r a d i u s 协议在n a s ( n e t w o r ka c c e s ss e r v e r ，网络接入服务器) 和i 远程 网络服务器之开j ，为用户提供认证、授权柑汁费服务。设汁的最例r i 【，l ，j 砬删, - i i 足川户在拨号 i 删络中的a a a 服务需求。随着移动网络的发展，r a d i u s 叻议也在移动网络a a a 中应用。 4 南京邮电大学硕士研究生学位论文第二章相关协议研究 012l3 l4l5l6 l7 8l9 l0 l1 2 l3l4l5 6i7i8l910 l1i2 3f4 5l6izi8l9l0 i1 代码标志长度 认证码 应用标志i d 数据 图2 一lr a d i u s 协议消息格式 r a d i u s 基础协议用在拨号中的丸认过程如下：首先用户通过m o d e m 呼叫n a s ， n a s 收到呼叫后，将用户的信息( 例如用户名、密码等信息) 向远程r a d i u s 服务器发送 用户信息服。然后，r a d i u s 服务器检查用户的身份，如果用户身份合法，r a d i u s 服务 器就向n a s 发送用户的接入请求应答。应答消息中包含了用户可以使用的网络资源以及 拥有的权限。在此过程中，n a s 担任了r a d i u s 客户端的功能。r a d i u s 客户端与服务器 之间通过共享一个密钥的方法保证传输消息的安全和可靠性，并使用m d 5 算法对用户密 码进行加密。 r a d i u s 可以应用在移动网络环境中，但没有提供不同域之间的信任关系机制。虽然 可以通过一种简单的方式达成某种一致或通过对r a d i u s 服务器进行分级，以减少共享密 钥的数量，在服务器之间建立信任关系；或者采用经纪人体系结构，每个域都与第三方服 务器建立信任关系；或者在d n s 中增加主机的数目来增强r a d i u s 对移动口的支持，但 是由于r a d i u s 协议本身的限制，这些方法都存在严重的安全隐患。 在下一代网络中，r a d i u s 已经不能够满足a a a 的要求。因此，i e t fm 作组将d i a m e t e r 协议作为下一代网络的a a a 协议标准。 2 2 4d i a m e t e r 协议概述 d i a m e t e r 3 协议是一组协议，由基础协议、传输协议和扩展协议组成，具体结构组成 如图2 2 所示。 隆i2 2d i a m e t e r 协议结构 d i a m e t e r 协议使用安全的传输肋，议( t c p s c t p ) 承载消，f 鲁, f l ：j 传递，能4 j 孙i i 足移动- 眦的 要求，支持域间漫游，具有很好的安全性能和传输性能。通过提供更大的彩性空问，d i a m e t e r 5 南京郾电大学硕士研究生学位论文 第二章相关协议研究 协议具有更好的扩展和应用，d i a m e t e r 协议可以支持接入的用户数量达到了2 3 2 个，而 r a d i u s 允许接入用户数量最多为2 5 5 个。 d i a m e t e r 基础协议规定了协议消息格式、对等传输、消息处理、会话管理、错误处理、 计费业务和安全技术等内容，消息格式沿用了r a d i u s 协议的消息头加属性的格式，所不 同的是在d i a m e t e r 协议中，定义了标识消息和应用类型的命令代码和应用标识符。d i a m e t e r 会话层基于传输层的p e e r 连接，依靠消息路由功能通过各节点的逐跳连接，在d i a m e t e r 客户端和d i a m e t e r 服务器之间建立端到端的会话。d i a m e t e r 协议定义了两种会话业务：授 权会话业务和计费会话业务，分别实现了认证授权和计费服务的功能。 d i a m e t e r 基础协议通过设置代理来扩展网络，针对不同的应用需求，定义新的命令码 和a v p 实现不同的扩展应用功能，目前支持的d i a m e t e r 协议应用标识符如表2 1 示。 表2 1d i a m e t e r 协议应用标志 ! 堑壁：塑罐整焦翼爹? 嚣薯羹弘7 鬈夕鬈，? 警鬻? 影? 零鬻孳篓鬻了：零零雾髯露 茎型协丝in a s r e qlm i p 应用i 计费应用ic r e d i t - c o n t r o l 应用le a p 应用ir e l a y 垒l ! i !l !l 兰l !l 坠! 望! 堡! i d i a m e t e r 协议充分考虑了未来丸蛆服务对安全性、可靠性和移动性方面的需求，构 建基于d i a m e t e r 协议的凡蚣网络，其具有统一、开放、分布和移动性的特点。在2 2 5 节中对r a d i u s 协议与d i a m e t e r 协议的比较中，可以看出d i a m e t e r 协议的突出优点。 2 2 5d i a m e t e r 与r a d i u s 协议比较 通过分析d i a m e t e r 和r a d i u s 协议可知，d i a m e t e r 协议在设计思想上保留了r a d i u s 的可扩展性等优点，与此同时，d i a m e t e r 协议不仅弥补了r a d i u s 协议中的不足，还提供 了符合未来业务需求的全新功能，更适合m i p v 6a a a 系统，r a d i u s 和d i a m e t e r 协议的 体系结构比较如图2 3 所示。 一一一r a d i u s d i a m e t e r -一 r a d l u sb a s e - a u t h e n t i c a t i o ： - a u t h o r i z a t i o n a c c o u n t i n g u d p d i a m e t e rd i a m e t e rd i a m e t e r d i a m e t e r e a pm o b i l ei p v 4c r e d i tc o n t r o l f u r t h e r a p p l i c a t i o na p p li c a t i o na p p l i c a t i o n a p p l i c a t i o n ( e a p m d 5 ， ( e x ，m i p v 6 ， e t c ) s i p ) t l s t l s t c ps c t p t c p s c t p l p i =h e i _ n e t 幽2 - 3r a d i u s 利d i a m e t e r 叻泌的体系 卅埘匕较 r a d i u s 和d i a m e t e r 协议功能特点比较如表2 2 所示，迎j 比较可以看出，d i a m e t e r 忉、议更符合统一、开放、分和式、移动的特点，更好地满足m l p v 6a a a 系统应用要求。 6 t 上 吣一删龇m一忡嘶岫 裟竺 溉艮 呈一 14一j r ，r 南京邮电大学硕士研究生学位论文第二章相关协议研究 表2 - 2r a d i u s 和d i a m e t e r 协议功能特点比较 劾能鞠黥露，：；。j 姒毯弼蘸善鬈，嚣鬻嚣冀荔i 酉i 蔷毒酸嚣器潺露鬈荔瑟鬻：! 辫嚣蘸嚣搿篷雾鬻 采用c s 结构，通过p r o x y采用p e a - t o - p e e r 结构组网，节点为对等p e e r ，明确支持中 网络结构 扩展网络结构 继、r d a 代理、p r o x y 功能 逐跳安全采用预共享密钥 强制支持i p s e c 或t l s 提供p e e r 间的逐跳安全 端到端无 通过提供端到端安全，在会话两端之间建立安全隧道 安 数据安全逐跳的数据保护逐跳和端到端的数据加密，包括数据加密和完整性检验 全 可审计性无法审计 可跟踪消息路由并审计 性 重放攻击不具有免疫性具有免疫性 q o s 攻击 不具有免疫性具有免疫性 传输协议使用u d p 传输协议使用t c p s c t p 传输协议 可f a i l o v e r 无明确规定，各种实现之 明确规定通过应用级w a t c h d o g 机制和p e e r 发现机制支持 靠f a i l b a c k 间不兼容 f a i l o v e r f a i l b a c k 性 会话状态无状态s t a t e l e s s 模式有状态模式，允许服务配置资源和控制会话状态 消息码和属性扩展空间 命令码和属性扩展空间大( 3 2 b i t s ) ，分基础协议和应用扩 可 应用扩展 有限，只允许厂商扩展展，可以通过增加属性应用扩展新的协议 扩 发起消息不支持服务发起消息支持服务发起消息，可以扩展服务器侧的控制功能 展 通过p r o x y 配置扩展网通过p e e r 发现机制动态扩展网络，支持代理、消息路由、 性 网络扩展络，但无法保证网络一致性能协商、端到端安全机制保证扩展网络的一致性，适合 性，扩展规模有限互连网络级扩展 移消息路由 通过p r o x y 实现消息路由 通过代理实现消息路由，分布式配置，扩容方便 动 移动i p无明确规定支持移动i p 通过移动i p 应用明确规定支持移动i p 7 南京邮电大学硕士研究生学位论文第三章d i a m e t e r 基础协议以及m p 应用研究 第三章d i a m e t e r 基础协议以及m i p 应用研究 3 1d i a m e t e r 协议消息格式 d i a m e t e r t 3 】协议的消息的基本格式如图3 - 1 所示。 01 2 i3 14 i5 i6 178 l9 10 1 i i2 i3 i4 l5 l6 i 7 i89 10 1 1 2 3 i4 5 6 i7 8 i9 l 0 11 版本消息长度 命令标言龠令代码 命令标志符 逐跣标志符 端到端标志符 a v 飚 图3 - 1d i a m e t e r 协议的消息的基本格式 版本：1 个字节，必须设置为1 表示d i a m e t e r 协议的的版本号为1 。 消息长度：3 个字节，标识包括头部在内的整个d i a m e t e r 协议的消息的长度。 命令标识位：1 个字节，分配情况如下： r ：请求标识位，l 表示消息为请求消息，0 表示应答消息。 p ：代理标识位，1 表示消息被委托、中继或重定向，0 表示消息为本地进行处理。 e ：错误标识，1 表示协议中有错误，消息为错误消息，在消息中默认值设为0 。 t ：重传标识，1 表示重传请求消息，0 表示消息第一次发送。在f a i l o v e r 中必须将此 位设为1 ，在f a i l b a c k 中此位被设为0 。 r ( 4 b i t s ) ：预留标识。 代码标识位：3 个字节，用来标识消息的类型和与此消息相关的命令，2 4 位的地址 空间由i a n a 分配。 应用i d ：4 个字节，标识消息所属的应用类型。d i a m e t e r 协议的消息头中的标识符 必须与相关a v p 中的应用标识符相同。 逐跳标识符：4 个字节，用于唯一标识某一个连接上的一对请求消息和应答消息。 端到端标识符：4 个字节，唯一标识某一个端到端会话的一对匹配的请求消息和应 答消息，并能够检测到重发的请求消息。 a v p ：用于封装与d i a m e t e r 消息有关的信息。 3 2d i a m e t e ra v p 3 2 1a v p 格式 a v p 用于承载d i a m e t e r 消息卜的a a a 信息、路由、安全性及请求应答配置等信息， 由a v p 头部和数据字段组成，格式如图3 2 所示。 8 南京邮电大学硕士研究生学位论文第三章d i a m e t e r 基础协议以及m i p 应用研究 oii 2 i3j4j5 i6 178 i 9 10 112 i3 i 4 i5 i6 i7 1 8i90 i1 2 3 1 4t56 1 7 8 9 i ! l1 a v p 代码 vmpr ri ri rra v f 长度 v l 驰i o r x 可选) 致据 图3 - 2 a v p 格式 在a v p 数据填充中遵循字边界对齐规则，即每个数据格式为8 b i t 字符类型的a v p 都 必须填充0 ，以使a v p 的长度对齐4 字节的边界，其它类型的a v p 自动对齐，a v p 长度 不包括在填充字段中。 a v p 码：与v c n d o r - l d 一起唯一标识一个属性，1 2 5 5 用于向后兼容的r a d i u s ， 没有设置v c n d o r - l d 的值，包括2 5 6 在内的值用于d i a m e t e r 协议。 a v p 标识： v ：厂商定制标志位，标志a v p 头中是否含有可选的v c n d o r - i d 域。1 表示a v p 代码 属于特定的厂商代码，默认为o 。 m ：强制标志位，l 表示此a v p 必须被强制支持，接收方如果不支持强制a v p ，必须 拒绝接收含有此a v p 的消息；0 表示此a v p 仅为信息a v p ，接收方如果不支持此a v p ， 可以忽略，默认值为1 。 p ：保护标志，l 表示此a v p 使用端到端的机制保护。 r ：保留位，表示此位为预留标志位，默认值为0 。 a v pl e n g t h ：3 个字节，标志包括在a v p 头在内的完整的a v p 的字节长度。 v e n d o r - d ：4 个字节可选的a v p 头元素，仅当为1 时a v p 头中包含此元素，包含 i a n a 分配的“s m i 网络管理专用企业代码”值，i e t f 选定的a v p 中无此元素。 3 2 2a v p 数据类型 d i a m e t e ra v p 数据包含特定的属性信息，其数据类型和长度分别由a v p 码和a v p 长 度字段决定。a v p 数据由基本数据类型和由基本数据类型导出的数据类型组成，如果要定 义新的数据类型，必须通过新的r f c 定义之后才可以使用。 ( 1 ) a v p 的基本数据类型如表3 1 所示。 表3 1a v p 基本数据结构 名称 类型名称类型 o c l e ts i r i n g 字符类型u n s i g n e d 6 46 4 b i t 无符号数 i n t e g e r 3 2 3 1 b j i 整数生! f l o a t 3 2 3 2 b i t 浮点数 i n t c r g e r 6 46 4 b i t 整数魁 f l or a l 6 46 4 b i t 汀点数 u n s i g n e d 3 23 2 b i t 兀符号数g r o t , p e d j w i ) 纠卫! ( 2 ) a v p 导出的数据类型： 南京邮电大学硕士研究生学位论文第三章d i a m e t e r 基础协议以及m m 应用研究 i p a d d r e s s ：p v 4 或i p v 6 地址格式，由字符串型导出； t i m e ：姗( s i m p l e n e t w o r k t i m e p r o t o c o l ，简单网络时间协议) 格式，由字符串导出； u t f 8 s t r i n g ：u t f - 8 编码的字符串，由字符串型导出； d i a m e t e r l d e n t i f y ：f q d n 格式，用来唯一识别一个d i a m e t e r 节点，由字符串导出； d i a m e t e r u r i ：遵循统一资源标识符语法规则，由字符串导出； e n u m e r a t e d ：由3 2 b i t 整数型导出； df i l t e r r u l e ：由字符串导出； q o s f i l t e r r u l e ：由字符串型导出