（通信与信息系统专业论文）基于diameter协议的aaa系统设计及实现.pdf

摘要 基于d i a m e t e r 协议的a a a 系统设计及实现 作者简介：黄岩，男，1 9 7 8 年0 4 月生，师从成都理工大学陈金鹰教授，2 0 1 1 年0 6 月毕业于成都理工大学通信与信息系统专业，获得工学硕士学位。 摘要 认证、授权和计费即( a u t h e n t i c a t i o n 、a u t h o r i z a t i o n 、a c c o u n t i n g ) 是目前网 络的基本功能之一，因此a a a 服务器在电信运营商的业务中占有非常重要的位 置。但是随着最近几年i n t e r a c t 的飞速发展，新引入了多种新的技术，大大增加 了现有网络的复杂性，现在的a a a 协议( r a d i u s 、t a c a c s + ) 已经无法胜任目前 以及今后口网络，尤其是n g n 时代对a a a 服务日益增长的要求。现有的儿认 协议已经不能完全满足网络发展的需要，这就要求一种新的a a a 协议标准， d i a m e t e r 协议就应运而生。d i a m e t e r 协议被i e t f 工作组作为下一代的a a a 协议 标准。在i t u ，3 g p p 3 g p p 2 等国际标准组织中，都已经正式将d i a m e t e r 协 议作为n g n ，w c d m a 和c d m a 2 0 0 0 等未来通信网络的首选a aa 协议。 d i a m e t e r 协议具有可靠的传输机制、故障恢复机制、认证和授权的分离、代 理支持等优点，因此3 g p p 在其定义的3 g 系统中也多处应用了该协议。 本文将对基于d i a m e t e r 协议的地系统的设计与实现进行研究。首先分析 了a a a 的应用现状和未来的发展方向。其次深入研究和分析了d i a m e t e r 协议。 在此基础上进行了a a a 系统的模块化设计，实现了完备的对等节点状态维护机 制、可靠的面向连接的传输机制、灵敏的失败控制和检测机制以及节点间的能力 协商机制，能够使用s q l 语句完成认证、授权和计费的功能，支持和在线计费 系统之间的接口，同时实现固网、w l a n 和移动网络三者的a a a 融合。本文最 后对a a a 服务支持的多个d i a m e t e r 命令进行了相关测试。 关键字：a a a 、d i a m e t e r 、认证、计费、授权 成都理工大学硕士学位论文 t h e d e s i g n a n d i m p l e m e n t a t i o no f a a a s y s t e m b a s e do nd i a m e t e rp r o t o c o l i n t r o d u c t i o no ft h ea u t h o r ：h u a n gy a h ，m a l e ，w a sb o r ni na p r i l ，19 7 8w h o s e t u t o rw a sp r o f e s s o rc h c nj i n y i n g h eg r a d u a t e df r o mc h e n g d uu n i v e r s i t yo f t e c h n o l o g yi nc o m m u n i c a t i o ne n g i n e e r i n gm a j o ra n dw a sg r a n t e dt h em a s t e rd e g r e e i nj u n e ，2 0 1 1 a b s t r a c t a u t h e n t i c a t i o n ，a u t h o r i z a t i o na n da c c o u n t i n gi so n eo ft h eb a s i cf u n c t i o n so ft h ep r e s e n t n e t w o r k s ot h ea a as e r v e rp l a y sav e r yi m p o r t a n tp o s i t i o ni nt h et e l e c o m m u n i c a t i o n so p e r a t o r s b u s i n e s s b u tw i t ht h er a # dd e v e l o p m e n to f i n t e m e ti nr e c e n ty e a r s ，如删陀a n dl n o r en o w t e c h n o l o g i e sw h i c hg r e a t l yi m p r o v et h ec o m p l e x i t yo fn e t w o r k sa l ei n t r o d u c e d , s ot h ee x i s t i n g a a a p r o t o c o l s ( r a d i u s ，t a c a c s + ) c a l ln o tf u l l ym e e tt h er e q u i r c r n e n t so fc u 玎e n ta n df u t u r ei p n e t w o r k s ，e s p e c i a l l yf o rt h eg r o w i n gd e m a n do ft h en g n e r a sa a as 婀v i c e s t h i sr e q u i r e san e w a a a p r o t o c o ls t a n d a r d ，a n dd i a m e t e rp r o t o c o lw h i c hi sa d o p t e da sn e x t - g e n e r a t i o na a ap r o t o c o l s t a n d a r d sb yi e t f sw o r k i n gg r o u p n g n , w c d m aa n dc d m a 2 0 0 0f u t u r ec o m m u n i c a t i o n n e t w o r ke r eh a v ea l r e a d yt a k et h ed i a m - e t e rp r o t o c o la st h ep r e f e r r e da a a p r o t o c o li n n u ，3 g p p 3 g p p 2i n t e r n a t i o n a ls t a n d a r d so r g a n i z a t i o no t o d i a m e t e rp r o t o c o lh a st h ea d v a n t a g e so fr e l i a b l et r a n s p o r tm e c h a n i s m ，f a u l tr e c o v e r y m e c h a n i s m s ，t h es e p a r a t i o no fa u t h e n t i c a t i o na n da u t h o r i z a t i o n ，p r o x ys u p p o r t ，e t c ，s oi ti su s e d m a n yt i m e si n3 gs y s t e mt h a ti sd e 筋e db y3 g p e ，n l i sp a p e ri sr e s e a r c h e dt h ed e s i g na n di m p l e m e n t a t i o no fa a as o l v i c eb a s e do nd i a m e t e r p r o t o c 0 1 f i r s t l y , i ti n t r o d u c e st h ea p p l i c a t i o ns t a t u sa n dt h ed i r e c t i o no ff u t u r ed e v e l o p m e n to f a a as 硎s e c o n d l y , id e s i g nt h ea a as y s t e m sm o d u l a rb a s e do nt h er e s e a r c h e sa n d a n a l y s i s e st h ed i a m e t e rp r o t o c o lp a r t i c u l a r l yi no r d e rt oa c h i e v eac o m p l e t es t a t em a i n t e n a n c e m e c h a n i s mo fp e e rn o d e s , t h er e l i a b l ec o n n e c t i o n - o r i e n t e dt m u s p o r tm e c h a n i s m , s e n s i t i v ef a i l u r e c o n t r o la n dd e t e c t i o nm e c h a n i s ma n dc a p a b i l i t yn e g o t i a t i o nm e c h a n i s mb e t w e e nt h en o d e s ，w h i c h c a nu s es q ls t a t e m e n tt oa c h i e v et h ef u n c t i o n so fa u t h e n t i c a t i o n ，a u t h o r i z a t i o n ，a c c o u n t m ga n d s u p p o r tt h ei n t e r f a c eb e t w e e nt h eo n l i n eb i l l i n gs y s t e m m e a n w h i l e t h ed e s i g na c h i e v et h ea a a i n t e g r a t i o nw i t l l 矗x e d w l a na n dm o b i l en e t w o r k f i n a l l y , an u m b e ro fd i a m e t e rc o m m a n d s w h i c hi ss u p p o r t e db yt h ea a as e r v i c e sa r et e s t e di nt h i sp a p e r k e y w o r d s ：a a a ，d i a m e t e r , a u t h e n t i c a t i o n ，a u t h o r i z a t i o n ，a c c o u n t i n g i l 第1 章绪论 1 1 本文的研究意义 第1 章绪论 随着近年来3 g 、i n t c m e t 业务的迅猛发展和未来l t e 业务的需求，对执 ( a u t h e n t i c a t i o n 、a u t h o r i z a t i o n 、a c c o u n t i n g ) 系统提出了许多新的要求，比如 要支持m o b i l ei p 、s i p 应用、e a p 应用许多应用扩展，良好的失败机制，安全的 传输保证，各种p r o x y 的支持，安全可扩展的漫游服务等。另外目前我国的三家 电信运营商已经实现全业务运营并且要求实现进行实时控制和实时计费，这样就 要求a a a 系统同时能够支撑固网宽带、w l a n 、移动数据业务并且提供用户信 用控制功能。现有的a a a 协议( r a d i u s 、t a c a c s + 等) 已经不能很好的满足这些 新的要求，因此需要一种新的础蛆协议标准，d i a m e t e r 协议就应运而生。i e t f 采纳d i a m e t e r 协议做为下一代的钆蚣协议标准。因此采用对d i a m e t e r 协议进行 研究并进行舢蛆系统设计和实现很有必要，使之能够很好的满足现有应用系统 并且兼容已有的采用r a d i u s 协议的a a a 系统，支持未来i n t e r n d 、l t e 等业务发 展的需要。 1 2 国内外的研究状况 1 2 1 从a 应用现状 国内运营商合并之前一直是固网和移动网络分开运营的模式，造成了在合并 后存在多套a a a 系统。每种网络中都有一个单独的a a a 系统，这种情况下对 实现统一账户业务存在问题，还需单独建立u d b 系统承担一部分认证功能。随 着业务的快速发展不仅承担了a a a 网元功能，还承担了部分m b o s s 系统功能， 造成部分系统功能重复建设，系统接口复杂，原有的丸从系统的定位已经不明 确。没有针对预付费用户的计费机制，不支持o c s 系统。 1 2 2a a a 未来演进目标架构 现状国内运营商合并之后，原有固网业务与移动网业务的融合将会影响到整 个价值链，推进固网和移动网在多层面的融合( 包括：网络融合、支撑平台融合、 终端融合、多种业务捆绑融合、商业融合等层面) ，是未来网络和业务发展的大 趋势。 成都理工大学硕士学位论文 网络层面的业务接入网关的融合是各种移动、固定网络与业务融合的关键， 也是网络和业务融合的长远发展目标。在口承载层面提供固定和移动业务的统 一承载，提供固定和移动的统一接入认证，应积极推进业务网关的融合，积极探 索和力争实施统一的移动网和固网的资源接入控制策略。针对固网，t i s p a n 提 出了r a c f ( 资源及接纳控制功能) 的统一资源控制架构；针对移动网络，3 g p p 提出了p c c ( 策略和计费控制) 架构。随着移动网络、固定网络的融合，需要 有一个统一的资源控制体系架构以满足用户的业务体验质量。 用户的业务体验，带宽管理是关键，运营商需要实施精细运营，以满足差异 化需求。运营商之间的竞争，不再是传统意义上的宽带竞争，更是全业务、精细 化的宽带资源的管理和多媒体业务能力的竞争。 在未来移动、固网的融合中，融合a a a 演进目标架构如图1 1 所示： 图1 - 1融合a 从演进目标构架 1 ) h s s a a a 为统一的接入认证、授权、计费信息采集存储平台，与具体 的接入方式无关。 2 ) 应用层认证功能的增强：支持a f 应用层业务的认证功能。a f 提供应用 业务，这些业务需要动态策略和计费控制。a f 通过r x 参考点，传送p c r f 需 要的动态会话信息。 3 ) 动态授权功能的演进：通过p c r f ( p o l i c y c h a r g i n gr u l e sf u n c t i o n ) 提 供面向策略与计费执行功f i 皂( p c e f ) 的有关业务数据流的检测、门控、q o s 和按流 计费( 信用度管理除外) 的网络控制功能。p c e f ( p o l i c y & c h a r g i n ge x e c u t i o n 2 第1 章绪论 f u n c i t o n ) 包含业务数据流检测、策略执行和基于流的计费功能。此功能实体位 于网关中( 在c 网中是p d s n ，在固网中是b r a s ) 。 4 ) 预付费功能剥离：预付费功能剥离到o c s 系统，实现实时计费功能。 1 2 3a 从认证功能演进 图卜2 从a 认证功能演进图 的i c p 提供 能) a 从认证功能演进如图1 2 所示，首先是进行移动分组域和固网x d s l 的 凡认融合，然后是移动电路域和i m s 业务通信并进行a a a 融合，随后演进到 h s s ( h o m e s u b s c r i b e rs e r v e r ) 模式并和u d b 系统u a m 系统进行融合，最终演进 到为其它i c p 提供功能。 固网业务、移动业务的融合，要求运营商提供完善统一的用户管理、身份鉴 别、计费以及业务平台。 分离的a a a 系统难以满足融合业务的需求，需建立融合a a a 搭建统一的 用户接入认证、授权及计费信息采集平台。 i m s 是3 g p p 在r 5 版本中提出的支持i p 多媒体业务的子系统，是一种基于 全i p 分组传送的与接入无关的网络架构。由于i m s 网络架构不仅定义了业务的 技术实现方式，还充分考虑了运营商的网络管理和运营需求，i m s 不再单纯是移 动网的一个子系统，它已经延伸到固网，成为固网和移动网在控制层的融合点。 固定运营商希望通过i m s 融合固定接入网络和移动接入网络，向网络融合和 n g n 迈进。 i m s 引入了h s s ( h o m es u b s c i r b e rs e r v e r ，归属用户服务器) 功能实体，它 3 成都理工大学硕士学位论文 是i m s 系统的数据中心，存放用户的认证信息、用户的业务信息、用户的漫游 信息等等，h s s 也具备a a a 功能。h s s 易于网络演进、网元融合和管理；利于 新业务引入和业务融合；可提供便利的数据挖掘和分析能力，借助数据融合，产 生融合或便捷业务，运营商从融合数据应用中重新得到网络、用户、业务的控制 权，避免沦为“管道”，提升原始数据的商业价值。 1 2 4a a a 授权功能演进 随着下一代宽带网络向i p 化的方向发展，业务提供面临着q o s 的问题，用 户的需求存在着巨大的差异性，对同一个业务的质量要求不尽相同。当q o s 发 生变化的时候，应能够及时地选择相应的计费方式，实现真正的动态、精确计费。 运营商为了保持在价值链中的主导地位，避免被管道化，迫切需要能够感知网络 中的各种业务，实现对业务流和内容的识别，在业务数据流级别实施门控制、 q o s 控制以及计费控制。 h s s a a a 、a f ( 应用) 和p c r f p c e f 、o c s 共同实现策略及计费控制架 构，融合的策略控制和计费操作能够合并到同一个流程中完成，从而大大地减少 系统所需传递的信令数量，提高系统的时延性能。同时，提供策略控制与计费的 信息交互，可以为运营商提供根据q o s 、策略控制进行计费的强大手段。 策略和计费控制规则有两种：动态规则和预定义规则。动态规则是由p c r f 通过g x 参考点动态提供给p c e f 的。而预定义规则，是由运营商直接配置在 p c e f 中，并只被p c r f 参考。动态配置流程主要是a f 通过与p c r f 建立应用 会话来动态提供计费策略，p c r f 再通过d i a m e t e r 协议消息动态下发给p c e f 执行。 动态策略控制在用户接入认证、应用层认证时，支持动态策略控制的推、拉 模式。 1 2 5a 从计费功能演进 持事件计费。事件计费可以定义计费元素，使得计费引擎按照定义规则进行 计费处理，最大限度地保障计费因需求而变，适应各种全业务商业模式环境；其 次，要支持面向对象的计费管理。客户、账户、产品、定价( 资费) 可以独立的管 理，并根据营销计划，能够灵活地将它们关联起来，形成新的订购计划；同时要 支持预付费和后付费。在一个计费平台实现预付费和后付费客户在产品、余额、 资费与优惠方面的共享，并能够根据市场需要进行计费模式切换，实现真正的预 付后付融合计费；此外，要支持可定义的计费单位。能够支持对计费单位的灵活 定义，可以按照定义的计费单位来计费。 4 第1 章绪论 晤司 i _ j 网 ij i j 口； j 口l l j 口i l j 口l l j 口l； j 口l l 一l j 困l 、 ii 一 l ： 、 ：_研内墨廿研! 、 ! l h i 、 - l ：- ji 、 i _i 、：l 按业务区分的组合方式计列： 、- l i 一l l 一! ：竺竖一il 臣豆回ll 一一一一一一一 ：_ _ ji 、：；l；l!ilji口l 图1 - 3 a 计费功能演进图 融合a a a 作为统一的计费采集和存储平台，应能识别网络中的各种业务， 实现对业务流和内容的识别，支持按内容计费及按业务区分的组合方式计费。支 持按帐号、帐号组的计费关联，支持反向计费，如图1 3 所示。 1 3 论文的组织与安排 第1 章、绪论即本章，对论文的背景及问题的引入进行了简单介绍，然后主 要a a a 国内外研究的历程与现状，最后描述论文的组织与结构。 第2 章、从系统结构、功能、定义方面对d i a r n 积协议进行了介绍。 第3 章、重点介绍了a a a 系统软件的设计和实现的具体过程。内容包括软 件总结框架和流程设计，关键部分详细设计和具体的实现过程。 第4 章、重点介绍了认证、授权、计费的设计和具体实现进行了详细的阐述， 特别设计了认证、授权、计费功能由s q l 语句来实现，并给出了具体的方法。 第5 章、测试结果，本章首先介绍了测试方法，然后使用模拟对等节点客户 端对a a a 系统发送各种消息，然后根据返回的消息来证明a a a 系统能够实现 认证、授权、计费的功能。 最后分别给出论文的总结及展望、参考文献、致谢、以及攻读硕士期间取得 学术成果。 5 成都理工大学硕士学位论文 第2 章d la m e t e r 协议介绍 本章对d i a m e t e r 协议的特点、机制和具体定义进行了阐述。本a 从系 统是完全基于d i a m e t e r 协议进行设计的，在设计中要充分发挥d i a m e t e r 协议的 特点，并且必须完全遵守d i a m e t e r 协议的规定，所以在本章对d i a m e t e r 协议进 行了详细的介绍。 2 1 d i a m e t e r 协议特点 d i a m e t e r 系列协议是新一代的丸蛆技术。在i t u ，3 g p p 3 g p p 2 等国际标 准组织中，都已经正式将d l w e t e r 协议作为n g n ，w c d m a 和c d m a 2 0 0 0 等未来通信网络的首选a a a 协议。现在的a a a 协议已经无法胜任目前以及今 后妒网络，尤其是n g n 时代对a a a 服务日益增长的要求。因此i e t f 着手开 发了下一代a a a 协议d i a m e t e r 协议，以期解决现在a a a 服务中存在的一些问 题。d i a m e t e r 的设计目的是创建一个能够充分满足目前乃至今后l p 网络( 包括 n g n 以及3 g 等等) 用户访问控制要求的a a a 协议。包括以下特点： 1 ) 具有良好的网络适应性和可扩展性； 2 ) 统一且良好的失败控制和检测机制； 3 ) 完整的传送层安全保i i e ( 包括域内和域间) ； 4 ) 数据传输可靠性保证机制； 5 ) 支持各种类型的代理，包括p r o x y 代理、重定向代理以及中继代理等： 6 ) 支持服务器发起的消息，即允许服务器主动发送消息给其客户端； 7 ) 与现有网络协议的良好可互操作性； 8 ) 支持节点间的能力协商机制： 9 ) 支持动态对等端发现和配置机制； 1 0 ) 支持安全和可扩展的漫游。 d i a m e t e r 协议( 直径，意味着是t l 4 d i u s 协议的升级) 包含基础协议、传 送协议、不同的应用扩展，如n a s r e q 和移动i p 等。所有应用和服务共用的基 本功能都在基础协议中实现，而应用特定的功能则会在不同的应用中实施。 d i a m e t e r 基础协议旨在提供一个a a a 框架，以用于各种应用。基础协议还定义 了所有d i a m e t e r 应用使用的，并且所有d i a m e t e r 设备都必须支持的消息格式、 传输、差错报告和安全服务。 d i a m e t e r 协议是一个框架式协议，它包括基础协议和应用扩展，如移动i p 和网络接入服务( n a s r e q ) 。全部应用的公共部分由基础协议实现，如：d i a m e t e r 协议格式、公共a v p 属性、计费等。特定的功能应用在不同的应用中实现，如： 6 第2 章d i a m e t e r 协议介绍 认证、授权、s i p 、e a p 等。d i a m e t e r 协议框架由2 1 图所示。 2 2 di a m e t e r 协议规定 图2 _ 1d i a m e t e r 协议框架 d i a m e t e r 基础协议为认证( a u t h e n t i c a t i o n ) 、授权( a u t h o r i z a t i o n ) 、计 费( a c c o u n t i n g ) a a a 协议的应用提供一个基本的框架。规定了所有d i a m e t e r 应用需要使用的消息格式、传输方式、错误报告、计费和安全服务 1 】。d i a m e t e r 基础应用需要被所有d i a m e t e r 应用支持。 d i a m e t e r 基础协议提供下列能力： 1 ) a v p s ( a t t r i b u t ev a l u ep a i r s ) 属性值传递 2 ) 协商能力 3 1 错误通知 4 ) 扩展性，通过增加新的命令和a v p s 属性实现 5 ) 提供应用必须的服务，例如：用户回话和计费信息的处理 d i a m e t e r 基础协议仅仅提供丸认协议的最低要求。基础协议只能直接用于 计费应用，对于认证和授权的功能可以通过应用扩展来完成。d i a m e t e r 基础协议 可以和其他d i a m e t e r 应用扩展一起被使用，比如移动i p 或网络接入。基础协议 也可以通过增加新的a v p s 属性在新的应用扩展中使用。d i a m e t e r 扩展应用提供 d i a m e t e r 基础协议没有提供的功能。 2 1 1 d i a m e t e r 协议格式 7 成都理工大学硕士学位论文 012 3 01234567890123456789012345678901 + 一+ + 一+ + + + + 一+ 一+ + 一+ 一+ 一+ + + + + 一+ + 一+ 一+ 一+ 一+ + 一+ 卜一+ 一+ 一+ 一+ 一+ 一+ i v e r s i o n i m e s s a g el e n g t h i + 一+ 一十一+ 一+ 一+ 卜+ 一+ 一十卜h 十h 一+ 十+ + + + 一+ 一十一+ 一+ 一+ 一+ 一十一十一+ 一十一+ c o m m a n df l a g s c o a n d - c o d e i + 一+ 一+ 一+ 一+ + 一+ 一+ 一+ 一+ + 一+ 一+ + + + 一+ + 一+ + 一+ + 一+ + 一+ + 一+ + 一+ 一+ + + + l a p p l i c a t i o n i di + 一+ 一+ 一+ 一+ + + + + 一h 一+ 一h 一+ + + + h 一+ + + 一+ 一+ + + + + 一+ 一+ + + i h o p - b y - h o pi d e n t i f i e ri + 一十一十十- + + 卜十十卜斗- + - + - + 一+ 一+ 一+ 一+ 一+ + 一十一+ + 卜+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ i e n d - t o - e n di d e n t i f i e r l + 一+ 一+ 一+ 卜_ 卜一+ 一+ 一+ 卜。+ h 一+ + 一十十十卜_ 一h + + + + 一+ 一+ 一+ 一+ 一十一十卜+ ia v p s + 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ + 一+ 一+ 一 图2 - 2d i a m e t e r 消息头格式 d i a m e t e r 的消息头格式，如图2 - 2 所示。下面对d i a m e t e r 消息头格式的各个 字节进行描述。 1 ) v e r s i o n 版本 版本字段：1 个字节组成，表示d i a m e t e r 版本。必须设置为l ( 0 0 0 0 0 0 0 1 ) 。 2 ) m e s s a g el e n g t h 消息长度字段：由3 个字节组成，表示d i a m e t e r 消息的长度，包括头字段。 3 ) c o m m a n df l a g s 命令标记字段：由1 个字节组成。 命令标记字段的各个比特代表的意义如如图2 3 所示。 r ( e q u e s t ) - 如果设景，表示此消息是r e q u e s t 。如果为零，表示此消息是o a - l s w e l r 。 p ( r o x i a b l e ) 如果设置，表示此消息是代理、中继或者重定向消息。如果为零， 表示此消息是本地消息。 e ( r r o r ) - 如果设置，表示此消息包含了一个协议差错，并且此消息不符合 a b n f 对。 此消息的描述。通常带有此字节的消息作为错误消息处理。 t ( p o t e n t i a l l yr e t r a n s m i t t e dm e s s a g e ) + i + i 7 一 r 一i 子 + + 一， 6 l r 卜滟 5 一 r 一 一陪 + + q 4 一 r 一令 + + 一 3 一 t 一厶叩誊 2 一 e 一 + + 1 一 p 一 3 + + 一 0 一 r 一 2 +i+图 第2 章d i a m e t e r 协议介绍 此标记在一个连接失败后被设置，用来帮助删除重复的请求。当重复发送请 求没有不到确认时此标记被设置，由于链路失败指示此消息可能重复。当一个请 求第一次发送时，此标记必须被清除。否则，发送方必须设置此标记。 r ( e s e r v o d ) 这些标记是为未来的使用预留，必须被设置为0 ，接收方应当忽 略。 4 ) c o m m a n d c o d e 命令代码：由3 个字节组成，表示和此消息相关联的命令。命令代码的十六 进制值1 6 ，7 7 7 ，2 1 4 和1 6 ，7 7 7 ，2 1 5 为测试使用预留。表2 - 1 中列出了d i a m e t e r 支持 的命令。 表2 - 1d i a m e t e r 支持的命令 缩写命令名代码 a s r a b o r t s e s s i o n - r e q u e s t 2 7 4 a s aa b o r t s e s s i o n a n s w e r2 7 4 a c r a c c o u n t i n g - r e q u e s t 2 7 1 a c a a c c o u n t i n g - a n s w e r 2 7 1 c e r c a p a b i l i t i e s - e x c h a n g e r e q u e s t 2 5 7 c e a c a p a b i l i t i e s - e x c h a n g e - a n s w e r 2 5 7 d w r d e v i c e w a t c h d o g - r e q u e s t 2 8 0 d w a d e v i c e - w a t c h d o g a n s w e r 2 8 0 d p r d i s c o n n e c t p e e r - r e q u e s t 2 8 2 d p ad i s c o n n e c t p e e r - a n s w e r 2 8 2 r a r r e - - a u t h r e q u e s t 2 5 8 r a ar e a u t h a n s w e r 2 5 8 s t r s e s s i o n - t e r m i n a t i o n - - r e q u e s t 2 7 5 s t as e s s i o n t e r m i n a t i o n a n s w e r 2 7 5 a a r a a r e q u e s t 2 】 2 6 5 r 1 a a aa a a n s w e r t 纠2 6 5 r a r r e a u t h r e q u e s t 2 】 2 5 8 r a ar e - a u t h a n s w e r 2 】 2 5 8 s t r s e s s i o n t e r m i n a t i o n - r e q u e s t t 2 】 2 7 5 s t as e s s i o n t e r m i n a t i o n a n s w e r t 2 】 2 7 5 a s r a b o r t s e s s i o n r e q u e s t 【2 】 2 7 4 a s aa b o r t s e s s i o n a n s w e r l 2 】 2 7 4 c c r c r e d i t c o n t r 0 1 r e q u e s t 3 】 2 7 2 c c ac r e d i t c o n t r 0 1 a n s w e r t 3 】2 7 2 5 ) a p p l i c a t i o n - i d 应用i d ：由4 个字节组成，该字段用来指示此消息是适用于那个应用。应 9 成都理工大学硕士学位论文 用可以是认证应用、计费应用或者是设备厂商自己定义的应用。应用i d 标记必 须和包含在消息中的a v p s 属性是相匹配的。 6 ) h o p - b y - h o pi d e n t i f i e r 逐跳标识符：逐跳标识符是一个无符号3 2 比特整数型字段，目的是为了帮 助匹配请求和响应。发送者必须保证在任何时问的一个特定连接上的请求消息中 的逐跳标识符是唯一的，并且保证重新启动后此号码仍是唯一的。一个应答消息 的发送者必须确保逐跳标识符字段中的值和对应的请求消息中包含的值一致。逐 跳标识符在正常情况下是一个单调增加的数字，它的开始值是随机产生的。收到 一个带着不能识别的逐跳标识符应答消息必须被丢弃。 7 ) e n d t o - e n di d e n t i f i e r 端到端标识符：端到端标识符是一个无符号3 2 比特整数型字段，目的是为 了检测重复的消息。重新启动可以设置高位1 2 比特去包含当前时间的低位1 2 比特，同时低位2 0 比特设置为一个随机数。请求消息的发送方必须插入一个唯 一的标识符，此标识符的值必须在保持本地唯一并且至少4 分钟时间，甚至通过 重新启动。一个应答消息的发送者必须确保端到端标识符字段中的值和对应的请 求消息中包含的值一致。端到端标识符不能被任何类型的d i a m e t e r 代理修改。此 标识符字段和a v p s 中的源主机属性组合去检测此消息是否重复。重复请求消息 引起应答消息被发送，当初始请求被处理时它应当不影响任何状态。能够被本地 处理的重复应答消息应当被静默丢弃处理。 8 ) a 汗s a v p ( a t t r i b u t e v a l u ep a i r ) ：a v p 是一个封装和d i a m e t e r 消息相关的信息的方 法。 ol23 o1234567890l23456789012345678901 + 一+ 一+ 一+ 一+ + 一4 - - + 一4 - - 4 - - 4 - - + 一+ + + 一+ 一+ + 一+ + 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ a v pc o d e l + + 一+ - - + - - + + 一+ + 一+ + h 一+ 一+ + 一+ 一+ 一+ - + - + - + - + 一+ - 4 - - + 一+ - + - - + - 4 - - + 一+ 一+ 一+ i vmprrrrr l a v pl e n g t h l + 一+ 一+ 一+ 一+ 一+ 一+ 一+ + 一十一+ 一+ 一+ + 一+ + 一+ 一十一+ + 一+ 一+ 一+ 一+ 一+ 一+ + 一十一十一+ + + 一十 i v e n d o r - i d ( o p t ) l + 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ + 一+ 一+ 一+ 一+ 一+ 一4 - - 4 - - + + 一+ 一+ 一+ 一+ - 4 - - + - + 一+ 一+ 一+ 一+ 一+ 一+ i d a t a + 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ 图2 _ 4a v p 头格式 a v p 头格式，如图2 - 4 所示。下面对a v p 头格式的各个字节进行描述。 1 0 第2 章d i a m e t e r 协议介绍 a ) a v p c o d e a v p 编码：和厂商i d 字段组合定义此属性是唯一的。a v p 编码1 到2 5 5 是 为兼容之前的r a d i u s 协议保留，没有设置厂商i d 字段。a v p 编码2 5 6 及其以 上是由d i a m e t e r 协议使用。 b ) a v pf l a g s a v p 标记：此字段提示接受者对接收到的每一个属性怎么处理。r ( r e s e r v e d ) 比特是未使用的，并且应该被设置为0 。提示后来的d i a m e t e r 应用可以在这个 a v p 头中定义附加的比特，不认识的比特应该被认为是错误的。p 比特指示为了 保证端到端的安全需要加密。 m 比特，被认为是强制比特。它指示是否支持此a v p 它都是被要求的。如 果带着m 比特的a v p 属性被d i a m e t e r 客户端、服务端、代理或者传输代理接收， 此a v p 属性或者它的值不能被认知，此消息应该被拒绝。d i a m e t e r 中继和重定 向代理不必拒绝带有未知的a v p s 属性的消息。 v 比特，被称为厂商定义比特，指示是否厂商i d 字段选项被包含在此a v p 头中。当此比特设置时，a v p 编码必须是属于指定厂商编码的地址空间。 除非另外的注释，a v p s 将使用下列的缺省a v p 标记字段设置。 m 比特必须被设置，v 比特不必被设置。 c ) a v pl e n g h a v p 长度：a v p 长度字段是由3 个字节组成，指示a v p 属性包括多少字节， 包括a v p 编码、a v p 长度、a v p 标记、厂商i d 和a v p 值。如果收到的消息中 带有无效的长度属性，此消息应当被拒绝。 d ) v e n d o r - i d 厂商i d ：此字段是一个可选字段。如果在a v p 标记字段内的v 比特被设置， 厂商i d 字段才被携带。这个可选的4 字节厂商i d 字段包含了i a n a 分配的“s m i 网络管理私有企业码”值，已网络字节的顺序编码。任何厂商希望执行特定厂商 d i a m e t e ra v p 属性时必须和他们私有管理的a v p 地址空间一起使用他们拥有的 厂商i d ，保证不会和其他厂商的特定a v p 属性以及未来的i e t f 应用冲突。厂 商d 的0 值符合i e t f 采用的a v p 值，由i a n a 管理。厂商i d 字段的缺失指 示此a v p 不是厂商定义的，执行时不能使用值为0 的厂商d 。 e ) d a t a 数据：此字段可以是0 或者更多的字节组成，它包含特定于属性的信息。数 据字段的格式和长度由a v p 编码和长度字段决定。数据字段的格式必须是下列 基本数据类型之一，或者是从基本数据类型中导出的一种数据类型。 o c t e t s t r i n g 、i n t e g e r 3 2 、i n t e g e r 6 4 、u n s i g n e d 3 2 、u n s i g n e d 6 4 、f l o a t 3 2 、 f l o a t 6 4 、g r o u p e d 。 成都理工大学硕士学位论文 2 1 2 传输机制 d i a m e t e r 基础协议是运行在t c p 和s t c p 传输协议的3 8 6 8 端口、d i a m e t e r 客户端d i a m e t e r 基础协议是运行在t c p 和s t c p 传输协议的3 8 6 8 端口、d i a m e t e r 客户端必须支持t c p 或者s t c p 协议。d i a m e t e r 代理和服务这两种协议都必须 支持。d i a m e t e r 规范未来的版本可以强制要求客户端支持s t c p 协议。 2 1 3 加密机制 d i a m e t e r 客户端( 比如网