DCC协议培训PPT课件

1 DiameterCC协议培训 2008 08许培煜 2 提纲 Diameter协议介绍Diameter电信行业中的应用 3 Diameter协议介绍 Diameter新一代的AAA协议 4 AAA是什么 Authentication 认证 指用户在使用网络系统中的资源时对用户身份的确认 这一过程 通过与用户的交互获得身份信息 如用户名和口令组合 然后提交给认证服务器 后者对身份信息与存储在数据库里的用户信息进行核对处理 然后根据处理结果确认用户身份是否正确 Authorization 授权 网络系统授权用户以特定的方式使用其资源 这一过程指定了被认证的用户在接入网络后能够使用的业务和拥有的权限 如授予的IP地址等 Accounting 计费 网络系统收集 记录用户对网络资源的使用 以便向用户收取资源使用费用 或者用于审计等目的 以互联网接入业务供应商ISP为例 用户的网络接入使用情况可以按流量或者时间被准确记录下来 5 Diameter 背景 Diameter是由IETF开发的AAA协议 用来给众多的接入技术提供AAA服务 Diameter并不是从零开始构建协议 而是大致上基于Radius 远程拨入用户认证服务 来构建的 Diameter是对Radius的增强和扩展 6 Diameter 设计目的 Diameter协议的设计目的是创建一个能够充分满足网络访问控制要求的AAA协议 其特性如下 具有良好的网络适应性和可扩展性统一且良好的失败控制和检测机制完整的传送层安全保证数据传输可靠性保证机制支持各种类型的代理 包括Proxy代理 重定向代理以及中继代理等支持服务器发起的消息 即允许服务器主动发送消息给其客户端与现有网络协议的良好可互操作性支持节点间的能力协商机制支持动态对等端发现和配置机制支持安全和可扩展的漫游 7 Diameter 框架结构 一 Diameter包含基础协议 传送协议 不同的应用扩展 如NASREQ和移动IP 所有应用和服务共用的基本功能都在基础协议中实现 而应用特定的功能则会在不同的应用中实施 Diameter基础协议注重能力协商 消息发送以及对等端如何最终被拒绝 基础协议还规定了特定规则以用于Diameter节点之间所有的消息交换 Diameter基础协议旨在提供一个AAA框架 以用于各种应用 基础协议还定义了所有Diameter应用使用的 并且所有Diameter设备都必须支持的消息格式 传输 差错报告和安全服务 8 Diameter 框架结构 二 9 Diameter 传输协议与网络安全 传输协议Diameter基本协议运行在TCP和SCTP传输协议的端口3868上 Diameter客户必须支持TCP或SCTP 而代理和服务器必须两者都支持 而SCTP是最好的选择 网络安全Diameter客户 例如网络接入服务器 NAS 和各种代理必须支持IPSec 并且可以支持TLS Diameter服务器必须支持TLS和IPsec 不允许在没有任何安全机制 TLS或IPsec 的情况下使用Diameter协议 推荐在边缘和域内业务流量中可以将IPsec作为首选 例如在NAS和本地AAAProxy之间使用预共享 pre shared 密钥 这也放松了对NAS支持证书的要求 同时还建议域间流量应首先使用TLS 10 Diameter 应用实体 DiameterClientDiameterServerDiameterAgent 11 Diameter 消息格式 一 12 Diameter 消息格式 二 命令标记 表示Diameter消息类型R equest 如果设置 表明该消息是一个请求 如果清零 该消息是一个应答 P roxiable 如果设置 表明该消息可以被Proxy 中继或者重定向 如果清零 该消息必须在本地处理 E rror 如果设置 表明该消息包含一个协议差错 且该消息与ABNF中描述的该命令不一致 E 比特设置的消息一般当作差错消息 在请求消息中不能设置该比特 T Potentiallyre transmittedmessage 该标记在链路失败过程后被设置 以帮助去除重复的请求 当重发请求还没有被确认时 需要设置该比特 以作为链路失败而造成的可能的重复包的指示 当第一次发送一个请求时 该比特必须被清零 否则发送者必须设置该比特 Diameter代理仅需要关心它们发送的同一请求消息的遍数 其他实体进行的重传不须考虑 Diameter代理接收到一个T比特设置为1的请求 必须在前转该请求时保持T标记的设置 如果接收到一个以前消息的差错消息 例如协议差错 则不可以设置该标记 该标记只有在没有接收到任何来自服务器的该请求的应答 且该请求再次被发送的情况下 才能被设置 该标记不能在应答消息中设置r eserved 这些标记比特为将来使用预留 必须设置为0 接收者应当忽略 13 Diameter 消息格式 三 命令代码用来表示这个消息所对应的命令 请求消息和相应的回答消息共享一个命令代码 14 Diameter 消息格式 四 ApplicationID 指示消息适用的应用Hop by HopID 帮助对请求和响应进行匹配 在任意给定时间 同一条连接的逐跳标识符是唯一的End to EndID 用来端到端地检测重复消息 15 Diameter 消息格式 五 AVP Attribute Value Pairs 包含认证 授权和计