新一代的AAA協議——Diameter

2019-11-03 09:24:05

字體：大中小

來源：轉載

供稿：網友

趙源超陳健李道本

　　（北京郵電大學信息工程學院）

　　摘要本文首先介紹了鑒別，授權，計費協議的概念，并指出其在移動通信系統中的地位和作用。接著分析了目前最常用的認證計費協議——RADIUS，分析了該協議的優點和缺陷。針對RADIUS的不足之處，本文引入了它的升級版本——Diameter協議。在全面介紹Diameter協議的基礎上，重點描述了在Diameter協議的Mip應用中一個用戶終端如何完成一次完整的認證。最后指出在未來移動通信網逐漸向全IP過渡的情況下，Diameter協議必將得到廣泛的應用。

　　關鍵詞鑒別授權計費移動通信 Radius Diameter 移動IP

　　1 AAA簡介

　　AAA指的是Authentication（鑒別），Authorization（授權），Accounting（計費）。自網絡誕生以來，認證、授權以及計費體制（AAA）就成為其運營的基礎。網絡中各類資源的使用，需要由認證、授權和計費進行管理。而AAA的發展與變遷自始至終都吸引著營運商的目光。對于一個商業系統來說，鑒別是至關重要的，只有確認了用戶的身份，才能知道所提供的服務應該向誰收費，同時也能防止非法用戶（黑客）對網絡進行破壞。在確認用戶身份后，根據用戶開戶時所申請的服務類別，系統可以授予客戶相應的權限。最后，在用戶使用系統資源時，需要有相應的設備來統計用戶所對資源的占用情況，據此向客戶收取相應的費用。

　　其中，鑒別（Authentication）指用戶在使用網絡系統中的資源時對用戶身份的確認。這一過程，通過與用戶的交互獲得身份信息（諸如用戶名—口令組合、生物特征獲得等），然后提交給認證服務器；后者對身份信息與存儲在數據庫里的用戶信息進行核對處理，然后根據處理結果確認用戶身份是否正確。例如，GSM移動通信系統能夠識別其網絡內網絡終端設備的標志和用戶標志。授權（Authorization）網絡系統授權用戶以特定的方式使用其資源，這一過程指定了被認證的用戶在接入網絡后能夠使用的業務和擁有的權限，如授予的IP地址等。仍以GSM移動通信系統為例，認證通過的合法用戶，其業務權限（是否開通國際電話主叫業務等）則是用戶和運營商在事前已經協議確立的。計費（Accounting）網絡系統收集、記錄用戶對網絡資源的使用，以便向用戶收取資源使用費用，或者用于審計等目的。以互聯網接入業務供應商ISP為例，用戶的網絡接入使用情況可以按流量或者時間被準確記錄下來。

　　認證、授權和計費一起實現了網絡系統對特定用戶的網絡資源使用情況的準確記錄。這樣既在一定程度上有效地保障了合法用戶的權益，又能有效地保障網絡系統安全可靠地運行。考慮到不同網絡融合以及互聯網本身的發展，迫切需要新一代的基于IP的AAA技術。因此出現了Diameter協議。

　　2 AAA在移動通信系統中的應用

　　在移動通信系統中，用戶要訪問網絡資源，首先要進行用戶的入網認證，這樣用戶才能訪問網絡資源。鑒別的過程就是驗證用戶身份的合法性；鑒別完成后，才能對用戶訪問網絡資源進行授權，并對用戶訪問網絡資源進行計費管理。一般來講，鑒別過程由三個實體來完成的。用戶（Client）、認證器（Authenticator）、AAA服務器（Authentication 、Authorization和Accounting Server）。在第三代移動通信系統的早期版本中，用戶也稱為MN（移動節點），Authenticator在NAS（Network access Server）中實現，它們之間采用PPP協議，認證器和AAA服務器之間采用AAA協議（以前的方式采用遠程訪問撥號用戶服務RADIUS（Remote Access Dial up User Service）；Raduis英文原意為半徑，原先的目的是為撥號用戶進行鑒別和計費。后來經過多次改進，形成了一項通用的鑒別計費協議）。

　　RADIUS是一種C/S結構的協議，它的客戶端最初就是NAS（Net Access Server）服務器，現在任何運行RADIUS客戶端軟件的計算機都可以成為RADIUS的客戶端。RADIUS協議認證機制靈活，可以采用PAP、CHAP或者Unix登錄認證等多種方式。RADIUS是一種可擴展的協議，它進行的全部工作都是基于Attribute-Length-Value的向量進行的。RADIUS的基本工作原理是:用戶接入NAS，NAS向RADIUS服務器使用Access-Require數據包提交用戶信息，包括用戶名、密碼等相關信息，其中用戶密碼是經過md5加密的，雙方使用共享密鑰，這個密鑰不經過網絡傳播；RADIUS服務器對用戶名和密碼的合法性進行檢驗，必要時可以提出一個Challenge，要求進一步對用戶認證，也可以對NAS進行類似的認證；如果合法，給NAS返回Access-Accept數據包，允許用戶進行下一步工作，否則返回Access-Reject數據包，拒絕用戶訪問；如果允許訪問，NAS向RADIUS服務器提出計費請求Account-Require，RADIUS服務器響應Account-Accept，對用戶的計費開始，同時用戶可以進行自己的相關操作。

　　RADIUS是目前最常用的認證計費協議之一，它簡單安全，易于管理，擴展性好，所以得到廣泛應用。但是由于協議本身的缺陷，比如基于UDP的傳輸、簡單的丟包機制、沒有關于重傳的規定和集中式計費服務，都使得它不太適應當前網絡的發展，需要進一步改進。

　　隨著新的接入技術的引入（如無線接入、DSL、移動IP和以太網）和接入網絡的快速擴容，越來越復雜的路由器和接入服務器大量投入使用，對AAA協議提出了新的要求，使得傳統的RADIUS結構的缺點日益明顯。目前,3G網絡正逐步向全IP網絡演進，不僅在核心網絡使用支持IP的網絡實體，在接入網絡也使用基于IP的技術，而且移動終端也成為可激活的IP客戶端。如在WCDMA當前規劃的R6版本就新增以下特性：UTRAN和CN傳輸增強；無線接口增強；多媒體廣播和多播（MBMS）；數字權限管理（DRM）；WLAN-UMTS互通；優先業務；通用用戶信息（GUP）；網絡共享；不同網絡間的互通等。在這樣的網絡中，移動IP將被廣泛使用。支持移動IP的終端可以在注冊的家鄉網絡中移動，或漫游到其他運營商的網絡。當終端要接入到網絡，并使用運營商提供的各項業務時，就需要嚴格的AAA過程。AAA服務器要對移動終端進行認證，授權允許用戶使用的業務，并收集用戶使用資源的情況，以產生計費信息。這就需要采用新一代的AAA協議——Diameter。此外，在IEEE的無線局域網協議802.16e的建議草案中，網絡參考模型里也包含了鑒別和授權服務器ASA Server，以支持移動臺在不同基站之間的切換。可見，在未來移動通信系統中，AAA服務器占據了很重要的位置。

　　經過討論，IETF的AAA工作組同意將Diameter協議作為下一代的AAA協議標準。Diameter（為直徑，意為著Diameter協議是RADIUS協議的升級版本）協議包括基本協議，NAS（網絡接入服務）協議，EAP（可擴展鑒別）協議，MIP（移動IP）協議，CMS（密碼消息語法）協議等。Diameter協議支持移動IP、NAS請求和移動代理的認證、授權和計費工作，協議的實現和RADIUS類似，也是采用AVP，屬性值對（采用Attribute-Length-Value三元組形式）來實現，但是其中詳細規定了錯誤處理, failover機制,采用TCP協議，支持分布式計費，克服了RADIUS的許多缺點，是最適合未來移動通信系統的AAA協議。

　　3 新一代的AAA協議——Diameter

　　Diameter應用協議族和其他網絡協議的關系如圖1所示：

　　（1） Diameter的基礎協議（Base PRotocol）

　　Diameter基本協議為移動IP（Mobile IP）、網絡接入服務（NAS）等應用提供最基本的服務，例如用戶會話、計費等，具有能力協商、差錯通知等功能。協議元素由眾多命令和AVP（屬性值對）構成，可以在客戶機、代理、服務器之間傳遞鑒別、授權和計費信息。但是不管客戶機、代理還是服務器，都可以主動發出會話請求，對方給予應答，所以也叫對等實體之間的協議。命令代碼、AVP值和種類都可以按應用需要和規則進行擴展。

　　（2）Diameter的NAS協議

　　Diameter的NAS協議既是Network Access Service（網絡接入服務）協議。由NAS客戶機處理用戶MN的接入請求（RegReq），將收到的客戶認證信息轉送給NAS服務器；服務器對客戶進行鑒別，將結果（Success/Fail）發給客戶機；客戶機通過RegReply將結果發回給MN，并根據結果對MN進行相應處理。

　　NAS作為網絡接入服務器，在其用戶端口接收到呼叫或服務請求時便開始與AAA服務器之間進行消息交換，有關呼叫的信息、用戶身份和用戶鑒別信息被打包成一種AAA消息發給AAA服務器。實際上，移動IP中的FA可以看成是通過空中的MPPP鏈路接收移動終端MN的服務連接請求的NAS服務器，它作為AAA服務器的客戶機，在兩者之間交換NAS消息請求和應答。

　　（3）Diameter的EAP協議

　　Diameter EAP （Extensible Authentication Protocol ——可擴展鑒別協議）協議提供了一個支持各種鑒別方法的標準機制。EAP其實是一種框架，一種幀格式，可以容納各種鑒別信息。EAP所提供的多回合鑒別是PAP和CHAP所不具備的。

　　EAP協議描述用戶、NAS(AAA客戶機)和AAA服務器之間有關EAP鑒別消息的請求和應答的關系，完成一次對鑒別請求的應答，中間可能需要多次消息交換過程。在移動終端MN移動的環境下，MN與FA之間的鑒別擴展采用EAP，即把FA看做是一個NAS，它作為Diameter AAA的客戶機，Diameter AAA服務器作為EAP的后端服務器，兩者之間載送EAP分組。端到端的EAP鑒別發生在用戶和它的H-AAA之間。

　　（4）Diameter的CMS協議

　　Diameter CMS（Cryptographic Message Syntax ——密碼消息語法）協議實現了協議數據的Peer-to-Peer（端到端）加密。由于Diameter網絡中存在不可信的Relay（中繼）和Proxy（代理），而IPSec和TLS又只能實現跳到跳的安全，所以IETF定義了Diameter CMS應用協議來保證數據安全。

　　（5）Diameter的MIP協議由于未來移動通信網絡正逐步向全IP網絡演進，這就不可避免碰到用戶移動到外部域的問題。 Diameter MIP應用協議允許用戶漫游到外部域，并在經過鑒權后接受外部域Server（服務器）和Agent（代理）提供的服務。在未來移動通信中，這種情況將十分常見，因此MIP協議對于移動通信系統來說至關重要. 當用戶移動到外部域的時候，需要進行一系列的消息交換才能安全地接入外部網絡，接受其提供的服務。MIP協議的實現環境中MN和HA都可以在家鄉域或在外地域，其中比較典型的一種情況是MN在外地域而HA在家鄉域。其接入過程如下節所示。

　　（6）采用Diameter MIP的一次典型的MN注冊過程如圖2所示（僅給出MN在外地域而HA在家鄉域的情況）：

　　i. 開機注冊前，MN只有NAI以及和AAAH的安全關聯的信息，沒有home address。

　　ii. 開機后，MN向FA發出注冊請求，其中包含的home address=0.0.0.0 ，home agent address=255.255.255.255

　　iii. FA接到注冊請求后，根據其中的信息生成AMR發給AAAF，其中MIP-Feature-Vector AVP中Set Home-Agent-Request=1,Home-Address-Allocatable-Only-in-Home-Realm=1

　　iv. AAAF接到AMR后轉發給AAAH。

　　v. AAAH收到AMR后，為MN分配HA，分配MN-HA、MN-FA之間的密鑰材料，和FA-HA之間的密鑰，向HA發出HAR，其中MIP-Reg-Request AVP包含Mobile IP 注冊請求信息。

　　vi. HA接到HAR，分配home address給MN，處理MIP-Reg-Request AVP，生成MIP-Reg-Reply AVP，包含在HAA中返回AAAH。

　　vii. AAAH收到HAA后生成AMA，包含MIP-Home-Agent-Address, MIP-Mobile-Node-Address AVPs，發給AAAF。

　　viii. AAAF將AMA轉發給FA。

　　ix. FA接到AMA后保留FA-HA密鑰,將FA-MN、HA-MN之間的密鑰材料通過注冊應答Registration-Reply發送給MN。

　　其中涉及到的名詞有：

　　·HA ： Home Agent ，家鄉代理

　　·FA ：Foreign Agent ，外部代理

　　·MN ： Mobile Node ，移動節點

　　·AAAH ： AAA Home server ， AAA家鄉域服務器

　　·AAAF：AAA Foreign server ， AAA外地域服務器

　　·AMR ：AAA-Mobile-Node- Request ，AAA移動節點請求消息

　　·AMA : AAA-Mobile-Node- Answer ，AAA移動節點答復消息

　　·HAR : Home-Agent-MIP-Request ，家鄉代理MIP請求消息

　　·HAA : Home-Agent-MIP-Answer ，家鄉代理MIP答復消息

　　HA和MN在外地域或家鄉域的其他組合的情況與此類似，再此就不一一列舉。

　　4 未來展望

　　現在的互聯網協議IPv4支持的地址空間十分有限，而全球移動用戶卻不斷高速增長，達到如此龐大的規模，這就給目前使用的IP協議——IPv4在未來移動通信全IP網絡中的應用——帶來如此沉重的壓力。為了解決地址嚴重不足的問題，人們提出了新版本的IP協議——IPv6。IPv6能夠支持的3.4X10E38個惟一的128位地址，令IPv4望塵莫及。由于全球數十億個設備和用戶都需要各自惟一的IP地址，因此這種巨大的編址容量將是實現“始終在線”通信的關鍵因素。盡管人們主要關注的是IPv6的尋址能力，但它還擁有其它許多重要優點，如改進和簡化的路由。IPv6還引進了新的安全等級并改善了對移動業務——包括基于WCDMA技術的網絡的支持，這將隨著中國等人口眾多的國家采用3G而日益重要。因此未來移動通信網絡中的AAA協議一定是基于移動IPv6的支持分布式處理的協議。不過，業界需要考慮和解決的問題仍然有許多。IPv4可能是一種成熟而逐漸過時的協議，但它仍然可以做出重要貢獻，并可能在未來一段時間內與IPv6共存和互通。Diameter作為瞄準未來網絡同時又兼容當前網絡的AAA協議，提供了對這兩種版本MIP的支持(當然目前主要是對MIPv4的支持)。

　　相信隨著未來移動通信系統中全IP網絡的部署實施，支持移動IP（包括v4和v6）的Diameter協議必將會廣泛地使用到需要對移動終端進行認證、授權和計費的場合之中。

　　參考文獻

　　[1] IETF AAA Working Group. Diameter Base Protocol. RFC3588. September 2003

　　[2] sami huusko. Nokia All-IP System Design Principles. Nokia Inc.. 2000.2

　　[3] IETF AAA Working Group. Mobile IP AAA Requirements. RFC2977. October 2000

　　[4] IETF AAA Working Group. Diameter Mobile IPv4 application. Internet-Draft. October 2002

　　[5] IETF AAA Working Group. Diameter NAS Application. Internet-Draft. Jun 2003

　　[6] C. Perkins. Mobile IPv4 Challenge/Response. RFC 3012. November 2000

　　[7] Network Working Group. RADIUS Accounting. RFC 2866. June 2000

　　[8] IEEE 802.16 Working Group, IEEE P802.16-REVd/D5, 2004

　　趙源超北京郵電大學信息工程學院，博士研究生，主要從事通信系統安全方面的研究工作。

　　陳健北京郵電大學信息工程學院，碩士研究生，主要從事通信系統安全方面的研究工作。

　　李道本教授，博士生導師，主要從事Las-CDMA移動通信系統的研究。 Working Group. Diameter-??

----《中國數據通信》