1、Diameter的基礎(chǔ)協(xié)議(Base protocol)
Diameter基本協(xié)議為移動(dòng)IP(Mobile IP)、網(wǎng)絡(luò)接入服務(wù)(NAS)等應(yīng)用提供最基本的服務(wù),例如用戶會(huì)話、計(jì)費(fèi)等,具有能力協(xié)商、差錯(cuò)通知等功能。協(xié)議元素由眾多命令和AVP(屬性值對(duì))構(gòu)成,可以在客戶機(jī)、代理、服務(wù)器之間傳遞鑒別、授權(quán)和計(jì)費(fèi)信息。但是不管客戶機(jī)、代理還是服務(wù)器,都可以主動(dòng)發(fā)出會(huì)話請(qǐng)求,對(duì)方給予應(yīng)答,所以也叫對(duì)等實(shí)體之間的協(xié)議。命令代碼、AVP值和種類都可以按應(yīng)用需要和規(guī)則進(jìn)行擴(kuò)展。
2、Diameter的NAS協(xié)議
Diameter的NAS協(xié)議即是Network Access Service(網(wǎng)絡(luò)接入服務(wù))協(xié)議。由NAS客戶機(jī)處理用戶MN的接入請(qǐng)求(RegReq),將收到的客戶認(rèn)證信息轉(zhuǎn)送給NAS服務(wù)器;服務(wù)器對(duì)客戶進(jìn)行鑒別,將結(jié)果(Success/Fail)發(fā)給客戶機(jī);客戶機(jī)通過(guò)RegReply將結(jié)果發(fā)回給MN,并根據(jù)結(jié)果對(duì)MN進(jìn)行相應(yīng)處理。
NAS作為網(wǎng)絡(luò)接入服務(wù)器,在其用戶端口接收到呼叫或服務(wù)請(qǐng)求時(shí)便開(kāi)始與AAA服務(wù)器之間進(jìn)行消息交換,有關(guān)呼叫的信息、用戶身份和用戶鑒別信息被打包成一種AAA消息發(fā)給AAA服務(wù)器。實(shí)際上,移動(dòng)IP中的FA可以看成是通過(guò)空中的MPPP鏈路接收移動(dòng)終端MN的服務(wù)連接請(qǐng)求的NAS服務(wù)器,它作為AAA服務(wù)器的客戶機(jī),在兩者之間交換NAS消息請(qǐng)求和應(yīng)答。
3、Diameter的EAP協(xié)議
Diameter EAP (Extensible Authentication Protocol ——可擴(kuò)展鑒別協(xié)議)協(xié)議提供了一個(gè)支持各種鑒別方法的標(biāo)準(zhǔn)機(jī)制。EAP其實(shí)是一種框架,一種幀格式,可以容納各種鑒別信息。EAP所提供的多回合鑒別是PAP和CHAP所不具備的。
EAP協(xié)議描述用戶、NAS(AAA客戶機(jī))和AAA服務(wù)器之間有關(guān)EAP鑒別消息的請(qǐng)求和應(yīng)答的關(guān)系,完成一次對(duì)鑒別請(qǐng)求的應(yīng)答,中間可能需要多次消息交換過(guò)程。在移動(dòng)終端MN移動(dòng)的環(huán)境下,MN與FA之間的鑒別擴(kuò)展采用EAP,即把FA看做是一個(gè)NAS,它作為Diameter AAA的客戶機(jī),Diameter AAA服務(wù)器作為EAP的后端服務(wù)器,兩者之間載送EAP分組。端到端的EAP鑒別發(fā)生在用戶和它的H-AAA之間。
4、Diameter的CMS協(xié)議
Diameter CMS(Cryptographic Message Syntax--密碼消息語(yǔ)法)協(xié)議實(shí)現(xiàn)了協(xié)議數(shù)據(jù)的Peer-to-Peer(端到端)加密。由于Diameter網(wǎng)絡(luò)中存在不可信的Relay(中繼)和Proxy(代理),而IPSec和TLS又只能實(shí)現(xiàn)跳到跳的安全,所以IETF定義了Diameter CMS應(yīng)用協(xié)議來(lái)保證數(shù)據(jù)安全。
5、Diameter的MIP協(xié)議
由于未來(lái)移動(dòng)通信網(wǎng)絡(luò)正逐步向全IP網(wǎng)絡(luò)演進(jìn),這就不可避免碰到用戶移動(dòng)到外部域的問(wèn)題。 Diameter MIP應(yīng)用協(xié)議允許用戶漫游到外部域,并在經(jīng)過(guò)鑒權(quán)后接受外部域Server(服務(wù)器)和Agent(代理)提供的服務(wù)。在未來(lái)移動(dòng)通信中,這種情況將十分常見(jiàn),因此MIP協(xié)議對(duì)于移動(dòng)通信系統(tǒng)來(lái)說(shuō)至關(guān)重要. 當(dāng)用戶移動(dòng)到外部域的時(shí)候,需要進(jìn)行一系列的消息交換才能安全地接入外部網(wǎng)絡(luò),接受其提供的服務(wù)。MIP協(xié)議的實(shí)現(xiàn)環(huán)境中MN和HA都可以在家鄉(xiāng)域或在外地域,其中比較典型的一種情況是MN在外地域而HA在家鄉(xiāng)域。其接入過(guò)程如下節(jié)所示。
6、采用Diameter MIP的一次典型的MN注冊(cè)過(guò)程,僅給出MN在外地域而HA在家鄉(xiāng)域的情況:
1)開(kāi)機(jī)注冊(cè)前,MN只有NAI以及和AAAH的安全關(guān)聯(lián)的信息,沒(méi)有home address。
2)開(kāi)機(jī)后,MN向FA發(fā)出注冊(cè)請(qǐng)求,其中包含的home address=
3)FA接到注冊(cè)請(qǐng)求后,根據(jù)其中的信息生成AMR發(fā)給AAAF,其中MIP-Feature-Vector
AVP中Set Home-Agent-Request=1,Home-Address-Allocatable-Only-in-Home-Realm=1
4)AAAF接到AMR后轉(zhuǎn)發(fā)給AAAH。
5)AAAH收到AMR后,為MN分配HA,分配MN-HA、MN-FA之間的密鑰材料,和FA-HA之間的密鑰,向HA發(fā)出HAR,其中MIP-Reg-Request AVP包含Mobile IP 注冊(cè)請(qǐng)求信息。
6)HA接到HAR,分配home address給MN,處理MIP-Reg-Request AVP,生成MIP-Reg-Reply AVP,包含在HAA中返回AAAH。
7)AAAH收到HAA后生成AMA,包含MIP-Home-Agent-Address, MIP-Mobile-Node-Address AVPs,發(fā)給AAAF。
8)AAAF將AMA轉(zhuǎn)發(fā)給FA。
9)FA接到AMA后保留FA-HA密鑰,將FA-MN、HA-MN之間的密鑰材料通過(guò)注冊(cè)應(yīng)答Registration-Reply發(fā)送給MN。
其中涉及到的名詞有:
●HA:Home Agent,家鄉(xiāng)代理
●FA:Foreign Agent,外部代理
●MN:Mobile Node,移動(dòng)節(jié)點(diǎn)
●AAAH:AAA Home server ,AAA家鄉(xiāng)域服務(wù)器
●AAAF:AAA Foreign server,AAA外地域服務(wù)器
●AMR:AAA-Mobile-Node- Request,AAA移動(dòng)節(jié)點(diǎn)請(qǐng)求消息
●AMA:AAA-Mobile-Node- Answer,AAA移動(dòng)節(jié)點(diǎn)答復(fù)消息
●HAR:Home-Agent-MIP-Request,家鄉(xiāng)代理MIP請(qǐng)求消息
●HAA:Home-Agent-MIP-Answer,家鄉(xiāng)代理MIP答復(fù)消息
HA和MN在外地域或家鄉(xiāng)域的其他組合的情況與此類似,在此就不一一列舉。
