新一代的AAA協(xié)議——Diameter

趙源超 陳健 李道本


　�。ū本┼]電大學信息工程學院）



　　摘 要 本文首先介紹了鑒別，授權(quán)，計費協(xié)議的概念，并指出其在移動通信系統(tǒng)中的地位和作用。接著分析了目前最常用的認證計費協(xié)議——RADIUS，分析了該協(xié)議的優(yōu)點和缺陷。針對RADIUS的不足之處，本文引入了它的升級版本——Diameter協(xié)議。在全面介紹Diameter協(xié)議的基礎上，重點描述了在Diameter協(xié)議的MIP應用中一個用戶終端如何完成一次完整的認證。最后指出在未來移動通信網(wǎng)逐漸向全IP過渡的情況下，Diameter協(xié)議必將得到廣泛的應用。


　　關鍵詞 鑒別 授權(quán) 計費 移動通信 Radius Diameter 移動IP



　　1 AAA簡介



　　AAA指的是Authentication（鑒別），Authorization（授權(quán)），Accounting（計費）。自網(wǎng)絡誕生以來，認證、授權(quán)以及計費體制（AAA）就成為其運營的基礎。網(wǎng)絡中各類資源的使用，需要由認證、授權(quán)和計費進行管理。而AAA的發(fā)展與變遷自始至終都吸引著營運商的目光。對于一個商業(yè)系統(tǒng)來說，鑒別是至關重要的，只有確認了用戶的身份，才能知道所提供的服務應該向誰收費，同時也能防止非法用戶（黑客）對網(wǎng)絡進行破壞。在確認用戶身份后，根據(jù)用戶開戶時所申請的服務類別，系統(tǒng)可以授予客戶相應的權(quán)限。最后，在用戶使用系統(tǒng)資源時，需要有相應的設備來統(tǒng)計用戶所對資源的占用情況，據(jù)此向客戶收取相應的費用。


　　其中，鑒別（Authentication）指用戶在使用網(wǎng)絡系統(tǒng)中的資源時對用戶身份的確認。這一過程，通過與用戶的交互獲得身份信息（諸如用戶名—口令組合、生物特征獲得等），然后提交給認證服務器；后者對身份信息與存儲在數(shù)據(jù)庫里的用戶信息進行核對處理，然后根據(jù)處理結(jié)果確認用戶身份是否正確。例如，GSM移動通信系統(tǒng)能夠識別其網(wǎng)絡內(nèi)網(wǎng)絡終端設備的標志和用戶標志。授權(quán)（Authorization）網(wǎng)絡系統(tǒng)授權(quán)用戶以特定的方式使用其資源，這一過程指定了被認證的用戶在接入網(wǎng)絡后能夠使用的業(yè)務和擁有的權(quán)限，如授予的IP地址等。仍以GSM移動通信系統(tǒng)為例，認證通過的合法用戶，其業(yè)務權(quán)限（是否開通國際電話主叫業(yè)務等）則是用戶和運營商在事前已經(jīng)協(xié)議確立的。計費（Accounting）網(wǎng)絡系統(tǒng)收集、記錄用戶對網(wǎng)絡資源的使用，以便向用戶收取資源使用費用，或者用于審計等目的。以互聯(lián)網(wǎng)接入業(yè)務供應商ISP為例，用戶的網(wǎng)絡接入使用情況可以按流量或者時間被準確記錄下來。


　　認證、授權(quán)和計費一起實現(xiàn)了網(wǎng)絡系統(tǒng)對特定用戶的網(wǎng)絡資源使用情況的準確記錄。這樣既在一定程度上有效地保障了合法用戶的權(quán)益，又能有效地保障網(wǎng)絡系統(tǒng)安全可靠地運行。考慮到不同網(wǎng)絡融合以及互聯(lián)網(wǎng)本身的發(fā)展，迫切需要新一代的基于IP的AAA技術(shù)。因此出現(xiàn)了Diameter協(xié)議。



　　2 AAA在移動通信系統(tǒng)中的應用



　　在移動通信系統(tǒng)中，用戶要訪問網(wǎng)絡資源，首先要進行用戶的入網(wǎng)認證，這樣用戶才能訪問網(wǎng)絡資源。鑒別的過程就是驗證用戶身份的合法性；鑒別完成后，才能對用戶訪問網(wǎng)絡資源進行授權(quán)，并對用戶訪問網(wǎng)絡資源進行計費管理。一般來講，鑒別過程由三個實體來完成的。用戶（Client）、認證器（Authenticator）、AAA服務器（Authentication 、Authorization和Accounting Server）。在第三代移動通信系統(tǒng)的早期版本中，用戶也稱為MN（移動節(jié)點），Authenticator在NAS（Network Access Server）中實現(xiàn)，它們之間采用PPP協(xié)議，認證器和AAA服務器之間采用AAA協(xié)議（以前的方式采用遠程訪問撥號用戶服務RADIUS（Remote Access Dial up User Service）；Raduis英文原意為半徑，原先的目的是為撥號用戶進行鑒別和計費。后來經(jīng)過多次改進，形成了一項通用的鑒別計費協(xié)議）。


　　RADIUS是一種C/S結(jié)構(gòu)的協(xié)議，它的客戶端最初就是NAS（Net Access Server）服務器，現(xiàn)在任何運行RADIUS客戶端軟件的計算機都可以成為RADIUS的客戶端。RADIUS協(xié)議認證機制靈活，可以采用PAP、CHAP或者Unix登錄認證等多種方式。RADIUS是一種可擴展的協(xié)議，它進行的全部工作都是基于Attribute-Length-Value的向量進行的。RADIUS的基本工作原理是:用戶接入NAS，NAS向RADIUS服務器使用Access-Require數(shù)據(jù)包提交用戶信息，包括用戶名、密碼等相關信息，其中用戶密碼是經(jīng)過MD5加密的，雙方使用共享密鑰，這個密鑰不經(jīng)過網(wǎng)絡傳播；RADIUS服務器對用戶名和密碼的合法性進行檢驗，必要時可以提出一個Challenge，要求進一步對用戶認證，也可以對NAS進行類似的認證；如果合法，給NAS返回Access-Accept數(shù)據(jù)包，允許用戶進行下一步工作，否則返回Access-Reject數(shù)據(jù)包，拒絕用戶訪問；如果允許訪問，NAS向RADIUS服務器提出計費請求Account-Require，RADIUS服務器響應Account-Accept，對用戶的計費開始，同時用戶可以進行自己的相關操作。


　　RADIUS是目前最常用的認證計費協(xié)議之一，它簡單安全，易于管理，擴展性好，所以得到廣泛應用。但是由于協(xié)議本身的缺陷，比如基于UDP的傳輸、簡單的丟包機制、沒有關于重傳的規(guī)定和集中式計費服務，都使得它不太適應當前網(wǎng)絡的發(fā)展，需要進一步改進。


　　隨著新的接入技術(shù)的引入（如無線接入、DSL、移動IP和以太網(wǎng)）和接入網(wǎng)絡的快速擴容，越來越復雜的路由器和接入服務器大量投入使用，對AAA協(xié)議提出了新的要求，使得傳統(tǒng)的RADIUS結(jié)構(gòu)的缺點日益明顯。目前,3G網(wǎng)絡正逐步向全IP網(wǎng)絡演進，不僅在核心網(wǎng)絡使用支持IP的網(wǎng)絡實體，在接入網(wǎng)絡也使用基于IP的技術(shù)，而且移動終端也成為可激活的IP客戶端。如在WCDMA當前規(guī)劃的R6版本就新增以下特性：UTRAN和CN傳輸增強；無線接口增強；多媒體廣播和多播（MBMS）；數(shù)字權(quán)限管理（DRM）；WLAN-UMTS互通；優(yōu)先業(yè)務；通用用戶信息（GUP）；網(wǎng)絡共享；不同網(wǎng)絡間的互通等。在這樣的網(wǎng)絡中，移動IP將被廣泛使用。支持移動IP的終端可以在注冊的家鄉(xiāng)網(wǎng)絡中移動，或漫游到其他運營商的網(wǎng)絡。當終端要接入到網(wǎng)絡，并使用運營商提供的各項業(yè)務時，就需要嚴格的AAA過程。AAA服務器要對移動終端進行認證，授權(quán)允許用戶使用的業(yè)務，并收集用戶使用資源的情況，以產(chǎn)生計費信息。這就需要采用新一代的AAA協(xié)議——Diameter。此外，在IEEE的無線局域網(wǎng)協(xié)議802.16e的建議草案中，網(wǎng)絡參考模型里也包含了鑒別和授權(quán)服務器ASA Server，以支持移動臺在不同基站之間的切換。可見，在未來移動通信系統(tǒng)中，AAA服務器占據(jù)了很重要的位置。


　　經(jīng)過討論，IETF的AAA工作組同意將Diameter協(xié)議作為下一代的AAA協(xié)議標準。Diameter（為直徑，意為著Diameter協(xié)議是RADIUS協(xié)議的升級版本）協(xié)議包括基本協(xié)議，NAS（網(wǎng)絡接入服務）協(xié)議，EAP（可擴展鑒別）協(xié)議，MIP（移動IP）協(xié)議，CMS（密碼消息語法）協(xié)議等。Diameter協(xié)議支持移動IP、NAS請求和移動代理的認證、授權(quán)和計費工作，協(xié)議的實現(xiàn)和RADIUS類似，也是采用AVP，屬性值對（采用Attribute-Length-Value三元組形式）來實現(xiàn)，但是其中詳細規(guī)定了錯誤處理, failover機制,采用TCP協(xié)議，支持分布式計費，克服了RADIUS的許多缺點，是最適合未來移動通信系統(tǒng)的AAA協(xié)議。



　　3 新一代的AAA協(xié)議——Diameter



　　Diameter應用協(xié)議族和其他網(wǎng)絡協(xié)議的關系如圖1所示：


　�。�1） Diameter的基礎協(xié)議（Base protocol）


　　Diameter基本協(xié)議為移動IP（Mobile IP）、網(wǎng)絡接入服務（NAS）等應用提供最基本的服務，例如用戶會話、計費等，具有能力協(xié)商、差錯通知等功能。協(xié)議元素由眾多命令和AVP（屬性值對）構(gòu)成，可以在客戶機、代理、服務器之間傳遞鑒別、授權(quán)和計費信息。但是不管客戶機、代理還是服務器，都可以主動發(fā)出會話請求，對方給予應答，所以也叫對等實體之間的協(xié)議。命令代碼、AVP值和種類都可以按應用需要和規(guī)則進行擴展。


　�。�2）Diameter的NAS協(xié)議


　　Diameter的NAS協(xié)議既是Network Access Service（網(wǎng)絡接入服務）協(xié)議。由NAS客戶機處理用戶MN的接入請求（RegReq），將收到的客戶認證信息轉(zhuǎn)送給NAS服務器；服務器對客戶進行鑒別，將結(jié)果（Success/Fail）發(fā)給客戶機；客戶機通過RegReply將結(jié)果發(fā)回給MN，并根據(jù)結(jié)果對MN進行相應處理。


　　NAS作為網(wǎng)絡接入服務器，在其用戶端口接收到呼叫或服務請求時便開始與AAA服務器之間進行消息交換，有關呼叫的信息、用戶身份和用戶鑒別信息被打包成一種AAA消息發(fā)給AAA服務器。實際上，移動IP中的FA可以看成是通過空中的MPPP鏈路接收移動終端MN的服務連接請求的NAS服務器，它作為AAA服務器的客戶機，在兩者之間交換NAS消息請求和應答。


　　（3）Diameter的EAP協(xié)議


　　Diameter EAP （Extensible Authentication Protocol ——可擴展鑒別協(xié)議）協(xié)議提供了一個支持各種鑒別方法的標準機制。EAP其實是一種框架，一種幀格式，可以容納各種鑒別信息。EAP所提供的多回合鑒別是PAP和CHAP所不具備的。


　　EAP協(xié)議描述用戶、NAS(AAA客戶機)和AAA服務器之間有關EAP鑒別消息的請求和應答的關系，完成一次對鑒別請求的應答，中間可能需要多次消息交換過程。在移動終端MN移動的環(huán)境下，MN與FA之間的鑒別擴展采用EAP，即把FA看做是一個NAS，它作為Diameter AAA的客戶機，Diameter AAA服務器作為EAP的后端服務器，兩者之間載送EAP分組。端到端的EAP鑒別發(fā)生在用戶和它的H-AAA之間。


　�。�4）Diameter的CMS協(xié)議


　　Diameter CMS（Cryptographic Message Syntax ——密碼消息語法）協(xié)議實現(xiàn)了協(xié)議數(shù)據(jù)的Peer-to-Peer（端到端）加密。由于Diameter網(wǎng)絡中存在不可信的Relay（中繼）和Proxy（代理），而IPSec和TLS又只能實現(xiàn)跳到跳的安全，所以IETF定義了Diameter CMS應用協(xié)議來保證數(shù)據(jù)安全。


　�。�5）Diameter的MIP協(xié)議
由于未來移動通信網(wǎng)絡正逐步向全IP網(wǎng)絡演進，這就不可避免碰到用戶移動到外部域的問題。 Diameter MIP應用協(xié)議允許用戶漫游到外部域，并在經(jīng)過鑒權(quán)后接受外部域Server（服務器）和Agent（代理）提供的服務。在未來移動通信中，這種情況將十分常見，因此MIP協(xié)議對于移動通信系統(tǒng)來說至關重要. 當用戶移動到外部域的時候，需要進行一系列的消息交換才能安全地接入外部網(wǎng)絡，接受其提供的服務。MIP協(xié)議的實現(xiàn)環(huán)境中MN和HA都可以在家鄉(xiāng)域或在外地域，其中比較典型的一種情況是MN在外地域而HA在家鄉(xiāng)域。其接入過程如下節(jié)所示。


　　（6）采用Diameter MIP的一次典型的MN注冊過程如圖2所示（僅給出MN在外地域而HA在家鄉(xiāng)域的情況）：


　　i. 開機注冊前，MN只有NAI以及和AAAH的安全關聯(lián)的信息，沒有home address。


　　ii. 開機后，MN向FA發(fā)出注冊請求，其中包含的home address=0.0.0.0 ，home agent address=255.255.255.255


　　iii. FA接到注冊請求后，根據(jù)其中的信息生成AMR發(fā)給AAAF，其中MIP-Feature-Vector
AVP中Set Home-Agent-Request=1,Home-Address-
Allocatable-Only-in-Home-Realm=1


　　iv. AAAF接到AMR后轉(zhuǎn)發(fā)給AAAH。


　　v. AAAH收到AMR后，為MN分配HA，分配MN-HA、MN-FA之間的密鑰材料，和FA-HA之間的密鑰，向HA發(fā)出HAR，其中MIP-Reg-Request AVP包含Mobile IP 注冊請求信息。


　　vi. HA接到HAR，分配home address給MN，處理MIP-Reg-Request AVP，生成MIP-Reg-Reply AVP，包含在HAA中返回AAAH。


　　vii. AAAH收到HAA后生成AMA，包含MIP-Home-Agent-Address, MIP-Mobile-Node-Address AVPs，發(fā)給AAAF。


　　viii. AAAF將AMA轉(zhuǎn)發(fā)給FA。


　　ix. FA接到AMA后保留FA-HA密鑰,將FA-MN、HA-MN之間的密鑰材料通過注冊應答Registration-Reply發(fā)送給MN。


　　其中涉及到的名詞有：


　　·HA ： Home Agent ， 家鄉(xiāng)代理


　　·FA ：Foreign Agent ， 外部代理


　　·MN ： Mobile Node ， 移動節(jié)點


　　·AAAH ： AAA Home server ， AAA家鄉(xiāng)域服務器


　　·AAAF：AAA Foreign server ， AAA外地域服務器


　　·AMR ：AAA-Mobile-Node- Request ，AAA移動節(jié)點請求消息


　　·AMA : AAA-Mobile-Node- Answer ，AAA移動節(jié)點答復消息


　　·HAR : Home-Agent-MIP-Request ， 家鄉(xiāng)代理MIP請求消息


　　·HAA : Home-Agent-MIP-Answer ， 家鄉(xiāng)代理MIP答復消息


　　HA和MN在外地域或家鄉(xiāng)域的其他組合的情況與此類似，再此就不一一列舉。



　　4 未來展望



　　現(xiàn)在的互聯(lián)網(wǎng)協(xié)議IPv4支持的地址空間十分有限，而全球移動用戶卻不斷高速增長，達到如此龐大的規(guī)模，這就給目前使用的IP協(xié)議——IPv4在未來移動通信全IP網(wǎng)絡中的應用——帶來如此沉重的壓力。為了解決地址嚴重不足的問題，人們提出了新版本的IP協(xié)議——IPv6。IPv6能夠支持的3.4X10E38個惟一的128位地址，令IPv4望塵莫及。由于全球數(shù)十億個設備和用戶都需要各自惟一的IP地址，因此這種巨大的編址容量將是實現(xiàn)“始終在線”通信的關鍵因素。盡管人們主要關注的是IPv6的尋址能力，但它還擁有其它許多重要優(yōu)點，如改進和簡化的路由。IPv6還引進了新的安全等級并改善了對移動業(yè)務——包括基于WCDMA技術(shù)的網(wǎng)絡的支持，這將隨著中國等人口眾多的國家采用3G而日益重要。因此未來移動通信網(wǎng)絡中的AAA協(xié)議一定是基于移動IPv6的支持分布式處理的協(xié)議。不過，業(yè)界需要考慮和解決的問題仍然有許多。IPv4可能是一種成熟而逐漸過時的協(xié)議，但它仍然可以做出重要貢獻，并可能在未來一段時間內(nèi)與IPv6共存和互通。Diameter作為瞄準未來網(wǎng)絡同時又兼容當前網(wǎng)絡的AAA協(xié)議，提供了對這兩種版本MIP的支持(當然目前主要是對MIPv4的支持)。


　　相信隨著未來移動通信系統(tǒng)中全IP網(wǎng)絡的部署實施，支持移動IP（包括v4和v6）的Diameter協(xié)議必將會廣泛地使用到需要對移動終端進行認證、授權(quán)和計費的場合之中。



　　參 考 文 獻



　　[1] IETF AAA Working Group. Diameter Base Protocol. RFC3588. September 2003


　　[2] sami huusko. Nokia All-IP System Design Principles. Nokia Inc.. 2000.2


　　[3] IETF AAA Working Group. Mobile IP AAA Requirements. RFC2977. October 2000


　　[4] IETF AAA Working Group. Diameter Mobile IPv4 Application. Internet-Draft. October 2002


　　[5] IETF AAA Working Group. Diameter NAS Application. Internet-Draft. Jun 2003


　　[6] C. Perkins. Mobile IPv4 Challenge/Response. RFC 3012. November 2000


　　[7] Network Working Group. RADIUS Accounting. RFC 2866. June 2000


　　[8] IEEE 802.16 Working Group, IEEE P802.16-REVd/D5, 2004



　　 趙源超 北京郵電大學信息工程學院，博士研究生，主要從事通信系統(tǒng)安全方面的研究工作。


　　 陳 健 北京郵電大學信息工程學院，碩士研究生，主要從事通信系統(tǒng)安全方面的研究工作。


　　 李道本 教授，博士生導師，主要從事Las-CDMA移動通信系統(tǒng)的研究。 Working Group. Diameter-??





----《中國數(shù)據(jù)通信》