新一代的AAA協(xié)議——Diameter

趙源超 陳健 李道本


　�。ū本┼]電大學(xué)信息工程學(xué)院）



　　摘 要 本文首先介紹了鑒別，授權(quán)，計(jì)費(fèi)協(xié)議的概念，并指出其在移動通信系統(tǒng)中的地位和作用。接著分析了目前最常用的認(rèn)證計(jì)費(fèi)協(xié)議——RADIUS，分析了該協(xié)議的優(yōu)點(diǎn)和缺陷。針對RADIUS的不足之處，本文引入了它的升級版本——Diameter協(xié)議。在全面介紹Diameter協(xié)議的基礎(chǔ)上，重點(diǎn)描述了在Diameter協(xié)議的MIP應(yīng)用中一個(gè)用戶終端如何完成一次完整的認(rèn)證。最后指出在未來移動通信網(wǎng)逐漸向全I(xiàn)P過渡的情況下，Diameter協(xié)議必將得到廣泛的應(yīng)用。


　　關(guān)鍵詞 鑒別 授權(quán) 計(jì)費(fèi) 移動通信 Radius Diameter 移動IP



　　1 AAA簡介



　　AAA指的是Authentication（鑒別），Authorization（授權(quán)），Accounting（計(jì)費(fèi)）。自網(wǎng)絡(luò)誕生以來，認(rèn)證、授權(quán)以及計(jì)費(fèi)體制（AAA）就成為其運(yùn)營的基礎(chǔ)。網(wǎng)絡(luò)中各類資源的使用，需要由認(rèn)證、授權(quán)和計(jì)費(fèi)進(jìn)行管理。而AAA的發(fā)展與變遷自始至終都吸引著營運(yùn)商的目光。對于一個(gè)商業(yè)系統(tǒng)來說，鑒別是至關(guān)重要的，只有確認(rèn)了用戶的身份，才能知道所提供的服務(wù)應(yīng)該向誰收費(fèi)，同時(shí)也能防止非法用戶（黑客）對網(wǎng)絡(luò)進(jìn)行破壞。在確認(rèn)用戶身份后，根據(jù)用戶開戶時(shí)所申請的服務(wù)類別，系統(tǒng)可以授予客戶相應(yīng)的權(quán)限。最后，在用戶使用系統(tǒng)資源時(shí)，需要有相應(yīng)的設(shè)備來統(tǒng)計(jì)用戶所對資源的占用情況，據(jù)此向客戶收取相應(yīng)的費(fèi)用。


　　其中，鑒別（Authentication）指用戶在使用網(wǎng)絡(luò)系統(tǒng)中的資源時(shí)對用戶身份的確認(rèn)。這一過程，通過與用戶的交互獲得身份信息（諸如用戶名—口令組合、生物特征獲得等），然后提交給認(rèn)證服務(wù)器；后者對身份信息與存儲在數(shù)據(jù)庫里的用戶信息進(jìn)行核對處理，然后根據(jù)處理結(jié)果確認(rèn)用戶身份是否正確。例如，GSM移動通信系統(tǒng)能夠識別其網(wǎng)絡(luò)內(nèi)網(wǎng)絡(luò)終端設(shè)備的標(biāo)志和用戶標(biāo)志。授權(quán)（Authorization）網(wǎng)絡(luò)系統(tǒng)授權(quán)用戶以特定的方式使用其資源，這一過程指定了被認(rèn)證的用戶在接入網(wǎng)絡(luò)后能夠使用的業(yè)務(wù)和擁有的權(quán)限，如授予的IP地址等。仍以GSM移動通信系統(tǒng)為例，認(rèn)證通過的合法用戶，其業(yè)務(wù)權(quán)限（是否開通國際電話主叫業(yè)務(wù)等）則是用戶和運(yùn)營商在事前已經(jīng)協(xié)議確立的。計(jì)費(fèi)（Accounting）網(wǎng)絡(luò)系統(tǒng)收集、記錄用戶對網(wǎng)絡(luò)資源的使用，以便向用戶收取資源使用費(fèi)用，或者用于審計(jì)等目的。以互聯(lián)網(wǎng)接入業(yè)務(wù)供應(yīng)商ISP為例，用戶的網(wǎng)絡(luò)接入使用情況可以按流量或者時(shí)間被準(zhǔn)確記錄下來。


　　認(rèn)證、授權(quán)和計(jì)費(fèi)一起實(shí)現(xiàn)了網(wǎng)絡(luò)系統(tǒng)對特定用戶的網(wǎng)絡(luò)資源使用情況的準(zhǔn)確記錄。這樣既在一定程度上有效地保障了合法用戶的權(quán)益，又能有效地保障網(wǎng)絡(luò)系統(tǒng)安全可靠地運(yùn)行�？紤]到不同網(wǎng)絡(luò)融合以及互聯(lián)網(wǎng)本身的發(fā)展，迫切需要新一代的基于IP的AAA技術(shù)。因此出現(xiàn)了Diameter協(xié)議。



　　2 AAA在移動通信系統(tǒng)中的應(yīng)用



　　在移動通信系統(tǒng)中，用戶要訪問網(wǎng)絡(luò)資源，首先要進(jìn)行用戶的入網(wǎng)認(rèn)證，這樣用戶才能訪問網(wǎng)絡(luò)資源。鑒別的過程就是驗(yàn)證用戶身份的合法性；鑒別完成后，才能對用戶訪問網(wǎng)絡(luò)資源進(jìn)行授權(quán)，并對用戶訪問網(wǎng)絡(luò)資源進(jìn)行計(jì)費(fèi)管理。一般來講，鑒別過程由三個(gè)實(shí)體來完成的。用戶（Client）、認(rèn)證器（Authenticator）、AAA服務(wù)器（Authentication 、Authorization和Accounting Server）。在第三代移動通信系統(tǒng)的早期版本中，用戶也稱為MN（移動節(jié)點(diǎn)），Authenticator在NAS（Network Access Server）中實(shí)現(xiàn)，它們之間采用PPP協(xié)議，認(rèn)證器和AAA服務(wù)器之間采用AAA協(xié)議（以前的方式采用遠(yuǎn)程訪問撥號用戶服務(wù)RADIUS（Remote Access Dial up User Service）；Raduis英文原意為半徑，原先的目的是為撥號用戶進(jìn)行鑒別和計(jì)費(fèi)。后來經(jīng)過多次改進(jìn)，形成了一項(xiàng)通用的鑒別計(jì)費(fèi)協(xié)議）。


　　RADIUS是一種C/S結(jié)構(gòu)的協(xié)議，它的客戶端最初就是NAS（Net Access Server）服務(wù)器，現(xiàn)在任何運(yùn)行RADIUS客戶端軟件的計(jì)算機(jī)都可以成為RADIUS的客戶端。RADIUS協(xié)議認(rèn)證機(jī)制靈活，可以采用PAP、CHAP或者Unix登錄認(rèn)證等多種方式。RADIUS是一種可擴(kuò)展的協(xié)議，它進(jìn)行的全部工作都是基于Attribute-Length-Value的向量進(jìn)行的。RADIUS的基本工作原理是:用戶接入NAS，NAS向RADIUS服務(wù)器使用Access-Require數(shù)據(jù)包提交用戶信息，包括用戶名、密碼等相關(guān)信息，其中用戶密碼是經(jīng)過MD5加密的，雙方使用共享密鑰，這個(gè)密鑰不經(jīng)過網(wǎng)絡(luò)傳播；RADIUS服務(wù)器對用戶名和密碼的合法性進(jìn)行檢驗(yàn)，必要時(shí)可以提出一個(gè)Challenge，要求進(jìn)一步對用戶認(rèn)證，也可以對NAS進(jìn)行類似的認(rèn)證；如果合法，給NAS返回Access-Accept數(shù)據(jù)包，允許用戶進(jìn)行下一步工作，否則返回Access-Reject數(shù)據(jù)包，拒絕用戶訪問；如果允許訪問，NAS向RADIUS服務(wù)器提出計(jì)費(fèi)請求Account-Require，RADIUS服務(wù)器響應(yīng)Account-Accept，對用戶的計(jì)費(fèi)開始，同時(shí)用戶可以進(jìn)行自己的相關(guān)操作。


　　RADIUS是目前最常用的認(rèn)證計(jì)費(fèi)協(xié)議之一，它簡單安全，易于管理，擴(kuò)展性好，所以得到廣泛應(yīng)用。但是由于協(xié)議本身的缺陷，比如基于UDP的傳輸、簡單的丟包機(jī)制、沒有關(guān)于重傳的規(guī)定和集中式計(jì)費(fèi)服務(wù)，都使得它不太適應(yīng)當(dāng)前網(wǎng)絡(luò)的發(fā)展，需要進(jìn)一步改進(jìn)。


　　隨著新的接入技術(shù)的引入（如無線接入、DSL、移動IP和以太網(wǎng)）和接入網(wǎng)絡(luò)的快速擴(kuò)容，越來越復(fù)雜的路由器和接入服務(wù)器大量投入使用，對AAA協(xié)議提出了新的要求，使得傳統(tǒng)的RADIUS結(jié)構(gòu)的缺點(diǎn)日益明顯。目前,3G網(wǎng)絡(luò)正逐步向全I(xiàn)P網(wǎng)絡(luò)演進(jìn)，不僅在核心網(wǎng)絡(luò)使用支持IP的網(wǎng)絡(luò)實(shí)體，在接入網(wǎng)絡(luò)也使用基于IP的技術(shù)，而且移動終端也成為可激活的IP客戶端。如在WCDMA當(dāng)前規(guī)劃的R6版本就新增以下特性：UTRAN和CN傳輸增強(qiáng)；無線接口增強(qiáng)；多媒體廣播和多播（MBMS）；數(shù)字權(quán)限管理（DRM）；WLAN-UMTS互通；優(yōu)先業(yè)務(wù)；通用用戶信息（GUP）；網(wǎng)絡(luò)共享；不同網(wǎng)絡(luò)間的互通等。在這樣的網(wǎng)絡(luò)中，移動IP將被廣泛使用。支持移動IP的終端可以在注冊的家鄉(xiāng)網(wǎng)絡(luò)中移動，或漫游到其他運(yùn)營商的網(wǎng)絡(luò)。當(dāng)終端要接入到網(wǎng)絡(luò)，并使用運(yùn)營商提供的各項(xiàng)業(yè)務(wù)時(shí)，就需要嚴(yán)格的AAA過程。AAA服務(wù)器要對移動終端進(jìn)行認(rèn)證，授權(quán)允許用戶使用的業(yè)務(wù)，并收集用戶使用資源的情況，以產(chǎn)生計(jì)費(fèi)信息。這就需要采用新一代的AAA協(xié)議——Diameter。此外，在IEEE的無線局域網(wǎng)協(xié)議802.16e的建議草案中，網(wǎng)絡(luò)參考模型里也包含了鑒別和授權(quán)服務(wù)器ASA Server，以支持移動臺在不同基站之間的切換�？梢姡�在未來移動通信系統(tǒng)中，AAA服務(wù)器占據(jù)了很重要的位置。


　　經(jīng)過討論，IETF的AAA工作組同意將Diameter協(xié)議作為下一代的AAA協(xié)議標(biāo)準(zhǔn)。Diameter（為直徑，意為著Diameter協(xié)議是RADIUS協(xié)議的升級版本）協(xié)議包括基本協(xié)議，NAS（網(wǎng)絡(luò)接入服務(wù)）協(xié)議，EAP（可擴(kuò)展鑒別）協(xié)議，MIP（移動IP）協(xié)議，CMS（密碼消息語法）協(xié)議等。Diameter協(xié)議支持移動IP、NAS請求和移動代理的認(rèn)證、授權(quán)和計(jì)費(fèi)工作，協(xié)議的實(shí)現(xiàn)和RADIUS類似，也是采用AVP，屬性值對（采用Attribute-Length-Value三元組形式）來實(shí)現(xiàn)，但是其中詳細(xì)規(guī)定了錯(cuò)誤處理, failover機(jī)制,采用TCP協(xié)議，支持分布式計(jì)費(fèi)，克服了RADIUS的許多缺點(diǎn)，是最適合未來移動通信系統(tǒng)的AAA協(xié)議。



　　3 新一代的AAA協(xié)議——Diameter



　　Diameter應(yīng)用協(xié)議族和其他網(wǎng)絡(luò)協(xié)議的關(guān)系如圖1所示：


　　（1） Diameter的基礎(chǔ)協(xié)議（Base protocol）


　　Diameter基本協(xié)議為移動IP（Mobile IP）、網(wǎng)絡(luò)接入服務(wù)（NAS）等應(yīng)用提供最基本的服務(wù)，例如用戶會話、計(jì)費(fèi)等，具有能力協(xié)商、差錯(cuò)通知等功能。協(xié)議元素由眾多命令和AVP（屬性值對）構(gòu)成，可以在客戶機(jī)、代理、服務(wù)器之間傳遞鑒別、授權(quán)和計(jì)費(fèi)信息。但是不管客戶機(jī)、代理還是服務(wù)器，都可以主動發(fā)出會話請求，對方給予應(yīng)答，所以也叫對等實(shí)體之間的協(xié)議。命令代碼、AVP值和種類都可以按應(yīng)用需要和規(guī)則進(jìn)行擴(kuò)展。


　�。�2）Diameter的NAS協(xié)議


　　Diameter的NAS協(xié)議既是Network Access Service（網(wǎng)絡(luò)接入服務(wù)）協(xié)議。由NAS客戶機(jī)處理用戶MN的接入請求（RegReq），將收到的客戶認(rèn)證信息轉(zhuǎn)送給NAS服務(wù)器；服務(wù)器對客戶進(jìn)行鑒別，將結(jié)果（Success/Fail）發(fā)給客戶機(jī)；客戶機(jī)通過RegReply將結(jié)果發(fā)回給MN，并根據(jù)結(jié)果對MN進(jìn)行相應(yīng)處理。


　　NAS作為網(wǎng)絡(luò)接入服務(wù)器，在其用戶端口接收到呼叫或服務(wù)請求時(shí)便開始與AAA服務(wù)器之間進(jìn)行消息交換，有關(guān)呼叫的信息、用戶身份和用戶鑒別信息被打包成一種AAA消息發(fā)給AAA服務(wù)器。實(shí)際上，移動IP中的FA可以看成是通過空中的MPPP鏈路接收移動終端MN的服務(wù)連接請求的NAS服務(wù)器，它作為AAA服務(wù)器的客戶機(jī)，在兩者之間交換NAS消息請求和應(yīng)答。


　�。�3）Diameter的EAP協(xié)議


　　Diameter EAP （Extensible Authentication Protocol ——可擴(kuò)展鑒別協(xié)議）協(xié)議提供了一個(gè)支持各種鑒別方法的標(biāo)準(zhǔn)機(jī)制。EAP其實(shí)是一種框架，一種幀格式，可以容納各種鑒別信息。EAP所提供的多回合鑒別是PAP和CHAP所不具備的。


　　EAP協(xié)議描述用戶、NAS(AAA客戶機(jī))和AAA服務(wù)器之間有關(guān)EAP鑒別消息的請求和應(yīng)答的關(guān)系，完成一次對鑒別請求的應(yīng)答，中間可能需要多次消息交換過程。在移動終端MN移動的環(huán)境下，MN與FA之間的鑒別擴(kuò)展采用EAP，即把FA看做是一個(gè)NAS，它作為Diameter AAA的客戶機(jī)，Diameter AAA服務(wù)器作為EAP的后端服務(wù)器，兩者之間載送EAP分組。端到端的EAP鑒別發(fā)生在用戶和它的H-AAA之間。


　�。�4）Diameter的CMS協(xié)議


　　Diameter CMS（Cryptographic Message Syntax ——密碼消息語法）協(xié)議實(shí)現(xiàn)了協(xié)議數(shù)據(jù)的Peer-to-Peer（端到端）加密。由于Diameter網(wǎng)絡(luò)中存在不可信的Relay（中繼）和Proxy（代理），而IPSec和TLS又只能實(shí)現(xiàn)跳到跳的安全，所以IETF定義了Diameter CMS應(yīng)用協(xié)議來保證數(shù)據(jù)安全。


　�。�5）Diameter的MIP協(xié)議
由于未來移動通信網(wǎng)絡(luò)正逐步向全I(xiàn)P網(wǎng)絡(luò)演進(jìn)，這就不可避免碰到用戶移動到外部域的問題。 Diameter MIP應(yīng)用協(xié)議允許用戶漫游到外部域，并在經(jīng)過鑒權(quán)后接受外部域Server（服務(wù)器）和Agent（代理）提供的服務(wù)。在未來移動通信中，這種情況將十分常見，因此MIP協(xié)議對于移動通信系統(tǒng)來說至關(guān)重要. 當(dāng)用戶移動到外部域的時(shí)候，需要進(jìn)行一系列的消息交換才能安全地接入外部網(wǎng)絡(luò)，接受其提供的服務(wù)。MIP協(xié)議的實(shí)現(xiàn)環(huán)境中MN和HA都可以在家鄉(xiāng)域或在外地域，其中比較典型的一種情況是MN在外地域而HA在家鄉(xiāng)域。其接入過程如下節(jié)所示。


　　（6）采用Diameter MIP的一次典型的MN注冊過程如圖2所示（僅給出MN在外地域而HA在家鄉(xiāng)域的情況）：


　　i. 開機(jī)注冊前，MN只有NAI以及和AAAH的安全關(guān)聯(lián)的信息，沒有home address。


　　ii. 開機(jī)后，MN向FA發(fā)出注冊請求，其中包含的home address=0.0.0.0 ，home agent address=255.255.255.255


　　iii. FA接到注冊請求后，根據(jù)其中的信息生成AMR發(fā)給AAAF，其中MIP-Feature-Vector
AVP中Set Home-Agent-Request=1,Home-Address-
Allocatable-Only-in-Home-Realm=1


　　iv. AAAF接到AMR后轉(zhuǎn)發(fā)給AAAH。


　　v. AAAH收到AMR后，為MN分配HA，分配MN-HA、MN-FA之間的密鑰材料，和FA-HA之間的密鑰，向HA發(fā)出HAR，其中MIP-Reg-Request AVP包含Mobile IP 注冊請求信息。


　　vi. HA接到HAR，分配home address給MN，處理MIP-Reg-Request AVP，生成MIP-Reg-Reply AVP，包含在HAA中返回AAAH。


　　vii. AAAH收到HAA后生成AMA，包含MIP-Home-Agent-Address, MIP-Mobile-Node-Address AVPs，發(fā)給AAAF。


　　viii. AAAF將AMA轉(zhuǎn)發(fā)給FA。


　　ix. FA接到AMA后保留FA-HA密鑰,將FA-MN、HA-MN之間的密鑰材料通過注冊應(yīng)答Registration-Reply發(fā)送給MN。


　　其中涉及到的名詞有：


　　·HA ： Home Agent ， 家鄉(xiāng)代理


　　·FA ：Foreign Agent ， 外部代理


　　·MN ： Mobile Node ， 移動節(jié)點(diǎn)


　　·AAAH ： AAA Home server ， AAA家鄉(xiāng)域服務(wù)器


　　·AAAF：AAA Foreign server ， AAA外地域服務(wù)器


　　·AMR ：AAA-Mobile-Node- Request ，AAA移動節(jié)點(diǎn)請求消息


　　·AMA : AAA-Mobile-Node- Answer ，AAA移動節(jié)點(diǎn)答復(fù)消息


　　·HAR : Home-Agent-MIP-Request ， 家鄉(xiāng)代理MIP請求消息


　　·HAA : Home-Agent-MIP-Answer ， 家鄉(xiāng)代理MIP答復(fù)消息


　　HA和MN在外地域或家鄉(xiāng)域的其他組合的情況與此類似，再此就不一一列舉。



　　4 未來展望



　　現(xiàn)在的互聯(lián)網(wǎng)協(xié)議IPv4支持的地址空間十分有限，而全球移動用戶卻不斷高速增長，達(dá)到如此龐大的規(guī)模，這就給目前使用的IP協(xié)議——IPv4在未來移動通信全I(xiàn)P網(wǎng)絡(luò)中的應(yīng)用——帶來如此沉重的壓力。為了解決地址嚴(yán)重不足的問題，人們提出了新版本的IP協(xié)議——IPv6。IPv6能夠支持的3.4X10E38個(gè)惟一的128位地址，令I(lǐng)Pv4望塵莫及。由于全球數(shù)十億個(gè)設(shè)備和用戶都需要各自惟一的IP地址，因此這種巨大的編址容量將是實(shí)現(xiàn)“始終在線”通信的關(guān)鍵因素。盡管人們主要關(guān)注的是IPv6的尋址能力，但它還擁有其它許多重要優(yōu)點(diǎn)，如改進(jìn)和簡化的路由。IPv6還引進(jìn)了新的安全等級并改善了對移動業(yè)務(wù)——包括基于WCDMA技術(shù)的網(wǎng)絡(luò)的支持，這將隨著中國等人口眾多的國家采用3G而日益重要。因此未來移動通信網(wǎng)絡(luò)中的AAA協(xié)議一定是基于移動IPv6的支持分布式處理的協(xié)議。不過，業(yè)界需要考慮和解決的問題仍然有許多。IPv4可能是一種成熟而逐漸過時(shí)的協(xié)議，但它仍然可以做出重要貢獻(xiàn)，并可能在未來一段時(shí)間內(nèi)與IPv6共存和互通。Diameter作為瞄準(zhǔn)未來網(wǎng)絡(luò)同時(shí)又兼容當(dāng)前網(wǎng)絡(luò)的AAA協(xié)議，提供了對這兩種版本MIP的支持(當(dāng)然目前主要是對MIPv4的支持)。


　　相信隨著未來移動通信系統(tǒng)中全I(xiàn)P網(wǎng)絡(luò)的部署實(shí)施，支持移動IP（包括v4和v6）的Diameter協(xié)議必將會廣泛地使用到需要對移動終端進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)的場合之中。



　　參 考 文 獻(xiàn)



　　[1] IETF AAA Working Group. Diameter Base Protocol. RFC3588. September 2003


　　[2] sami huusko. Nokia All-IP System Design Principles. Nokia Inc.. 2000.2


　　[3] IETF AAA Working Group. Mobile IP AAA Requirements. RFC2977. October 2000


　　[4] IETF AAA Working Group. Diameter Mobile IPv4 Application. Internet-Draft. October 2002


　　[5] IETF AAA Working Group. Diameter NAS Application. Internet-Draft. Jun 2003


　　[6] C. Perkins. Mobile IPv4 Challenge/Response. RFC 3012. November 2000


　　[7] Network Working Group. RADIUS Accounting. RFC 2866. June 2000


　　[8] IEEE 802.16 Working Group, IEEE P802.16-REVd/D5, 2004



　　 趙源超 北京郵電大學(xué)信息工程學(xué)院，博士研究生，主要從事通信系統(tǒng)安全方面的研究工作。


　　 陳 健 北京郵電大學(xué)信息工程學(xué)院，碩士研究生，主要從事通信系統(tǒng)安全方面的研究工作。


　　 李道本 教授，博士生導(dǎo)師，主要從事Las-CDMA移動通信系統(tǒng)的研究。 Working Group. Diameter-??





----《中國數(shù)據(jù)通信》