Diameter信令技术及信令网组织.pptx

Diameter信令技术及信令网组织.pptx

《Diameter信令技术及信令网组织.pptx》由会员分享，可在线阅读，更多相关《Diameter信令技术及信令网组织.pptx（54页珍藏版）》请在冰豆网上搜索。

1DiameterDiameter信令技术及信令网组织信令技术及信令网组织网络部网络部20132013年年77月月2网络组织规范体系的制定原则网络组织规范体系的制定原则网络组织规范体系的制定原则网络组织规范体系的制定原则2211网络组织规范体系的网络组织规范体系的网络组织规范体系的网络组织规范体系的定位定位定位定位22DiameterDiameter协议基本原理协议基本原理协议基本原理协议基本原理1133DRADRA组网及网络演进组网及网络演进组网及网络演进组网及网络演进DRADRA寻址方法及安全策略寻址方法及安全策略寻址方法及安全策略寻址方法及安全策略3信令IP化演进承载层信令层应用层SignalingOverTDM（SS7）SignalingOverIP（SIGTRAN）IPSignalingPLMNSoftSwitchIMSSAE/LTEIMSNGNPSTNFixedNetworkMobileNetworkSS7OverTDMSS7OverTDMSS7OverIP（SIGTRAN/BICC）SS7OverIP（SIGTRAN）Diameter/SIPOverIPDiameter/SIPDiameter/SIPOverIPTDMBearerNetworkIPBearerNetwork1995200520072010-n信令网从承载面的IP化（Sigtran协议）逐渐向信令层IP化演进nDiameter是全IP信令时代典型的核心网网元间通信协议4Diameter协议的起源nDiameter（直径）协议的最初提出是作为Radius（半径）（RemoteAuthenticationDialInUserService）协议的改进或者替代nDiameter协议是新一代AAA（Authentication，Authorization，Accounting）协议【认证、授权、计费】-Authentication：

认证表示确认请求是否合法，主要用于验证实体（例如设备名，用户名）的标识是否有效，是对用户身份的确认。

-Authorization：

授权表示确认该请求是否允许，主要用于确认授予该请求的权限（例如申请多少带宽），是对用户使用资源的权限的确认。

-Accounting：

计费表示收集用户的资源使用情况，主要用来审计、记账、趋势分析，是对用户资源使用情况的确认。

n认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。

这样既在一定程度上有效地保障了合法用户的权益，又能有效地保障网络系统安全可靠地运行。

5Diameter协议优势项目DiameterRadius传输机制有流量控制机制和拥塞控制机制（TCP，SCTP）没有流量控制机制和拥塞控制机制（UDP）故障检测和处理能力支持失败替代（failover）和失败回溯（faiback）；没有定义确切的重传机制，只简单的规定如果请求消息在一段时间内没有应答，这个请求将重传若干次错误消息处理机制假设服务器没有收到消息将进行重传消息直到最终放弃该消息无声丢弃安全支持端到端安全，支持TLS和IPSec；提供基于逐跳的安全，没有端到端的安全机制认证授权能力服务器可以随时根据需要主动发起重认证持与认证相分离的授权只有客户能发出重认证请求。

服务器不能根据需求要求重认证认证与重授权必须成对出现相对Radius，Diameter协议有如下优势：

Diameter2Radius6Diameter协议栈nDiameter协议采用了一种新的协议定义模式：

首先推出一个轻量的、易于实施的基础协议，旨在提供一个基本框架，其中包括实现相关功能的最基本要求。

并针对不同的网络情况和业务需求，分别制定相应的应用扩展nDiameter协议族包括：

基础协议、传送协议、不同的应用协议nDiameter基础协议在IETFRFC3588中定义，描述了Diameter协议的基本功能（如消息格式、AVP格式、逐跳安全、代理、错误报告等），是应用的基础n各种应用协议可以在基础协议的基础上，根据具体应用需求进行扩展7Diameter-连接与会话nConnection（连接）是传输层的概念，负责在两个对等端（Peer）之间传输Diameter消息nSession（会话）是应用层的概念，在一个接入设备和一个服务器之间共享，可以用Session-idAVP来标识n一个会话可以跨越多个连接，而用于多会话的Diameter消息也可以在一个单独的连接中传送8Diameter-角色nClient（客户）发起一个请求处于Diameter网络边缘，完成接入控制，例如NAS。

为所服务的用户请求认证、授权和计费服务nServer（服务器）响应一个请求完成对用户的认证、授权和计费nAgent（代理）代理自身不完成认证和授权的处理包括Relay，Proxy，Redirect，Translation四种类型Relay:

利用路由表进行消息路由，本身是协议透明的Proxy:

提供对请求和响应的增值处理，同时利用路由表进行消息路由Redirect:

重定向请求Translation:

实现其它AAA协议（如Radius）和Diameter协议的转换n在Diameter协议之中，每一个（支持Diameter协议的）网络功能节点都称为Peer，任何一个Peer可以充当Client/Server/Agent的角色，且一个Peer可能同时充当上述多种角色；nPeer之间通过DiameterConnection（Diameter链路集）相连；nDiameter链路集内可以包括1到多个Diameter链路。

nDiameter协议中功能节点角色分为三类9Diameter-RelayAgentnRelayAgent对消息进行转发，只增加或者删除路由信息，不改变应用层信息在被转发的Diameter消息体中添加一个Router-RecordAVP字段以记录消息的路径，同时要给该消息分配一个新的HopByHop字段RelayAgent不维护会话状态，但必须维护事务状态通常用来减少客户端和服务器的配置负担，简化网络的复杂性不需要对所有Diameter节点都进行复杂的配置，比如只需配置节点让Diameter消息转发到RelayAgents，然后在RelayAgents上进行比较全面的路由配置即可10Diameter-ProxyAgentnProxyAgent可以路由转发Diameter消息ProxyAgent可以修改Diameter消息体，以实现某种特定的应用代理需求ProxyAgent需要维护事物的状态，执行资源限制的Proxy必须保持会话状态不能支持端到端的加密服务器客户Proxy1.请求2.请求3.响应4.响应11Diameter-RedirectAgentRedirectAgent的优势之一是集中配置路由信息。

但集中的消息路由总是在配置的简化和故障的自愈能力间折中。

nRedirectAgentRedirectAgent本身并不转发任何消息，仅返回一个应答，其中包括Diameter代理间直接通信所需要的信息RedirectAgent收到Diameter消息后，回复一个应答消息给发送者，应答消息中包含一个或者多个地址，告诉发送者应该将消息发往这些地址当RelayAgent无法寻找到恰当的路由时，可以将消息通过缺省路由发给RedirectAgent，由后者指定一个特定路由响应给RelayAgentRedirectAgent不修改Diameter消息体RedirectAgent不接收应答消息，所以不用保持会话状态；RedirectAgent不转发请求，也不需要保持事务状态12Diameter-TranslationAgentnTranslationAgent提供协议转换功能如RadiusDiameter,TACACS+DiameterTranslationAgent必须保持会话状态和事务状态。

TranslationAgent是保持传统AAA协议网络功能节点的有效性以及与新协议的互通，保护网络运营商或者内容提供商的既有投资13Diameter消息格式nVersion：

版本号，目前为1nMessageLength：

指明该Diameter消息的字节长度，包括头字段、消息体等内容。

nCommandFlags（命令标记）：

RPETrrrrR（equest）：

请求消息填写为1，响应消息填写为0P（roxiable）：

如果置1，该消息可以被Proxy、中继或者重定向。

如果置0，该消息必须在本地处理E（rror）：

如果置1，说明产生了一个协议错误，只能出现在响应消息中T（Potentiallyre-transmittedmessage）：

如果置1，说明本消息是重发消息，不能出现在响应消息中【不希望响应消息重发】r：

预留，必须设置为014Diameter消息格式（续）nCommand-Code：

消息命令码，用来标识各种Diameter消息，由IANA统一分配；响应消息和对应的请求消息的命令字是一样的（Diameter协议的基本命令码包括CERCEA（257）,DWRDWA（280）,DPRDPA（282））nApplication-ID：

应用标识，由IANA统一分配。

Diameter基本协议之中定义的Application-ID包括：

DiameterCommonMessages（0）,NASREQ

（1）,Mobile-IP

（2）,DiameterBaseAccounting（3）,Relay（0xffffffff）nHop-by-HopIdentifier：

用来匹配请求和响应消息，在一个指定的连接上的任何时间都必须是唯一的；该值在Diameter消息转发时会被Agent修改；一个带有未知Hop-by-Hop标识符的应答消息必须被丢弃nEnd-to-EndIdentifier：

用来检测重复消息；该值在本地的一段时间内必须是唯一的，传输过程中一直保持不变；目标主机会根据该值和Original-HostAVP来判读是否是重复消息。

15DiameterAVP格式nAVPCode:

AVP码，用于标识一个AVP，由IANA统一分配。

例如Original-HostAVP的Code值为264nAVPflags:

nV（endorspecific）:

如果置1，说明Vendor-ID存在nM（andatory）：

如果置1，说明该AVP是必须的。

就一个特定的Diameter命令而言，有一些AVP是必须出现的，例如Original-HostAVP和Original-RealmAVP在任何Diameter消息之中都是必须出现的，Session-IDAVP在Diameter的计费应用命令字之中必须出现nP：

如果置1，说明需要保证该AVP端到端的安全性nr：

预留16DiameterAVP格式（续）nAVPLength:

整个AVP的长度，注意任何AVP的数据部分长度都必须为4的整数倍，不够的以0填充nVendor-ID：

可选，标识生成本AVP值的设备供应商，由IANA统一分配；如果AVPflags中的V被置1，说明该域存在；nData：

记录具体的数据值，具体数据的类型是由AVPCode决定的，格式必须是以下基本数据类型中的一种，或者是基本数据类型导出的一个数据类型nOctetString、Integer32、Integer64、Unsigned32、Unsigned64、Float32、Float64、Grouped17Diameter连接状态管理PEERDASCTP链路建立CERCEA能力协商成功，Diameter链路正常发送周期性心跳消息，维护链路状态DWRDWAPEERDADPRDPASCTP链路删除DPRDPASCTP链路删除Diameter连接断开流程DA主动断链对端主动断链Diameter连接建立流程nCERCEA（Capabilities-Exchange-Request/Answer）是Diameter基本协议命令字，应用于连接