Diameter協議學習筆記一協議介紹

一、摘要：

diameter協議主要為應用程式提供認證、鑑權、計費框架，即aaa，並支援本地aaa和漫遊場景下的aaa。

二、介紹：

aaa協議、例如tacacs、radius起初是為了提供ppp及終端接入，隨著internet及新的接入技術的發展，包括無線、dsl、移動ip, 乙太網路由、網路訪問伺服器（nas）在複雜和密集性方面有所增強，這對aaa協議提出了新的要求。

例如，網路訪問對aaa 協議提出的要求總結有以下這些：

radius協議沒有定義failover機制，因此，failover的行為隨著程式的實現不同而各異，為了提供乙個明確定義的failover行為，diameter支援應用層的應答，並定義failover的西裝演算法和偶聯狀態機。

radius在定義了應用層的認證，但僅使用了響應包，radext定義了另外的認證，但僅要求在eap session中使用，且支援屬性隱藏。rfc3162為radius定義了ipsec，但對其支援並沒有做要求，diameter強制要求支援ipsec,tls的支援可選擇。

radius執行在udp上，且沒有定義重傳行為，所有，可靠性因實現不同而各異。diameter執行在可靠的傳輸層（tcp, sctp）上。

radius沒有明確地規定支援agent，包括proxies, redirects, relays。diameter明確地定義了**的行為。

radius中對於伺服器發起訊息的支援是可選的，這就使用一些如主動斷鏈、或者重新認證或重新鑑權等特性實現困難。伺服器發起訊息在diameter中強制要求支援。

radius沒有定義資料物件安全機制，結果，不受信任的**可能修改屬性或都包頭，並且不會被檢測出來，結合對能力協商機制的缺失，無法預期結果會發生什麼。diameter也沒有定義資料物件安全機制，但支援能力協商。

diameter使用的通用協議資料單元(pdu)與radius不同，但支援向前相容radius,所以兩種協議可以部署在同一網路中。

radius不支援錯誤訊息、能力協商、及表示屬性強制/非強制的標誌位。因此radius的客戶端和服務端不擔心對方的能力，它們可能不會成功地協商乙個相互接受的服務，或者在一些情況下，需要知道哪些服務對端已經實現，以上幾點diameter均支援。

radius要求人工配置服務端或客戶端的名稱或位址，相應地增加了秘密的共享，帶來管理和安全上的負擔。通過dns，diameter可以動態發現對端，並通過傳輸層安全來保證。

radius不提供對proxyr的明確支援，缺少可審核性、傳輸層安全，使得在漫遊場景下容易引發安全問題，diameter支援域內漫遊、訊息路由、可審核性、傳輸層安全特性，可提供可安全和可靠的漫遊。

Diameter協議學習筆記一 協議介紹