1、Diameter的基础协议(Base protocol)
Diameter基本协议为移动IP(Mobile IP)、网络接入服务(NAS)等应用提供最基本的服务,例如用户会话、计费等,具有能力协商、差错通知等功能。协议元素由众多命令和AVP(属性值对)构成,可以在客户机、代理、服务器之间传递鉴别、授权和计费信息。但是不管客户机、代理还是服务器,都可以主动发出会话请求,对方给予应答,所以也叫对等实体之间的协议。命令代码、AVP值和种类都可以按应用需要和规则进行扩展。
2、Diameter的NAS协议
Diameter的NAS协议即是Network Access Service(网络接入服务)协议。由NAS客户机处理用户MN的接入请求(RegReq),将收到的客户认证信息转送给NAS服务器;服务器对客户进行鉴别,将结果(Success/Fail)发给客户机;客户机通过RegReply将结果发回给MN,并根据结果对MN进行相应处理。
NAS作为网络接入服务器,在其用户端口接收到呼叫或服务请求时便开始与AAA服务器之间进行消息交换,有关呼叫的信息、用户身份和用户鉴别信息被打包成一种AAA消息发给AAA服务器。实际上,移动IP中的FA可以看成是通过空中的MPPP链路接收移动终端MN的服务连接请求的NAS服务器,它作为AAA服务器的客户机,在两者之间交换NAS消息请求和应答。
3、Diameter的EAP协议
Diameter EAP (Extensible Authentication Protocol ——可扩展鉴别协议)协议提供了一个支持各种鉴别方法的标准机制。EAP其实是一种框架,一种帧格式,可以容纳各种鉴别信息。EAP所提供的多回合鉴别是PAP和CHAP所不具备的。
EAP协议描述用户、NAS(AAA客户机)和AAA服务器之间有关EAP鉴别消息的请求和应答的关系,完成一次对鉴别请求的应答,中间可能需要多次消息交换过程。在移动终端MN移动的环境下,MN与FA之间的鉴别扩展采用EAP,即把FA看做是一个NAS,它作为Diameter AAA的客户机,Diameter AAA服务器作为EAP的后端服务器,两者之间载送EAP分组。端到端的EAP鉴别发生在用户和它的H-AAA之间。
4、Diameter的CMS协议
Diameter CMS(Cryptographic Message Syntax--密码消息语法)协议实现了协议数据的Peer-to-Peer(端到端)加密。由于Diameter网络中存在不可信的Relay(中继)和Proxy(代理),而IPSec和TLS又只能实现跳到跳的安全,所以IETF定义了Diameter CMS应用协议来保证数据安全。
5、Diameter的MIP协议
由于未来移动通信网络正逐步向全IP网络演进,这就不可避免碰到用户移动到外部域的问题。 Diameter MIP应用协议允许用户漫游到外部域,并在经过鉴权后接受外部域Server(服务器)和Agent(代理)提供的服务。在未来移动通信中,这种情况将十分常见,因此MIP协议对于移动通信系统来说至关重要. 当用户移动到外部域的时候,需要进行一系列的消息交换才能安全地接入外部网络,接受其提供的服务。MIP协议的实现环境中MN和HA都可以在家乡域或在外地域,其中比较典型的一种情况是MN在外地域而HA在家乡域。其接入过程如下节所示。
6、采用Diameter MIP的一次典型的MN注册过程,仅给出MN在外地域而HA在家乡域的情况:
1)开机注册前,MN只有NAI以及和AAAH的安全关联的信息,没有home address。
2)开机后,MN向FA发出注册请求,其中包含的home address=
3)FA接到注册请求后,根据其中的信息生成AMR发给AAAF,其中MIP-Feature-Vector
AVP中Set Home-Agent-Request=1,Home-Address-Allocatable-Only-in-Home-Realm=1
4)AAAF接到AMR后转发给AAAH。
5)AAAH收到AMR后,为MN分配HA,分配MN-HA、MN-FA之间的密钥材料,和FA-HA之间的密钥,向HA发出HAR,其中MIP-Reg-Request AVP包含Mobile IP 注册请求信息。
6)HA接到HAR,分配home address给MN,处理MIP-Reg-Request AVP,生成MIP-Reg-Reply AVP,包含在HAA中返回AAAH。
7)AAAH收到HAA后生成AMA,包含MIP-Home-Agent-Address, MIP-Mobile-Node-Address AVPs,发给AAAF。
8)AAAF将AMA转发给FA。
9)FA接到AMA后保留FA-HA密钥,将FA-MN、HA-MN之间的密钥材料通过注册应答Registration-Reply发送给MN。
其中涉及到的名词有:
●HA:Home Agent,家乡代理
●FA:Foreign Agent,外部代理
●MN:Mobile Node,移动节点
●AAAH:AAA Home server ,AAA家乡域服务器
●AAAF:AAA Foreign server,AAA外地域服务器
●AMR:AAA-Mobile-Node- Request,AAA移动节点请求消息
●AMA:AAA-Mobile-Node- Answer,AAA移动节点答复消息
●HAR:Home-Agent-MIP-Request,家乡代理MIP请求消息
●HAA:Home-Agent-MIP-Answer,家乡代理MIP答复消息
HA和MN在外地域或家乡域的其他组合的情况与此类似,在此就不一一列举。
