一種集成化的基于Ｄｉａｍｅｔｅｒ的ＡＡＡ服務器設計方案

摘要：在擴展基于Diameter協議的基本AAA服務器系統結構的基礎上，提出了一種集成化的基于Diameter協議的AAA服務器設計方案。使用該方案可增強AAA服務器的功能，優化AAA系統結構。通過性能分析，說明集成化設計方案的有效性。

關鍵詞：認證授權和計費；Diameter；互聯網協議安全；傳輸層安全

中圖分類號：TP393．08文獻標志碼：A

文章編號：1001－3695(2007)05－0253－03

0引言

隨著網絡用戶數量的增加、新接入技術的引入以及網絡規模的不斷擴大，對AAA（認證、授權和計費）服務提出了新的要求[1]。目前廣泛應用的AAA協議是RADIUS協議。由于RADIUS協議自身的缺陷，它已經不能適應當前網絡的發展，需要一種新的AAA協議來滿足這些要求。而Diameter 協議正是在RADIUS 等協議基礎上發展起來的AAA協議。2001年6月IETF的AAA工作組同意將Diameter協議作為下一代的AAA協議標準。

AAA服務器的應用是網絡運營商對資源、用戶進行控制和管理的重要環節，所以基于Diameter的AAA服務器是下一代移動IP（包括v4和v6）網絡中非常重要的設施。隨著網絡技術的發展和網絡服務業務種類的增加，對AAA服務器的功能需求越來越多[2]。傳統的AAA服務器在設計上僅僅考慮了認證、授權和計費這三項基本功能，已不能滿足移動IP網絡對AAA服務器提出的新需求。因此在擴展基于Diameter協議的基本AAA服務器系統結構的基礎上，本文提出了一種集成化的基于Diameter協議的AAA服務器設計方案。該方案可以增強AAA服務器的功能，滿足移動IP網絡對于AAA服務器的許多新的需求。

1Diameter簡介

Diameter 協議作為下一代AAA協議標準，其基本目標是為網絡接入控制、移動 IP 等應用提供 AAA框架[1]。然而Dia－meter協議不是一個單一的協議，而是一個協議族。它包括Diameter基本協議和各種由基本協議擴展而來的應用協議，如NASREQ、Mobile IP、CMS Security等。它定義了所有 Diameter 應用所需的消息格式、傳輸錯誤報告、計費和安全服務等。Diameter 基本協議向后兼容 RADIUS，而且更能滿足網絡接入和應用需求。其主要表現在以下幾方面[1]：

（1）可靠的傳輸機制。RADIUS運行在UDP協議上，并且沒有定義重傳機制；Diameter運行在可靠的傳輸協議TCP、SCTP之上，它還支持窗口機制，每個會話方可以動態調整自己的接收窗口，以免發送超出對方處理能力的請求。

（2）失敗恢復機制。RADIUS協議不支持失敗恢復機制；Diameter支持應用層確認，并且定義了失敗恢復算法和相關的狀態機，能夠立即檢測出傳輸錯誤。

（3）大的屬性數據空間。Diameter采用AVP（Attribute Value Pair）來傳輸用戶的認證和授權信息、交換用以計費的資源使用信息、中繼代理和重定向 Diameter 消息等。網絡的復雜化使Diameter 消息所要攜帶的信息越來越多。因此屬性空間一定要足夠大，才能滿足未來大型復雜網絡的需要[3]。 

（4）支持同步的大量用戶的接入請求。隨著網絡規模的不斷擴大，AAA 服務器需要同時處理用戶請求的數量不斷增加，這就要求網絡接入服務器能夠保存大量等待認證結果的用戶接入信息；而RADIUS 的255 個同步請求顯然是不夠的。Diameter 可以同時支持 232 個用戶的接入請求[3]。

（5）服務器初始化消息。RADIUS 的服務器初始化消息的功能可有可無；而Diameter強制要求實現服務器初始化消息，能夠主動斷開連接或者跨不同管理域，配置所需的重新認證、重新授權。

除此之外，Diameter基本協議還提供Agent支持和漫游支持等。

2基本的AAA服務器系統結構

在下一代基于IP的網絡中，將廣泛采用基于Diameter的AAA服務器來對網絡用戶進行認證、授權和計費。IETF的AAA工作組已經在Diameter協議的基礎上，制定了移動IPv4的AAA標準，但是目前還沒有正式的移動IPv6 AAA標準。

根據網絡現有的水平和網絡的發展情況，未來網絡對AAA服務器的需求主要體現在以下幾個方面[2]：①對漫游給予不同程度的支持；②對不同業務給予支持；③通過用戶接口可以動態配置用戶服務能力、設定用戶的業務信息；④后臺數據庫對AAA服務器保持透明；⑤靈活的接入控制策略；⑥具有更高的可靠性和安全性等。

基于Diameter的AAA服務器是AAA系統中的核心設備，它必須支持Diameter基本協議和Diameter NASREQ、Diameter Mobile IPv4等應用。AAA服務器的基本系統結構主要包括數據庫、計費模塊和認證、授權模塊等，如圖1所示。數據庫主要用于存放用戶的認證和計費信息等。在一個特定管理域內基于Diameter的AAA服務器要處理客戶端發送的認證、授權和計費請求。對于合法用戶，AAA服務器會返回處理成功的消息；否則會返回一個錯誤應答消息。基于Diameter的AAA服務器根據Diameter基本協議和其所實現的具體應用中所定義的消息處理規則來處理請求消息。

在實現上，設計AAA服務器的系統結構也不一定要沿用舊有方式。因此可以在不影響通信質量的前提下，減少AAA系統中冗余實體對于資源的消耗，增強AAA服務器的功能，優化AAA系統結構。 

3集成化的基于Diameter的AAA服務器

為了滿足網絡對于AAA服務器提出的新需求，達到優化AAA系統結構的目的，本文在擴展基于Diameter協議的基本AAA服務器系統結構的基礎上，提出了一種集成化的基于Diameter的AAA服務器設計方案。擴展后的AAA服務器系統結構如圖2所示。該方案中AAA服務器可以承載的功能模塊有：認證、授權模塊；計費模塊；Diameter路由模塊；Diameter密鑰管理中心；安全通信處理模塊；動態家鄉代理分配模塊；地址配置接入模塊。

(1）認證、授權模塊和計費模塊

基于Diameter的AAA服務器主要采用Peer－to－Peer模式提供認證、授權和計費服務，通信端可以動態請求和撤銷服務。用戶認證/授權框圖如圖3所示。當移動節點接入時，AAA客戶端將節點的認證請求信息提交給AAA服務器；AAA服務器通過數據庫接口連接數據庫，搜索查找認證信息是否合法。如果移動用戶認證成功，則AAA服務器將對移動用戶進行授權處理，不同權限的用戶可以使用不同的網絡資源。當移動節點得到相應權限后，AAA服務器開始啟動計費模塊。

(2）Diameter路由模塊

由于網絡規模不斷擴大、用戶數量不斷增加，需要部署中繼和代理。一個管理域內還要配置Diameter代理，為移動到本管理域但非本管理域的節點轉發消息。這個功能也可以通過AAA服務器實現。對注冊在本管理域的節點，它具有基于Dia－meter的AAA服務器的功能，被稱為該節點的家鄉AAA服務器；對于注冊在其他管理域的節點，它是Diameter代理，稱為該節點的外地AAA服務器。

RADIUS沒有明確定義任何代理功能。根據RFC 3588對來自其他管理域的移動節點所發出的某種請求，本地管理域內基于Diameter的AAA服務器可以暫時扮演一個代理的角色，將請求消息轉發給移動節點的家鄉AAA服務器。

(3）Diameter密鑰管理中心

移動 IPv6 節點在漫游過程中需要與其他網絡實體之間建立很多安全密鑰。例如：移動節點和家鄉AAA服務器之間長期共享密鑰，以實現認證和授權；移動節點和家鄉代理之間的密鑰用來認證綁定更新和綁定確認消息，移動節點還可能使用動態家鄉代理指定機制，這時它與家鄉代理之間的密鑰應該是動態分發的；當移動節點在外地訪問域時，移動節點和接入路由器之間的密鑰用來保護訪問鏈路上傳輸數據的機密性和完整性，該密鑰也必須動態分發。因此 AAA 服務器可以作為一個密鑰分發中心[4]，在移動節點漫游過程中完成密鑰的分配。AAA服務器可以通過在Diameter消息ARR/ARA（AA－Registration－Request/Answer）中定義新的AVP，來實現基于隨機數或是基于Diffle－Hellman密鑰交換算法的密鑰分配[5，6]。

另外AAA實體間的相互認證是建立在基于數字證書認證機制基礎上的。因此家鄉AAA服務器還可以作為可信任的第三方，而成為證書管理中心，負責簽發證書、認證證書、管理已頒發證書。公鑰證書管理中心還需要根據制定的證書管理政策和具體步驟來驗證、識別用戶身份，并對用戶證書進行簽名，以確保證書持有者的身份合法性和對公鑰的所有權。證書管理中心可以用OpenSSL實現，為了讓用戶方便地檢索、獲取證書，建議使用輕量級目錄訪問協議（LDAP）來實現證書服務器。

(4）安全通信處理模塊

基于Diameter的AAA服務器要求必須支持IPSec和TLS[1]。因此在設計AAA服務器的安全通信處理模塊時，可以靈活運用IPSec與TLS，構建以AAA服務器為中心的雙向安全通信信道。

AAA服務器與AAA客戶端之間的通信信道建議采用IPSec進行保護。當Diameter客戶端向AAA服務器發送經過IPSec保護的用戶請求消息時，由網絡通信、協議處理接口接收，進行IPSec接收處理。從而實現AAA服務器與AAA客戶端間端到端的安全。

對于AAA服務器間的通信，由于AAA服務器間實體較多，IPSec協議在管理和配置上較復雜，而TLS在管理和設定上比IPSec簡單方便許多，通過TLS協議可以很方便地實現各個實體間的安全通信。

一樣的策略必須可以在所有應用中使用[1]。這就意味著，不僅只是MN初始注冊和授權階段使用該通信信道，當MN需要與家鄉AAA聯系使用其他服務時，應該還可以得到安全服務。因為TLS的證書策略支持應用層的安全，所以基于TLS的安全通信處理模塊可以保證各種應用數據在不同管理域的AAA服務器間安全傳輸。

(5）動態家鄉代理分配模塊

移動節點一般通過其網絡接入標志NAI(如user@realm)來指明它所歸屬的家鄉域。它可以不指明家鄉代理的地址，因為在移動節點移動過程中，家鄉網絡可能發生一定的變化。移動IPv6中存在一種動態家鄉代理發現機制，但是這種機制需要在移動節點與家鄉域間進行多次消息傳遞，使其增加了通信延遲。因此可以由家鄉域中的AAA服務器來動態為移動節點指定家鄉代理，從而減少消息數量，使移動節點達到快速獲得家鄉代理地址的目的。另外當家鄉域中存在多個家鄉代理時，AAA服務器可以合理地為多個移動節點分配家鄉代理，以防止某一個家鄉代理負擔過重[6]。

(6）地址配置接入模塊

在實現上，AAA系統的設計也不一定要沿用傳統的方式[2]。在需要寬帶接入服務的情況下，如以太網接入，用戶需要的僅僅是一個IP地址，而運營商需要的資源訪問記錄可在交換機和路由器中完成。這樣從理論上講，就可以不使用接入服務器，也沒有必要使用基于Diameter的AAA服務器的其他功能。例如，在移動IPv6中存在有狀態地址自動配置和無狀態地址自動配置兩種地址配置方式，可以將這兩種地址配置方式相結合。移動節點使用無狀態自動配置可以很快確定自己的IP地址，然后與DHCP服務器交互獲得其他的網絡配置信息。因此地址配置接入模塊需要具有路由廣播和DHCP服務器的功能。

4性能分析

從基本的AAA服務器系統結構可以看出，傳統的AAA服務器設計僅僅考慮了認證、授權和計費這三個基本模塊，而這并不能滿足未來移動IP網絡對AAA服務器提出的新需求。

與傳統AAA服務器的設計方案比較，該集成化設計方案的主要優點是：①Diameter路由模塊為移動節點在多個管理域間的移動提供了基礎，節省了路由資源，更好地支持了移動節點的漫游；②通過基于IPSec和TLS的安全通信處理模塊，提高了AAA服務器的可靠性和安全性；③動態家鄉代理分配模塊有助于提高網絡的可靠性并實現家鄉代理的負載平衡；④對于以太網接入，其地址配置接入模塊配置簡單，簡化了AAA過程，實現了靈活的接入控制策略。集成化的基于Diameter的AAA服務器可以滿足現在移動IP網絡對AAA服務器的許多新需求。該設計方案在不使AAA服務器負擔過重的情況下，靈活擴展了AAA服務器的基本功能，達到了優化AAA系統的目的。但是功能模塊的增加，必然會增加模塊間的通信開銷，從而在一定程度上降低了消息的處理效率，因此還有待進一步研究AAA服務器各個功能模塊之間的通信接口設計。

5結束語

移動IP網絡中作為AAA系統核心設備的基于Diameter的AAA服務器正在得到廣泛的關注。本文所提出的集成化的基于Diameter的AAA服務器設計方案，可以滿足移動IP網絡對于AAA服務器的許多新需求，為AAA系統在網絡中更好地應用提供了一定的基礎。

參考文獻：

［1］CALHOUN P，LOUGHNEY J， GUTTMAN E，et al. IETF RFC3588 Diameter base protocol[S].[S.l.]:[s.n.]，2003: 5－30， 133－135.

[2]陳紹強. AAA服務器需求分析和選擇策略簡介[EB/OL].(2004－12－18). http://tech.ccidnet.com/art/1096/20041228/196027_1.html.

[3]朱海龍， 張國清. 基于Diameter的AAA技術及其在Mobile IP中的應用[J]. 計算機工程與應用，2003，39(21):159－163.

[4]CALHOUN P， JOHANSSON T. IETF RFC4004 Diameter mobile IPv4 application[S].[S.l.]:[s.n.]，2005:34－40.

[5]HOUSLEY R， ABOBA B. AAA key management[S]. IETF Internet draft， draft－housley－aaa－key－mgmt－00.txt，2005:4－12.

[6]FRANCK L， BASAVARAJ P， PERKINS C E. Diameter mobile IPv6 application[S]. IETF Internet draft， draft－le－aaa－diameter－mobi￣leipv6－04.txt， 2004: 7－29.

注：“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”