RFC3588—Diameter 基础协议技术要求



Diameter 基础协议技术要求
1 范围
本标准主要规定了Diameter协议的体系结构、Diameter基本功能、Diameter基础协议通信模式、
Diameter基础协议信令流程以及安全机制等方面要求。
本标准适用于我国IP网络中AAA（认证，授权和计费）系统的规划和建设, 同时也适用于AAA相关设
备的研制、开发和技术引进。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的
修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究
是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。
本标准引用了以下标准:
RFC 3588 Diameter 基础协议
RFC 3539 认证、授权和计费（AAA）传输轮廓
RFC 2960 流控制传输协议
RFC 2915 命名权威点DNS 资源记录
RFC 2407 用于ISAKMP 的IPSec 域的翻译（IPSecDOI）
RFC 2409 因特网密钥交换（IKE）
RFC 2234 扩展BNF 语法规范（ABNF）
RFC 2165 业务位置协议（SLP）
RFC 0793 传输控制协议(TCP)
3 定义和符号及缩写
3.1 定义
本标准应用了下列定义:
· AAA
认证，授权和计费。
· 计费（Accounting）
收集资源使用信息的动作，以用于能力规划、审核、营业额或成本分配。
· 计费记录（Accounting Record）
一条计费记录表述了一个用户在整个会话过程中，资源消费的总结。
· 认证（Authentication）
核实某个实体（客体）身份的动作。
· 授权（Authorization）
YD ××××—200×
2
决定一个提出请求的实体（客体）是否被允许访问资源（主体）的动作。
· AVP（Attribute-Value-Pairs）
Diameter协议由一个头以及跟随的一个或多个属性值对（AVP）组成。一个AVP包含一个头和用来封
装特定协议的数据（例如，路由信息），以及认证、授权或计费信息。
· Diameter 代理（Diameter Agent）
Diameter代理是一个Diameter节点，它提供中继、Proxy、重定向或翻译服务。
· Diameter 客户（Diameter Client）
Diameter客户是位于网络边缘的一个设备，执行接入控制。Diameter客户的典型范例就是网络接入
服务器（NAS）或外地代理（FA）。
· Diameter 节点（Diameter Node）
Diameter节点是实现Diameter协议的主机程序，它既可以作为客户也可以作为代理或服务器。
· Diameter 对等端（Diameter Peer）
Diameter对等端是一个Diameter节点，该节点和另一个特定的Diameter节点有一个直接的传输连
接。
· Diameter 安全交换（Diameter Security Exchange）
Diameter安全交换是两个Diameter节点建立端到端安全的过程。
· Diameter 服务器（Diameter Server）
Diameter服务器负责处理某个特殊域的认证、授权和计费请求。除基本协议以外，Diameter服务
器还必须支持Diameter应用扩展。
· 下行（Downstream）
用于标识由归属服务器发往接入设备的特定Diameter消息的方向。
· 端到端安全（End-to-End Security）
TLS和IPsec提供逐跳安全，或者跨一个传输连接的安全。当中继或Proxy参与进来时，逐跳安全无
法保证整个Diameter用户会话的安全。端到端安全是指可能通过Diameter代理进行通信的两个Diameter
节点之间的安全。端到端安全可以保证从发起Diameter节点到终结Diameter节点之间整个Diameter通信
路线的安全。
· 归属域（Home Realm）
归属域是可管理域，通过它可以与用户保持一个帐户关系。
· 归属服务器（Home Server）
位于归属地的Diameter服务器。
· 中间计费（Interim accounting）
中间计费消息提供一个用户会话过程中资源使用的快照。在设备重启动或者其它网络故障，而无法
得到会话总结消息或会话记录时，它通常用于用户会话的分段计帐。
· 本地域（Local Realm）
本地域是为某用户提供服务的可管理域（domain）。一个可管理域可以作为某些用户的本地域
(realm),也可以同时是其它用户的归属域(realm)。
· 多会话（Multi-session）
一个多会话表现为若干会话的一个逻辑链接。多会话通过使用Acct-Multi-Session-Id来辨识。多
会话的一个举例可以是一个多链路PPP束。该PPP束的每一个分支都是一个会话，而整个PPP束则是一个
多会话。
· 网络接入标识符（Network Access Identifier）
可以简称为NAI，在Diameter协议中用来摘录某个用户的身份和域(realm)的信息。身份用来在认证
和／或授权过程中标识该用户，而域则用于消息的路由。
· Proxy 代理（Proxy Agent）
YD ××××—200×
3
也可以简称为Proxy。Proxy代理除了转发请求和响应，还根据与资源使用和配置相关的策略作出决
定。该工作通常通过跟踪NAS设备的状态来完成。Proxy代理在收到服务器响应之前一般不会响应客户请
求。当需要转发的请求和响应违反策略时，它可以生成拒绝（Reject）消息。因此，Proxy代理必须理
解通过它们的消息的语义；不一定支持所有的Diameter应用。
· 中继代理（Relay Agent）
也可以简称为中继。中继根据与路由相关的AVP和域路由表列表转发请求和响应。由于中继不作策
略决定，它们不检查或改变非路由AVP。因此，中继从不生成消息，也不须理解消息或非路由AVP的语义，
并且能够处理任何Diameter应用或消息类型。由于中继根据路由AVP和域转发表中的信息作决定，它们
不会保留NAS资源使用或会话的状态。
· 重定向代理（Redirect Agent）
重定向代理将客户引导到服务器，使得它们可以直接通信。由于重定向代理不在转发路径上，它们
不会改变在客户和服务器之间传送的任何AVP。重定向代理不生成消息，能够处理任何消息类型。重定
向代理不保留与会话或NAS资源有关的状态。
· 域（Realm）
NAI中紧跟在“@”字符后面的字符串。NAI域名必须是唯一的，并且遵从DNS命名空间的管理。Diameter
使用realm(也可以泛指domain)来决定消息是否本地处理，还是必须将其路由或重定向。
· 安全联盟（Security Association）
指一个Diameter会话中的两个端点之间的关联，该会话保证端点间通信的保密性和完整性，即使通
信在有中继和／或Proxy的情况下进行的。
· 会话状态（Session state）
状态代理通过跟踪所有经过授权的活动会话，保留会话状态信息。每个经过授权的会话都与某特殊
的业务绑定，其状态为活动，一直到被通知改变为其它状态，或到期为止。
· 子会话（Sub-session）
表示一个提供给已有会话的独特的业务（例如Qos或数据特性）。这些业务可以同时（例如在同一
会话过程中同时传送语音和数据）或连续发生。会话中的这些改变通过Accounting-Sub-Session-Id来
表征。
· 翻译代理（Translation Agent）
一个有状态的Diameter节点，执行Diameter和其它AAA协议（如RADIUS）之间的协议翻译。
· 事务状态（Transaction state）
Diameter协议要求代理维护事务状态，以用于失败处理。
· 传输连接（Transport Connection）
指两个Diameter对等端之间已有的直接TCP或SCTP连接，也称为端到端连接。
· 上行（Upstream）
用于标识从接入设备到归属服务器的特定Diameter 消息的传送方向。
· 字（Word）
一种分组长度单位，相当于两个字节。