AAA协议Diameter和RADIUS比较

总结今天就把两种主要的AAA协议Diameter和RADIUS进行比较总结,如下:

(1)RADIUS固有的C/S模式限制了它的进一步发展。Diameter采用了peer-to-peer模式，peer的任何一端都可以发送消息以发起计费等功能或中断连接。

(2)可靠的传输机制。RADIUS运行在UDP协议上，并且没有定义重传机制，而Diameter运行在可靠的传输协议TCP、SCTP之上。Diameter 还支持窗口机制，每个会话方可以动态调整自己的接收窗口，以免发送超出对方处理能力的请求。

(3)失败恢复机制。RADIUS协议不支持失败恢复机制，而Diameter支持应用层确认，并且定义了失败恢复算法和相关的状态机，能够立即检测出传输错误。

(4)大的属性数据空间。Diameter采用AVP（Attribute ValuePair）来传输用户的认证和授权信息、交换用以计费的资源使用信息、中继代理和重定向 Diameter 消息等。网络的复杂化使Diameter消息所要携带的信息越来越多，因此属性空间一定要足够大，才能满足未来大型复杂网络的需要。

(5)支持同步的大量用户的接入请求。随着网络规模的不断扩大，AAA服务器需要同时处理的用户请求的数量不断增加，这就要求网络接入服务器能够保存大量等待认证结果的用户的接入信息，而RADIUS 的255个同步请求显然是不够的，Diameter 可以同时支持 232 个用户的接入请求。

(6)服务器初始化消息。由于在RADIUS中服务器不能主动发起消息，只有客户能发出重认证请求，所以服务器不能根据需要重新认证。而Diameter指定了两种消息类型，重认证请求和重认证应答消息，使得服务器可以随时根据需要主动发起重认证。

(7)Diameter还支持认证和授权分离，重授权可以随时根据需求进行。而RADIUS中认证与授权必须是成对出现的。

(8)RADIUS仅仅在应用层上定义了一定的安全机制，但没有涉及到数据的机密性。Diameter要求必须支持IPsec以保证数据的机密性和完整性。

(9)RADIUS没有明确的代理概念，RADIUS服务器同时具有proxy服务器和前端服务器的功能。Diameter加入代理来承担RADIUS服务器的proxy功能