1、r一一-一一ICS 33.040.40 M 32 中华人民-H: /、SB 和国国家标准GB/T 28512-2012 用于IP网络的Diameter基础协议Diameter base protocol for IP network (IETF RFC 3588: 2003 , Diameter Base Protocol , MOD) 2012-06-29发布中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会2012-10-01实施发布GB/T 28512一2012目次前言.皿1 范围12 规范性引用文件13 术语和定义、缩略语13.1 术语和定义3.2 缩略语54 Diamet
2、er的体系结构54. 1 Diameter总体框架及协议概述54. 2 Diameter基础协议的功能概述74. 3 Diameter相关概念释义74. 4 Diameter传输协议 11 4. 5 Diameter消息的加密 12 4.6 Diamet盯应用顺从124. 7 Diameter路由授权125 Diameter协议格式 13 5. 1 Diameter Header 13 5.2 Diameter AVP . 16 巧i句d巧ioonu1iqf?。-99qdqdnd式模信制除通机拆测机端现接检态等立发换连错状对建端交端差端盯接等力等输等时连对能对传对mJJ3456 户。7 Dia
3、meter协议流程 m 7. 1 Diameter消息处理 36 7. 2 Diameter差错处理 u 7. 3 Diameter用户会话 48 8 Diameter 计费m111i1iqLqLnLqJ Pnvpnvpnvpnnhuphvnhu 求要的档系文关型准互模标相向用的码指息应复录录令器消展恢记记命务议扩错费费费服协对差计计计119qJA哇Fhunhu巧,tnxunxun60on6n6口6GB/T 28512-2012 8. 8 计费AVPs 64 9 Diameter的安全机制. 66 9. 1 IPsec的使用669.2 TLS的使用 67 9. 3 对等端到对等端的考虑67附录
4、A(规范性附录)Diameter应用扩展.A.1 NAS应用扩展要求69A.2 移动IP应用扩展要求A.3 日P应用扩展要求 70 A.4 EAP应用扩展要求70A.5 信用控制应用扩展要求71附录B(规范性附录)已定义的AVP表72B.l 基础协议命令AVP表72B. 2 计费AVP表73附录c(规范性附录)Diameter协议相关配置参数75附录D(资料性附录)Diameter服务模板76附录E(资料性附录)NAPTR示例78附录F(资料性附录)重复检测79H GB/T 28512-2012 前言本标准按照GB/T1. 12009给出的规则起草。本标准修改采用IETFRFC 3588: 2
5、003( Diameter基础协议。本标准的主要差异如下:按照汉语习惯对一些编排格式进行了修改;将一些适用于国际标准的表述改为适用于我国标准的表述;根据GB/T1系列的要求,增加了第1章、第2章和第3章,其中3.1的术语和定义均来自IETF RFC 3588的1.3; 本标准的4.3.1、4.3.2、4.3.3、4.3.4、4.3.5、4.5和4.6分别等同于IETFRFC 3588的2.4、2.5,2.8、2.6、2.7,2.2和2.3;一一本标准的4.4从技术内容上与IETFRFC 3588的2.1保持一致;一一本标准的5.1和5.2分别等同于IETFRFC 3588的第3章和第4章;一一
6、本标准的第6章等同于IETFRFC 3588的第5章;一一本标准的7.1、7.2和7.3分别等同于IETFRFC 3588的第6章、第7章、第8章;一-本标准的第8章和第9章分别等同于IETFRFC 3588的第9章和第13章;一一一本标准的附录B和附录C分别等同于IETFRFC 3588的第10章和第12章;一一本标准的附录D、附录E和附录F分别等同于IETFRFC 3588的AppendixA、AppendixB、Appendix C; 一一本标准的4.1、4.2、4.7、附录A根据我国实际情况自己编写。本标准由中华人民共和国工业和信息化部提出。本标准由中国通信标准化协会归口。本标准起草单
7、位:工业和信息化部电信研究院。本标准主要起草人:谢琦、刘清、武静、刘述、姜吕良。mm GB/T 28512一2012用于IP网络的Diameter基础协议范围本标准规定了Diameter协议的体系结构、Diameter基本功能、Diameter基础协议通信模式、Diameter基础协议信令流程以及安全机制等方面要求。本标准适用于IP网络中AAA(认证,授权和计费)系统和AAA相关设备。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。IETF RFC 2030 简单网络时
8、间协议(SNTP)版本4(Simple Network Time Protocol (SNTP) Version 4) IETF RFC 2234 扩展BNF语法规范:ABNF(AugmentedBNF for Syntax Specifications: ABNF) IETF RFC 2246传输层安全(TLS)协议版本1(The TLS Protocol Version 1. 0) IETF RFC 2279 UTF-8 , ISO 10646的转换格式(UTF-8,a transformation format of ISO 10646) IETF RFC 2284bis PPP扩展认证
9、协议(EAP)(PPP Extensible Authentication Protocol (EAP) IETF RFC 2407 用于ISAKMP的IPSec域的翻译(lPSecDOI)(TheInternet IP Security Domain of Interpretation for ISAKMP) IETF RFC 2409 因特网密钥交换(lKE)(The Internet Key Exchange (lKE) IETF RFC 2474 IPv4和IPv6头部差分业务宇段(DS宇段)的定义(Definitionof the Differentiated Services Fi
10、eld (DS Field) in the IPv4 and IPv6 Headers) IETF RFC 2486 网络接入标识符(TheNetwork Access Identifier) IETF RFC 2865 拨号用户业务远程认证(RADIUS)(Remote Authentication Dial In User Service (RADIUS) IETF RFC 2915 命名权威点DNS资源记录(TheNaming Authority Pointer (NAPTR) DNS Resource Record) IETF RFC 2960 流控制传输协议(StreamContro
11、l Transmission Protoco!) IETF RFC 3539 认证、授权和计费(AAA)传输轮廓(Authentication,Authorization and Accounting (AAA) Transport Profile) IEEE 754-1985 二进制浮点运算(BinaryFloating-Point Arithmetic) ISO/IEC IS 10646-1 信息技术通用多八位组(Multiple-Octet)编码字符集(Information Technology-Universal Multiple-Octet Coded Character Set)
12、 3 术语和定义、缩略语3. 1 术语和定义下列术语和定义适用于本文件。GB/T 28512一20123. 1. 1 计费accounting 收集资源使用信息的动作,以用于能力规划、审核、营业额或成本分配。3.1.2 计费记录accounting record 一条计费记录表述了一个用户在整个会话过程中,资源消费的总结。3. 1.3 认证authentication 核实某个实体(客体)身份的动作。3. 1. 4 授权authorization 3. 1. 5 属性值对aUrib Diameter安全交换Diameterse问坦坦hange一/ Diameter安全交换是两个Diameter
13、节点建立端到瑞安全的过程。3. 1. 11 Diameter服务器Diameter server Diameter服务器负责处理某个特殊域的认证、授权和计费请求。除基本协议以外,Diameter服务器还必须支持Diameter应用扩展。3. 1. 12 下行downstream 用于标识由归属服务器发往接入设备的特定Diameter消息的方向。3. 1. 13 端到端安全end-to-end security TLS和IPsec提供逐跳安全,或者跨一个传输连接的安全。当中继或Proxy参与进来时,逐跳安全2 GB/T 28512-2012 无法保证整个Diameter用户会话的安全。端到端安全
14、是指可能通过Diameter代理进行通信的两个Diameter节点之间的安全。端到端安全可以保证从发起Diameter节点到终点Diameter节点之间整个Diameter通信路线的安全。3. 1. 14 归属域home realm 可管理域,通过它可以与用户保持一个帐户关系。3. 1. 15 归属服务器home server 位于归属地的Diameter服务器。3. 1. 16 3. 1. 20 Proxy ftJ里/PrProxy代理除了栋友请判过跟踪NAS设备的状态来完成。转发的请求和响应违反策略日、3. 1. 21 域realm 1 1 动或者其他网络故障,而无定。该工作通常通向应客户
15、请求。当需要NAI中紧跟在字符后面的字符串。NAI域名必须是唯一的,并且遵从DNS命名空间的管理。Diameter使用realm(也可以泛指domain)来决定消息是否本地处理,还是必须将其路由或重定向。3. 1. 22 实时计费real-time accounting 包括在一个定义好的时间窗口内处理资源使用的信息。时间约束的使用通常是由于财政风险的限制。3. 1. 23 中继代理/中继relay agent or relay 中继根据与路由相关的AVP和域路由表列表转发请求和响应。由于中继不作策略决定,它们不3 G/T 28512-2012 检查或改变非路由AVP。因此,中继从不生成消息,
16、也不须理解消息或非路由AVP的语义,并且能够处理任何Diameter应用或消息类型。由于中继根据路由AVP和域转发表中的信息作决定,它们不会保留NAS资源使用或会话的状态。3. 1. 24 重定向代理redirect agent 重定向代理将客户引导到服务器,使得它们可以直接通信。由于重定向代理不在转发路径上,它们不会改变在客户和服务器之间传送的任何AVP。重定向代理不生成消息,能够处理任何消息类型。重定向代理不保留与会话或NAS资源有关的状态。3.1.25 漫游关系roaming relationships 漫游关系包括公司和ISP之间的关系、在一个漫游联盟(roamingconsorti
17、um)中对等端ISP之间的关系,以及一个ISP与一个漫游联盟之间的关系。3.1.26 安全联盟security association 一个Diameter会话中的两个端点之间的关联,该会话保证端点间通信的保密性和完整性,即使通信在有中继和/或Proxy的情况下进行的。3.1.27 会话session 一个与某个特定动作参与事件的相关过程。每个应用应提供指南例如会话的开始和结束时间。所有拥有相同会话ID的Diameter数据包,都被认为属于同一个会话。3.1.28 会话状态session state 状态代理通过跟踪所有经过授权的活动会话,保留会话状态信息。每个经过授权的会话都与某特殊的业务绑
18、定,其状态为活动,一直到被通知改变为其他状态,或到期为止。3. 1. 29 子会话sub-session 表示一个提供给已有会话的独特的业务(例如Qos或数据特性)。这些业务可以同时(例如在同一会话过程中同时传送语音和数据)或连续发生。会话中的这些改变通过Accounting-Sub-Session-Id来表征。3. 1. 30 事务状态transaction state Diameter协议要求代理维护事务状态,以用于失败处理。3. 1.31 翻译代理translation agent 一个有状态的Diameter节点,执行Diameter和其他AAA协议(如RADIUS)之间的协议翻译。3
19、. 1. 32 传输连接transport connection 两个Diameter对等端之间己有的直接TCP或SCTP连接,也称为端到端连接。3. 1. 33 上行upstream 用于标识从接入设备到归属服务器的特定Diameter消息的传送方向。3. 1. 34 用户user 要求或使用某些资源以支持Diameter客户生成一个请求的实体。4 3.2 缩略语下列缩略语适用于本标准。AAA ABNF AVP CMS EAP IP NASREQ NAPTR PPP RADIUS RAS SCTP SLIP SLP TACACS TCP TLS Authentication, Authori
20、zation and Accounting Augmented BNF for Syntax Specifications Attribute Value Pairs Cryptograph比如1essageSyntax Extensible Authentication Protocol Internet Protocol Network Access Server Requirements The naming authority pointer Point to Point Protocol Remote Authentication Dial-In User Service Regis
21、tration, Admission and Status Stream Control Transmission Protocol Serial Line IP Service Location Protocol Terminal Access Controller Access Control System Transmission Control Protocol Transport Layer Security 4 Diameter的体系结构4. 1 Diameter总体框架及协议概述4. 1. 1 Diameter协议的设计目的G/T 28512一2012认证、授权和计费扩展BNF语
22、法规范属性值对密码消息语法可扩展认证协议Internet协议网络接人服务器请求命名权威指针点对点协议远端拨入用户验证服务注册、允许和状态协议流控制传输协议串行IP业务位置协议终端接入控制者接入控制系统协议传输控制协议传输层安全Diameter协议的设计目的是创建一个能够充分满足网络访问控制要求的AAA协议。Diameter设计要求的具体内容如下:具有良好的网络适应性和可扩展性;统一且良好的失败控制和检测机制;完整的传送层安全保证(包括域内和域间); 数据传输可靠性保证机制;支持各种类型的代理,包括Proxy代理、重定向代理以及中继代理等;支持服务器发起的消息,即允许服务器主动发送消息给其客户端
23、;一一与现有网络协议的良好可互操作性;一一支持节点间的能力协商机制;一一支持动态对等端发现和配置机制;支持安全和可扩展的漫游。4. 1. 2 Diameter协议的框架结构Diameter包含基础协议、传送协议、不同的应用扩展,如NASREQ和移动IP,见图1。所有应用和服务共用的基本功能都在基础协议中实现,而应用特定的功能则会在不同的应用中实施。5 GB/T 28512-2012 Diameter基础协议注重能力协商,消息发送以及对等端如何最终被拒绝。基础协议还规定了特定规则以用于Diameter节点之间所有的消息交换。Diameter基础协议旨在提供一个AAA框架,以用于各种应用。基础协议
24、还定义了所有Diameter应用使用的,并且所有Diameter设备都必须支持的消息格式、传输、差错报告和安全服务。为了给不同业务提供符合该业务特征的功能,Diameter协议必须支持适用于各种不同业务的不同的实施方案。4. 1. 3 Diameter实体对协议的支持Diameter客户必须支持基础协议。另外它们还必须根据客户业务实施的需要,支持任何Diameter应用扩展。如果Diameter客户不同时支持所有应用扩展,则必须明确表示为DiameterX客户飞其中X表示它所支持的应用。Diameter服务器必须支持基础协议。另外它们还必须根据其所提供的业务需要,支持任何Diameter应用扩
25、展。如果Diameter服务器不同时支持所有应用扩展,则必须明确表示为DiameterX 服务器,其中X表示它所支持的应用。Diameter中继代理和重定向代理是透明传输协议的,必须透明支持Diameter基础协议,以及所有Diameter应用。Diameter Proxy代理必须支持基础协议。另外,它还必须完全支持实现使用Proxy的业务所需要的任何Diameter应用。如果DiameterProxy不同时支持所有应用扩展,则必须明确表示为DiameterX Proxy,其中X表示它所支持的应用。4.2 Diameter基础协议的功能概述Diameter基础协议提供以下功能:AVP(属性值对
26、)的发送;能力协商;一一差错通知;一一可扩展性,通过增加新命令和AVP来实现;扩展应用的基本业务需求,例如用户会话或计费的处理。4. 3 Diameter相关概念释义-飞飞飞4.3. 1 应用标识符 / 交换过程中,Diameter节点告知对等端哨所Diameter消息都包宫一于应用标识符,在消息向前转发的过程中使用。规定范围C纠o伪1到OxOOffffff为标准应用预留,而Ox10000001到0义的应用预留/目前笼义融市!市标识存茹主运11劳京7一二一一一 1 表1阴阳etr连陈坦智) 卢/J7 1、飞也 ; 应用都识符/ 川、/仁、I / Diam牛、t远碍静思3U J I t, _ .
27、/ 。dS肉、飞移扭lP Diamete;基础计费/t扣继4.3.2 连接和会话Diameter连接和会话的区别示意图。| 客户| 、七/飞、V| 中继| / / / 对等端连接A对等端连接B用户会话X|阳|图2Diameter连接和会话示例z GB/T 28512一2012, , 7 GB/T 28512-2012 需要明确的是,连接和会话之间并没有关系,一个会话可以跨越多个连接,而用于多会话的Diameter消息也可以在一个单独的连接中传送。4.3.3 Diameter代理除了客户和服务器,Diameter协议还引入了中继代理、Proxy代理、重定向代理和翻译代理。这些Diameter代理
28、主要作用如下:它们可以将系统管理分配为可调配的组,包括安全联盟的维护;一一它们可以用于集中大量相关或分布式的NAS设备,以作为一个用户组;它们能够对请求或响应进行增值处理;一一它们能够用于负载平衡;一个复杂的网络将拥有多个认证源,它们可以过滤请求并将请求前转给正确的目标。Diameter协议要求代理保持事物状态,以用于失败替代(failover)。事物状态意味着,前转某个请求,要保存其逐跳标识符;该字段被一个本地唯一的标识符替代,当收到相应的应答时,再将该字段恢复为其原始的值。该请求的状态在收到应答时被释放。无状态的代理就是仅保持事物状态。Proxy-lnfo A VP允许无状态代理给一个Di
29、ameter请求添加本地状态,当然必须保证在对应的应答中也必须出现相同的状态。该协议的失败替代过程要求代理保持未决得请求的副本。通过持续跟踪所有的巳授权的激活会话,有状态代理可以保持会话状态信息。每个己授权会话都是绑定在特定的业务上的,它的状态一直都是激活的,除非它得到通知,或者生命期到期。每个己授权会话都有一个生命期,通过Session-Timeout A VP告知Diameter服务器。保持会话状态在某些特定应用中会非常有用,例如:一-一协议翻译(如,RAD1USDiameter) ; 给某个特定用户有限的资源授权;每用户或事物审计。一个Diameter代理可以对于某些请求是有状态的,而其
30、他请求则是无状态的。一个Diameter实施也可以对于某些请求是一种类型的代理,而对于其他请求是另一种类型的代理。4.3.3.1 中继代理中继代理是一个Diameter代理,用来接收请求并根据在消息中发现的信息(例如,目的地域Des tina tion-Realm)路由去往其他Diameter节点的消息。该路由决定是利用所支持的域和已知对等端的列表完成的。该表被称作域路由表,详见4.3.5。中继可以用于聚合来自在一个地理区域(POP)内的多个网络接入服务器(NAS)的请求。使用中继可以避免NAS与在其他域的Diameter服务器的通信,同时还可以减少Diameter服务器在NAS增加、变化或删
31、除时的配置负担。中继会通过插入以及删除路由信息等动作修改Diameter消息,但是不会修改消息的其他任何部分。中继不维护会话状态,但必须维护事务状态。1.请求2.请求4.应答3.应答 example.m 图3Diameter消息的中继过程8 G/T 28512一2012图3给出了一个Diameter消息的中继过程。接人设备为用户产生一个请求。在发出请求前,接入设备先利用作为关键字,执行Diameter路由查询,然后决定该消息应被送到Diameter中继。Diameter中继执行同样的路由查询,并将该消息中继给的归属Diameter服务器。归属服务器判断该请求可以在本地处理,则进行对该请求的认
32、证和/或授权,并返回应答。该应答通过保存的事务状态,被路由回接人设备。由于中继不执行任何应用级别的程序,它们提供的中继服务可以用于所有Diameter应用,因此它们必须广播中继应用标识符。4. 3. 3. 2 Proxy代理与中继类似,Proxy代理利用Diameter路由表来路由Diameter消息。它们不同之处在于,Proxy代理修改消息以达到策略的强制实施。这要求Prox保持它们下行对等端(例如,接入设备)的状态以执行资源的使用,提供准入控制和预配置。必须重点指出的是,尽管Proxy可以为NAS提供增值功能,但它们的存在使得接入设备无法使用端到端安全,因为对消息的修改将使端到端加密工作无
33、法完成。Proxy可以用在呼叫中心或接入ISP中,它们能够监视正在使用的端口号码和类型,并根据它们的配置作出资源分配和允许进入的决定。执行资源限制的Proxy必须保持会话状态。所有Proxy必须保持事务状态。由于执行策略需要了解提供的业务,Proxy仅需广播它们支持的Diameter应用。4.3.3.3 重定向代理重定向代理在Diameter路由需要集中配置的情况下非常有用。重定向代理为某个集团的所有成员提供服务,但不希望负担域间消息中继的任务。这种方案优势在于,当某个成员的结构发生变化时,无需集团向它的成员提供路由更新。ex副1.请求6.应答2.请求3.重定向通知 4.请求5.应答图4重定向
34、一个Diameter消息ex副图4中,接入设备为用户产生一个请求。该消息由接入设备发送到其中继,但该中继的Diameter路由表中没有的路由人口。Diameter中继的缺省路由配置为重定向代理,重定向代理返回一个重定向通知给中继,同时还有相关归属服务器的联系信息。收到重定向通知后,中继建立与归属服务器的传输连接,并将请求转发给它。9 GB/T 28512-2012 由于重定向代理不中继消息,仅返回一个应答,其中包括Diameter代理间直接通信所需要的信息,它们不修改消息。重定向代理不接收应答消息,所以它们不用保持会话状态。而且,重定向代理从来不会中继请求,它们也不需要保持事务状态。由于重定向
35、代理不执行任何应用级别的程序,它们为所有Diameter应用提供服务,因此必须广播中继应用标识符。4.3.3.4 翻译代理翻译代理是提供两种协议(例如RAD1US与Diameter,T ACACS与Diameter)之间翻译的设备。翻译代理通常用来聚合服务器以和一个Diameter基础设施进行通信。Diameter协议引入了永久Oon吵均即会话的耻之醉代理必须保持会话状态和事务状态。翻译代理必须仅广播它们在她支持的应用工二r4.3.4 对等端表(Peer。该字段包含 RELAY-所有属于本类型的Diameter消息必须被路由到下一跳的服务器,无需修改任何非路由AVP。PROXY-一所有属于本类
36、型的Diameter消息必须被路由到下一跳的服务器。本地服务器可以在路由之前通过将新的AVP插入到该消息中,来实行本地策略。RED1RECT-一所有属于本类型的Diameter消息必须附加归属Diameter服务器的标识,并且返回给消息的发送者。一一一服务器标识符。消息会被路由到一个或多个服务器。这些服务器也必须出现在对等端表中。10 当本地动作设置为RELAY或PROXY时,该字段包含消息必须被路由到的服务器的标识符。当本地动作设置为RED1RECT时,该字段包含消息将被重定向到的一个或多个服务器的标识符。、. 静态或动态。指定某个路由入口是静态配置的还是动态发现的。生命期。指定某个动态发现
37、的路由表入口的到期时间。GB/T 28512-2012 必须重点指出,Diameter代理必须至少支持LOCAL、RELAY、PROXY或REDIRECT操作模式之中的一种。为了与协议规定一致,代理不需要支持所有的操作模式。中继代理和Proxy不允许重排AVP。路由表可以包括一个默认入口,为任何与其他入口都不匹配的请求使用。路由表可以仅包含这样一个入口。当请求被路由时,目标服务器必须已经为特定的消息广播应用标识符,或者标明自己是一个中继或Proxy代理。否则,将返回一个差错,其结果码AVP设置为DIAMETER_UNABLE_TO_DELIVER。4. 4 Diameter传输协议或SCTPO
38、ETFRF 版本将强制客户支持SCTP。4.4.2 效地转换另一个主机。与RADIUS相反,Diameter协议要求代理链上的每一个节点都应在传输层对请求或响应进行确认。由于Diameter运行在提供可靠传输的SCTP上,代理链上的每个节点都有责任对没有确认的消息进行重传。Diameter节点可以从一个源端口上初始化连接,该端口可以不是其声明接受连接请求的端口,同时Diameter节点必须时刻准备在端口3868上接收连接。一个特定的Diameter对等端状态机的实倒不允许使用多个传输连接与一个已知的对等端通信,除非该对等端出现多个实例,这种情况下,允许每个进程一个连接。当一个对等端不存在与之相
39、关的传输连接时,应当定期进行连接尝试。该行为通过T,定时器控制,建议该值为30s。该规则还有特定的例外,比如一个对等端已经结束了传输连接,表明其不希望通信等等。11 GB/T 28512-2012 当连接一个对等端,且定义了零个或多个传输时,应首先尝试使用SCTP,然后是TCP。见6.2中的信息。Diameter实施(implementation)应能够将ICMP协议端口不可达消息解释为明确的指示服务器不可达0Diameter实施也应当能够将传输和超时连接尝试,解释为重置。如果Diameter接收到来自上行TCP的数据,该数据不能解析或鉴别为一个对等端造成的Diameter差错,则表明该数据流
40、受到安全威胁且不能恢复。必须使用一个RESET呼叫(发送一个TCP RST比特)或一个SCTPABORT消息关闭该传输连接。以下是对支持SCTP的Diameter实施的要求:a) 关于协同工作能力:所有Diameter节点必须准备接收在联盟(association)中的任何SCTP流上的Diameter消息。b) 对于预防拥塞:所有Diameter节点应当运用所有对于联盟有效的SCTP流来防止head-ofthe-line拥塞。4.5 Diameter消息的加密Diameter客户,例如网络接入服务器(NAS)和各种代理必须支持IPSec,并且可以支持TLS。Diameter服务器必须支持TL
41、S和IPsec。不允许在没有任何安全机制(TLS或IPsec)的情况下使用Diameter协议。推荐在边缘和域内业务流量中可以将IPsec作为首选,例如在NAS和本地AAAProxy之间使用预共享(pre-shared)密钥。这也放松了对NAS支持证书的要求。同时还建议域间流量应首先使用TLSo IPsec和TLS使用见9.1和9.2。4.6 Diameter应用顺从应用标识符在能力交换阶段被广播,见6.3。广播支持某个应用表示发送者支持规范中描述的所有命令码,以及相关联的ABNF中规定的AVP。一个实施可以给在某个应用中定义的任何命令增加任意的非强制AVP,包括运营商定义的AVP。4.7 D
42、iameter路由授权Diameter要求在每一个连接上应用传输层安全(TLS或IPsec)。因此,每个连接都需要认证、重放和完整性保护以及基于分组的加密。除了认证每个连接,每个连接以至于整个会话也都必须经过授权。在一个连接开始之前,Diameter对等端必须检查它的对等端是否被授权承担其角色。例如,一个Diameter对等端可能是可信任的,但是这并不意味着它被授权作为一个可以广播一组Diameter应用的Diameter服务器。在建立一个连接之前,应对沿途每个连接进行授权检查。Diameter能力协商(CER/CEA)也必须执行,以决定每个对等端支持什么Diameter应用。Diameter
43、会话必须仅由授权过的节点进行路由,该节点被广播支持该会话所要求的Diameter应用。一个中继或Proxy代理必须在其前转的所有请求后面增加一个路由记录(Route-Record)AVP。该AVP包含该请求来自的对等端的标识。在授权一个会话之前,归属Diameter服务器必须检查路由记录AVP,以确保该请求穿过的路由是可接受的。例如,归属域内的管理员也许不希望请求被路由通过一个不可信任的域。通过授权一个请求,该归属Diameter服务器含蓄的指出其希望参与该事务,正如服务器和上一跳(Hop)之间的约定中规定的那样。如果该请求穿过的路由不可接受,则发送一个DIAMETER_ A UTH ORIZ
44、A TION _ REECTED差错消息。归属域也可能希望检查每个与Diameter响应授权会话相应的计费请求消息。没有相应授权响应12 、-GB/T 28512-2012 的计费请求应当接受更多的安全检查,同时计费请求应当表明要求和提供的服务之间的区别。类似,本地Diameter代理,在接收一个授权某会话的Diameter响应时,必须检查路由记录CRouteRecord) A VP ,以确保该响应经过的路由是可接受的。在每步,前转授权响应被认为是进行与该会话相关的财政冒险的表现。本地域可能希望限制这种暴露,例如,通过建立对中间域的信用限制,以及拒绝接受违反那些限制的响应等手段。通过发布一个对应于该授权响应的计费请求,本地域含蓄的表示其同意提供授权响应中指出的服务。如果本地域不能提供该服务,则必须在计费请求中发送一个DIAMETER_UNABLE_ TO_COMPLY的差错消息;Diameter客户接收到其不能实现的服务的授权响应时,不可以另一个服务替换,并且随后发送计费请求申请另一个替换的服务。5 Diameter协议格式5. 1 Diameter Header 图5给出Dia