1 / 16

Diameter

Diameter. KM-/VS-Seminar Wintersemester 2002/2003 Betreuer: Martin Gutbrod. Übersicht. Einleitung AAA Szenarien Remote dial-in Mobile dial-in Mobile telephony Design von Diameter Features Protokoll Layout Anwendungen Ausblick. Einleitung. Diameter Netzwerk Protokoll

Download Presentation

Diameter

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Diameter KM-/VS-Seminar Wintersemester 2002/2003 Betreuer: Martin Gutbrod

  2. Übersicht • Einleitung • AAA • Szenarien • Remote dial-in • Mobile dial-in • Mobile telephony • Design von Diameter • Features • Protokoll Layout • Anwendungen • Ausblick

  3. Einleitung • Diameter • Netzwerk Protokoll • IETF „proposed standard“ seit 27. Januar 2003 • Ersetzt RADIUS • Anwendungen in verschiedenen Umgebungen durch Modularität

  4. AAA • Authentication • Die Identität eines Nutzers überprüfen • Authorization • Herausfinden, ob dem Nutzer Rechte gewährt werden • Netzwerkzugang • Zugang mit hoher Bandbreite • Nutzung von Diensten • Accounting • Daten zur Nutzung von Ressourcen sammeln, z.B. für • Verkehrskontrolle • Abrechnung

  5. Home ISP AAA Server 2 3 1 User NAS 4 Szenarien: Remote dial-in

  6. Szenarien: Remote dial-in • Beispiel: Anwender wählt sich von zu Hause im Firmennetzwerk ein • Bisheriger de facto Standard hierfür: RADIUS • Ermöglichte erstmals Zentralisierung von AA Funktionen auf einem Server • Probleme • Langsam in großen Netzen • Keine Staukontrolle

  7. Visited ISP Home ISP 3 AAA Server AAA Server 4 2 5 1 User NAS 6 Szenarien: Mobile dial-in

  8. Szenarien: Mobile dial-in • Beispiel: Einwahl ins Firmennetz per Internet Service Provider • Probleme • Quality of Service sicherstellen • Staukontrolle • Abrechnung • Authentication ohne „shared secret“

  9. Visited Domain AAA Brokers Home Domain Called Domain 3 CHx AAA Svr AAA Svr AAA Svr 4 CHy 6 8 2 SIP Phone SIP Proxy SIP Proxy SIP Proxy SIP Phone 1 5 7 9 Szenarien: Mobile telephony

  10. Szenarien: Mobile telephony • Beispiel: Zugang zum Firmennetz aus dem fahrenden Auto • Zusätzliche Probleme • Konstante IP-Adresse • Shared Secret • Kontakte/Verträge zwischen allen möglichen Domains Broker

  11. Diameter • Features • SCTP statt UDP • Flußkontrolle • Staukontrolle und -vermeidung • Zuverlässiger Transport • TCP möglich, aber ohne SCTP Vorteile • Keep-alive messages • Versagen eines Peers wird schneller erkannt • Peer-to-Peer Architektur • Auch „Server“ dürfen Anfragen stellen oder Verbindung abbrechen

  12. Diameter • Zeitstempel • Verhindert Replay-Attacken • Platz für Erweiterungen • Hersteller-definierbar • Garantiert zukünftige Erweiterbarkeit • IPSec und TLS • Dank IPSec und Transport Layer Security ist kein „shared secret“ mehr nötig • End-to-End Sicherheit mit CMS • Verhindert Manipulationen auf dem (unsicheren) Übertragungsweg durch Verschlüsselung

  13. Diameter • Protokoll Layout

  14. Diameter 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Ver | Message Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |R P E T r r r r| Command-Code | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Application-ID | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Hop-by-Hop Identifier | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | End-to-End Identifier | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | AVPs ... +-+-+-+-+-+-+-+-+-+-+-+-+-

  15. Anwendungen • NASREQ • Network Access Server Requirement • Ersatz RADIUS • In allen dial-in Szenarien verwendet • Mobile IPv4 • Netzwerkzugang in Bewegung • EAP • Extensible Authentication Protocol • PPP Protokoll • Verpackt in Diameters AVPs • IPFIX • Datenflußinformationen sammeln

  16. Ausblick • IETF proposed standard • Erste Implementierungen • Moby Dick Projekt • Open Source • Ersatz für RADIUS • Implementierung komplexer • Sicherheitsbedingungen schwerer zu implementieren

More Related