Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Índice
1 Historia de Diameter
2 Mejora respecto de RADIUS
3 Servicios AAA
3.1 Autenticación
3.2 Autorización
3.3 Contabilidad
4 Aplicación
5 Seguridad en Diameter
6 Formato del mensaje
6.1 Cabeceras Diameter
6.2 Cabeceras AVPs
7 Sesiones Diameter
7.1 Conexiones vs Sesiones
8 Flujo de mensajes Diameter
9 Nodos Diameter
9.1 Relay
9.2 Proxy
9.3 ReDirect
9.4 Traslation
10 RFCs
11 Referencias
Historia de Diameter
Al terminar el protocolo RADIUS en el primer semestre de 2000, surgió un nuevo
grupo de trabajo del IETF denominado AAA y decidió dar inicio al desarrollo de un
nuevo protocolo que fuese el sucesor de RADIUS. Se evaluaron varios protocolos y
finalmente se optó por evolucionar el protocolo DIAMETER, así que dedicaron su
esfuerzo en mejorarlo y estandarizarlo ante el IETF. Inicialmente diseñado como una
mejora del protocolo RADIUS la meta era maximizar la compatibilidad y facilitar la
migración desde RADIUS. El origen de su nombre, no es un acrónimo, sino un juego de
palabras y de lógica ingeniosa que representa al diámetro como el doble del radio,
aunque sin embargo este protocolo es mucho más que eso y numerosos autores citan
DIAMETER como el futuro de los protocolos AAA.
Autorización
La autorización es el proceso posterior a la autenticación. Es el proceso mediante
el cual se le asigna ciertos privilegios al poseedor de un credencial particular.
Los privilegios se asocian al perfil del usuario del terminal. Los privilegios
pueden ser permitir el acceso a una serie de recursos, como bases de datos,
archivos, acceso a periféricos, tiempo de uso de un procesador, ejecución de
ciertas instrucciones etc.
Contabilidad
Es el proceso de recolección de información sobre el uso de recursos con el fin de
realizar otras funciones como planificación de capacidad, auditorías, facturación y
asignación de costos. La auditoría consiste en el chequeo periódico para determinar
la firmeza de la información y de las políticas de gestión, en especial sobre la
seguridad. La asignación de costos trata sobre la estructura de costos para cada
uno de los servicios de los usuarios. El registro contable representa un resumen
sobre el consumo de recursos de un usuario y es generado por el Accounting Server.
La seguridad CMS (Content Management System), puede aplicarse a los mensajes de
accounting para otorgarle a los datos una fuerte autenticación e integridad de
información. El protocolo define algunos AVP que deben estar presentes en los
mensajes de petición para accounting en la sesión de un usuario. Adicionalmente,
para las aplicaciones que requieren de múltiples sesiones de accounting, ha sido
definido un AVP Accounting-Sub-Session-Id.
Aplicación
Seguridad en Diameter
DIAMETER se apoya en IPsec o TLS para ofrecer seguridad. Estos protocolos son
aceptables en ambientes donde todos los nodos son confiables.
Todas las implementaciones de DIAMETER deben soportar IPsec ESP en modo Transporte
e IKE para autenticación, negociación de Asociaciones de Seguridad, gestión de
claves. Es obligatorio para todos los servidores y agentes Diameter que soporten
IPsec y TLS, sin embargo los clientes solo están obligados a soportar IPsec,
mientras que TLS es opcional.
Cabeceras Diameter
Cabecera Diameter
Bit 0 1 2 3 4 5 6 7 8 9 10 11 12
13 14 15 16 17 18 19 20 21 22 23 24 25
26 27 28 29 30 31
0 version Longitud mensaje
32 R P E T Código de comando
64 Aplicación ID
96 Hop-by-Hop ID
128 End-to-End ID
160
... AVPs
...
Versión: El campo versión indica la versión del Protocolo Diameter, desde 2014 solo
admite el valor 1. Longitud del Mensaje: El tamaño de este campo es de 3 octetos.
Indica la longitud del mensaje incluyendo el header y los AVPs acopladas. Comando
de flags: Campo de 1 octeto. Los flags que aparecen en este comando son:
Cabecera AVP
Bit offset 0 1 2 3 4 5 6 7 8 9 10 11
12 13 14 15 16 17 18 19 20 21 22 23 24
25 26 27 28 29 30 31
0 Código AVP
32 V M P Longitud AVP
64 ID proveedor (opcional)
96
... Datos
...
Código AVP: Este campo de 4 octetos, identifica al AVP de manera unívoca.
Longitud AVP: Es un campo de 3 octetos que indica la longitud total del AVP,
incluyendo la cabecera más los datos, en octetos.
Flags: Existen tres flags:
V: Este flag indica si el vendedor ID viene incorporado o no en la cabecera.
M: Conocido como bit obligatorio, indica si se requiere apoyo de la AVP. Si un AVP
con el "M bit" es recibido por un cliente Diameter, servidor proxy, o el agente de
traducción y, o bien la AVP o su valor es reconocido, el mensaje debe ser
rechazado.
P: Indica la necesidad de cifrado de seguridad de extremo a extremo.
Sesiones Diameter
Según IETF RFC 6733 una sesión Diameter es una consecución de eventos relacionados
dedicados a una actividad específica. Todos los paquetes Diameter con el mismo
identificador de sesión o Session-Id son considerados parte de la misma sesión. En
el contexto de un usuario que marca hacia un servidor de acceso de red o NAS, la
sesión se compone de todos los mensajes Diameter intercambiados entre el NAS y el
servidor Diameter desde el momento que usuario marca hasta que la conexión se
interrumpe. En el contexto del [IMS] (IP Multimedia Subsystem), una sesión Diameter
puede estar compuesta de todos los mensajes intercambiados entre el proxy SIP
denominado S-CSCF actuando como Diameter Client, y el servidor base de datos de
localización de suscripción o HSS actuando como Diameter Server, durante el tiempo
en que el usuario se encuentra registrado.
Conexiones vs Sesiones
Conexión Diameter es un enlace a nivel de transporte entre dos pares, en la cual se
envían y se reciben mensajes Diameter.
Nodos Diameter
Un nodo es un host que implementa el protocolo DIAMETER. Existen los siguientes
tipos:
Agente Relay/Proxy
Agente ReDirect
Agente Traslation
Relay
Son los agentes Diameter que aceptan y enrutan los mensajes de otros nodos hacia su
destino, en función de la información que contiene el mensaje y las tablas de
enrutamiento. No necesitan analizar el contenido del mensaje, solo analizan los
necesario para el enrutamiento. Modifican la parte del mensaje relativa al
enrutamiento ya que necesita quitar y añadir información, pero no modifica el
contenido del mensaje.
Proxy
Es similar a un Relay con toma de decisiones sobre la base de ciertas políticas de
acceso. El Proxy puede hacer un seguimiento del estado de NAS para propósitos de
suministros de recursos. Necesita analizar los mensajes que transcurren por él y
puede generar mensajes de REJECT en caso de violación de las políticas.
ReDirect
Actúa como individuo intermediario para la transformación de realms(dominio
administrativo) a direcciones de servidores con las tablas de enrutamiento de un
grupo determinado. Un DRD (Diameter ReDirect) recibe request y responde con una
respuesta especial que contiene la información de enrutamiento que le permite al
nodo que le envió la solicitud enviar una nueva solicitud directamente al servidor
del destinatario. El DRD no hace relay de solicitudes y se encuentra fuera del
camino de enrutamiento.
Traslation
Es el encargado de la compatibilidad, realiza la traducción entre DIAMETER y otros
protocolos AAA, como por ejemplo la compatibilidad con RADIUS.
RFCs
El protocolo Diameter se define actualmente en las siguientes IETF RFC: (Los RFC
obsoletos se indican con tachado de texto.)
RFC 5447 Diameter Mobile IPv6: Support for Network Access Server to Diameter
Server Interaction. February 2009
RFC 5516 Diameter Command Code Registration for the Third Generation Partnership
Project (3GPP) Evolved Packet System (EPS). April 2009 -
RFC 5624 Quality of Service Parameters for Usage with Diameter. August 2009
Control de autoridades
Proyectos WikimediaWd Datos: Q1208648IdentificadoresGND: 7625755-1
Forero Saboya, Néstor Gabriel (13 de diciembre de 2009). «Taxonomía de los
servidores AAA». Universidad Libre de Bogotá.
Prof. Marcano, Diógenes. «IP Multimedia Subsystem». ATEL ASESORES C.A. Archivado
desde el original el 27 de noviembre de 2015. Consultado el 26 de noviembre de
2015.
«Protocolos de control de acceso RADIUS.». Revista Telemática.
Ing. Mendioroz, Fernando (2014). «Sistemas de Conmutación: Telefónia IP». Popayán.
«RFC 6733 Diameter Base Protocol». 12 de octubre de 2014.
«DIAMETER Framework Document». Febrero de 2001.
«Introduction to Diameter Protocol - What is Diameter Protocol?». Sun
Microsystems. 20 de marzo de 2009. Archivado desde el original el 4 de julio de
2011.