Formatvorlage Seminar KM / VS der TU-BS im WS0203 fileschulze_diameter.ppt 2 Christian Schulze_03-Februar-07 TECHNISCHE UNIVERSITÄT ZU BRAUNSCHWEIG CAROLO-WILHELMINA Institut für

1schulze_diameter.pptChristian Schulze_03-Februar-07

TECHNISCHE UNIVERSITÄT

ZU BRAUNSCHWEIGCAROLO-WILHELMINA

Institut für Betriebssysteme und Rechnerverbundhttp://www.tu-bs.de http://www.ibr.cs.tu-bs.de

Diameter

KM-/VS-SeminarWintersemester 2002/2003

Betreuer: Martin Gutbrod





Übersicht

EinleitungAAASzenarien

Remote dial-inMobile dial-inMobile telephony

Design von DiameterFeaturesProtokoll LayoutAnwendungen

Ausblick





Einleitung

DiameterNetzwerk Protokoll

IETF „proposed standard“ seit 27. Januar 2003

Ersetzt RADIUS

Anwendungen in verschiedenen Umgebungen durch Modularität





AAA

AuthenticationDie Identität eines Nutzers überprüfen

AuthorizationHerausfinden, ob dem Nutzer Rechte gewährt werden

NetzwerkzugangZugang mit hoher BandbreiteNutzung von Diensten

AccountingDaten zur Nutzung von Ressourcen sammeln, z.B. für

VerkehrskontrolleAbrechnung





Szenarien: Remote dial-in

User NAS

AAA Server

Home ISP

1

4

2 3





Szenarien: Remote dial-in

Beispiel: Anwender wählt sich von zu Hause im Firmennetzwerk ein

Bisheriger de facto Standard hierfür: RADIUSErmöglichte erstmals Zentralisierung von AA Funktionen auf einem Server

ProblemeLangsam in großen Netzen

Keine Staukontrolle





Szenarien: Mobile dial-in

User NAS

AAA Server AAA Server

Visited ISP Home ISP

1

6

2 5

3

4





Szenarien: Mobile dial-in

Beispiel: Einwahl ins Firmennetz per Internet Service Provider

ProblemeQuality of Service sicherstellen

Staukontrolle

Abrechnung

Authentication ohne „shared secret“





Szenarien: Mobile telephony

SIPPhone

SIPPhone

SIPProxy

SIPProxy

CHx

CHy

VisitedDomain

AAABrokers

HomeDomain

CalledDomain

SIPProxy

1

2

3

4

5 7 9

6 8

AAASvr

AAASvr

AAASvr





Szenarien: Mobile telephony

Beispiel: Zugang zum Firmennetz aus dem fahrenden AutoZusätzliche Probleme

Konstante IP-Adresse

Shared Secret

Kontakte/Verträge zwischen allen möglichen Domains

Broker





Diameter

FeaturesSCTP statt UDP

Flußkontrolle

Staukontrolle und -vermeidung

Zuverlässiger Transport

TCP möglich, aber ohne SCTP Vorteile

Keep-alive messagesVersagen eines Peers wird schneller erkannt

Peer-to-Peer ArchitekturAuch „Server“ dürfen Anfragen stellen oder Verbindung abbrechen





Diameter

ZeitstempelVerhindert Replay-Attacken

Platz für ErweiterungenHersteller-definierbar

Garantiert zukünftige Erweiterbarkeit

IPSec und TLSDank IPSec und Transport Layer Security ist kein „shared secret“ mehr nötig

End-to-End Sicherheit mit CMSVerhindert Manipulationen auf dem (unsicheren) Übertragungsweg durch Verschlüsselung





Diameter

Protokoll Layout





Diameter

0 1 2 30 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Ver | Message Length |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|R P E T r r r r| Command-Code |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Application-ID |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Hop-by-Hop Identifier |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| End-to-End Identifier |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| AVPs ...+-+-+-+-+-+-+-+-+-+-+-+-+-





Anwendungen

NASREQNetwork Access Server Requirement

Ersatz RADIUSIn allen dial-in Szenarien verwendet

Mobile IPv4Netzwerkzugang in Bewegung

EAPExtensible Authentication Protocol

PPP ProtokollVerpackt in Diameters AVPs

IPFIXDatenflußinformationen sammeln





Ausblick

IETF proposed standard

Erste ImplementierungenMoby Dick Projekt

Open Source

Ersatz für RADIUSImplementierung komplexer

Sicherheitsbedingungen schwerer zu implementieren

Documents

Formatvorlage Seminar KM / VS der TU-BS im WS0203 fileschulze_diameter.ppt 2 Christian Schulze_03-Februar-07 TECHNISCHE UNIVERSITÄT ZU BRAUNSCHWEIG CAROLO-WILHELMINA Institut für