直徑與半徑
Diameter和Radius(遠程身份驗證撥入用戶服務)是用於AAA(身份驗證、授權和記帳)服務的兩個協議。RADIUS和Diameter的基本操作彼此相似,因為它們都攜帶網絡訪問服務器(NAS)和共享身份驗證服務器之間的身份驗證、授權和配置信息。直徑與RADIUS的許多功能相似,因為它是由RADIUS演變而來的。因此,在diameter中,包格式得到了顯著的改進,傳輸機制也得到了改進,從客戶機服務器到對等架構的整體概念也得到了改進。
直徑是多少?
Diameter是一種協議,它為任何需要訪問、授權和計費(AAA)或跨許多基於IP的網絡的策略支持的服務提供基本框架。該協議最初源於RADIUS協議,它也是一種向計算機提供AAA服務以連接和使用網絡的協議。直徑在不同方面對半徑有了很大的改進。它包括許多增強功能,如錯誤處理和消息傳遞可靠性。因此,它的目標是成為下一代認證、授權和計費(AAA)協議。
Diameter以AVP(屬性值對)的形式傳遞數據。這些AVP值大多與使用Diameter的特定應用程序相關,而其中一些則由Diameter協議本身使用。這些屬性值對可以隨機添加到diameter消息中,因此它限制包括任何不需要的屬性值對,只要包含所需的屬性值對,這些屬性值對就會被有意阻止。為了支持這些屬性,協議需要使用大量的diameter值。
通常使用diameter協議,任何主機都可以配置為基於網絡基礎設施的客戶機或服務器,因為diameter的設計目的是促進對等體系結構。通過添加新的命令或屬性值對,基本協議也可以擴展以用於新的應用程序。許多應用程序使用的舊AAA協議可能提供Diameter沒有提供的不同功能。因此,在新應用中使用直徑的設計者必須非常小心他們的要求。
半徑是多少?
與Diameter類似,RADIUS是一種用於在網絡訪問服務器(NAS)和共享身份驗證服務器之間傳輸身份驗證、授權和配置信息的協議。NAS作為RADIUS的客戶機運行,負責向指定的RADIUS服務器傳遞用戶信息。另一方面,RADIUS服務器接收用戶連接請求,執行用戶身份驗證並返回客戶端向用戶提供服務所需的所有配置信息。
例如,當客戶機配置為使用RADIUS時,客戶機的用戶必須提供身份驗證信息(用戶名和密碼)。用戶可以使用諸如點對點協議(PPP)之類的鏈路成幀協議來傳送該信息。一旦客戶機接收到這些信息,它就用用戶的用戶名和密碼向客戶機發送一個“訪問請求”。RADIUS使用UDP端口1812進行身份驗證,並使用端口1813進行RADIUS記帳(IANA)。RADIUS主要使用PAP、CHAP或EAP協議進行用戶認證。
RADIUS包結構首先包括一個固定大小的報頭,然後是一個稱為AVP(屬性值對)的可變數量的屬性。每個AVP都由屬性代碼、長度和值組成。RADIUS頭由代碼、標識符、長度和驗證器等字段組成。代碼字段包含消息類型和長度。標識符字段用於匹配請求和答覆。長度字段給出整個RADIUS包的長度,包括所有相關字段。authenticator字段驗證來自RADIUS服務器的回覆消息並加密密碼。
直徑與半徑
特色 | 直徑 | 半徑 |
通信端口 | 3868用於基本協議 | 1812–UDP 1813–會計 |
消息處理 | 不支持服務器啟動的消息 | 支持服務器啟動的消息 |
錯誤報告方案 | 支持 | 不支持 |
安全 | Diameter客戶端支持IPSec,可能支持TLS(傳輸層安全)協議 | RADIUS定義了IPSec的使用,但支持它不是強制性的。 |
運輸方法 | 傳輸協議(SCTP)或傳輸控制 | 使用UDP(用戶數據報協議) |
代理人和代理人 | Diameter定義了四種代理,它們支持中繼、代理、重定向或轉換服務。 | RADIUS沒有精確定義代理的行為,它可以在不同的實現之間變化。 |
身份驗證 | 使用NAIs(網絡訪問標識符)、CHAP(質詢握手身份驗證協議)、EAP(可擴展身份驗證協議)和PAP(密碼驗證協議) | 使用NAIs(網絡訪問標識符)、CHAP(質詢握手身份驗證協議)、EAP(可擴展身份驗證協議)和PAP(密碼驗證協議) |
發現節點功能 | 支持 | 不支持 |
屬性的最大大小 | 16MB | 255字節 |
可擴展性 | 很好 | 很窮 |
可靠性 | 可靠的傳輸 | 傳輸不可靠 |