Ưu điểm của Diameter so với Radius

Một phần của tài liệu PHƯƠNG ÁN TÍCH HỢP MẠNG CỐ ĐỊNH-DI ĐỘNG CHO MẠNG VIỄN THÔNG CỦA VIỆT NAM GIAI ĐOẠN TỪ NAY ĐẾN 2010 (Trang 54 - 57)

Phần này sẽ trình bày một số cải tiến của giao thức Diameter so với Radius.

2.4.7.1. Fail-over

Fail-over(FO) được định nghĩa là quá trình chuyển tiếp tất cả các yêu cầu chưa được đáp ứng của một agent này sang một agent khác, khi kết nối truyền tải với agent đầu tiên có vấn đề. Để thực hiện được điều này, các nút liên quan phải hỗ trợ khả năng này bằng cách bật các flag cần thiết trong bản tin Diameter.

Radius không định nghĩa cơ chế FO chuẩn nên cách FO của các Radius khác nhau có thể cũng khác nhau. Trong khi đó, Diameter định nghĩa cụ thể cách thức FO. Diameter hỗ trợ ACK ở mức ứng dụng và cơ chế watchdog để phát hiện hoạt động bất thường (không hoạt động). Mỗi nút duy trì một hàng các bản tin chưa được xử lý. Khi nhận được trả lời, yêu cầu tương ứng sẽ được loại khỏi hàng.

2.4.7.2. Bản tin khởi tạo bởi Server

Khả năng hỗ trợ bản tin khởi tạo bởi server là phần tuỳ chọn trong Radius và chính nó là trở ngại cho việc thực hiện các tính năng như huỷ kết nối tự nguyện hoặc xác thực lại/cấp phép lại theo yêu cầu trên mạng gồm nhiều loại nút Diameter. Đối với Diameter, việc hỗ trợ bản tin khởi tạo bởi server là hoàn toàn bắt buộc.

Sử dụng truyền tải UDP và việc thiếu tiêu chuẩn kỹ thuật về cơ chế gửi lại bản tin khiến độ tin cậy là một vấn đề lớn khi sử dụng Radius cho ghi

cước: mất gói tin đồng nghĩa với mất thông tin cước. Diameter sử dụng truyền tải tin cậy là TCP và SCTP như đã mô tả ở trên.

2.4.7.3. Thoả thuận khả năng

Client và server không có cách nào để thông báo khả năng hỗ trợ các loại thuộc tính khác nhau và RADIUS không hỗ trợ bản tin lỗi. Điều này có nghĩa là rất khó phát hiện khả năng và thoả thuận để đạt được một dịch vụ chấp nhận được cho cả hai bên với Radius. Diameter hỗ trợ xử lý lỗi, thoả thuận khả năng, cũng như khả năng thông báo hỗ trợ các cặp thuộc tính – giá trị.

2.4.7.4. Bảo mật

Radius định nghĩa cơ chế bảo vệ toàn vẹn ở mức dịch vụ nhưng chỉ dùng cho gói tin Access Response. Việc xác thực dựa trên mật khẩu riêng (shared secret), nhưng sự tin tưởng giữa các thành phần chỉ được thiết lập giữa các nút láng giềng mà không được thực hiện từ đầu cuối đến đầu cuối. Trong trường hợp này, các proxy xấu có thể thay đổi thuộc tính hoặc thậm chí là cả mào đầu gói tin mà không bị phát hiện. Tính bảo mật cho gói tin không được hỗ trợ, chỉ các các thuộc tính là có thể giấu được. Giao thức ghi cước Radius có các vấn đề về bảo vệ chuyển tiếp gói tin. Radius cũng không yêu cầu hỗ trợ IPSec. Việc sử dụng IPSec chỉ được định nghĩa khi Radius được sử dụng với Ipv6. Ngay cả khi đó, việc sử dụng IKE cũng làm hạn chế lợi ích của IPSec với các ứng dụng khác nhau. Ngoài ra, sử dụng Radius cho các ứng dụng roaming ( là những ứng dụng đòi hỏi quan hệ tin cậy giữa các vùng AAA) khó khăn vì Radius không có khả năng thiết lập quan hệ phân cấp cho các chứng chỉ.

Trong khi đó, Diameter định nghĩa cả bảo mật ở mức truyền tải và đầu cuối đến đầu cuối và đòi hỏi bắt buộc client phải hỗ trợ IPSec và tuỳ chọn hỗ trợ TLS. Tuy nhiên, Diameter không đòi hỏi bảo mật đối tượng dữ liệu.

2.4.7.5. Hỗ trợ agent và roaming giữa các vùng

Radius không hỗ trợ agent và proxy một cách rõ ràng. Do cách thực hiện cụ thể không được định nghĩa, các chương trình Radius không theo chuẩn nên các ứng dụng này sẽ có vấn đề tương thích với nhau. Mặc dù khái niệm nối nối tiếp proxy Radius qua các server trung gian được định nghĩa, do không có hỗ trợ tường minh cho proxy và bảo mật ở mức đối tượng dữ liệu và truyền tải, chuyển vùng dựa trên giao thức Radius rất dễ bị tấn công và lừa đảo, và do vậy, sẽ có nhiều vấn đề phát sinh khi được triển khai trên diện rộng.

Diameter định nghĩa vai trò của agent và proxy và hoạt động của chúng một cách tường minh. Bằng việc cung cấp khả năng roaming giữa các vùng, định tuyến cuộc gọi và bảo mật ở mức truyền dẫn, Diameter đã giải quyết được phần nào các hạn chế của Radius.

2.4.7.6. Phát hiện và cấu hình peer

Các phần mềm Radius thường yêu cầu cấu hình tên hoặc địa chỉ của server và client thủ công cùng với một mật khẩu riêng. Điều này dẫn đến một khối lượng công việc quản trị lớn và người dùng thường dùng chung mật khẩu cho nhiều client (NAS) nên rất dễ tạo các lỗ hổng bảo mật.

Thông qua DNS, Diameter cung cấp phát hiện peer một cách tự động. Việc tạo khoá phiên động được thực hiện thông qua cơ chế bảo mật ở mức truyền dẫn.

2.4.7.7. Tương thích ngược với Radius

Trong khi Diameter không sử dụng định dạng bản tin giống Radius, rất nhiều nỗ lực được bỏ ra để đảm bảo tương thích ngược với Radius, do vậy hai giao thức này có thể được triển khai trên cùng một mạng. Tuy nhiên, sẽ có chuyển đổi báo hiệu tại gateway để cho phép trao đổi bản tin giữa thiết bị sử dụng Radius và agent Diameter.

Một phần của tài liệu PHƯƠNG ÁN TÍCH HỢP MẠNG CỐ ĐỊNH-DI ĐỘNG CHO MẠNG VIỄN THÔNG CỦA VIỆT NAM GIAI ĐOẠN TỪ NAY ĐẾN 2010 (Trang 54 - 57)

Tải bản đầy đủ (DOC)

(156 trang)
w