Maja G

1
Protokól RADIUS i jego zastosowania

• Maja Górecka-Wolniewicz
• UCI UMK

2
Standard RADIUS

• RFC 2865 Remote Authentication Dial In User
  Service, zastapil specyfikacje RFC 2138
• Okresla sposób dostarczenia metod
  uwierzytelniania, autoryzacji i rozliczania (AAA)
• Opcjonalny w IEEE 802.1x, rekomendowany
• Podstawowe pojecia
• uwierzytelnianie (authentication)
• autoryzacja (authorization)
• uzytkownik, suplikant (supplicant)
• klient RADIUS, NAS, autentykator (Network Access
  Server)
• serwer uwierzytelniania (authentication server)
• sesja (session)
• rozliczanie (accounting)

3
Wlasnosci specyfikacji RADIUS

• Model klient/serwer
• komunikacja zlecenie-odpowiedz
• Bezpieczenstwo sieci
• stosowanie wspólnego klucza tajnego (shared
  secret)
• bezpieczne przekazywanie hasel
• Elastyczne metody uwierzytelniania
• EAP jako protokól transportujacy dowolne
  protokoly uwierzytelniania
• Latwa rozszerzalnosc protokolu
• spójna definicja elementów protokolu bazujaca na
  trójce atrybut, dlugosc, wartosc

4
RADIUS protokól transakcyjny

• Koniecznosc wspólpracy z alternatywnym serwerem -
  w przypadku niedostepnosci glównego serwera
• trzeba przechowywac kopie zlecenia na poziomie
  aplikacji w celu retransmisji
• musza byc zaimplementowane specyficzne dla
  aplikacji limity czasu do retransmisji (timeouty)
• Wymagania dotyczace obslugi nie sa zgodne z
  implementacja dostarczana przez TCP
• nie jest wymagane wykrywanie strat danych
• nie sa potrzebne potwierdzenia, retransmisje TCP
• protokól TCP wprowadzilby duze opóznienia

5
RADIUSimplementacja UDP

• Bezstanowa natura protokolu
• duza dynamika zjawisk, bez potrzeby przywracania
  stanu, wyeliminowanie specjalnej obslugi zdarzen
  dotyczacych utraconych polaczen
• Dzieki oparciu protokolu RADIUS na UDP latwo moga
  byc tworzone implementacje
• poczatkowo serwery jednowatkowe
• przejscie na wielowatkowosc bylo prostsze dzieki
  stosowaniu UDP
• Porty UDP 1812 (authn), 1813 (accounting), 1814
  (proxy)

6
Pakiety RADIUS

• Struktura pakietu

Kod 1B
Identyfikator 1B
Rozmiar
pakietu 2B
..........
Autentykator
lacznie
16B
..........
Atrybuty
lacznie
nB
7
Pakiety RADIUS

• Kod
• 1 Access-Request
• 2 Access-Accept
• 3 Access-Reject
• 4 Accouning-Request
• 5 Accouning-Response
• 11 Access-Challenge
• 12 Status-Server (eksperymentalny)
• 13 Status-Client (eksperymentalny)
• 255 Reserved

8
Pakiety RADIUS

• Identyfikator 1B, unikatowy identyfikator w
  celu dopasowania par zlecenie-odpowiedz
• Rozmiar pakietu 2B, calkowity rozmiar
  komunikatu RADIUS, lacznie z polem rozmiaru
  dozwolone wartosci od 20 do 4096B
• Autentykator 16B, informacja uzywana do
  uwierzytelnienia odpowiedzi z serwera, a takze
  jest stosowana w algorytmie ukrywania hasla
  (uzycie shared-secret)
• w pakiecie Access-Request autentykator zlecenia
• w pakiecie Access-Accept/Reject autentykator
  odpowiedzi

9
Access-Request

• Pakiet inicjujacy komunikacje AP (klient
  RADIUS) zglasza do serwera RADIUS chec dostepu
• POWINIEN zawierac atrybut User-Name
• MUSI zawierac atrybut NAS-IP-Address lub
  NAS-Identifier, lub oba atrybuty
• MUSI zawierac albo User-Password, albo
  CHAP-Password, albo State
• POWINIEN zawierac NAS-Port lub NAS-Port-Type
• MOZE zawierac dodatkowe atrybuty

10
Access-Accept/ Access-Reject

• Access-Accept
• pole identyfikatora MUSI zgadzac sie z polem
  identyfikatora w odpowiednim zleceniu
• pole autentykatora MUSI zawierac poprawna
  odpowiedz dla dopasowanego zlecenia
• Access-Reject
• MOZE zawierac atrybuty Reply-Message

11
Access-Challenge

• MOZE zawierac atrybuty Reply-Message
• MOZE zawierac jeden atrybut State
• MOZE zawierac atrybuty Vendor-Specific,
  Idle-Timeout, Session-Timeout, Proxy-State
• Zadne inne atrybuty nie sa dozwolone
• Pole identyfikatora MUSI zgadzac sie z polem
  identyfikatora w odpowiednim zleceniu
• Pole autentykatora MUSI zawierac poprawna
  odpowiedz dla dopasowanego zlecenia

12
Atrybuty

• Atrybuty przenosza specyficzne informacje
  dotyczace procesu uwierzytelniania, autoryzacji i
  konfiguracji
• Atrybut moze miec wiele wystapien
• Reprezentacja atrybutu

Typ 1B
atrybuty maja przypisane ident. numeryczne
Rozmiar 1B
liczony lacznie z polem typu i rozmiaru
Wartosc 0-nB
5 typów tekst UTF-8, napis, adres, liczba, czas
13
Przykladowe atrybuty

• 1 User-Name Nazwa uzytkownika w postaci
  tekstu UTF-8,
• identyfikatora sieciowego lub nazwy
  wyróznionej (DN)
• 2 User-Password Haslo uzytkownika (ukryte) lub
  odpowiedz na Access- Challenge
• 3 CHAP-Password Odpowiedz dostarczona w
  protokole CHAP
• 4 NAS-IP-Address Adres IP AP-a
• ..................................................
  .............................
• 24 State Wysylany przez serwer do klienta w
  Access-Challenge, musi zostac przeslany
  niezmieniony przez klienta do serwera w
  Access-Request
• 25 Class Wysylany przez serwer do klienta w
  zleceniu Access- Accept, powinien zostac
  przeslany niezmieniony do serwera w pakiecie
  Accounting-Request
• Lacznie w RFC2865 zdefiniowano 43 typy w
  zakresie 1-63, zakres 40-59 przeznaczono na
  atrybuty accountingowe

14
Atrybut Vendor-Specific

• Wprowadzony w celu mozliwosci wsparcia wlasnosci
  specyficznych dla okreslonego sprzetu/dostawcy
  atrybut o typie 26
• atrybut zawierajacy podatrybuty
• W polu wartosci atrybutu podpola
• Vendor-Id 4B, najwyzszy bajt 0, pozostale to
  kod dostawcy zdefiniowany w Assigned Numbers (RFC
  1700)
• napis 1 lub wiecej sekwencji bajtów w postaci
• typ dostawcy (Vendor type), 1B
• rozmiar (Vendor length), 1B rozmiar nastepnego
  podpola2
• atrybut (Vendor data, Attribute-Specific field) w
  postaci nazwawartosc

15
Atrybuty Vendor-Specific Microsoft

• Definicja RFC 2548
• Wsparcie dla aplikacji Windows zwiazane z
  uslugami dial-up i protokolem RADIUS
• obsluga protokolu MS-CHAP, MS-CHAPv2
• Przykladowe atrybuty
• MS-CHAP-Challange, MS-CHAP-Response,
  MS-CHAP-Domain, MS-CHAP2-Success,
  MS-CHAP2-Response
• Atrybuty zwiazane z Microsoft Point-To-Point
  Encryption (MPPE), umieszczane w Access-Accept
• MS-MPPE-Send-Key zawiera klucz przeznaczony do
  wysylania bezpiecznych pakietów z AP do
  suplikanta
• MS-MPPE-Recv-Key zawiera klucz przeznaczony do
  szyfrowania pakietów otrzymanych przez AP z
  suplikanta
• stosowane do tworzenia materialu kryptograficznego

16
Rozszerzenia protokolu RADIUS

• RFC 2869, RADIUS Extensions
• rozszerzenia wprowadzaja nowe, specyficzne dla
  operacji atrybuty
• wsparcie aktualizacji rozliczeniowych Interim
  Accounting Updates
• atrybut Acct-Interim-Interval
• wsparcie Apple Remote Access Protocol (ARAP)
• wsparcie EAP-a
• przenoszenie w pakietach Radius pakietów EAP
  atrybuty EAP-Message i Message-Authenticator

17
Accounting- informacje rozliczeniowe

• RFC 2866, RADIUS Accounting
• dostarczanie informacji rozliczeniowej z
  urzadzenia do serwera RADIUS
• w protokole RADIUS zdefiniowano pakiety
  Accounting-Request i Accounting-Response
• RFC definiuje atrybuty, których typy
  zarezerwowano w oryginalnej specyfikacji

18
Accounting- informacje rozliczeniowe

• 40 Acct- Status-Type poczatek/koniec sesji
  (start/stop/interim-update
• accounting-on/off)
• 41 Acct-Delay-Time ile sekund klient próbowal
  przeslac rekord
• 42 Acct-Input-Octets
• 43 Acct-Output-Octets
• 44 Acct-Session-Id unikatowy identyfikator
  sesji
• 45 Acct-Authentic sposób uwierzytelnienia (NAS,
  RADIUS)
• 46 Acct-Session-Time
• 47 Acct-Input-Packets
• 48 Acct-Output-Packets
• 49 Acct-Terminate-Cause przyczyna konca sesji,
  np. Idle-Timeout, NAS error
• 50 Acct-Multi-Session-Id
• 51 Acct-Link-Count

19
RADIUS - dzialanie

• Jesli urzadzenie sieciowe (NAS) jest klientem
  RADIUS, to uzytkownik musi przekazac klientowi
  dane uwierzytelniania
• NAS przesyla pakiet Access-Request do serwera
  RADIUS w zleceniu musi pojawic sie User-Name
  itd.
• Gdy nie pojawia sie odpowiedz
• NAS ponawia przesylanie do tego samego serwera,
• NAS przekazuje zlecenie do serwera alternatywnego
• Serwer RADIUS po odebraniu zlecenia
  Access-Request sprawdza wiarygodnosc klienta
• wspólny klucz tajny (shared secret) sluzy do
  uwierzytelniania transakcji klient-serwer
• wspólny klucz tajny NIGDY nie jest przesylany
  przez siec

20
RADIUS - dzialanie

• Serwer RADIUS w oparciu o lokalne metody
  uwierzytelniania sprawdza uprawnienia uzytkownika
• W przypadku negatywnego wyniku kontroli serwer
  odpowiada pakietem Access-Reject
• Serwer moze przekazac do klienta pakiet
  (odpowiedz) Access-Challenge
• Po otrzymaniu pakietu Access-Challenge klient
  ponownie wysyla Access-Request (z nowym ID)
• Pozytywny wynik uwierzytelnienia konczy odpowiedz
  Access-Accept

21
Mechanizm challenge/response

• challenege wyzwanie serwer wysyla liczbe
  losowa
• Klient musi na podstawie tej liczby wyliczyc
  response - odpowiedz, która przekazuje w kolejnym
  zleceniu Access-Request
• odpowiedz pojawia sie w atrybucie User-Password
• Zleceniu Access-Challenge moze towarzyszyc
  atrybut State, który MUSI byc transmitowany
  przezroczyscie

22
Funkcjonalnosc proxy w protokole RADIUS

• Serwer RADIUS dostaje z urzadzenia NAS zlecenie
  uwierzytelnienia
• Natychmiast przekazuje zlecenie do innego
  zdalnego serwera RADIUS
• Odbiera odpowiedz ze zdalnego serwera, weryfikuje
  poprawnosc odpowiedzi na podstawie wspólnego
  hasla i pola autentykatora i przekazuje odpowiedz
  klientowi
• Typowe zastosowanie roaming
• Wybór serwera na ogól bazuje na wartosci realm,
  okreslanej na podstawie identyfikatora sieciowego

23
Proxy RADIUS

• Zastosowanie atrybutu Proxy-State
• serwer przekazujacy zlecenia MUSI przezroczyscie
  transmitowac atrybuty Proxy-State, nie moze
  zmieniac ich kolejnosci
• serwer przed przekazaniem zlecenia moze dodac
  atrybut Proxy-State, przy czym MUSI umiescic ten
  atrybut na koncu, za wszystkimi innymi atrybutami
  tego typu
• jesli serwer umiescil atrybut Proxy-State, to po
  otrzymaniu odpowiedzi MUSI go usunac (usunac
  ostatni atrybut Proxy-State w pakiecie)

24
Proxy RADIUS

• Serwer przed przekazaniem zlecenia deszyfruje
  atrybut User-Password uzywajac wspólnego klucza
  tajnego A i B
• Serwer szyfruje User-Password stosujac wspólny
  klucz tajny B i C
• Pole authenticator jest stosowane do
  weryfikacji pakietów pakiety negatywnie
  zweryfikowane sa kasowane
• Jeden serwer moze pelnic funkcje proxy i remote,
  moze byc serwerem proxy dla wielu domen (realms)
  itd.

25
802.1x w sieci bezprzewodowej

• Pojecie portów logicznych
• wykorzystanie adresów MAC suplikanta i AP-a do
  stworzenia kanalu transmisji
• suplikant laczy sie z AP zanim sa dostepne klucze
  dynamiczne (wlasnosc AP zw. open authentication)
• porty niekontrolowane i kontrolowane
• Zarzadzanie kluczami
• 802.1x nie wymaga WEP-a, ani innego mechanizmu
  szyfrujacego, ale pozwala na uzycie mechanizmów
  szyfrujacych
• 802.1x posiada mechanizm dystrybucji klucza
  szyfrujacego za pomoca komunikacji EAPOL
• RFC 3580 IEEE 802.1x RADIUS Usage Guidelines
• rola atrybutów dot. uwierzytelniania i rozliczania

26
EAP Extensible AuthenticationProtocol

• Mechanizm wspierajacy rózne metody
  uwierzytelniania
• rozwiniety w celu wsparcia PPP
• obecnie czesto uzywany w ramach IEEE 802
• wykorzystywany przez standard IEEE 802.1x
• RFC 3748 (nastepca RFC 2284)
• Implementowany bezposrednio nad warstwa lacza
  danych, nie wymaga adresacji IP
• Elastycznosc autentykator nie musi wspierac
  metod uwierzytelniania, sa one implementowane na
  serwerze EAP
• EAP nie ma mozliwosci fragmentacji i laczenia
  pakietów
• implementacja w specyficznych metodach, np.
  EAP-TLS

27
EAP - pakiety

• 4 typy pakietów
• zlecenie (request)
• odpowiedz (response)
• sukces (success)
• porazka (failure)
• Format pakietu

Kod 1B
Identyfikator 1B
Rozmiar
pakietu 2B
tylko w zleceniu i odpowiedzi
Typ 1B
Dane
dane
...
28
EAP - metody

• Pole typ wskazuje typ transmitowanych danych,
  jest równowazne z metoda EAP
• Standardowe metody EAP MD5-Challenge, OTP, GTC
• metody realizujace wymiane danych w celu
  uwierzytelnienia
• nie zalecane w sieciach bezprzewodowych jako
  niewystarczajaco bezpieczne
• Trzy dodatkowe (specjalne) metody EAP
• Identity podaj / przekaz nazwe uzytkownika
• Nak brak zgody na proponowana metode
  uwierzytelniania
• Notification rzadko uzywany, informacja dla
  uzytkownika
• Typy rozszerzone (expanded types)
• w polu danych Vendor-ID, Vendor-Type, dane
• Typy eksperymentalne

29
EAP a RADIUS

• RFC 3579 RADIUS EAP
• NAS przekazuje pakiety EAP z / do serwera RADIUS
• pakiety sa opakowane w atrybucie EAP-Message
• NAS moze wspierac dowolna metode EAP
• NAS i suplikant negocjuja stosowany typ EAP
• NAS wysyla do suplikanta inicjujace zlecenie
  EAP-Request/Identity
• Suplikant wysyla EAP-Response/Identity
• NAS (jesli dziala jako pass-through) umieszcza
  EAP-Response/Identity w pakiecie Access-Request,
  w atrybucie EAP-Message
• Serwer RADIUS po odebraniu pakietu z atrybutem
  EAP-Message wysyla pakiet Access-Challenge z
  atrybutem EAP-Message

30
EAP a RADIUS

• Suplikant po odbiorze pakietu Access-Challenge
  odpowiada pakietem EAP-Response (umieszczonym w
  EAP-Message)
• Atrybut Message-Authenticator
• sluzy do podpisywania pakietów zlecen, w celu nie
  dopuszczenia do podszycia sie pod nadawce
• wymagany w pakietach zawierajacych EAP-Message
• wartosc pola tworzona za pomoca algorytmu
  HMAC-MD5 przy uzyciu klucza tajnego i napisu
  bedacego pakietem zlecenia

31
EAPOL EAP over LAN

• Sposób przenoszenia pakietów EAP miedzy
  suplikantem a NAS w srodowisku LAN
• obecnie zdefiniowano dla 802.3/Ethernet MAC i
  Token Ring/FDDI
• Ramka EAPOL
• typ Ethernetu 2B
• wersja protokolu 1B (wartosc 1)
• typ pakietu 1B
• EAP-Packet (000), EAPOL-Start (001),
  EAPOL-Logoff (010), EAPOL-Key (011),
  EAPOL-Encapsulated-ASF-Alert (100)
• rozmiar ciala pakietu 2B
• cialo pakietu nB (wartosc EAP-Packet, EAPOL-Key,
  EAPOL-Encapsulated-ASF-Alert
• Ramki powinny byc nieznakowane (untagged),
  opcjonalnie znakowane wg priorytetu

32
EAPOL EAP over LAN

• Cialo pakietu
• w przypadku typu pakietu EAP-Packet zawiera
  dokladnie jeden pakiet EAP
• postac pakietu kod (1B), identyfikator (1B),
  rozmiar (2B), dane
• kody 1 request, 2 response, 3 success, 4 -
  failure
• w przypadku typu pakietu EAPOL-Key zawiera
  dokladnie jeden deskryptor klucza
• postac deskryptora typ deskryptora (1B), rozmiar
  klucza (2B), licznik powtórzen (8B), klucz IV
  Initialization Vector (16B), indeks klucza (1B),
  podpis cyfrowy klucza (16B), klucz (rozmiar ciala
  pakietu 44)
• deskryptor RC4
• w przypadku typu pakietu EAPOL-Enacapsulated-ASF-A
  lert zawiera jedna ramke alertu ASF

33
EAPOL - RADIUS
wg strony http//manageengine.adventnet.com/produc
ts/wifi-manager/eapol-logoff-attack.html
34
EAP metody bezpieczne

• Rodzina metod opartych na certyfikatach EAP-TLS,
  EAP-TTLS, PEAP
• EAP-TLS
• zatwierdzony przez IETF, RFC 2716
• typ oparty na protokole TLS, tj. na kryptografii
  klucza publicznego
• klient i serwer musza dysponowac certyfikatami,
  weryfikacja autentycznosci poprzez udowodnienie
  posiadania odpowiednich kluczy (przez obie
  strony!)
• TLS wspomaga generowanie kluczy uzywanych do
  przygotowania materialu kryptograficznego
• wlasnosc fast reconnect (w ramach protokolu TLS)

35
EAP-TLS
36
EAP metody bezpieczne

• EAP-TTLS
• wprowadzony przez Funk Software i Certicom,
  kandydat na standard IETF (brak RFC)
• korzysta z protokolu TLS do stworzenia
  bezpiecznego kanalu transmisji dla przesylania w
  nim innego protokolu uwierzytelniania
• wymagany tylko certyfikat serwera, klient nie
  musi dysponowac certyfikatem
• w tunelu TLS sa przekazywane pary atrybut,wartosc
  
• wsparcie dla róznych metod, równiez PAP (Password
  Authentication Protocol), CHAP, MS-CHAP,
  MS-CHAPv2
• umozliwia wykorzystanie popularnego stylu
  uwierzytelniania opartego na hasle przy
  jednoczesnym bezpieczenstwie (odpornosc na
  podsluch, atak man-in-middle)
• latwa rozszerzalnosc

37
EAP metody bezpieczne

• PEAP
• protokól rozwijany wspólnie przez Microsoft, RSA
  Security i CISCO
• korzysta z protokolu TLS do stworzenia
  bezpiecznego kanalu transmisji dla przesylania w
  nim protokolu uwierzytelniania
• wymagany tylko certyfikat serwera, klient nie
  musi dysponowac certyfikatem
• warstwa TLS posadowiona nad EAP sluzy do
  realizacji wymiany zgodnej z protokolem EAP (w
  EAP-TTLS dopuszcza sie metody nie-EAP)
• w tunelu TLS sa wymieniane pakiety EAP
• nie definiuje metody uwierzytelniania, daje
  dodatkowe zabezpieczenia dla innych protokolów
  EAP

38
PEAP, EAP-TTLS, EAP-TLS
PEAP EAP-TTLS EAP-TLS
uwierzytelnienie serwera certyfikat certyfikat certyfikat
uwierzytelnienie klienta dowolna metoda EAP dowolna metoda uwierzyt. certyfikat
ochrona danych uzytkownika tak, TLS tak, TLS nie
negocjacja szyfrowania sesji nie tak nie
odpornosc na ataki tak tak tak
39
EAP a 802.1x
wg strony https//www.surfnet.nl/innovatie/wlan/
40
Bezpieczne sieci bezprzewodowe a RADIUS

• Wspólny klucz tajny shared secret
• ustalany miedzy NAS (AP) a serwerem
• w przypadku serwerów proxy ustalany dla
  komunikacji miedzy serwerami
• powinien byc unikatowy, nietrywialny, min. 16
  znaków, slowo spoza slownika
• zakodowanie hasla
• MD5( 128 bitowa liczba losowa shared secret )
  xor password
• hasla uzytkowników moga byc proste do zlamania,
  znajomosc hasla pozwala na wykonanie ataku
  slownikowego na klucz tajny

41
Bezpieczne sieci bezprzewodowe a RADIUS

• Pole 'authenticator'
• 16B
• w zleceniu (request authenticator) trudna do
  przewidzenia liczba losowa
• wartosc przenoszona jako haslo
• MD5( request authenticator shared secret ) xor
  password
• w odpowiedzi pole response authenticator zawiera
• MD5( pakiet RADIUS zlecenia do pola request
  authenticator wlacznie atrybuty odpowiedzi
  shared secret )

42
Bezpieczne sieci bezprzewodowe a RADIUS

• Dystrybucja dynamicznych kluczy tymczasowych
• wygenerowanie materialu kryptograficznego dla
  dalszej komunikacji
• dynamiczna zmiana kluczy szyfrujacych

43
Zarzadzanie kluczami

• Metoda EAP po skutecznym uwierzytelnieniu
  generuje klucz szyfrujacy (encryption key) zwany
  Master Session Key (MSK)
• klucz sklada sie z dwóch czesci, po 64 bity
  jedna (0-31) dotyczy komunikacji suplikant NAT,
  jest przesylana w odpowiedzi RADIUS jako atrybut
  MS-MPPE-Recv-Key, druga dotyczy komunikacji
  NAT-Supplicant i jest przesylana w atrybucie
  MS-MPPE-Send-Key
• wg dok. Internet-Draft draft-ietf-eap-keying-09
  powinny byc tworzone równiez
• klucz EMSK (Extended MSK) Authentication Key
• klucz IV (Initialisation Vector)
• w TLS-ie klucze powstaja na bazie TLS master
  secret

44
Zarzadzanie kluczami

• Z klucza MSK jest tworzony po stronie serwera i
  suplikanta klucz Pairwise Master Key (PMK)
• Suplikant i AP w ramach protokolu EAPOL
  (EAPOL-Key) realizuja w oparciu o klucz PMK tzw.
  4-way handshake, jest uzgodniany PTK (Pairwise
  Transient Key), bedacy zbiorem kluczy
• Key Confirmation Key KCK (dowód posiadania PMK)
• Key Encription Key KEK sluzy do dystrybucji Group
  Transient Key (GTK)
• Temporal Key 1 2 (TK1/TK2) sluzy do szyfrowania

45
Zarzadzanie kluczami

• Suplikant i AP w ramach protokolu EAPOL realizuja
  w oparciu o klucz KEK tzw. handshake klucza
  grupowego, nastepstwem jest uzgodnienie GTK
  (Group Transient Key), AP przesyla ten klucz do
  suplikanta, klucz jest stosowany do bezpiecznej
  transmisji pakietów broadcast i multicast

46
Uwierzytelnianiei autoryzacja

• Uwierzytelnienie dotyczy uzytkownika, nie
  urzadzenia
• Bezpieczenstwo chronionych danych
  uwierzytelniania
• Centralizacja punktu uwierzytelniania, integracja
  z innymi uslugami sieciowymi
• Mozliwosc szybkiego ponownego uwierzytelnienia
  (fast reauthentication) bez uczestnictwa
  zdalnego serwera
• Mozliwosc dodatkowej kontroli uprawnien
  uzytkownika
• przynaleznosc do okreslonej grupy
• zgoda na dostep dial-up
• lokalna polityka typ tunelowania, limity dot.
  sesji

47
Diameter

• RFC 3588
• Oficjalna strona projektu www.diameter.org
• Protokól typu AAA, przeznaczony dla aplikacji
  kontrolujacych dostep do sieci, albo dajacych
  uslugi mobilne
• Nazwa gra slów, RADIUS to poprzednik, Diameter
  to 2xRADIUS, promien (radius) srednica
  (diameter)
• Diameter jest kompatybilny wstecz
• Diameter jest udoskonaleniem RADIUS-a

48
Diameter - wlasnosci

• Bazuje na TCP lub SCTP
• Uzywa bezpiecznych warstw transportowych IPSec
  lub TLS
• Wspiera obsluge zmian stanów
• Dysponuje wieksza przestrzenia adresowa na obszar
  atrybut-wartosc oraz na identyfikatory (4B nie
  1B)
• Protokól typu peer-to-peer nie klient-serwer
• Moze dynamicznie lokalizowac partnera w oparciu o
  DNS SRV (RFC 2782) i NAPTR (RFC 3403)

49
Diameter - wlasnosci

• Mozliwosc negocjacji
• Potwierdzenia na poziomie aplikacji, metody
  regeneracji, zgodnie z RFC 3539, AAA transport
  Profile
• Powiadamianie o bledach
• Lepsze wsparcie roamingu
• Lepsza rozszerzalnosc, mozliwosc definiowania
  nowych polecen, atrybutów
• Wbudowane wsparcie obslugi sesji uzytkownika i
  dzialan rozliczeniowych

50
Diameter implementacje

• Projekt typu open source
• http//www.opendiameter.org
• GNU public license
• w biezacej wersji 1.0.7g API
• serwer i klient planowany w wersji 1.0.8