Title: Maja G
1Protokól RADIUS i jego zastosowania
- Maja Górecka-Wolniewicz
- UCI UMK
2Standard RADIUS
- RFC 2865 Remote Authentication Dial In User
Service, zastapil specyfikacje RFC 2138 - Okresla sposób dostarczenia metod
uwierzytelniania, autoryzacji i rozliczania (AAA) - Opcjonalny w IEEE 802.1x, rekomendowany
- Podstawowe pojecia
- uwierzytelnianie (authentication)
- autoryzacja (authorization)
- uzytkownik, suplikant (supplicant)
- klient RADIUS, NAS, autentykator (Network Access
Server) - serwer uwierzytelniania (authentication server)
- sesja (session)
- rozliczanie (accounting)
3Wlasnosci specyfikacji RADIUS
- Model klient/serwer
- komunikacja zlecenie-odpowiedz
- Bezpieczenstwo sieci
- stosowanie wspólnego klucza tajnego (shared
secret) - bezpieczne przekazywanie hasel
- Elastyczne metody uwierzytelniania
- EAP jako protokól transportujacy dowolne
protokoly uwierzytelniania - Latwa rozszerzalnosc protokolu
- spójna definicja elementów protokolu bazujaca na
trójce atrybut, dlugosc, wartosc
4RADIUS protokól transakcyjny
- Koniecznosc wspólpracy z alternatywnym serwerem -
w przypadku niedostepnosci glównego serwera - trzeba przechowywac kopie zlecenia na poziomie
aplikacji w celu retransmisji - musza byc zaimplementowane specyficzne dla
aplikacji limity czasu do retransmisji (timeouty) - Wymagania dotyczace obslugi nie sa zgodne z
implementacja dostarczana przez TCP - nie jest wymagane wykrywanie strat danych
- nie sa potrzebne potwierdzenia, retransmisje TCP
- protokól TCP wprowadzilby duze opóznienia
5RADIUSimplementacja UDP
- Bezstanowa natura protokolu
- duza dynamika zjawisk, bez potrzeby przywracania
stanu, wyeliminowanie specjalnej obslugi zdarzen
dotyczacych utraconych polaczen - Dzieki oparciu protokolu RADIUS na UDP latwo moga
byc tworzone implementacje - poczatkowo serwery jednowatkowe
- przejscie na wielowatkowosc bylo prostsze dzieki
stosowaniu UDP - Porty UDP 1812 (authn), 1813 (accounting), 1814
(proxy)
6Pakiety RADIUS
Kod 1B
Identyfikator 1B
Rozmiar
pakietu 2B
..........
Autentykator
lacznie
16B
..........
Atrybuty
lacznie
nB
7Pakiety RADIUS
- Kod
- 1 Access-Request
- 2 Access-Accept
- 3 Access-Reject
- 4 Accouning-Request
- 5 Accouning-Response
- 11 Access-Challenge
- 12 Status-Server (eksperymentalny)
- 13 Status-Client (eksperymentalny)
- 255 Reserved
8Pakiety RADIUS
- Identyfikator 1B, unikatowy identyfikator w
celu dopasowania par zlecenie-odpowiedz - Rozmiar pakietu 2B, calkowity rozmiar
komunikatu RADIUS, lacznie z polem rozmiaru
dozwolone wartosci od 20 do 4096B - Autentykator 16B, informacja uzywana do
uwierzytelnienia odpowiedzi z serwera, a takze
jest stosowana w algorytmie ukrywania hasla
(uzycie shared-secret) - w pakiecie Access-Request autentykator zlecenia
- w pakiecie Access-Accept/Reject autentykator
odpowiedzi
9Access-Request
- Pakiet inicjujacy komunikacje AP (klient
RADIUS) zglasza do serwera RADIUS chec dostepu - POWINIEN zawierac atrybut User-Name
- MUSI zawierac atrybut NAS-IP-Address lub
NAS-Identifier, lub oba atrybuty - MUSI zawierac albo User-Password, albo
CHAP-Password, albo State - POWINIEN zawierac NAS-Port lub NAS-Port-Type
- MOZE zawierac dodatkowe atrybuty
10Access-Accept/ Access-Reject
- Access-Accept
- pole identyfikatora MUSI zgadzac sie z polem
identyfikatora w odpowiednim zleceniu - pole autentykatora MUSI zawierac poprawna
odpowiedz dla dopasowanego zlecenia - Access-Reject
- MOZE zawierac atrybuty Reply-Message
11Access-Challenge
- MOZE zawierac atrybuty Reply-Message
- MOZE zawierac jeden atrybut State
- MOZE zawierac atrybuty Vendor-Specific,
Idle-Timeout, Session-Timeout, Proxy-State - Zadne inne atrybuty nie sa dozwolone
- Pole identyfikatora MUSI zgadzac sie z polem
identyfikatora w odpowiednim zleceniu - Pole autentykatora MUSI zawierac poprawna
odpowiedz dla dopasowanego zlecenia
12Atrybuty
- Atrybuty przenosza specyficzne informacje
dotyczace procesu uwierzytelniania, autoryzacji i
konfiguracji - Atrybut moze miec wiele wystapien
- Reprezentacja atrybutu
Typ 1B
atrybuty maja przypisane ident. numeryczne
Rozmiar 1B
liczony lacznie z polem typu i rozmiaru
Wartosc 0-nB
5 typów tekst UTF-8, napis, adres, liczba, czas
13Przykladowe atrybuty
- 1 User-Name Nazwa uzytkownika w postaci
tekstu UTF-8, - identyfikatora sieciowego lub nazwy
wyróznionej (DN) - 2 User-Password Haslo uzytkownika (ukryte) lub
odpowiedz na Access- Challenge - 3 CHAP-Password Odpowiedz dostarczona w
protokole CHAP - 4 NAS-IP-Address Adres IP AP-a
- ..................................................
............................. - 24 State Wysylany przez serwer do klienta w
Access-Challenge, musi zostac przeslany
niezmieniony przez klienta do serwera w
Access-Request - 25 Class Wysylany przez serwer do klienta w
zleceniu Access- Accept, powinien zostac
przeslany niezmieniony do serwera w pakiecie
Accounting-Request - Lacznie w RFC2865 zdefiniowano 43 typy w
zakresie 1-63, zakres 40-59 przeznaczono na
atrybuty accountingowe
14Atrybut Vendor-Specific
- Wprowadzony w celu mozliwosci wsparcia wlasnosci
specyficznych dla okreslonego sprzetu/dostawcy
atrybut o typie 26 - atrybut zawierajacy podatrybuty
- W polu wartosci atrybutu podpola
- Vendor-Id 4B, najwyzszy bajt 0, pozostale to
kod dostawcy zdefiniowany w Assigned Numbers (RFC
1700) - napis 1 lub wiecej sekwencji bajtów w postaci
- typ dostawcy (Vendor type), 1B
- rozmiar (Vendor length), 1B rozmiar nastepnego
podpola2 - atrybut (Vendor data, Attribute-Specific field) w
postaci nazwawartosc
15Atrybuty Vendor-Specific Microsoft
- Definicja RFC 2548
- Wsparcie dla aplikacji Windows zwiazane z
uslugami dial-up i protokolem RADIUS - obsluga protokolu MS-CHAP, MS-CHAPv2
- Przykladowe atrybuty
- MS-CHAP-Challange, MS-CHAP-Response,
MS-CHAP-Domain, MS-CHAP2-Success,
MS-CHAP2-Response - Atrybuty zwiazane z Microsoft Point-To-Point
Encryption (MPPE), umieszczane w Access-Accept - MS-MPPE-Send-Key zawiera klucz przeznaczony do
wysylania bezpiecznych pakietów z AP do
suplikanta - MS-MPPE-Recv-Key zawiera klucz przeznaczony do
szyfrowania pakietów otrzymanych przez AP z
suplikanta - stosowane do tworzenia materialu kryptograficznego
16Rozszerzenia protokolu RADIUS
- RFC 2869, RADIUS Extensions
- rozszerzenia wprowadzaja nowe, specyficzne dla
operacji atrybuty - wsparcie aktualizacji rozliczeniowych Interim
Accounting Updates - atrybut Acct-Interim-Interval
- wsparcie Apple Remote Access Protocol (ARAP)
- wsparcie EAP-a
- przenoszenie w pakietach Radius pakietów EAP
atrybuty EAP-Message i Message-Authenticator
17Accounting- informacje rozliczeniowe
- RFC 2866, RADIUS Accounting
- dostarczanie informacji rozliczeniowej z
urzadzenia do serwera RADIUS - w protokole RADIUS zdefiniowano pakiety
Accounting-Request i Accounting-Response - RFC definiuje atrybuty, których typy
zarezerwowano w oryginalnej specyfikacji
18Accounting- informacje rozliczeniowe
- 40 Acct- Status-Type poczatek/koniec sesji
(start/stop/interim-update - accounting-on/off)
- 41 Acct-Delay-Time ile sekund klient próbowal
przeslac rekord - 42 Acct-Input-Octets
- 43 Acct-Output-Octets
- 44 Acct-Session-Id unikatowy identyfikator
sesji - 45 Acct-Authentic sposób uwierzytelnienia (NAS,
RADIUS) - 46 Acct-Session-Time
- 47 Acct-Input-Packets
- 48 Acct-Output-Packets
- 49 Acct-Terminate-Cause przyczyna konca sesji,
np. Idle-Timeout, NAS error - 50 Acct-Multi-Session-Id
- 51 Acct-Link-Count
19RADIUS - dzialanie
- Jesli urzadzenie sieciowe (NAS) jest klientem
RADIUS, to uzytkownik musi przekazac klientowi
dane uwierzytelniania - NAS przesyla pakiet Access-Request do serwera
RADIUS w zleceniu musi pojawic sie User-Name
itd. - Gdy nie pojawia sie odpowiedz
- NAS ponawia przesylanie do tego samego serwera,
- NAS przekazuje zlecenie do serwera alternatywnego
- Serwer RADIUS po odebraniu zlecenia
Access-Request sprawdza wiarygodnosc klienta - wspólny klucz tajny (shared secret) sluzy do
uwierzytelniania transakcji klient-serwer - wspólny klucz tajny NIGDY nie jest przesylany
przez siec
20RADIUS - dzialanie
- Serwer RADIUS w oparciu o lokalne metody
uwierzytelniania sprawdza uprawnienia uzytkownika - W przypadku negatywnego wyniku kontroli serwer
odpowiada pakietem Access-Reject - Serwer moze przekazac do klienta pakiet
(odpowiedz) Access-Challenge - Po otrzymaniu pakietu Access-Challenge klient
ponownie wysyla Access-Request (z nowym ID) - Pozytywny wynik uwierzytelnienia konczy odpowiedz
Access-Accept
21Mechanizm challenge/response
- challenege wyzwanie serwer wysyla liczbe
losowa - Klient musi na podstawie tej liczby wyliczyc
response - odpowiedz, która przekazuje w kolejnym
zleceniu Access-Request - odpowiedz pojawia sie w atrybucie User-Password
- Zleceniu Access-Challenge moze towarzyszyc
atrybut State, który MUSI byc transmitowany
przezroczyscie
22Funkcjonalnosc proxy w protokole RADIUS
- Serwer RADIUS dostaje z urzadzenia NAS zlecenie
uwierzytelnienia - Natychmiast przekazuje zlecenie do innego
zdalnego serwera RADIUS - Odbiera odpowiedz ze zdalnego serwera, weryfikuje
poprawnosc odpowiedzi na podstawie wspólnego
hasla i pola autentykatora i przekazuje odpowiedz
klientowi - Typowe zastosowanie roaming
- Wybór serwera na ogól bazuje na wartosci realm,
okreslanej na podstawie identyfikatora sieciowego
23Proxy RADIUS
- Zastosowanie atrybutu Proxy-State
- serwer przekazujacy zlecenia MUSI przezroczyscie
transmitowac atrybuty Proxy-State, nie moze
zmieniac ich kolejnosci - serwer przed przekazaniem zlecenia moze dodac
atrybut Proxy-State, przy czym MUSI umiescic ten
atrybut na koncu, za wszystkimi innymi atrybutami
tego typu - jesli serwer umiescil atrybut Proxy-State, to po
otrzymaniu odpowiedzi MUSI go usunac (usunac
ostatni atrybut Proxy-State w pakiecie)
24Proxy RADIUS
- Serwer przed przekazaniem zlecenia deszyfruje
atrybut User-Password uzywajac wspólnego klucza
tajnego A i B - Serwer szyfruje User-Password stosujac wspólny
klucz tajny B i C - Pole authenticator jest stosowane do
weryfikacji pakietów pakiety negatywnie
zweryfikowane sa kasowane - Jeden serwer moze pelnic funkcje proxy i remote,
moze byc serwerem proxy dla wielu domen (realms)
itd.
25802.1x w sieci bezprzewodowej
- Pojecie portów logicznych
- wykorzystanie adresów MAC suplikanta i AP-a do
stworzenia kanalu transmisji - suplikant laczy sie z AP zanim sa dostepne klucze
dynamiczne (wlasnosc AP zw. open authentication) - porty niekontrolowane i kontrolowane
- Zarzadzanie kluczami
- 802.1x nie wymaga WEP-a, ani innego mechanizmu
szyfrujacego, ale pozwala na uzycie mechanizmów
szyfrujacych - 802.1x posiada mechanizm dystrybucji klucza
szyfrujacego za pomoca komunikacji EAPOL - RFC 3580 IEEE 802.1x RADIUS Usage Guidelines
- rola atrybutów dot. uwierzytelniania i rozliczania
26EAP Extensible AuthenticationProtocol
- Mechanizm wspierajacy rózne metody
uwierzytelniania - rozwiniety w celu wsparcia PPP
- obecnie czesto uzywany w ramach IEEE 802
- wykorzystywany przez standard IEEE 802.1x
- RFC 3748 (nastepca RFC 2284)
- Implementowany bezposrednio nad warstwa lacza
danych, nie wymaga adresacji IP - Elastycznosc autentykator nie musi wspierac
metod uwierzytelniania, sa one implementowane na
serwerze EAP - EAP nie ma mozliwosci fragmentacji i laczenia
pakietów - implementacja w specyficznych metodach, np.
EAP-TLS
27EAP - pakiety
- 4 typy pakietów
- zlecenie (request)
- odpowiedz (response)
- sukces (success)
- porazka (failure)
- Format pakietu
Kod 1B
Identyfikator 1B
Rozmiar
pakietu 2B
tylko w zleceniu i odpowiedzi
Typ 1B
Dane
dane
...
28EAP - metody
- Pole typ wskazuje typ transmitowanych danych,
jest równowazne z metoda EAP - Standardowe metody EAP MD5-Challenge, OTP, GTC
- metody realizujace wymiane danych w celu
uwierzytelnienia - nie zalecane w sieciach bezprzewodowych jako
niewystarczajaco bezpieczne - Trzy dodatkowe (specjalne) metody EAP
- Identity podaj / przekaz nazwe uzytkownika
- Nak brak zgody na proponowana metode
uwierzytelniania - Notification rzadko uzywany, informacja dla
uzytkownika - Typy rozszerzone (expanded types)
- w polu danych Vendor-ID, Vendor-Type, dane
- Typy eksperymentalne
29EAP a RADIUS
- RFC 3579 RADIUS EAP
- NAS przekazuje pakiety EAP z / do serwera RADIUS
- pakiety sa opakowane w atrybucie EAP-Message
- NAS moze wspierac dowolna metode EAP
- NAS i suplikant negocjuja stosowany typ EAP
- NAS wysyla do suplikanta inicjujace zlecenie
EAP-Request/Identity - Suplikant wysyla EAP-Response/Identity
- NAS (jesli dziala jako pass-through) umieszcza
EAP-Response/Identity w pakiecie Access-Request,
w atrybucie EAP-Message - Serwer RADIUS po odebraniu pakietu z atrybutem
EAP-Message wysyla pakiet Access-Challenge z
atrybutem EAP-Message
30EAP a RADIUS
- Suplikant po odbiorze pakietu Access-Challenge
odpowiada pakietem EAP-Response (umieszczonym w
EAP-Message) - Atrybut Message-Authenticator
- sluzy do podpisywania pakietów zlecen, w celu nie
dopuszczenia do podszycia sie pod nadawce - wymagany w pakietach zawierajacych EAP-Message
- wartosc pola tworzona za pomoca algorytmu
HMAC-MD5 przy uzyciu klucza tajnego i napisu
bedacego pakietem zlecenia
31EAPOL EAP over LAN
- Sposób przenoszenia pakietów EAP miedzy
suplikantem a NAS w srodowisku LAN - obecnie zdefiniowano dla 802.3/Ethernet MAC i
Token Ring/FDDI - Ramka EAPOL
- typ Ethernetu 2B
- wersja protokolu 1B (wartosc 1)
- typ pakietu 1B
- EAP-Packet (000), EAPOL-Start (001),
EAPOL-Logoff (010), EAPOL-Key (011),
EAPOL-Encapsulated-ASF-Alert (100) - rozmiar ciala pakietu 2B
- cialo pakietu nB (wartosc EAP-Packet, EAPOL-Key,
EAPOL-Encapsulated-ASF-Alert - Ramki powinny byc nieznakowane (untagged),
opcjonalnie znakowane wg priorytetu
32EAPOL EAP over LAN
- Cialo pakietu
- w przypadku typu pakietu EAP-Packet zawiera
dokladnie jeden pakiet EAP - postac pakietu kod (1B), identyfikator (1B),
rozmiar (2B), dane - kody 1 request, 2 response, 3 success, 4 -
failure - w przypadku typu pakietu EAPOL-Key zawiera
dokladnie jeden deskryptor klucza - postac deskryptora typ deskryptora (1B), rozmiar
klucza (2B), licznik powtórzen (8B), klucz IV
Initialization Vector (16B), indeks klucza (1B),
podpis cyfrowy klucza (16B), klucz (rozmiar ciala
pakietu 44) - deskryptor RC4
- w przypadku typu pakietu EAPOL-Enacapsulated-ASF-A
lert zawiera jedna ramke alertu ASF
33EAPOL - RADIUS
wg strony http//manageengine.adventnet.com/produc
ts/wifi-manager/eapol-logoff-attack.html
34EAP metody bezpieczne
- Rodzina metod opartych na certyfikatach EAP-TLS,
EAP-TTLS, PEAP - EAP-TLS
- zatwierdzony przez IETF, RFC 2716
- typ oparty na protokole TLS, tj. na kryptografii
klucza publicznego - klient i serwer musza dysponowac certyfikatami,
weryfikacja autentycznosci poprzez udowodnienie
posiadania odpowiednich kluczy (przez obie
strony!) - TLS wspomaga generowanie kluczy uzywanych do
przygotowania materialu kryptograficznego - wlasnosc fast reconnect (w ramach protokolu TLS)
35EAP-TLS
36EAP metody bezpieczne
- EAP-TTLS
- wprowadzony przez Funk Software i Certicom,
kandydat na standard IETF (brak RFC) - korzysta z protokolu TLS do stworzenia
bezpiecznego kanalu transmisji dla przesylania w
nim innego protokolu uwierzytelniania - wymagany tylko certyfikat serwera, klient nie
musi dysponowac certyfikatem - w tunelu TLS sa przekazywane pary atrybut,wartosc
- wsparcie dla róznych metod, równiez PAP (Password
Authentication Protocol), CHAP, MS-CHAP,
MS-CHAPv2 - umozliwia wykorzystanie popularnego stylu
uwierzytelniania opartego na hasle przy
jednoczesnym bezpieczenstwie (odpornosc na
podsluch, atak man-in-middle) - latwa rozszerzalnosc
37EAP metody bezpieczne
- PEAP
- protokól rozwijany wspólnie przez Microsoft, RSA
Security i CISCO - korzysta z protokolu TLS do stworzenia
bezpiecznego kanalu transmisji dla przesylania w
nim protokolu uwierzytelniania - wymagany tylko certyfikat serwera, klient nie
musi dysponowac certyfikatem - warstwa TLS posadowiona nad EAP sluzy do
realizacji wymiany zgodnej z protokolem EAP (w
EAP-TTLS dopuszcza sie metody nie-EAP) - w tunelu TLS sa wymieniane pakiety EAP
- nie definiuje metody uwierzytelniania, daje
dodatkowe zabezpieczenia dla innych protokolów
EAP
38PEAP, EAP-TTLS, EAP-TLS
PEAP EAP-TTLS EAP-TLS
uwierzytelnienie serwera certyfikat certyfikat certyfikat
uwierzytelnienie klienta dowolna metoda EAP dowolna metoda uwierzyt. certyfikat
ochrona danych uzytkownika tak, TLS tak, TLS nie
negocjacja szyfrowania sesji nie tak nie
odpornosc na ataki tak tak tak
39EAP a 802.1x
wg strony https//www.surfnet.nl/innovatie/wlan/
40Bezpieczne sieci bezprzewodowe a RADIUS
- Wspólny klucz tajny shared secret
- ustalany miedzy NAS (AP) a serwerem
- w przypadku serwerów proxy ustalany dla
komunikacji miedzy serwerami - powinien byc unikatowy, nietrywialny, min. 16
znaków, slowo spoza slownika - zakodowanie hasla
- MD5( 128 bitowa liczba losowa shared secret )
xor password - hasla uzytkowników moga byc proste do zlamania,
znajomosc hasla pozwala na wykonanie ataku
slownikowego na klucz tajny
41Bezpieczne sieci bezprzewodowe a RADIUS
- Pole 'authenticator'
- 16B
- w zleceniu (request authenticator) trudna do
przewidzenia liczba losowa - wartosc przenoszona jako haslo
- MD5( request authenticator shared secret ) xor
password - w odpowiedzi pole response authenticator zawiera
- MD5( pakiet RADIUS zlecenia do pola request
authenticator wlacznie atrybuty odpowiedzi
shared secret )
42Bezpieczne sieci bezprzewodowe a RADIUS
- Dystrybucja dynamicznych kluczy tymczasowych
- wygenerowanie materialu kryptograficznego dla
dalszej komunikacji - dynamiczna zmiana kluczy szyfrujacych
43Zarzadzanie kluczami
- Metoda EAP po skutecznym uwierzytelnieniu
generuje klucz szyfrujacy (encryption key) zwany
Master Session Key (MSK) - klucz sklada sie z dwóch czesci, po 64 bity
jedna (0-31) dotyczy komunikacji suplikant NAT,
jest przesylana w odpowiedzi RADIUS jako atrybut
MS-MPPE-Recv-Key, druga dotyczy komunikacji
NAT-Supplicant i jest przesylana w atrybucie
MS-MPPE-Send-Key - wg dok. Internet-Draft draft-ietf-eap-keying-09
powinny byc tworzone równiez - klucz EMSK (Extended MSK) Authentication Key
- klucz IV (Initialisation Vector)
- w TLS-ie klucze powstaja na bazie TLS master
secret
44Zarzadzanie kluczami
- Z klucza MSK jest tworzony po stronie serwera i
suplikanta klucz Pairwise Master Key (PMK) - Suplikant i AP w ramach protokolu EAPOL
(EAPOL-Key) realizuja w oparciu o klucz PMK tzw.
4-way handshake, jest uzgodniany PTK (Pairwise
Transient Key), bedacy zbiorem kluczy - Key Confirmation Key KCK (dowód posiadania PMK)
- Key Encription Key KEK sluzy do dystrybucji Group
Transient Key (GTK) - Temporal Key 1 2 (TK1/TK2) sluzy do szyfrowania
45Zarzadzanie kluczami
- Suplikant i AP w ramach protokolu EAPOL realizuja
w oparciu o klucz KEK tzw. handshake klucza
grupowego, nastepstwem jest uzgodnienie GTK
(Group Transient Key), AP przesyla ten klucz do
suplikanta, klucz jest stosowany do bezpiecznej
transmisji pakietów broadcast i multicast
46Uwierzytelnianiei autoryzacja
- Uwierzytelnienie dotyczy uzytkownika, nie
urzadzenia - Bezpieczenstwo chronionych danych
uwierzytelniania - Centralizacja punktu uwierzytelniania, integracja
z innymi uslugami sieciowymi - Mozliwosc szybkiego ponownego uwierzytelnienia
(fast reauthentication) bez uczestnictwa
zdalnego serwera - Mozliwosc dodatkowej kontroli uprawnien
uzytkownika - przynaleznosc do okreslonej grupy
- zgoda na dostep dial-up
- lokalna polityka typ tunelowania, limity dot.
sesji
47Diameter
- RFC 3588
- Oficjalna strona projektu www.diameter.org
- Protokól typu AAA, przeznaczony dla aplikacji
kontrolujacych dostep do sieci, albo dajacych
uslugi mobilne - Nazwa gra slów, RADIUS to poprzednik, Diameter
to 2xRADIUS, promien (radius) srednica
(diameter) - Diameter jest kompatybilny wstecz
- Diameter jest udoskonaleniem RADIUS-a
48Diameter - wlasnosci
- Bazuje na TCP lub SCTP
- Uzywa bezpiecznych warstw transportowych IPSec
lub TLS - Wspiera obsluge zmian stanów
- Dysponuje wieksza przestrzenia adresowa na obszar
atrybut-wartosc oraz na identyfikatory (4B nie
1B) - Protokól typu peer-to-peer nie klient-serwer
- Moze dynamicznie lokalizowac partnera w oparciu o
DNS SRV (RFC 2782) i NAPTR (RFC 3403)
49Diameter - wlasnosci
- Mozliwosc negocjacji
- Potwierdzenia na poziomie aplikacji, metody
regeneracji, zgodnie z RFC 3539, AAA transport
Profile - Powiadamianie o bledach
- Lepsze wsparcie roamingu
- Lepsza rozszerzalnosc, mozliwosc definiowania
nowych polecen, atrybutów - Wbudowane wsparcie obslugi sesji uzytkownika i
dzialan rozliczeniowych
50Diameter implementacje
- Projekt typu open source
- http//www.opendiameter.org
- GNU public license
- w biezacej wersji 1.0.7g API
- serwer i klient planowany w wersji 1.0.8