Différence entre le diamètre et le rayon

2024 Auteur: Alex Aldridge | [email protected]. Dernière modifié: 2024-01-17 23:32

Diamètre vs Rayon

Diameter et Radius (Remote Authentication Dial in User Service) sont deux protocoles utilisés pour les services AAA (Authentication, Authorization, and Accounting). Le fonctionnement de base de RADIUS et Diameter est similaire, car ils transportent tous deux des informations d'authentification, d'autorisation et de configuration entre un serveur d'accès réseau (NAS) et un serveur d'authentification partagé. Diameter ressemble à de nombreuses fonctionnalités de RADIUS puisqu'il a évolué à partir de Radius. Ainsi, en diamètre, le format de paquet s'est considérablement amélioré, et les mécanismes de transport se sont également améliorés en déplaçant le concept global d'une architecture client-serveur vers une architecture peer-to-peer.

Qu'est-ce que le diamètre ?

Diameter est un protocole qui fournit un cadre de base pour tout type de services nécessitant un accès, une autorisation et une comptabilité (AAA) ou une prise en charge des politiques sur de nombreux réseaux IP. Ce protocole est à l'origine dérivé du protocole RADIUS qui est également un protocole fournissant des services AAA aux ordinateurs afin de se connecter et d'utiliser un réseau. Diameter a apporté de nombreuses améliorations par rapport à RADIUS sous différents aspects. Il comprend de nombreuses améliorations telles que la gestion des erreurs et la fiabilité de la livraison des messages. Ainsi, il vise à devenir le protocole d'authentification, d'autorisation et de comptabilité (AAA) de nouvelle génération.

Diameter fournit des données sous la forme d'AVP (Attribute value pairs). La plupart de ces valeurs AVP sont associées à des applications particulières qui emploient Diameter tandis que certaines d'entre elles sont utilisées par le protocole Diameter lui-même. Ces paires de valeurs d'attribut peuvent être ajoutées de manière aléatoire aux messages de diamètre, de sorte qu'elles limitent, y compris toutes les paires de valeurs d'attribut indésirables, qui sont intentionnellement bloquées tant que les paires de valeurs d'attribut requises sont incluses. Ces paires de valeurs d'attributs sont utilisées par le protocole de diamètre de base afin de prendre en charge de nombreuses fonctionnalités requises.

Généralement avec le protocole Diameter, n'importe quel hôte peut être configuré en tant que client ou serveur, basé sur l'infrastructure réseau, puisque Diameter est conçu pour faciliter l'architecture Peer-To-Peer. Avec l'ajout de nouvelles commandes ou paires de valeurs d'attribut, il est également possible d'étendre le protocole de base pour une utilisation dans de nouvelles applications. Un protocole AAA hérité utilisé par de nombreuses applications peut fournir des fonctionnalités différentes non fournies par Diameter. Ainsi, les concepteurs qui utilisent le diamètre pour de nouvelles applications doivent faire très attention à leurs exigences.

Qu'est-ce que le rayon ?

Similaire à Diameter, RADIUS est un protocole conçu pour transporter les informations d'authentification, d'autorisation et de configuration entre un serveur d'accès réseau (NAS) et un serveur d'authentification partagé. Le NAS fonctionne en tant que client de RADIUS et est responsable de la transmission des informations utilisateur vers/depuis les serveurs RADIUS désignés. D'autre part, les serveurs RADIUS reçoivent les demandes de connexion des utilisateurs, effectuent l'authentification de l'utilisateur et renvoient toutes les informations de configuration nécessaires pour que le client fournisse le service à l'utilisateur.

Par exemple, lorsqu'un client est configuré pour utiliser RADIUS, les utilisateurs du client doivent présenter des informations d'authentification (nom d'utilisateur et mot de passe). L'utilisateur peut utiliser un protocole de cadrage de lien tel que le protocole point à point (PPP), afin de transporter ces informations. Une fois que le client a reçu ces informations, il envoie une "demande d'accès" au client avec le nom d'utilisateur et le mot de passe de l'utilisateur. RADIUS utilise le port UDP 1812 pour l'authentification et le port 1813 pour la comptabilité RADIUS par l'IANA (Internet Assigned Numbers Authority). RADIUS utilise principalement les protocoles PAP, CHAP ou EAP pour l'authentification des utilisateurs.

La structure de paquet RADIUS comprend d'abord un en-tête de taille fixe, suivi d'un nombre variable d'attributs appelés AVP (Attribute Value Pairs). Chacune de ces AVP consiste en un code d'attribut, une longueur et une valeur. L'en-tête RADIUS se compose de champs, à savoir le code, l'identifiant, la longueur et l'authentificateur. Le champ de code contient le type et la longueur du message. Le champ Identifiant est utilisé pour faire correspondre les demandes et les réponses. Le champ de longueur donne la longueur de l'ensemble du paquet RADIUS, y compris tous les champs pertinents. Le champ d'authentification authentifie les messages de réponse du serveur RADIUS et crypte les mots de passe.

Diamètre vs Rayon

Fonctionnalité

Diamètre Rayon Ports de communication 3868 pour le protocole de base

1812 – UDP

1813 – Comptabilité

Gestion des messages Les messages initiés par le serveur ne sont pas pris en charge Les messages initiés par le serveur sont pris en charge Schéma de rapport d'erreur Prise en charge Non pris en charge Sécurité

Clients de diamètre

prend en charge IPSec et peut prendre en charge le protocole TLS (Transport Layer Security)

RADIUS définit l'utilisation d'IPSec, mais sa prise en charge n'est pas obligatoire. Méthodes de transport Utilisez SCTP (Stream Control Transmission Protocol) ou TCP (Transmission Control Protocol) Utiliser UDP (User Datagram Protocol) Procurations et agents

Diameter définit quatre types d'agents, qui prennent en charge le relais, le proxy, la redirection ou la traduction

services.

Le RADIUS ne définit pas

le comportement des proxys précisément, il peut varier entre différentes implémentations.

Authentification Utilisation des NAI (Network Access Identifier), CHAP (Challenge Handshake Authentication Protocol), EAP (Extensible Authentication Protocol) et PAP (Password Authentication Protocol) Utilisation des NAI (Network Access Identifier), CHAP (Challenge Handshake Authentication Protocol), EAP (Extensible Authentication Protocol) et PAP (Password Authentication Protocol) Découverte des capacités des nœuds Prise en charge Non pris en charge Taille maximale des attributs 16Mo 255 octets Évolutivité Bien Très pauvre Fiabilité Transmission fiable

La transmission n'est pas fiable