Interoperation between RADIUS and Diameter Protocols

No Thumbnail Available

URL

Journal Title

Journal ISSN

Volume Title

Helsinki University of Technology | Licentiate thesis
Checking the digitized thesis and permission for publishing
Instructions for the author

Date

2005

Major/Subject

Tietoverkkotekniikka

Mcode

S-38

Degree programme

Language

en

Pages

147

Series

Abstract

Authentication, Authorization and Accounting (AAA) protocols such as Terminal Access Control System (TACACS) and Remote Authentication Dial-In User Service (RADIUS) were initially deployed to provide dial-up Point-to-Point Protocol (PPP) and terminal server access. With the growth of IP based communications and the introduction of new access technologies, all kinds of devices such as end users terminals, routers and various servers have increased dramatically in complexity and quantity. It puts a lot of new requirements on AAA protocols. To amend the deficiencies in security and functionalities of TACACS and RADIUS, Diameter as the next generation AAA protocol has been developed by IETF. However, TACACS and RADIUS, especially RADIUS, are widely used. It is required that any newly deployed AAA protocol has to interoperate with the widespread RADIUS protocol. This thesis reviews the main AAA protocols, the widely used RADIUS protocol and the newly proposed Diameter protocol, and examines the current situation of defining the interoperation between these two protocols. The problems on the definition and specifications of RADIUS and Diameter interoperation up to date are investigated and described. We noticed that the current specifications on addressing the interoperation of RADIUS and Diameter are only some general guidelines that are incomplete and scattered in different documents. However, the protocol interoperation has to be based on the translation of these two protocols. The fundament of protocol translation is the mapping of messages and attributes of different protocols. This thesis therefore identifies the internal differences between RADIUS and Diameter, establishes the mapping between RADIUS and Diameter at both the message level and the attribute level, describes the issues in protocol conversion, and proposes solutions for handling the revealed problems. Security deficiencies are critical problems in RADIUS deployment. This thesis also studies the security flaws of RADIUS and investigates the workarounds for these problems. Diameter is the next generation AAA protocol, but it lacks the end-to-end security mechanism. This thesis invented a solution of the end-to-end security for Diameter. Based on the investigation of RADIUS and Diameter security, the thesis proposes a security scheme for RADIUS and Diameter interoperation.

Authentication Authorization ja Accounting (AAA) protokollat kuten Terminal Access Controller Access Control Cystem (TACACS) ja Remote Authentication Dial-in User Service (RADIUS) oli alun perin kehitetty valinnaista Point-to-Point Protokollaa (PPP) ja päätepalvelua varten. Yhä suurempi osa tietoliikenteestä on IP-pohjaista. Acces-verkot uudistuvat niin että tulee paljon uusia verkkoelementtejä ja naiden kanssa yhteensopivia päätelaitteita. Nämä verkkoelementit ja päätelaitteet ovat huomattavasti aikaisempaa monimutkaisempia. AAA-protokollille tulee paljon uusia vaatimuksia. IETF:n toimesta on kehitetty uuden sukupolven AAA-protokolla Diameter, joka korjaa TACACS- ja RADIUS-protokollien tietoturvan ja toiminnallisuuden puutteet. Koska TACAS ja varsinkin RADIUS ovat laajalti käytössä, Diameterin pitää toimia RADIUS-protokollan kanssa. Tässä tutkielmassa esitetään tavallisimmat AAA-protokollat. RADIUS- ja Diameter-protokollien yhteensovittamisen nykytilanne selvitetään. Yhteensovittamisen ongelmakohdat esitellään ja analysoidaan. Nyt yhteensovittamisesta löytyy eri lähteistä vain yleistä ohjeistusta. Yhteensovittamisessa protokollat täytyy kääntää ristiin. Käännettäessä lähdeprotokollan sanomat ja attribuutit korvataan kohdeprotokollan sanomilla ja attribuuteilla. Tutkielmassa kuvataan RADIUS ja Diameter protokollien sisäiset erot, määritellään muunnoksen protokollasta toiseen sekä sanoma että attribuuttitasolla. Muunnokset kuvataan ja esiin tuleville ongelmille haetaan ratkaisuehdotukset. RADIUS-protokollan tietoturvan puutteet esitellään ja keinot puutteiden kiertämiseksi kuvataan. Diameter on uuden polven AAA-protokolla mutta siinä ei ole päästä päähän tieturvamekanismia. Tutkielmassa esitetään Diameter-protokollan päästä päähän tietoturvaratkaisu. RADIUS- ja Diameter-protokollien yhteensovittamisen tieturvalle ehdotetaan myös ratkaisua.

Description

Supervisor

Kantola, Raimo

Thesis advisor

Ott, Jörg

Keywords

AAA, AAA, RADIUS, RADIUS, Diameter, Diameter, interoperation, yhteiskäyttö, agent, agentti

Other note

Citation