帳號:
密碼:
最新動態
產業快訊
CTIMES / 文章 /
AAA在IMS的應用
 

【作者: 林耕宇】   2007年12月12日 星期三

瀏覽人次:【8336】

何謂AAA

AAA所代表的是認證(Authentication)、授權(Authorization)、帳務(Accounting),其意涵分別如下:


  • ●認證(Authentication):確認登入者的真實身份,藉由登入時輸入的帳號,密碼得知登入人是否合法使用。


  • ●授權(Authorization): 經由用戶資料庫的使用紀錄控制登入的IP位置是否強制轉向,控制使用的應用項目,甚至使用時間以及以封包數量流進流出作範圍計算。


  • ●帳務(Accounting): 透過使用時間或封包數量供線上?時和離線的帳務管理。



對於IMS的應用系統來說,應用服務或許依使用的封包數目、使用時間、使用次數計價,在優惠期間可能要提供動態帳務管理,用戶資料庫將提供第一次登入的資料確認,逾期欠款的用戶經由IP轉址的功能只看得到繳費網頁,用戶資料庫甚至可保存五年以上的使用記錄,包含網址、時間等,對於IMS的管理,AAA的功能相當重要。


AAA架構的應用

AAA應用系統以Remote Authentication Dial In User Service通信協定為代表,通稱RADIUS。主要提供網路接取設備的認證、授權、帳務的伺服器,其使用行為如(圖一)。



《圖一 AAA伺服器應用示意圖》 - BigPic:706x265
《圖一 AAA伺服器應用示意圖》 - BigPic:706x265

用戶要登入網路前在電腦配置一部數據機,網路運營商提供一個全區通用的號碼,數據機撥通後連接到局端交換機,與運營商機房的網路接取設備(NAS)的STM1等電路連接,NAS一端接電路一端接IP,在此之前皆屬電路交換。直到NAS和AAA伺服器連通並通過認證而得到授權之後,IP就建立於電路之上.NAS將核發IP於用戶的電腦。


IMS使用的Diameter通信協定

Diameter是由RADIUS軟體演化改變而來的,但其架構己經改變。Diameter是一種對等(peer-to-peer)通信協定,與典型的主僕式(client/server)通信協定明顯不同。我們已經熟知用戶端送出一項需求,而伺服端經過運算後傳回答案的反應模式,在網路活動中尤其以ADSL 最具代表性,當瀏覽網路僅送出一個URI(資源識別字串)用於在網路環境中識別文件、可供下載的檔案、各式服務及電子郵箱等等的各式資源),可得回一份文件,檔案以及服務。


但是IMS的架構則不然,它整個架構組成的模組(component)?是伺服端又可以是用戶端。以(圖二)所示,儲值管理模組可能反應SIP 的需求檢視儲值狀況,回應的結果決定電話是否能撥通與否,然而儲值管理模組剛又透過Diameter協定向遠端資料庫存取。因此,使用Diameter 的伺服端與用戶端均能發送和接收需求與回應。


《圖二 Diameter通信協定與應用模組》 - BigPic:594x296
《圖二 Diameter通信協定與應用模組》 - BigPic:594x296

要執行AAA的功能,Diameter定義了一些功能實體(function entity)如下:


  • ●用戶端(Diameter client):只要位於網路上的任何功能實體,執行資訊的存取, 而是採用Diameter 的通信協定,例如:NAS(網路接取設備)。


  • ●伺服端(Diameter server):在某一特定範圍內執行認證、授權、帳務的功能實體。例如:資料庫回應用戶端的詢問,而且是使用Diameter 的通信協定。


  • ●代理(proxy):這項功能實體能夠傳遞Diameter的訊息,促成資源的使用方面的決策;它也能夠修改訊息,依據資源使用的決策,作管理供裝的控制,例如Media server接受到要求資源的使用時,它會再將需求傳遞給儲值管理伺服器,並依據回應的儲值狀態來決定如何使用資源。實務上,如果用戶沒有購買線上影音通話服務,雖然是一般用戶也定期付費,但在IMS系統上就是無法額外使用這項服務,IMS在此項應用系統的處理因為架構上極為良好,購買額外服務可以隨時開通,並在特定時間內購買,隨時撤消服務,因此,在IMS技術上是完全支援的。


  • ●轉運(relay):這個功能實體會將IMS的訊息,依據路由的相關資訊轉運至目的地。例如:當用戶要登入IMS應用系統以前,I-CSCF會依路由選擇最佳的S-CSCF作為目的。


  • ●轉換代理(translation agent):這項功能實體在執行Diameter與其他AAA通信協定之間的轉換工作。例如:RADIUS與TAC_PLUS之間通信協定的轉換均屬此一範圍。



Diameter的節點(node)以上所有功能實體均為Diameter節點。


Diameter議程(session)

當兩個Diameter的節點產生連結,傳遞需求並接受回應就是一項議程。在網路通信的部份,Diameter通信協定是位於TCP或SCTP,比較起RADIUS使用UDP,Diameter當然提供更為可靠的傳輸,這和TAC_PLUS有相同的好處,但在工業的應用上TAC_PLUS遠不及RADIUS普遍。儘管TAC_PLUS相當的穩定性,實務上,TAC_PLUS可以提供百萬數量以上的用戶存取網路,而依然非常穩定,擴充性也高。


Diameter雖然是對等(peer-to-peer)架構,但是它的通信協定定義了一個Diameter節點,可以與其他對等節點建立不只一個以上的連結(connection)關係。因此當介紹IMS 的議程的觀念,就應了解議程必然發生在兩個節點,可能使用一個或一個以上的連結。


從一般用戶登入網路的行為來看,經由網路接取設備(NAS)收到用戶輸入的帳號和密碼之後,NAS向Diameter伺服器要求認證,這就是所謂認證的議程。 當Diameter再到資料庫完成用戶資訊的擷取,又是項議程,等到授權策略決定再回應NAS的需求完成授權的議程,用戶登入之後, 立?啟動帳務的議程,因此用戶在網路上的所有活動都在此議程內,直到離線結束了帳務議程。如以RADIUS 和TAC_PLUS來比較,如(圖三)所示。



《圖三 RADIUS 和TAC_PLUS比較圖》 - BigPic:680x401
《圖三 RADIUS 和TAC_PLUS比較圖》 - BigPic:680x401

以(圖三)RADIUS為例,從NAS到RADIUS為一個連結也是認證的議程,但從RADIUS 伺服端回應NAS?是連結也是授權議程. 但以TAC_PLUS通信協定看來,一個認證的議程包含二個連結,而授權議程總共有6個連結,或可看成三項子議程而組成之。


議程的開始從某一IMS的節點送出需求訊息到另一個節點,在此一訊息會包含議程號碼(session ID),例如:送出auth-request的訊息,伺服端會回應相關AVP,AVP是一串鏈結(listing list)包含授權的各項資訊,其中以Authorization-Lifetime最為重要,因為它能夠指定用戶獲得授權之後可以使用多久,如果它的值是unlimit則不限任何時間長度。


這項資訊可以用來即時控制用戶使用應用的時間,在用戶使用完畢之後, 從網路接取設備(NAS)會送出終結的訊號停止議程,用戶因而被系統停用。對於儲值的應用系統這項特點就非常好用,只要從資料庫取出資訊,換算成可用時數再傳回authorization-lifetime就行。反之,對於帳務月結式的應用系統,在授權時大可開放不限時數的授權,當用戶離開應用系統後,IMS自會將使用時間寫入資料庫,在批次作業處理帳務並予以列印報表。


對於帳務的議程,值得討論的是START_RECORD。STOP_RECORD與session_time等帳務的AVP. START_RECORD和STOP_RECORD為帳務議程的開始與結束AVP,由於AVP為相關的資料鏈結,必然有相關的帳務號碼,發生時間,實務上,我們通常只取用帳務資訊的開始與結束AVP與其發生時間記錄,在資料庫作為用戶存取應用的管理上,當然也會填入相關如應用系統名稱等資訊,但最主要的是session_time這項資料,它表示用戶開始使用應用系統的總共時間,以秒為單位,因此,在某一段時間內追蹤何者使用應用系統,用戶的IP位址,用戶豋入的時間與登出時間,只要用過,必然留下痕跡。


為了防止重覆的記錄發生,每一筆的帳務記錄都以Session_Id AVP配合Accounting-Record-Number AVP,Diameter伺服器在收到帳務的需求並不會特別企圖識別其不同,這是因為這兩者AVP都是以長整數的單位產生的數值,在極長的時間之內不會重覆,?使在極短的時間內也不致於重覆太多次數,已經達到辨別用戶使用的目的。


在IMS的安全機制

IMS的安全機制可以區分存取(access)和網路兩種。存取安全部份包括用戶的認證和網路流動的封包的保護,網路安全機制著重在IMS節點間資料流動以及和不同運營商之間的安全管理,但以上所使用的安全機制都採取IPsec在資料流加以保護。


當用戶要進入IMS的服務之前必須經由認證與授權,尤其是在授權使用兩個IPsec的關連於IMS的終端與IMS的P-CSCF,使得兩者之間流動的資料受到保護。因此,當S-CSCF從HSS資料庫擷取用戶資料庫,不僅同時執行帳號和密碼的認證,也在運算認證的權限,所以除非P-CSCF和IMS終端獲得授權,否則這兩者之間的IPsec通道不會獲准連通其他IMS的網路。


在IMS的終端並非直接負起安全的功能而是採用智慧卡(Smart Card),在3G網路它又稱為UICC(Universal Integrated Circuit card),UICC包括了三種的應用,每項都儲存了相關的設定和參數配合該項應用的用途,如:ISIM(IP-Multimedia Service Identity Module)、SIM(Subscriber Identity Module)、USIM(UMTS Subscriber Identity Module)。


基於ISIM原本就為IMS量身訂作,因此,IMS系統優先採用ISIM。ISIM最特殊的就是安全機制的設計,使得IMS的終端和 IMS網路之間產生雙向認證的功能,每個ISIM包含一個安全鍵值(key value),連同ISIM一起儲存在HSS資料庫,因此IPsec得以使用ISIM和鍵值建立雙向安全通道。


以往在INTERNET IP 網路最為人所擔心的,往往是用戶認證不嚴謹,授權有限制,安全問題衍生諸多應用不易推廣。但在IMS 推廣下,結合3G 的ISIM 的應用,原先在INTERNET 諸多安全交易的問題均獲得解決,更具有預防性,再加上嚴謹的帳務功能,彈性的提供線上?時和批次的作業,對於電信、網路運營商,以及眾多的用戶均能保障使用上的安全以及公正的計價。


<作者任職於資策會網多所>


相關文章
雲端服務運用於居家安全能源管理
紮穩根基 擴大台灣無線寬頻產業能見度
HSPA/LTE主宰行動寬頻新世代!?
行動電視現況與趨勢介紹
無線感測網路於智慧化居住空間之應用
comments powered by Disqus
相關討論
  相關新聞
» 施耐德電機響應星展銀行ESG Ready Program 為台灣打造減碳行動包
» 台達推出5G ORAN小型基地台 實現智慧工廠整合AI應用
» 歐洲航太技術展在德國盛大展開,全球吸睛 鐳洋推出衛星通訊整合方案,目標搶佔龐大的歐洲衛星商機
» 經濟部促成3GPP大會來台爭話語權 大廠共商5G/6G技術標準
» 經濟部支持跨國研發有成 台歐雙方分享B5G~6G規劃


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 遠播資訊股份有限公司版權所有 Powered by O3  v3.20.2048.18.117.8.76
地址:台北數位產業園區(digiBlock Taipei) 103台北市大同區承德路三段287-2號A棟204室
電話 (02)2585-5526 #0 轉接至總機 /  E-Mail: webmaster@ctimes.com.tw