đồ án :BẢO MẬT TRONG IMS

đồ án :BẢO MẬT TRONG IMS

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC

Đồ án:

BẢO MẬT TRONG IMS

Sinh viên thực hiện : Nguyễn Huy Hoàng

KHOA VIỄN THÔNG I

-*** -ĐỒ ÁN TỐT NGHIỆP

ĐẠI HỌC

Đề tài:

BẢO MẬT TRONG IMS

Giáo viên hướng dẫn : ThS Vũ Thuý Hà Sinh viên thực hiện : Nguyễn Huy Hoàng

Lớp : D04VT2

Hà Nội - 2008

BƯU CHÍNH VIỄN THÔNG Độc Lập - Tự Do - Hạnh Phúc

KHOA VIỄN THÔNG I

Ngành học: Điện Tử - Viễn Thông

Tên đồ án: Nội dung đồ án:

 Chương I : Kiến trúc IMS

 Chương II : Nhận thực trao quyền và thanh toán trong IMS

 Chương III : Bảo mật cho IMS

Ngày giao đồ án:10/07/2008

Ngày nộp đồ án: 10/11/2008

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

Điểm: (bằng chữ ……… )

Ngày tháng 11 năm 2008

Giáo viên hướng dẫn

ThS Vũ Thuý Hà

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

Điểm: (bằng chữ ……… )

Ngày tháng 11 năm 2008 Giáo viên phản biện

MỤC LỤC

MỤC LỤC i

DANH MỤC HÌNH VẼ v

DANH MỤC BẢNG BIỂU vi

THUẬT NGỮ VIẾT TẮT vii

LỜI NÓI ĐẦU x

CHƯƠNG I: KIẾN TRÚC IMS 11

1.1 Kiến trúc NGN 11

1.1.1 Mạng viễn thông hiện nay 11

1.1.2 Mạng viễn thông trên con đường tiến tới NGN 12

1.2 Phân hệ IMS trong kiến trúc NGN 16

1.2.1 Tổng quan IMS 16

1.2.2 Chức năng các phần tử trong IMS 19

1.2 2.1 P-CSCF (Proxy-CSCF) 20

1.2.2.2 I-CSCF (Interrogating-CSCF ) 21

1.2.2.3 S-CSCF (Serving-CSCF) 21

1.2.2.4 BGCF (Breakout Gateway Control Function) 23

1.2.2.5 HSS (Home subscriber Server) 23

1.2.2.6 MGCF (Media Gateway Control Function) 23

1.2.2.7 MRF (Multimedia resource function) 24

1.2.2.8 IMS-MGW (IP multimedia sbsystem-Media gateway function) 25

1.2.2.9 SGW (Signalling gateway function) 25

1.2.3 Các giao diện trong IMS 26

CHƯƠNG II: NHẬN THỰC TRAO QUYỀN VÀ THANH TOÁN TRONG IMS 27 2.1 Giao thức Diameter 27

2.1.1 Các phiên Diameter 29

2.1.2 Dạng của một bản tin Diameter 29

Nguyễn Huy Hoàng D04VT2 i

2.1.3 Cặp giá trị thuộc tính AVP 31

2.1.4 AAA và AAA URIs 32

2.1.5 Các lệnh cơ sở của Diameter 33

2.2 Xác thực và trao quyền trong IMS 35

2.3 Giao diện Cx và Dx 36

2.3.1 Các mã lệnh được định nghĩa trong giao diện Cx 37

2.3.1.1 Yêu cầu và trả lời xác thực người dùng (UAR, UAA) 38

2.3.1.2 Yêu cầu và trả lời xác thực đa phương tiện ( MAR, MAA ) 39

2.3.1.3 Yêu cầu trả lời và gán máy chủ (SAR, SAA) 39

2.3.1.4 Yêu cầu và trả lời thông tin cấp phát (LIR, LIA) 39

2.3.1.5 Yêu cầu và trả lời kết thúc đăng kí (RTR, RTA) 40

2.3.1.6 Yêu cầu và trả lời đẩy profile ( PPR, PPA) 40

2.3.2 AVPs định nghĩa trong các ứng dụng Diameter cho giao diện Cx 40

2.3.2.1 Việc sử dụng AVP hiện có 42

2.3.3 Profile người dùng 43

2.4 Giao diện Sh 44

2.4.1 Các mã lệnh định nghía trong ứng dụng diameter cho giao diện Sh 46

2.4.2 Các AVP định nghĩa trong ứng dụng Diameter cho giao diện Sh 47

2.5 Thanh toán (Accounting) 48

2.6 Kiến trúc tính cước 48

2.7 Tính cước offline 52

2.7.1 Đầu cuối IMS trong mạng khách 52

2.7.2 Đầu cuối IMS trong mạng nhà 54

2.7.3 Giao diện Rf 57

2.8 Tính cước Online 59

2.8.1 S-CSCF 60

2.8.2 Các AS và MRFC 60

CHƯƠNG III: BẢO MẬT CHO IMS 67

3.1 Tổng quan về vấn đề bảo mật mạng 67

3.1.1 Các phương thức tấn công thường gặp trong mạng IMS 67

Nguyễn Huy Hoàng D04VT2 ii

3.1.1.1 Sự nghe trộm 67

3.1.1.2 Tấn công đăng kí 68

3.1.1.3 Mạo danh máy chủ 68

3.1.1.4 Chèn khối bản tin 68

3.1.1.5 Làm đứt phiên 69

3.1.1.6 Tấn công từ chối dịch vụ 69

3.1.1.7 Khuếch đại 70

3.1.2 Kiến trúc anh ninh tổng quan 70

3.1.2.1 Các chức năng an ninh 72

3.1.2.2 Che giấu cấu hình mạng 73

3.2 An ninh truy nhập cho IMS 74

3.2.1 Xác thực và cấp quyền 74

3.2.2 Xác thực và cấp quyền với ISIM 75

3.2.3 Xác thực và cấp quyền với USIM 78

3.2.4 Thiết lập liên kết an ninh 78

3.2.5 Thủ tục thiết lập liên kết an ninh 80

3.2.5.1 Các tham số của liên kết an ninh 80

3.2.5.2 thủ tục liên kết an ninh 87

3.2.5.3 Các lỗi thường xảy ra khi thiết lập SA 90

3.2.5.4 Nhận thực quá trình tải đăng kí 91

3.2.5.5 Nhận thực quá trình tải đăng kí 91

3.2.5.6 Vấn đề sử dụng liên kết an ninh 92

3.2.5.7 Thủ tục liên kết IP khi UE thay đổi dịa chỉ IP 95

3.2.6 Mã hóa 95

3.3 An ninh mạng cho IMS 96

3.3.1 Khái niệm miền an ninh mạng 96

3.3.2 Cơ chế quản lý và phân phối khóa trong mạng NDS/IP 97

3.3.2.1 Các chức năng an ninh 97

3.3.2.2 Liên kết an ninh 97

3.3.3 Giao diện một miền và liên miền 98

3.3.3.1 Kiến trúc an ninh mạng 98

3.3.3.2 Các giao diện 99

Nguyễn Huy Hoàng D04VT2 iii

KẾT LUẬN 101

TÀI LIỆU THAM KHẢO 102

Nguyễn Huy Hoàng D04VT2 iv

DANH MỤC HÌNH VẼ

Nguyễn Huy Hoàng D04VT2 v

DANH MỤC BẢNG BIỂU

Nguyễn Huy Hoàng D04VT2 vi

THUẬT NGỮ VIẾT TẮT

AAA Authentication, Authorization and

Accounting

Nhận thực, trao quyền và thanh toán

AES Advanced Encryption Standard Chuẩn mã hóa tiến bộ

AH Authentication Header Giao thức mào đầu nhận thựcAKA Authentication and Key Agreement Giao thức thỏa thuận khóa và

nhận thực

AUTN Network Authentication Token Thẻ lệnh nhận thực mạng

B2BUA Back–to–Back User Agent Tác nhân khách hàng đồng thờiBICC Bearer Independent Call Control Giao thức điều khiển cuộc gọi

độc lập kênh mangBITS Bump–In–The–Stack Ứng dụng “chèn bit vào ngăn

xếp” của IPSecBITW Bump–In–The–Wire Ứng dụng “đưa vào lõi” của

IPSec

CSCF Call Session Control Function Thực thể chức năng điều khiển

phiên cuộc gọiDES Data Encryption Standard Chuẩn mã hóa dữ liệu

ESP Encapsulating Security Payload Giao thức tải trọng an ninh đóng

góiETSI European Telecommunications

Nguyễn Huy Hoàng D04VT2 vii

IETF Internet Engineering Task Force Nhóm đặc trách kỹ thuật Internet

tính toàn vẹnIKE Internet Key Exchange Giao thức trao đổi khóa Internet

IMPI IM Private Identity Tham số nhận dạng riêng cho

khách hàngIMPU IM Public Identity Tham số nhận dạng chung cho

khách hàngIMS IP Multimedia Core Network

ISAKMP Internet Security Association Key

MAC Message Authentication Code Mã nhận thực bản tin

MMS Multimedia Message Service Dịch vụ nhắn tin đa phương tiệnMRF Media Resource Function Thực thể chức năng quản lý tài

nguyên và phương tiệnMRFC Media Resource Function Controller Thực thể điều khiển chức năng tài

nguyên đa phương tiệnMRFP Media Resource Function Processor Thực thể xử lý chức năng tài

nguyên đa phương tiệnMSISDN Mobile Subscriber ISDN Số ISDN của thuê bao di độngNAI Network Access Identifier Nhận dạng truy nhập mạng

NAT Network Address Translator Bộ biên dịch địa chỉ mạng

NDS Network Domain Security Miền được đảm bảo an ninh trong

mạngNDS/IP NDS for IP based protocols Miền được đảm bảo an ninh dành

cho các giao thức trên nền IP

PDA Personal Digital Assistant Thiết bị số cá nhân

PLMN Public Land Mobile Network Mạng di động mặt đất công cộngPSTN Public Switched Telephone Network Mạng chuyển mạch kênh công

cộng

Nguyễn Huy Hoàng D04VT2 viii

SAD Security Association Database Cơ sở dữ liệu liên kết an ninh

SGSN Serving GPRS Support Node Nút hỗ trợ GPRS phục vụ

SIM Subscriber Identity Module Module nhận dạng thuê bao

SIP Session Initiation Protocol Giao thức khởi tạo phiên

SIP URI SIP Uniform Resource Identifier Nhận dạng tài nguyên thống nhất

SIPSMS Short Message Service Dịch vụ bản tin ngắn

SMTP Simple Mail Transfer Protocol Giao thức chuyển thư đơn giảnSPD Security Policy Database Dữ liệu chính sách an ninh

SPI Security Parameters Index Chỉ số tham số an ninh

TLS Transport Layer Security Giao thức đảm bảo an ninh cho

lớp truyền dẫnTUP Telephone User Part Phần khách hàng điện thoại

UICC Universal Integrated Circuit Card Thẻ mạch tích hợp toàn cầu

URI Uniform Resource Identifier Nhận dạng tài nguyên đồng nhấtUSIM Universal Subscriber Identity

Module

Module nhận dạng thuê bao chung

WAP Wireless Application Protocol Giao thức ứng dụng vô tuyến

Nguyễn Huy Hoàng D04VT2 ix

LỜI NÓI ĐẦU

Trong những năm gần đây, các nhà cung cấp viễn thông trên thế giới đang phấn đấu đem lại cho khách hàng của mình nhiều dịch vụ mới với chất lượng ngày mỗi nâng cao Các dịch vụ đa phương tiện hiện nay đã không còn xa lạ nữa và mỗi thuê bao đều

có thể sử dụng các dịch vụ này thông qua thiết bị di động cầm tay của mình Với xu thế

đó, một nhu cầu đặt ra là hội tụ những dịch vụ này và hội tụ nhiều chức năng cho thiết

bị của khách hàng

Để phục vụ mục đích trên, mạng NGN Release 1 đã ra đời vào năm 2005, cho phép đặt những nền móng đầu tiên để xây dựng mạng hội tụ FMC Trong đó, phần quan trọng nhất cần đề cập đến của NGN phiên bản 1chính là phân hệ đa phương tiện IP – IMS Đây là phân hệ nằm ở lớp điều khiển và đóng vai trò trung tâm của các mạng NGN từ Release 1 trở đi

Trong mọi thời điểm, vấn đề an ninh luôn có được một sự quan tâm đặc biệt nhằm chống lại những tấn công có mưu đồ xấu, nhất là trong thời đại bùng nổ thông tin

và công nghệ như hiện nay

Với mục đích nâng cao sự hiểu biết của bản thân về xu hướng phát triển của mạng viễn thông Em đã quyết định tìm hiểu về phân hệ IMS về quá trình xác thực, trao quyền trong IMS và đặc biệt là về vấn đề bảo mật trong IMS Đồ án chia làm 3 phần với các nội dung như sau:

Chương I: Kiến trúc IMS

Chương II: Nhận thực trao quyền và thanh toán trong IMS

Chương III: Bảo mật trong IMS

Do tính chất dàn trải và luôn thay đổi của vấn đề an ninh cùng những hạn chế về hiểu biết của bản thân nên đồ án này tất nhiên không tránh khỏi những thiếu sót Vì vậy, em kính mong nhận được sự góp ý của các thầy cô và các bạn để phục vụ thêm cho công tác học tập của mình trong tương lai

Xin gửi lời cảm ơn chân thành đến cô giáo ThS Vũ Thúy Hà, người đã tận tình

hướng dẫn em trong suốt quá trình thực hiện đồ án này

CHƯƠNG I: KIẾN TRÚC IMS

1.1 Kiến trúc NGN

1.1.1 Mạng viễn thông hiện nay

Như phần trên đã trình bày, mạng viễn thông hiện nay được triển khai theo các ứng dụng thực tiễn đơn lẻ Ví dụ như trong mạng chuyển mạch điện thoại công cộng PSTN, một cuộc nối được thiết lập giữa hai thuê bao thông qua quá trình trao đổi khe thời gian cố định trong suốt quá trình cuộc gọi Kiểu mạng này phù hợp cho điện thọai

vì chúng có tốc độ bit không đổi và thông tin có tính thời gian thực cao Với các ứng dụng truyền dữ liệu thì việc sử dụng riêng một kênh thông tin để truyền là rất lãng phí

về tài nguyên và không phù hợp với yêu cầu sử dụng

Với các mạng di động hiện nay (PLMN) mặc dù có tốc độ phát triển rất nhanh tuy nhiên dịch vụ mà nhà khai thác mạng di động cung cấp cho khách hàng vẫn chỉ là dịch vụ thoại truyền thống kết hợp với dịch vụ bản tin ngắn (SMS) Vẫn không đáp ứng được nhu cầu truyền thông đa phương tiện của khách hàng hơn nữa giá cả đối với thuê bao di động còn cao và với các thuê bao có nhu cầu sử dụng cả dịch vụ di động và dịch

vụ cố định thì họ vẫn phải thanh toán hai hóa đơn cho hai nhà cung cấp dịch vụ đó

Tương tự như vậy mạng chuyển mạch gói là rất hữu hiệu cho việc chuyển thông tin số liệu nhưng lại không phù hợp cho truyền thoại vì độ trễ truyền thông tin là không kiểm sóat được

Một giải pháp để giải quyết vấn đề này là tạo ra một mạng tích hợp có thể cung cấp nhiều loại hình dịch vụ có yêu cầu băng thông, thời gian thực và chất lượng dịch vụ khác nhau

Bước đầu tiên trong hướng đi này là phát triển ISDN băng hẹp cung cấp báo hiệu kênh chung giữa các người sử dụng cho tất cả các dịch vụ thoại và số liệu Trong khi đó vẫn duy trì sự riêng biệt giữa chuyển mạch kênh và chuyển mạch gói tại trạm trung gian Người dùng được cung cấp các truy nhập số tốc độ 2B+D cho cả thoại và số liệu cùng với 16 Bbps cho báo hiệu và các dịch vụ chuyển mạch gói Tuy nhiên hướng phát triển này dần dần bộc lộ yếu điểm khi nhu cầu dịch vụ băng thông rộng ngày càng phát triển Tốc độ truy nhập 2B+D là quá thấp so với nhu cầu dịch vụ băng rộng hiện nay

ISDN ngày càng thể hiện nhược điểm không thể đáp ứng được nhu cầu truyền thông, trong khi đó công nghệ truyền dẫn và công nghệ điện tử VLSI (Very large scale intergration) ngày càng phát triển và xuất hiện công nghệ mới có khả năng truyền tải cao được đánh giá là có nhiều hứa hẹn để truyền dẫn cả thoại và dữ liệu đó là ATM đã đưa ra một hướng mới để phát triển ISDN băng hẹp thành ISDN băng rộng (B-ISDN) B-ISDN cung cấp các dịch vụ chuyển mạch kênh, chuyển mạch gói theo kiểu đơn phương tiện, đa phương tiện, theo kiểu hướng liên kết hay phi liên kết và theo cấu hình đơn hướng hoặc đa hướng

Tuy nhiên khi triển khai B-ISDN với công nghệ nền tảng là ATM thì vấn đề giá thành xây dựng mạng lại quá lớn vì B-ISDN không tận dụng tối đa nền tảng mạng hiện

có do vậy không đáp ứng kịp thời cho nhu cầu sử dụng dịch vụ của khách hàng

1.1.2 Mạng viễn thông trên con đường tiến tới NGN

Từ tình hình mạng viễn thông hiện nay và sự bùng nổ về nhu cầu dịch vụ băng rộng, việc xây dựng một mạng cung cấp đa loại hình dịch vụ tốc độ cao băng thông lớn

là vấn đề tất yếu của các nhà khai thác mạng

ISDN, B-ISDN đều có nhược điểm khi được triển khai để cung cấp dịch vụ tốc

độ cao băng thông lớn cho khách hàng Vậy thì câu hỏi đặt ra là mô hình mạng nào có thể khắc phục được nhược điểm của hai mạng trên trong khi vẫn có thể cung cấp dịch

vụ đa phương tiện cho khách hàng

Để trả lời câu hỏi đó các tổ chức chuẩn hóa viễn thông đã nghiên cứu và đưa ra

mô hình mạng hội tụ có khả năng cung cấp dịch vụ đa phương tiện cho khách hàng trong khi đó giá thành và thời gian xây dựng mạng là rẻ nhất và nhanh nhất – đó chính

là mạng NGN

NGN được ITU-T định nghĩa như sau:

“Mạng thế hệ kế tiếp (NGN) là mạng dựa trên nền gói có thể cung cấp các dịch vụ truyền thông và có thể tận dụng được các dải băng tần rộng, các công nghệ truyền tải với QoS cho phép và ở đó các chức năng liên quan đến dịch vụ sẽ độc lập với các công nghệ truyền tải ở lớp dưới NGN cho phép người dùng truy nhập không hạn chế tới các nhà cung cấp dịch vụ viễn thông khác nhau NGN hỗ trợ tính lưu động nói chung để có thể cung cấp dịch vụ thích hợp và rộng khắp tới các người dùng

Như vậy NGN được mô tả theo các đặc điểm cơ bản như sau:

•Truyền tải trên nền gói

•Tách biệt các chức năng điều khiển với các khả năng mang, cuộc gọi/ phiên và ứng dụng/ dịch vụ

•Tách riêng việc cung cấp dịch vụ khỏi mạng và cung cấp các giao diện mở

•Hỗ trợ tất cả các dịch vụ, các ứng dụng và các kỹ thuật dựa trên khối xây dựng dịch vụ (bao gồm dịch vụ thời gian thực, phân loại dịch vụ, dịch vụ phi thời gian thực

và dịch vụ đa phương tiện)

•Các khả năng băng rộng với QoS đầu cuối tới đầu cuối và truyền tải trong suốt

•Tương tác với các mạng trước đây thông qua các giao diện mở

•Tính lưu động nói chung

•Truy nhập không hạn chế cho người dùng tới các nhà cung cấp dịch vụ khác nhau

•Một sự đa dạng về kế hoạch nhận dạng để giải quyết địa chỉ IP cho mục đích định tuyến trong mạng IP

•Nhìn từ phía UE, dịch vụ được hội tụ thành một dịch vụ chung duy nhất

•Hội tụ dịch vụ giữa mạng cố định và mạng di động

•Các chức năng liên quan đến dịch vụ độc lập với các công nghệ lớp dưới

•Phục tùng tất cả các thủ tục theo quy tắc như truyền thông khẩn cấp và an ninh/ riêng lẻ”

NGN tập hợp được ưu điểm của các công nghệ mạng hiên có, tận dụng băng thông rộng và lưu lượng truyền tải cao của mạng gói để đáp ứng sự bùng nổ nhu cầu lưu lượng thoại truyền thông hiện nay và nhu cầu truyền thông đa phương tiện của người dùng đầu cuối Điện thoại IP (IPT) là ví dụ điển hình để minh họa cách tín hiệu thoại được chuyển đổi thành gói dữ liệu rồi truyền trên nền IP trong mạng NGN như thế nào Có thể nói truyền thoại trên nền gói là ưu điểm lớn nhất mà NGN đã thực hiện được hơn hẳn so với các công nghệ mạng trước đây

Đặc điểm của NGN là cấu trúc phân lớp theo chức năng và phân tán các tài nguyên trên mạng Điều này đã làm cho mạng được mềm hóa và sử dụng các giao diện

mở API (Application program interface) để kiến tạo các dịch vụ mà không phụ thuộc nhiều vào các nhà cung cấp thiết bị và dịch vụ mạng

Xu hướng phát triển công nghệ viễn thông cho NGN có ba lĩnh vực cần chú ý tập trung:

•Công nghệ truyền dẫn: Từ quang cho đến quang hóa hoàn toàn

•Công nghệ chuyển mạch: Tích hợp vi mạch, kĩ thuật số, IP Kết hợp chuyển mạch kênh với chuyển mạch gói, đa dịch vụ, đa tốc độ, chuyển mạch quang

•Công nghệ truy nhập: Kết hợp truyền thông và tin học: có các kiểu truy nhập như quang, cáp đồng (ADSL, HDSL), vô tuyến

Xu hướng phát triển dịch vụ cho NGN cần đạt được những điều sau:

•Băng rộng

•Đa phương tiện truyền thông

•Truyền hình chất lượng cao HDTV

•Giảm thời gian tung ra thị trường cho các công nghệ và dịch vụ mới

•Thuận tiện cho các nhà cung cấp thiết bị, các nhà cung cấp mạng mang, hay cho các nhà phát triển phần mềm

•Giảm độ phức tạp trong vận hành bằng việc cung cấp các hệ thống phân chia theo khối đã được chuẩn hóa

•Hỗ trợ phương thức phân chia một mạng chung thành các mạng ảo riêng rẽ về mặt lôgic

ITU-T cũng đưa ra khuyến cáo khi tiến hành xây dựng NGN từ mạng hiện có cho các nhà xây dựng mạng theo mô hình sau:

Hình 1 1 Các khả năng tiến đến NGN

Nhìn từ mô hình thì các mạng hiện có như PSTN, IN, mạng số liệu, mạng Internet, mạng cáp, mạng vô tuyến đều có thể phát triển lên NGN theo hai con đường là

có thể phát triển từng bước thông qua mạng lai ghép, mạng VoIP rồi tiến tới NGN hoặc tiến thẳng lên NGN

Tùy theo điều kiện cụ thể của từng vùng mạng mà xây dựng NGN với giá thành thấp nhất và nhanh nhất

Mô hình NGN do ETSI đưa ra như sau:

Từ kiến trúc NGN tổng quan của ETSI có các đặc điểm sau:

NGN kế thừa các mạng hiện có như PSTN, ISDN, Internet, PLMN vv

Xây dựng thêm các phân hệ mới các giao thức mới với mục đích là để bổ sung thêm các loại hình dịch vụ, cung cấp dịch vụ đa phương tiện và hội tụ mạng (phân hệ IMS)

Mạng truyền tải được IP hóa, công nghệ mạng truyền tải được sử dụng là IP Các mạng riêng rẽ trước đây được kết hợp thành một mạng chung duy nhất Nhờ điều này mà nhà cung cấp dịch vụ mới có thể cung cấp dịch vụ đa phương tiện kết hợp

cả tất cả các loại hình truyền thông thời gian thực như thoại, video, audio, ảnh động với loại hình truyền thông dữ liệu

IMS là một phần của kiến trúc mạng thế hệ kế tiếp được cấu thành và phát triển bởi tổ chức 3GPP và 3GPP2 để hỗ trợ truyền thông đa phương tiện hội tụ giữa thoại, video, audio với dữ liệu và hội tụ truy nhập giữa 2G, 3G và 4G với mạng không dây

IMS được thiết kế dựa trên SIP cho phép truyền bất kì phương tiện truyền thông nào như thoại, video hay dữ liệu qua bất kì mạng nào

Phân hệ mạng lõi đa phương tiện IP bao gồm tất cả các thành phần mạng lõi (CN) để cung cấp các dịch vụ đa phương tiện IP Các thành phần này bao gồm tất cả các thành phần liên quan đến mạng báo hiệu và mạng mang như đã xác định ở 3GPP

TS 23 002: "Network Architecture" Dịch vụ đa phương tiện IP được dựa trên khả năng điều khiển phiên, các mạng mang đa phương tiện, các tiện ích của miền chuyển mạch gói (PS) do IETF xác định

Để các đầu cuối đường dây có thể truy nhập độc lập với vận hành và bảo dưỡng qua mạng Internet, phân hệ đa phương tiện IP đã cố gắng tương thích với các chuẩn

IETF (chuẩn Internet) Trong một số trường hợp là lấy chuẩn giao thức của IETF do đó các giao diện này tương thích hợp lý với các chuẩn Internet ví dụ như giao thức SIP

Phân hệ mạng lõi đa phương tiện IP cho phép các nhà vận hành mạng di động mặt đất PLMN sẵn sàng phục vụ các dịch vụ đa phương tiện cho khách hàng của họ bằng cách xây dựng lên các ứng dụng, các dịch vụ với các giao thức Internet Ở đây không có mục đích là để chuẩn hóa các dịch vụ trong phạn vi của phân hệ IM CN, mà mục đích chính là để các dịch vụ sẽ được phát triển do các nhà khai thác mạng PLMN

và hiệp hội các nhà cung cấp thứ ba khác bao gồm cả không gian Internet đang sử dụng

và phân hệ IM CN Phân hệ IM CN có thể cho phép hội tụ để truy nhập thoại, hình ảnh, video, bản tin, dữ liệu và web dựa trên các công nghệ cho người dùng đầu cuối không dây, và có thể phối hợp sự phát triển về Internet với sự phát triển của truyền thông di động

Giải pháp cuối cùng để có thể hỗ trợ các ứng dụng đa phương tiện IP gồm có các đầu cuối, mạng truy nhập vô tuyến GERAN hoặc UTRAN, mạng lõi GPRS tiên tiến, và các thành phần chức năng đặc biệt của phân hệ IM CN được mô tả trong đồ án này

Sự khác biệt của IMS với kiến trúc mạng truyền thống là lớp ứng dụng và chuyển mạch rất gần với mạng truy nhâp, với kiến trúc này nó có thể áp dụng cho bất kì mạng truy nhập nào như 3G, Wifi, DSL, cable …

Các nhà cung cấp dịch vụ viễn thông đang chuyển dịch vụ thoại truyền thống sang VoIP để tối ưu cho giá thành đầu tư và giá thành dịch vụ Tuy nhiên nếu chỉ chuyển sang mỗi mạng VoIP thì vẫn không đủ để giải quyết hết những lo âu về giá thành đầu tư, giá cước thu nhập và còn phải tăng nhiều chi phí mới Khi dịch vụ thoại chuyển sang mạng IP, nó sẽ trở thành một phần của bộ các dịch vụ truyền thông hướng kết nối đa phương tiện thời gian thực chạy trên mạng IP và cùng chia sẽ một sự sắp xếp client-server chung như dịch vụ tin khẩn, cuộc gọi khẩn, hội nghị mạng và các dịch vụ VoIP, 3G … Thêm vào đó để VoIP có thể hỗ trợ lớp các dịch vụ mới như dich vụ đa phương tiện, dịch vụ tích hợp thì cần có một nền tảng chuyển tiếp dịch vụ mới Nền tảng ở đây được chọn chính là IMS (IP Multimedia Subsystem) do 3GPP định nghĩa và phát triển Giải pháp của họ là thoại thế hệ kế tiếp với hệ thống dữ liệu, phần mềm và các dịch vụ chuyên nghiệp, để đáp ứng mạng cần hoạt động cả mạng đường dây và mạng không dây

Tuy nhiên để các thành phần này hội tụ với các lớp dịch vụ mới và đảm bảo QoS thì mạng phải có một kiến trúc dịch vụ phù hợp và có khả năng để hỗ trợ cho:

•Tách lớp đầu cuối và truyền tải khỏi lớp điều khiển phiên

•Quản lí phiên qua các dịch vụ thời gian thực

•Tương thích với dịch vụ mạng thông minh tiên tiến

•Tương tác trong suốt với các mạng TDM trước đây

•Hội tụ dịch vụ mạng không dây và dịch mạng đường dây

•Pha trộn thoại với các dịch vụ thời gian thực

•Thống nhất kĩ thuật để chia sẻ thông tin thộc tính người dùng qua dịch vụ

•Thống nhất kĩ thuật để nhận thực và quảng bá người dùng đầu cuối

•Mở ra giao diện chuẩn và giao diện lập trình ứng dụng

3GPP, ETSI và diễn đàn Parlay định nghĩa kiến trúc dịch vụ IMS để hỗ trợ các yêu cầu đã nói đến trước đây qua phiên bản sau:

Hình 1 3 Sơ đồ kiến trúc IMS của 3GPP

Và kiến trúc IMS mức cao khi nó được đặt trong mạng cùng với các giao diện tương ứng như sau:

Mw Mw

Mm Mm

Mk

Mp Dx

Hình 1 4 Kiến trúc IMS trong NGN

TÓM LẠI: IMS trong NGN thực hiện 3 chức năng chính:

• Hội tụ mạng di động và mạng cố định

• Hội tụ dịch vụ Cung cấp dịch vụ truyền thông đa phương tiện trên nền gói IP

• Hội tụ đầu cuối

1.2.2 Chức năng các phần tử trong IMS

CSCF có thể có một số vai trò khác nhau khi được sử dụng trong phân hệ đa phương tiện IP Nó có thể hoạt động như một Proxy-CSCF (P-CSCF), như một Serving-CSCF (S-CSCF), và có thể như một Interrogating-CSCF (I-CSCF) Hình sau thể hiện kiến trúc CSCF với các giao diện của nó

Hình 1 5 Kiến trúc các CSCF

1.2 2.1 P-CSCF (Proxy-CSCF)

P-CSCF là điểm giao tiếp đầu tiên trong phân hệ IM CN Địa chỉ của nó được

UE phát hiện sau khi tích cực thành công một PDP Context P-CSCF xử lí như một người đại diện ví dụ tiếp nhận hay yêu cầu rồi phục vụ hoặc gửi chúng đi P-CSCF sẽ không thay đổi các URI yêu cầu trong bản tin INVITE SIP P-CSCF có thể cư xử như một UA nhưng nó có thể kết thúc độc lập với giao dịch SIP

Chức năng điều khiển hợp đồng (PCF) là một thực thể logic của P-CSCF

P-CSCF thực hiện các chức năng sau:

Chuyển tiếp yêu cầu đăng kí SIP nhận được từ UE tới một I-CSCF đã xác định

sử dụng tên miền mạng nhà khi được UE cung cấp

Chuyển tiếp một bản tin SIP nhận được từ UE tới một Server SIP (e.g S-CSCF) với tên của P-CSCF đã nhận được từ thủ tục đăng kí

Gửi đáp ứng hoặc yêu cầu tới UE

Phát hiện hoặc điều khiển các yêu cầu thiết lập phiên khẩn cấp như các thủ tục điều khiển lỗi

•Phát ra các CDRs

•Bảo dưỡng hệ thống bảo mật giữa nó và UE

•Thực hiện nén hoặc giải nén các bản tin SIP

•Trao quyền quản lí mạng mang và quản lí QoS

1.2.2.2 I-CSCF (Interrogating-CSCF )

I-CSCF là điểm giao tiếp trong phạm vi mạng của nhà khai thác cho tất cả các kết nối tới thuê bao của nhà khai thác mạng, hoặc một thuê bao chuyển mạng hiện tại nằm trong phạm vi vùng phục vụ của nhà khai thác mạng Trong một mạng có thể có nhiều I-CSCF

I-CSCF thực hiện các chức năng sau:

•Đăng kí

•Phân bổ một S-CSCF cho một người dùng thực hiện đăng kí SIP

•Các luồng liên quan đến phiên và không liên quan đến phiên

•Định tuyến yêu cầu SIP nhận được từ mạng khác tới S-CSCF

•Nhận địa chỉ của S-CSCF từ HSS

•Gửi yêu cầu hoặc đáp ứng SIP tới S-CSCF đã xác định trong bước trên

•Sử dụng tài nguyên và thanh toán

I-1.2.2.3 S-CSCF (Serving-CSCF)

S-CSCF thực hiện dịch vụ điều khiển phiên cho UE Nó bảo dưỡng trạng thái một phiên khi cần thiết để nhà khai thác mạng hỗ trợ các dịch vụ Trong phạm vi mạng của nhà khai thác các S-CSCF khác nhau có thể có các chức năng khác nhau S-CSCF thực hiện các chức năng như sau:

•Điều khiển phiên cho các đầu cuối đã đăng kí Nó sẽ từ chối truyền thông IMS từ/ tới nhận dạng người dùng chung đã bị ngăn chặn khỏi IMS sau khi đã hoàn thành các thủ tục đăng kí

•Nó có thể xử lí như một Proxy Server, nó tiếp nhận các yêu cầu và phục vụ tại chỗ hoặc gửi chúng đi

•Nó có thể xử lí như một UA Nó có thể kết thúc mà không phụ thuộc vào phiên giao dịch SIP

•Tương tác với mặt bằng dịch vụ để hỗ trợ các loại dịch vụ

•Cung cấp cho các điểm đầu cuối bằng việc cung cấp các thông tin

•Thay mặt cho một điểm đầu cuối khởi tạo (e.g thuê bao khởi tạo hoặc UE)

•Nhận địa chỉ của I-CSCF từ cơ sở dữ liệu để nhà khai thác mạng phục vụ thuê bao đích từ tên người dùng đích (e.g Số điện thoại được quay hoặc URL SIP), khi thuê bao đích là khách từ một nhà khai thác mạng khác gửi yêu cầu hoặc đáp ứng SIP tới I-CSCF đó Khi tên của thuê bao đích (số điện thoại được quay hoặc URL SIP) và thuê bao khởi tạo là khách của cùng một nhà khai thác mạng gửi yêu cầu hoặc đáp ứng SIP tới một I-CSCF trong phạm vi mạng của nhà khai thác Phụ thuộc vào chính sách của nhà khai thác mà yêu cầu hoặc đáp ứng SIP gửi tới server SIP khác đặt trong phạm vi một miền ISP bên ngoài phân hệ IM CN

•Gửi yêu cầu hoặc đáp ứng SIP tới BGCF để định tuyến cuộc gọi tới miền PSTN hoặc miền chuyển mạch kênh

•Thay mặt điểm đầu cuối đích (thuê bao kết cuối hoặc UE)

•Gửi đáp ứng hoặc yêu cầu SIP tới một P-CSCF cho thủ tục MT tới một thuê bao nhà trong phạm vi mạng nhà, hoặc cho một thuê bao chuyển mạng trong phạm vi mạng khách mà ở đó mạng nhà không có một I-CSCF trong tuyến

•Gửi đáp ứng hoặc yêu cầu SIP tới một I-CSCF trong thủ tục MT cho thuê bao chuyển mạng trong phạm vi một mạng khách mà ở đó mạng nhà không có I-CSCF trong tuyến này

•Gửi đáp ứng hoặc yêu cầu SIP tới một BGCF để định tuyến cuộc gọi tới PSTN hoặc miền chuyển mạch kênh

•Sử dụng tài nguyên và thanh toán

•Phát ra các CDRs

1.2.2.4 BGCF (Breakout Gateway Control Function)

Chức năng điều khiển cổng chuyển mạng (BGCF) lựa chọn mạng PSTN hoặc mạng chuyển mạch kênh (CSN) mà lưu lượng sẽ được định tuyến sang Nếu BGCF xác định được rằng lưu lượng chuyển mạng đó sẽ tới mạng PSTN hay CSN nằm trong cùng mạng với BGCF thì nó sẽ lựa chọn một MGCF để đáp ứng cho liên mạng với PSTN hay CSN Nếu lưu lượng chuyển sang mạng không nằm cùng với BGCF thì BGCF sẽ gửi báo hiệu phiên này tới BGCF đang quản lí mạng đích đó

BGCF thực hiện các chức năng như sau:

Nhận yêu cầu từ S-CSCF để lựa chọn một điểm chuyển lưu lượng phù hợp sang PSTN hay CSN

Lựa chọn mạng đang tương tác với PSTN hay CSN Nếu như sự tương tác ở trong một mạng khác thì BGCF sẽ gửi báo hiệu SIP tới BGCF của mạng đó Nếu như

sự tương tác nằm trong một mạng khác và nhà khai thác yêu cầu ẩn cấu hình mạng đó thì BGCF gửi báo hiệu SIP thông qua một I-CSCF(THIG) về phía BGCF của mạng đó

Lựa chọn MGCF trong mạng đang tương tác với PSTN hoặc CSN và gửi báo hiệu SIP tới MGCF đó Điều này không thể sử dụng khi tương tác nằm trong một mạng khác Đưa ra các CDRs BGCF có thể sử dụng thông tin nhận được từ các giao thức khác hoặc sử dụng thông tin quản lí khi lựa chọn mạng sẽ tương tác

1.2.2.5 HSS (Home subscriber Server)

Đây là cơ sở dữ liệu chung cho tất cả các người dùng, nó chứa cả HLR trong thể thức mạng GPRS Nó chịu trách nhiệm lưu trữ danh sách các đặc điểm và thuộc tính dịch vụ của người dùng đầu cuối Danh sách này được sử dụng để kiểm tra vị trí và các biện pháp truy nhập thuê bao Nó cung cấp thông tin thuộc tính người dùng một cách trực tiếp hoặc thông qua các server Thuộc tính thuê bao lưu trữ gồm: nhận dạng người dùng, dịch vụ đã thuê bao, thông tin trao quyền HSS chứa các chức năng đa phương tiện IP để truyền tải thông tin tới các thực thể thích hợp trong mạng lõi để thiết lập cuộc gọi/ phiên, an ninh, trao quyền vv Nó cũng truy nhập vào các server nhận thực như AUC, AAA

1.2.2.6 MGCF (Media Gateway Control Function)

Thành phần này là điểm kết cuối cho PSTN/ PLMN cho một mạng xác định MGCF thực hiện các chức năng sau:

•Điều khiển trạng thái cuộc gọi gắn liền với điều khiển kết nối cho các kênh phương tiện trong một MGW

•Truyền thông với CSCF

•MGCF lựa chọn CSCF phụ thuộc vào số định tuyến cho các cuộc gọi lối vào từ các mạng kế thừa

•Thực hiện chuyển đổi giao thức giữa mạng kế thừa (ví dụ ISUP, R1/ R2 vv) và các giao thức điều khiển cuộc gọi mạng R00

Giải sử MGCF nhận được thông tin ngoài băng thì nó có thể chuyển tiếp thông tin này tới CSCF/ MGW

1.2.2.7 MRF (Multimedia resource function)

Kiến trúc liên quan đến chức năng tài nguyên đa phương tiện (MRF) được thể hiện trong hình như sau:

Hình 1 6 Kiến trúc MRF

MRF được phân tách thành bộ điều khiển chức năng tài nguyên đa phương tiện MRFC và bộ xử lí chức năng tài nguyên đa phương tiện MRFP như hình vẽ trên thể hiện

Nhiệm vụ của của MRFC như sau:

•Điều khiển tài nguyên phương tiện trong MRFP

•Dịch thông tin đến từ AS và S-CSCF (Ví dụ nhận dạng phiên) để điều khiển MRFP một cách phù hợp

•Nhiệm vụ của MRFP như sau:

•Điều khiển phần mang giữa MRFP và GGSN

•Cung cấp tài nguyên để MRFC điều khiển

•Trộn các luồng phương tiện lối vào

•Tài nguyên luồng phương tiện

•Xử lí luồng phương tiện

1.2.2.8 IMS-MGW (IP multimedia sbsystem-Media gateway function)

Một IMS-MGW có thể kết thúc các kênh mang từ mạng chuyển mạch kênh và các luồng phương tiện từ mạng chuyển mạch gói (ví dụ dòng RTP trong mạng IP) IMS-MGW có thể hỗ trợ chuyển đổi phương tiện điều khiển mang và xử lí tải trọng (ví

dụ mã hóa, triệt vọng, cầu hội nghị) Nó có thể:

Tương tác với MRCF để điều khiển tài nguyên

Tự nó điều khiển tài nguyên như triệt tiếng vọng…

Có thể cần phải mã hóa

IMS-MGW sẽ được cung cấp tài nguyên cần thiết để hỗ trợ các phương tiện truyền tải UMTS/ GSM Hơn nữa IMS-MGW còn phải bổ sung thêm nhiều bộ mã hóa

và các giao thức khung và hỗ trợ các chức năng đặc tả di động

1.2.2.9 SGW (Signalling gateway function)

Chức năng cổng báo hiệu được sử dụng để kết nối các mạng báo hiệu khác nhau

ví dụ mạng báo hiệu SCTP/ IP và mạng báo hiệu SS7 Chức năng cổng báo hiệu có thể triển khai như một thực thể đứng một mình hoặc bên trong môj thực thể khác Các luồng phiên trong đặc tả này không thể hiện SGW nhưng khi làm việc với PSTN hay miền chuyển mạch kênh thì cần có một SGW để chuyển đổi truyền tải báo hiệu SGW được triển khai như hai node logic sau:

Cổng báo hiệu chuyển mạng (R-SGW)

Vai trò của R-SGW liên quan đến chuyển mạng từ/ tới miền chuyển mạch kênh 2G/ R99 và miền GPRS tới/ từ miền dịch vụ thoại MUTS R00 và miền GPRS UMTS

Để chuyển mạng đúng cách R-SGW thực hiện chuyển đổi báo hiệu tại lớp transport

Cổng báo hiệu truyền tải T-SGW (Transport Singnalling Gateway)

Thành phần này trong mạng R4/5 là các điểm kết cuối PSTN/ PLMN trong một mạng xác định Nó ánh xạ báo hiệu cuộc gọi từ/ tới PSTN/ PLMN lên mạng mang IP và gửi nó từ/ tới MGCF

1.2.3 Các giao diện trong IMS

Để các loại dịch vụ đa phương tiện được chuyển qua miền chuyển mạch gói (PS) trong phạm vi kiến trúc IMS thì một giao thức điều khiển phiên đơn cần phải được sử dụng giữa thiết bị người dùng (UE) và CSCF qua giao diện Gm

Các giao thức được sử dụng trên giao diện Gm giữa UE và CSCF trong kiến trúc này sẽ dựa trên SIP

Giao thức điều khiển một phiên đơn được sử dụng để điều khiển phiên giữa các giao diện như sau:

•Giữa MGCF và CSCF là giao diện Mg

•Giữa các CSCF là giao diện Mw

•Giữa một CSCF và mạng IP bên ngoài là Mm

•Giữa CSCF và BGCF là giao diện Mi

•Giữa BGCF và MGCF là giao diện Mj

•Giữa BGCF và BGCF là giao diện Mk

•Giữa một CSCF và một MRCF là giao diện Mr

Giao thức điều khiển phiên được sử dụng trên các giao diện Mg, Mw, Mm, Mi,

Mj, Mk, sẽ dựa trên SIP

Báo hiệu SIP tương tác giữa các phần tử mạng lõi của IMS và có thể khác so với báo hiệu SIP giữa UE và CSCF

SIP được 3GPP lựa chọn làm giao thức báo hiệu trong phần lõi IMS còn trên các giao diện giữa phần lõi IMS và các phần tử ngoài không được chuẩn hóa, 3GPP chỉ khuyến cáo sử dụng các giao thức H.248 và DIAMETER

Để cấu hình mạng độc lập thì mạng phải có khả năng ẩn cấu hình khỏi các nhà khai thác mạng khác Để mạng có thể hạn chế các luồng thông tin sau không được chuyển ra ngoài khỏi mạng của nhà khai thác: Số lượng chính xác các S-CSCF, các khả năng của các S-CSCF hoặc các khả năng của mạng

Để hạn chế truy nhập từ các mạng bên ngoài, giải pháp báo hiệu cũng sẽ cho phép nhà khai thác mạng hạn chế truy nhập từ các mạng bên ngoài (mức ứng dụng)

Với truy nhập HSS, nhà khai thác mạng cũng có thể điều khiển truy nhập tới HSS

CHƯƠNG II: NHẬN THỰC TRAO QUYỀN VÀ THANH TOÁN

và thậm chí cho SIP Các ứng dụng mới được phát triển như mở rộng vì các ứng dụng mói được phát triển khi yêu cầu Hình 2.1 mô tả mối quan hệ giữa giao thức cơ sở Diameter và một số ứng dụng

Hình 2 1 Giao thức cơ sở Diameter và các ứng dụng

Diameter chạy trên giao thức truyền tải tin cậy mà cung cấp điều khiển tranh chấp ( ví dụ TCP, SCTP) Đặc biệt, Diameter không chạy trên UDP Không giống như

RADIUS, bản tin Diameter tổn thất được truyền lại tại mỗi chặng Diameter cung cấp một bản tin mức ứng dụng để diều khiển trạng thái của các kết nối và cho phép khôi phục trong trường hợp lỗi Diameter cũng cho phép bản tin thanh toán để định tuyến đến các máy chủ khác nhau như các bản tin xác thực/phân quyền ( đây là trường hợp thực tế trong IMS)

Giao thức cơ sở Diameter xác định thực thể chức năng khác nhau cho mục đích thực hiện các chức năng AAA Dưới đây là các thực thể

Diameter client: một thực thể chức năng, thường đặt tại biên của mạng thực hiện

diều khiển truy nhập Ví dụ của Diameter client là máy chủ truy nhập mạng và trong IP

di động, phương tiện di động

Diameter server: một thực thể chức năng điều khiển yêu cầu xác thực, phân

quyền, và thanh toán cho cho các lĩnh vực đặc biệt

Proxy: một thực thể chức năng, bổ xung để chuyển tiếp các bản tin diameter, đưa

ra quyết định liên quan đến sử dụng và cung cấp tài nguyên Một proxy phải điều chỉnh các bản tin để thực hiện quyết định chính sách như điều khiển sử dụng tài nguyên, điều khiển nhận và cung cấp

Relay: môt thực thể chức năng mà chuyển tiếp các bản tin Diameter, dựa vào

thông tin định tuyến liên quan và các thực thể bảng định tuyến Một Relay thương là trong suốt Nó có thể điều chỉnh các bản tin Diameter chỉ bằng cách chèn hoặc xóa đi

dữ liệu định tuyến liên quan nhưng không điều chỉnh dữ liệu khác

Redirect agent: một thực thể chức năng xem như từ khách đến các máy chủ và

cho phép chúng truyền thông trực tiếp

Translation agent: một thực thể chức năng mà thực hiện phiên dịch giữa

Diameter và các giao thức AAA khác như RADIUS

Diameter node: một thực thể chức năng mà thực thi giao thức diameter và đóng

vai trò như diameter client, diameter server, relay, redirect agent hoặc translation agent

Diameter là một giao thức ngang hàng khác với giao thức Client/server Có nghĩa

là, không giống với các giao thức cho phép mô hình client/server, trong Diameter bất cứ một hàng nào có thể gửi yêu cầu một cách không đồng bộ đến hàng khác Chú ý rằng, không giống như giao thức client/server, một Diameter client không là thực thể chức năng mà gửi một trả lời đến yêu cầu Thay vào đó, Diameter client là thực thể chức năng điều khiển truy nhập, trong đó một Diameter server là thực thể chức năng thực

hiện xác thực và phân quyền Trong Diameter, cả Diameter client và Diameter server có thể gửi cũng như trả lời các yêu cầu.

Bản tin diameter cũng là yêu cầu hoặc trả lời Một yêu cầu được trả lời bằng một trả lời đơn Trừ môt số trường hợp, các yêu cầu Diameter luôn luôn được trả lời vì nơi gửi yêu cầu luôn nhận thông tin chính xác về yêu cầu và, trong trường hợp lỗi phía thu

có thể dễ dàng khôi phục Diameter là một giao thức mã hóa nhị phân

Chẳng hạn, trong Context của một người sử dụng quay đến một máy chủ truy nhập đường truyền một phiên bao gồm tất cả các bản tin Diameter được trao đổi giữa máy chủ truy nhập đường truyền và Diameter server từ thời điểm người sử dụng quay

số đến khi kết nối ngắt Trong trường hợp IMS một phiên Diameter có thể bao gồm tất

cả bản tin được trao đổi giữa S-CSCF (đóng vai trò như một Diameter client) và HSS ( đóng vai trò như Diameter server) từ thời điểm người sử dụng đăng kí trong IMS đến khi người dùng không còn đăng kí

Khi chúng ta dùng thuật ngữ Phiên trong Context của Diameter chúng ta xem như Phiên Diameter như là một phiên đa phương tiện

2.1.2 Dạng của một bản tin Diameter

Một bản tin Diameter bao gồm tiêu đề 20 octet và một số AVP (attribute value pair) Chiều dài của phần tiêu đề là cố định, nó luôn luôn có trong các bản tin Diameter

Số AVPs là thay đổi, phụ thuộc vào bản tin Diameter thực tế Một AVP là một khối dữ liệu ( thường xác thực, phân quyền hoặc thanh toán )

Hình 2 2 Dạng của bản tin Diameter

Phần tiêu đề được chia thành các trường Theo hình 2.2 một tiêu đề Diameter bắt đầu vói trường phiên bản (version) Tại thời điểm này chỉ có phiên bản 1 Trường độ dài bản tin (Length) chứa chiều dài của bản tin Diameter bao gồm cả phần tiều đề và các AVP trong tiêu đề Diameter

Trường cờ lệnh (Command Flag) chỉ ra:

•Bản tin là yêu cầu hay trả lời;

•Bản tin là ủy nhiệm hay không

•Bản tin chứa một lỗi giao thức tương ứng vói dạng của một bản tin Diameter hay không

•Bản tin là bản tin được phát lại hay không

Trường mã lệnh (Command Code) xác định lện thực ( ví dụ yêu cầu hay trả

lời) Các bản tin yêu cầu và trả lời chia sẻ một không gian địa chỉ mã lệnh giống nhau

Cờ trình bày trong trường mã lệnh chỉ ra bản tin là yêu cầu (request) hay trả lời (anwser)

Trường ID ứng dụng ( Application-ID) xác định ứng dụng Diameter để truyền

bản tin Chẳng hạn, trường ID có thể xác định ứng như giao thức cơ sở Diameter, ứng dụng máy chủ truy cập mạng, ứng dụng Ipv4 di dộng hoặc ứng dụng Diameter khác

Trường nhận dạng chặng – chặng( Hop by hop identifier ) chứa một giá trị mà

mỗi chặng thiết lập khi gửi một yêu cầu Trả lời có cùng số nhận dạng chặng vì một nút Diameter có thể dễ dàng liên hệ trả lời với yêu cầu tương ứng Mỗi nút Diameter đối với một yêu cầu Diameter thay đổi theo giá trị của trường nhận dạng chặng-chặng ( hop

by hop )

Phía gửi yêu cầu thiết lập giá trị của trường nhận dạng đầu cuối – đầu cuối là một giá trị tĩnh không thay đổi tại mỗi nút khi nút Diameter ủy nhiệm yêu cầu Cùng vói số nhận dạng host bộ nhận dạng đầu cuối đầu cuối được sử dụng để phát hiện các yêu cầu trùng lặp Nút Diameter tạo ra một câu trả lời giữ cùng giá trị tìm thấy trong yêu cầu

2.1.3 Cặp giá trị thuộc tính AVP

Các bản tin Diameter giống như bản tin RADIUS truyền tải một tập hợp của các cặp giá trị thuộc tính (AVPs) Một AVP là một khối dữ liệu hình 2.6 mô tả cấu trúc của một AVP Mỗi AVP chứa một mã AVP, cờ, chiều dài AVP, một ID sản xuất tùy chọn,

và Dữ liệu

Hình 2 3 Cấu trúc của AVP

Mã AVP kết hợp vói trường ID sản xuất (vendor-ID) xác định duy nhất thuộc tính Sự vắng mặt của trường ID hoặc trường ID với một giá trị là 0 chỉ ra AVP tiêu

chuẩn trong một đặc tả của IETF Các số mã AVP nằm trong dải từ 1 đến 255 xác định thuộc tính từ hoặc đã định nghĩa bởi RADIUS 256 số AVP và cao hơn xác định thuộc tính riêng của Diameter.

Trường cờ chỉ rõ:

•Yêu cầu mã hóa để đảm bảo bảo mật đầu cuối – đầu cuối;

•Hỗ trợ cho AVP là bắt buộc hoặc tùy chọn Nếu phía phát xác định hỗ trợ cho AVP là bắt buộc và phía thu không hiểu AVP thì yêu cầu Diameter bị từ chối;

Trường vendor-ID có thể có hoặc không.

Trường chiều dài AVP xác định độ dài AVP bao gồm mã AVP, chiều dài AVP,

cờ, Vendor-ID (nếu có) và trường dữ liệu

Trường dữ liệu chứa dữ liệu riêng đối vói thuộc tính Trường có chiều dài là 0

hoặc nhiều octet Chiều dài dữ liệu bắt nguồn từ trường chiều dài AVP

Giao thức cơ sở Diameter xác định một số dạng của trường dữ liệu: Octetstring, interger32, interger64, unsigned32, ungisn64, Float32, Float64,và Grouped

Diameter cung cấp các ứng dụng bắt nguồn từ các dạng của AVP Giao thức cơ sở

đã định nghĩa một số loại AVP, vấn đề quan trong nhất của AVP như sau

•Địa chỉ được chuyển thành địa chỉ IPv4 hoặc IPv6

•Thời gian (time) để trình bày ngày và giờ

•UTF8String để trình bày sâu kí tự mã hóa UTF-8

•DiameterIdentity để chuyển tên miền tiêu chuẩn đầy đủ của nút Diameter

•DiameterURI để chuyển đổi một AAA hoặc AAAS URI

•Enumerated, một giá trị thuộc về số thể hiện vài ngữ nghĩa

2.1.4 AAA và AAA URIs

Giao thức AAA có thể dùng aaa hoặc aaas URI để xác định tài nguyên AAA Aaas URI chỉ rõ bảo mật truyền tải được sử dụng, Cấu trúc của URIs

“ aaa :// “ FQDN [ port ] [transport ] [protocol]

“aaas:// “ FQDN [port ] [transprot ] [protocol ]

Port = “:”1*DIGIT

Transport = “;transport=”transport-protocol

Protocol = “;protoco=” aaa-protocol

Transport-protocol = { “tcp”/”sctp”/”udp”}

Aaa-protocol ={“diameter”/ “radius”/ “taccacs +”}

Trong đó FQDN là tên miên tiêu chuẩn đầy đủ URIs có thể thêm số cổng tùy chọn, một giao thức truyền tải tùy chọn, hoặc một giao thức tùy chọn để truy nhập tài nguyên AAA Nếu số cổng không được biểu diễn cổng Diameter ngầm định (3868) được giả định Nếu tham số giao thức không được biểu điễn, giao thức SCTP được sử dụng Nếu tham số giao thức không được biểu diễn, Diameter được sử dụng chúng ta cần chú ý rằng aaa và aaas URI có thể thích nghi Diameter, RADIUS, và các giao thức khác

Vài ví dụ của aaa và aaas URIs:

aaa:// server.homel.net

aaas:// server.homel.net

aaa:// server.homel.net:8868

aaa:// server.homel.net;transport=tcp,protocol=diameter

2.1.5 Các lệnh cơ sở của Diameter

Chúng ta đã biết các bản tin Diameter yêu cầu hoặc trả lời Một yêu cầu và bản tin trả lời tương ứng được xác định bởi một mã lệnh chung trong phần tiêu đề Diameter

Mã lệnh là một số chỉ rõ hành động của Diameter server cần thực hiện Khi một yêu cầu

và trả lời tương ứng của nó dùng chung không gian địa chỉ mã lệnh, chúng ta hướng đến trường cờ lệnh (command-flag) để tìm ra lệnh nào là yêu cầu hoặc trả lời

Giao thức cơ sở Diameter (RFC 3588) xác định một số mã lệnh ban đầu Một ứng dụng có thể mở rộng các lệnh cơ bản đó và thêm ứng dụng mới-các lệnh riêng Bảng 2.1 chỉ ra tập hợp trả lời và yêu cầu ban đầu được định nghĩa trong giao thức cơ

sở Diameter

Thông thường, mỗi bản tin được viết tắt từ tên nguyên thủy của nó Chẳng hạn, bản tin Abort-Session-Request (hủy bỏ phiên yêu cầu và trả lời ) được xem như bản tin ASR

Hủy bỏ phiên yêu cầu và trả lời (ASR, ASA)

Hủy bỏ phiên là rất cần thiết đối với một Diameter server để dừng dịch vụ cung cấp đối với người sử dụng bởi vì có nhiều nguyên nhân mới không thể dự đoán trước khi phiên được trao quyền

Khi một Diameter server quyết định hướng dẫn Diameter client dùng cung cấp dịch vụ, Diameter server gủi một bản tin yêu cầu hủy bỏ phiên (ASR) đến Diameter client Diameter client báo cáo thi hành lệnh trong bản tin trả lời hủy bỏ phiên (ASA)

Bản tin yêu cầu và trả lời thanh toán (ACR, ACA)

Một nút Diameter phải cần báo cáo sự kiện thanh toán đối với một Diameter server mà cung cấp các dịch vụ thanh toán Diameter cung cấp lệnh yêu cầu thanh toán (ACR) trong đó một Diameter client thông báo yêu cầu sử dụng dịch vụ đối với Diameter server Câu lệnh bao gồm thông tin giúp cho Diameter server ghi lại thời điểm

sự kiện bắt đầu hoặc kết thúc dịch vụ

Yêu cầu và trả lời dung lượng trao đổi (CER, CEA)

Bản tin Diameter đầu tiên mà các nút Diameter trao dổi khi kết nối truyền tải được thiết lập là bản tin yêu cầu dung lượng trao đổi (CER) và bản tin trả lời dung lượng trao đổi (CEA) Bản tin mang nhận dạng của nút và khả năng của nó ( phiên bản giao thức, hỗ trợ ứng dụng Diameter, hỗ trợ cơ cấu bảo mật, …)

Yêu cầu và Trả lời ngắt kết nối ngang hàng (DPR, DPA)

Một nút Diameter thiết lập một kết nối truyền tải vói một nút Diameter ngang hàng mà muốn đóng kết nối truyền tải trong trường hợp này nút Diameter gửi yêu cầu

ngắt kết nối ngang hàng (DPR) đến nút ngang hàng để chỉ rõ ngắt kết nối giao thức truyền tải Bản tin DPR chuyển ý nghĩa yêu cầu đến nút ngang hàng không tái thiết lập kết nối trừ khi nó là cần thiết.

Yêu cầu và trả lời xác thực lại (RAR, RAA)

Tại bất cứ thời điểm nào, nhưng đặc biệt trong các phiên diễn ra trong thời gian dài, Diameter server phải yêu cầu xác thực lại người sử dụng để xác nhận lại không có vấn đề xảy ra Một Diameter server muốn xác thực lại người sử dụng gửi một bản tin yêu cầu tái xác thực đến một Diameter client Client đáp ứng vói bản bản tin tái trao quyền lại

Yêu cầu và trả lời kết thúc phiên (STR, STA)

Một Diameter client báo cáo đến một Diameter server là có một người dùng muốn dừng sử dụng dịch vụ bằng cách gủi bản tin yêu cầu kết thúc phiên (STR) Diameter server trả lời với bản tin trả lời kết thúc phiên (STA)

Chẳng hạn, nếu một máy chủ dial up báo cáo rằng một kết nối dial up đã ngắt, sau đó Diameter client gửi bản tin STR đến Diameter server

2.2 Xác thực và trao quyền trong IMS

Hình 2.4 chỉ ra Kiến trúc của IMS cho thực hiện chức năng xác thực và phân quyền Có 3 giao diện mà hoạt động xác thực và phân quyền sử dụng ( giao diện Cx,

Dx, Sh )

Giao diện Cx được thiết lập giữa một máy chủ thuê bao nhà (HSS) và một CSCF hoặc S-CSCF Khi có nhiều hơn một HSS hiện diện trong mạng nhà có 1 yêu cầu đối với một chức năng định vị thuê bao để giúp I-CSCF hoặc S-CSCF xác định HSS lữu trữ đối với một user nào Giao diện Dx kết nối một I-CSCF hoặc S-CSCF đến một SLF chạy trong cấu hình đổi hướng Diameter

I-Giao diện Sh thiết lập giữa một HSS và máy chủ ứng dụng SIP hoặc máy chủ dịch vụ OSA

Trong tất cả các giao diện giao thức dùng giữa 2 nút bất kì là Diameter với một ứng dụng đặc thù IMS Như một ứng dụng Diameter xác định các mã lệnh Diameter mới và các cặp giá trị thuộc tính mới (AVPs)