i.vietnamdoc.neti.vietnamdoc.net/data/file/2015/Thang02/26/bao-mat-trong-ims.doc · Web viewKiểu...

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

ĐỒ ÁN

TỐT NGHIỆP ĐẠI HỌC

Đồ án:

BẢO MẬT TRONG IMS

Sinh viên thực hiện : Nguyễn Huy Hoàng

NG

UY

ỄN

HU

Y H

OÀ

NG

NÂ

NG

CA

O K

Y T

HU

ÂT T

AI Đ

INH

TU

YÊ

N N

HA

NH

TR

ON

G M

AN

G M

PLS

*D

04VT

2

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNGKHOA VIỄN THÔNG I

-------***-------

ĐỒ AN TỐT NGHIỆPĐAI HỌC

Đề tài:

BẢO MẬT TRONG IMS

Giáo viên hướng dẫn : ThS. Vu Thuy Hà

Sinh viên thực hiện : Nguyễn Huy Hoàng

Lớp : D04VT2

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAMĐộc Lập - Tự Do - Hạnh Phúc

KHOA VIỄN THÔNG I-------***-------

-------***-------

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC

Họ và tên : Nguyễn Huy HoàngLớp : D04VT2Khoá : 2004-2008Ngành học: Điện Tử - Viễn Thông

Tên đồ án: Nội dung đồ án:

Chương I : Kiến trúc IMS Chương II : Nhận thực trao quyền và thanh toán trong IMS Chương III : Bảo mật cho IMS

Ngày giao đồ án:10/07/2008Ngày nộp đồ án: 10/11/2008

NHÂN XÉT CỦA GIAO VIÊN HƯỚNG DẪN…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………Điểm: ........ (bằng chữ ………………..)

Ngày..........tháng 11 năm 2008 Giáo viên hướng dẫn

ThS. Vu Thuy Hà

NHÂN XÉT CỦA GIAO VIÊN PHẢN BIỆN…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Điểm: ........ (bằng chữ ………………..)

Ngày..........tháng 11 năm 2008 Giáo viên phản biện

Đồ án tốt nghiệp đại học Mục lục

MỤC LỤC

MỤC LỤC........................................................................................................................ iDANH MỤC HINH VE.................................................................................................ivDANH MỤC BẢNG BIÊU............................................................................................viTHUÂT NGỮ VIÊT TẮT............................................................................................viiLỜI NÓI ĐẦU.................................................................................................................xCHƯƠNG I: KIÊN TRÚC IMS..................................................................................111.1 Kiến trúc NGN..........................................................................................................11

1.1.1 Mạng viễn thông hiện nay..............................................................................111.1.2 Mạng viễn thông trên con đường tiến tới NGN.............................................12

1.2 Phân hệ IMS trong kiến trúc NGN...........................................................................161.2.1 Tổng quan IMS..............................................................................................161.2.2 Chức năng các phần tử trong IMS.................................................................19

1.2 2.1 P-CSCF (Proxy-CSCF)...........................................................................201.2.2.2 I-CSCF (Interrogating-CSCF )...............................................................211.2.2.3 S-CSCF (Serving-CSCF)........................................................................211.2.2.4 BGCF (Breakout Gateway Control Function)........................................231.2.2.5 HSS (Home subscriber Server)...............................................................231.2.2.6 MGCF (Media Gateway Control Function)............................................231.2.2.7 MRF (Multimedia resource function).....................................................241.2.2.8 IMS-MGW (IP multimedia sbsystem-Media gateway function)............251.2.2.9 SGW (Signalling gateway function).......................................................25

1.2.3 Các giao diện trong IMS................................................................................26

CHƯƠNG II: NHÂN THỰC TRAO QUYỀN VÀ THANH TOAN TRONG IMS 272.1 Giao thức Diameter...................................................................................................27

2.1.1 Các phiên Diameter........................................................................................292.1.2 Dạng của một bản tin Diameter.....................................................................292.1.3 Cặp giá trị thuộc tính AVP.............................................................................312.1.4 AAA và AAA URIs.......................................................................................322.1.5 Các lệnh cơ sở của Diameter.........................................................................33

2.2 Xác thực và trao quyền trong IMS............................................................................35

2.3 Giao diện Cx và Dx...................................................................................................362.3.1 Các mã lệnh được định nghĩa trong giao diện Cx..........................................37

2.3.1.1 Yêu cầu và trả lời xác thực người dùng (UAR, UAA)...........................38

Nguyễn Huy Hoàng D04VT2 - i -


2.3.1.2 Yêu cầu và trả lời xác thực đa phương tiện ( MAR, MAA )..................392.3.1.3 Yêu cầu trả lời và gán máy chủ (SAR, SAA)........................................392.3.1.4 Yêu cầu và trả lời thông tin cấp phát (LIR, LIA)....................................392.3.1.5 Yêu cầu và trả lời kết thúc đăng kí (RTR, RTA)....................................402.3.1.6 Yêu cầu và trả lời đẩy profile ( PPR, PPA)............................................40

2.3.2 AVPs định nghĩa trong các ứng dụng Diameter cho giao diện Cx................402.3.2.1 Việc sử dụng AVP hiện có......................................................................42

2.3.3 Profile người dùng.........................................................................................43

2.4 Giao diện Sh..............................................................................................................442.4.1 Các mã lệnh định nghía trong ứng dụng diameter cho giao diện Sh.............462.4.2 Các AVP định nghĩa trong ứng dụng Diameter cho giao diện Sh.................47

2.5 Thanh toán (Accounting)..........................................................................................48

2.6 Kiến trúc tính cước....................................................................................................48

2.7 Tính cước offline.......................................................................................................522.7.1 Đầu cuối IMS trong mạng khách...................................................................522.7.2 Đầu cuối IMS trong mạng nhà.......................................................................542.7.3 Giao diện Rf...................................................................................................57

2.8 Tính cước Online......................................................................................................592.8.1 S-CSCF..........................................................................................................602.8.2 Các AS và MRFC..........................................................................................60

CHƯƠNG III: BẢO MÂT CHO IMS.........................................................................673.1 Tổng quan về vấn đề bảo mật mạng.........................................................................67

3.1.1 Các phương thức tấn công thường gặp trong mạng IMS...............................673.1.1.1 Sự nghe trộm...........................................................................................673.1.1.2 Tấn công đăng kí.....................................................................................683.1.1.3 Mạo danh máy chủ..................................................................................683.1.1.4 Chèn khối bản tin....................................................................................683.1.1.5 Làm đứt phiên.........................................................................................693.1.1.6 Tấn công từ chối dịch vụ.........................................................................693.1.1.7 Khuếch đại..............................................................................................70

3.1.2 Kiến trúc anh ninh tổng quan.........................................................................703.1.2.1 Các chức năng an ninh............................................................................723.1.2.2 Che giấu cấu hình mạng..........................................................................73

3.2 An ninh truy nhập cho IMS......................................................................................743.2.1 Xác thực và cấp quyền...................................................................................743.2.2 Xác thực và cấp quyền với ISIM...................................................................753.2.3 Xác thực và cấp quyền với USIM.................................................................783.2.4 Thiết lập liên kết an ninh...............................................................................783.2.5 Thủ tục thiết lập liên kết an ninh....................................................................80

Nguyễn Huy Hoàng D04VT2 - ii -


3.2.5.1 Các tham số của liên kết an ninh.............................................................803.2.5.2 thủ tục liên kết an ninh............................................................................873.2.5.3 Các lỗi thường xảy ra khi thiết lập SA....................................................903.2.5.4 Nhận thực quá trình tải đăng kí...............................................................913.2.5.5 Nhận thực quá trình tải đăng kí...............................................................913.2.5.6 Vấn đề sử dụng liên kết an ninh..............................................................923.2.5.7 Thủ tục liên kết IP khi UE thay đổi dịa chỉ IP........................................95

3.2.6 Mã hóa...........................................................................................................95

3.3 An ninh mạng cho IMS.............................................................................................963.3.1 Khái niệm miền an ninh mạng.......................................................................963.3.2 Cơ chế quản lý và phân phối khóa trong mạng NDS/IP................................97

3.3.2.1 Các chức năng an ninh............................................................................973.3.2.2 Liên kết an ninh......................................................................................97

3.3.3 Giao diện một miền và liên miền...................................................................983.3.3.1 Kiến trúc an ninh mạng...........................................................................983.3.3.2 Các giao diện...........................................................................................99

KẾT LUẬN...................................................................................................................101

TÀI LIỆU THAM KHẢO............................................................................................102

Nguyễn Huy Hoàng D04VT2 - iii -

Đồ án tốt nghiệp đại học Danh mục hinh ve

DANH MỤC HINH VE

Hình 1. 1 Các khả năng tiến đến NGN............................................................................15Hình 1. 2 Kiến trúc mạng NGN......................................................................................16Hình 1. 3 Sơ đồ kiến trúc IMS của 3GPP.......................................................................18Hình 1. 4 Kiến trúc IMS trong NGN...............................................................................19Hình 1. 5 Kiến trúc các CSCF.........................................................................................20Hình 1. 6 Kiến trúc MRF............................................................................................................24

Hình 2. 1 Giao thức cơ sở Diameter và các ứng dụng....................................................27Hình 2. 2 Dạng của bản tin Diameter..............................................................................30Hình 2. 3 Cấu trúc của AVP............................................................................................31Hình 2. 4 Xác thực và trao quyền trong IMS..................................................................36Hình 2. 5 Cấu trúc của profile người dùng.....................................................................44Hình 2. 6 Kiến trúc tính cước offline..............................................................................50Hình 2. 7 Kiến trúc tính cước online IMS.......................................................................51Hình 2. 8 Luồng thiết lập phiên......................................................................................52Hình 2. 9 Giá trị P-Charging-Vector trong INVITE (2).................................................53Hình 2. 10 Giá trị P-Charging-Vector trong INVITE (3)...............................................53Hình 2. 11 Giá trị P-charging-Vector trong 183 (xử lý phiên) (4)..................................54Hình 2. 12 Giá trị P-Charging-Vector trong 183 (xử lý phiên) (5).................................54Hình 2. 13 Luồng thiết lập phiên....................................................................................55Hình 2. 14 Giá trị P-Charging-Function-Address trong 183 (xử lý phiên) (5)...............55Hình 2. 15 Giá trị P-Charging-Vector trong UPDATE (19)...........................................56Hình 2. 16 Các AVP trong các bản tin ACR cho tính cước offline................................58Hình 2. 17 Các AVP trong các bản tin ACA trong tính cước offline.............................58Hình 2. 18 Giá trị EVENT-RECORDS trong bản tin ACR............................................59Hình 2. 19 Trường mào đầu P-Charging-Function-Address...........................................60Hình 2. 20 Các AVP trong bản tin ACR cho tính cước online.......................................61Hình 2. 21 Các AVP trong bản tin ACA cho tính cước online.......................................62Hình 2. 22 Tính cước sự kiện trực tiếp...........................................................................63

Nguyễn Huy Hoàng D04VT2 - iv -

Đồ án tốt nghiệp đại học Danh mục hinh ve

Hình 2. 23 Tính cước sự kiện với sự đặt trước tin dụng.............................................................65

Hình 3. 1 Kiến trúc an ninh cho IMS (TS 33.203...........................................................71Hình 3. 2 SIM, USIM, và ISIM trong UICC của đầu cuối IMS 3GPP...........................75Hình 3. 3 Phiên Register khởi tạo...................................................................................76Hình 3. 4 Trường tiêu đề WWW-Authenticated.............................................................77Hình 3. 5 Trường tiêu đề Authorization.........................................................................77Hình 3. 6 Sử dụng cổng và liên kết an ninh với UDP.....................................................79Hình 3. 7 Sử dụng cổng và liên kết an ninh với TCP.....................................................79Hình 3. 8 Trường tiêu đề Security-client........................................................................79Hình 3. 9 Trường tiêu đề Security-Server.......................................................................80Hình 3. 10 Trường tiêu đề Security-Verify.....................................................................80Hình 3. 11: UE tiến hành thủ tục tái đăng ký khi không được trao quyền......................89Hình 3. 12: Giao diện nội miền và giao diện liên miền..................................................99

DANH MỤC BẢNG BIÊUBảng 2. 1 Các lệnh cơ sở Diameter.................................................................................33Bảng 2. 2 các mã lệnh trong giao diện Cx......................................................................38Bảng 2. 3 danh sách các lệnh định nghĩa trong ứng dụng Diameter cho giao diện Sh.....46Bảng 2. 4 Các AVP định nghĩa bằng ứng dụng Diameter cho giao diện Sh..............................47

Bảng 3. 1Bảng đóng gói UDP của P-CSCF sau khi được hoàn thành............................88

Nguyễn Huy Hoàng D04VT2 - v -

Đồ án tốt nghiệp đại học Thuật ngữ viêt tắt

THUÂT NGỮ VIÊT TẮT

Viết tắt Tiếng Anh Tiếng ViệtAAA Authentication, Authorization and

AccountingNhận thực, trao quyền và thanh toán

AES Advanced Encryption Standard Chuẩn mã hóa tiến bộAH Authentication Header Giao thức mào đầu nhận thựcAKA Authentication and Key Agreement Giao thức thỏa thuận khóa và

nhận thựcAS Appliation Server Máy chủ ứng dụngAUTN Network Authentication Token Thẻ lệnh nhận thực mạngAV Authentication Vector Vector nhận thựcB2BUA Back–to–Back User Agent Tác nhân khách hàng đồng thờiBICC Bearer Independent Call Control Giao thức điều khiển cuộc gọi

độc lập kênh mangBITS Bump–In–The–Stack Ứng dụng “chèn bit vào ngăn

xếp” của IPSecBITW Bump–In–The–Wire Ứng dụng “đưa vào lõi” của

IPSecCK Ciphering Key Khóa mã hóaCSCF Call Session Control Function Thực thể chức năng điều khiển

phiên cuộc gọiDES Data Encryption Standard Chuẩn mã hóa dữ liệuDoS Denial of Service Tấn công từ chối dịch vụDNS Domain Name System Hệ thống tên miềnESP Encapsulating Security Payload Giao thức tải trọng an ninh đóng

góiETSI European Telecommunications

Standard InstituteViện tiêu chuẩn viễn thông của Châu Âu

FMC Fixed-Mobile Network Mạng hội tụ cố định và di độngGGSN Gateway GPRS Support Node Nút hỗ trợ GPRS cổngGKMP Group Key Management Protocol Giao thức quản lý khóa nhómGPRS General Packet Radio Service Dịch vụ gói vô tuyến chungHLR Home Location Register Bộ đăng ký (thanh ghi) vị trí chủ

Nguyễn Huy Hoàng D04VT2 - vi -


HSS Home Subscriber Server Máy chủ phục vụ cho thuê bao của mạng nhà

HTTP HyperText Transfer Protocol Giao thức truyền siêu văn bảnI-CSCF Interrogating-CSCF CSCF truy vấnIETF Internet Engineering Task Force Nhóm đặc trách kỹ thuật InternetIK Integrity Key Khóa được sử dụng để đảm bảo

tính toàn vẹnIKE Internet Key Exchange Giao thức trao đổi khóa InternetIM IP Multimedia Đa phương tiện IPIMPI IM Private Identity Tham số nhận dạng riêng cho

khách hàngIMPU IM Public Identity Tham số nhận dạng chung cho

khách hàngIMS IP Multimedia Core Network

SubsystemPhân hệ mạng lõi đa phương tiện IP

IMSI International Mobile Subscriber Indentifier

Nhận dạng quốc tế của thuê bao di động

IN Intelligent Network Mạng thông minhIPSec IP Security Giao thức IPSecISAKMP Internet Security Association Key

Management ProtocolGiao thức quản lý khóa và liên kết an ninh Internet

ISIM IM Services Identity Module Module nhận dạng các dịch vụ đa phương tiện IP

ISUP ISDN User Part Phần người dùng ISDNIV Initialization Vector Vector khởi tạoMAC Message Authentication Code Mã nhận thực bản tinMMS Multimedia Message Service Dịch vụ nhắn tin đa phương tiệnMRF Media Resource Function Thực thể chức năng quản lý tài

nguyên và phương tiệnMRFC Media Resource Function Controller Thực thể điều khiển chức năng tài

nguyên đa phương tiệnMRFP Media Resource Function Processor Thực thể xử lý chức năng tài

nguyên đa phương tiệnMSISDN Mobile Subscriber ISDN Số ISDN của thuê bao di độngNAI Network Access Identifier Nhận dạng truy nhập mạngNAT Network Address Translator Bộ biên dịch địa chỉ mạngNDS Network Domain Security Miền được đảm bảo an ninh trong

Nguyễn Huy Hoàng D04VT2 - vii -


mạngNDS/IP NDS for IP based protocols Miền được đảm bảo an ninh dành

cho các giao thức trên nền IPP-CSCF Proxy-CSCF CSCF đại diệnPDA Personal Digital Assistant Thiết bị số cá nhânPLMN Public Land Mobile Network Mạng di động mặt đất công cộngPSTN Public Switched Telephone Network Mạng chuyển mạch kênh công

cộngSA Security Association Liên kết an ninhSAD Security Association Database Cơ sở dữ liệu liên kết an ninh S-CSCF Serving CSCF CSCF phục vụSCTP Stream Control Transmission

ProtocolGiao thức truyền dẫn điều khiển luồng

SEG Security Gateway Cổng an ninhSGSN Serving GPRS Support Node Nút hỗ trợ GPRS phục vụSIM Subscriber Identity Module Module nhận dạng thuê baoSIP Session Initiation Protocol Giao thức khởi tạo phiênSIP UA SIP User Agent Tác nhân khách hàng SIPSIP URI SIP Uniform Resource Identifier Nhận dạng tài nguyên thống nhất

SIPSMS Short Message Service Dịch vụ bản tin ngắn

SMTP Simple Mail Transfer Protocol Giao thức chuyển thư đơn giảnSPD Security Policy Database Dữ liệu chính sách an ninhSPI Security Parameters Index Chỉ số tham số an ninhSQN Sequence Number Số tuần tựTLS Transport Layer Security Giao thức đảm bảo an ninh cho

lớp truyền dẫnTUP Telephone User Part Phần khách hàng điện thoạiUICC Universal Integrated Circuit Card Thẻ mạch tích hợp toàn cầuURI Uniform Resource Identifier Nhận dạng tài nguyên đồng nhấtUSIM Universal Subscriber Identity

ModuleModule nhận dạng thuê bao chung

WAP Wireless Application Protocol Giao thức ứng dụng vô tuyếnXRES Response Hồi đáp

Nguyễn Huy Hoàng D04VT2 - viii -

Đồ án tốt nghiệp đại học Lơi noi đâu

LỜI NÓI ĐẦU

Trong những năm gần đây, các nhà cung cấp viễn thông trên thế giới đang phấn đấu đem lại cho khách hàng của mình nhiều dịch vụ mới với chất lượng ngày mỗi nâng cao. Các dịch vụ đa phương tiện hiện nay đã không còn xa lạ nữa và mỗi thuê bao đều có thể sử dụng các dịch vụ này thông qua thiết bị di động cầm tay của mình. Với xu thế đó, một nhu cầu đặt ra là hội tụ những dịch vụ này và hội tụ nhiều chức năng cho thiết bị của khách hàng.

Để phục vụ mục đích trên, mạng NGN Release 1 đã ra đời vào năm 2005, cho phép đặt những nền móng đầu tiên để xây dựng mạng hội tụ FMC. Trong đó, phần quan trọng nhất cần đề cập đến của NGN phiên bản 1chính là phân hệ đa phương tiện IP – IMS. Đây là phân hệ nằm ở lớp điều khiển và đóng vai trò trung tâm của các mạng NGN từ Release 1 trở đi.

Trong mọi thời điểm, vấn đề an ninh luôn có được một sự quan tâm đặc biệt nhằm chống lại những tấn công có mưu đồ xấu, nhất là trong thời đại bùng nổ thông tin và công nghệ như hiện nay.

Với mục đích nâng cao sự hiểu biết của bản thân về xu hướng phát triển của mạng viễn thông. Em đã quyết định tìm hiểu về phân hệ IMS về quá trình xác thực, trao quyền trong IMS và đặc biệt là về vấn đề bảo mật trong IMS. Đồ án chia làm 3 phần với các nội dung như sau:

Chương I: Kiến trúc IMSChương II: Nhận thực trao quyền và thanh toán trong IMSChương III: Bảo mật trong IMSDo tính chất dàn trải và luôn thay đổi của vấn đề an ninh cùng những hạn chế về

hiểu biết của bản thân nên đồ án này tất nhiên không tránh khỏi những thiếu sót. Vì vậy, em kính mong nhận được sự góp ý của các thầy cô và các bạn để phục vụ thêm cho công tác học tập của mình trong tương lai.

Xin gửi lời cảm ơn chân thành đến cô giáo ThS. Vu Thúy Hà, người đã tận tình hướng dẫn em trong suốt quá trình thực hiện đồ án này.

Đồ án tốt nghiệp đại học Chương I: Kiến trúc IMS

CHƯƠNG I: KIÊN TRÚC IMS

1.1 Kiến trúc NGN

1.1.1 Mạng viễn thông hiện nay

Như phần trên đã trình bày, mạng viễn thông hiện nay được triển khai theo các ứng dụng thực tiễn đơn lẻ. Ví dụ như trong mạng chuyển mạch điện thoại công cộng PSTN, một cuộc nối được thiết lập giữa hai thuê bao thông qua quá trình trao đổi khe thời gian cố định trong suốt quá trình cuộc gọi. Kiểu mạng này phù hợp cho điện thọai vì chúng có tốc độ bit không đổi và thông tin có tính thời gian thực cao. Với các ứng dụng truyền dữ liệu thì việc sử dụng riêng một kênh thông tin để truyền là rất lãng phí về tài nguyên và không phù hợp với yêu cầu sử dụng.

Với các mạng di động hiện nay (PLMN) mặc dù có tốc độ phát triển rất nhanh tuy nhiên dịch vụ mà nhà khai thác mạng di động cung cấp cho khách hàng vẫn chỉ là dịch vụ thoại truyền thống kết hợp với dịch vụ bản tin ngắn (SMS). Vẫn không đáp ứng được nhu cầu truyền thông đa phương tiện của khách hàng hơn nữa giá cả đối với thuê bao di động còn cao và với các thuê bao có nhu cầu sử dụng cả dịch vụ di động và dịch vụ cố định thì họ vẫn phải thanh toán hai hóa đơn cho hai nhà cung cấp dịch vụ đó.

Tương tự như vậy mạng chuyển mạch gói là rất hữu hiệu cho việc chuyển thông tin số liệu nhưng lại không phù hợp cho truyền thoại vì độ trễ truyền thông tin là không kiểm sóat được.

Một giải pháp để giải quyết vấn đề này là tạo ra một mạng tích hợp có thể cung cấp nhiều loại hình dịch vụ có yêu cầu băng thông, thời gian thực và chất lượng dịch vụ khác nhau.

Bước đầu tiên trong hướng đi này là phát triển ISDN băng hẹp cung cấp báo hiệu kênh chung giữa các người sử dụng cho tất cả các dịch vụ thoại và số liệu. Trong khi đó vẫn duy trì sự riêng biệt giữa chuyển mạch kênh và chuyển mạch gói tại trạm trung gian. Người dùng được cung cấp các truy nhập số tốc độ 2B+D cho cả thoại và số liệu cùng với 16 Bbps cho báo hiệu và các dịch vụ chuyển mạch gói. Tuy nhiên hướng phát triển này dần dần bộc lộ yếu điểm khi nhu cầu dịch vụ băng thông rộng ngày càng phát triển. Tốc độ truy nhập 2B+D là quá thấp so với nhu cầu dịch vụ băng rộng hiện nay.


ISDN ngày càng thể hiện nhược điểm không thể đáp ứng được nhu cầu truyền thông, trong khi đó công nghệ truyền dẫn và công nghệ điện tử VLSI (Very large scale intergration) ngày càng phát triển và xuất hiện công nghệ mới có khả năng truyền tải cao được đánh giá là có nhiều hứa hẹn để truyền dẫn cả thoại và dữ liệu đó là ATM đã đưa ra một hướng mới để phát triển ISDN băng hẹp thành ISDN băng rộng (B-ISDN). B-ISDN cung cấp các dịch vụ chuyển mạch kênh, chuyển mạch gói theo kiểu đơn phương tiện, đa phương tiện, theo kiểu hướng liên kết hay phi liên kết và theo cấu hình đơn hướng hoặc đa hướng.

Tuy nhiên khi triển khai B-ISDN với công nghệ nền tảng là ATM thì vấn đề giá thành xây dựng mạng lại quá lớn vì B-ISDN không tận dụng tối đa nền tảng mạng hiện có do vậy không đáp ứng kịp thời cho nhu cầu sử dụng dịch vụ của khách hàng.

1.1.2 Mạng viễn thông trên con đường tiến tới NGN

Từ tình hình mạng viễn thông hiện nay và sự bùng nổ về nhu cầu dịch vụ băng rộng, việc xây dựng một mạng cung cấp đa loại hình dịch vụ tốc độ cao băng thông lớn là vấn đề tất yếu của các nhà khai thác mạng.

ISDN, B-ISDN đều có nhược điểm khi được triển khai để cung cấp dịch vụ tốc độ cao băng thông lớn cho khách hàng. Vậy thì câu hỏi đặt ra là mô hình mạng nào có thể khắc phục được nhược điểm của hai mạng trên trong khi vẫn có thể cung cấp dịch vụ đa phương tiện cho khách hàng.

Để trả lời câu hỏi đó các tổ chức chuẩn hóa viễn thông đã nghiên cứu và đưa ra mô hình mạng hội tụ có khả năng cung cấp dịch vụ đa phương tiện cho khách hàng trong khi đó giá thành và thời gian xây dựng mạng là rẻ nhất và nhanh nhất – đó chính là mạng NGN.

NGN được ITU-T định nghĩa như sau: “Mạng thế hệ kế tiếp (NGN) là mạng dựa trên nền gói có thể cung cấp các dịch vụ

truyền thông và có thể tận dụng được các dải băng tần rộng, các công nghệ truyền tải với QoS cho phép và ở đó các chức năng liên quan đến dịch vụ sẽ độc lập với các công nghệ truyền tải ở lớp dưới. NGN cho phép người dùng truy nhập không hạn chế tới các nhà cung cấp dịch vụ viễn thông khác nhau. NGN hỗ trợ tính lưu động nói chung để có thể cung cấp dịch vụ thích hợp và rộng khắp tới các người dùng.

Như vậy NGN được mô tả theo các đặc điểm cơ bản như sau:Truyền tải trên nền gói


Tách biệt các chức năng điều khiển với các khả năng mang, cuộc gọi/ phiên và ứng dụng/ dịch vụ

Tách riêng việc cung cấp dịch vụ khỏi mạng và cung cấp các giao diện mở Hỗ trợ tất cả các dịch vụ, các ứng dụng và các kỹ thuật dựa trên khối xây dựng

dịch vụ (bao gồm dịch vụ thời gian thực, phân loại dịch vụ, dịch vụ phi thời gian thực và dịch vụ đa phương tiện)

Các khả năng băng rộng với QoS đầu cuối tới đầu cuối và truyền tải trong suốtTương tác với các mạng trước đây thông qua các giao diện mởTính lưu động nói chungTruy nhập không hạn chế cho người dùng tới các nhà cung cấp dịch vụ khác

nhauMột sự đa dạng về kế hoạch nhận dạng để giải quyết địa chỉ IP cho mục đích

định tuyến trong mạng IPNhìn từ phía UE, dịch vụ được hội tụ thành một dịch vụ chung duy nhấtHội tụ dịch vụ giữa mạng cố định và mạng di độngCác chức năng liên quan đến dịch vụ độc lập với các công nghệ lớp dưới Phục tùng tất cả các thủ tục theo quy tắc như truyền thông khẩn cấp và an ninh/

riêng lẻ”NGN tập hợp được ưu điểm của các công nghệ mạng hiên có, tận dụng băng

thông rộng và lưu lượng truyền tải cao của mạng gói để đáp ứng sự bùng nổ nhu cầu lưu lượng thoại truyền thông hiện nay và nhu cầu truyền thông đa phương tiện của người dùng đầu cuối. Điện thoại IP (IPT) là ví dụ điển hình để minh họa cách tín hiệu thoại được chuyển đổi thành gói dữ liệu rồi truyền trên nền IP trong mạng NGN như thế nào. Có thể nói truyền thoại trên nền gói là ưu điểm lớn nhất mà NGN đã thực hiện được hơn hẳn so với các công nghệ mạng trước đây.

Đặc điểm của NGN là cấu trúc phân lớp theo chức năng và phân tán các tài nguyên trên mạng. Điều này đã làm cho mạng được mềm hóa và sử dụng các giao diện mở API (Application program interface) để kiến tạo các dịch vụ mà không phụ thuộc nhiều vào các nhà cung cấp thiết bị và dịch vụ mạng.

Xu hướng phát triển công nghệ viễn thông cho NGN có ba lĩnh vực cần chú ý tập trung:

Công nghệ truyền dẫn: Từ quang cho đến quang hóa hoàn toàn.


Công nghệ chuyển mạch: Tích hợp vi mạch, kĩ thuật số, IP. Kết hợp chuyển mạch kênh với chuyển mạch gói, đa dịch vụ, đa tốc độ, chuyển mạch quang.

Công nghệ truy nhập: Kết hợp truyền thông và tin học: có các kiểu truy nhập như quang, cáp đồng (ADSL, HDSL), vô tuyến.

Xu hướng phát triển dịch vụ cho NGN cần đạt được những điều sau: Băng rộng. Đa phương tiện truyền thông. Truyền hình chất lượng cao HDTV. Dịch vụ phải được tích hợp

Động lực chính cho sự phát triển hay “di cư” sang mạng NGN chính là vấn đề giá cả. Vì xây dựng mạng NGN không những tận dụng tối ưu cơ sở hạ tầng mạng hiện có mà còn tập hợp được những ưu điểm chính, loại bỏ những khuyết điểm cố hữu của các công nghệ mạng hiện nay.

Một động lực quan trọng khác đó là sự phân biệt dịch vụ. Trọng tâm ban đầu của nhiều mạng NGN là hỗ trợ các dịch vụ truyền thống thoại hoặc dữ liệu. Song ngày nay có nhiều nhà cung cấp dịch vụ thực hiện chiến lược của mình trên các mặt bằng dịch vụ hội tụ.

Như vậy trên quan điểm của nhà khai thác dịch vụ thì lí do chính để xây dựng mạng NGN là:

Giảm thời gian tung ra thị trường cho các công nghệ và dịch vụ mới. Thuận tiện cho các nhà cung cấp thiết bị, các nhà cung cấp mạng mang, hay cho

các nhà phát triển phần mềm. Giảm độ phức tạp trong vận hành bằng việc cung cấp các hệ thống phân chia

theo khối đã được chuẩn hóa. Hỗ trợ phương thức phân chia một mạng chung thành các mạng ảo riêng rẽ về

mặt lôgic. ITU-T cũng đưa ra khuyến cáo khi tiến hành xây dựng NGN từ mạng hiện có cho

các nhà xây dựng mạng theo mô hình sau:


Hinh 1. 1 Các khả năng tiến đến NGN

Nhìn từ mô hình thì các mạng hiện có như PSTN, IN, mạng số liệu, mạng Internet, mạng cáp, mạng vô tuyến đều có thể phát triển lên NGN theo hai con đường là


có thể phát triển từng bước thông qua mạng lai ghép, mạng VoIP rồi tiến tới NGN hoặc tiến thẳng lên NGN.

Tùy theo điều kiện cụ thể của từng vùng mạng mà xây dựng NGN với giá thành thấp nhất và nhanh nhất.

Mô hình NGN do ETSI đưa ra như sau:Từ kiến trúc NGN tổng quan của ETSI có các đặc điểm sau:NGN kế thừa các mạng hiện có như PSTN, ISDN, Internet, PLMN vv. Xây dựng thêm các phân hệ mới các giao thức mới với mục đích là để bổ sung

thêm các loại hình dịch vụ, cung cấp dịch vụ đa phương tiện và hội tụ mạng (phân hệ IMS).

Mạng truyền tải được IP hóa, công nghệ mạng truyền tải được sử dụng là IP. Các mạng riêng rẽ trước đây được kết hợp thành một mạng chung duy nhất. Nhờ

điều này mà nhà cung cấp dịch vụ mới có thể cung cấp dịch vụ đa phương tiện kết hợp cả tất cả các loại hình truyền thông thời gian thực như thoại, video, audio, ảnh động. .. với loại hình truyền thông dữ liệu.


Hinh 1. 2 Kiến trúc mạng NGN

1.2 Phân hệ IMS trong kiến trúc NGN

1.2.1 Tổng quan IMS

Hệ thống con đa phương tiện IP (IMS) là phần mạng được xây dựng bổ sung cho các mạng hiện tại nhằm thực hiện nhiệm vụ hội tụ mạng và cung cấp dịch vụ đa phương tiện cho khách hàng đầu cuối.

IMS là một phần của kiến trúc mạng thế hệ kế tiếp được cấu thành và phát triển bởi tổ chức 3GPP và 3GPP2 để hỗ trợ truyền thông đa phương tiện hội tụ giữa thoại, video, audio với dữ liệu và hội tụ truy nhập giữa 2G, 3G và 4G với mạng không dây.

IMS được thiết kế dựa trên SIP cho phép truyền bất kì phương tiện truyền thông nào như thoại, video hay dữ liệu qua bất kì mạng nào.

Phân hệ mạng lõi đa phương tiện IP bao gồm tất cả các thành phần mạng lõi (CN) để cung cấp các dịch vụ đa phương tiện IP. Các thành phần này bao gồm tất cả các thành phần liên quan đến mạng báo hiệu và mạng mang như đã xác định ở 3GPP TS 23. 002: "Network Architecture". Dịch vụ đa phương tiện IP được dựa trên khả năng điều khiển phiên, các mạng mang đa phương tiện, các tiện ích của miền chuyển mạch gói (PS) do IETF xác định.

Để các đầu cuối đường dây có thể truy nhập độc lập với vận hành và bảo dưỡng qua mạng Internet, phân hệ đa phương tiện IP đã cố gắng tương thích với các chuẩn IETF (chuẩn Internet). Trong một số trường hợp là lấy chuẩn giao thức của IETF do đó các giao diện này tương thích hợp lý với các chuẩn Internet ví dụ như giao thức SIP. .

Phân hệ mạng lõi đa phương tiện IP cho phép các nhà vận hành mạng di động mặt đất PLMN sẵn sàng phục vụ các dịch vụ đa phương tiện cho khách hàng của họ bằng cách xây dựng lên các ứng dụng, các dịch vụ với các giao thức Internet. Ở đây không có mục đích là để chuẩn hóa các dịch vụ trong phạn vi của phân hệ IM CN, mà mục đích chính là để các dịch vụ sẽ được phát triển do các nhà khai thác mạng PLMN và hiệp hội các nhà cung cấp thứ ba khác bao gồm cả không gian Internet đang sử dụng và phân hệ IM CN. Phân hệ IM CN có thể cho phép hội tụ để truy nhập thoại, hình ảnh, video, bản tin, dữ liệu và web dựa trên các công nghệ cho người dùng đầu cuối không dây, và có thể phối hợp sự phát triển về Internet với sự phát triển của truyền thông di động.


Giải pháp cuối cùng để có thể hỗ trợ các ứng dụng đa phương tiện IP gồm có các đầu cuối, mạng truy nhập vô tuyến GERAN hoặc UTRAN, mạng lõi GPRS tiên tiến, và các thành phần chức năng đặc biệt của phân hệ IM CN được mô tả trong đồ án này.

Sự khác biệt của IMS với kiến trúc mạng truyền thống là lớp ứng dụng và chuyển mạch rất gần với mạng truy nhâp, với kiến trúc này nó có thể áp dụng cho bất kì mạng truy nhập nào như 3G, Wifi, DSL, cable …

Các nhà cung cấp dịch vụ viễn thông đang chuyển dịch vụ thoại truyền thống sang VoIP để tối ưu cho giá thành đầu tư và giá thành dịch vụ. Tuy nhiên nếu chỉ chuyển sang mỗi mạng VoIP thì vẫn không đủ để giải quyết hết những lo âu về giá thành đầu tư, giá cước thu nhập và còn phải tăng nhiều chi phí mới. Khi dịch vụ thoại chuyển sang mạng IP, nó sẽ trở thành một phần của bộ các dịch vụ truyền thông hướng kết nối đa phương tiện thời gian thực chạy trên mạng IP và cùng chia sẽ một sự sắp xếp client-server chung như dịch vụ tin khẩn, cuộc gọi khẩn, hội nghị mạng và các dịch vụ VoIP, 3G… Thêm vào đó để VoIP có thể hỗ trợ lớp các dịch vụ mới như dich vụ đa phương tiện, dịch vụ tích hợp thì cần có một nền tảng chuyển tiếp dịch vụ mới. Nền tảng ở đây được chọn chính là IMS (IP Multimedia Subsystem) do 3GPP định nghĩa và phát triển. Giải pháp của họ là thoại thế hệ kế tiếp với hệ thống dữ liệu, phần mềm và các dịch vụ chuyên nghiệp, để đáp ứng mạng cần hoạt động cả mạng đường dây và mạng không dây.

Tuy nhiên để các thành phần này hội tụ với các lớp dịch vụ mới và đảm bảo QoS thì mạng phải có một kiến trúc dịch vụ phù hợp và có khả năng để hỗ trợ cho:

Tách lớp đầu cuối và truyền tải khỏi lớp điều khiển phiên. Quản lí phiên qua các dịch vụ thời gian thực Tương thích với dịch vụ mạng thông minh tiên tiến. Tương tác trong suốt với các mạng TDM trước đây. Hội tụ dịch vụ mạng không dây và dịch mạng đường dây. Pha trộn thoại với các dịch vụ thời gian thực. Thống nhất kĩ thuật để chia sẻ thông tin thộc tính người dùng qua dịch vụ Thống nhất kĩ thuật để nhận thực và quảng bá người dùng đầu cuối. Mở ra giao diện chuẩn và giao diện lập trình ứng dụng3GPP, ETSI và diễn đàn Parlay định nghĩa kiến trúc dịch vụ IMS để hỗ trợ các

yêu cầu đã nói đến trước đây qua phiên bản sau:


P-CSCF

CSCF MGCF HSS

Cx

M¹ng ®a ph ¬ng tiÖn IP

IMS-MGW

PSTN

Mn

Mb

Mg

Mm

MRFP

Mb

Mr

Mb

M¹ng b o hiÖu di ®éng kÕ thõa

CSCF

Mw

Mw

Gm

BGCF Mj Mi

BGCF

Mk Mk

C, D, Gc, Gr

UE

Mb

Mb

Mb

MRFC

SLF Dx

Mp

PSTN

PSTN

Gq Ph©n hÖ IM

Hinh 1. 3 Sơ đồ kiến trúc IMS của 3GPP

Và kiến trúc IMS mức cao khi nó được đặt trong mạng cùng với các giao diện tương ứng như sau:


UE

UEBSS GERAN

RNC UTRAN SGSN

GGSNP-CSCF I-CSCF S-CSCF

MGCF BGCF

MGW T-SGW

MRFC

MRFP

SLF

HSSM¹ng di ®éng kÕ thõa

Server øng dông

M¹ng IMS ngoµi M¹ng PSTN kÕ thõa

R-SGWHLR

Cx CxISC

MRF

Ms

Mr

MiMg

Mj

MwMw

Mm

Mm

Mk

Mp

Dx

Mh

Sh

Gi

Gc

Gr

D÷ liÖu vµ b¸o hiÖuB¸o hiÖu

Iu

Iu

Go

Hinh 1. 4 Kiến trúc IMS trong NGN

TÓM LẠI: IMS trong NGN thực hiện 3 chức năng chính: Hội tụ mạng di động và mạng cố định Hội tụ dịch vụ. Cung cấp dịch vụ truyền thông đa phương tiện trên nền gói IP Hội tụ đầu cuối.

1.2.2 Chức năng các phần tử trong IMS

CSCF có thể có một số vai trò khác nhau khi được sử dụng trong phân hệ đa phương tiện IP. Nó có thể hoạt động như một Proxy-CSCF (P-CSCF), như một Serving-CSCF (S-CSCF), và có thể như một Interrogating-CSCF (I-CSCF). Hình sau thể hiện kiến trúc CSCF với các giao diện của nó.


Hinh 1. 5 Kiến trúc các CSCF

1.2 2.1 P-CSCF (Proxy-CSCF)P-CSCF là điểm giao tiếp đầu tiên trong phân hệ IM CN. Địa chỉ của nó được

UE phát hiện sau khi tích cực thành công một PDP Context. P-CSCF xử lí như một người đại diện ví dụ tiếp nhận hay yêu cầu rồi phục vụ hoặc gửi chúng đi. P-CSCF sẽ không thay đổi các URI yêu cầu trong bản tin INVITE SIP. P-CSCF có thể cư xử như một UA nhưng nó có thể kết thúc độc lập với giao dịch SIP.

Chức năng điều khiển hợp đồng (PCF) là một thực thể logic của P-CSCF. P-CSCF thực hiện các chức năng sau:Chuyển tiếp yêu cầu đăng kí SIP nhận được từ UE tới một I-CSCF đã xác định

sử dụng tên miền mạng nhà khi được UE cung cấp. Chuyển tiếp một bản tin SIP nhận được từ UE tới một Server SIP (e.g S-CSCF)

với tên của P-CSCF đã nhận được từ thủ tục đăng kí. Gửi đáp ứng hoặc yêu cầu tới UE.


Phát hiện hoặc điều khiển các yêu cầu thiết lập phiên khẩn cấp như các thủ tục điều khiển lỗi.

Phát ra các CDRs. Bảo dưỡng hệ thống bảo mật giữa nó và UE Thực hiện nén hoặc giải nén các bản tin SIP Trao quyền quản lí mạng mang và quản lí QoS

1.2.2.2 I-CSCF (Interrogating-CSCF )I-CSCF là điểm giao tiếp trong phạm vi mạng của nhà khai thác cho tất cả các

kết nối tới thuê bao của nhà khai thác mạng, hoặc một thuê bao chuyển mạng hiện tại nằm trong phạm vi vùng phục vụ của nhà khai thác mạng. Trong một mạng có thể có nhiều I-CSCF.

I-CSCF thực hiện các chức năng sau: Đăng kí. Phân bổ một S-CSCF cho một người dùng thực hiện đăng kí SIP. Các luồng liên quan đến phiên và không liên quan đến phiên Định tuyến yêu cầu SIP nhận được từ mạng khác tới S-CSCF. Nhận địa chỉ của S-CSCF từ HSS. Gửi yêu cầu hoặc đáp ứng SIP tới S-CSCF đã xác định trong bước trên. Sử dụng tài nguyên và thanh toán. Phát ra các CDRs

Cổng liên mạng ẩn cấu hình: trong việc thực hiện các chức năng trên nhà khai thác có thể sử dụng chức năng cổng liên mạng ẩn cấu hình (THIG) trong I-CSCF hoặc kĩ thuật khác để ẩn cấu hình và khả năng của mạng khỏi các mạng ngoài. Khi một I-CSCF được chọn để ẩn cấu hình thì để truyền phiên qua các miền mạng khác nhau I-CSCF(THIG) sẽ gửi yêu cầu hoặc đáp ứng SIP tới I-CSCF(THIG) khác được phép vận hành và bảo dưỡng độc lập cấu hình.

1.2.2.3 S-CSCF (Serving-CSCF)S-CSCF thực hiện dịch vụ điều khiển phiên cho UE. Nó bảo dưỡng trạng thái

một phiên khi cần thiết để nhà khai thác mạng hỗ trợ các dịch vụ. Trong phạm vi mạng của nhà khai thác các S-CSCF khác nhau có thể có các chức năng khác nhau. S-CSCF thực hiện các chức năng như sau:


Đăng kí Có thể xử lí như một REGISTRAR, nó tiếp nhận yêu cầu đăng kí và thiết lập

thông tin khả dụng cho nó qua server vị trí (e.g HSS). Lưu lượng liên quan đến phiên và không liên quan đến phiên Điều khiển phiên cho các đầu cuối đã đăng kí. Nó sẽ từ chối truyền thông IMS

từ/ tới nhận dạng người dùng chung đã bị ngăn chặn khỏi IMS sau khi đã hoàn thành các thủ tục đăng kí.

Nó có thể xử lí như một Proxy Server, nó tiếp nhận các yêu cầu và phục vụ tại chỗ hoặc gửi chúng đi.

Nó có thể xử lí như một UA. Nó có thể kết thúc mà không phụ thuộc vào phiên giao dịch SIP.

Tương tác với mặt bằng dịch vụ để hỗ trợ các loại dịch vụ. Cung cấp cho các điểm đầu cuối bằng việc cung cấp các thông tin. Thay mặt cho một điểm đầu cuối khởi tạo (e.g thuê bao khởi tạo hoặc UE) Nhận địa chỉ của I-CSCF từ cơ sở dữ liệu để nhà khai thác mạng phục vụ thuê

bao đích từ tên người dùng đích (e.g Số điện thoại được quay hoặc URL SIP), khi thuê bao đích là khách từ một nhà khai thác mạng khác gửi yêu cầu hoặc đáp ứng SIP tới I-CSCF đó. Khi tên của thuê bao đích (số điện thoại được quay hoặc URL SIP) và thuê bao khởi tạo là khách của cùng một nhà khai thác mạng gửi yêu cầu hoặc đáp ứng SIP tới một I-CSCF trong phạm vi mạng của nhà khai thác. Phụ thuộc vào chính sách của nhà khai thác mà yêu cầu hoặc đáp ứng SIP gửi tới server SIP khác đặt trong phạm vi một miền ISP bên ngoài phân hệ IM CN.

Gửi yêu cầu hoặc đáp ứng SIP tới BGCF để định tuyến cuộc gọi tới miền PSTN hoặc miền chuyển mạch kênh.

Thay mặt điểm đầu cuối đích (thuê bao kết cuối hoặc UE) Gửi đáp ứng hoặc yêu cầu SIP tới một P-CSCF cho thủ tục MT tới một thuê bao

nhà trong phạm vi mạng nhà, hoặc cho một thuê bao chuyển mạng trong phạm vi mạng khách mà ở đó mạng nhà không có một I-CSCF trong tuyến.

Gửi đáp ứng hoặc yêu cầu SIP tới một I-CSCF trong thủ tục MT cho thuê bao chuyển mạng trong phạm vi một mạng khách mà ở đó mạng nhà không có I-CSCF trong tuyến này.

Gửi đáp ứng hoặc yêu cầu SIP tới một BGCF để định tuyến cuộc gọi tới PSTN hoặc miền chuyển mạch kênh.


Sử dụng tài nguyên và thanh toán Phát ra các CDRs

1.2.2.4 BGCF (Breakout Gateway Control Function)Chức năng điều khiển cổng chuyển mạng (BGCF) lựa chọn mạng PSTN hoặc

mạng chuyển mạch kênh (CSN) mà lưu lượng sẽ được định tuyến sang. Nếu BGCF xác định được rằng lưu lượng chuyển mạng đó sẽ tới mạng PSTN hay CSN nằm trong cùng mạng với BGCF thì nó sẽ lựa chọn một MGCF để đáp ứng cho liên mạng với PSTN hay CSN. Nếu lưu lượng chuyển sang mạng không nằm cùng với BGCF thì BGCF sẽ gửi báo hiệu phiên này tới BGCF đang quản lí mạng đích đó.

BGCF thực hiện các chức năng như sau: Nhận yêu cầu từ S-CSCF để lựa chọn một điểm chuyển lưu lượng phù hợp sang

PSTN hay CSN Lựa chọn mạng đang tương tác với PSTN hay CSN. Nếu như sự tương tác ở

trong một mạng khác thì BGCF sẽ gửi báo hiệu SIP tới BGCF của mạng đó. Nếu như sự tương tác nằm trong một mạng khác và nhà khai thác yêu cầu ẩn cấu hình mạng đó thì BGCF gửi báo hiệu SIP thông qua một I-CSCF(THIG) về phía BGCF của mạng đó.

Lựa chọn MGCF trong mạng đang tương tác với PSTN hoặc CSN và gửi báo hiệu SIP tới MGCF đó. Điều này không thể sử dụng khi tương tác nằm trong một mạng khác. Đưa ra các CDRs BGCF có thể sử dụng thông tin nhận được từ các giao thức khác hoặc sử dụng thông tin quản lí khi lựa chọn mạng sẽ tương tác. 1.2.2.5 HSS (Home subscriber Server)

Đây là cơ sở dữ liệu chung cho tất cả các người dùng, nó chứa cả HLR trong thể thức mạng GPRS. Nó chịu trách nhiệm lưu trữ danh sách các đặc điểm và thuộc tính dịch vụ của người dùng đầu cuối. Danh sách này được sử dụng để kiểm tra vị trí và các biện pháp truy nhập thuê bao. Nó cung cấp thông tin thuộc tính người dùng một cách trực tiếp hoặc thông qua các server. Thuộc tính thuê bao lưu trữ gồm: nhận dạng người dùng, dịch vụ đã thuê bao, thông tin trao quyền. HSS chứa các chức năng đa phương tiện IP để truyền tải thông tin tới các thực thể thích hợp trong mạng lõi để thiết lập cuộc gọi/ phiên, an ninh, trao quyền vv. Nó cũng truy nhập vào các server nhận thực như AUC, AAA. 1.2.2.6 MGCF (Media Gateway Control Function)

Thành phần này là điểm kết cuối cho PSTN/ PLMN cho một mạng xác định.


MGCF thực hiện các chức năng sau: Điều khiển trạng thái cuộc gọi gắn liền với điều khiển kết nối cho các kênh

phương tiện trong một MGW Truyền thông với CSCF MGCF lựa chọn CSCF phụ thuộc vào số định tuyến cho các cuộc gọi lối vào từ

các mạng kế thừa Thực hiện chuyển đổi giao thức giữa mạng kế thừa (ví dụ ISUP, R1/ R2 vv) và

các giao thức điều khiển cuộc gọi mạng R00 Giải sử MGCF nhận được thông tin ngoài băng thì nó có thể chuyển tiếp thông

tin này tới CSCF/ MGW 1.2.2.7 MRF (Multimedia resource function)

Kiến trúc liên quan đến chức năng tài nguyên đa phương tiện (MRF) được thể hiện trong hình như sau:

Hinh 1. 6 Kiến trúc MRF

MRF được phân tách thành bộ điều khiển chức năng tài nguyên đa phương tiện MRFC và bộ xử lí chức năng tài nguyên đa phương tiện MRFP như hình vẽ trên thể hiện.

Nhiệm vụ của của MRFC như sau: Điều khiển tài nguyên phương tiện trong MRFP Dịch thông tin đến từ AS và S-CSCF (Ví dụ nhận dạng phiên) để điều khiển

MRFP một cách phù hợp


Nhiệm vụ của MRFP như sau: Điều khiển phần mang giữa MRFP và GGSN Cung cấp tài nguyên để MRFC điều khiển Trộn các luồng phương tiện lối vào Tài nguyên luồng phương tiện Xử lí luồng phương tiện

1.2.2.8 IMS-MGW (IP multimedia sbsystem-Media gateway function) Một IMS-MGW có thể kết thúc các kênh mang từ mạng chuyển mạch kênh và

các luồng phương tiện từ mạng chuyển mạch gói (ví dụ dòng RTP trong mạng IP). IMS-MGW có thể hỗ trợ chuyển đổi phương tiện điều khiển mang và xử lí tải trọng (ví dụ mã hóa, triệt vọng, cầu hội nghị). Nó có thể:

- Tương tác với MRCF để điều khiển tài nguyên- Tự nó điều khiển tài nguyên như triệt tiếng vọng…- Có thể cần phải mã hóaIMS-MGW sẽ được cung cấp tài nguyên cần thiết để hỗ trợ các phương tiện

truyền tải UMTS/ GSM. Hơn nữa IMS-MGW còn phải bổ sung thêm nhiều bộ mã hóa và các giao thức khung và hỗ trợ các chức năng đặc tả di động. 1.2.2.9 SGW (Signalling gateway function)

Chức năng cổng báo hiệu được sử dụng để kết nối các mạng báo hiệu khác nhau ví dụ mạng báo hiệu SCTP/ IP và mạng báo hiệu SS7. Chức năng cổng báo hiệu có thể triển khai như một thực thể đứng một mình hoặc bên trong môj thực thể khác. Các luồng phiên trong đặc tả này không thể hiện SGW nhưng khi làm việc với PSTN hay miền chuyển mạch kênh thì cần có một SGW để chuyển đổi truyền tải báo hiệu. SGW được triển khai như hai node logic sau: Cổng báo hiệu chuyển mạng (R-SGW)

Vai trò của R-SGW liên quan đến chuyển mạng từ/ tới miền chuyển mạch kênh 2G/ R99 và miền GPRS tới/ từ miền dịch vụ thoại MUTS R00 và miền GPRS UMTS. Để chuyển mạng đúng cách R-SGW thực hiện chuyển đổi báo hiệu tại lớp transport Cổng báo hiệu truyền tải T-SGW (Transport Singnalling Gateway)

Thành phần này trong mạng R4/5 là các điểm kết cuối PSTN/ PLMN trong một mạng xác định. Nó ánh xạ báo hiệu cuộc gọi từ/ tới PSTN/ PLMN lên mạng mang IP và gửi nó từ/ tới MGCF.


1.2.3 Các giao diện trong IMS

Để các loại dịch vụ đa phương tiện được chuyển qua miền chuyển mạch gói (PS) trong phạm vi kiến trúc IMS thì một giao thức điều khiển phiên đơn cần phải được sử dụng giữa thiết bị người dùng (UE) và CSCF qua giao diện Gm.

Các giao thức được sử dụng trên giao diện Gm giữa UE và CSCF trong kiến trúc này sẽ dựa trên SIP.

Giao thức điều khiển một phiên đơn được sử dụng để điều khiển phiên giữa các giao diện như sau:

Giữa MGCF và CSCF là giao diện Mg Giữa các CSCF là giao diện Mw Giữa một CSCF và mạng IP bên ngoài là Mm Giữa CSCF và BGCF là giao diện Mi Giữa BGCF và MGCF là giao diện Mj Giữa BGCF và BGCF là giao diện Mk Giữa một CSCF và một MRCF là giao diện Mr

Giao thức điều khiển phiên được sử dụng trên các giao diện Mg, Mw, Mm, Mi, Mj, Mk, sẽ dựa trên SIP.

Báo hiệu SIP tương tác giữa các phần tử mạng lõi của IMS và có thể khác so với báo hiệu SIP giữa UE và CSCF.

SIP được 3GPP lựa chọn làm giao thức báo hiệu trong phần lõi IMS còn trên các giao diện giữa phần lõi IMS và các phần tử ngoài không được chuẩn hóa, 3GPP chỉ khuyến cáo sử dụng các giao thức H.248 và DIAMETER.

Để cấu hình mạng độc lập thì mạng phải có khả năng ẩn cấu hình khỏi các nhà khai thác mạng khác. Để mạng có thể hạn chế các luồng thông tin sau không được chuyển ra ngoài khỏi mạng của nhà khai thác: Số lượng chính xác các S-CSCF, các khả năng của các S-CSCF hoặc các khả năng của mạng.

Để hạn chế truy nhập từ các mạng bên ngoài, giải pháp báo hiệu cũng sẽ cho phép nhà khai thác mạng hạn chế truy nhập từ các mạng bên ngoài (mức ứng dụng)

Với truy nhập HSS, nhà khai thác mạng cũng có thể điều khiển truy nhập tới HSS

Đồ án tốt nghiệp đại học Chương II: Nhận thực trao quyền và thanh toán trong IMS

CHƯƠNG II: NHÂN THỰC TRAO QUYỀN VÀ THANH TOAN TRONG IMS

2.1 Giao thức Diameter

Giao thức Diameter được xác định như một giao thức cơ sở của bộ các ứng dụng Diameter bổ xung chức năng giao thức cơ sở. Giao thức cơ sở chứa chức năng cơ bản và được thực thi trong các nút Diameter, tính độc lập của các ứng dụng đặc biệt này. Các ứng dụng được mở rộng từ các chức năng cơ sở được điều chỉnh cho sử dụng đặc biệt của Diameter trong môi trường đặc biệt. Chẳng hạn, Có một ứng dụng được điều chỉnh cho cấu hình máy chủ truy nhập mạng như cho Ipv4 di động, cho điều khiển thẻ và thậm chí cho SIP. Các ứng dụng mới được phát triển như mở rộng vì các ứng dụng mói được phát triển khi yêu cầu. Hình 2.1 mô tả mối quan hệ giữa giao thức cơ sở Diameter và một số ứng dụng.

Hinh 2. 1 Giao thức cơ sở Diameter và các ứng dụng


Diameter chạy trên giao thức truyền tải tin cậy mà cung cấp điều khiển tranh chấp ( ví dụ TCP, SCTP). Đặc biệt, Diameter không chạy trên UDP. Không giống như RADIUS, bản tin Diameter tổn thất được truyền lại tại mỗi chặng. Diameter cung cấp một bản tin mức ứng dụng để diều khiển trạng thái của các kết nối và cho phép khôi phục trong trường hợp lỗi. Diameter cũng cho phép bản tin thanh toán để định tuyến đến các máy chủ khác nhau như các bản tin xác thực/phân quyền ( đây là trường hợp thực tế trong IMS)

Giao thức cơ sở Diameter xác định thực thể chức năng khác nhau cho mục đích thực hiện các chức năng AAA. Dưới đây là các thực thể.

Diameter client: một thực thể chức năng, thường đặt tại biên của mạng thực hiện diều khiển truy nhập. Ví dụ của Diameter client là máy chủ truy nhập mạng và trong IP di động, phương tiện di động.

Diameter server: một thực thể chức năng điều khiển yêu cầu xác thực, phân quyền, và thanh toán cho cho các lĩnh vực đặc biệt.

Proxy: một thực thể chức năng, bổ xung để chuyển tiếp các bản tin diameter, đưa ra quyết định liên quan đến sử dụng và cung cấp tài nguyên. Một proxy phải điều chỉnh các bản tin để thực hiện quyết định chính sách như điều khiển sử dụng tài nguyên, điều khiển nhận và cung cấp.

Relay: môt thực thể chức năng mà chuyển tiếp các bản tin Diameter, dựa vào thông tin định tuyến liên quan và các thực thể bảng định tuyến. Một Relay thương là trong suốt. Nó có thể điều chỉnh các bản tin Diameter chỉ bằng cách chèn hoặc xóa đi dữ liệu định tuyến liên quan nhưng không điều chỉnh dữ liệu khác.

Redirect agent: một thực thể chức năng xem như từ khách đến các máy chủ và cho phép chúng truyền thông trực tiếp.

Translation agent: một thực thể chức năng mà thực hiện phiên dịch giữa Diameter và các giao thức AAA khác như RADIUS.

Diameter node: một thực thể chức năng mà thực thi giao thức diameter và đóng vai trò như diameter client, diameter server, relay, redirect agent hoặc translation agent.

Diameter là một giao thức ngang hàng khác với giao thức Client/server. Có nghĩa là, không giống với các giao thức cho phép mô hình client/server, trong Diameter bất cứ một hàng nào có thể gửi yêu cầu một cách không đồng bộ đến hàng khác. Chú ý rằng, không giống như giao thức client/server, một Diameter client không là thực thể chức


năng mà gửi một trả lời đến yêu cầu. Thay vào đó, Diameter client là thực thể chức năng điều khiển truy nhập, trong đó một Diameter server là thực thể chức năng thực hiện xác thực và phân quyền. Trong Diameter, cả Diameter client và Diameter server có thể gửi cũng như trả lời các yêu cầu.

Bản tin diameter cũng là yêu cầu hoặc trả lời. Một yêu cầu được trả lời bằng một trả lời đơn. Trừ môt số trường hợp, các yêu cầu Diameter luôn luôn được trả lời vì nơi gửi yêu cầu luôn nhận thông tin chính xác về yêu cầu và, trong trường hợp lỗi phía thu có thể dễ dàng khôi phục. Diameter là một giao thức mã hóa nhị phân.

2.1.1 Các phiên Diameter

Chúng ta đã dùng thuật ngữ phiên (session) trong Context của SIP/SDP và với nghĩa là phiên đa phương tiện. Theo SDP (RFC 2327(115) ), một phiên đa phương tiện là : ” một tập hợp phía phát và thu đa phương tiện và các luồng dữ liệu từ phía phát đến phía thu. Một ví dụ của phiên đa phương tiện là hội nghị đa phương tiện.”

Tiêu biểu, một phiên đa phương tiện trong SIP được định giới bởi chuyển giao INVITE va BYE. Diameter cũng giới thiệu cùng một thuật ngữ với một nghĩa rộng hơn và phải cận thận tránh sự rối loạn giữa cả hai thuật ngữ. Dựa theo giao thức cơ sỏ Diameter (RFC 3588) một phiên Diameter là : “một tiến triển liên quan của một sự kiện dành cho hoạt động đặc biệt “

Chẳng hạn, trong Context của một người sử dụng quay đến một máy chủ truy nhập đường truyền một phiên bao gồm tất cả các bản tin Diameter được trao đổi giữa máy chủ truy nhập đường truyền và Diameter server từ thời điểm người sử dụng quay số đến khi kết nối ngắt. Trong trường hợp IMS một phiên Diameter có thể bao gồm tất cả bản tin được trao đổi giữa S-CSCF (đóng vai trò như một Diameter client) và HSS ( đóng vai trò như Diameter server) từ thời điểm người sử dụng đăng kí trong IMS đến khi người dùng không còn đăng kí.

Khi chúng ta dùng thuật ngữ Phiên trong Context của Diameter chúng ta xem như Phiên Diameter như là một phiên đa phương tiện.

2.1.2 Dạng của một bản tin Diameter

Một bản tin Diameter bao gồm tiêu đề 20 octet và một số AVP (attribute value pair). Chiều dài của phần tiêu đề là cố định, nó luôn luôn có trong các bản tin Diameter. Số AVPs là thay đổi, phụ thuộc vào bản tin Diameter thực tế. Một AVP là một khối dữ liệu ( thường xác thực, phân quyền hoặc thanh toán ).


Hinh 2. 2 Dạng của bản tin DiameterPhần tiêu đề được chia thành các trường. Theo hình 2.2 một tiêu đề Diameter bắt

đầu vói trường phiên bản (version). Tại thời điểm này chỉ có phiên bản 1. Trường độ dài bản tin (Length) chứa chiều dài của bản tin Diameter bao gồm cả phần tiều đề và các AVP trong tiêu đề Diameter.

Trường cờ lệnh (Command Flag) chỉ ra: Bản tin là yêu cầu hay trả lời; Bản tin là ủy nhiệm hay không Bản tin chứa một lỗi giao thức tương ứng vói dạng của một bản tin Diameter hay

không Bản tin là bản tin được phát lại hay không

Trường mã lệnh (Command Code) xác định lện thực ( ví dụ yêu cầu hay trả lời). Các bản tin yêu cầu và trả lời chia sẻ một không gian địa chỉ mã lệnh giống nhau. Cờ trình bày trong trường mã lệnh chỉ ra bản tin là yêu cầu (request) hay trả lời (anwser).


Trường ID ứng dụng ( Application-ID) xác định ứng dụng Diameter để truyền bản tin. Chẳng hạn, trường ID có thể xác định ứng như giao thức cơ sở Diameter, ứng dụng máy chủ truy cập mạng, ứng dụng Ipv4 di dộng hoặc ứng dụng Diameter khác.

Trường nhận dạng chặng – chặng( Hop by hop identifier ) chứa một giá trị mà mỗi chặng thiết lập khi gửi một yêu cầu. Trả lời có cùng số nhận dạng chặng vì một nút Diameter có thể dễ dàng liên hệ trả lời với yêu cầu tương ứng. Mỗi nút Diameter đối với một yêu cầu Diameter thay đổi theo giá trị của trường nhận dạng chặng-chặng ( hop by hop ).

Phía gửi yêu cầu thiết lập giá trị của trường nhận dạng đầu cuối – đầu cuối là một giá trị tĩnh không thay đổi tại mỗi nút khi nút Diameter ủy nhiệm yêu cầu. Cùng vói số nhận dạng host bộ nhận dạng đầu cuối đầu cuối được sử dụng để phát hiện các yêu cầu trùng lặp. Nút Diameter tạo ra một câu trả lời giữ cùng giá trị tìm thấy trong yêu cầu.

2.1.3 Cặp giá trị thuộc tính AVP

Các bản tin Diameter giống như bản tin RADIUS truyền tải một tập hợp của các cặp giá trị thuộc tính (AVPs). Một AVP là một khối dữ liệu. hình 2.6 mô tả cấu trúc của một AVP. Mỗi AVP chứa một mã AVP, cờ, chiều dài AVP, một ID sản xuất tùy chọn, và Dữ liệu.

Hinh 2. 3 Cấu trúc của AVPMã AVP kết hợp vói trường ID sản xuất (vendor-ID) xác định duy nhất thuộc

tính. Sự vắng mặt của trường ID hoặc trường ID với một giá trị là 0 chỉ ra AVP tiêu


chuẩn trong một đặc tả của IETF. Các số mã AVP nằm trong dải từ 1 đến 255 xác định thuộc tính từ hoặc đã định nghĩa bởi RADIUS. 256 số AVP và cao hơn xác định thuộc tính riêng của Diameter.

Trường cờ chỉ rõ: Yêu cầu mã hóa để đảm bảo bảo mật đầu cuối – đầu cuối; Hỗ trợ cho AVP là bắt buộc hoặc tùy chọn. Nếu phía phát xác định hỗ trợ cho

AVP là bắt buộc và phía thu không hiểu AVP thì yêu cầu Diameter bị từ chối;Trường vendor-ID có thể có hoặc không.Trường chiều dài AVP xác định độ dài AVP bao gồm mã AVP, chiều dài AVP,

cờ, Vendor-ID (nếu có) và trường dữ liệu.Trường dữ liệu chứa dữ liệu riêng đối vói thuộc tính. Trường có chiều dài là 0

hoặc nhiều octet. Chiều dài dữ liệu bắt nguồn từ trường chiều dài AVP.Giao thức cơ sở Diameter xác định một số dạng của trường dữ liệu: Octetstring,

interger32, interger64, unsigned32, ungisn64, Float32, Float64,và Grouped. Diameter cung cấp các ứng dụng bắt nguồn từ các dạng của AVP. Giao thức cơ sở

đã định nghĩa một số loại AVP, vấn đề quan trong nhất của AVP như sau. Địa chỉ được chuyển thành địa chỉ IPv4 hoặc IPv6 Thời gian (time) để trình bày ngày và giờ UTF8String để trình bày sâu kí tự mã hóa UTF-8. DiameterIdentity để chuyển tên miền tiêu chuẩn đầy đủ của nút Diameter. DiameterURI để chuyển đổi một AAA hoặc AAAS URI. Enumerated, một giá trị thuộc về số thể hiện vài ngữ nghĩa.

2.1.4 AAA và AAA URIs

Giao thức AAA có thể dùng aaa hoặc aaas URI để xác định tài nguyên AAA. Aaas URI chỉ rõ bảo mật truyền tải được sử dụng, Cấu trúc của URIs

“ aaa :// “ FQDN [ port ] [transport ] [protocol]“aaas:// “ FQDN [port ] [transprot ] [protocol ]

Port = “:”1*DIGITTransport = “;transport=”transport-protocolProtocol = “;protoco=” aaa-protocolTransport-protocol = { “tcp”/”sctp”/”udp”}


Aaa-protocol ={“diameter”/ “radius”/ “taccacs +”}

Trong đó FQDN là tên miên tiêu chuẩn đầy đủ. URIs có thể thêm số cổng tùy chọn, một giao thức truyền tải tùy chọn, hoặc một giao thức tùy chọn để truy nhập tài nguyên AAA. Nếu số cổng không được biểu diễn cổng Diameter ngầm định (3868) được giả định. Nếu tham số giao thức không được biểu điễn, giao thức SCTP được sử dụng. Nếu tham số giao thức không được biểu diễn, Diameter được sử dụng. chúng ta cần chú ý rằng aaa và aaas URI có thể thích nghi Diameter, RADIUS, và các giao thức khác.

Vài ví dụ của aaa và aaas URIs:aaa:// server.homel.netaaas:// server.homel.netaaa:// server.homel.net:8868aaa:// server.homel.net;transport=tcp,protocol=diameter

2.1.5 Các lệnh cơ sở của Diameter

Command-name Abbreviation Command code

Abort-Sessionnn-Request ASR 274

Abort-Session-Answer ASA 274

Accounting-Request ACR 271

Accouting-Answer ACA 271

Capabilities-Exchange-Request CER 275

Capabilities-Exchange-Answer CEA 275

Device-Watchdog-Request DWR 280

Device-Watchdog-Answer DWA 280

Disconnect-Peer-Request DPR 282

Disconnect-Peer-Answer DPA 282

Re-Auth-Request RAR 258

Re-Auth-Answer RAA 258

Session-Termination-Request STR 275

Session-Termination-Answer STA 275


Bảng 2. 1 Các lệnh cơ sở Diameter

Chúng ta đã biết các bản tin Diameter yêu cầu hoặc trả lời. Một yêu cầu và bản tin trả lời tương ứng được xác định bởi một mã lệnh chung trong phần tiêu đề Diameter. Mã lệnh là một số chỉ rõ hành động của Diameter server cần thực hiện. Khi một yêu cầu và trả lời tương ứng của nó dùng chung không gian địa chỉ mã lệnh, chúng ta hướng đến trường cờ lệnh (command-flag) để tìm ra lệnh nào là yêu cầu hoặc trả lời.

Giao thức cơ sở Diameter (RFC 3588) xác định một số mã lệnh ban đầu. Một ứng dụng có thể mở rộng các lệnh cơ bản đó và thêm ứng dụng mới-các lệnh riêng. Bảng 2.1 chỉ ra tập hợp trả lời và yêu cầu ban đầu được định nghĩa trong giao thức cơ sở Diameter.

Thông thường, mỗi bản tin được viết tắt từ tên nguyên thủy của nó. Chẳng hạn, bản tin Abort-Session-Request (hủy bỏ phiên yêu cầu và trả lời ) được xem như bản tin ASR.

Hủy bỏ phiên yêu cầu và trả lời (ASR, ASA)Hủy bỏ phiên là rất cần thiết đối với một Diameter server để dừng dịch vụ cung

cấp đối với người sử dụng bởi vì có nhiều nguyên nhân mới không thể dự đoán trước khi phiên được trao quyền.

Khi một Diameter server quyết định hướng dẫn Diameter client dùng cung cấp dịch vụ, Diameter server gủi một bản tin yêu cầu hủy bỏ phiên (ASR) đến Diameter client. Diameter client báo cáo thi hành lệnh trong bản tin trả lời hủy bỏ phiên (ASA).

Bản tin yêu cầu và trả lời thanh toán (ACR, ACA)Một nút Diameter phải cần báo cáo sự kiện thanh toán đối với một Diameter

server mà cung cấp các dịch vụ thanh toán. Diameter cung cấp lệnh yêu cầu thanh toán (ACR) trong đó một Diameter client thông báo yêu cầu sử dụng dịch vụ đối với Diameter server. Câu lệnh bao gồm thông tin giúp cho Diameter server ghi lại thời điểm sự kiện bắt đầu hoặc kết thúc dịch vụ.

Yêu cầu và trả lời dung lượng trao đổi (CER, CEA)Bản tin Diameter đầu tiên mà các nút Diameter trao dổi khi kết nối truyền tải

được thiết lập là bản tin yêu cầu dung lượng trao đổi (CER) và bản tin trả lời dung lượng trao đổi (CEA). Bản tin mang nhận dạng của nút và khả năng của nó ( phiên bản giao thức, hỗ trợ ứng dụng Diameter, hỗ trợ cơ cấu bảo mật, …)

Yêu cầu và Trả lời ngắt kết nối ngang hàng (DPR, DPA)


Một nút Diameter thiết lập một kết nối truyền tải vói một nút Diameter ngang hàng mà muốn đóng kết nối truyền tải. trong trường hợp này nút Diameter gửi yêu cầu ngắt kết nối ngang hàng (DPR) đến nút ngang hàng để chỉ rõ ngắt kết nối giao thức truyền tải. Bản tin DPR chuyển ý nghĩa yêu cầu đến nút ngang hàng không tái thiết lập kết nối trừ khi nó là cần thiết.

Yêu cầu và trả lời xác thực lại (RAR, RAA)Tại bất cứ thời điểm nào, nhưng đặc biệt trong các phiên diễn ra trong thời gian

dài, Diameter server phải yêu cầu xác thực lại người sử dụng để xác nhận lại không có vấn đề xảy ra. Một Diameter server muốn xác thực lại người sử dụng gửi một bản tin yêu cầu tái xác thực đến một Diameter client. Client đáp ứng vói bản bản tin tái trao quyền lại.

Yêu cầu và trả lời kết thúc phiên (STR, STA)Một Diameter client báo cáo đến một Diameter server là có một người dùng

muốn dừng sử dụng dịch vụ bằng cách gủi bản tin yêu cầu kết thúc phiên (STR). Diameter server trả lời với bản tin trả lời kết thúc phiên (STA).

Chẳng hạn, nếu một máy chủ dial up báo cáo rằng một kết nối dial up đã ngắt, sau đó Diameter client gửi bản tin STR đến Diameter server.

2.2 Xác thực và trao quyền trong IMS

Hình 2.4 chỉ ra Kiến trúc của IMS cho thực hiện chức năng xác thực và phân quyền. Có 3 giao diện mà hoạt động xác thực và phân quyền sử dụng ( giao diện Cx, Dx, Sh )

Giao diện Cx được thiết lập giữa một máy chủ thuê bao nhà (HSS) và một I-CSCF hoặc S-CSCF. Khi có nhiều hơn một HSS hiện diện trong mạng nhà có 1 yêu cầu đối với một chức năng định vị thuê bao để giúp I-CSCF hoặc S-CSCF xác định HSS lữu trữ đối với một user nào. Giao diện Dx kết nối một I-CSCF hoặc S-CSCF đến một SLF chạy trong cấu hình đổi hướng Diameter.

Giao diện Sh thiết lập giữa một HSS và máy chủ ứng dụng SIP hoặc máy chủ dịch vụ OSA.

Trong tất cả các giao diện giao thức dùng giữa 2 nút bất kì là Diameter với một ứng dụng đặc thù IMS. Như một ứng dụng Diameter xác định các mã lệnh Diameter mới và các cặp giá trị thuộc tính mới (AVPs).


Hinh 2. 4 Xác thực và trao quyền trong IMS

2.3 Giao diện Cx và Dx

Giao diện Cx được thiết lập giữa một I-CSCF và một HSS hoặc giữa một S-CSCF và một HSS. Tương tự, Giao diện Dx thiết lập giữa một I-CSCF và một SLF hoăc giữa một S-CSCF và SLF. Sự khác nhau giữa hai giao diện đó là RLF thực hiện chức năng của tác nhân chuyển hướng trong Diameter trong đó HSS đóng vai trò như một máy chủ Diameter. Trong cả hai trường hợp, cả I-CSCF và S-CSCF đóng vai trò như Diameter client.

Trong các mạng có nhiều hơn một HSS, Diameter client ( S-CSCF, I-CSCF) cần liên lạc SLF để tìm ra một vài HSS trong mạng chứa thông tin người dùng để nhận dạng người sử dụng bằng bộ nhận dạng người dùng chung. Diameter điều khiển S-CSCF hoặc I-CSCF gửi bản tin giống nhau, trong đó bản tin được đánh địa chỉ đến SLF hoặc HSS. SLF đóng vai trò như một tác nhân bổ sung đổi hướng Diameter và chứa một bảng ánh xạ các số nhận dạng người dùng chung đến địa chỉ của HSS mà I-CSCF


hoặc S-CSCF cần để liên lạc. I-CSCF hoặc S-CSCF sau đó chuyển các bản tin Diameter được đánh địa chỉ đến HSS đó.

Bởi vì bản tin Diameter trên giao diện Cx và Dx là giống nhau, giao diện Dx có thể xem như trong suốt để mô tả sự tương tác trên giao diện Cx. Trong chương này chúng ta xem xet giao diện Cx và HSS nhưng mô tả này áp dụng một cách tương tự đối với giao diện Cx và SLF.

Chú ý rằng P-CSCF thi hành cả giao diện Cx hoặc Dx.Đối với người dùng đặc biệt I-CSCF và S-CSCF dùng giao diện Cx và Dx để

thực hiện các chức năng sau đây. Xác định một S-CSCF cấp phát với người dùng. Tải các vector xác thực của người dùng. Các vector được lưu trữ trong HSS. Cấp quyền người dùng trong mạng khách Ghi địa chỉ của S-CSCF trong HSS cấp phát cho người dùng. Thông báo HSS về trạng thái đăng kí của nhận dạng thuê bao. Tài từ HSS profile của người dùng bao gồm tiêu chí bộ lọc. Đẩy profile người dùng từ HSS đến S-CSCF khi profile người dùng thay đổi Cung cấp I-CSCF với thông tin cần thiết để chọn một S-CSCF.

Giao diện Cx và Dx thực thi một ứng dụng Diameter riêng được gọi là ứng dụng Diameter cho giao diện Cx. Ứng dụng này được xác định trong 3 GPP TS 29.288 và 3GPP TS 29.299. Ứng dụng Diameter cho giao diện Cx không được tiêu chuẩn bởi IETF nhưng IETF cũng đã cấp quyền cho ứng dụng này.

Ứng dụng Diameter cho giao diện Cx đóng vai trò là cơ sở của ứng dụng AAA chung cho máy chủ SIP.

2.3.1 Các mã lệnh được định nghĩa trong giao diện Cx

Như đề cập ở trên, I-CSCF và S-CSCF thực hiện một số các chức năng trên giao diện Cx. Để thực hiện các chức năng đó, ứng dụng Diameter cho giao diện Cx đã định nghĩa một số lệnh mới ( các yêu cầu và trả lời ). Bảng 2.2 liệt kê các lênh mới trong các ứng dụng Diameter cho giao diện Cx.

Command name Abbreviation Command code


User-Authorization-Request UAR 300

User-Authoriztion-Answer UAA 300

Server-Assignment-Answer SAR 301

Location-Info-Request SAA 301

Location-Info-Answer LIR 302

Multimedia-Auth-Request LIA 302

Multimedia-Auth-Answer MAR 303

Registration-Termination-Request MAA 303

Registration-Termination-Answer RTR 304

Push-Profile-Request RTA 304

Push-Profile-Answer PPR 305

Bang 2. 2 các mã lệnh trong giao diện Cx

2.3.1.1 Yêu cầu và trả lời xác thực người dùng (UAR, UAA)Một I-CSCF gửi một bản tin yêu cầu xác thực người dùng (UAR) khi I-CSCF

nhận một yêu cầu SIP REGISTER từ một đầu cuối IMS. Có một vài nguyên nhân I-CSCF gửi bản tin UAR Diameter đến HSS.

Trước tiên HSS lọc nhận dạng người dùng chung ( PUI ) chứa trong yêu cầu SIP REGISTER. Chẳng hạn, HSS xác định rằng bộ nhận dạng người dùng được cấp phát đến một thuê bao hợp pháp của mạng nhà và người dùng là không bị khóa ( do thiếu cước hoặc nhiều nguyên nhân khác ).

HSS cũng xác định mạng nhà có một thỏa thuận chuyển vùng với mạng mà trong đó P-CSCF đang hoạt động. Điều này cho phép mạng P-CSCF trao đổi bản tin cước với mạng nhà.

I-CSCF cũng cần xác định có một S-CSCF đã được cấp phát đến bộ nhận dạng người dùng chung chưa, trước khi I-CSCF chuyển yêu cầu SIP REGISTER đến S-CSCF đó. Nếu không có một S-CSCF cấp phát đến bộ nhận dạng người dùng chung, I-CSCF sẽ nhận một tập các yêu cầu dung lượng trong S-CSCF để I-CSCF có thể chọn một S-CSCF với dung lượng đó.

Khi I-CSCF nhận một yêu cầu SIP REGISTER (2) nó nhận bản tin UAR Diameter đến HSS (3). HSS gửi một bản tin trả lời (UAA) cấp quyền người dùng Diameter (4) và sau đó I-CSCF tiến hành quá trình đăng kí. Hoạt động cũng được lặp


lại trong (13) và (14) khi I-CSCF không giữ trạng thái giữa các phiên đăng kí đó. Hơn nữa. Do cơ chế cân bằng tải DNS I-CSCF nhận yêu cầu SIP REGISTER đầu tiên (2) có thể không giống I-CSCF nhận yêu cầu SIP REGISTER thứ hai (12).

HSS bao gồm một AVP mã kết quả trong bản tin AAA giúp I-CSCF xác định tiếp tục đăng kí hay từ chối. Trong trường hợp đăng kí được cấp quyền bởi bản tin UAA chứa AVPs giúp để xác định có một S-CSCF đã cấp phát đối với người dùng chưa hay I-CSCF phải chọn một S-CSCF mới.2.3.1.2 Yêu cầu và trả lời xác thực đa phương tiện ( MAR, MAA )

Khi S-CSCF nhận một yêu cầu SIP REGISTER khởi đầu, nó phải xác thực người dùng IMS. Tuy nhiên, Trong một đăng kí khởi đầu S-CSCF không có vector xác thực để xác thực người dùng. Các vector này được lưu trữ trong HSS. S-CSCF gửi một bản tin MAR Diameter đến HSS với mục đích truy lại vector xác thực. Hơn nữa, S-CSCF ghi SIP URI của nó trong dữ liệu liên quan người dùng trong HSS, để CSCF khác hoặc các AS có thể nhận URI của S-CSCF cấp phát đến người dùng đặc biệt đó bằng cách truy vấn HSS.2.3.1.3 Yêu cầu trả lời và gán máy chủ (SAR, SAA)

Khi S-CSCF xác thực người dùng ( thực tế, nhận dạng người dùng cá nhân ) nhận dạng người dùng chung được đăng kí và giới hạn đến một địa chỉ liên lạc. Tại thời điểm đó S-CSCF gửi bản tin SAR đến HSS với mục đích thông báo HSS rằng người dùng hiện tại đã đăng kí trong S-CSCF đó. S-CSCF cũng yêu cầu profile người dùng kết hợp với người dùng đó. HSS gắn profile người dùng trong bản tin SAA

S-CSCF cũng gửi một bản tin SAR đến HSS khi người dùng không còn đăng kí tại S-CSCF đó, để HSS nhận biết trạng thái đăng kí người dùng. S-CSCF có thể yêu cầu HSS tiếp tục là S-CSCF cấp phát cho người dùng, thậm chí khi người dùng là không đăng kí.. Giữ phân bố S-CSCF cho phép S-CSCF giữ thông tin profile người dùng. Đăng kí dãy con sẽ không yêu cầu tải thông tin từ HSS.2.3.1.4 Yêu cầu và trả lời thông tin cấp phát (LIR, LIA)

Một I-CSCF nhận một yêu cầu SIP mà không chứa một trường tiêu đề định tuyến đánh dấu chặng SIP kế tiếp (S-CSCF) cần tìm ra S-CSCF nào được cấp phát đến người dùng. Trong việc nhận yêu cầu SIP I-CSCF gửi một bản tin yêu cầu thông tin vị trí (LIR) đến HSS. HSS trả lời lại với một bản tin trả lời thông tin vị trí (LIA). Lệnh LIA chỉ rõ SIP URI của S-CSCF cấp phát đến người dùng hoặc, nếu không có S-CSCF cấp phát đến người dùng, sau đó HSS sẽ chứa một tập các khả năng được yêu cầu bởi S-


CSCF, để I-CSCF có thể chọn một S-CSCF đối với người dùng này (tương tự việc chọn lựa tiến hành trong suốt đăng kí ban đầu ).

Một I-CSCF nhận một yêu cầu SIP không chứa thông tin định tuyến gửi một bản tin LIR Diameter đến HSS. HSS trả lời với một bản tin LIA Diameter chứa địa chỉ của S-CSCF mà được cấp phát cho người dùng; vì thế, I-CSCF chuyển yêu cầu INVITE đến S-CSCF.2.3.1.5 Yêu cầu và trả lời kết thúc đăng kí (RTR, RTA)

Do hoạt động quản trị người điều khiển mạng nhà mong muốn tái đăng kí một hoặc nhiều số nhận dạng người dùng chung đã cấp phát cho một người dùng. Khi việc này xảy ra HSS gửi một bản tin yêu cầu kết thúc đăng kí (RTR) đến S-CSCF trong đó người dùng đã đăng kí.

Một HSS gửi một bản tin RTR đến S-CSCF với mục đích đăng kí lại một hoặc nhiều hơn số nhận dạng người dùng chung. S-CSCF liên lạc tất cả thuê bao có trạng thái đăng kí; trong trường hợp, P-CSCF và đầu cuối IMS. Trong ví dụ này cả P-CSCF và đầu cuối IMS được thuê bao đến người dùng có trạng thái đăng kí, vì S-CSCF thông báo P-CSCF và đầu cuối IMS .2.3.1.6 Yêu cầu và trả lời đẩy profile ( PPR, PPA)

HSS phải thay đổi profile người dùng tại bất cứ thời gian nào khi một dịch vụ mới là sẵn có đối với người dùng, hành động này thông thường thêm vào các đặc điểm lọc mới đến profile người dùng. Khi profile người dùng được cập nhật HSS gửi một bản sao của profile người dùng đã cập nhật..

2.3.2 AVPs định nghĩa trong các ứng dụng Diameter cho giao diện Cx

Ứng dụng Diameter cho giao diện Cx định nghĩa một số cặp giá trị thuộc tính.. Trường Vendor-ID của tất cả AVP đó được thiết lập giá trị 10415, xác định trong 3GPP.

AVP bộ định danh mạng khách chuyển một bộ định danh của mạng trong đó P-CSCF được đặt. Một I-CSCF ánh xạ trường tiêu đề ID mạng khách bao gồm

Trong một yêu cầu SIP REGISTER đến AVP bộ định danh mạng khách. Mạng nhà có thể trao quyền cho đầu cuối IMS để dùng một P-CSCF định vị trong mạng đó.

AVP bộ nhận dạng chung mang một một số nhận dạng người dùng chung (SIP URI hoặc TEL URI).

Server- name AVP chứa URI của nút chủ SIP ( ví dụ S-CSCF URI).


Máy chủ dung lượng là một AVP nhóm có mục đích chính là chuyển dung lượng yêu cầu của S-CSCF sẽ phục vụ người dùng. HSS chuyển dung lượng đó đến I-CSCF để I-CSCF có thể chọn một S-CSCF phù hợp cho người dùng. Vì đây là một nhóm các AVP nó chứa các AVP khác : Mandatory-Capability, Optional-Capability, and Server-name.

AVP khả năng bắt buộc chỉ rõ một khả năng để S-CSCF được chọn phải thực thi, trong đó khả năng tùy chọn chứa một khả năng mà S-CSCF có thể thực thi một cách tùy chọn. Cả hai AVP có thể lặp lại một số lần để cho phép một vài khả năng được biểu thị. Khả năng được biểu thị bằng số nguyên. Người vận hành mạng nhà gán một số ngữ nghĩa của khả năng đối mỗi số nguyên là một hành động chính xác vì giao diện Cx chỉ sử dụng trong mạng nhà. Chẳng hạn, khả năng của S-CSCF thực hiện gán mã Java đối với mỗi khả năng 1, khả năng của S-CSCF chạy mã SIP CGI được gán khả năng 2, vv…

S-CSCF chỉ ra cách xác thực vector nhận từ HSS đối với một người dùng đặc biệt trong SIP-number-Ahth-Item AVP. HSS cũng dùng AVP này để chỉ rõ bao nhiêu vector xác thực mà nó gửi đi.

SIP-Auth-Data-Item là một AVP nhóm chứa các AVP: SIP-Item-Number, SIP-Authentication-Scheme, SIP-Authenticate, SIP-Authorization, SIP-Authentication-Context, Confidentiality-Key, và Integrity-Key.

Khi một bản tin Diameter mang nhiều hơn một AVP SIP-Auth-Data-Item và S-CSCF phải xem xét để xử lý chúng, sau đó HSS bao gồm một số đoạn trong AVP SIP-Item- Number mà nó chứa trong mỗi AVP SIP-Auth-Data-Item.

AVP SIP-Authentication được sử dụng bởi HSS để gửi giá trị mà S-CSCF chèn trong trường tiêu đề SIP www-authenticate của đáp ứng không trao quyền. Khi người dùng được xác thực, đầu cuối IMS gửi một bản tin yêu cầu SIP chứa trường tiêu đề trao quyền. Giá trị của tiêu đề này không được gửi đến HSS trừ khi có một lỗi đồng bộ và trong trường hợp đó S-CSCF sao lưu tiêu đề bản tin trao quyền SIP sang AVP SIP-authentication.

Mặt khác, AVP Confidentiality-Key và Integrity-Key chứa các khóa mà P-CSCF cần để mã hóa/giải mã hoặc bảo vệ/kiểm tra bản tin SIP gửi đến hoặc từ đầu cuối IMS. HSS gửi các khóa đó đến S-CSCF trong các AVP được đề cập, S-CSCF chèn các khóa đó bằng các tham số trong trường tiêu đề SIP WWW-Authenticate và sau đó P-CSCF xóa chúng đi.


S-CSCF chỉ ra trong AVP Server-Asignmetn-Type nguyên nhân để S-CSCF liên lạc với HSS. Nguyên nhân có thể là: S-CSCF yêu cầu profile người dùng, người dùng đã đăng kí, đăng kí lại, hoặc xóa đăng kí; hết hạn đăng kí; xác thực lỗi hoặc hết han…

Khi HSS xóa đăng kí một người dùng, nó gửi thông tin đến S-CSCF trong một AVP Deregistration-Reason. Deregistration-Reason là một AVP nhóm chứa một AVP Reason-Code và AVP Reason-Info. AVP Reason-Code là một mã xác định nguyên nhân xóa đăng kí khởi đầu như kết thúc thuê bao IMS cố đinh hoặc bởi vì một S-CSCF mới được cấp phát đến người dùng. Reason-Info chứa một chuỗi kí tự văn bản có thể đọc được mô tả nguyên nhân xóa đăng kí.

Charging-Information là một AVP nhóm chuyển đến S-CSCF AAA URI của nút chức năng tính cước (ECF)và chức năng tổng hợp cước (CCF). AAA của nút cơ bản và thứ cấp gửi đến S-CSCF và nút sơ cấp được sử dụng trong trường hợp lỗi của nút cơ bản tương ứng. AVP chargin-information chứa các AVP sau:

Primary-Event-Charging-Function-Name Secondary-Event-Charging-Function-Name Primary-Charging-Collection-Function-Name Secondary-Charging-Collection-Function-Name

AVP User-Anthorization-Type chỉ ra loại trao quyền mà một I-CSCF yêu cầu trong một bản tin UAR. Giá trị có thể chỉ ra một đăng kí gốc hoặc đăng kí lại, xóa đáng kí, hoặc đăng kí và khả năng. I-CSCF dùng giá trị “ đăng kí và khả năng” khi S-CSCF hiện tại cấp phát cho người dùng là không thể đạt được và I-CSCF yêu cầu khả năng của S-CSCF để tạo một lựa chọn S-CSCF mới.

Trong một bản tin SAR S-CSCF có thể cũng xác định đến HSS là S-CSCF có profile người dùng không. S-CSCF 2.3.2.1 Việc sử dụng AVP hiện có

Bên cạnh các AVP mà 3GPP tạo ra để hỗ trợ ứng dụng Diameter cho giao diện Cx, các yêu cầu và trả lời của ứng dụng này cũng dùng các AVP hiện có định nghĩa trong giao thức cơ sở Diameter (RFC 3588 (60)). Các AVP quan trọng nhất mà 3GPP dùng được mô tả ở phần trước. AVP User-Name cũng quan trọng trong IMS luôn mang số nhận dạng người dùng cá nhân.


2.3.3 Profile người dùng

Profile người dùng, lưu trong HSS, chứa nhiều thông tin liên quan đến một người dụng đặc biệt. S-CSCF tải profile người dùng khi người dùng đăng kí lần đầu với S-CSCF. S-CSCF nhận profile người dùng trong một AVP User-Name bao gồm một bản tin Diameter SAA. Nếu profile người dùng thay đổi trong HSS trong khi người dùng đăng kí đến mạng, sau khi HSS gửi profile người dùng cập nhật trong AVP User-Data chứa trong bản tin Diameter PPR.

Hình 2.5 chỉ cấu trúc của Profile người dùng. Một Profile người dùng được giới hạn đến một nhận dạng người dùng cá nhân và một tập nhận dạng người dùng chung mà có liên hệ với số nhân dạng người dùng cá nhân.

Profile người dùng chứa phần lớn các profile dịch vụ. Mỗi profile dịch vụ xác định nhanh dịch vụ mà có thể áp dụng đến một tập của các nhận dạng người dùng chung. Profile dịch vụ chia thành 4 phần: một tâp hợp của một hoặc nhiều nhận dạng chung, một trao quyền dịch vụ mạng lõi ngẫu nhiêu, không có hoặc nhiều chỉ tiêu bộ lọc ban đầu, và không có hoặc nhiều chỉ tiêu bộ lọc dùng chung.

Nhận dạng chung bao gồm profile người dùng chứa nhận dạng người dùng chung liên kết với Profile dịch vụ. Profile dịch vụ được áp dụng đến tất cả nhận dạng liệt kê trong nhận dạng chung. Mỗi nhận dạng chung chứa một nhãn xác định nhận dạng người dùng chung bị cấm hay không. Một nhận dạng người dùng chung bị cấm có thể sử dụng cho mục đích đăng kí nhưng không cho bất kì lưu lượng SIP khác ( chẳng hạn như thiết lập một phiên ). Một nhận dạng chung chứa một SIP URI hoặc TEL URI.

Một profile người dùng cũng có thể chứa một trao quyền dịch vụ mạng lõi mà trong đó chứa nhận dạng profile đường truyền thuê bao. Nhận dạng profile đường truyền thuê bao chứa một giá trị xác định tập các tham số SDP mà người dùng được trao quyềnyêu cầu. Bộ nhận dạng dược lưu trong profile người dùng, là một giá trị số nguyên; Profile SDP thực sự lưu trong S-CSCF. S-CSCF dùng nhận dạng profile đường truyền thuê bao để áp dụng một profile SDP đặc biệt giúp S-CSCF để kiểm soát SDP trong các yêu cầu ban đầu của người dùng. Chẳng hạn, Một người dùng có thể được trao quyềndùng truyền hình. Trong trường hợp, nếu người dùng bắt đầu một phiên mà SDP chứa một luồng video S-CSCF sẽ từ chối phiên khi S-CSCF đánh giá SDP đối lập với profile đường truyền thuê bao.


Phần thứ 3 của thông tin lưu trong profile dich vụ là tập họp chỉ tiêu bộ lọc ban đầu. Các chỉ tiêu xác định yêu cầu SIP nào phải gặp máy chủ ứng dụng nào để có thể được cung cấp dịch vụ.

Hinh 2. 5 Cấu trúc của profile người dùng.Phần cuối cùng của profile dịch vụ là tiêu chuẩn bộ lọc ban đầu dùng chung. Đây

là một đặc điểm tùy chọn yêu cầu hỗ trợ bởi cả S-CSCF và HSS. Thông thường nhiều User trong một mạng có thể dùng chung một tập tiêu chuẩn bộ lọc ban đầu. Nó không tối ưu nếu ở bất cứ thời điểm nào có một người dùng đăng kí đến một S-CSCF, nó tải một tiêu chuẩn bộ lọc ban đầu mà đã được tải xuống trước đó. Tiêu chuẩn bộ lọc dùng chung cho phép tạo một cơ sở dữ liệu tiêu chuẩn bộ lọc ban đầu được dùng chung cho một tập hợp người dùng. Cơ sở dữ liệu được lưu trong cả S-CSCF và HSS. Mỗi tiêu chuẩn bộ lọc dùng chung được xác định bằng bộ nhận dạng duy nhất. Khi một profile dịch vụ của ngươi dùng chứa một hoặc nhiều hơn tiêu chuẩn bộ lọc ban đầu, chỉ bộ nhận dạng được tải đến S-CSCF; S-CSCF đã lưu trữ trước đó tiêu chuẩn bộ lọc ban đầu trong cơ sỏ dữ liệu bên trong của nó.

2.4 Giao diện Sh

Giao diện Sh được định nghĩa giữa một SIP AS hoặc một OSA-SCS và HSS. Nó cung cấp một nơi lưu trữ dữ liệu và chức năng tìm kiếm như một máy chủ ứng dụng tải


dữ liệu từ HSS hoặc máy chủ ứng dụng tải dữ liệu đến HSS. Các dữ liệu đó có thể là lệnh hoạt động dịch vụ hoặc tham số cấu hình áp dụng đối với người dùng và đối với một dịch vụ đặc biệt. Giao diện Sh cũng cung cấp dịch vụ thuê bao hoặc trả trước, để Á có thể thay đổi dữ liệu lưu trữ trong HSS. Khi dữ liệu thay đổi, HSS liên lạc với máy chủ ứng dụng.

Việc thực thi giao diện Sh là tùy chọn trong một máy chủ ứng dụng và phụ thuộc vào bản thân dịch vụ cung cấp bởi máy chủ ứng dụng. Vài dịch vụ yêu cầu tương tác với HSS, vài dịch vụ khác thì không.

Giao thức trên giao diện Sh là Diameter ( xác định trong RFC 3588 ) với bổ sung ứng dụng Diameter ( xác định trong 3GPP TS 29.328 ) và 3GPP TS 29.329. Ứng dụng này được biết đến như ứng dụng Diameter cho giao diện Sh. Đây là một ứng dụng Diameter riêng của nhà cung cấp trong đó 3GPP là nhà cung cấp, nó định nghĩa một mã lệnh mới và các AVP hỗ trợ chức năng yêu cầu trên giao diện Sh.

Dữ liêu người dùng trên giao diện Sh Giao diện Sh giới thiệu với thuật ngữ dữ liệu người dùng tham chiếu đến các loại dữ liệu đa dạng. Hầu hết bản tìn Diameter trên giao diện Sh hoạt động trên vài loại dữ liệu khác nhau. Dữ liệu người dùn trong giao diện Sh có thể xem như các loại dữ liệu dưới đây.

Dữ liệu nguồn: AS dùng HSS để lưu trữ dữ liệu trong suốt. Dữ liệu chỉ được hiểu bằng các máy chủ ứng dụng thực hiện dịch vụ. Dữ liệu là khác nhau từ người dùng đến người dùng và từ dịch vụ đến dịch vụ.

Các bộ xác nhận chung: danh sách của các bộ xác nhận người dùng công công cấp phát đến người dùng.

Trạng thái người dùng IMS: trạng thái đăng kí người dùng trong IMS. Có thể thực hiện đăng kí, xóa đăng kí, trạng thái chờ trong khi đang xác thực hoặc xóa đăng kí nhưng một S-CSCF được cấp phát dịch vụ nhanh cho các người dùng không đăng kí.

Tên S-CSCF : chứa địa chỉ của S-CSCF cấp phát cho người dùng.Tiêu chuẩn bộ lọc ban đầu: chứa thông tin nhanh cho một dịch vụ. Một máy

chủ ứng dụng có thể nhận tiêu chuẩn bộ lọc ban đầu để định tuyến các yêu cầu SIP đến máy chủ ứng dụng yêu cầu.

Thông tin vị trí : chứa ví trị của người dùng trong vùng chuyển mạch gói hoặc chuyển mạch kênh.

Trạng thái người dùng: chứa trạng thái người dùng trong vùng chuyển mạch kênh hoặc chuyển mạch gói.

Thông tin tính cước: chứa địa chỉ của chức năng tính cước


2.4.1 Các mã lệnh định nghía trong ứng dụng diameter cho giao diện Sh

Giao diện Sh định nghĩa 8 bản tin diameter để hỗ trợ chức năng yêu cầu của giao diện. Bảng 2.3 liệt kê các lênh mới định nghĩa trong ứng dụng Diameter cho giao diên Sh.

Command name Abbreviation Command code

User Data Request UDR 306

User Data Answer UDA 306

Profile Update Request PUR 307

Profile Update Answer PUA 307

Subcribe Notification Request SNR 308

Subcribe Notification Answer SNA 308

Push Notification Request PNR 309

Push Notification Answer PNA 309

Bảng 2. 3 danh sách các lệnh định nghĩa trong ứng dụng Diameter cho giao diện Sh

Yêu cầu và trả lời dữ liêu người dùng ( UDR,UDA )Một máy chủ ứng dụng gửi một yêu cầu dữ liêu người dùng UDR đến HSS để

yêu cầu dữ liệu người dùng cho một người dùng đặc biệt. Dữ liêu người dùng có thể là một loại định nghĩa trong giao diện Sh. HSS trả lời yêu cầu trong bản tin trả lời dữ liệu người dùng ( UDA ).

Yêu cầu và trả lời cập nhật Profile người dùng ( PUR, PUA )Một máy chủ ứng dụng phải điều chỉnh loại dữ liệu nguồn người dùng và lưu

chúng trong HSS. Máy chủ ứng dụng gửi một bản tin yêu cầu cập nhật profile người dùng (PUR) đến HSS. HSS trả lời trong bản tin trả lời cập nhật profile (PUA).

Yêu cầu và trả lời thông báo đăng kí(SNR, SNA)Một máy chủ ứng dụng có thể dăng kí thay đổi trong dữ liêu người dùng bằng

bản tin yêu cầu thông báo đăng kí(SNR) đến HSS. Loại dữ liệu người dùng trong đó thông báo được cho phép là: dữ liệu nguồn, trạng thái người dùng IMS, tên S-CSCF và tiêu chuẩn bộ lọc ban đầu. HSS thông báo máy chủ ứng dụng kết quả hoạt động đăng kí trong bản tin trả lời thông báo đăng kí (SNA). .


Yêu cầu và trả lời thông báo đẩy (PNR, PNA)Khi thay dổi xảy ra trong dữ liêu người dùng lưu trong HSS và một máy chủ ứng

dụng được đăng kí để thay đổi trong dữ liệu người dùng đó, HSS gửi một yêu cầu thông báo đẩy (PNR) đến máy chủ ứng dụng đăng kí. Bản tin PNR bao gồm một bản sao của dữ liệu thay đổi. máy chủ ứng dụng trả lời bằng bản tin trả lời thông báo đẩy (PNA).

2.4.2 Các AVP định nghĩa trong ứng dụng Diameter cho giao diện Sh

Ứng dụng cho giao diện Sh định nghĩa một số AVP mới. Bảng 2.4 liệt kê thuộc tính mới cùng với mã AVP

Attribute name AVP code

User-Identity 100

MSISDN 101

User Data 102

Data Reference 103

Service-Indication 104

Subs-Req-Type 105

Reque sted –Domain 106

Current-Location 107

Server-Name 108

Bang 2. 4 Các AVP định nghĩa bằng ứng dụng Diameter cho giao diện Sh

Nhận dạng người dùng là một AVP nhóm chứa nhận dạng người dùng như một bộ nhận dạng người dùng chung mà trong trường hợp này nó chứa một AVP nhận dạng chung ( mượng từ ứng dụng Diameter cho giao diện Cx) hoặc như một số thuê bao di động tích hợp mạng số (MSISDN) trong trường hợp này nó chứa MSISDN AVP.

AVP User-Data chứa dữ liệu người dùng tương ứng với dữ liệu người dùng trong giao diện Sh. Loại dữ liệu người dùng xác định trong một AVP Data-Reference có thể chứa một giá trị trình bày các dạng dữ liệu người dùng khác nhau.

AVP Service Indication chứa bộ nhận dạng dữ liệu nguồn lưu trong HSS. Điều này cho phép một máy chủ ứng dụng thực hiện một số dịch vụ để lưu trữ dữ liệu cho


mỗi dịch vụ trong HSS và vẫn có thể phân biệt và liên kết mỗi dữ liệu với mỗi dịch vụ tương ứng.

AVP Subs-Req-Type chứa một dấu hiệu của máy chủ ứng dụng có đăng kí dịch vụ thông báo trong HSS hay không.

AVP Requested-Domain chỉ rõ máy chủ úng dụng nào được ưa thích trong truy nhập dữ liệu vùng chuyển mạch gói và dữ liệu vùng chuyển mạch kênh.

AVP Current-Location chỉ rõ một thủ tuc gọi là “ truy vấn dịch vụ hoạt động” nên được khởi động hay không

AVP server-name phản xạ AVP với tên giống trong ứng dụng Diameter trong giao diện Cx.

2.5 Thanh toán (Accounting)

Accounting được định nghĩa như là một tập hợp dữ liệu về tiêu thụ tài nguyên

cho mục đích phân tích khả năng và xu hướng, vị trí giá cả, kiểm toán và làm hoá đơn.

IMS sử dụng giao thức Diameter để truyền tải thông tin cước mà sự tính cước

trong IMS được dựa vào đó. Các CSCF báo cho hệ thống cước biết về kiểu và độ dài

của phiên mỗi người sử dụng thiết lập. Thêm vào đó, các bộ định tuyến báo cho hệ

thống cước về sự hoạt động phương tiện truyền thông trong suốt thời gian các phiên đó.

Hệ thống cước thu thập tất cả các thông tin thanh toán liên quan đến mỗi người sử dụng

để tính cước của họ cho phù hợp.

Hệ thống tính cước sử dụng các sự nhận dạng duy nhất để tương quan các dữ liệu tính cước với các phiên riêng biệt nhận được từ các thực thể khác nhau. Như vậy, các hồ sơ thanh toán tạo ra bởi một bộ định tuyến và một CSCF liên quan tới cùng một phiên có cùng sự nhận diện duy nhất .

2.6 Kiến trúc tính cước

Kiến trúc tính cước IMS định nghĩa 2 mô hình tính cước: tính cước offline và

tính cước online.

Cước offline được ứng dụng cho những người dùng mà họ chi trả cho dịch vụ

của họ một cách định kỳ


Cước online cũng được gọi là tính cước dựa vào tín dụng (Credit-based

charging), được sử dụng để tính cước cho các dịch vụ trả tiền trước

Cả 2 mô hình tính cước online và offline có thể được ứng dụng cho cùng phiên.

Ví dụ: một người sử dụng có một thuê bao điện thoại cố định cho việc thực hiện các

cuộc gọi thoại và có một thẻ trả trước với tín dụng đáng giá 10 phút video

a) Mô hinh tính cước offline

Chúng ta phải tính toán đến tất cả các nút mà thông báo có khả năng tính cước cả

trong mạng nhà và mạng khách và cả trong mạng gọi và mạng được gọi. Thí dụ như: các

P-CSCF và GGSN có thể được định vị hoặc trong mạng nhà hoặc trong mạng khách

Hình 3.13 cũng thể hiện kiến trúc tính cước cho truy nhập GPRS. Tất cả các thực thể

mạng SIP (trong hình của chúng ta là: các CSCF, BGCF, MRFC, MGCF và các AS)

được bao hàm trong một phiên sử dụng giao diện Rf để gửi thông tin thanh toán tới một

CCF (Charging Collection Function: chức năng thu thập cước) đặt trong cùng miền

quản lý. Chú ý rằng: HSS và SLF không thông báo các sự kiện tính cước.

CCF sử dụng thông tin này để tạo ra các CDR và gửi chúng tới BS (Billing

System: hệ thống hoá đơn) của miền đó sử dụng giao diện Bi. Các thực thể quản lý truy

nhập GPRS (như là SGSN và GGSN) sử dụng giao diện Ga để thông báo tới CGF

(Charging Gateway Function: chức năng cổng tính cước), chúng sử dụng giao diện Bp

để thông báo tới BS của miền đó.

Các BS trong các miền khác nhau trao đổi thông tin sử dụng phương thức không

chuẩn hoá. Giao diện Rf dựa trên giao thức cơ sở Diameter cùng với một ứng dụng

Diameter cung cấp đặc biệt cho các giao diện Rf/Ro. Các giao diện Bi và Bp được dựa

trên giao thức truyền file (thí dụ: FTP), mặc dù giao thức thực tế không được chuẩn

hoá.


Hinh 2. 6 Kiến trúc tính cước offline

Kiến trúc tính cước offline release 6 của 3GPP có một vài điểm khác. CGF hoạt

động như một cổng giữa mạng 3GPP và miền hoá đơn. Thêm vào đó, một thực thể mới

được gọi là CDF (Charging Data Functionl: chức năng dữ liệu tính cước) thay thế cho

CCF. Bởi vậy, các nút SIP IMS gửi thông tin thanh toán tới CDF sử dụng giao diện Rf,

CDF sử dụng giao diện Ga để truyền tải các CDR tới CGF và CDF truyền tải chúng tới

BS.

b) Mô hinh tính cước online


Hinh 2. 7 Kiến trúc tính cước online IMS

Hình 2.7 thể hiện kiến trúc tính cước online trong Release 5 của 3GPP dựa trên

tín dụng. Hình vẽ thể hiện mạng nhà và mạng khách của chủ gọi. Kiến trúc trong phía

người được gọi cũng tương tự.

Chức năng tính cước phiên giống như bất kỳ AS SIP khác tới S-CSCF. Bởi vậy,

SIP được sử dụng giữa chúng. ECF thực hiện giao diện Ro, nó được dựa trên giao thức

cơ bản Diameter cùng với ứng dụng Diameter cung cấp đặc biệt cho các giao diện

Rf/Ro.

2.7 Tính cước offline

Chúng ta thấy các yếu tố kiến trúc khác nhau ảnh hưởng đến nhau như thế nào

khi một phiên được thiết lập. Thêm vào các giao diện được miêu tả trước đó, Các thực


thể SIP trao đổi thông tin tính cước lẫn nhau sử dụng các trường mào đầu SIP. Có 2

trường mào đầu SIP mà mang thông tin liên quan đến tính cước trong IMS là: P-

Charging-Vector và P-Charging-Function-Addresses

2.7.1 Đầu cuối IMS trong mạng khách

Hinh 2. 8 Luồng thiết lập phiên

Hình 2.8 thể hiện một luồng bản tin thiết lập phiên liên quan đến một người sử

dụng đang roaming khi tính cước offline được sử dụng. Chúng ta chỉ thể hiện miền nhà


và khách của chủ gọi vì luồng trong miền nhà và khách bị gọi là tương tự như của chủ

gọi

P-CSCF nhận một INVITE khởi đầu và tạo một nhận dạng duy nhất toàn bộ gọi

là ICID (IMS Charging Identity: nhận dạng cước IMS). ICID này nhận dạng phiên mà

sẽ được thiết lập cho mục đích tính cước. P-CSCF đặt ICID trong trường mào đầu P-

Charging-Vector thể hiện trong hình 2.8 và chuyển tiếp INVITE tới S-CSCF (2)

P-Charging-Vector: icid-value=”AyretyUOdm+602IrT5tAFrbHLso=”

Hinh 2. 9 Giá trị P-Charging-Vector trong INVITE (2)

S-CSCF chèn IOI (Inter-Operator Identifier: nhận dạng hoạt động bên trong)

mạng nhà của chủ gọi vào trong tham số IOI khởi đầu (orig-ioi) trong trường mào đầu

P-Charging-Vector. IOI khởi đầu giúp mạng nhà của người bị gọi nhận dạng mạng của

chủ gọi để cả 2 mạng có thể trao đổi các hồ sơ tính cước. INVITE (3) gửi tới mạng nhà

của người được gọi, chứa cả ICID và IOI khởi đầu, như thể hiện trong hình 3.17

P-Charging-Vector: icid-value=”AyretyUOdm+602IrT5tAFrbHLso=”;

Orig-ioi=home1.net

Hinh 2. 10 Giá trị P-Charging-Vector trong INVITE (3)

S-CSCF trong mạng nhà của người được gọi chèn tham số IOI kết thúc (term-ioi)

vào trong trường mào đầu P-Charging-Vector của đáp ứng 183 (xử lý phiên)(4).

Tham số Term-ioi giúp mạng nhà của chủ gọi nhận dạng mạng nhà của được gọi

để cả hai mạng có thể trao đổi thông tin tính cước. Một ví dụ của trường mào đầu P-

Charging-Vector được thể hiện trong hình 2.10 sau:


Orig-ioi=home1.net;

Term-ioi=home2.net

Hinh 2. 11 Giá trị P-charging-Vector trong 183 (xử lý phiên) (4)


S-CSCF xoá các IOI từ trường mào đầu P-Charging-Vector trước khi chuyển

tiếp đáp ứng 183 (xử lý phiên) tới P-CSCF trong mạng khách của chủ gọi. Kết quả

trường mào đầu P-Charging-Vector trong đáp ứng 183 (Sesion Progress) được thể hiện

trong hình 2.11

P-Charging-Vector: icid-value=”AyretyUOdm+602IrT5tAFrbHLso=”

Hinh 2. 12 Giá trị P-Charging-Vector trong 183 (xử lý phiên) (5)

CCF chỉ cung cấp một giao diện vận hành trong mạng. Đó là nút duy nhất định vị

trong cùng miền quản lý khi CCF thông báo tới nó. Do P-CSCF và S-CSCF trong ví dụ

của chúng ta được đặt trong các mạng khác nhau, chúng gửi thông tin thanh toán liên

quan đến phiên tới các CCF khác nhau. Cách P-CSCF chọn một CCF thích hợp cho

phiên không được định rõ, nhưng quyết định này là đặc thù được dựa dựa trên cấu hình

nội bộ. S-CSCF nhận một số điạ chỉ CCF từ HSS bằng một số bản tin SAA Diameter khi

người sử dụng đăng ký vớí mạng. S-CSCF sử dụng một trong các địa chỉ đó cho mục

đích tin cậy.

2.7.2 Đầu cuối IMS trong mạng nhà

Hình 2.12 thể hiện một luồng bản tin thiết lập phiên cho một người sử dụng

trong mạng nhà của họ khi tính cước offline được áp dụng. Chúng ta chỉ thể hiện miền

nhà của chủ gọi vì các luồng trong miền của bị gọi là tương tự.

Điểm khác nhau giữa hình 2.12 và 2.7 đó là P-CSCF và S-CSCF trong hình 2.12

được định vị trong cùng miền quản lý. Điều này cho thấy rằng chúng chia sẻ nhiều

thông tin hơn P-CSCF và S-CSCF trong hình 2.7, trong hình 2.7 chúng thuộc các miền

khác nhau. Nói cụ thể, S-CSCF cung cấp cho P-CSCF địa chỉ của các CCF (các nút

chính và dự phòng) cho phiên trong đáp ứng 183 (xử lý phiên) (5). Lần lượt, P-CSCF

cung cấp cho S-CSCF thông tin GGSN đang điều khiển các luồng phương tiện trong

một UPDATE (19) như thế nào.


Hinh 2. 13 Luồng thiết lập phiên

S-CSCF chèn một P-Chargin-Function-Address trong đáp ứng 183 (xử lý phiên) (5)

của hình 3.20. Hình 3.21 thể hiện nội dung của trường mào đầu này: 2 địa chỉ CCF

P-Charging-Function-Addresses: ccf=[5555: : b99: c88: d77: e66];

ccf=[5555: : a55: b44: c33: d22]

Hinh 2. 14 Giá trị P-Charging-Function-Address trong 183 (xử lý phiên) (5)

Về cơ bản, S-CSCF chèn một P-Charging-Function-Address bất cứ khi nào yêu

cầu hoặc đáp ứng SIP được gửi tới một nút mà được định vị trong cùng mạng. Thí dụ


như: nếu cả chủ gọi và bị gọi là những người sử dụng của cùng một nhà khai thác và cả 2

không được roaming tới hai P-CSCF và hai S-CSCF bao hàm trong hồ sơ phiên tính cước

các sự kiện tới cùng các CCF, địa chỉ của chúng được phân phối bởi một trong các S-

CSCF.

P-CSCF / PDF nhận một bản tin COPS REQ (14) từ GGSN. P-CSCF / PDF phản

ứng lại bằng một bản tin COPS DES (15), nó chứa ICID cho phiên. GGSN cho phép thiết

lập các PDP context được yêu cầu bởi đầu cuối IMS và gửi một bản tin COPS RPT (16) tới

P-CSCF/PDF. Bản tin COPS RPT này chứa thông tin về cách thức GGSN đang điều khiển

các PDP context cho phiên này, P-CSCF/PDF sẽ qua S-CSCF. Để làm điều đó

P-CSCF/PDF chèn trường mào đầu P-Charging-Vector trong hình 2.14 vào yêu cầu

UPDATE (19)


ggsn=[5555: : 4b4: 3c3: 2d2: 1e1];

auth-token=4AF03C87CA;

pdp-info=”pdp-item=1; pdp-sip=no

gcid=39B226CDE;

flow-id=({1,1} , {1,2})”

Hinh 2. 15 Giá trị P-Charging-Vector trong UPDATE (19)

Trường mào đầu P-Charging-Vector trong hình 3.22 chứa một vài tham số:

Tham số ggsn chứa địa chỉ của GGSN đang điều khiển phiên.

Tham số auth-token chứa thẻ cấp phép được sử dụng bởi GGSN cho phiên này.

Tham số pdp-info chứa một tập hợp của các thông tin liên quan đến các PDP

context được thiết lập bởi đầu cuối.

Tham số pdp-item chứa một dãy số của thông tin PDP context bên trong trường

mào đầu P-Charging-Vector, cho biết rằng các tham số sau gắn liền với một

PDP context riêng biệt sử dụng trong phiên:


+ Có một tham số pdp-item trên một PDP context thiết lập bởi đầu cuối cho

phiên.

+ Tham số pdp-sig chỉ thị xem PDP context được sử dụng cho báo hiệu hay

không.

+ Tham số gcid chứa nhận dạng tính cước GPRS (GCID: GPRS Charging

Identifier), nó là nhận dạng tính cước của PDP context tại GGSN (GGSN tạo ra một

gicd khác nhau cho mỗi PDP context tạo ra trong GGSN).

Tham số flow-id chỉ thị các luồng mà không được gửi hoặc nhận qua PDP

context. Tham số flow-id chứa một tập hợp các cặp số {x,y} được qui cho một

dòng phương tiện truyền thông riêng trong SDP.

+ “x”: chỉ thị thứ tự của dòng phương tiện (m=) trong SDP, bởi vậy “1” ám chỉ dòng

phương tiện đầu tiên (m=)

+ “y” chỉ thị thứ tự dãy của sổ cổng của luồng bên trong dòng phương tiện

Đây là lý do một luồng phương tiện điển hình bao gồm nhiều hơn một luồng đơn và

bởi vậy mỗi luồng được gửi tới một số cổng khác nhau.

2.7.3 Giao diện Rf

Giao diện giữa một CCF và hoặc CSCF, AS, MRFC, BGCF hoặc MGCF được

gọi là Rf và được dựa trên Diameter và ứng dụng Diameter cho các giao diện Rf/Ro.

Các bản tin Diameter sử dụng qua giao diện này là yêu cầu thanh toán (ACR:

Accounting-Request) và trả lời thanh toán (ACA: Accounting-Answer), nó là bộ phận

của giao thức dựa trên Diameter.

Hình 2.15 và 2.16 thể hiện các AVP mà mỗi bản tin có thể mang


Hinh 2. 16 Các AVP trong các bản tin ACR cho tính cước offline

Hinh 2. 17 Các AVP trong các bản tin ACA trong tính cước offline

Session-ldOrigin-Host Origin-Realm Destination-RealmAccounting-Record-TypeAccounting-Record-Number Vendor-Specific-Application-ld User-Name Acct-Interim-IntervalOrigin-State-ld Event-Timestamp

Event-Type Role-of-Node User-Session-ld Calling-Party-Address Called-Party-Address Time-Stamps Application-Server Application–Provided–Called–Party–Address Inter-Operator-Identifier IMS-Charging-Identifier SDP-Session-Description SDP-Media-Component GGSN-AddressServed-Party-IP-Address Authorised-Qos Server-Capabilities Trunk-Group-ld Bearer-Service Service-ld UUS-Data Cause

Diameter Base Protocol AVPs 3GPP Diameter Accounting

AVPs

Session - ld Result - Code Origin – Host Origin – RealmAccounting – Record _typeAccounting – Record – NumberVendor-Specific-Application-ld User-NameAcct-State-ld Origin-State-ldEvent – Timestamp

Diameter Base Protocol AVPs


Các bản tin ACR và ACA được sử dụng để thông báo thông tin thanh toán tới

CCF. Các bản tin ACR được được khởi đầu bởi sự nhận của một bản tin SIP như là một

đáp ứng tới một INVITE.

Trong hình 2.17 và 2.12, S-CSCF trao đổi một bản tin ACR (26) và một bản tin

ACA (27) với một CCF. Trong cùng hình vẽ, P-CSCF cũng trao đổi một ACR (29) và

một ACA (30) với cùng hoặc khác CCF. Cả 2 hình để thể hiện giá trị của AVP

Accounting-Record-Type trong bản tin ACR. Trong trường hợp này giá trị của AVP

này là START-RECORD. Giá trị INTERIM-RECORD được sử dụng trong lúc phiên

đang tiếp diễn và giá trị STOP-RECORD được sử dụng khi một phiên được kết thúc.

Giá trị EVENT-RECORD được sử dụng cho các sự kiện mà không liên quan để việc

quản lý một phiên như là một sự trả lời của yêu cầu SUBSCRIBE, như thể hiện trong

hình 2.17

Hinh 2. 18 Giá trị EVENT-RECORDS trong bản tin ACR


2.8 Tính cước Online

Các giao diện tham gia trong tính cước online trong 3GPP thể hiện trong hình

2.6. S-CSCF sử dụng giao diện ISC, nó được dựa trên SIP. Các AS và MRFC sử dụng

giao diện Ro, nó dựa trên Diameter

2.8.1 S-CSCF

Các nhà vận hành mạng cấu hình các phiên đó để mà tính cước online phải được

ứng dụng bởi sự định nghĩa một tiêu chuẩn lọc trong hồ sơ người dùng. Tiêu chuẩn lọc

mò mẫm gửi tất cả các yêu cầu SIP tới AS mà đang hoạt động như một SCF (Session

Charging Function: chức năng tính cước phiên).

SCF giống bất kỳ AS nào tới S-CSCF nhưng nó không cung cấp các dịch vụ cho

người sử dụng trong chiều hướng thông thường. Thay vào đó, SCF báo cáo thông tin

tính cước đến chức năng tương quan sử dụng giao diện Rb. Nếu người sử dụng hết tín

dụng trong thời gian một phiên, chức năng tương quan thông tin tới SCF qua giao diện

Rb và SCF kết thúc phiên bằng cách B2BUA và gửi 2 yêu cầu BYE , mỗi cái tới một

đầu cuối.

2.8.2 Các AS và MRFC

Tiêu chuẩn lọc trong hồ sơ người dùng có thể lấy được S-CSCF để chuyển tiếp

một bản tin SIP tới một AS hoặc tới MRFC nơi sẽ cung cấp dịch vụ cho người sử dụng.

Nếu một dịch vụ tính cước online thì AS hoặc MRFC sử dụng giao diện Ro để gửi thông

tin cước tới ECF. AS hoặc MRFC nhận một hoặc nhiều điạ chỉ ECF từ S-CSCF trong

trường mào đầu P-Charging-Function-Address của bản tin SIP như thể hiện trong hình

2.18

P-Charging-Function-Addressess: ecf = [5555: : b99: c88: d77: e66];

ecf = [5555: : a55: b44: c33: d22]

Hinh 2. 19 Trường mào đầu P-Charging-Function-Address

Giao diện Ro dựa trên Diameter. Ứng dụng Diameter sử dụng trong giao diện

này trong Release 5 sử dụng các bản tin Diameter sau:


Accounting-Request (ACR) (yêu cầu thanh toán)

Accounting-Answer (ACA) (trả lời thanh toán)

Hinh 2. 20 Các AVP trong bản tin ACR cho tính cước online

Ứng dụng Diameter sử dụng trong Release 6 sẽ sử dụng CCR (Credit Control

Request: yêu cầu điều khiển tín dụng) và CCA (Credit Control Answer: trả lời điều

Session – ld Origin – Host Origin – Realm Destination – Realm Accouting – Record – Type Accounting – Record-NumberVendor–Specific–Application – ld User – Name Acct – Interim – IntervalOrigin – State – ld Event – Timestamp

3GPP Diameter Accounting AVPsDiameter Base Protocol AVPs Event – Type

Role – of – node User – Session – ld Calling – Party – Address Called – Party – Address Time – Stamps Application – Provided – Called – Party – Address Inter – Operator – Identifier IMS – Charging – Identifier SDP – Session – Description SDP – Media – Component GGSN – AddressService – ld UUS – Data Cause

Diameter Credit Control AVPs

Subscription – ld Requested – Action Requested – Service – Unit Used – Service – Unit Tariff – Switch – Denification Abnormal – Termination –Reason Credit – Control – Failure – Handling Direct – Debiting – Failure – Handling


khiển tín dụng). Ở đây sẽ tập trung phần miêu tả trong Release 5 vì các đặc điểm kỹ

thuật Release 6 trong khu vực này vẫn chưa hoàn thiện.

Hình 2.19 và 2.20 thể hiện các AVP mà mỗi bản tin trong Release 5 có thể mang.

Các hình vẽ này cũng chỉ rõ các chỉ tiêu kĩ thuật mà mỗi AVP được định nghĩa (nghĩa

là trong giao thức dựa trên Diameter, trong ứng dụng điều khiển tín dụng Diameter

3GPP, hoặc trong ứng dụng Diameter 3GPP)

Hinh 2. 21 Các AVP trong bản tin ACA cho tính cước online

Tính cước online được dựa trên các đơn vị tín dụng, các dịch vụ được thanh toán

bằng các đơn vị tín dụng và nhiều người sử dụng có thể được hưởng một dịch vụ đặc

biệt chỉ cần họ đủ các đơn vị tín dụng trong tài khoản của họ. Thí dụ như: Nếu Bob có 2

đơn vị tín dụng trong tài khoản của anh ta và 10 phút video có giá 1 đơn vị tín dụng,

Bob sẽ được cho phép nhận luồng video trong thiết bị đầu cuối của anh ta trong 20

phút.

Có 2 kiểu tính cước online trong IMS:

Tính cước sự kiện trực tiếp (IEC: Immediate Event Charging)

Session-ld Result – Code Origin – HostOrigin – RealmAccounting – Record – Type Accounting – Record – NumberVendor – Specific – Application –ld User- NameAccounting-Sub-Session-ldAcct – Interim – IntervalOrigin – State – ld Event – Timestamp Event-Timestamp

Diameter Base Protocol AVPs Diameter Credit Control AVPsSubscription – ld Granted – Service – Unit Tariff – Swicth – Definition Cost – InformationFinal – Unit – Indication Check – Balance – Result Credit – Control – Failure – Handling


Tính cước sự kiện với thiết bị đặt trước (ECUR: Event Charging with Unit

Reservation)

Cước sự kiện trực tiếp (IEC: Immediate Event Charging)

Khi IEC được sử dụng, ECF khấu trừ một số đơn vị tín dụng từ tài khoản của

người sử dụng và sau đó cho phép MRFC hoặc AS cung cấp dịch vụ cho người sử

dụng.

Hình 2.21 thể hiện một ví dụ của IEC. Giá trị của bản tin Accountig–Record–

Type AVP sử dụng cho IEC là EVENT-RECORD. ECF nhận một bản tin ACR (1) để

khấu trừ số lượng thích hợp các đơn vị tín dụng từ tài khoản của người sử dụng và trả

lại một bản tin ACA (2). Lúc này MRFC hoặc AS bắt đầu giao dịch vụ đã yêu cầu bởi

người sử dụng

Hinh 2. 22 Tính cước sự kiện trực tiếp

Tính cước sự kiện với thíêt bị đặt trước (ECUR: Event Charging with Unit

Reservation)

Khi ECUR được sử dụng, ECF đặt trước một số đơn vị tín dụng trong tài khoản

của người sử dụng và cho phép MRFC hoặc AS cung cấp dịch vụ cho người sử dụng.


Nếu một dịch vụ đặc biệt giá cao hơn các đơn vị tín dụng đã được đặt trước ban đầu bởi

ECF thì MRFC hoặc AS có thể giao tiếp với ECF để yêu cầu đặt trước thêm đơn vị tín

dụng.

Khi dịch vụ đi qua MRFC hoặc AS để báo cáo tới ECF về số đơn vị tín dụng mà

người dùng đã chi tiêu. ECF trả lại tài khoản người sử dụng tất cả các đơn vị tín dụng

mà đã đặt trước nhưng không sử dụng.

Hình 2.22 thể hiện một ví dụ của ECUR:

Khi bản tin ACR được sử dụng cho ECUR, giá trị của Accounting-Record-Type

AVP là: START-RECORD, INTERIM-RECORD và STOP-RECORD. ECF

nhận một bản tin ACR (1) và đặt trước một số đơn vị tín dụng trong tài khoản

của người sử dụng. ECF trả lại một bản tin ACA (2) và MRFC hoặc AS bắt đầu

giao dịch vụ.

Khi người sử dụng đã chi tiêu phần lớn các đơn vị tín dụng được đặt trước, MRFC

hoặc AS gửi một bản tin ACR (3) mà giá trị AVP Accounting-Record-Type của nó

là INTERIM-RECORD. ECF đặt trước thêm các đơn vị tín dụng và trả lại một bản

tin ACA (4).

Mỗi lần sự phân phát dịch vụ kết thúc MRFC hoặc AS gửi một bản tin ACR (5)

mà giá trị Accounting-Record-Type AVP của nó là STOP-RECORD. Lúc đó

ECF có thể trả lại cho tài khoản người sử dụng các đơn vị tín dụng đã đặt trước

nhưng không sử dụng


Hinh 2. 23 Tính cước sự kiện với sự đặt trước tin dụng

Sự xác định đơn vị ( Unit Determination)

Sự xác định đơn vị có liên quan tới quá trình xác định bao nhiêu đơn vị tín dụng

cần được đặt trước hoặc được rút ra từ tài khoản người sử dụng cho một dịch vụ định

sẵn. Khi sự xác định đơn vị được thực hiện bởi ECF, nó liên quan tới sự xác định đơn vị

tập trung ( centralized unit determination). Khi sự xác định đơn vị được thực hiện bởi

MRFC hoặc AS thì nó được liên quan tới sự xác định đơn vị phi tập trung

(Decentralized unit determination)


Khi sự xác định đơn vị phi tập trung được sử dụng, MRFC hoặc AS xác định có

bao nhiêu đơn vị tín dụng cần yêu cầu từ ECF. Bản tin ACR (1) trong hình 3.29 và 3.30

chứa một Request-Service-Unit AVP với số đơn vị tín dụng đã yêu cầu.

Khi sự xác định đơn vị tập trung được sử dụng, ECF thực hiện xác định dịch vụ

dựa trên các AVP liên quan tới sự phân loại mà có mặt trong hình 3.29 và 3.30.

sự phân loại

Sự chuyển các đơn vị tín dụng thành các đơn vị tiền tệ được liên quan tới sự phân

loại. Đó là giá của dịch vụ được tính toán dựa trên các nguyên liệu cung cấp đầu vào

bên trong chức năng phân loại. Nếu sự phân loại được thực hiện bởi ECF, nó liên quan

tới sự phân loại tập trung (Centralized rating). Nếu sự phân loại được thực hiện bởi

MRFC hoặc AS thì nó liên quan tới sự phân loại phi tập trung ( centralized rating).

Sự xác định đơn vị tập trung đưa đến sự phân loại tập trung đó là vì ECF xác

định số đơn vị tín dụng để tính cước. MRFC và AS đều không có thông tin này.

Khi sự xác định đơn vị phi tập trung được sử dụng, bản tin ACA (2) trong hình

3.29 và 3.30 chứa Unit-Value AVP và Unit-Type AVP. Unit-Value AVP chứa số đơn vị

được chấp nhận và Unit-Type AVP chứa kiểu của đơn vị.

Khi sự phân loại tập trung được sử dụng, các đơn vị là các đơn vị tiền tệ. Khi sự

phân loại phi tập trung được thực hiện thì các đơn vị là có thể chỉ thị thời gian (thí dụ:

dịch vụ có thể sử dụng cho 2 phút), khối lượng (thí dụ: người dùng có thể download

100 kilobytes), hoặc số sự kiện (thí dụ: người sử dụng có thể nhận 2 thông báo)

Thay đổi bảng giá(Tariff Changes)

ECF có thể thông tin tới MRFC và AS về sự thay đổi trong bảng giá của dịch vụ

xác định đang sử dụng Tariff-Switch-Definication AVP trong các bản tin ACA.

Đồ án tốt nghiệp đại học Chương III: Bảo mật cho IMS

CHƯƠNG III: BẢO MÂT CHO IMS

3.1 Tổng quan về vấn đề bảo mật mạng

3.1.1 Các phương thức tấn công thường gặp trong mạng IMS

Có một số đe dọa bảo mật đã được thiết lập cho mạng IP. Các cuộc tấn công có thẻ bị cản trở thông qua các bài thực hành thảo luận trong phần này và nó không yêu cầu cần thiết đầu tư lớn để ngăn cản. các đe dọa chính ngày nay là

Sự nghe trộmTấn công đăng kíMạo danh máy chủChèn khối bản tinLàm đứt phiênTừ chối dịch vụSự khuếch đại

3.1.1.1 Sự nghe trộmSự nghe trộm cho phép hacker cắt bản tin SIP mà không bị phát hiện. Phương pháp này được sử dụng bởi hacker để có được thông tin nhạy cảm như định tuyến và xác nhận người dùng cá nhân. Thông tin này sau đó được dùng để tạo ra một bản tin mới sẽ vượt qua xác thực trừ khi có dạng khác của xác thực và bảo mật.

Sự nghe trộm bị ngăn cản thông qua mã hóa, cả trong miền nhà an toàn cũng như qua các mạng chuyển tiếp. Mã hóa là phương pháp tốt nhất để tránh nghe trộm và đây là một trong lý do mà Ipv6 và Ipsec được định nghĩa trong việc sử dụng IMS.

Mạng không dây cũng được dùng mã hóa để tránh nghe trộm tại giao diện không khí. Đây là một vấn đề trong mạng không dây và bộ điều khiển để thực hiện mã hóa thông qua giao diện vô tuyến trong GSM và CDMA.

Có thể áp dụng trong mạng không dây trong đó hacker có thể thỏa hiệp các cổng trên các máy chủ thông tin để cho phép sao chép bản tin và định tuyến lại các bản tin SIP đối với các máy chủ. Mã hóa trở thành hiệu quả cho ngăn chặn việc nghe trộm trong mạng không dây.


3.1.1.2 Tấn công đăng kíTấn công đăng kí xảy ra khi một bản tin REGISTER được gửi đi bởi một hacker

với nhận dạng bị đánh cặp của thuê bao. Nhận dạng có được thông qua việc nghe trộm và xử lý để di chuyển đăng kí hiện tại đến một vị trí khác hoặc thiết lập toàn bộ một phiên đăng kí mới. khi đăng kí, kẻ tấn công có toàn quyền truy cập đến các dịch vụ giống như thuê bao hợp pháp..

Nếu một hacker có được quyền truy cập đến nhận dạng người dùng cá nhân của thuê bao, hacker có thể triển khai một bản tin REGISTER từ bất cứ nơi nào trên mạng. Nhớ rằng một REGISTER xác định vị trí hiện tại của thuê bao. Vì thế, nếu thuê bao được đăng kí, và mạng nhận được một đăng kí mới, S-CSCF trong IMS sẽ giả thiết rằng thuê bao đã đổi vị trí và đổi đăng kí đến vị trí mới.

Tất cả lưu lượng mạng sau đó sẽ được gửi đến vị trí đăng kí mới nhất. Thuê bao hợp pháp sẽ không biết rằng đăng kí của mình đã bị tấn công, và không thể nhận cuộc gọi. Neus bản thân thuê bao thay đổi vị trí hoặc tắt nguồn thiết bị của họ, đăng kí sẽ thay đổi khi nguồn hoạt động trở lại và họ sẽ lấy lại quyền điều khiển trên dịch vụ của họ3.1.1.3 Mạo danh máy chủMạo danh máy chủ cho phép một proxy server trong mạng khác đặt như proxy hợp pháp chuyển tiếp tất cả lưu lượng đến nó từ các proxy hợp pháp khác. Trong miền IMS, điều này sẽ giả mạo chức năng CSCF và chuyển hướng yêu cầu và đáp ứng đển CSCF giả mạo.Chúng ta đã biết dạng tấn công này trong Internet. Các trang web mà được đặt hợp pháp được sử dụng thông tin nhạy cảm từ người dùng mà không bị nghi ngờ. điều này trở thành nguyên nhân chính trong IMS nêu không có phương tiện xác định trong mạng.

Thủ tục được định nghĩa trong IMS mà cho phép thiết bị người dùng xác thực mạng IMS để đảm bảo thông tin với các miền tin tưởng của nhà cung cấp dịch vụ. 3.1.1.4 Chèn khối bản tinChèn khối bản tin cho phép truy nhập đến bản tin mà không mã hóa một cách dễ dàng. Khi SIP được gửi dưới dạng văn bản nó rất dễ bị nghe trộm trong mạng SIP và đọc nội dung bản tin.

Phụ thuộc vào loại bản tin SIP, có nhiều hệ quả khác nhau. Nếu khối bản tin chứa bản tin dạng văn bản sẽ bị chỉnh sửa và truyền đến đích với một số khác. Phía nhận sẽ


đáp trả lại đến một thuê bao giả mạo của phía gửi hợp pháp của bản tin. Có nhiều ví dụ về cách sử dụng để ăn cắp xác nhận và có được thông tin cá nhân từ thuê bao không bị nghi ngờ.

Thay đổi khối bản tin có thể tạo ra tấn công tài khoản của thuê bao và dịch vụ. chẳng hạn bằng việc giữ lại INVITE tiêu đề cung cấp thông tin định tuyến có thể được giữ lại để sau đó định tuyến lưu lượng đến nơi gây ra.3.1.1.5 Làm đứt phiênLàm đứt phiên là một tấn công đứt đoạn mà nó thực hiện đối với một rải rộng thuê bao có thể gây hệ quả nghiêm trọng. Ví dụ, nếu làm đứt phiên đúng một sự kiện chính, thông tin cho hàng nghìn người sẽ bị giả mạo, vì chúng sẽ bị gián đoạn và cố gắng kết nối lại sẽ gây đụng độ trong mạng.

Có hai nguyên nhân tại sao một kẻ tấn công dùng phương pháp này. Một sẽ tạo ra một tấn công phủ nhận dịch vụ (DoS) trên mạng hoặc phần mạng. làm ngắt kết nối của tất cả cuộc gọi đang diễn ra theo dạng tấn công vật lý khác sẽ tạo cho người dân sự hoang mang, tạo ra tác động phụ.

Nguyên nhân khác sẽ tạo ra sự đụng độ đơn giản trong mạng dẫn đến sự biến chất của dịch vụ. điều này được hoàn tất khi mọi người bị ngắt kết nối đột ngột cố gắng kết nối lại cùng thời điểm. Mạng sẽ không có khả năng điều khiển yêu cầu lớn và sẽ bắt đầu từ chối dịch vụ đối vói nhiều thuê bao.3.1.1.6 Tấn công từ chối dịch vụtấn công từ chối dịch vụ diễn ra nhiều dạng và tất nhiên cũng có thể rất nguy hiểm. Các loại tấn công tràn lụt mạng đối với điểm mà thuê bao hợp pháp không đạt được truy cập đối với dịch vu thông tin họ cần, thậm chí dẫn đến tắt nhiều hệ thống.

Ngày nay một cách hoàn tất việc này là gửi một yêu cầu với một lỗi hoặc một địa chỉ IP giả mạo và tiêu đề VIA tương ứng làm cho nó nhìn giống như từ một thuê bao hợp pháp. Gửi yêu cầu đến nhiều thực thể khác nhau trong mạng sẽ tạo ra một tràn lụt đáp ứng trên toàn mạng.

Chẳng han., một miền IMS, các CSCF sẽ nhận bản tin, nhận ra địa chỉ IP là không đúng, và đáp ứng một bản tin lỗi 4xx. Nếu bản tin được định tuyến đến nhiều phần khác nhau trên mạng. điều này sẽ gây ra gửi và nhận bản tin chức năng CSCF một số lượng lớn, gây ra tắc nghẽn đáp ứng.


Tất nhiên tấn công DoS có thể sẽ dễ dàng hơn triển khai hàng triệu phiên yêu cầu tại một thời điểm, dùng một bộ tạo cuộc gọi hoặc máy tính. Kết quả này sẽ dẫn đến đụng độ ngay tức thì trên mạng, và từ chối dịch vụ đến tất cả các nỗ lực kết nối thiết bị.

Điều này thực sự dễ dàng hơn. Dù việc sử dụng BOTs và BOTNET, hàng triệu cuộc gọi sẽ được tạo ra trong mạng cùng lúc dưới một lênh, gây ra tấn công DoS trên diện rộng trong toàn bộ mạng.3.1.1.7 Khuếch đạiKhuếch đại là tương tự với từ chối dịch vụ với việc bao phủ trên diện rộng. cùng yêu cầu được gửi đến cùng một proxy chuyển hướng mà sau đó chia yêu cầu thành nhiều hướng khác nhau, “ khuếch đại” một số đáp ứng trong mạng. thay vì có đáp ứng đền từ một CSCF, bản tin được chia và gửi đến nhiều CSCF, tất cả đáp ứng gửi 4xx.

Tất cả các đe dọa bảo mật có thể được gán địa chỉ thông qua IMS và sẽ đẫn đến vấn đề nghiêm trọng bởi nhà cung cấp dịch vụ dựa vào IP. Chú ý rằng các cuộc tấn công không phải duy nhất đối vói dịch vụ dựa trên IP. Chúng ta thấy nhiều dạng tương tự của tấn công và đe dọa bảo mật trong mạng điện thoại có tính kế thừa hiện nay.

Tấn công từ chối dịch vụ đã được vận dụng trong mạng hiện nay, dùng các bộ tạo cuộc gọi và các dạng khác của bộ tạo, gây ra nghẽn hoàn toàn tất cả các dịch vụ trong một khoảng thời gian dài.

Việc mạo nhận nhà cung cấp dịch vụ, “ chèn thêm khối bản tin “, thậm chí đứt phiên có thể tính toán được trong mạng điện thoại ngày nay và trong nhiều trường hợp có tài liệu để mô tả các kết quả đó.

Đã có nhiều trường hợp của nhà cung cấp truy nhập đến mạng của người điều khiển và gửi lưu lượng của họ thông qua các mạng đó. Đây là nguyên nhân tại sao IMS phải bảo vệ tốt và tất cả các biện pháp bảo mật thực hiện. Từ mức độ truy nhập đến mặt bằng báo hiệu, bảo mật là quan hệ chính đối với tất cả nhà khai thác mạng.

3.1.2 Kiến trúc anh ninh tổng quan

Trong miền chuyển mạch gói, chỉ sau khi đã thiết lập một SA đến mạng thì khách hàng mới có thể sử dụng được các dịch vụ do mạng cung cấp. Vì IMS cũng hoạt động trên nền IP nên khách hàng cũng cần phải thiết lập một SA trước khi truy nhập đến các dịch vụ đa phương tiện của IMS. Kiến trúc an ninh của IMS được trình bày như trong hình 3.1.


Các khóa và các chức năng nhận thực IMS của khách hàng được lưu trong UICC và độc lập với các giá trị tương ứng của mạng. Trong đó, một số khóa và chức năng nhận thực của IMS vẫn giống với các khóa và chức năng trong mạng ÍP.

Về khía cạnh an ninh, ISIM là một thuật ngữ dùng để chỉ tập các dữ liệu an ninh IMS và các chức năng nhận thực được lưu trong UICC.

Để đảm bảo an ninh cho IMS thì cần phải sử dụng năm SA bảo vệ cho lưu lượng như sau (tương ứng được đánh số từ (1) đến (5) trong hình 3.1):

SA (1) có chức năng đảm bảo nhận thực giữa ISIM và HSS

Hinh 3. 1 Kiến trúc an ninh cho IMS (TS 33.203 SA (2) có chức năng cung cấp một liên kết an ninh giữa UE và P-CSCF để bảo

vệ cho điểm tham chiếu Gm. Bên cạnh đó, SA này còn chứng thực cho nguồn gốc của dữ liệu nhận được.

SA (3) có chức năng bảo vệ cho giao diện Cx.


SA (4) có chức năng đảm bảo an ninh cho các nút SIP giữa các mạng khác nhau. SA này chỉ được sử dụng khi P-CSCF nằm trong mạng khách, nếu P-CSCF nằm tại mạng nhà thì sử dụng SA thứ 5.

SA (5) có chức năng đảm bảo an ninh giữa các nút SIP trong mạng3.1.2.1 Các chức năng an ninh

i) Nhận thực cho thuê bao IMSTất cả hồ sơ của một thuê bao đa phương tiện được lưu ở HSS của mạng nhà

(bao gồm cả các thông tin bí mật). Trong quá trình đăng ký, I-CSCF sẽ chỉ định một S-CSCF cho thuê bao. Hồ sơ thuê bao trong HSS được tải xuống S-CSCF qua điểm tham chiếu Cx (thông qua bản tin Cx – Pull). Khi một thuê bao cần truy nhập IMS thì S-CSCF sẽ tiến hành kiểm tra tính hợp lệ của thuê bao, bằng cách đối chiếu yêu cầu với hồ sơ thuê bao. Tất cả các báo hiệu SIP đều được xử lý trong mặt bằng người dùng.

Cơ chế nhận thực trong UMTS được thực hiện dựa vào giao thức UMTS AKA. Đây là giao thức hồi đáp chất vấn đóng vai trò AuC trong mạng nhà và có chức năng phân phối các chất vấn. Mạng nhà gửi đến mạng đang phục vụ năm tham số có chứa các chất vấn, các hồi đáp (XRES) và mã nhận thực bản tin (MAC). Mạng đang phục vụ sẽ so sánh hồi đáp do UE gửi đến với giá trị XRES, nếu hai giá trị này giống nhau thì UE được nhận thực. Mặt khác, UE cũng tính toán các giá trị MAC và XMAC rồi đối chiếu với giá trị MAC mà nó nhận được, nếu các giá trị này trùng khớp với nhau thì UE nhận thực cho mạng đang phục vụ. Trong IMS cũng có một giao thức đảm nhận chức năng tương tự, gọi là IMS AKA.

Mạng nhà có thể tiến hành nhận thực thuê bao vào bất cứ thời điểm nào của quá trình đăng ký và tái đăng ký.

Yêu cầu đăng ký của thuê bao sẽ luôn được S-CSCF nhận thực. Vì vậy, sau khi đã đăng ký thành công, nhưng vì một lý do nào đó thuê bao này phải tiến hành tái đăng ký thì lúc đó S-CSCF có thể không cần phải nhận thực yêu cầu này nữa.

Khi P-CSCF nhận được một bản tin SIP REGISTER không được bảo vệ (tức là được xử lý IPSec) có chứa yêu cầu thiết lập đăng ký của một thuê bao thì S-CSCF sẽ tiến hành nhận thực thuê bao đó mà không cần quan tâm rằng thuê bao này đã được nhận thực trước đó hay chưa.

ii) Đảm bảo tính cơ mậtTrong IMS, việc bảo vệ tính cơ mật cho các bản tin báo hiệu SIP được trao đổi

giữa UE và P-CSCF là rất cần thiết. Tuy nhiên, cần chú ý rằng việc áp dụng các giải


pháp bảo vệ tính cơ mật và các thỏa thuận về vấn đề chuyển vùng cần phải đáp ứng được các yêu cầu về tính riêng tư của các mạng con trong đó.

Quá trình thỏa thuận của UE và P-CSCF về việc đảm bảo tính cơ mật bao gồm các bước sau:

UE sẽ gửi cho P-CSCF danh sách các thuật toán mã hóa có thể được sử dụng P-CSCF sẽ quyết định một thuật toán mã hóa nào đó có được sử dụng hay

không. Nếu có thì UE và P-CSCF phải thống nhất với nhau về các đặc điểm của SA, bao gồm cả khóa mã hóa dùng để bảo vệ tính cơ mật. Quá trình thỏa thuận khóa này sẽ do giao thức IMS AKA đảm nhận.

Mức độ đảm bảo tính cơ mật giữa các CSCF và giữa các CSCF với HSS sẽ phụ thuộc vào thuật toán mã hóa được sử dụng.

iii) Đảm bảo tính toàn vẹnCác bản tin báo hiệu SIP được trao đổi giữa UE và P-CSCF cũng cần phải được

bảo vệ tính toàn vẹn, trong đó các bước thỏa thuận để sử dụng chức năng an ninh này diễn ra như sau:

a) UE và P-CSCF sẽ thống nhất với nhau về thuật toán đảm bảo tính toàn vẹn được dùng trong phiên.

b) UE và P-CSCF thỏa thuận các đặc tính của SA sẽ được thiết lập giữa chúng (bao gồm các khóa toàn vẹn). Quá trình này được thực hiện bằng giao thức IMS AKA.

c) Cả UE và P-CSCF đều phải thẩm định nguồn gốc dữ liệu nhận được, ngay cả khi đã sử dụng khóa toàn vẹn, nhằm phát hiện các xáo trộn (nếu có) xảy ra đối với dữ liệu.

d) Phản hạn chế tấn công replay và reflection3.1.2.2 Che giấu cấu hình mạng

Cách thức hoạt động của mạng là những thông tin có tính chất nhạy cảm và hiếm khi được người điều hành tiết lộ cho người khác. Nhưng trong một số trường hợp cần phải chia sẻ những thông tin kể trên cho đối tác và các bên có quan hệ kinh doanh thì người điều hành có quyền giấu đi các phần tử hoạt động trong mạng của mình (ví dụ như che giấu số lượng và khả năng của các S-CSCF hay dung lượng của mạng).

I-CSCF/IBCF là thực thể có chức năng mã hóa cho địa chỉ của tất cả các thực thể khác trên mạng, sau đó đưa vào trong các trường mào đầu SIP như Via, Record – Route, Route and Path và thực hiện giải mã các địa chỉ này khi hồi đáp cho một yêu cầu


nào đó. P-CSCF có thể nhận được thông tin định tuyến đã được mã hóa nhưng nó lại không có khóa để giải mã thông tin này.3.1.2.3 Đảm bảo tính riêng tư cho bản tin SIP

Tính riêng tư trong một số trường hợp có thể được xem như tính cơ mật, tức là thực hiện che giấu thông tin (bằng các khóa mã hóa) đối với tất cả các thực thể trong mạng, trừ những thực thể có đủ thẩm quyền. Mục đích của việc đảm bảo tính riêng tư là giúp cho thuê bao IMS giữ bí mật được những thông tin nhận dạng của mình.

Khi mạng IMS Release 6 kết nối liên mạng với một mạng không phải IMS thì CSCF sẽ phải xác định mức độ tin cậy của phía đầu cuối ở phía mạng kia. Một đầu cuối chỉ được gọi là đáng tin cậy sau khi đã thiết lập được một cơ chế đảm bảo an ninh và một thỏa thuận cho việc kết nối liên mạng. Nếu việc kết nối liên mạng được xem là không đáng tin cậy thì những thông tin riêng tư sẽ được tách khỏi lưu lượng truyền giữa hai mạng. Lúc này, CSCF tiến hành kiểm tra ngay khi nhận được bản tin báo hiệu và loại bỏ các thông tin riêng tư nếu chúng có mặt trong luồng lưu lượng

3.2 An ninh truy nhập cho IMS

Một người dùng truy cập IMS cần được xác thực và cấp quyền trước khi có thể sử dụng các dịch vụ IMS. Khi một người dùng được cấp quyền bảo vệ lưu lượng SIP giữa đầu cuối IMS và P-CSCF bằng việc sử dụng hai liên kết an ninh IPsec.

Việc xác thực và cấp quyền người dùng và thiết lập liên kết an ninh IPsec của chúng được thực hiện dùng chuyển giao REGISTER. S-CSCF tăng xác thực và cấp quyền người dùng với vector xác thực tải từ HSS ( máy chủ thuê bao nhà, xác thực và cấp quyền người dùng, trong suốt quá trình xác thực người dùng cũng cần xác thực mạng để chắc chắn rằng chúng đang không nói chuyện với mạng giả mạo.

3.2.1 Xác thực và cấp quyền

Xác thực và cấp quyền trong IMS dựa vào chức năng bảo mật trên mạng trong đầu cuối IMS. Thực tế, chức năng bảo mật được thực hiên trực tiếp trong đầu cuối IMS, nhưng trong một thẻ thông minh được chèn trong đầu cuối. chức năng của thẻ thông minh ( smart card) là phụ thuộc vào mạng thực tế.

Trong mạng 3GPP, thẻ thông minh thường được biết đến như UICC ( thẻ mạch tích hợp phổ biến ). UICC chứa một hoặc nhiều ứng dụng như mô tả trong hình 3.2. Mỗi ứng dụng chứa tham số và cấu hình liên quan đến một sử dụng đặc biệt. Mỗi một ứng dụng đó là là ISIM ( Module nhận dạng dịch vụ IP đa phương tiện ). Các ứng dụng


có thể khác là SIM ( Modul nhận dạng thuê bao) và USIM (modul nhận dạng thuê bao UMTS)

Hinh 3. 2 SIM, USIM, và ISIM trong UICC của đầu cuối IMS 3GPPMạng 3GPP cho phép truy nhập đến IMS khi UICC chứa ISIM hoặc USIM, dù

ISIM được ưu tiên vì nó được điều chỉnh trong IMS. Tuy nhiên, truy nhập vói ứng dụng USIM được cho phép trong trường hợp người dùng không cập nhật thẻ thông minh của họ đến UICC chứa một ISIM. Do chức năng bảo mật kém, truy nhập đến IMS với một ứng dụng ISIM trong phần 3.2.3 mô tả cùng thủ tục khi UICC chứa USIM.

Các tham số nhận thực được lưu trong ISIM trong 3GPP IMS lưu trong đầu cuối IMS hoặc trong R-UIM ( modul nhận dạng người dùng tháo lắp được ) trong 3GPP2 IMS. Các tham số là giống nhau trong cả hai mạng, như là chức năng bảo mật. Việc lưu trữ có thể khác kể từ 3GPP2 cho phép đầu cuối IMS hoặc R-UIM để lưu tham số nhận thực, nhưng khác đó là không có sự khác nhau thực chất. Phần 3.2.2 mô tả xác thực và phân quyền với ISIM, cũng được áp dụng cho mạng 3GPP.

3.2.2 Xác thực và cấp quyền với ISIM

Phần này mô tả thủ tục xác thực và phân quyền diễn ra giữa đầu cuối IMS và mạng khi đầu cuối được trang bị với ứng dụng ISIM.

Xác thực qua lại giữa người dùng và mạng trong IMS dựa vào khóa chia sẻ dài hạn giữa ISIM trong đầu cuối và HSS trong mạng. Các ISIM chứa một khóa bí mật. khóa bí mật của mỗi ISIM đặc biệt cũng lưu trong HSS nhà. Để đạt được xác thực qua


lại giữa ISIM và HSS phải cho biết lẫn nhau khóa bí mật mà chúng biết. Tuy nhiên, đầu cuối chứa ISIM nói với SIP nhưng HSS thì không. Để giải quyết vấn đề này S-CSCF gán cho người dùng một quy tắc của bộ xác thực. Một cách hiệu quả, HSS trao quyền này cho S-CSCF.

S-CSCF dùng giao thức Diameter có được vector xác thực từ HSS và thử thách bộ phận người dùng. Các vector xác thực chứa một thử thách và một câu hỏi kì vọng từ bộ phận người dùng đối với thử thách đó. Nếu người dùng trả lời khác so với S-CSCF coi như xác thực thất bại Hãy xem cách S-CSCF ánh xạ các thử thách đó thành một chuyển giao REGISTER dùng phân loại xác thực truy nhập.

Việc đầu tiên một đầu cuối IMS thực hiện khi nó đăng nhập vao mạng IMS là gửi yêu cầu REGISTER đến mạng nhà của nó như hình 3.3. I-CSCF điều khiển việc gán REGISTER, theo các chỉ tiêu có được từ HSS trong trao dổi ban tin Diameter (3) và (4), một S-CSCF cho người dùng, mà được thực hiện nhiệm vụ với xác thực và cấp quyền người dùng. S-CSCF tải một số vector xác thực từ HSS (7). Mỗi vector chứa một thử thách ngẫu nhiên (RAND), một thẻ xác thực mạng ( AUTN) và một khóa phiên được mã hóa (CK). HSS tạo AUTN dùng khóa bí mật mà nó chia sẻ với ISIM và một số đoạn (SQN) được giữ để đồng bộ giữa ISIM và HSS. Mỗi S-CSCF tải vài vector để tránh liên lạc HSS thêm lần nữa nếu nó cần xác thực người dùng lại.

Hinh 3. 3 Phiên Register khởi tạo


S-CSCF dùng vector xác thực đầu tiên để xây dựng phân loại thử thách cho ISIM. S-CSCF xây dựng một đáp ứng 401 mà bao gồm một trường tiêu đề www-Authenticated. Giá trị bao gồm một mã cơ số 64 của RAND và AUTN. Giá trị của tham số thuật toán được thiết lập là AKAvl-MD5. Hình 3.4 chỉ nội dung của trường tiêu đề WWW-Authenticated.

WWW-authenticate: Digest

realm=”domain.com”,

nonce=”CjPk8mRqNuT25eRkajM09uT19nM09T19nMz50X25PZz==”,

qop=”auth, auth-int”,

algoritnm=AKAv1-MD5

Hinh 3. 4 Trường tiêu đề WWW-Authenticated.Khi đầu cuối nhận đáp ứng 401 nó suy ra RAND, AUTN, và CK và khóa IK từ trường lúc đầu. Nếu nó có được cùng giá trị như AUTN nhận, nó xem xét xác thực mạng. Trong trường hợp ISIM dùng khóa bí mật của nó và RAND nhận được tao ra một giá trị đáp ứng (RES) mà trả lời S-CSCF trong trường tiêu đề cấp quyền của yêu cầu REGISTER (11). Hình 3.5 chỉ ra nội dung của trường tiêu đề.

Authorization: Digest

uername=”[email protected]”,

ralm=”domain.com”,

nnce=”CjPk9mRqNuT25eRkajM09uT19nM09ut19nMz50X25PZz==”.

ui=”sip:domain.com”,

qop=auth-int

cnonce=”0a4fi13b”,

reponse=”6629fae4393a05397450978507c4ef1”,

Hinh 3. 5 Trường tiêu đề Authorization


Khi S-CSCF nhận REGISTER (5) nó so sánh với giá tri RES nhân được với giá trị kì vọng XRES trong vector xác thực. Nếu chúng phù hợp S-CSCF coi như người dùng được xác thực và trả lời bằng đáp ứng OK.

3.2.3 Xác thực và cấp quyền với USIM

Một đầu cuối IMS trang bì với một UICC chứa một USIM nhưng không chứa ISIM vẫn có thể dùng IMS. Rõ ràng, USIM không chứa nhận dạng người dùng công cộng và cá nhân, cũng như khóa bí mật cần thiết để xác thực người dùng bằng mạng IMS. USIM chứa IMSI ( nó tương tự như nhận dạng người dùng công cộng trong mạng chuyển mạch kênh và gói ). Đầu cuối IMS xây dựng một bộ nhận dạng người dùng tạm thời. USIM cũng chứa một khóa bí mật dài hạn, thông thường được sử dụng cho xác thực trong mạng chuyển mạch kênh và gói. Khi USIM được dùng để truy cập một mạng IMS, cả mạng và đầu cuối dùng một khóa bí mật dài hạn lưu trong USIM và HSS cho mục đích xác thực.

Trong hầu hết các trường hợp người vận hành mạng nhà sẽ không muốn để lộ cả IMSI hoặc bộ nhận dạng người dùng ra bên ngoài mạng nhà. Nhưng, chúng ta đã nói về bộ nhận dạng người dùng công cộng và bộ nhận dạng cá nhân tạm thời bắt nguồn từ IMSI. Vì thế, người vận hành mạng nhà có khả năng chắn bất kỳ bộ nhận dạng người dùng chung nào, chẳng hạn bộ nhận dạng tạm thời, từ trong bản tin SIP đang được sử dụng khác so với yêu cầu REGISTER và đáp ứng của nó. Đầu cuối IMS có thể dùng bất kì bộ nhận dạng người dùng công cộng nào cấp phát cho người dung, như chúng được truyền đến đầu cuối trong trường tiêu đề của P-Associated-URI của đáp ứng 200 (OK) đối với REGISTER. Nếu đầu cuối IMS khởi đầu một phiên với một bộ nhận dạng người dùng bị ngăn cấm, S-CSCF sẽ từ chối thiết lập phiên.

3.2.4 Thiết lập liên kết an ninh

P-CSCF và đầu cuối thiết lập hai liên kết an ninh Ipsec giữa chúng. Có hai liên kết an ninh thay vì một, cho phép các đầu cuối và P-CSCF dùng UDP để nhận đáp ứng đối với một yêu cầu trên một cổng khác so với cổn chúng dùng để gửi yêu cầu ( cổng nguồn của gói IP mang yêu cầu ). Vài người thực thi tin tưởng rằng việc thực thi dưới đây, trạng thái này là hiệu quả hơn so với việc thực thi dùng một cổng đơn. Mặt khác, các đầu cuối và các P-CSCF dùng TCP giữa chúng gửi đáp ứng trên cùng kết nối TCP ( ví dụ dùng cùng cổng ) như chúng nhận yêu cầu. Hình 3.6 và 3.7 mô tả việc dùng cổng trong UDP và TCP. Trong cả hai trường hợp, một liên kết an ninh được thiết lập từ


cổng người dùng được bảo vệ của đầu cuối đến cổng máy chủ được bảo vệ của P-CSCF. Cả hai liên kết an ninh hỗ trợ lưu lượng theo cả hai hướng.

Hinh 3. 6 Sử dụng cổng và liên kết an ninh với UDPP-CSCF và đầu cuối cần đồng ý vói một bộ tham số để thiết lập hai liên kết an ninh Ipsec giữa chúng. P-CSCF bảo đảm toàn vẹn và khóa mã hóa trong một đáp ứng (401) từ S-CSCF ( mà có được chúng trong một vector xác thực từ HSS). P-CSCF xóa khóa cả hai phía từ đáp ứng trước khi chuyển nó đến đầu cuối IMS. P-CSCF và đầu cuối IMS dùng cùng hai chuyển giao REGISTER mà được dùng cho xác thực để thương lượng phần còn lại của các tham số IPsec.

Hinh 3. 7 Sử dụng cổng và liên kết an ninh với TCPĐầu cuối thêm một trường tiêu đề Security-Client vào REGISTER (1) như trong hình 3.8. Trường tiêu đề này chứa cơ cấu ( ipsec-3gpp) và thuật toán (hmac-sha-1-96) đầu cuối hỗ trợ cũng như SIP ( xác định cho liên kết an ninh) và số cổng mà nó sẽ dùng.

Security-client: ipsec-3gpp; alg=hmac-sha-1-96

spi-c=23456789; spi-s=1234568;

port-c=2468; spi-s=1357

Hinh 3. 8 Trường tiêu đề Security-client


P-CSCF thêm một trường tiêu đề Security-client vào đáp ứng 401 (chưa được cấp quyền) như hình 3.9. Trường tiêu đề này chứa cơ cấu (ipsec-3gpp) và thuật toán (hmac-sha-1-96). P-CSCF hỗ trợ như các SPI và số cổng mà nó sẽ dùng. Hơn nữa P-CSCF chỉ rõ giá trị q cơ cấu bảo mật hay dùng của nó. Trường tiêu đề Security-Server có một cơ cấu đơn nhưng cơ cấu với giá trị q cao hơn hay dùng hơn.

Security-Sever: ipsec-3gpp, q=0.1; alg=hmac-sha-1-96

Spi-c=98765432, spi-s=87654321;

Port-c=8642; port-s=7531

Hinh 3. 9 Trường tiêu đề Security-Server

Security-Verify: ipsec-3gpp; q=0.1; alg=hmac-sha-1-96

Spi-c=98765432, spi-s=87654321;

Port-c=8642; port-s=7531

Hinh 3. 10 Trường tiêu đề Security-VerifyLiên kết an ninh sẵn sàng sử dụng ngay khi đầu cuối nhận trường tiêu đề

Security-Server (10). Vì đầu cuối gửi một yêu cầu REGISTER (11) trên một liên kết an ninh. Đầu cuối bao gồm một trường tiêu đề Security-Verify trong REGISTER như hình 3.10 phản ánh nội dung của trường tiêu đề Security-Server nhận trước đó. Cách này máy chủ chắc chắn rằng không có tác động sửa đổi khi nó gửi đến máy trạm. Hiện nay, P-CSCF cũng hỗ trợ ipsec-3gpp nhưng trong tương lai chúng không hỗ trợ cơ cấu an ninh khác. Một kẻ tấn công có thể xóa đi cơ cấu bảo mật mạnh nhất từ Securityy-Server để tấn công đầu cuối dùng bảo mật yếu hơn. Với thêm trường tiêu đề Security-Verify một kẻ tấn công chỉnh sửa danh sách Security-Server sẽ cần phá cơ cấu an ninh được chọn trong thời gian thực để thay đổi trường tiêu đề Security-Verify. Mặt khác, P-CSCF sẽ nhận ra sự tấn công và phá hủy đăng kí.

3.2.5 Thủ tục thiết lập liên kết an ninh

3.2.5.1 Các tham số của liên kết an ninhĐể bảo vệ an ninh cho lưu lượng giữa UE và P-CSCF thì hai thực thể này cần

phải thống nhất với nhau về các khóa được sử dụng (thông qua IMS AKA) cùng các tham số xác định cách thức bảo vệ. Thủ tục thiết lập chế độ an ninh cũng thực hiện thỏa


thuận các tham số của SA phục vụ cho việc bảo đảm tính cơ mật và quá trình nhận thực của thuê bao.

Các tham số của SA cần được thỏa thuận là:a) Thuật toán mã hoaThuật toán mã hóa được sử dụng là DES-EDE3-CBC (RFC 2451) hoặc AES-CBC

(RFC 3602) với độ dài khóa là 128 bit. b) Thuật toán đảm bảo tính toàn vẹnHai thuật toán đảm bảo tính toàn vẹn được sử dụng là HMAC-MD5-96 và

HMAC-SHA-1-96.c) Chỉ số tham số an ninh – SPIMỗi giá trị SPI chỉ được sử dụng đối với một SA nhất định. Ba tham số SPI, địa

chỉ IP đích và giao thức an ninh có chức năng xác định duy nhất một SA. Mỗi UE sẽ có các giá trị SPI riêng khác với các SPI đã được sử dụng. Còn các SPI của P-CSCF sẽ khác với các SPI mà P-CSCF nhận được từ UE. Khi tiến hành nhận thực đăng ký thì UE và P-CSCF sẽ chọn ra giá trị SPI của mình để thiết lập SA.

d) Chế độ hoạt động của SA Chế độ hoạt động của SA sẽ được xác định phụ thuộc vào sự có mặt của NAT.

Trong trường hợp không sử dụng NAT thì các SA sẽ hoạt động ở chế độ truyền dẫn, còn trong trường hợp có sử dụng NAT thì chúng sẽ hoạt động ở chế độ đường hầm được đóng gói UDP. P-CSCF sẽ nhận biết được sự hiện diện của NAT trong quá trình thiết lập SA.

Sau đây là các tham số không được thỏa thuận của SA:a) Kiểu thời gian tồn tại (Life type): Luôn có giá trị là giây.b) Thời hạn của SA (SA duration): Có độ dài cố định là 232-1.c) Chế độ (Mode): Mặc định là chế độ truyền dẫn, chỉ trong trường hợp sử dụng

NAT mới chuyển sang chế độ đường hầm được đóng gói UDP.d) Độ dài khóa toàn vẹn (Key length): Độ dài của khóa toàn vẹn IKESP tùy thuộc

vào thuật toán được sử dụng, ví dụ thuật toán HMAC–MD5–96 có độ dài khóa là 128 bit, còn thuật toán HMAC–SHA–1–96 là 160 bit.

e) Độ dài khóa mã hóa: Độ dài của khóa mã hóa phụ thuộc vào thuật toán được sử dụng, trung bình là 128 bit.


Các giá trị chọn lựaa) Khi không co NAT Địa chỉ IP của các cặp SA:o Cặp SA trong biên tại P-CSCF: Địa chỉ IP nguồn và đích của cặp SA này giống

với các địa chỉ IP tương ứng trong mào đầu của gói tin chứa bản tin SIP REGISTER mà UE gửi đến.

o Cặp SA ngoài biên tại P-CSCF: Địa chỉ IP nguồn và đích của cặp SA này chính là địa chỉ IP đích và nguồn của cặp SA trong biên (các giá trị đảo ngược cho nhau).

Giao thức truyền dẫn có thể là UDP hoặc TCP. Các cổng:o P-CSCF làm việc trên hai cổng, đó là port_ps (cổng server được bảo vệ) và

port_pc (cổng client được bảo vệ). Mỗi cổng này sẽ thiết lập một cặp SA khi nhận thực cho yêu cầu đăng ký. Để đảm bảo an ninh, các bản tin không được bảo vệ sẽ không được truyền hay nhận qua các cổng port_ps và port_pc. Số của các cổng này được gửi đến cho UE khi thiết lập chế độ an ninh. Cả hai cổng trên đều hỗ trợ UDP và TCP:

Đối với UDP: P-CSCF nhận/gửi các yêu cầu và hồi đáp được bảo vệ bởi ESP từ/đến UE qua cổng port_ps/port_pc.

Đối với TCP: P-CSCF phải thiết lập một kết nối TCP từ cổng port_pc đến cổng port_us của UE trước khi gửi yêu cầu.

o Chú ý:

Cả UE và P-CSCF có thể thiết lập một kết nối TCP từ cổng client của mình đến cổng server của thực thể bên kia khi cần thiết. Tuy nhiên, chúng cũng có thể tái sử dụng một kết nối TCP sẵn có.

Cổng server được bảo vệ port_us sẽ không thay đổi đối với UE cho đến khi tất cả IMPU của UE đó được tái đăng ký.

o UE cũng sử dụng hai cổng là port_us (cổng server được bảo vệ) và port_uc (cổng client được bảo vệ). Các cổng này cũng có tính chất tương tự như các cổng của P-CSCF. Giao thức truyền dẫn được sử dụng có thể là UDP hoặc TCP:

Đối với UDP: UE nhận/gửi các yêu cầu và hồi đáp được bảo vệ bởi ESP từ/đến P-CSCF ở cổng port_us /port_uc.


Đối với TCP: UE phải thiết lập một kết nối TCP đến cổng port_ps của P-CSCF trước khi gửi yêu cầu cho P-CSCF.

o P-CSCF chỉ được phép nhận các bản tin REGISTER tại các cổng port_ps và port_pc. Còn các bản tin liên quan đến các dịch vụ khẩn cấp và các bản tin báo lỗi trên các cổng không được bảo vệ.

o Tại các cổng port_us và port_uc, UE sẽ không được phép nhận các bản tin sau:

Các hồi đáp cho các bản tin REGISTER không được bảo vệ. Các bản tin liên quan đến các dịch vụ khẩn cấp. Các bản tin báo lỗi.Các bản tin không hợp lệ sẽ bị UE từ chối hoặc tự động loại bỏ mà không cần

thông báo cho P-CSCF.Các yêu cầu khi thiết lập SA: Đối với mỗi SA đang tồn tại, ứng dụng SIP tại P-CSCF sẽ lưu trữ ít nhất là các

tham số: địa chỉ IP của UE, cổng được bảo vệ của UE, cổng được bảo vệ của P-CSCF, SPI, IMPI, IPMU1, ..., IMPUn và thời gian sống trong bảng SA. Hai giá trị cổng được bảo vệ của UE và cổng được bảo vệ của P-CSCF là port_uc và port_ps hoặc port_us và port_pc.

Chú ý: SPI chỉ được sử dụng khi P-CSCF cần thiết lập hay xóa các SA Ứng dụng SIP tại P-CSCF ngay khi nhận được bản tin REGISTER được bảo

vệ sẽ kiểm tra trường địa chỉ IP nguồn và đích có giống với địa chỉ IP của UE trong trường mào đầu Via hay không. Nếu trường mào đầu Via chứa một ký hiệu thay vì địa chỉ IP của UE thì P-CSCF trước hết phải xử lý ký hiệu đó để biết được địa chỉ IP của UE.

Ứng dụng SIP tại P-CSCF ngay khi nhận được bản tin thiết lập REGISTER hoặc bản tin re-REGISTER sẽ kiểm tra địa chỉ IP của UE và cổng client được bảo vệ của UE có phù hợp với các đầu vào trong bảng SA hay không. Ở đây, địa chỉ IP của UE được lấy trong phần mào đầu của gói tin và giá trị cổng client được bảo vệ sẽ do UE gửi đến. Nếu kết quả kiểm tra không phù hợp thì quá trình đăng ký sẽ bị loại bỏ, đồng thời P-CSCF gửi một bản tin thông báo lỗi cho UE.

Khi P-CSCF nhận được một gói tin trên SA thì ứng dụng SIP của nó sẽ thẩm định SA trong biên được sử dụng có phù hợp hay không, bằng cách kiểm tra ba tham số địa chỉ IP của UE, cổng được bảo vệ của UE và cổng được bảo vệ của P-CSCF có trong


bảng SA. Đồng thời, ứng dụng SIP còn phải đảm bảo rằng thuê bao mà P-CSCF gửi hồi đáp cũng chính là thuê bao đã gửi bản tin cho P-CSCF.

Chú ý: Có một số bản tin SIP không có nhận dạng chung và riêng ví dụ như các bản tin kế tiếp nhau trong cuộc hội thoại.

Đối với mỗi SA đang tồn tại, ứng dụng SIP tại UE cũng lưu ít nhất là một trong các tham số: địa chỉ IP của UE, cổng được bảo vệ của UE, cổng được bảo vệ của P-CSCF, SPI và thời gian sống có trong bảng SA. Cổng được bảo vệ của UE và cổng được bảo vệ của P-CSCF chính là port_uc và port_ps hoặc port_us và port_pc.

Chú ý: SPI chỉ được UE sử dụng khi thiết lập và xóa các SA ở UE. Khi một cặp SA mới được thiết lập thì ứng dụng SIP tại UE phải đảm bảo rằng

các số đã lựa chọn cho các cổng được bảo vệ sẽ không trùng với bất cứ đầu vào nào trong bảng SA.

Chú ý: Số của các cổng được bảo vệ tại UE nên được lựa chọn một cách ngẫu nhiên nhằm hạn chế tấn công DoS.

Đối với mỗi bản tin nhận được, ứng dụng SIP tại UE sẽ kiểm tra sự phù hợp của SA tương ứng thông qua hai giá trị là cổng được bảo vệ của UE và cổng được bảo vệ của P-CSCF trong bảng SA.

Chú ý: Nếu gói tin nhận được này không được bảo vệ tính toàn vẹn thì nó sẽ bị IPSec tự động loại bỏ.

b) Khi co NATTrong trường hợp có NAT thì UE sẽ được cấu hình nội bộ bằng một địa chỉ IP

riêng. Khi UE này liên lạc với P-CSCF thì NAT sẽ có chức năng định vị ràng buộc và chuyển đổi địa chỉ IP nội bộ của UE thành địa chỉ IP công cộng.

Địa chỉ IP:o Địa chỉ của các SA tại P-CSCF vẫn giống như trường hợp không có NAT.

o Đối với SA ngoài biên của UE: Địa chỉ nguồn của SA ngoài biên chính là địa chỉ IP công cộng của UE. UE biết được địa chỉ IP công cộng này thông qua các tham số có trong trường mào đầu Via của hồi đáp 401 (không được nhận thực) tương ứng với yêu cầu REGISTER không được bảo vệ.

Địa chỉ đích của SA này là địa chỉ đích trong phần mào đầu của gói tin chứa bản tin SIP REGISTER được gửi đến cho P-CSCF.


o Đối với SA trong biên của UE: Địa chỉ IP nguồn và đích của SA trong biên chính là địa chỉ IP đích và nguồn của SA ngoài biên.

Chú ý: Các địa chỉ IP và các cổng được sử dụng làm giá trị lựa trong chế độ đường hầm của IPSec đều nằm ở phần mào đầu bên trong.

Giao thức truyền dẫn có thể là UDP hoặc TCP. Các cổng: Giống như trường hợp không có NAT.Dữ liệu liên quan đến việc sử dụng chế độ đường hầm được đóng gói UDP: Đối với một gói tin ở chế độ đường hầm thì cần phải quan tâm đến địa chỉ đầu

cuối của đường hầm và cấu tạo mào đầu của gói tin. Khi sử dụng chế độ đường hầm được đóng gói UDP thì gói tin truyền giữa UE

và P-CSCF sẽ được thêm một phần mào đầu mới bên ngoài. Còn phần mào đầu bên trong vẫn giống với trường hợp không có NAT. Trường mào đầu địa chỉ IP ở phần mào đầu bên ngoài được xác định như sau:

o Đối với P-CSCF: Địa chỉ nguồn của SA ngoài biên chính là địa chỉ của P-CSCF, còn địa chỉ đích là địa chỉ công cộng của UE. Đối với SA trong biên thì địa chỉ đích là địa chỉ của P-CSCF.

o Đối với UE: Địa chỉ nguồn của SA ngoài biên là địa chỉ IP nội bộ của UE, còn địa chỉ đích sẽ là địa chỉ của P-CSCF. Địa chỉ đích của SA trong biên chính là địa chỉ nội bộ của UE và được dùng để xác định SA.

Giá trị các cổng có trong phần mào đầu đóng gói UDP:o Đối với UE: Mỗi bản tin được đóng gói UDP truyền trên SA sẽ dùng cổng

4500 làm cổng nguồn và cổng đích trong phần mào đầu của nó.o Đối với P-CSCF: Khi UE gửi một bản tin được đóng gói UDP đến P-

CSCF có số cổng như trên thì NAT sẽ thay giá trị cổng nguồn thành một cổng khác, gọi là cổng port_Uenc. Khi P-CSCF nhận được gói tin đóng gói UDP đầu tiên do UE gửi đến thì nó sẽ lưu giữ lại số cổng port_Uenc này. Từ đây về sau, các bản tin được đóng gói UDP do P-CSCF gửi đến UE sẽ sử dụng cổng 4500 làm cổng nguồn và cổng port_Uenc làm cổng đích trong phần mào đầu đóng gói UDP.

Các yêu cầu khi thiết lập SA: Đối với mỗi SA đang tồn tại, ứng dụng SIP tại P-CSCF lưu trữ tối thiểu các số

liệu: địa chỉ IP của UE, cổng được bảo vệ của UE, cổng được bảo vệ của P-CSCF, SPI, IMPI, IPMU1, ..., IMPUn, thời gian sống và chế độ hoạt động trong bảng SA. Cổng


được bảo vệ của UE và cổng được bảo vệ của P-CSCF là port_uc và port_ps hoặc port_us và port_pc.

Khi ứng dụng SIP tại P-CSCF nhận được bản tin REGISTER thì nó sẽ kiểm tra trường địa chỉ IP nguồn của gói tin có giống với địa chỉ IP của UE trong trường mào đầu Via hay không. Nếu trường mào đầu Via chứa một ký hiệu thay vì địa chỉ IP của UE thì P-CSCF trước hết phải xử lý ký hiệu đó để biết được địa chỉ của UE.

Ứng dụng SIP tại P-CSCF ngay khi nhận được bản tin thiết lập REGISTER hoặc bản tin re-REGISTER sẽ kiểm tra địa chỉ IP của UE và cổng client được bảo vệ của UE có phù hợp với các đầu vào trong bảng SA hay không. Trong đó, địa chỉ IP của UE là địa chỉ nguồn trong phần mào đầu gói tin, còn giá trị cổng client được bảo vệ sẽ do UE gửi đến. Nếu phát hiện UE nằm sau một NAT thì P-CSCF sẽ so sánh hai giá trị địa chỉ IP của UE và cổng server được bảo vệ của UE với các đầu vào của bảng SA.

Chú ý: Khi có nhiều UE cùng nằm sau một NAT thì P-CSCF sẽ từ chối các yêu cầu đăng ký từ các UE có cùng địa chỉ và cổng server được bảo vệ, nhằm tránh xảy ra tình trạng mập mờ về địa chỉ của các bản tin SIP được gửi cho UE thông qua cổng server được bảo vệ.

Nếu các bước kiểm tra trên gặp thất bại thì quá trình đăng ký sẽ bị loại bỏ, đồng thời P-CSCF gửi bản tin báo lỗi cho UE.

Đối với mỗi bản tin nhận được, ứng dụng SIP tại P-CSCF sẽ kiểm tra sự phù hợp của SA trong biên được sử dụng thông qua ba giá trị là địa chỉ IP của UE, cổng được bảo vệ của UE và cổng được bảo vệ của P-CSCF trong bảng SA. Ứng dụng này còn phải đảm bảo gửi bản tin đến đúng người nhận.

Đối với mỗi SA đang tồn tại, ứng dụng SIP tại UE sẽ lưu ít nhất một trong các tham số: địa chỉ IP của UE, cổng được bảo vệ của UE, cổng được bảo vệ của P-CSCF, SPI, thời gian sống và chế độ hoạt động trong bảng SA.

Khi cần thiết lập một cặp SA mới thì ứng dụng SIP tại UE phải đảm bảo rằng giá trị sử dụng của các cổng được bảo vệ sẽ khác với mọi đầu vào trong bảng SA. Các giá trị này sẽ được lựa chọn một cách ngẫu nhiên. Khi UE nhận được một bản tin thông báo lỗi do xảy ra xung đột giữa địa chỉ IP và cổng thì nó có thể tiến hành đăng ký lại với một số cổng khác.

Chú ý:o Các số cổng sẽ được UE lựa chọn một cách ngẫu nhiên nhằm:


Tránh xảy ra trường hợp tồn tại một cặp xung đột (địa chỉ IP, cổng) tại P-CSCF.

Ngăn chặn tấn công DoS. o Quá trình lựa chọn ngẫu nhiên số cổng được thực hiện trong cả quá trình thiết

lập đăng ký và tái đăng ký. Đối với mỗi bản tin bảo vệ nhận được, ứng dụng SIP tại UE sẽ kiểm tra sự phù

hợp của SA dựa vào hai giá trị là cổng được bảo vệ của UE và cổng được bảo vệ của P-CSCF trong bảng SA.

Chú ý: Nếu bước kiểm tra tính toàn vẹn cho gói tin nhận được gặp thất bại thì IPSec sẽ tự động loại bỏ gói tin đó.3.2.5.2 thủ tục liên kết an ninh

các cổng được P-CSCF gán cho UE thì phương pháp thiết lập an ninh trong bản tin SM6 còn chứa một danh sách các nhận dạng của các thuật toán mã hóa và đảm bảo tính toàn vẹn mà P-CSCF hỗ trợ. Nếu P-CSCF không hỗ trợ chức năng đảm bảo tính cơ mật thì phương pháp thiết lập an ninh trong bản tin SM6 sẽ không chứa một thuật toán mã hóa nào.

Chú ý: P-CSCF không hỗ trợ chức năng đảm bảo tính cơ mật khi người điều hành tin tưởng vào quá trình mã hóa của mạng truy nhập tầng dưới. Lúc này, P-CSCF hoạt động như một P-CSCF Release 5 và không gửi kèm các thuật toán mã hóa trong bản tin SM6 nữa.

SM6:4xx Auth_Challenge(Security-setup = SPI_P, Port_P, P-CSCF integrity and

encryption algorithms list, IPSec mode list)Khi nhận được bản tin SM6, UE sẽ quyết định các thuật toán mã hóa và thuật toán

đảm bảo tính toàn vẹn dựa vào danh sách do P-CSCF gửi đến. Đây phải là thuật toán được UE và P-CSCF cùng hỗ trợ. Nếu P-SCSF không gửi thuật toán bảo đảm tính toàn vẹn nào trong bản tin SM6 thì UE sẽ gán giá trị cho thuật toán này là NULL.

Chú ý: UE Release 5 không hỗ trợ bất cứ thuật toán mã hóa nào và nó sẽ chọn thuật toán Release 5 đầu tiên trong danh sách.

UE tiến hành lựa chọn chế độ hoạt động cho IPSec dựa vào thông tin trong SM6. Nếu UE không nhận được thông tin về chế độ hoạt động thì nó sẽ kiểm tra sự có mặt của NAT nhờ tham số “received” trong trường mào đầu Via của SM6. Nếu không có NAT thì UE hoạt động ở chế độ truyền dẫn, ngược lại nó hủy bỏ liên lạc với P-CSCF.


Trong trường hợp sử dụng chế độ đường hầm thì UE tiến hành thiết lập hai cặp SA mới trong SAD cục bộ.

Các bản tin từ SM7 trở về sau sẽ được UE bảo vệ tính cơ mật và tính toàn vẹn. SM7 chứa danh sách các thuật toán mã hóa và đảm bảo tính toàn vẹn, các giá trị SPI_P và Port_P của SM6 và các giá trị SPI_U, Port_U của bản tin SM1.

SM7:REGISTER(Security-setup = SPI_U, Port_U, SPI_P, Port_P, P-CSCF integrity

and encryption algorithms list, IPSec mode list)Ở chế độ đường hầm được đóng gói UDP, UE có thể biết được địa chỉ IP công

cộng và cổng server được bảo vệ của nó từ các trường mào đầu Via và Contact (bằng cách kiểm tra tham số “recieved” (nếu có) trong trường mào đầu Via cao nhất của bản tin SM6). UE sẽ liên tục gửi bản tin nhằm giúp cho ràng buộc NAT được duy trì trong suốt thời gian đăng ký.

Tại P-CSCF, bản tin SM7 trước tiên được xử lý bởi chức năng đóng gói UDP nhằm xác định giá trị port_Uenc mà NAT đã lựa chọn. Sau đó, giá trị port_Uenc sẽ được ghi vào các ô “undef” để hoàn thiện bảng đóng gói UDP như dưới đây.

Tiếp theo, trường mào đầu UDP được tách ra khỏi gói tin để thực hiện xử lý IPSec.

Sau các bước trên, ứng dụng SIP tại P-CSCF sẽ xem xét danh sách các thuật toán đảm bảo tính toàn vẹn, cùng các giá trị SPI_P và cổng Port_P trong bản tin SM7 có giống với các tham số tương ứng trong bản tin SM6 hay không. Ngoài ra, ứng dụng này còn kiểm tra sự nhất quán giữa các giá trị SPI_U và Port_U trong bản tin SM7 với các giá trị tương ứng trong bản tin SM1. Nếu các phép kiểm tra này gặp thất bại thì thủ tục đăng ký sẽ bị loại bỏ.

Bang 3. 1Bảng đóng gói UDP của P-CSCF sau khi được hoàn thành

Bảng đóng gói UDP ở phía mạng

SA1 SA2 SA3 SA4

Src Addr P-CSCF UE_pub P-CSCF UE_pub

Dest Addr UE_pub P-CSCF UE_pub P-CSCF

Src Port 4500 Port_Uenc 4500 Port_Uenc


Dest Port Port_Uenc 4500 Port_Uenc 4500

SPI SPI_us SPI_ps SPI_uc SPI_pc

Ở chế độ truyền dẫn thì sau khi nhận được bản tin SM7, P-CSCF cũng sẽ tiến hành hai thao tác kiểm tra trên. Nếu một bước kiểm tra nào đó gặp thất bại thì thủ tục đăng ký cũng bị loại bỏ.

P-CSCF sẽ bổ sung một thông tin vào bản tin SM8 để thông báo cho S-CSCF rằng các bản tin do UE gửi đến đều được đảm bảo tính toàn vẹn. Thông tin thông báo này còn được P-CSCF đưa vào các bản tin REGISTER tiếp theo do UE gửi đến, sau khi đã kiểm tra tính toàn vẹn đối với các bản tin này.

SM8:REGISTER(Integrity-Protection = Successful, IMPI)Cuối cùng, P-CSCF gửi bản tin SM12 đến UE, bản tin này không chứa thông tin

nào liên quan đến việc thiết lập chế độ an ninh mà chỉ có chức năng thông báo cho UE rằng quá trình thiết lập an ninh đã thành công.

Hình 3.11 dưới đây minh họa trường hợp UE tiến hành thủ tục tái đăng ký khi không được trao quyền.

Hinh 3. 11: UE tiến hành thủ tục tái đăng ký khi không được trao quyền.


3.2.5.3 Các lỗi thường xảy ra khi thiết lập SAi) Các lỗi xảy ra khi áp dụng giao thức IMS AKAa) Thất bại khi nhận thực khách hàngKhi nhận thực cho khách hàng, bước kiểm tra tính toàn vẹn của bản tin SM7 do

IPSec thực hiện tại P-CSCF sẽ gặp thất bại nếu khóa IKIM do RAND tại UE phân phối xảy ra lỗi. Lúc này, ứng dụng SIP ở P-CSCF không nhận được bản tin SM7 và xóa các tham số của SA tương ứng với đăng ký này đang được lưu trữ tạm thời sau khi thời hạn cho phép kết thúc.

Nếu khóa IKIM được phân phối không xảy ra lỗi nhưng hồi đáp lại sai thì quá trình nhận thực khách hàng tại S-CSCF vẫn thất bại. Thông qua P-CSCF, S-CSCF sẽ gửi bản tin 4xx Auth_Failure đến UE trên một SA vừa được thiết lập. Sau đó cả UE và P-CSCF xóa các SA mới này.

b) Thất bại khi nhận thực mạngNếu UE gặp thất bại khi nhận thực mạng thì nó gửi một bản tin REGISTER (có

thể qua một SA vừa được thiết lập) để thông báo cho P-CSCF. P-CSCF sẽ xóa các SA mới khi nhận được bản tin thông báo này.

c) Thất bại khi đồng bộKhi UE nhận thấy rằng AUTN do mạng gửi đến trong bản tin SM6 có chứa một số

tuần tự không nằm trong dải, nó sẽ gửi một bản tin REGISTER để thông báo cho P-CSCF. Sau đó, P-CSCF sẽ xóa các SA vừa được thiết lập.

d) Quá trinh nhận thực không hoàn tấtNếu UE hồi đáp chất vấn do P-CSCF gửi đến mà lại không nhận được bản tin trả

lời trước khi thời gian yêu cầu kết thúc thì nó sẽ bắt đầu thủ tục đăng ký nếu còn yêu cầu sử dụng dịch vụ đa phương tiện. Bản tin đầu tiên trong quá trình đăng ký sẽ được SA của thủ tục nhận thực thành công trước đó bảo vệ.

Khi P-CSCF nhận được một chất vấn của S-CSCF và tạo ra các SA tương ứng trong quá trình đăng ký, nó sẽ xóa các thông tin liên quan đến các thủ tục đăng ký trước đó (bao gồm cả các SA).

Nếu một SA bị xóa do thời gian tồn tại của nó đã hết thì P-CSCF cũng xóa tất cả các thông tin liên quan đến thủ tục đăng ký đã tạo ra SA này.

ii) Các lỗi xảy ra trong quá trinh thỏa thuận các tham số thiết lập an ninhe) P-CSCF không chấp nhận đề nghị của UE


Trường hợp này xảy ra khi P-CSCF không chấp nhận phương pháp thiết lập an ninh do UE gửi đến trong bản tin SM1. Khi đó, P-CSCF sẽ trả lời bản tin SM1 bằng một thông báo lỗi.

f) UE không chấp nhận đề nghị của P-CSCFNếu UE không chấp nhận phương pháp thiết lập an ninh do P-CSCF gửi đến

(trong bản tin SM6) thì nó sẽ loại bỏ thủ tục đăng ký.g) Phương pháp thiết lập an ninh ở P-CSCF không nhất quánNếu danh sách các thuật toán nhận thực và mã hóa trong bản tin SM7 và SM6

không giống nhau thì thủ tục đăng ký sẽ bị loại bỏ.h) Lưu lượng không thể truyền qua NATTrường hợp này xảy ra khi P-CSCF phát hiện ra sự có mặt của NAT nhưng UE

hoặc P-CSCF lại không có khả năng truyền lưu lượng qua NAT. Khi đó, P-CSCF cũng loại bỏ thủ tục thiết lập SA.3.2.5.4 Nhận thực quá trình tải đăng kí

Mỗi thủ tục đăng ký luôn có một quá trình nhận thực khách hàng nhằm thiết lập các SA mới. Nếu quá trình nhận thực khách hàng thành công thì các SA mới sẽ thay thế cho các SA cũ. Phần này sẽ đề cập đến cách thức UE và P-CSCF thực hiện thay thế các SA cũ và xác định SA nào sẽ được sử dụng đối với một bản tin cho trước.

Khi các SA được thay thế ở quá trình nhận thực yêu cầu tái đăng ký thì các cổng port_us và port_ps vẫn được giữ nguyên trong khi các cổng port_uc và port_pc lại bị thay đổi.

Nếu UE có một cặp SA ở trạng thái tích cực thì nó sẽ sử dụng cặp liên kết này để bảo vệ cho bản tin REGISTER. Khi P-CSCF thông báo cho S-CSCF rằng bản tin REGISTER do UE gửi đến được bảo vệ tính toàn vẹn thì S-CSCF có thể không cần phải nhận thực khách hàng bằng giao thức AKA nữa. Tuy nhiên, P-CSCF nên nhận thực khách hàng do UE có thể gửi bản tin REGISTER không được bảo vệ vào bất cứ thời điểm nào. Ví dụ như khi UE cho rằng các SA không còn được P-CSCF tích cực nữa (tức là UE không nhận được hồi đáp sau khi nó đã gửi một số các bản tin được bảo vệ).3.2.5.5 Nhận thực quá trình tải đăng kí

Mỗi thủ tục đăng ký luôn có một quá trình nhận thực khách hàng nhằm thiết lập các SA mới. Nếu quá trình nhận thực khách hàng thành công thì các SA mới sẽ thay thế


cho các SA cũ. Phần này sẽ đề cập đến cách thức UE và P-CSCF thực hiện thay thế các SA cũ và xác định SA nào sẽ được sử dụng đối với một bản tin cho trước.

Khi các SA được thay thế ở quá trình nhận thực yêu cầu tái đăng ký thì các cổng port_us và port_ps vẫn được giữ nguyên trong khi các cổng port_uc và port_pc lại bị thay đổi.

Nếu UE có một cặp SA ở trạng thái tích cực thì nó sẽ sử dụng cặp liên kết này để bảo vệ cho bản tin REGISTER. Khi P-CSCF thông báo cho S-CSCF rằng bản tin REGISTER do UE gửi đến được bảo vệ tính toàn vẹn thì S-CSCF có thể không cần phải nhận thực khách hàng bằng giao thức AKA nữa. Tuy nhiên, P-CSCF nên nhận thực khách hàng do UE có thể gửi bản tin REGISTER không được bảo vệ vào bất cứ thời điểm nào. Ví dụ như khi UE cho rằng các SA không còn được P-CSCF tích cực nữa (tức là UE không nhận được hồi đáp sau khi nó đã gửi một số các bản tin được bảo vệ).3.2.5.6 Vấn đề sử dụng liên kết an ninh

i) Vấn đề sử dụng liên kết an ninh ở UE Tại một thời điểm thì mỗi UE chỉ được thực hiện một thủ tục đăng ký, tức là UE

sẽ phải xóa các dữ liệu (bao gồm cả các SA) liên quan đến các đăng ký hay nhận thực chưa được hoàn tất trước đó khi nó tiến hành một thủ tục đăng ký mới.

UE có thể bắt đầu một thủ tục đăng ký với hai cặp SA đang tồn tại (thường là các SA cũ). Quá trình đăng ký cũng tạo ra hai cặp SA mới nhưng chúng lại không được dùng để bảo vệ cho lưu lượng cho đến khi được quá trình nhận thực “biết đến”. Sau đó, các bản tin sẽ được truyền trên SA tương ứng. Nếu UE nhận được một bản tin được bảo vệ bằng một SA không phù hợp thì nó sẽ loại bỏ bản tin này.

Quá trình nhận thực thành công của UE bao gồm các bước sau: UE gửi bản tin SM1 để đăng ký với IMS. Nếu cần bảo vệ cho bản tin SM1 này

thì UE sẽ truyền nó trên một SA ngoài biên cũ. P-CSCF gửi một chất vấn nhận thực trong bản tin SM6 cho UE trên một SA

cũ. Sau khi xử lý bản tin SM6, UE sẽ tạo ra các SA mới. Thời gian sống của các

SA mới này sẽ được thiết lập đủ để cho phép hoàn tất thủ tục đăng ký. Nếu các SA cũ bảo vệ cho bản tin SM1 sử dụng chế độ đường hầm được đóng gói UDP thì các SA mới cũng hoạt động ở chế độ đó. Tiếp theo, UE gửi hồi đáp là bản tin SM7 cho P-CSCF, bản tin này được bảo vệ bằng SA ngoài biên mới. Lúc này, nếu bản tin SM1 được bảo


vệ thì UE sẽ sử dụng các SA cũ để bảo vệ cho các bản tin còn lại của quá trình nhận thực, cho đến khi nhận được bản tin SM12. Nếu SM1 không được bảo vệ thì UE không được phép sử dụng các dịch vụ cho đến khi nhận được bản tin SM12.

Bản tin SM12 do P-CSCF gửi đến sẽ được bảo vệ bởi một SA trong biên mới của UE.

Khi UE nhận được bản tin SM12 thì có nghĩa là quá trình đăng ký diễn ra thành công. UE thiết lập thời gian sống cho các SA mới bằng thời gian tồn tại dài nhất của các SA cũ hoặc bằng thời gian định thời cho đăng ký được lưu trong bản tin cộng với một thời gian gia hạn ngắn (khoảng thời gian gia hạn này sẽ không được đề cập đến trong đồ án này), tùy thuộc vào khoảng thời gian nào dài hơn. Các SA ngoài biên mới sẽ được sử dụng để bảo vệ cho các bản tin SIP mà UE gửi đi. Trường hợp bản tin SIP là một phần của giao dịch SIP đang được chờ để xử lý thì nó có thể được truyền trên SA cũ. (Một giao dịch SIP được gọi là đang chờ xử lý nếu nó được thiết lập bằng một SA cũ.) Khi P-CSCF nhận được các bản tin của UE trên một SA mới thì các SA cũ sẽ được xóa đi ngay khi các giao dịch SIP đang chờ đợi được hoàn tất hoặc bị hết hạn. Các SA cũ còn bị xóa khi thời gian sống của nó đã hết. Đây là bước hoàn tất thủ tục xử lý SA đối với UE.

Khi quá trình nhận thực gặp thất bại, nếu bản tin SM1 không được bảo vệ thì chỉ có bản tin thông báo nhận thực khách hàng bị thất bại được truyền trên SA mới. Nếu bản tin SM1 được bảo vệ thì các bản tin thông báo thất bại sẽ được truyền trên các SA cũ. Trong cả hai trường hợp, sau khi xử lý bản tin thông báo thất bại này thì P-CSCF sẽ xóa tất cả các SA mới.

P-CSCF luôn giám sát thời gian hết hạn của các đăng ký chưa được nhận thực và trong trường hợp thì nó sẽ tăng thời gian tồn tại của các SA được tạo ra trước đó.

UE sẽ xóa các SA khi thời gian sống của chúng đã hết hoặc khi tất cả các IMPU của UE này được tái đăng ký.

ii) Vấn đề sử dụng liên kết an ninh ở P-CSCFKhi gửi một chất vấn đến UE thì P-CSCF có thể sử dụng một SA cũ của quá trình

nhận thực thành công trước đó (mỗi quá trình nhận thực thành công sẽ tạo ra hai cặp SA). Quá trình nhận thực mới cũng tạo ra hai cặp SA, tuy nhiên các SA mới này sẽ không được sử dụng cho đến khi được biết đến trong quá trình nhận thực. Mỗi bản tin nhất định sẽ được bảo vệ bằng SA tương ứng, nếu P-CSCF phát hiện ra bản tin được bảo vệ bằng SA không phù hợp thì nó sẽ loại bỏ bản tin đó.


P-CSCF kiểm tra IMPI cùng các IMPU tương ứng của UE khi truyền các gói tin cho UE này trên SA vừa được thiết lập.

Quá trình nhận thực thành công đối với P-CSCF bao gồm các bước sau: P-CSCF nhận bản tin SM1 do UE gửi đến. Trong trường hợp cần bảo vệ cho

bản tin này thì nó sẽ truyền trên một SA cũ. P-CSCF gửi bản tin SM6 có chứa chất vấn cho UE. Bản tin này được truyền

trên một SA ngoài biên cũ, bất kể SM1 có được bảo vệ hay không. Sau đó, P-CSCF tạo ra các SA mới có thời gian tồn tại được lập đủ để hoàn

thành thủ tục nhận thực. Nếu SA cũ bảo vệ cho SM1 sử dụng chế độ đường hầm được đóng gói UDP thì các SA mới cũng sẽ hoạt động ở chế độ này.

P-CSCF nhận bản tin có chứa hồi đáp (SM7) do UE gửi đến. Bản tin này được truyền trên một SA mới. Nếu SM1 được bảo vệ thì các SA cũ sẽ được dùng để bảo vệ cho các bản tin còn lại trong quá trình nhận thực.

P-CSCF chuyển tiếp bản tin thông báo đăng ký thành công (SM12) cho UE. Bản tin này được truyền trên SA ngoài biên mới. Đây là bước hoàn thành thủ tục đăng ký đối với P-CSCF. P-CSCF sẽ thiết lập thời gian sống cho các SA mới bằng thời gian tồn tại dài nhất của các SA cũ bằng thời gian định thời cho đăng ký được lưu trong bản tin cộng thêm một thời gian gia hạn ngắn nữa, tùy thuộc vào khoảng thời gian nào dài hơn.

Sau khi gửi bản tin SM12, P-CSCF xử lý các SA liên quan đến UE như sau:o Nếu các SA cũ vẫn còn tồn tại mà bản tin do P-CSCF nhận được lại không

được bảo vệ thì P-CSCF sẽ xem như đã xảy ra lỗi và cho rằng UE không còn sử dụng các SA cũ này nữa nên xóa chúng đi.

o Nếu bản tin SM1 được bảo vệ bằng một SA cũ phù hợp thì P-CSCF sẽ giữ lại SA trong biên này cùng ba SA tương ứng với nó để sử dụng (còn tất cả các SA cũ khác đều được xóa đi). Khi bốn SA này sắp hết hạn hoặc khi nhận được một bản tin do UE gửi trên một SA mới thì P-CSCF sẽ bắt đầu sử dụng các SA mới để truyền các bản tin được gửi đi. Trường hợp bản tin là một phần của giao dịch SIP đang được chờ để xử lý thì nó có thể được truyền trên SA cũ. Các SA cũ này sẽ được xóa ngay khi giao dịch SIP được xử lý hay bị hết hạn. Ngoài ra, các SA cũ còn được xóa khi thời gian tồn tại của chúng đã hết. Khi các liên kết cũ hết hạn mà không có bản tin SIP nào được truyền trên các SA mới thì các SA mới này sẽ được dùng để bảo vệ cho các bản tin ngoài biên. Đây là bước hoàn thành thủ tục nhận thực ở P-CSCF.


Khi quá trình nhận thực gặp thất bại, nếu bản tin SM1 không được bảo vệ thì các bản tin thông báo thất bại cũng không được bảo vệ, ngoại trừ bản tin thông báo quá trình nhận thực khách hàng bị thất bại sẽ được truyền trên các SA mới. Nếu bản tin SM1 được truyền trên các SA cũ thì các bản tin thông báo thất bại cũng được truyền trên đó. Trong cả hai trường hợp, sau khi xử lý bản tin thông báo thất bại này thì P-CSCF sẽ xóa tất cả các SA mới.

P-CSCF luôn giám sát thời gian hết hạn của các đăng ký chưa được nhận thực và trong trường hợp cần thiết, nó sẽ tăng thời gian tồn tại cho các SA được tạo ra trong quá trình nhận thực trước đó.

P-CSCF sẽ xóa các SA đã hết hạn hoặc các SA có IMPI mà tất cả các IMPU tương ứng đã được tái đăng ký.3.2.5.7 Thủ tục liên kết IP khi UE thay đổi dịa chỉ IP

Khi UE thay đổi địa chỉ IP của mình thì nó sẽ xóa các SA hiện có và thiết lập thủ tục đăng ký bằng địa chỉ IP mới

3.2.6 Mã hóa

Mã hóa là chức năng quan trọng trong mạng IMS. Không có mã hóa, Tiêu đề SIP có thể đọc được (dưới dạng văn bản) và vị thể có thể bì giữ lại bởi các sniffer mạng và thiết bị mạng khác. Điều này cho phép hacker dùng thông tin chứa trong phần tiêu đề bản tin dập khuôn có được truy nhập không được cấp quyền đến mạng.

Một vài ví dụ trong đó mã hóa có thể dùng để tránh hacker từ các số nhận dạng bị đánh cắp, và tránh các hoạt động xâm nhập từ việc học cấu hình mạng của một kẻ tấn công trong một nỗ lực để có được truy nhập không xác thực đến tài nguyên mạng (chẳng hạn như HSS). Mã hóa là rất quan trọng ở bên trong mạng cũng như mạng bên ngoài. Hacker có khả năng “ lắng nghe” lưu lượng trong mạng và giữ lại dữ liệu về thuê bao và các phiên sau đó chúng có thể dùng cho truy nhập.

Một phương pháp pháp tấn công là tấn công đăng kí. Điều này thực hiện bằng sao lưu phần tiêu đề SIP hợp pháp, sao lưu số nhận dạng chung và cá nhân, và đăng kí vào thuê bao thực. Tất cả các bản tin sau đó chuyển hướng đến hacker.

Khi bản tin SIP được mã hóa chỉ các thiết bị vói khóa kí hiệu có thể giải mã bản tin. Thông thường có các Proxy trong mạng (chức năng điều khiển cuộc gọi trong IMS). Các hệ thống được điều khiển sử dụng cho quản lý hiệu năng không có đủ khả năng


này. Mặt khác, Chặn đúng luật cũng trở thành một mục tiêu. Không có mã hóa sẽ tạo ra nhiều hậu quả hơn.

Bảo mật lớp truyền tải (TLS) và Ipsec là hai phương pháp được khuyến nghị bởi 3GPP cho mã hóa. Ipsec làm việc với một miền thỏa thuận, cung cấp mã hóa giữa các miền tin tưởng. Điều này tránh nghe trộm bởi các thực thể giữa các bộ điều khiển cuộc gọi. Chẳng hạn, IPsec được thực hiện trong hệ thống hoạt động của các nút mạng khác nhau làm việc với các lớp mạng thấp hơn.

Điều này bao gồm giữa các CSCF. IPsec cũng nên được sử dụng trong một mạng của nhà khai thác. Tuy nhiên IPsec không sử dụng khi kết nối đến các mạng khác. Điều này yêu cầu TLS.

TLS hoạt động tại lớp truyền tải. Nó hoạt động tốt khi kết nối đến hai thực thể chưa xác định. Chẳng hạn, khi truyền một bản tin thông qua nhiều dịch vụ mạng của nhà cung cấp. TLS được sử dụng tại mức truyền tải. IPsec được sử dụng trong thực thể mạng tin tưởng.

TLS không hoạt động tốt từ đầu cuối đển đầu cuối. Nó chỉ hữu dụng khi dùng để truyền tải giữa các mạng. TLS có thể sử dụng để tránh hacker tấn công từ chặn các bản tin REGISTER và có được tiêu chuẩn của thuê bao trong các mạng truyền tải đó. Đây là thế mạnh của TLS>

TLS cung cấp xác thực, tính toàn vẹn và bí mật tốt và được khuyến nghị bởi tiêu chuẩn 3GPP và là môt phương tiện mã hóa cho IMS trong các mạng truyền tải. Tất nhiên nó thể hiện vài mục đích cho hoạt động truyền tải, bởi vì nó sẽ không có thể nhìn thấy tiêu đề được mã hóa, vì vậy chúng phải ép buộc thỏa thuận kết nối để đảm bảo cung cấp truy nhập đến mạng để xác thực và hoạt động tin tưởng.

3.3 An ninh mạng cho IMS

3.3.1 Khái niệm miền an ninh mạng

Thông thường một mạng sẽ được chia thành nhiều mạng con khác nhau để áp dụng các biện pháp an ninh được dễ dàng hơn. Mỗi mạng con này được gọi là miền an ninh. Tất cả các thực thể trong một miền an ninh thường được bảo vệ bởi cùng các chức năng an ninh giống nhau và ở cùng một cấp độ.

Mạng NDS/IP sẽ được chia thành nhiều miền con khác nhau. Biên giới giữa các miền an ninh này được bảo vệ bởi các SEG với chức năng thi hành chính sách an ninh của một miền an ninh đối với các SEG của miền an ninh khác. Người quản lý mạng có


thể đặt nhiều SEG trong mạng của mình để đề phòng một SEG nào đó gặp sự cố hay để tăng tính hiệu quả. Một SEG có thể được liên kết đến tất cả các miền an ninh khác hoặc chỉ một số miền nào đó.

Vấn đề đảm bảo an ninh cho các miền trong mạng NDS/IP sẽ không bao gồm mặt bằng người sử dụng, do đó các miền an ninh và các SEG tương ứng của chúng sẽ không chứa giao diện Gi (được dùng để giao tiếp với các mạng IP khác).

Cấu hình chained-tunnel/hub-and-spoke sẽ được sử dụng để đảm bảo cơ chế an ninh từng bước. Tất cả lưu lượng của mạng NDS/IP đều phải truyền qua một SEG trước khi đi vào hay ra khỏi miền an ninh.

3.3.2 Cơ chế quản ly và phân phối khóa trong mạng NDS/IP

3.3.2.1 Các chức năng an ninhCác đặc tính an ninh do IPSec cung cấp sẽ được quyết định trong giai đoạn thỏa

thuận thiết lập SA. Các SA có nhiệm vụ xác định giao thức nào sẽ được sử dụng, cùng với chế độ hoạt động và các đầu cuối của kết nối.

Đối với các mạng NDS/IP thì giao thức IPSec được sử dụng luôn là ESP với chức năng bảo đảm tính toàn vẹn, nhận thực bản tin và chống lại tấn công replay (có thể thêm chức năng bảo đảm tính cơ mật).3.3.2.2 Liên kết an ninh

Quá trình quản lý và phân phối khóa giữa các SEG trong mạng NDS/IP sẽ do giao thức IKE đảm nhiệm. Chức năng chính của IKE là thỏa thuận, thiết lập và duy trì các SA giữa các miền có nhu cầu trao đổi thông tin.

Để đảm bảo an ninh cho lưu lượng hai chiều giữa hai máy trạm hay hai SEG thì có thể dùng một song hướng hay hai SA đơn hướng.

Mỗi SA đơn hướng được xác định duy nhất bởi ba tham số sau: SPI. Địa chỉ IP đích. Tham số xác định giao thức an ninh (luôn là ESP đối với mạng NDS/IP).

Khi sử dụng các SA trong mặt bằng điều khiển miền mạng của mạng NDS/IP thì cần chú ý những điểm sau:

NDS/IP chỉ hỗ trợ cho các SA ở chế độ đường hầm. NDS/IP chỉ hỗ trợ cho các SA ESP.


Không cần phải kết hợp các SA (do một SA ESP cũng đủ để bảo vệ cho lưu lượng được truyền giữa các nút).

Các SA song hướng được xác định duy nhất bởi các tham số sau: Cookie của phía thiết lập. Cookie của phía hồi đáp.

Khi sử dụng các SA song hướng trong mặt bằng điều khiển miền mạng của mạng NDS/IP, cần chú ý rằng NDS/IP chỉ hỗ trợ cho các SA song hướng có các khóa chia sẻ trước.

3.3.3 Giao diện một miền và liên miền

3.3.3.1 Kiến trúc an ninh mạngCơ chế quản lý và phân phối khóa của NDS/IP được thiết lập dựa trên giao thức

IKE, còn vấn đề đảm bảo an ninh sẽ do giao thức IPSec đảm nhiệm với ưu điểm là kiến trúc quản lý và phân phối khóa cho NDS/IP sẽ đơn giản và dễ hiểu hơn.

Nguyên lý hoạt động của kiến trúc NDS/IP là đảm bảo an ninh từng bước (hop-by-hop) để phù hợp với các cấu hình chained-tunnels và hub-and-spoke. Cơ chế đảm bảo an ninh từng bước sẽ giúp cho việc áp dụng các chính sách an ninh nội miền và liên miền được triển khai dễ dàng hơn.

Trong mạng NDS/IP chỉ có các SEG được sử dụng để trao đổi lưu lượng NDS/IP trực tiếp với các thực thể trong các miền khác. Các SEG sau đó tiến hành thiết lập và duy trì các SA ESP ở chế độ đường hầm nối giữa các miền (trong đó có ít nhất là một liên kết với một SEG phải luôn ở trạng thái sẵn sàng), đồng thời cũng duy trì các cơ sở dữ liệu SPD và SAD riêng biệt cho mỗi giao diện.


Hinh 3. 12: Giao diện nội miền và giao diện liên miền.Các thiết bị trong mạng đều có khả năng thiết lập và duy trì SA đến một SEG hay

các thiết bị khác trong cùng miền nếu cần thiết. Tất cả lưu lượng NDS/IP gửi từ một thiết bị mạng trong miền này đến một thiết bị mạng trong miền khác sẽ được định tuyến qua một SEG và được xử lý an ninh từng bước trước khi được gửi đến đích.

Người điều hành có thể chỉ thiết lập một SA để truyền lưu lượng giữa hai miền an ninh khác nhau. Trong trường hợp này, SA được gọi là có đặc tính hạt thô. Ưu điểm của SA này là đảm bảo an ninh cho một số lớn lưu lượng, nhưng nhược điểm là không thể phân biệt được lưu lượng của một thực thể cụ thể nào đó. Tiếp theo, các SA có đặc tính hạt tinh sẽ được dùng để truyền và đảm bảo an ninh cho lưu lượng giữa các thực thể trong mạng.3.3.3.2 Các giao diện

Sau đây là các giao diện được sử dụng để đảm bảo an ninh cho các giao thức trên nền IP:

i) Giao diện Za Za là giao diện giữa hai SEG và bao trùm lên tất cả các lưu lượng NDS/IP được

truyền giữa hai SEG. Đối với giao diện Za thì cơ chế nhận thực và đảm bảo tính toàn vẹn là bắt buộc, còn cơ chế mã hóa chỉ mang tính chất khuyến nghị. Giao thức ESP sẽ


được sử dụng để cung cấp các đặc tính an ninh này. Các SEG tiến hành thỏa thuận, thiết lập và duy trì đường hầm an ninh ESP giữa chúng thông qua giao thức IKE. Đường hầm này sau đó được dùng để truyền lưu lượng giữa hai miền an ninh (giả sử là hai miền A và B). Giữa các SEG có thể luôn tồn tại các đường hầm nối hoặc chỉ được thiết lập khi cần thiết.

Một SEG của miền này chỉ phải liên kết đến những miền nào có nhu cầu trao đổi lưu lượng nhằm giúp hạn chế số lượng SA cần phải duy trì giữa các miền.

ii) Giao diện Zb Zb là giao diện giữa thiết bị mạng và SEG hay giữa các thiết bị mạng với nhau

trong cùng miền an ninh. Việc sử dụng giao diện này để thực hiện xử lý IPSec chỉ có tính tùy chọn. Zb cũng dùng hai giao thức là ESP và IKE.

Trên giao diện Zb, ESP có chức năng cung cấp chức năng nhận thực và đảm bảo tính toàn vẹn cho dữ liệu, còn chức năng mã hóa chỉ có tính tùy chọn. Các lưu lượng cần được bảo vệ sẽ truyền trên SA ESP.

SA có thể được thiết lập trong trường hợp cần thiết hoặc theo yêu cầu của người điều hành để truyền lưu lượng NDS/IP giữa các thiết bị mạng khác nhau.

Chú ý: Chính sách an ninh được thiết lập trên giao diện Za có thể phải tuân thủ theo

các khuyến nghị về chuyển vùng. Nhưng đối với giao diện Zb thì lại khác, chính sách này do người quản lý quyết định.

Yêu cầu đảm bảo an ninh cho lưu lượng trao đổi giữa hai thiết bị của hai miền mạng khác nhau sẽ không ngăn cấm một thực thể vật lý có đồng thời các chức năng của thiết bị mạng và SEG. Do SEG có chức năng triển khai các chính sách an ninh đối với các miền đích bên ngoài nên thực thể tổng hợp trên cũng phải có chức năng tương tự. Cơ chế hoạt động của NDS/IP sẽ hỗ trợ chức năng đảm bảo an ninh trực tiếp cho lưu lượng giữa hai thiết bị mạng của hai miền khác nhau nếu cả hai thiết bị này đều có chức năng của SEG. Trong trường hợp thiết bị mạng và SEG được tích hợp vào trong một thực thể vật lý thì các thiết bị mạng khác sẽ không thể sử dụng chức năng của cổng này để truyền thông với các miền an ninh bên ngoài.

Đồ án tốt nghiệp đại học Kết luận

KÊT LUÂN

IMS nói riêng và NGN Release 1 nói chung là những vấn đề khá mới mẻ đối với lĩnh vực viễn thông ngày nay. Việc phát triển IMS hứa hẹn sẽ đem lại cho khách hàng một cơ sở hạ tầng viễn thông hiện đại hơn, cho phép các thiết bị đầu cuối hội tụ được nhiều chức năng, không những thế thời gian tạo lập dịch vụ cũng được rút ngắn đi rõ rệt. Bên cạnh đó, IMS còn cung cấp cho khách hàng các dịch vụ phong phú hơn với chất lượng ngày càng được nâng cao.

Sau thời gian nghiên cứu, đồ án của em đã hoàn thành được những nội dung như sau:

Giới thiệu tổng quan kiến trúc của IMS cùng các phần tử chức năng và các giao thức cơ bản được sử dụng.

Tìm hiểu giao thức Diameter và quá trình nhận thực phân quyền và thanh toán trong IMS sử dụng giao thức Diameter.

Tóm tắt được những thủ tục cần thiết để đảm bảo an ninh, quá trình nhận thực và mã hóa để đảm bảo tính bảo mật trong IMS.

Do hạn chế của bản thân và sự rộng lớn của vấn đề bảo mật Nên đồ án của em còn nhiều thiếu xót. Em rất mong sự thông cảm và đóng góp của các thầy cô để em có những hiểu biết đúng đắn và hoàn thiện hơn. Em xin chân thành cảm ơn.

Đồ án tốt nghiệp đại học Tài liệu tham khảo

TÀI LIỆU THAM KHẢO

1. Gonzalo Camarillo and Miguel A. García – Martín, “The 3G IP Multimedia Subsystem (IMS)”, John Wiley & Sons Ltd, England, May 2006.

2. 3GPP TS 23.228, “IP Multimedia Subsystem Release 8”, June, 2007.3. 3GPP TS 33.203, “3G Security; Access Security for IP-based services”,

September 2007.4. 3GPP TS 33.210, “Network Domain Security; IP Networt Security”, December

2006.5. ETSI ES 287 007, “IP Multimedia Subsystem (IMS)”, June 2006.6. http://en.wikipedia.org/wiki/Wiki

http://en.wikipedia.org/wiki/Wiki

i.vietnamdoc.neti.vietnamdoc.net/data/file/2015/Thang02/26/bao-mat-trong-ims.doc · Web viewKiểu...

Documents

Transcript of i.vietnamdoc.neti.vietnamdoc.net/data/file/2015/Thang02/26/bao-mat-trong-ims.doc · Web viewKiểu...