Bất cứ một mạng nào đều phải có khả năng để nhận dạng người dùng một cách duy nhất. Đây là một thuộc tính cho phép một máy điện thoại có thể rung chuông khi chúng ta quay một chuỗi số trong mạng PSTN.
Trong mạng PSTN, thuê bao được nhận ra bởi một số điện thoại. Số điện thoại
được gán cho một thuê bao bao gồm các phần: phần cục bộ, mã vùng và mã quốc tế. Phụ thuộc vào đích gọi đến là nội hạt, trong quốc gia hay đi quốc tế mà sốđiện thọai có thể ngắn hoặc dài. Thêm vào đó khi một dịch vụ mới được cung cấp thường có những số đặc biệt để nhận dạng dịch vụ như 113 chẳng hạn. IMS cũng cung cấp cơ chế để
36
1.5.1 Nhận dạng người dùng công cộng
Trong IMS có một cách tiền định để nhận dạng người dùng. Một thuê bao IMS được phân bổ một hay nhiều nhận dạng người dùng công cộng. Nhà điều hành chủ chịu trách nhiệm phân phối nhận dạng người dùng công cộng tới mỗi thuê bao IMS. Một nhận dạng người dùng công cộng có thể là SIP URI hoặc một TEL URI. Nhận dạng người dùng công cộng được sử dụng để làm những thông tin liên lạc trên tấm card giao dịch .
Trong IMS, nhận dạng người dùng công cộng được sử dụng để định tuyến báo hiệu SIP.
Nhận dạng người dùng công cộng tương ứng với số MSISDN ( Mobile Subcriber ISDN Number) trong GSM.
Khi nhận dạng người dùng công cộng chứa một SIP URI, nó thường có dạng :
sip:first.last@operator.com, mặc dù các nhà điều hành IMS có thể thay đổi cấu trúc này và địa chỉ theo cách của họ. Thêm vào đó, nó có thể bao gồm một sốđiện thoại trong một SIP URI sử dụng định dạng như sau:
SIP :+1-212-555-0293@operator.com ; user=phone
Định dạng này là cần thiết bởi vì SIP yêu cầu rằng URI trong khi đăng ký phải là một SIP URI. Vì vậy nó không có khả năng đăng ký một TEL URI trong SIP, mặc dù nó có khả năng đăng ký một SIP URI mà chứa một sốđiện thoại.
TEL URI là một dạng khác của nhận dạng người dùng công cộng. Đây là một TEL URI thể hiện một sốđiện thoại quốc tế:
tel:+1-212-555-0293
TEL URI cần thiết để có thể gọi từ một thiết bịđầu cuối IMS tới một điện thoại trong PSTN, bởi vì sốđiện thoại PSTN được thể hiện bởi những chữ số. Mặt khác, TEL URI cũng cần thiết nếu một thuê bao PSTN muốn thực hiện một cuộc gọi tới một người dùng trong IMS, bởi vì người dùng PSTN chỉ có thể bấm những chữ số.
Mỗi người dùng sẽ được phân bố ít nhất một SIP URI và một TEL URI. Lý do để
phân bổ nhiều nhận dạng công cộng là một người dùng có thể có nhiều nhóm liên lạc như gia đình, bạn bè, đồng nghiệp…Có thể mỗi nhóm người sẽ biết được các nhận dạng
37
công cộng khác nhau của người dùng đó. Điều này thuận tiện cho việc kích hoạt những dịch vụ liên quan.
Trong IMS một bản tin đăng ký SIP có thể đăng ký nhiều nhận dạng người dùng công cộng để tiết kiệm thời gian đăng ký và băng thông.
1.5.2 Nhận dạng người dùng cá nhân
Mỗi thuê bao IMS được gán cho một nhận dạng người dùng cá nhân. Không giống nhận dạng người dùng công cộng, nhận dạng người dùng cá nhân không có dạng SIP URIs hay TEL URIs, mà có dạng NAI (Network Access Identifier, RFC 2486). Định dạng của NAI là username@operator.com
Nhận dạng người dùng cá nhân không để định tuyến bản tin SIP mà dành riêng cho mục đích nhận thực và nhận dạng đăng ký thuê bao. Nhận dạng người dùng cá nhân thực hiện chức năng giống như IMSI (International Mobile Subcriber Identifier) trong GSM Người dùng không cần phải biết nhận dạng người dùng cá nhân, bởi vì nó được lưu trữ
trong một thẻ thông minh, giống như IMSI được lưu trong SIM.
1.5.3 Mối liên hệ giữa nhận dạng người dùng cá nhân và nhận dạng người dùng công cộng. dùng công cộng.
Nhà điều hành phân bổ một hoặc nhiều nhận dạng người dùng công cộng và một nhận dạng người dùng cá nhân cho mỗi người dùng. Trong trường hợp của GSM/UMTS thẻ thông minh lưu trữ nhận dạng người dùng cá nhân và ít nhất một nhận dạng người dùng công cộng. HSS lưu trữ đồng thời nhận dạng người dùng công cộng và nhận dạng người dùng cá nhân.
Mối quan hệ giữa một thuê bao IMS, một nhận dạng người dùng công cộng và một nhận dạng người dùng cá nhân được chỉ ra trên hình 1.9. Một thuê bao IMS được cung cấp chỉ duy nhất một nhận dạng người dùng cá nhân và nhiều nhận dạng người dùng công cộng.
3GPP release 6 đã mở rộng mối quan hệ giữa nhận dạng người dùng cá nhân và nhận dạng người dùng công cộng nhưđược chỉ ra trong hình 1.10. Một thuê bao IMS không
38
chỉ được phân bố một mà nhiều nhận dạng người dùng cá nhân. Trong trường hợp của UMTS, chỉ có một nhận dạng người dùng cá nhân được lưu trong thẻ thông minh, nhưng người dùng có thể có nhiều thẻ và chứng được lắp vào trong các thiết bị khác nhau.
Hình 1.9 Mối liên hệ giữa nhận dạng người dùng cá nhân và công cộng trong Realese 5
Hình 1.10 Mối liên hệ giữa nhận dạng người dùng cá nhân và công cộng trong Release 6
39
1.5.4 Nhận dạng dịch vụ công công
Khái niệm nhận dạng dịch vụ công cộng được giới thiệu trong release 6 của 3GPP. Không giống nhận dạng người dùng công cộng, được phân bố tới người dùng, một nhận dạng dịch vụ công cộng được phân bố cho một dịch vụđược nắm giữ bởi một AS. Ví dụ
một AS phục vụ một phòng chat được nhận dạng bởi một nhận dạng dịch vụ công cộng.
1.5.5 SIM, USIM và ISIM trong 3GPP
UICC (Universal Integrated Circuit Card) là trung tâm trong thiết kế thiết bịđầu cuối 3GPP. UICC là một thẻ thông minh có thể di chuyển được, lưu trữ một số dữ liệu như
thông tin đăng ký thuê bao, mã nhận thực, sổ địa chỉ và các tin nhắn. Nếu không có UICC thì thiết bịđầu cuối chỉ có thể gọi các số khẩn cấp.
UICC cho phép người dùng dễ dàng di chuyển thông tin đăng ký thuê bao của họ
sang thiết bị mới bằng cách lắp thẻ thông minh sang thiết bị đó. UICC là một khái niệm chung định nghĩa các đặc tính của thẻ thông minh.
UICC có thể bao gồm một vài ứng dụng logic như SIM, USIM (Universal Subscriber Identity Module), ISIM (IP multimedia Services Identity Module). UICC còn có các ứng dụng khác như là sổđiện thoại.
1.5.5.1 SIM
SIM lưu trữ một tập hợp các tham số như thông tin đăng ký người dùng, mã nhận thực và các tin nhắn. Nó là thành phần cơ bản nhất trong các thiết bị đầu cuối để chúng có thể hòa mạng. Mặc dù khái niệm UICC và SIM là có thể thay đổi cho nhau, UICC ám chỉđến thẻ vật lý trong khi đó SIM nói đến một ứng dụng đơn lẻ nằm trong UICC .SIM được sử dụng rộng rãi trong mạng GSM.
1.5.5.2 USIM
USIM là một ứng dụng khác nằm trong UICC. USIM cung cấp một tập hợp các tham số bao gồm thông tin đăng ký thuê bao, thông tin nhận thực, phương pháp thanh toán và lưu trữ tin nhắn.USIM được sử dụng để truy nhập mạng UMTS.
40
Các thiết bị đầu cuối trong mạng chuyển mạch gói và chuyển mạch kênh cần phải có USIM để hoạt động được trong mạng 3G. Rõ ràng, cả SIM và USIM có thể cùng tồn tại
đồng thời trong UICC để thiết bịđầu cuối có thể sử dụng đồng thời mạng GSM và UMTS.
Hình 1.11 Cấu trúc đơn giản hóa của USIM
USIM lưu giữ các thông số sau đây:
• IMSI: IMSI là một nhận dạng mà được phân bốđến mỗi người dùng. IMSI chỉ được sử dụng để nhận dạng người dùng cho mục đích nhận thực. Nhận dạng người dùng cá nhân tương đương với IMSI.
41
• MSISDN: Trường này lưu trữ một hoặc nhiều sốđiện thoại được cấp cho người dùng. Nhận dạng người dùng công cộng tương đương với MSISDN.
• CK(Ciphering Key) và IK( Integrity Key): Đó là những chìa khóa được sử dụng cho mục đích mã hóa và bảo vệ sự toàn vẹn thực thể qua giao diện vô tuyến. USIM lưu trữ riêng biệt chìa khóa được sử dụng trong mạng chuyển mạch kênh và chìa khóa trong mạng chuyển mạch gói.
• Bí mật dài hạn: USIM lưu trữ bí mật dài hạn được sử dụng cho mực đích nhận thực và cho việc tính toán chìa khóa toàn vẹn và chìa khóa mã được sử dụng giữa thiết bịđầu cuối và mạng.
• SMS( Short Message Service): USIM lưu trữ các bản tin ngắn và các thông tin liên quan như người gửi, người nhận và trạng thái.
• Các tham số SMS: Trường này trong USIM lưu giữ thông tin cấu hình liên quan tới dịch vụ SMS, nhưđịa chỉ của trung tâm tin nhắn hoặc các giao thức được hỗ
trợ.
• Các thông số MMS: Trường này lưu trữ dữ liệu cấu hình liên quan đến dịch vụ
MMS, nhưđịa chỉ của MMS server và địa chỉ của MMS gateway.
1.5.5.3 ISIM
Một ứng dụng thứ ba có thể hiện diện trong UICC là ISIM. ISIM có vai trò đặc biệt quan trọng trong IMS, bởi vì nó chứa một tập hợp các thông sốđược sử dụng làm chứng thực người dùng, nhận dạng người dùng, cấu hình thiết bị đầu cuối khi thiết bịđầu cuối hoạt động trong mạng IMS. ISIM có thể tồn tại cùng SIM, USIM hoặc cả hai.
42 Nhận dạng người dùng cá nhân Nhận dạng người dùng công cộng Nhận dạng người dùng công cộng Nhận dạng người dùng công cộng URI miền của mạng chủ Bí mật dài hạn Hình 1.12 Cấu trúc của ứng dụng ISIM. Các tham số thích hợp được lưu trữ trong ISIM bao gồm:
• Nhận dạng người dùng cá nhân: ISIM lưu trữ nhận dạng người dùng cá nhân phân bố cho người dùng. Chỉ có một nhận dạng người dùng cá nhân được lưu trữ trong ISIM.
• Nhận dạng người dùng công cộng: ISIM lưu trữ một hoặc nhiều SIP URI của nhận dạng người dùng công cộng phân bổ tới người dùng.
• URI của miền mạng chủ: ISIM lưu trữ SIP URI mà chứa tên miền mạng chủ. Thông tin này được sử dụng trong suốt thủ tục đăng ký. Có thể chỉ có một URI tên miền của mạng chủđược lưu trong ISIM.
43
• Bí mật dài hạn: ISIM lưu trữ một bí mật dài hạn được sử dụng cho mục
đích nhận thực và tính toán mã toàn vẹn và mã mã hóa sử dụng giữa mạng và thiết bịđầu cuối. Thiết bịđầu cuối sử dụng mã toàn vẹn để bảo vệ sự toàn vẹn báo hiệu SIP mà thiết bị đầu cuối gửi và nhận từ P-CSCF. Nếu báo hiệu được mã hóa, thiết bịđầu cuối IMS sử dụng mã mã hóa để mã hóa và giải mã báo hiệu SIP mà thiết bịđầu cuối gửi và nhận từ P-CSCF.
Tất cả những thông tin trên chỉ có thểđọc, có nghĩa là người dùng không thể thay đổi giá trị của chúng.
Như vậy truy nhập tới mạng IMS dựa trên ISIM hoặc USIM.Mặc dù USIM cũng có thể nhưng sử dụng ISIM vẫn tốt hơn vì nó được thiết kế dành riêng cho IMS. Bởi vì tính bảo mật thấp của SIM, nó không được sử dụng để sử dụng để truy nhập tới mạng IMS.
44
Chương 2 GIAO THỨC HỖ TRỢ CHỨNG
THỰC, CẤP QUYỀN, TÍNH CƯỚC TRONG
IMS
Giao thức AAA được hiểu là Authentication (chứng thực), Authorization (cấp quyền), Accouting (tính cước). Xác thực và cấp quyền có một mối liên hệ tổng quát trong IMS. Trong khi tính cước lại là một chức năng riêng biệt được thực hiện từng nút khác nhau trong mạng. Đó cũng chính là lý do để ta nghiên cứu tách bạch hai nhóm đối tượng này.
2.1 Chứng thực và cấp quyền trong IMS
Hình 2.1 thể hiện sơđồ của chức năng xác thực và cấp quyền trong IMS. Có ba giao diện triển khai xác thực và cấp quyền đó là các giao diện Cx, Dx, Sh.
Giao diện Cx nối giữa HSS và I-CSCF hay S-CSCF. Khi có nhiều hơn một HSS trong mạng thì cần phải có SLF (Subscription Locator Funtion) để giúp I-CSCF hay S- CSCF xác định chính xác HSS nào đang lưu trữ thông tin người dùng.
Giao diện Dx nối một I-CSCF hay S-CSCF tới một SLF.
Giao diện Sh nối giữa một HSS và một SIP Application Server hay một OSA Service Capability Server ( để hoàn thành mô tả về các loại Application Server trong IMS).
Trong tất cả các giao diện này, giao thức sử dụng để liên lạc giữa các nút là giao thức Diameter (được chuẩn hóa trong RFC 3588).
45
Hình 2.1 Sơđồ xác thực và cấp quyền trong IMS
2.2 Giao thức Diameter
Diameter là một giao thức tầng ứng dụng dựa trên RFC 3588 được chọn là giao thức AAA trong mạng IMS.
+ Authentication: Chứng thực + Authorization: Cấp quyền + Accounting: Tính cước
Diameter được phát triển từ giao thức RADIUS (RFC 2865) là một giao thức được sử
dụng phổ biến trong Internet để thực hiện chứng thực, cấp quyền và tính cước. Ví dụ khi một người dùng quay số đến một nhà cung cấp dịch vụ Internet, máy chủ truy nhập mạng sử dụng RADIUS để chứng thực cấp quyền cho user.
Giao thức Diameter được chia thành 2 phần là giao thức Diameter cơ bản và Diameter ứng dụng.
46
Giao thức Diameter cơ bản bao gồm những chức năng chính và triển khai ở mọi điểm sử dụng Diameter, không phụ thuộc vào những ứng dụng cụ thể. Giao thức Diameter cơ
bản cần thiết cho việc khởi tạo các đơn vị dữ liệu Diameter, điều chỉnh khả năng, bắt lỗi và cung cấp khả năng mở rộng.
Một Diameter ứng dụng định nghĩa một chức năng ứng dụng cụ thể và đơn vị dữ liệu. Mỗi một Diameter ứng dụng được tách rời độc lập nhau
Nhiều ứng dụng là mở rộng của các chức năng cơ bản trong giao thức Diameter. Ví dụ như ứng dụng cho Network Access Server, Server Configurations, Mobile Ipv4, Credit Control hay SIP applications. Những ứng dụng này có thể phát triển thêm khi cần thiết. Hình 2.2 thể hiện mối quan hệ giữa giao thức Diameter cơ bản và một vài ứng dụng.
Hình 2.2 Giao thức Diameter cơ bản và các ứng dụng
Giao thức Diameter cơ bản sử dụng cả TCP và STCP để truyền tải, trong đó STCP
được ưu tiên hơn.
IMS sử dụng Diameter trong nhiều giao diện, mặc dù vậy các giao diện này có thể sử
47
trong quá trình thiết lập cuộc gọi nhưng lại sử dụng một ứng dụng Diameter khác trong tính cước.
Giao thức Diameter cơ bản định nghĩa ra một vài thực thể chức năng để thực hiện các thao tác AAA:
Diameter client: Thực thể chức năng, nằm ở bên rìa của mạng, thực hiện các công việc truy nhập điều khiển (ví dụ như Network Access Servers).
Diameter Server: Thực thể chức năng thực hiện công việc xử lý các yêu cầu về
chứng thực, cấp quyền và tính cước cho các vùng miền.
Proxy: Thực thể chức năng thực hiện nhiệm vụ chuyển tiếp các bản tin Diameter, thiết lập các chính sách để giải quyết mối quan hệ về sử dụng và phân phát tài nguyên.
Relay: Thực thể chức năng thực hiện chuyển tiếp bản tin Diameter dựa trên các thông tin quan hệ định tuyến và bảng định tuyến vùng. Một Relay tiêu biểu cho tính trong suốt. Nó chỉ có thể sửa đổi (chèn hoặc xóa đi) các thông tin về quan hệ định tuyến trong bản tin Diameter chứ không thể sửa đổi các dữ liệu khác.
Redirect agent: Thực thể chức năng dùng để chỉ dẫn client liên lạc một cách với server.
Translation agent: Thực thể chức năng thực hiện giao thức vận chuyển giữa giao thức Dameter và các giao thức AAA khác ví dụ như RADIUS.
Diameter node: Thực thể chức năng nói chung triển khai giao thức Diameter và hoạt động như một Diameter client, Diameter server, relay, redirect agent, hay translation agent.
Diameter là giao thức ngang hàng (peer-to-peer) chứ không phải giao thức dạng chủ / tớ. Có nghĩa là từ mọi nút Diameter đều có thể gửi yêu cầu tới các nút khác. Một Diameter client không phải là thực thể chức năng chỉ gửi yêu cầu cũng như một Diameter server không phải là thực thể chức năng chỉ gửi trả lời khi có yêu cầu. Thay