DIAMETER et ses Applications

Principes, Architecture et Services

EFORT http://www.efort.com
Contrairement RADIUS, acronyme de Remote Authentication Dial-In User Service, le nom du protocole DIAMETER est un jeu de mot, signifiant diamtre en anglais, qui est le double du rayon (radius en anglais). Le protocole DIAMETER successeur du protocole RADIUS est un protocole AAA (Authentication, Authorization, Accounting). Il permet aux oprateurs dauthentifier des utilisateurs, de leur autoriser certains services et de collecter des informations sur lutilisation des ressources. Il sagit du protocole le plus mme de satisfaire les nouveaux besoins suscits par la mobilit. En particulier, il permet aux oprateurs dauthentifier un utilisateur ayant souscrit un abonnement auprs dun autre oprateur. DIAMETER est un protocole en particulier utilis par le 3GPP pour ses architectures LTE (Long Term Evolution of 3G) et IMS (IP Multimedia Subsystem). Il permet entre autres lauthentification, lautorisation et la taxation online et offline des clients LTE et IMS. Le paragraphe 1 introduit le protocole de base DIAMETER et dcrit les diffrentes applications DIAMETER dfinies par le monde des tlcommunications notamment pour ses architectures LTE et IMS. Le paragraphe 2 prsente les diffrents types de nud DIAMETER, i.e., client, agent et serveur. Le paragraphe 3 dcrit le format des messages DIAMETER et des AVPs (Attribute Value Pair) qui sont les paramtres des messages DIAMETER.

1 Le protocole DIAMETER est ses applications dans le

monde des tlcommunications
Le protocole DIAMETER a t conu comme une version amliore du protocole RADIUS. Un des objectifs tait de maximiser la compatibilit et faciliter la migration de RADIUS DIAMETER. Par exemple, un message DIAMETER comme un message RADIUS transporte un ensemble de paires <attribut, valeur>. DIAMETER est dfini travers un protocole de base et un ensemble dapplications. Cette conception permet une extension du protocole de base pour de nouvelles applications. Le protocole de base fournit des mcanismes pour un transport fiable, la livraison des messages et le traitement des erreurs. Le protocole de base doit tre utilis conjointement avec une application DIAMETER. Chaque application sappuie sur les services du protocole de base. DIAMETER est en particulier utilis dans le monde des tlcommunications par les architectures LTE et IMS. La LTE (Long Term Evolution of 3G) est un projet men par l'organisme de standardisation 3GPP visant rdiger les normes techniques de la future quatrime gnration en tlphonie mobile. Elle permet le transfert de donnes trs haut dbit, avec une porte plus importante et une latence plus faible. En terme de vocabulaire, le futur rseau de quatrime gnration sappelle EPS (Evolved Packet System). Il est constitu dun nouveau rseau daccs appel LTE (Long Term Evolution) et dun nouveau rseau coeur appel SAE (System Architecture Evolution).

Copyright EFORT 2010

LEPS (Evolved packet System) a les caractristiques suivantes : Il possde une architecture plate et simplifie compare celle hirarchique 2G/3G puisque la fonction de contrleur dantenne disparat. La seule entit prsente dans laccs LTE est leNodeB qui peut tre assimil un nodeB avec des fonctions du RNC. Il sagit dune architecture uniquement paquet compare larchitecture 2G/3G circuit et paquet. Il permet une connectivit permanente tout-IP (appele default bearer) compare des contextes PDP temporaires ou permanents en 2G/3G dans le domaine paquet Son interface radio est totalement partage entre tous les usagers en mode ACTIF compare des ressources ddies et partages dans larchitecture 2G/3G. Les appels voix et visiophonie requirent des ressources ddies en 3G. Il permet des handover vers les rseaux 2G/3G et CDMA/CDMA2000 afin dassurer des communications sans couture en environnement htrogne. L'IMS (IP Multimedia Subsytem) normalis par lorganisme 3GPP est une architecture de rseau et de service qui permet le contrle de sessions multimdia sur un rseau IP. Elle supporte des sessions temps rels (voix, vidotlphonie, confrence, IPTV), pseudo temps rel (tchat, push to talk) et non temps rel (SMS). Un seul cur de rseau (IP + IMS) supportant des services multimdia (Services IMS) servira des usagers sur diffrents accs large bande (xDSL, LTE, 3G+, Cble, FTTH, etc). LIMS intgre de plus le concept de convergence des services multimdia. LIMS normalise dj un ensemble de capacits de service telles que la prsence, le messaging, la confrence, les hosted enterprise services, lIPTV, les multimedia telephony services qui correspondent aux services complmentaires de la tlphonie, la voice call continuity, etc. 3GPP dfinit pour LTE et IMS un nombre d applications bases sur le protocole DIAMETER qui supportent les interfaces suivantes : S6 (LTE) : S6 est une interface entre lentit de gestion de la mobilit LTE appele MME (Mobility Management Entity) et la base de donnes globale LTE appele HSS (Home Subscriber Server) S13 (LTE) : S13 est linterface entre lentit MME et lentit EIR (Equipment Identity Register) dans la LTE Gx (LTE) : Gx est linterface permettant lentit de commutation de paquet dans la LTE appele PDN-GW (Packet Data Network Gateway) dobtenir des rgles de taxation auprs de lentit PCRF (Policy and Charging Rules Function) et ainsi taxer lusager sur la base des flux de services et non pas sur le volume. Gy (LTE) : Gy est linterface de taxation online entre le PDN-GW et lOCS (Online Charging System) Gz (LTE) : Gz est linterface de taxation offline entre le PDN-GW et lOffline Charging System S9 (LTE) : S9 est linterface entre le PCRF du rseau visit et le PCRF du rseau nominal dans le cas o la taxation est prise en charge par le rseau visit. Rx (LTE) : Rx est linterface permettant lIMS de demander au rseau LTE (entit PCRF) de rserver des ressources laccs pour garantir la qualit de service des sessions IMS. Cx (IMS) : Cx est linterface entre les entit de contrle de session IMS appeles I-CSCF et S-CSCF (Interrogating et Serving Call State Control Function) et la base de donnes IMS appele HSS afin dauthentifier, dautoriser et de localiser lusager IMS. Dx (IMS) : Dx est linterface entre lI-CSCF ou le S-CSCF et lentit SLF (Subscription Locator Function) afin de localiser le HSS de lusager. Sh (IMS) : Sh est linterface entre lApplication Server (AS) SIP et le HSS afin que lAS obtienne les donnes de service permettant lexcution du service par lAS. Dh (IMS) : Dh est linterface entre lAS et le SLF afin de localiser le HSS de lusager.

Copyright EFORT 2010

Rf (IMS) : Rf est linterface entre les entits IMS et lentit CCF (Charge Collection Fuction) pour la taxation offline. Ro (IMS) : Ro est linterface entre les entits IMS et lentit Online Charging System (OCS).

Lapplication DIAMETER SIP spcifie dans le RFC 4740 dfinit une application DIAMETER qui peut tre utilise par un serveur SIP afin dauthentifier les usagers et les autoriser utiliser diffrentes ressources SIP. Lapplication DIAMETER SIP a une spcification proche de celle de linterface Cx en terme de fonctions, mais elle a t conue afin dtre suffisamment gnrique et ainsi tre utilise par dautres scnarii de dploiement SIP en dehors de lIMS. LApplication DIAMETER Credit Control spcifie dans le RFC 4006 est utilise pour la taxation temps rel (online charging) dun grand nombre de services. Elle est similaire linterface Ro DIAMETER dfinie dans lIMS.

2 Types de nud DIAMETER

Un nud DIAMETER est un hte qui implante le protocole DIAMETER. Un client DIAMETER est un nud la frontire du rseau qui ralise un contrle daccs. Des exemples de clients DIAMETER sont les Network Access Servers (NAS), MME, S4SGSN. Un serveur DIAMETER prend en charge les demandes dauthentification, dautorisation et de taxation pour un domaine donn (appel realm). Un exemple de serveur est le HSS. Un agent DIAMETER est un nud DIAMETER qui fournit des services de relai, de proxy ou de traduction. Un agent relai route les messages DIAMETE sur la base de linformation prsente dans les messages. Les agents sont transparents. Un agent relai peut modifier les messages DIAMETER uniquement en insrant et retirant des informations de routage mais ne peut pas modifier les autres lments dinformation du message. Un agent proxy comme un agent relai route le message DIAMETER. Toutefois un agent Proxy peut modifier les messages afin de raliser un contrle daccs, un contrle de politiques, etc. Un exemple dagent proxy est lentit PCRF dans larchitecture LTE. Un agent de redirection fournit aussi une fonction de routage. Il sert de directory permettant gnralement la traduction de Nom de domaine Adresse du serveur. A la diffrence des autres types dagent (relai et proxy) qui acheminent les messages DIAMETER, lagent de redirection retourne un type particulier de rponse lmetteur de la requte. La rponse contient linformation de routage afin que lmetteur puisse retransmettre son message directement au serveur destinataire. Un exemple dagent de redirection est lentit SLF dans larchitecture IMS. Un agent de traduction traduit les protocoles DIAMETER en RADIUS, DIAMETER en MAP, etc. Un exemple dagent de traduction est lentit IWF de larchitecture LTE qui traduit DIAMETER en MAP. A la figure 1, le chemin de la requte et de la rponse est 1, 4, 5 et 6 dans le cas du traitement uniquement par des agents relai/proxy. Le chamin devient 1, 2, 3, 4, 5, et 6 si lagent de redirection est aussi impliqu.

Copyright EFORT 2010

Redirect Agent
2. Request 1. Request 6. Answer

Redirect.RealmB.com

3. Redirect Notification

Client Client.RealmA.com

Relay/Proxy Agent

4. Request 5. Answer

Server

Server.RealmB.com

Figure 1 : Types de nud DIAMETER

3 Message DIAMETER et AVP DIAMETER

Le protocole DIAMETER comprend un protocole de base qui dfinit le format du PDU (Protocol Data Unit), quelques primitives, et des services de scurit de base. Le PDU est structur en AVP (Attribute Value Pair), les 256 premiers AVPs tant rservs pour faciliter la migration de RADIUS DIAMETER. Un message DIAMETER consiste en un en-tte de taille fixe (20 octets) suivi par un nombre variable dAVPs. Le format du message est montr la figure 2. Le champ Version indique le numro de version de DIAMETER. La valeur de ce champ est positionne 1. Le champ Message length indique la longueur du message en octets. Le fanion de commande spcifie 4 bits R, P, E et T: R : Le bit R signifie Request. Il indique si le message est une requte ou une rponse. 1 Request; 0=Rponse. P : Le bit P signifie Proxiable. Il indique si le message peut tre rout par un agent proxy, un agent relai ou un agent de redirection ou s il doit tre trait localement. E : Le bit E signifie Error. Il indique si le message contient des erreurs protocolaires ou smantiques. Lorsque la requte gnre une erreur protocolaire, le message de rponse est retourn avec son bit E positionn la valeur 1 indiquant une erreur protocolaire. T : Le bit T signifie reTransmitted. Il indique si le message a t retransmis suite un failover ou est utilis pour supprimer la rception des message dupliqus. r(eserved) - Les bits r sont rservs pour usager futur. Ils sont positionns 0 et ignors par le rcepteur. command-code (4 octets) est utilis pour communiquer la commande associe au message. Chaque message DIAMETER doit contenir un code de commande afin que le rcepteur sache identifier l action raliser pour chaque message Application-ID (4 octets) identifie l application spcifique laquelle appartient le message, tel que Mobile IP, Accounting, etc. Hop-by-hop identifier transporte un identificateur utilis afin d associer la requte et la rponse sur ce saut (hop). L metteur de la rponse doit s assurer que la valeur de cet identificateur est la mme que celle prsente dans la requte correspondante. End-to-end identifier est utilis afin de dtecter des messages dupliqus. L identificateur dans la rponse doit tre identique celui de la requte correspondante. L identification doit tre unique pour au moins 4 minutes. Cet identificateur ainsi que l AVP Origin-Host (dcrit plus tard) sont utiliss ensemble afin de dtecter des duplications de message. Une requte duplique ne doit pas conduire l envoi de deux rponses.

Copyright EFORT 2010

3 0 1 2 01234567890123456789012345678901

Version RPETrrrr

Message length Command-Code (IANA) Application-ID Hop-by-Hop Identifier End-to-End Identifier AVPs
Figure 2 : Format de message DIAMETER

A titre dexemple, considrons linterface Cx entre lI-CSCF ou le S-CSCF et le HSS dans larchitecture IMS. Cette interface permet : Lautorisation denregistrement pour lusager (I-CSCF HSS) La demande des vecteurs dauthentification pour lusager (S-CSCF HSS) La notification dtat denregistrement (register / de-register) (S-CSCF HSS) Lannulation denregistrement initie par le rseau (HSS S-CSCF) La demande de localisation de lusager (I-CSCF HSS) La mise jour du profil de lusager (HSS S-CSCF). Tous les messages DIAMETER dfins par cette interface ont leur champ Application-ID positionn la valeur 16777216. Les messages UAR et UAA (Command-Code 300) appartiennent la transaction dautorisation. Le message UAR mis par lentit I-CSCF est acquitt par une rponse UAA qui contient les informations denregistrement de lusager (si celui-ci est dj enregistr) ou la dcision sur la permission de traitement de lenregistrement (rejeter ou accepter). Le message MAR est utilis afin dobtenir les vecteurs dauthentification pour un usager donn auprs du HSS. La rponse MAA contient un ou plusieurs vecteurs dauthentification gnrs pour lusager. Les messages MAR et MAA ont leur champ Command-Code positionn la valeur 303. Le message SAR est mis par le S-CSCF lentit HSS afin de mettre jour dans le profil de lusager son S-CSCF courant. Lentit HSS rpond par le message SAA en indiquant le nouvel tat denregistrement de lusager ainsi que son profil de service. Les messages SAR et SAA ont pour Command-Code la valeur 301. Lannulation denregistrement de lusager par le rseau est ralise laide du message RTR mis par le HSS. Le S-CSCF lacquitte par une rponse RTA. Le Command-Code de RTR et RTA a pour valeur 304. Le message LIR est mis par lentit I-CSCF au HSS afin de localiser le S-CSCF courant de lusager. Lentit HSS rpond par un message LIA contenant le nom du S-CSCF ou une valeur dtat indiquant que lusager nest pas connu dans ce HSS ou nest pas actuellement enregistr. Les messages LIR et LIA ont pour Command-Code la valeur 302. Enfin, le message PPR est utilis par le HSS afin de mettre jour un profil dusager dans le S-CSCF. Ce message est acquitt par le S-CSCF par une rponse PPA. Le Command-Code de PPR et PPA est gal 305.

Copyright EFORT 2010

Transaction UAR User authorization request UAA User authorization answer MAR Multimedia authentication request MAA Multimedia authentication answer SAR Server assignment request SAA Server assignment answer RTR Registration termination request RTA Registration termination answer LIR Location info request LIA Location info answer PPR Push profile request PPA Push profile answer

Emis par I-CSCF HSS S-CSCF HSS S-CSCF HSS HSS S-CSCF I-CSCF HSS HSS S-CSCF

Figure 3 : Message DIAMETER de linterface Cx AVP est l'objet le plus important dans le protocole DIAMETER ; il est utilis pour fournir toutes les donnes. Certains AVPs sont ncessaires DIAMETER lui-mme pour fonctionner, alors que d'autres fournissent des donnes lies aux applications exploitant DIAMETER. Les AVPs contenant l'information spcifique une application peuvent tre arbitrairement ajouts aux messages DIAMETER, ds lors que les AVPs ncessaires sont prsents et que ceux qui doivent tre ajouts ne sont pas explicitement interdits par les rgles du protocole. Les AVPs transportent les informations d authentification, d autorisation, de scurit, de comptabilit ainsi que des informations de configuration. Le format de l en-tte de l AVP est donn la figure 4. Il contient les champs suivants : AVP-Code (4 octets): identifie l AVP de manire unique. Les 256 premiers numros sont rservs pour la compatibilit avec RADIUS. Les suivants sont utiliss par le protocole de base et ses extensions (numros devant tre allous par l IANA). Fanions (5 bits): V bit, connu comme Vendor-Specific bit, indique si le champ optionnel Vendor-ID est prsent dans l en-tte de l AVP. Quand positionn, le code AVP appartient l espace d adressage des codes de ce constructeur. M bit: Le bit M signifie Mandatory bit. Il indique si le support de cet AVP est obligatoire. Ainsi si un AVP dont le bit M est gal 0 indique que cet AVP est informationnel, et par consquent qu il peut tre ignor. P bit: Le bit P signifie Protected . Il indique la ncessit d un encryptage pour une scurit de bout en bout. Le protocole de base DIAMETER spcifie quels AVPs doivent tre protgs.En pratique ce bit est positionn la valeur 0. Les bits rrrrr sont rservs et positionns la valeur 0. Vendor-ID (4 octets) identifie le constructeur l origine de cet AVP propritaire. La prsence de ce champ est prciss par le bit V du champ Fanion (Flags) Data : Longueur variable.

Copyright EFORT 2010

0 1 2 3 01234567890123456789012345678901
AVP-Code (IANA) VMPrrrrr AVP length Vendor-ID (if vendor-specific AVP) Data (Variable length)

Figure 4 : Format dAVP DIAMETER Parmi les AVPs dfinis par le protocole de base DIAMETER figurent : Origin-Host AVP: Cet attribut est ajout par le client qui gnre le message DIAMETER et ne peut pas tre modifier par les agents DIAMETER. Il doit tre prsent dans tous les messages DIAMETER. Origin-Realm AVP: Cet AVP contient le Realm (Nom de domaine) de lmetteur du message DIAMETER et doit tre prsent dans tous les messages DIAMETER. Les agents Relai ne doivent pas modifier cet AVP. Destination-Host AVP: Cet AVP qui peut tre prsent dans un message DIAMETER mis par un client est utilis afin de router un message au serveur identifi par cet AVP. Labsence de cet AVP dans un message DIAMETER aura pour consquence lenvoi du message nimporte quel serveur DIAMETER supportant lapplication et appartenant au domaine spcifi par Destination-Realm AVP. Destination-Realm AVP: Cet AVP contient le Realm auquel doit tre rout le message DIAMETER. Lorsquil est prsent, cet AVP permet de raliser des dcisions de routage.

Rfrences 3GPP TS 29.229, Cx and Dx interfaces based on the Diameter protocol; Protocol details, Sept 2007. RFC 3588, P. Calhoun et al., Diameter Base Protocol, Sept 2003. Les formations proposes par EFORT prsentent outre les aspects architecturaux, protocolaires (SIGTRAN, SIP, DIAMETER, RTP, MEGACO/H.248, etc.) et normatifs de lIMS et de lEPS, les lments ncessaires llaboration de stratgies de dploiement de business de services sur IP base sur IMS et EPS:

Copyright EFORT 2010