DIAMETER et ses Applications

Principes, Architecture et Services

EFORT
http://www.efort.com

Contrairement RADIUS, acronyme de Remote Authentication Dial-In User Service, le nom

du protocole DIAMETER est un jeu de mot, signifiant diamtre en anglais, qui est le double
du rayon (radius en anglais).
Le protocole DIAMETER successeur du protocole RADIUS est un protocole AAA
(Authentication, Authorization, Accounting). Il permet aux oprateurs dauthentifier des
utilisateurs, de leur autoriser certains services et de collecter des informations sur lutilisation
des ressources. Il sagit du protocole le plus mme de satisfaire les nouveaux besoins
suscits par la mobilit. En particulier, il permet aux oprateurs dauthentifier un utilisateur
ayant souscrit un abonnement auprs dun autre oprateur. DIAMETER est un protocole en
particulier utilis par le 3GPP pour ses architectures LTE (Long Term Evolution of 3G) et IMS
(IP Multimedia Subsystem). Il permet entre autres lauthentification, lautorisation et la
taxation online et offline des clients LTE et IMS.
Le paragraphe 1 introduit le protocole de base DIAMETER et dcrit les diffrentes
applications DIAMETER dfinies par le monde des tlcommunications notamment pour ses
architectures LTE et IMS. Le paragraphe 2 prsente les diffrents types de nud
DIAMETER, i.e., client, agent et serveur. Le paragraphe 3 dcrit le format des messages
DIAMETER et des AVPs (Attribute Value Pair) qui sont les paramtres des messages
DIAMETER.

1 Le protocole DIAMETER est ses applications dans le

monde des tlcommunications

Le protocole DIAMETER a t conu comme une version amliore du protocole RADIUS.

Un des objectifs tait de maximiser la compatibilit et faciliter la migration de RADIUS
DIAMETER. Par exemple, un message DIAMETER comme un message RADIUS transporte
un ensemble de paires <attribut, valeur>.
DIAMETER est dfini travers un protocole de base et un ensemble dapplications. Cette
conception permet une extension du protocole de base pour de nouvelles applications. Le
protocole de base fournit des mcanismes pour un transport fiable, la livraison des
messages et le traitement des erreurs.
Le protocole de base doit tre utilis conjointement avec une application DIAMETER.
Chaque application sappuie sur les services du protocole de base.

DIAMETER est en particulier utilis dans le monde des tlcommunications par les
architectures LTE et IMS.

La LTE (Long Term Evolution of 3G) est un projet men par l'organisme de standardisation
3GPP visant rdiger les normes techniques de la future quatrime gnration en
tlphonie mobile. Elle permet le transfert de donnes trs haut dbit, avec une porte
plus importante et une latence plus faible.
En terme de vocabulaire, le futur rseau de quatrime gnration sappelle EPS (Evolved
Packet System). Il est constitu dun nouveau rseau daccs appel LTE (Long Term
Evolution) et dun nouveau rseau coeur appel SAE (System Architecture Evolution).

Copyright EFORT 2010 1

LEPS (Evolved packet System) a les caractristiques suivantes :
Il possde une architecture plate et simplifie compare celle hirarchique 2G/3G
puisque la fonction de contrleur dantenne disparat. La seule entit prsente dans
laccs LTE est leNodeB qui peut tre assimil un nodeB avec des fonctions du RNC.
Il sagit dune architecture uniquement paquet compare larchitecture 2G/3G circuit et
paquet.
Il permet une connectivit permanente tout-IP (appele default bearer) compare des
contextes PDP temporaires ou permanents en 2G/3G dans le domaine paquet
Son interface radio est totalement partage entre tous les usagers en mode ACTIF
compare des ressources ddies et partages dans larchitecture 2G/3G. Les appels
voix et visiophonie requirent des ressources ddies en 3G.
Il permet des handover vers les rseaux 2G/3G et CDMA/CDMA2000 afin dassurer des
communications sans couture en environnement htrogne.

L'IMS (IP Multimedia Subsytem) normalis par lorganisme 3GPP est une architecture de
rseau et de service qui permet le contrle de sessions multimdia sur un rseau IP. Elle
supporte des sessions temps rels (voix, vidotlphonie, confrence, IPTV), pseudo temps
rel (tchat, push to talk) et non temps rel (SMS). Un seul cur de rseau (IP + IMS)
supportant des services multimdia (Services IMS) servira des usagers sur diffrents accs
large bande (xDSL, LTE, 3G+, Cble, FTTH, etc). LIMS intgre de plus le concept de
convergence des services multimdia.
LIMS normalise dj un ensemble de capacits de service telles que la prsence, le
messaging, la confrence, les hosted enterprise services, lIPTV, les multimedia telephony
services qui correspondent aux services complmentaires de la tlphonie, la voice call
continuity, etc.

3GPP dfinit pour LTE et IMS un nombre d applications bases sur le protocole DIAMETER
qui supportent les interfaces suivantes :
S6 (LTE) : S6 est une interface entre lentit de gestion de la mobilit LTE appele MME
(Mobility Management Entity) et la base de donnes globale LTE appele HSS (Home
Subscriber Server)
S13 (LTE) : S13 est linterface entre lentit MME et lentit EIR (Equipment Identity
Register) dans la LTE
Gx (LTE) : Gx est linterface permettant lentit de commutation de paquet dans la LTE
appele PDN-GW (Packet Data Network Gateway) dobtenir des rgles de taxation
auprs de lentit PCRF (Policy and Charging Rules Function) et ainsi taxer lusager sur
la base des flux de services et non pas sur le volume.
Gy (LTE) : Gy est linterface de taxation online entre le PDN-GW et lOCS (Online
Charging System)
Gz (LTE) : Gz est linterface de taxation offline entre le PDN-GW et lOffline Charging
System
S9 (LTE) : S9 est linterface entre le PCRF du rseau visit et le PCRF du rseau
nominal dans le cas o la taxation est prise en charge par le rseau visit.
Rx (LTE) : Rx est linterface permettant lIMS de demander au rseau LTE (entit
PCRF) de rserver des ressources laccs pour garantir la qualit de service des
sessions IMS.
Cx (IMS) : Cx est linterface entre les entit de contrle de session IMS appeles I-CSCF
et S-CSCF (Interrogating et Serving Call State Control Function) et la base de donnes
IMS appele HSS afin dauthentifier, dautoriser et de localiser lusager IMS.
Dx (IMS) : Dx est linterface entre lI-CSCF ou le S-CSCF et lentit SLF (Subscription
Locator Function) afin de localiser le HSS de lusager.
Sh (IMS) : Sh est linterface entre lApplication Server (AS) SIP et le HSS afin que lAS
obtienne les donnes de service permettant lexcution du service par lAS.
Dh (IMS) : Dh est linterface entre lAS et le SLF afin de localiser le HSS de lusager.

Copyright EFORT 2010 2

 Rf (IMS) : Rf est linterface entre les entits IMS et lentit CCF (Charge Collection
Fuction) pour la taxation offline.
Ro (IMS) : Ro est linterface entre les entits IMS et lentit Online Charging System
(OCS).

Lapplication DIAMETER SIP spcifie dans le RFC 4740 dfinit une application DIAMETER
qui peut tre utilise par un serveur SIP afin dauthentifier les usagers et les autoriser
utiliser diffrentes ressources SIP. Lapplication DIAMETER SIP a une spcification proche
de celle de linterface Cx en terme de fonctions, mais elle a t conue afin dtre
suffisamment gnrique et ainsi tre utilise par dautres scnarii de dploiement SIP en
dehors de lIMS.
LApplication DIAMETER Credit Control spcifie dans le RFC 4006 est utilise pour la
taxation temps rel (online charging) dun grand nombre de services. Elle est similaire
linterface Ro DIAMETER dfinie dans lIMS.

2 Types de nud DIAMETER

Un nud DIAMETER est un hte qui implante le protocole DIAMETER.

Un client DIAMETER est un nud la frontire du rseau qui ralise un contrle daccs.
Des exemples de clients DIAMETER sont les Network Access Servers (NAS), MME, S4-
SGSN.
Un serveur DIAMETER prend en charge les demandes dauthentification, dautorisation et de
taxation pour un domaine donn (appel realm). Un exemple de serveur est le HSS.
Un agent DIAMETER est un nud DIAMETER qui fournit des services de relai, de proxy ou
de traduction.
Un agent relai route les messages DIAMETE sur la base de linformation prsente dans les
messages. Les agents sont transparents. Un agent relai peut modifier les messages
DIAMETER uniquement en insrant et retirant des informations de routage mais ne peut pas
modifier les autres lments dinformation du message.
Un agent proxy comme un agent relai route le message DIAMETER. Toutefois un agent
Proxy peut modifier les messages afin de raliser un contrle daccs, un contrle de
politiques, etc. Un exemple dagent proxy est lentit PCRF dans larchitecture LTE.
Un agent de redirection fournit aussi une fonction de routage. Il sert de directory permettant
gnralement la traduction de Nom de domaine Adresse du serveur. A la diffrence des
autres types dagent (relai et proxy) qui acheminent les messages DIAMETER, lagent de
redirection retourne un type particulier de rponse lmetteur de la requte. La rponse
contient linformation de routage afin que lmetteur puisse retransmettre son message
directement au serveur destinataire. Un exemple dagent de redirection est lentit SLF dans
larchitecture IMS.
Un agent de traduction traduit les protocoles DIAMETER en RADIUS, DIAMETER en MAP,
etc. Un exemple dagent de traduction est lentit IWF de larchitecture LTE qui traduit
DIAMETER en MAP.
A la figure 1, le chemin de la requte et de la rponse est 1, 4, 5 et 6 dans le cas du
traitement uniquement par des agents relai/proxy. Le chamin devient 1, 2, 3, 4, 5, et 6 si
lagent de redirection est aussi impliqu.

Copyright EFORT 2010 3

 Redirect Redirect.RealmB.com
Agent

2. Request 3. Redirect Notification

1. Request Relay/Proxy 4. Request

Client Server
Agent
6. Answer 5. Answer
Client.RealmA.com Server.RealmB.com

Figure 1 : Types de nud DIAMETER

3 Message DIAMETER et AVP DIAMETER

Le protocole DIAMETER comprend un protocole de base qui dfinit le format du PDU

(Protocol Data Unit), quelques primitives, et des services de scurit de base. Le PDU est
structur en AVP (Attribute Value Pair), les 256 premiers AVPs tant rservs pour faciliter
la migration de RADIUS DIAMETER.
Un message DIAMETER consiste en un en-tte de taille fixe (20 octets) suivi par un nombre
variable dAVPs. Le format du message est montr la figure 2.
Le champ Version indique le numro de version de DIAMETER. La valeur de ce
champ est positionne 1.
Le champ Message length indique la longueur du message en octets.
Le fanion de commande spcifie 4 bits R, P, E et T:
R : Le bit R signifie Request. Il indique si le message est une requte ou une
rponse. 1 Request; 0=Rponse.
P : Le bit P signifie Proxiable. Il indique si le message peut tre rout par un agent
proxy, un agent relai ou un agent de redirection ou s il doit tre trait localement.
E : Le bit E signifie Error. Il indique si le message contient des erreurs protocolaires
ou smantiques. Lorsque la requte gnre une erreur protocolaire, le message de
rponse est retourn avec son bit E positionn la valeur 1 indiquant une erreur
protocolaire.
T : Le bit T signifie reTransmitted. Il indique si le message a t retransmis suite un
failover ou est utilis pour supprimer la rception des message dupliqus.
r(eserved) - Les bits r sont rservs pour usager futur. Ils sont positionns 0 et
ignors par le rcepteur.
command-code (4 octets) est utilis pour communiquer la commande associe au
message. Chaque message DIAMETER doit contenir un code de commande afin que le
rcepteur sache identifier l action raliser pour chaque message
Application-ID (4 octets) identifie l application spcifique laquelle appartient le
message, tel que Mobile IP, Accounting, etc.
Hop-by-hop identifier transporte un identificateur utilis afin d associer la requte et la
rponse sur ce saut (hop). L metteur de la rponse doit s assurer que la valeur de cet
identificateur est la mme que celle prsente dans la requte correspondante.
End-to-end identifier est utilis afin de dtecter des messages dupliqus. L identificateur
dans la rponse doit tre identique celui de la requte correspondante. L identification
doit tre unique pour au moins 4 minutes. Cet identificateur ainsi que l AVP Origin-Host
(dcrit plus tard) sont utiliss ensemble afin de dtecter des duplications de message.
Une requte duplique ne doit pas conduire l envoi de deux rponses.

Copyright EFORT 2010 4

 0 1 2 3
01234567890123456789012345678901
Version Message length
RPETrrrr Command-Code (IANA)
Application-ID
Hop-by-Hop Identifier
End-to-End Identifier

AVPs

Figure 2 : Format de message DIAMETER

A titre dexemple, considrons linterface Cx entre lI-CSCF ou le S-CSCF et le HSS dans

larchitecture IMS.

Cette interface permet :

Lautorisation denregistrement pour lusager (I-CSCF HSS)
La demande des vecteurs dauthentification pour lusager (S-CSCF HSS)
La notification dtat denregistrement (register / de-register) (S-CSCF HSS)
Lannulation denregistrement initie par le rseau (HSS S-CSCF)
La demande de localisation de lusager (I-CSCF HSS)
La mise jour du profil de lusager (HSS S-CSCF).

Tous les messages DIAMETER dfins par cette interface ont leur champ Application-ID
positionn la valeur 16777216.
Les messages UAR et UAA (Command-Code 300) appartiennent la transaction
dautorisation. Le message UAR mis par lentit I-CSCF est acquitt par une rponse UAA
qui contient les informations denregistrement de lusager (si celui-ci est dj enregistr) ou
la dcision sur la permission de traitement de lenregistrement (rejeter ou accepter).
Le message MAR est utilis afin dobtenir les vecteurs dauthentification pour un usager
donn auprs du HSS. La rponse MAA contient un ou plusieurs vecteurs dauthentification
gnrs pour lusager. Les messages MAR et MAA ont leur champ Command-Code
positionn la valeur 303.
Le message SAR est mis par le S-CSCF lentit HSS afin de mettre jour dans le profil
de lusager son S-CSCF courant. Lentit HSS rpond par le message SAA en indiquant le
nouvel tat denregistrement de lusager ainsi que son profil de service. Les messages SAR
et SAA ont pour Command-Code la valeur 301.
Lannulation denregistrement de lusager par le rseau est ralise laide du message
RTR mis par le HSS. Le S-CSCF lacquitte par une rponse RTA. Le Command-Code de
RTR et RTA a pour valeur 304.
Le message LIR est mis par lentit I-CSCF au HSS afin de localiser le S-CSCF courant de
lusager. Lentit HSS rpond par un message LIA contenant le nom du S-CSCF ou une
valeur dtat indiquant que lusager nest pas connu dans ce HSS ou nest pas actuellement
enregistr. Les messages LIR et LIA ont pour Command-Code la valeur 302.
Enfin, le message PPR est utilis par le HSS afin de mettre jour un profil dusager dans le
S-CSCF. Ce message est acquitt par le S-CSCF par une rponse PPA. Le Command-Code
de PPR et PPA est gal 305.

Copyright EFORT 2010 5

 Transaction Emis par
UAR User authorization request I-CSCF
UAA User authorization answer HSS
MAR Multimedia authentication request S-CSCF
MAA Multimedia authentication answer HSS
SAR Server assignment request S-CSCF
SAA Server assignment answer HSS
RTR Registration termination request HSS
RTA Registration termination answer S-CSCF
LIR Location info request I-CSCF
LIA Location info answer HSS
PPR Push profile request HSS
PPA Push profile answer S-CSCF

Figure 3 : Message DIAMETER de linterface Cx

AVP est l'objet le plus important dans le protocole DIAMETER ; il est utilis pour fournir
toutes les donnes. Certains AVPs sont ncessaires DIAMETER lui-mme pour
fonctionner, alors que d'autres fournissent des donnes lies aux applications exploitant
DIAMETER. Les AVPs contenant l'information spcifique une application peuvent tre
arbitrairement ajouts aux messages DIAMETER, ds lors que les AVPs ncessaires sont
prsents et que ceux qui doivent tre ajouts ne sont pas explicitement interdits par les
rgles du protocole.
Les AVPs transportent les informations d authentification, d autorisation, de scurit, de
comptabilit ainsi que des informations de configuration.
Le format de l en-tte de l AVP est donn la figure 4. Il contient les champs suivants :
AVP-Code (4 octets): identifie l AVP de manire unique. Les 256 premiers numros sont
rservs pour la compatibilit avec RADIUS. Les suivants sont utiliss par le protocole de
base et ses extensions (numros devant tre allous par l IANA).
Fanions (5 bits):
V bit, connu comme Vendor-Specific bit, indique si le champ optionnel Vendor-ID est
prsent dans l en-tte de l AVP. Quand positionn, le code AVP appartient l espace
d adressage des codes de ce constructeur.
M bit: Le bit M signifie Mandatory bit. Il indique si le support de cet AVP est
obligatoire. Ainsi si un AVP dont le bit M est gal 0 indique que cet AVP est
informationnel, et par consquent qu il peut tre ignor.
P bit: Le bit P signifie Protected . Il indique la ncessit d un encryptage pour une
scurit de bout en bout. Le protocole de base DIAMETER spcifie quels AVPs doivent tre
protgs.En pratique ce bit est positionn la valeur 0.
Les bits rrrrr sont rservs et positionns la valeur 0.
Vendor-ID (4 octets) identifie le constructeur l origine de cet AVP propritaire. La prsence
de ce champ est prciss par le bit V du champ Fanion (Flags)
Data : Longueur variable.

Copyright EFORT 2010 6

 0 1 2 3
01234567890123456789012345678901
AVP-Code (IANA)

VMPrrrrr AVP length

Vendor-ID (if vendor-specific AVP)

Data (Variable length)

Figure 4 : Format dAVP DIAMETER

Parmi les AVPs dfinis par le protocole de base DIAMETER figurent :

Origin-Host AVP: Cet attribut est ajout par le client qui gnre le message DIAMETER
et ne peut pas tre modifier par les agents DIAMETER. Il doit tre prsent dans tous les
messages DIAMETER.
Origin-Realm AVP: Cet AVP contient le Realm (Nom de domaine) de lmetteur du
message DIAMETER et doit tre prsent dans tous les messages DIAMETER. Les
agents Relai ne doivent pas modifier cet AVP.
Destination-Host AVP: Cet AVP qui peut tre prsent dans un message DIAMETER mis
par un client est utilis afin de router un message au serveur identifi par cet AVP.
Labsence de cet AVP dans un message DIAMETER aura pour consquence lenvoi du
message nimporte quel serveur DIAMETER supportant lapplication et appartenant au
domaine spcifi par Destination-Realm AVP.
Destination-Realm AVP: Cet AVP contient le Realm auquel doit tre rout le message
DIAMETER. Lorsquil est prsent, cet AVP permet de raliser des dcisions de routage.

Rfrences
3GPP TS 29.229, Cx and Dx interfaces based on the Diameter protocol; Protocol details,
Sept 2007.
RFC 3588, P. Calhoun et al., Diameter Base Protocol, Sept 2003.

Les formations proposes par EFORT prsentent outre les aspects architecturaux,
protocolaires (SIGTRAN, SIP, DIAMETER, RTP, MEGACO/H.248, etc.) et
normatifs de lIMS et de lEPS, les lments ncessaires llaboration de stratgies de
dploiement de business de services sur IP base sur IMS et EPS:

Copyright EFORT 2010 7