Transcription of Protocole de Base DIAMETER Architecture, Entités …
1 Copyright EFORT 20141 Protocole de Base DIAMETERA rchitecture, Entit s et Protocole DIAMETER a t con u comme une version am lior e du Protocole ailleurs ces deux protocoles sont des protocoles AAA (Authentication,Authorizattion,Accountin g) et sont utilis s par des proc dures d authentification, d autorisation et detaxation (online etoffline) dans le monde IP. Le Protocole de base DIAMETER est sp cifi dans le RFC 3588 remplac par le RFC RADIUS, acronyme deRemoteAuthenticationDial-In User Service, son nom est un jeu de mot, DIAMETER ,signifiant diam tre en anglais, qui est le double du rayon (radius en anglais).Un des objectifs tait de maximiser la compatibilit et faciliter la migration de RADIUS DIAMETER . Par exemple, un message DIAMETER comme un message RADIUS transportedes l ments d information appel s AVP (attribute value pair) et tous les AVPs de RADIUSont t repris dans le Protocole est d fini travers un Protocole de base et un ensemble d applications.
2 Cetteconception permet une extension du Protocole de base pour de nouvelles applications. Leprotocole de base fournit un format de commande et d AVP, des m canismes pour untransport fiable, la livraison des commandes et le traitement des Protocole de base doit tre utilis conjointement avec une application application s appuie sur les services du Protocole de de 80 applicationsDIAMETER ont t d finies ce jour pour le monde des t l communications, notammentpar 3 GPP pour les architectures EPS (EvolvedPacket System) qui repr sente le r seau 4G,IMS (IPMultimediaSubsystem) qui repr sente une architecture de service sur IP notammentpour la t l phonie sur IP, PCC (PolicyandCharging Control) permettant le contr le et lataxation des flux IP du client sur le r seau data mobile, M2M (Machine to Machine) pourfaciliter les communications machine to machine et adapter le r seau mobile ce type dedevice, et GAA/GBA (GenericAuthentication Architecture /GenericBootstrappingArchitecture) pour une authentification de service.
3 Le but de cetutoriel est de d crire leprotocole de base versus RADIUSR adius avait tout d abord pour objet de r pondre aux probl mes d authentification pour desacc s distants, par liaison t l phonique, vers les r seaux des fournisseurs d acc s ou desentreprises. C est de l qu il tient son nom qui signifieRemoteAuthenticationDial In UserService. Il est d fini dans les RFCs 2865 (RADIUSA uthentication) et 2866 (RADIUSA ccounting). Au fil du temps, il a t enrichi et on peut envisager aujourd hui de l utiliser pourauthentifier les postes de travail sur les r seaux locaux, qu ils soient filaires ou sans est un Protocole AAA. Ces initiales r sument les trois fonctions du Protocole :A =Authentication : authentifier l identit du client ;A =Authorization : accorder des droits au client ;A =Accounting : enregistrer les donn es de comptabilit de l usage du r seau par le point faibles du Protocole RADIUS ont t adress s dans la conception duprotocole DIAMETER : Taille r duite de la valeur d AVP (1 octet pour RADIUS contre 3 pour DIAMETER ).
4 Lalongueur de l AVP RADIUS a une taille d un octet, ce qui limite la valeur de l AVP a unelongueur maximum de 255 octets. La longueur de l AVP DIAMETER a une taille de 3octets. Ce qui signifie que la valeur d un AVP DIAMETER a une longueur maximum deCopyright EFORT 2014216 millions d octets. Ceci est tr s utile notamment lorsque l AVP transporte un profilusager qui peut mesurer plusieurs kilooctets. Nombre r duit de messages RADIUS parall les (Identification r duite 1 octet contre 4pour DIAMETER ). RADIUS permet d identifier la transaction par un num ro encod sur1 octet. Le nombre de transactions pouvant tre trait es en parall le est 256. DIAMETER permet d identifier la transaction par un identificateur encod sur 4 octet. Le nombre detransactions pouvant tre trait es en parall le est 4 milliards. Incapacit de contr ler les flux vers le serveur (RADIUS fonctionne sur UDP alors queDIAMETER op re sur TCP ou SCTP).
5 RADIUS fonctionne sur UDP ce qui ne constituepas un transport fiable. DIAMETER fonctionne sur TCP ou SCTP permettant de fiabiliserle transport desrequ tes/r ponses DIAMETER , notamment via des m canismes decontr le de flux et de retransmission. Protocole client serveur ne permettant pas au serveur d initier une requ te : RADIUS estun Protocole client serveur ; seul le client peut initier une requ te et le serveur retourneune r ponse une fois la requ te trait e. DIAMETER qui est plut t un protocolepeer topeer permet au client ou au serveur d initier une requ te. Chaque n ud DIAMETER a unrole dual client et serveur. Impossibilit de rajouter des commandes au Protocole RADIUS : RADIUS ne permet pasla d finition de commandes sp cifiques un vendor . Par contre il permet la d finitiond AVP sp cifiques. Le Protocole DIAMETER permet la d finition de commandes et d AVPsp cifiques un vendor.
6 Ainsi DIAMETER doit tre consid r comme un Protocole debase au dessus duquel, il est possible de d finir des applications avec des commandessp cifiqueset/ou des AVPs sp cifiques. S curit au niveau du Protocole RADIUS : Avec RADIUS, le client et le serveur doivent trepr configur s avec un secret partag m me si la s curit au niveau IP a t activ au contraire peut s curiser la communication entre paires avec desm canismes standard de s curit IP tels que IPSec, TLS (Transport LayerSecurity), ouDTLS (Datagram TLS). Comportement duproxy entre client et serveur non sp cifi pour RADIUS: RADIUS etDIAMETER permettent l utilisant de n uds additionnels sur le chemin entre client etserveur. Ces n uds s appellent desproxy dans l environnement RADIUS et Agent dansl environnement DIAMETER . L agent DIAMETER peut avoir plusieurs r les et un de sesr les estProxy. Les autres r les possibles sontRelay,Redirect et Translation.
7 Ladiff rence entre les deux types de n uds est que RADIUS n a pas sp cifi lecomportement duProxy, ni toute la proc dure de routage. Par contre DIAMETER atotalement sp cifi le comportement de l agent et toute sa proc dure de de base DIAMETER et identificateurd applicationToute commande DIAMETER doit appartenir une application et doit inclure l identificateurd application (application Id) laquelle la commande appartient. Les commandes duprotocole de base sont soit li es des aspectsauthentification/autorisation, soit desaspects commandes du Protocole de base relatives aux aspects autorisation et authentificationont un Application Id gal 0. Elles sont d finies dans le RFC commandes du Protocole de base relatives aux aspects taxationoffline ont unApplication Id gal Elles sont aussi d finies dans le RFC commandes du Protocole de base relatives aux aspects taxationonline ont unApplication Id gal 4.
8 Elles sont sp cifi es dans le RFC EFORT 20143 Une nouvelle application aura un nouvel identificateur d application si elle ajoute denouvelles commandes ou si elleajoute/supprime des AVPs obligatoires aux commandes duprotocole de titre d exemple, 3 GPP qui normalise le monde des t l communications mobiles a d finiune nouvelle application de taxationoffline pour la data mobile, appel eGz, mais sansrajouter de nouvelles commandes ouajouter/supprimer des AVPs obligations auxcommandes du Protocole de base. Cette application se contente d utiliser les commande detaxationoffline du Protocole de base et de rajouter des AVPs optionnels, au Protocole debase. Son identificateur d application est donc en va de m me pour l applicationGy de taxationonline pour la data mobile qui ne fait querajouter des AVPs optionnels au Protocole de base. Son identificateur d application est 4.
9 Parcontre, Par contre l application S6 de gestion de mobilit dans le r seau EPS (4G) rajoute denombreuses commandes et des AVPs obligatoires au Protocole de base. Un nouvelidentificateur d application lui a t assign , savoir s DIAMETER Unn ud DIAMETER est un h te qui implante le Protocole DIAMETER . Il joue un r ledual client et serveur. Il est client lorsqu il met une requ te et serveur lorsqu il re oit unerequ te. Il faut donc plut t consid rer le Protocole DIAMETER comme un Protocole entrepeers. Dans un r seau 4G appel EPS (EvolvedPacket System), il existe de nombreuxn uds DIAMETER , tels que le MME (Mobility ManagementEntity) qui prend en chargela gestion de la mobilit de l UE (UserEquipment) et le HSS (HomeSubscriberServer)qui fournit au MME des vecteurs d authentification pour authentifier l UE et le profil del abonn afin de permettre au MME de conna tre les autorisations assign e l abonn lors de sa Protocole DIAMETER peut tre utilis en mode associ oupeer topeer (sans agent) ouen mode quasi associ (avec un agent).
10 Letutoriel EFORT sur le th me R seau deSignalisation DIAMETER ( )pr sente les avantages introduire un agent. Unagent DIAMETER est un n ud DIAMETER qui fournit des services derelai, deproxyou de traduction. Unagentrelai est un agent DIAMETER qui accepte des requ tes, et les relaie soit unautre agent, soit au n ud DIAMETER de destination partir des informations pr sentesdans les requ tes ( ,Destination-Realm). Cette d cision de routage est r alis e gr ce la table de routage bas e sur le DestinationRealm (nom de domaine de la destination),qui indique le n ud suivant pour unrealm de destination donn . Les agentsRelai ner alisent aucun traitement de niveau application. Les agentsRelai modifient lesmessages DIAMETER en y ins rant et en y supprimant des informations de routage,mais ne modifient aucune autre partie des messages. Les agentsRelai ne maintiennentpas d tat de session mais doivent maintenir un tat de transaction.
