Протоколы ААА: RADIUS и Diameter. Серия «Телекоммуникационные протоколы». Книга 9
Б. С. Гольдштейн, В. С. Елагин, Ю. Л. Сенченко.
СПб.: БХВ – Санкт-Петербург, 2011.
Девятая книга серии «Телекоммуникационные протоколы».
Рассматриваются протоколы и процедуры аутентификации, авторизации и учета AAA
(Authentication, Authorization, Accounting) в современных сетях мобильной и фиксированной связи. AAA обеспечивают управление доступом к любым сетям связи и играют ключевую роль всюду,
где требуется представить конечному пользователю счет за предоставленные инфокоммуникационные услуги, включая традиционную телефонию, широкополосный доступ, услуги маршрутизации, услуги шлюза и т.п. Важность ААА-операций все более возрастает по мере распространения
сетей NGN/IMS. Книга содержит подробные сведения о двух наиболее распространенных сегодня
AAA-протоколах.
Содержание
Предисловие 9
Глава 1. Архитектура ААА 13
1.1. Аутентификация 14
1.1.1. Двустороння модель 17
1.1.2. Трехстороння модель 17
1.2. Авторизация 19
1.2.1. Обмен сообщениями внутри одного домена 21
1.2.2. Обмен сообщениями между разными доменами – роуминг 23
1.3. Учет 26
1.3.1. Архитектура системы управления учетом 28
1.3.2. Обеспечение надежности учета 29
1.3.3. Модели передачи информации учета 33
1.4. Обобщенная архитектура ААА 36
Глава 2. RADIUS 39
2.1. Основные положения 39
2.2. Архитектура RADIUS 40
2.3. Общая схема взаимодействия при использовании протокола RADIUS 43
2.4. Алгоритмы аутентификации, авторизации и учета RADIUS 45
2.4.1. Базовая схема работы протокола 45
2.4.2. Схема Challenge/Response 47
2.4.3. Взаимодействие с технологиями PAP и CHAP 48
2.4.4. Работа посредников (прокси) в протоколе RADIUS 50
2.4.5. Протокол учета RADIUS (RADIUS Accounting) 52
2.5. Сообщения и атрибуты RADIUS 54
2.5.1. Формат соощения 54
2.5.2. Типы пакетов 57
2.5.3. Формат атрибутов в RADIUS 61
2.5.4. Атрибуты протокола RADIUS 66
2.5.5. Дополнительные атрибуты протокола RADIUS 104
2.6. Примеры применения протокола RADIUS 139
Глава 3. Протокол Diameter 145
3.1. Предпосылки появления нового протокола ААА 145
3.1.1. Резервирование 146
3.1.2. Защита уровня передачи 146
3.1.3. Надежный транспорт 147
3.1.4. Поддержка функций агентов 147
3.1.5. Поддержка сообщений, инициируемых сервером 147
3.1.6. Контролируемость 147
3.1.7. Взаимодействие с RADIUS-совместимыми устройствами 148
3.1.8. Согласование возможностей 148
3.1.9. Динамическое обнаружение узлов 148
3.1.10. Поддержка роуминга 148
3.1.11. Расширяемость протокола 149
3.1.12. Спецификации Diameter 149
3.2. Основы базового протокола Diameter 151
3.2.1. Транспорт 151
3.2.2. Идентификаторы приложений 153
3.2.3. Соединения и сессии 153
3.2.4. Таблица узлов 154
3.2.5. Таблица маршрутизации по административным доменам (Realm) 155
3.2.6. Роль Diameter-агентов 156
3.3. Заголовок сообщения Diameter 161
3.3.1. Структура заголовка 161
3.3.2. Коды команд 165
3.4. Пары атрибут - значение базового протокола Diameter 165
3.4.1. Заголовок AVP 166
3.4.2. Базовые форматы данных пар атрибут-значение 168
3.4.3. Производные форматы данных AVP 170
3.4.4. Групповые AVP 176
3.4.5. Пары атрибут - значение базового протокола Diameter 178
3.5. Узлы Diameter 189
3.5.1. Соединения между узлами 191
3.5.2. Обнаружение узлов 192
3.5.3. Согласование возможностей 193
3.5.4. Разрыв соединений 195
3.5.5. Обнаружение проблем траспортного уровня 197
3.6. Обработка сообщений Diameter 199
3.6.1. Маршрутизация запросов Diameter 199
3.6.2. Обработка ответов Diameter 204
3.7. Обработка ошибок 206
3.8. Сессии пользователей Diameter 207
3.8.1. Повторная аутентификация/авторизация, инициируемая сервером 208
3.8 2. Завершение сессий 210
3.8.3. Принудительное завершение сессий 213
3.9. Учет 214
3.9.1. Сообщения протокола учета 215
3.9.2. Записи учета 217
3.9.3. Сопоставление записей учета 218
Глава 4. Приложение кредитного контроля Diameter 219
4.1. Предоплата инфокоммуникационных услуг 219
4 2. Архитектура кредитного контроля 220
4.3. Сообщения кредитного контроля 221
4.3.1. Credit - Control - Request 221
4.3.2. Credit - Control - Answer 222
4.4. Обзор приложения кредитного контроля Diameter 223
4.4.1. Передача специфической для услуги информации 224
4.5. Сессионный кредитный контроль 224
4.5.1. Основные принципы 224
4.5.2. Начальный запрос 228
4.5.3. Промежуточный запрос 232
4.5.4. Финальный запрос 234
4.5.5. Реавторизация кредита, инициированная сервером 236
4.5.6. «Вежливое» завершение сессии 237
4.6. Однократное событие (One-Time-Event) 239
4.6.1. Запрос стоимости услуги 237
4.6.2. Проверка баланса 240
4.6.3. Прямое списание 240
4.6.4. Пополнение счета 241
4.7. Пары атрибут-значение приложения кредитного контроя Diameter 242
4.7.1. CC-Request-Type AVP 244
4.7 2. CC-Sub-Session-Id AVP 244
4.7.3. Cost-Information AVP 245
4.7.4. Unit-Value-AVP 245
4.7.5. Currency-Code AVP 246
4.7.6. Cost-Unit AVP 246
4.7.7. Multiple-Services-Credit-Control-AVP 246
4.7.8. Granted-Service-Unit-AVP 246
4.7.9. Requested-Service-Unit AVP 247
4.7.10. Used-Service-Unit AVP 248
4.7.11. Tariff-Time-Change AVP 248
4.7.12. CC-Time AVP 248
4.7.13. CC-Money AVP 248
4.7.14. CC-Total-Octets AVP 248
4.7.15. CC-Input-Octets AVP 248
4.7.16. CC-Output-Octets AVP 248
4.7.17. CC-Service-Specific-Units AVP 249
4.7.18. Tariff-Change-Usage AVP 249
4.7.19. Service-Identifier AVP 250
4.7 20. Rating-Group AVP 250
4.7 21. G-S-U-Pool-Reference AVP 249
4.7 22. G-S-U-Pool-Identifier AVP 251
4.7 23. CC-Unit-Type AVP 251
4.7 24. Final-Unit-Indication-AVP 251
4.8. Кредитный контроль нескольких услуг в одной (под) сессии 253
4.9. Кредитный контроль SIP-сессии 258
4.10. Кредитный контроль MMS 260
Глава 5. Diameter-сервер доступа к сети и преобразование протоколов RADIUS/Diameter 261
5.1. Приложение сервера доступа к сети Diameter 261
5.2. Сообщения приложения Diameter NAS 262
5.2.1 Команда AA-Request (AA-R) 262
5.2.2. Команда AA-Answer (AA-A) 264
5.2.3. Re-Auth-Request (RAR) 265
5.2.4. Re-Auth-Answer (RAA) 266
5.2.5. Session-Termination-Request (STR) 267
5.2.6. Session-Termination-Answer (STA) 268
5.2.7. Abort-Session-Request (ASR) 268
5.2.8. Abort-Session-Answer (ASA) 269
5.2.9. Accounting-Request (ACR) 269
5.2.10. Accunting-Answer (ACA) 271
5.3. Преобразование протоколов RADIUS и Diameter 272
5.3.1. Преобразование RADIUS-запроса в Diameter-запрос 273
5.3.2. Преобразование Diameter-запроса в RADIUS-запрос 277
5.3.3. Преобразование пар атрибут-значение Diameter 280
5.3.4. Специфические атрибуты в RADIUS 280
5.3.5. Запрещенные RADIUS-атрибуты 282
5.4. Пары атрибут-значение протокола сервера доступа к сети Diameter 282
5.4.1. AVP, передающие информацию о сессиях и вызовах 282
5.4.2. Аутентификационные AVP-приложения сервера доступа к сети 285
5.5. Авторизационные AVP приложения сервера доступа к сети 287
5.5.1. Service-Type AVP 288
5.5.2. Framed-Protocol AVP 289
5.5.3. Framed-MTU AVP 289
5.5.4. Framed-IP-Address AVP289
5.5.5. Framed-IP-Netmask AVP 289
5.5.6. Framed-Route AVP 290
5.5.7. Framed-Pool AVP 290
5.6. Пары атрибут-значение протокола учета NAS 290
5.6.1. Accounting - Input-Octets AVP 291
5.6.2. Accounting - Output-Octets AVP 291
5.6.3. Accounting - Input-Packets AVP 291
5.6.4. Accounting - Output-Packets AVP 291
5.6.5. Acct-Session-Time AVP 291
5.7. AVP, используемые в целях RADIUS-совместимости 292
5.7.1. NAS-IP-Address AVP 292
5.7.2. Origin-AAA-Protocol AVP 293
5.8. Таблицы использования AVP 293
5.8.1. AA-Request/Answer AVP 293
5.8.2. Accounting - Framed Access AVP 295
5.8.3. Accounting - Non-Framed Access AVP 296
Глава 6. Реализация, расчет и тестирование протоколов ААА 297
6.1. Проблема совместимости оборудования ААА 297
6.2. Пример реализации ААА в сети NGN/IMS 298
6.3. Протоколы ААА в интеллектуальной платформе Протей 300
6.4. Реализация функций ААА в конвергентной WLAN/UMTS-сети 302
6.5. Расчет нагрузки биллинговой системы конвергентной WLAN/UMTS-сети 308
6.6. Тестирование протоколов ААА 310
6.7. Эксплуатационное управление сетями NGN/IMS 310
6.8. Интерактивная система обучения протоколам ААА 311
Глава 7. Специальные возможности применения протоколов ААА 313
7.1. Проблематика законного перехвата сообщений 313
7.2. СОРМ на базе протокола RADIUS 315
7.2.1. Интегрированный подход к СОРМ на базе RADIUS 316
7.2.2. Пример реализации СОРМ на базе RADIUS 322
7.3. СОРМ на базе протокола Diameter 339
Заключение 343
Список сокращений 345
Список литературы 347
|