何谓AAA

AAA所代表的是认证（Authentication）、授权（Authorization）、帐务（Accounting），其意涵分别如下：

对于IMS的应用系统来说，应用服务或许依使用的封包数目、使用时间、使用次数计价，在优惠期间可能要提供动态帐务管理，用户资料库将提供第一次登入的资料确认，逾期欠款的用户经由IP转址的功能只看得到缴费网页，用户资料库甚至可保存五年以上的使用记录，包含网址、时间等，对于IMS的管理，AAA的功能相当重要。

AAA架构的应用

AAA应用系统以Remote Authentication Dial In User Service通信协定为代表，通称RADIUS。主要提供网路接取设备的认证、授权、帐务的伺服器，其使用行为如(图一)。

《图一 AAA服务器应用示意图》 - BigPic:706x265

用户要登入网路前在电脑配置一部数据机，网路运营商提供一个全区通用的号码，数据机拨通后连接到局端交换机，与运营商机房的网路接取设备（NAS）的STM1等电路连接，NAS一端接电路一端接IP，在此之前皆属电路交换。直到NAS和AAA伺服器连通并通过认证而得到授权之后，IP就建立于电路之上.NAS将核发IP于用户的电脑。

IMS使用的Diameter通讯协定

Diameter是由RADIUS软体演化改变而来的，但其架构己经改变。 Diameter是一种对等（peer-to-peer）通信协定，与典型的主仆式（client/server）通信协定明显不同。我们已经熟知用户端送出一项需求，而伺服端经过运算后传回答案的反应模式，在网路活动中尤其以ADSL 最具代表性，当浏览网路仅送出一个URI（资源识别字串）用于在网路环境中识别文件、可供下载的档案、各式服务及电子邮箱等等的各式资源），可得回一份文件，档案以及服务。

但是IMS的架构则不然，它整个架构组成的模组（component）?是伺服端又可以是用户端。以(图二)所示，储值管理模组可能反应SIP 的需求检视储值状况，回应的结果决定电话是否能拨通与否，然而储值管理模组刚又透过Diameter协定向远端资料库存取。因此，使用Diameter 的伺服端与用户端均能发送和接收需求与回应。

《图二 Diameter通信协议与应用模块》 - BigPic:594x296

要执行AAA的功能，D​​iameter定义了一些功能实体（function entity）如下：

Diameter的节点（node）以上所有功能实体均为Diameter节点。

Diameter议程（session）

当两个Diameter的节点产生连结，传递需求并接受回应就是一项议程。在网路通信的部份，Diameter通信协定是位于TCP或SCTP，比较起RADIUS使用UDP，Diameter当然提供更为可靠的传输，这和TAC_PLUS有相同的好处，但在工业的应用上TAC_PLUS远不及RADIUS普遍。尽管TAC_PLUS相当的稳定性，实务上，TAC_PLUS可以提供​​百万数量以上的用户存取网路，而依然非常稳定，扩充性也高。

Diameter虽然是对等（peer-to-peer）架构，但是它的通信协定定义了一个Diameter节点，可以与其他对等节点建立不只一个以上的连结（connection）关系。因此当介绍IMS 的议程的观念，就应了解议程必然发生在两个节点，可能使用一个或一个以上的连结。

从一般用户登入网路的行为来看，经由网路接取设备（NAS）收到用户输入的帐号和密码之后，NAS向Diameter伺服器要求认证，这就是所谓认证的议程。当Diameter再到资料库完成用户资讯的撷取，又是项议程，等到授权策略决定再回应NAS的需求完成授权的议程，用户登入之后， 立?启动帐务的议程，因此用户在网路上的所有活动都在此议程内，直到离线结束了帐务议程。如以RADIUS 和TAC_PLUS来比较，如(图三)所示。

《图三 RADIUS 和TAC_PLUS比较图》 - BigPic:680x401

以(图三)RADIUS为例，从NAS到RADIUS为一个连结也是认证的议程，但从RADIUS 伺服端回应NAS?是连结也是授权议程. 但以TAC_PLUS通信协定看来，一个认证的议程包含二个连结，而授权议程总共有6个连结，或可看成三项子议程而组成之。

议程的开始从某一IMS的节点送出需求讯息到另一个节点，在此一讯息会包含议程号码（session ID），例如：送出auth-request的讯息，伺服端会回应相关AVP，AVP是一串链结（listing list）包含授权的各项资讯，其中以Authorization-Lifetime最为重要，因为它能够指定用户获得授权之后可以使用多久，如果它的值是unlimit则不限任何时间长度。

这项资讯可以用来即时控制用户使用应用的时间，在用户使用完毕之后， 从网路接取设备（NAS）会送出终结的讯号停止议程，用户因而被系统停用。对于储值的应用系统这项特点就非常好用，只要从资料库取出资讯，换算成可用时数再传回authorization-lifetime就行。反之，对于帐务月结式的应用系统，在授权时大可开放不限时数的授权，当用户离开应用系统后，IMS自会将使用时间写入资料库，在批次作业处理帐务并予以列印报表。

对于帐务的议程,值得讨论的是STARTRECORD。 STOPRECORD与session_time等帐务的AVP. START_RECORD和STOP_RECORD为帐务议程的开始与结束AVP,由于AVP为相关的资料链结，必然有相关的帐务号码，发生时间，实务上，我们通常只取用帐务资讯的开始与结束AVP与其发生时间记录，在资料库作为用户存取应用的管理上，当然也会填入相关如应用系统名称等资讯，但最主要的是session_time这项资料，它表示用户开始使用应用系统的总共时间，以秒为单位，因此，在某一段时间内追踪何者使用应用系统，用户的IP位址，用户豋入的时间与登出时间，只要用过，必然留下痕迹。

为了防止重覆的记录发生，每一笔的帐务记录都以Session_Id AVP配合Accounting-Record-Number AVP，Diameter伺服器在收到帐务的需求并不会特别企图识别其不同，这是因为这两者AVP都是以长整数的单位产生的数值，在极长的时间之内不会重覆，?使在极短的时间内也不致于重覆太多次数，已经达到辨别用户使用的目的。

在ISMS的安全机制

IMS的安全机制可以区分存取（access）和网路两种。存取安全部份包括用户的认证和网路流动的封包的保护，网路安全机制着重在IMS节点间资料流动以及和不同运营商之间的安全管理，但以上所使用的安全机制都采取IPsec在资料流加以保护。

当用户要进入IMS的服务之前必须经由认证与授权，尤其是在授权使用两个IPsec的关连于IMS的终端与IMS的P-CSCF，使得两者之间流动的资料受到保护。因此，当S-CSCF从HSS资料库撷取用户资料库，不仅同时执行帐号和密码的认证，也在运算认证的权限，所以除非P-CSCF和IMS终端获得授权，否则这两者之间的IPsec通道不会获准连通其他IMS的网路。

在IMS的终端并非直接负起安全的功能而是采用智慧卡（Smart Card），在3G网路它又称为UICC（Universal Integrated Circuit card），UICC包括了三种的应用，每项都储存了相关的设定和参数配合该项应用的用途，如：ISIM（IP-Multimedia Service Identity Module）、SIM（Subscriber Identity Module）、USIM（UMTS Subscriber Identity Module）。

基于ISIM原本就为IMS量身订作，因此，IMS系统优先采用ISIM。 ISIM最特殊的就是安全机制的设计，使得IMS的终端和IMS网路之间产生双​​向认证的功能，每个ISIM包含一个安全键值（key value），连同ISIM一起储存在HSS资料库，因此IPsec得以使用ISIM和键值建立双向安全通道。

以往在INTERNET IP 网路最为人所担心的，往往是用户认证不严谨，授权有限制，安全问题衍生诸多应用不易推广。但在IMS 推广下，结合3G 的ISIM 的应用，原先在INTERNET 诸多安全交易的问题均获得解决，更具有预防性，再加上严谨的帐务功能，弹性的提供线上?时和批次的作业，对于电信、网路运营商，以及众多的用户均能保障使用上的安全以及公正的计价。

"