何謂AAA

AAA所代表的是認證（Authentication）、授權（Authorization）、帳務（Accounting），其意涵分別如下：

對於IMS的應用系統來說，應用服務或許依使用的封包數目、使用時間、使用次數計價，在優惠期間可能要提供動態帳務管理，用戶資料庫將提供第一次登入的資料確認，逾期欠款的用戶經由IP轉址的功能只看得到繳費網頁，用戶資料庫甚至可保存五年以上的使用記錄，包含網址、時間等，對於IMS的管理，AAA的功能相當重要。

AAA架構的應用

AAA應用系統以Remote Authentication Dial In User Service通信協定為代表，通稱RADIUS。主要提供網路接取設備的認證、授權、帳務的伺服器，其使用行為如(圖一)。

《圖一　AAA伺服器應用示意圖》 - BigPic:706x265

用戶要登入網路前在電腦配置一部數據機，網路運營商提供一個全區通用的號碼，數據機撥通後連接到局端交換機，與運營商機房的網路接取設備（NAS）的STM1等電路連接，NAS一端接電路一端接IP，在此之前皆屬電路交換。直到NAS和AAA伺服器連通並通過認證而得到授權之後，IP就建立於電路之上.NAS將核發IP於用戶的電腦。

IMS使用的Diameter通信協定

Diameter是由RADIUS軟體演化改變而來的，但其架構己經改變。Diameter是一種對等（peer-to-peer）通信協定，與典型的主僕式（client/server）通信協定明顯不同。我們已經熟知用戶端送出一項需求，而伺服端經過運算後傳回答案的反應模式，在網路活動中尤其以ADSL 最具代表性，當瀏覽網路僅送出一個URI（資源識別字串）用於在網路環境中識別文件、可供下載的檔案、各式服務及電子郵箱等等的各式資源），可得回一份文件，檔案以及服務。

但是IMS的架構則不然，它整個架構組成的模組（component）?是伺服端又可以是用戶端。以(圖二)所示，儲值管理模組可能反應SIP 的需求檢視儲值狀況，回應的結果決定電話是否能撥通與否，然而儲值管理模組剛又透過Diameter協定向遠端資料庫存取。因此，使用Diameter 的伺服端與用戶端均能發送和接收需求與回應。

《圖二　Diameter通信協定與應用模組》 - BigPic:594x296

要執行AAA的功能，Diameter定義了一些功能實體（function entity）如下：

Diameter的節點（node）以上所有功能實體均為Diameter節點。

Diameter議程（session）

當兩個Diameter的節點產生連結，傳遞需求並接受回應就是一項議程。在網路通信的部份，Diameter通信協定是位於TCP或SCTP，比較起RADIUS使用UDP，Diameter當然提供更為可靠的傳輸，這和TAC_PLUS有相同的好處，但在工業的應用上TAC_PLUS遠不及RADIUS普遍。儘管TAC_PLUS相當的穩定性，實務上，TAC_PLUS可以提供百萬數量以上的用戶存取網路，而依然非常穩定，擴充性也高。

Diameter雖然是對等（peer-to-peer）架構，但是它的通信協定定義了一個Diameter節點，可以與其他對等節點建立不只一個以上的連結（connection）關係。因此當介紹IMS 的議程的觀念，就應了解議程必然發生在兩個節點，可能使用一個或一個以上的連結。

從一般用戶登入網路的行為來看，經由網路接取設備（NAS）收到用戶輸入的帳號和密碼之後，NAS向Diameter伺服器要求認證，這就是所謂認證的議程。 當Diameter再到資料庫完成用戶資訊的擷取，又是項議程，等到授權策略決定再回應NAS的需求完成授權的議程，用戶登入之後， 立?啟動帳務的議程，因此用戶在網路上的所有活動都在此議程內，直到離線結束了帳務議程。如以RADIUS 和TAC_PLUS來比較，如(圖三)所示。

《圖三　RADIUS 和TAC_PLUS比較圖》 - BigPic:680x401

以(圖三)RADIUS為例，從NAS到RADIUS為一個連結也是認證的議程，但從RADIUS 伺服端回應NAS?是連結也是授權議程. 但以TAC_PLUS通信協定看來，一個認證的議程包含二個連結，而授權議程總共有6個連結，或可看成三項子議程而組成之。

議程的開始從某一IMS的節點送出需求訊息到另一個節點，在此一訊息會包含議程號碼（session ID），例如：送出auth-request的訊息，伺服端會回應相關AVP，AVP是一串鏈結（listing list）包含授權的各項資訊，其中以Authorization-Lifetime最為重要，因為它能夠指定用戶獲得授權之後可以使用多久，如果它的值是unlimit則不限任何時間長度。

這項資訊可以用來即時控制用戶使用應用的時間，在用戶使用完畢之後， 從網路接取設備（NAS）會送出終結的訊號停止議程，用戶因而被系統停用。對於儲值的應用系統這項特點就非常好用，只要從資料庫取出資訊，換算成可用時數再傳回authorization-lifetime就行。反之，對於帳務月結式的應用系統，在授權時大可開放不限時數的授權，當用戶離開應用系統後，IMS自會將使用時間寫入資料庫，在批次作業處理帳務並予以列印報表。

對於帳務的議程，值得討論的是START_RECORD。STOP_RECORD與session_time等帳務的AVP. START_RECORD和STOP_RECORD為帳務議程的開始與結束AVP，由於AVP為相關的資料鏈結，必然有相關的帳務號碼，發生時間，實務上，我們通常只取用帳務資訊的開始與結束AVP與其發生時間記錄，在資料庫作為用戶存取應用的管理上，當然也會填入相關如應用系統名稱等資訊，但最主要的是session_time這項資料，它表示用戶開始使用應用系統的總共時間，以秒為單位，因此，在某一段時間內追蹤何者使用應用系統，用戶的IP位址，用戶豋入的時間與登出時間，只要用過，必然留下痕跡。

為了防止重覆的記錄發生，每一筆的帳務記錄都以Session_Id AVP配合Accounting-Record-Number AVP，Diameter伺服器在收到帳務的需求並不會特別企圖識別其不同，這是因為這兩者AVP都是以長整數的單位產生的數值，在極長的時間之內不會重覆，?使在極短的時間內也不致於重覆太多次數，已經達到辨別用戶使用的目的。

在IMS的安全機制

IMS的安全機制可以區分存取（access）和網路兩種。存取安全部份包括用戶的認證和網路流動的封包的保護，網路安全機制著重在IMS節點間資料流動以及和不同運營商之間的安全管理，但以上所使用的安全機制都採取IPsec在資料流加以保護。

當用戶要進入IMS的服務之前必須經由認證與授權，尤其是在授權使用兩個IPsec的關連於IMS的終端與IMS的P-CSCF，使得兩者之間流動的資料受到保護。因此，當S-CSCF從HSS資料庫擷取用戶資料庫，不僅同時執行帳號和密碼的認證，也在運算認證的權限，所以除非P-CSCF和IMS終端獲得授權，否則這兩者之間的IPsec通道不會獲准連通其他IMS的網路。

在IMS的終端並非直接負起安全的功能而是採用智慧卡（Smart Card），在3G網路它又稱為UICC（Universal Integrated Circuit card），UICC包括了三種的應用，每項都儲存了相關的設定和參數配合該項應用的用途，如：ISIM（IP-Multimedia Service Identity Module）、SIM（Subscriber Identity Module）、USIM（UMTS Subscriber Identity Module）。

基於ISIM原本就為IMS量身訂作，因此，IMS系統優先採用ISIM。ISIM最特殊的就是安全機制的設計，使得IMS的終端和 IMS網路之間產生雙向認證的功能，每個ISIM包含一個安全鍵值（key value），連同ISIM一起儲存在HSS資料庫，因此IPsec得以使用ISIM和鍵值建立雙向安全通道。

以往在INTERNET IP 網路最為人所擔心的，往往是用戶認證不嚴謹，授權有限制，安全問題衍生諸多應用不易推廣。但在IMS 推廣下，結合3G 的ISIM 的應用，原先在INTERNET 諸多安全交易的問題均獲得解決，更具有預防性，再加上嚴謹的帳務功能，彈性的提供線上?時和批次的作業，對於電信、網路運營商，以及眾多的用戶均能保障使用上的安全以及公正的計價。

<作者任職於資策會網多所>