Arquitectura de Alto Nivel

De acuerdo a la Fuerza de Tareas de Ingeniería de Internet (IETF: Internet Engieneering Task Force) los procesos de Autorización, Autenticación y Tarificación (AAA: Authorization, Authentication, Accounting ) están definidos de la siguiente manera:

 Autorización. Proceso mediante el cual se determina si se posee un derecho específico. Por ejemplo, determinar si el acceso a algún recurso puede concederse al poseedor de una credencial particular.

 Autenticación. Proceso mediante el cual se verifica una identidad exigida, en la forma de una etiqueta pre-existente a partir de un campo “nombre”, el cual es mutuamente conocido. Por ejemplo, verificar el creador de un mensaje (autenticación de un mensaje) ó verificar el punto final de un canal de comunicación (autenticación de entidad).

 Tarificación. Proceso consistente en recolectar información sobre la utilización de un determinado recurso con el propósito de analizar tendencias, realizar auditorias, facturar, o asignar el costo por la utilización del servicio.

En lo referente a la prestación de los procesos AAA hay un concepto fundamental en cuanto a la relación entre los diferentes elementos involucrados y es el de Asociación de Seguridad (SA: Security Association). Una asociación de seguridad es un conjunto de información de seguridad relacionada con una conexión; entre esta información se encuentran, el Indice de Parámetros de Seguridad (SPI: Security Parameters Index), el cual especifica los algoritmos de autenticación y criptografía, las claves para dichos algoritmos y el tiempo de vida de las mismas, los vectores de inicialización y la dirección de origen de la asociación.

3.3 Arquitectura de Alto Nivel

La arquitectura de alto nivel está compuesta por siete entidades principales, estas entidades son:

PROCESOS AAA 68

 Los Agentes Locales (HA: Home Agent)

 Los Agentes Foráneos (FA: Foreign Agent)

 Nodo Servidor de Paquetes de Datos (PDSN: Packet Data Serving Node)

 Los servidores AAA

 La Red Radio (RN: Radio Network)

 Los Registros de Localización Local y Visitante (HLR: Home Location Register/VLR: Visited Location Register)

 Los Nodos Móviles (MN: Mobile Node)

En la figura 3.1 se pueden observar las diferentes entidades que componen la arquitectura de alto nivel y sus relaciones.

VLR HLR AAA AAA AAA RN PDSN HA NODO MOVIL SS7 IP MOVIL Proveedor de Acceso a la red Visitada Red Local - Red Privada - Proveedor Local - ISP Local Agente Intermediario de red Red IP Local Proveedor de Acceso a la red visitada Proveedor de Acceso a la red visitada Proveedor de Acceso a la red local

A continuación se verán las diferentes funciones de los componentes de esta arquitectura.

3.3.1 PDSN

El Nodo Servidor de Paquetes de Datos establece, mantiene y termina el enlace con el cliente móvil, de la misma forma se encarga de iniciar la autenticación, autorización y tarificación para dicho cliente. Opcionalmente, asegura el enlace utilizando seguridad IP para el Agente local.

Otras de las funciones de este nodo es recepcionar los parámetros de servicio AAA para el cliente móvil, al igual que colectar los datos de uso para la tarificación; en caso de Tuneling debe enrutar los paquetes al HA o a redes de datos externas.

3.3.2 Servidor de Autorización, Autenticación y Tarificación

Esta entidad se encarga de interactuar con el Agente foráneo y otros servidores AAA para autorizar, autenticar y realizar la tarificación al cliente móvil, de igual forma provee mecanismos para soportar asociaciones de seguridad entre PDSN/FA y HA, y entre el MN y PDSN/FA.

El servidor AAA también puede realizar asignación dinámica de Agentes locales, identificando dinámicamente un HA y asignando un MN en dicho HA; de la misma forma proporciona la asociación de seguridad entre el MN y HA. Otras funciones que puede realizar estos servidores son:

 Provee información de Calidad de Servicio (QoS: Quality of Service) al PDSN.

 Opcionalmente puede asignar direcciones locales de forma dinámica.

3.3.3 La Red Radio

Es el encargado de validar la estación móvil para acceder al servicio y gestionar la conexión del Nodo Móvil con la capa física. Una vez hecho esto, mapea la referencia del identificador del Nodo Móvil a un único identificador de capa de enlace utilizado para comunicarse con el PDSN y mantiene el estado de accesibilidad para servicio de paquetes entre la red de acceso radio y la estación móvil.

PROCESOS AAA 70 Igualmente cumple funciones de almacenamiento de los paquetes provenientes del PDSN cuando los recursos radio no están disponibles o son insuficientes para soportar el flujo desde el PDSN. Adicionalmente transmite los paquetes entre la estación móvil y el PDSN.

3.3.4 Registros de localización (VLR/HLR)

La función principal de los registros de localización es almacenar la información de autenticación y autorización para la red radio.

3.3.5 Agente Local (HA)

El Agente Local almacena el registro de usuario y redirecciona los paquetes al PDSN, de ser necesario soporta asignación dinámica y Tuneling inverso. Opcionalmente, establece un túnel IP seguro con PDSN/FA y puede asignar direcciones locales de forma dinámica.

3.3.6 Nodo Móvil (MN)

Puede actuar como un Nodo IP Móvil y soportar Agentes foráneos de tipo Challenge y de Identificador de Acceso de Red (NAI: Network Access Identifier), de igual forma debe interactuar con la red radio para obtener los recursos apropiados para el intercambio de paquetes.

Cumple funciones de almacenamiento de información sobre el estado de los recursos radio (por ejemplo: activo, en estado de espera, inactivo); además sirve de buffer para los paquetes cuando los recursos radio no están disponibles o son insuficientes para soportar el flujo de la red.