IMS安全架构.docx
9页
本文格式为Word版,下载可任意编辑IMS安全架构 IMS的安好架构 2022-3-25 一、概述 IMS是一个基于IP的会话操纵系统,其安好性倍受人们的关注随着Common IMS的提出,由于运行环境多样性的需求,使它形成了一个完整的安好体系布局 IMS安好架构的四个片面为: ? ? ? ? 用户终端设备,支持各类移动或固定的终端设备,包括具备IMS安好才能的或支持早期不具备该才能的用户终端设备 信令层安好系统,支持各IMS通信实体间SIP信令和Cx接口的安好 用户层安好系统,供给用户终端设备与各应用服务器之间的通信安好 媒体层安好系统,即在IMS用户平面为不同用途和不同用户群供给媒体安好 安好系统供给的安好服务主要包括如下: ? ? ? ? ? 鉴权(实体认证):保证通信实体身份的正确性 完整性:数据以明码形式交换,但可以验证数据及其特性是否被变更过 防重放:防止以重放数据的方式的非法入侵,它是完整性养护的一个特例 机密性:数据以暗码形式交换,防止内容的泄露,这是一个可选的功能 接入操纵:防止未经容许使用网络资源 二、信令平面的安好 IMS是在分组网上的一个叠加系统,它对下面的分组网的凭借性很低,因此在IMS各网元间要求建立一套独立的实体认证和安好通信的商定,称为安好关联(SA)。
3GPP2的IMS信令安好布局建立了七个SA(3GPP为SA1-SA5),如下图: ? SA1供给相互鉴权,用户设备和HSS中各存一个一致的永久性密钥,通过HSS与S-CSCF合作执行用户与网络的双向认证 ? SA2供给用户设备和P-CSCF之间的安好链路,用于养护Gm接口供给数据源鉴权,即对收到数据的来源举行认证的功能 ? ? SA3供给网络域内Cx接口的安好 SA4供给不同网络SIP节点之间的安好,只有当P-SCSF在访问网络(VN)时使用本安好关联,假设P-CSCF在归属网络(HN)时使用SA5 ? ? ? SA5供给网络内部SIP节点之间的安好 SA6供给HSS与外部IP网络SIP AS间的安好,与归属网络SIP AS之间采用SA3 SA7供给SIP节点与外部IP网络SIP AS间的安好,与归属网络SIP AS之间采用SA5 这些SA按接口划分可以分成用户和网络间的SA和网络实体之间的SA前者将放在下节“接入安好”中介绍后者按网络安好域(NDS)的概念来管理一个运营商的全体网络实体组成一个NDS。
在一个NDS内网络实体间SA用接口Zb来表示,NDS之间网络实体间SA用Za接口表示,如下图: 网络安好域之间要通过安好网关(SEG)举行通信SEG间的Za接口采用IPsec ESP的隧道模式供给安好服务(建议机密性养护),同时支持IKEv1和IKEv2除此之外,SEG通常还供给包过滤和防火墙等功能Zb可以采用IPsec ESP的隧道模式或传输模式来供给安好功能,但Zb是可选的,可以由运营商根据概括网络布局来选择 三、接入安好 IMS支持各类移动或固定的终端设备接入网络的安好养护,包括具有CSIM/USIM/ISIM才能的移动和固定终端设备,如3GPP/3GPP2的 UE、TISPAN的TE或IRG;包括不具备上述才能的移动和固定终端,如2G终端设备或老的CPE/CNG设备;还包括不使用3GPP接入技术但具备IMS证件(IMC:IMS Credentials)的终端设备IMC是一个与ISIM类似的集成电路模块,包括一组数据和功能,可以使用IMS AKA举行IMS接入IMC可以插入如机顶盒、嬉戏机、家庭网关或其他一些类型的终端设备中使用。
但在同时具有USIM/ISIM的处境下,应不使用IMCIMC至少包括如下的数据和功能: ? ? ? IMPI及至少一个IMPU 归宿网络域名和一个鉴权密钥 支持序列号(SQN)检查和规定的安好算法 ? 同一个IMS核心网络实体能为各种不同的终端的接入技术供给安好接入的手段下面介绍一些常用的接入安好机制 ? IMS AKA 这是IMS根本的接入安好机制,用于全体IMS终端的接入AKA协议是为UMTS开发的安好协议,一致的概念/原理被重用于IMS,称为IMS AKA在该机制中HSS和ISIM分别存放一个一致的、与IMPI关联的永久性密钥当收到用户的注册苦求后,S-CSCF向HSS获取鉴权向量(AV)AV包括一个随机数RAND、一个响应XRES、一个加密密钥CK、一个完整性密钥IK和一个鉴权码AUTNRAND和AUTN将包括在发给用户的“Auth_Challenge”消息中ISIM用存储的密钥和RAND计算出对应的响应RES、CK、IK和消息鉴权码XMAC假设XMAC等于AUTN中的消息鉴权码MAC并且依次号SQN正确,那么返回鉴权响应。
假设鉴权响应中的RES与XRES中的RES一致那么双向鉴权告成双方使用CK和IK密钥以及其它安好关联参数建立IPsec的安 全关联,实现接入安好 ? ? GPRS-IMS绑定鉴权(GIBA) GIBA用于不支持USIM/ISIM接口的用户设备,如2G使用IMS业务的场合该机制在HSS中建立用户身份IMPI和IMPU与GPRS当前调配给用户的IP地址的安好捆绑在S-CSCF收到SIP注册苦求或任何后续的苦求时,检查在SIP头中的IP地址是否与HSS中的相一致,假设一致那么容许接入GGSN在PDP上下文激活时通过Gi接口将IP地址、IMSI和MSISDN供给给HSS上的RADIUS服务器,并在PDP上下文去活/修改时通知HSS,更新存储的IP地址该机制中GGSN不容许用户设备用不同的源地址传送IP包,防止“源IP坑骗”但是GIBA有一些限制,如:一个IMPU只能与一个IMPI关联;一个用户终端全体与IMS ?APN关联的激活PDP上下文要使用一致的IP地址;S-CSCF重选过程不能使用,GGSN要在归属网络中,不能建立IPsec的安好关联 ? NASS-IMS绑定鉴权(NBA) 这方法应用于TISPAN ?NGN的NASS接入类型,如DSL等固定宽带,并且老的终端不支持AKA机制的接入的场合。
NBA是基于接入层鉴权告成的根基上获得IMS接入的一种机制通过将用户设备的位置配置在HSS的用户数据中,把IMS身份与固定的特定位置关联起来在用户设备接入时,其接入的位置需要通过NASS的验证,NASS还举行接入层的鉴权/授权处理假设NASS的位置等于配置的位置,那么就授权该用户设备接入IMS该机制将由接入网络来供给信令的机密性和完整性养护以及防IP坑骗的手段,不支持游牧和漫游 ? SIP Digest 它应用在非3GPP定义的接入网类型(如非GPRS的IP网络),支持IP和欣赏器协议的智能终端设备,如便携电脑、PDA等场合SIP Digest是基于HTTP Digest AKA的双向鉴权机制,在该机制中HSS与用户设备分别存放一个预先设定的、一致的、与IMPI关联的密码其流程与上述的IMS AKA类似,AV和算法不同由于本SIP ?Digest不产生IPsec安好关联所用的密钥,它不能与IPsec联合使用,但可以与TLS一起使用供给信令的机密性和完整性养护 ? 信任节点鉴权(TNA) ?TNA是在网络中由一个供给IMS互通功能的信任节点通过接入级的鉴权后获得IMS的接入机制。
从IMS来看这个信任节点起到了UE和P-CSCF两者的作用例如在ICS中巩固的MSC-server就是一个信任节点应用的例子TNA的鉴权流程如下图 ? 基于CAVE的IMS安好 本机制能使那些用户设备(UE)插上老的R-UIM就能安好接入IMS,如多模或软件升级的终端设备老的R-UIM不支持AKA鉴权,只支持CAVE鉴权,并且HSS中也没有任何CAVE鉴权信息本机制采用HTTP Digest AKA作为双向鉴权并建立UE和P-CSCF间的安好关联的手段AKA的AV是在HSS中建立的,而AKA的主密钥是从HLR基于CAVE的鉴权结果中产生的在用户设备中AKA过程和算法都放在ME上而不放在R-UIM上老的R-UIM只完成惯常的基于CAVE的鉴权并把结果返回给ME,ME使用其结果来完成AKA的处理用户IMPI和IMPU都从IMSI来产生 四、应用层安好系统 在IMS业务与WEB业务融合的环境中,需要供给用户终端设备与各种不同类型的应用服务器之间的安好管理以IMS AKA机制为根基的通用鉴权体系(GAA)向这些应用环境供给了安好服务。
GAA由通用引导体系(GBA)、用户证书支持(SSC)和HTTPS接入三片面所组成,如下图通用引导体系(GBA)将IMS AKA 执行功能提取出来形成一个引导服务器功能(BSF),它与应用服务器(AS)、UE、HSS/HLR和SLF实体一起组成了对共享密钥类安好机制的支持在GBA中,UE通过BSF与HSS运行AKA,从运行结果的加密密钥(CK)和完整性密钥(IK)在BSF和UE中产生一个会话密钥(SK)应用服务器通过Zn接口从BSF得到这个SK以及相关的签约信息,用于后续应用的安好 — 9 —。
