1、引言
IMS
是3G
系统中核心网的一部分,它通过由SIP
协议提供的会话发起能力,建立起端到端的会话,并获得所需要的服务质量。IMS实现了控制和承载的分离,IMS终端可以通过不同的接入方式,接入到分组域核心网PS(WCDMA
网络、cdma2000网络和固定网络等),由PS提供SIP信令
和媒体数据的承载,而由IMS的核心部分提供会话和业务的控制。IMS为未来的多媒体数据业务提供了一个通用平台,它是向全IP网络演进的重要一步。 3GPP和3GPP2都对IMS网络进行了定义,其中3GPP2IMSRev0对应于3GPP IMS R5;3GPP2 IMS Rev A对应于3GPP IMS R6。
2、IMS安全标准体系
湖南中医药大学校报
安全部分是IMS网络的重要组成部分,3GPP和3GPP2对IMS网络的安全机制都有专门的标准。
2.13GPP
目前,3GPP已经发布的IMS安全标准有:
(1)3GPPTS33.203:IMS接入网络的安全机制;
(2)3GPPTS33.210:IMS核心网络的安全机制。
3GPPIMS安全规范目前已经发布的版本有R5和R6。R7的制定目前正在进行。R6与R5的主要区别在于:R5中没有对SIP信令的保密性作出要求,而R6提出了SIP信令的保密性机制。
2.23GPP2
3GPP2已经发布的IMS安全规范是S.S0086:IMS安全框架。S.S0086主要参考3GPPTS33.203和3GPPTS 33.210,其中包括了IMS接入网和网络域的安全。目前,已发布的最新版本为Rev B,Rev B和3GPP的R6相对应。
2.3国内
在国内,CCSATC5WG5已经参考3GPP和3GPP2的相关规范制定了相应的行标。
百度新知
●TD-SCDMA/WCDMAIP多媒体子系统安全技术要求V1.0;
●cdma2000IP多媒体子系统安全技术要求V1.0。
以上两个行标已处于报批阶段,另外WG5还会根据3GPP和3GPP2的不同版本来更新行标的版本。
3、IMS安全体系
在IMS的安全体系中,从UE到网络的各个实体(P-CSCF,S-CSCF,HSS)都涉及到了接入和核心网两个部分的安全概念。IMS安全体系的整体思想是使用IPSec的安全特性为IMS系统提供安全保护。整个IMS安全体系结构如图1所示。
图1 IMS安全体系结构图
图1显示了5个不同的安全层面,它们将用于IMS安全保护中不同的需求,并分别被标注为(1)、(2)、(3)、(4)和(5)。
(1)提供用户和网络之间的双向身份认证。HSS委托S-CSCF执行用户认证,认证基于保存在HSS中的密钥和函数。 (2)为UE和P-CSCF间的通信提供一个安全连接,用以保护Gm参考点的安全。其中,包括加密和完整性保护。
(3)提供网络域内CSCF和HSS之间的安全。
(4)为不同网络间的CSCF提供安全。
(5)为网络内部的CSCF提供安全。
对于接入部分而言,UE和P-CSCF之间涉及到接入安全与身份认证。IMSAKA实现了UE与网络的双向认证功能;UE与P-CSCF之间协商SA(SecurityAssociation,安全联盟),
并通过IPSec提供了接入安全保护。
核心网部分引入了安全域的概念。安全域是由某个单独机构所管理的网络,在同一安全域内的网元具有相同的安全级别并享有特定的安全服务。特别指出,某个运营商自己的网络就可以作为一个安全域,虽然这个网络可能包含多个独立的子网。网络域内部的实体和网络域之间都可以使用IPSec来提供安全保护。
4、IMS安全参数
IMS网络的安全完全是基于用户的私有身份以及存在于卡上的密钥,IMS定义了自己的ISIM卡,类似于wuxiaworldUMTS的USIM卡,里面存储着IMS相关的安全数据和算法。ISIM存在于UICC芯片上,和USIM不共享安全函数。目前标准中定义的ISIM主要包含以下参数:
(1)IMPI:IM个人身份信息。
(2)IMPU:一个或多个IM公开身份。
japanese from voice (3)用户所属网络的域名。
(4)IMS域内的SQN序列号。
(5)认证密钥。
在IMS网络中,只有ISIM和HSS共享这些秘密参数和算法,其他的任何网络实体都不知道密钥和私有身份IMPI。以下介绍的认证、加密和完整性保护等都是基于这些参数。
5、IMS接入网安全机制
在归属网络中,HSS上存储了每个IM客户相对应的客户描述(Profile)。这个客户描述包含了客户的信息,并且这些信息不能够泻露给外部。在注册过程中,I-CSCF将给用户分配一个S-CSCF,客户描述将从HSS下载到S-CSCF上。当一个客户请求接入IMS网络时,S-CSCF将对客户描述和客户接入请求进行匹配性检查以确定是否允许客户继续请求接入,亦即归属控制(IM业务的认证)。
对于IM业务,在允许接入IM业务前,移动设备和IMS间需要建立一个新的SA(安全联盟)
,主要是为双方协商使用什么样的安全协议来进行通信保护,即采用什么安全算法来进行加密及完整化保护等。
IMS中的双向认证机制采用UMTSAKA。它是一个Challenge-Response协议,由归属网的认证中心(AuC)发起Challenge。归属网将一个包含Challenge的五元组传送到服务网。这个五元组包含期望的ResponseXRES和一个消息认证码MAC。服务网比较UE的Response和XRES,如果匹配则UE通过了网络的认证。UE计算一个XMAC,并且与收到的MAC比较,如果匹配,则服务网通过了UE的认证。这样,UE与网络之间就完成了双向的身份认证。
UE和网络之间双向的身份认证流程如下:
穿过骨头抚摩你 (1)UE向S-CSCF发送SIPREGISTER消息(SM1)来发起认证。
(2)S-CSCF将使用一个认证向量AV来认证用户以及与用户协商一个密钥。如果S-CSCF没有有效的AV,S-CSCF将会向HSS发送一个AV请求,这个请求与AV的数量n(至少是1)都包含在CM1中。CM1的结构为:Cx-AV-Req(IMPI,n)。
(3)HSS收到S-CSCF的请求后,利用CM2向S-CSCF发送一个有n个认证向量的有序阵列。每一个认证向量包含几个部分,即一个随机数RAND、一个期望的响应XRES、一个加密密钥CK、一个完整性密钥IK和一个认证标识AUTH。每一个认证向量对应一次S-CSCF与IMS用户的认证和密钥协商。CM2的结构:Cx-AV-Req-Resp(IMPI,RAND1‖AUTN1‖XRES1‖CK1‖IK1,…RANDn‖AUTNn‖XRESn‖CKn‖IKn)。
(4)S-CSCF在收到的n个AV中通过先进先出的方法选择第一个AV,在SM4中通过I-CSCF,P-CSCF发送给UE。SM4的结构为:4xxAuth_Challenge(IMPI,RAND,AUTN,IK,CK)。
(5)P-CSCF收到SM5后,保留密钥IK,CK和XRES,把剩余的消息内容发送给UE。发送给UE的SM6的结构为:4xxAuth_Challenge(IMPI,RAND,AUTN)。
(6)UE收到SM6后,取出包含MAC和SQN的AUTH。UE计算XMAC并检查XMAC是否与MAC相同,而且SQN是否在正确的范围内。如果这些检查都通过了,则网络通过了UE的认证。然后,UE计算出鉴权响应值RES,并将它放在认证头中,在SM7中送回给注册方。同时,UE在这个阶段也计算会话密钥CK和IK。SM7的结构为:REGISTER(IMPI,
AuthenticationResponse)。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议