Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 107 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
107
Dung lượng
1,41 MB
Nội dung
NGUYỄN HUY HOÀNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG N NG C ĐỒ ÁN THU T T I Đ NH TU TỐT NGHIỆP ĐẠI HỌC Đồ án: N NH NH T BẢO MẬT TRONG IMS NG Sinh viên thực : Nguyễn Huy Hoàng NG S* D04VT2 Hà Nội -2008 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG H VIỄN THÔNG I -*** - ĐỒ N TỐT NGHIỆ Đ I HỌC Đề tài: BẢO MẬT TRONG IMS Giáo viên h ng Sinh viên thực p n : ThS V Thu Hà : Nguyễn Huy Hoàng : D04VT2 Hà Nội - 2008 HỌC VIỆN CÔNG NGHỆ CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM BƯU CHÍNH VIỄN THÔNG Độc Lập - Tự Do - Hạnh Phúc H VIỄN THÔNG I -*** - -*** ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Họ tên : Nguyễn Huy Hoàng p Khoá : D04VT2 : 2004-2008 Ngành học: Điện Tử - Viễn Thông Tên đồ án: Nội ung đồ án: Ch ơng I : iến trúc I S Ch ơng II : Nhận thực trao quyền toán I S Ch ơng III : Bảo mật cho IMS Ngày giao đồ án:10/07/2008 Ngày nộp đồ án: 10/11/2008 NH N XÉT CỦ GI VIÊN HƯỚNG DẪN ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………… Điểm: (bằng chữ ……………… ) Ngày tháng 11 năm 2008 Giáo viên h ng n ThS V Thu Hà NH N XÉT CỦ GI VIÊN HẢN BIỆN …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… ………………………… Điểm: (bằng chữ ……………… ) Ngày tháng 11 năm 2008 Giáo viên phản biện Đồ án tốt nghiệp đại học Mục lục ỤC ỤC ỤC ỤC i D NH ỤC H NH V iv D NH ỤC BẢNG BI U vi THU T NGỮ VI T TẮT vii ỜI NÓI ĐẦU x CHƯƠNG I: I N T ÚC I S 11 1.1 Kiến trúc NGN 11 1.1.1 Mạng viễn thông 11 1.1.2 Mạng viễn thông đường tiến tới NGN 12 1.2 Phân hệ IMS kiến trúc NGN 16 1.2.1 Tổng quan IMS 16 1.2.2 Chức phần tử IMS 19 1.2 2.1 P-CSCF (Proxy-CSCF) 20 1.2.2.2 I-CSCF (Interrogating-CSCF ) 21 1.2.2.3 S-CSCF (Serving-CSCF) 21 1.2.2.4 BGCF (Breakout Gateway Control Function) 23 1.2.2.5 HSS (Home subscriber Server) 23 1.2.2.6 MGCF (Media Gateway Control Function) 23 1.2.2.7 MRF (Multimedia resource function) 24 1.2.2.8 IMS-MGW (IP multimedia sbsystem-Media gateway function) 25 1.2.2.9 SGW (Signalling gateway function) 25 1.2.3 Các giao diện IMS 26 CHƯƠNG II: NH N THỰC T QU ỀN VÀ TH NH T NT NG I S 27 2.1 Giao thức Diameter 27 2.1.1 Các phiên Diameter 29 2.1.2 Dạng tin Diameter 29 2.1.3 Cặp giá trị thuộc tính AVP 31 2.1.4 AAA AAA URIs 32 2.1.5 Các lệnh sở Diameter 33 2.2 Xác thực trao quyền IMS 35 2.3 Giao diện Cx Dx 36 2.3.1 Các mã lệnh định nghĩa giao diện Cx 37 2.3.1.1 Yêu cầu trả lời xác thực người dùng (UAR, UAA) 38 2.3.1.2 Yêu cầu trả lời xác thực đa phương tiện ( MAR, MAA ) 39 2.3.1.3 Yêu cầu trả lời gán máy chủ (SAR, SAA) 39 Nguyễn Huy Hoàng D04VT2 -i- Đồ án tốt nghiệp đại học Mục lục 2.3.1.4 Yêu cầu trả lời thông tin cấp phát (LIR, LIA) 39 2.3.1.5 Yêu cầu trả lời kết thúc đăng kí (RTR, RTA) 40 2.3.1.6 Yêu cầu trả lời đẩy profile ( PPR, PPA) 40 2.3.2 AVPs định nghĩa ứng dụng Diameter cho giao diện Cx 40 2.3.2.1 Việc sử dụng AVP có 42 2.3.3 Profile người dùng 43 2.4 Giao diện Sh 44 2.4.1 Các mã lệnh định nghía ứng dụng diameter cho giao diện Sh 46 2.4.2 Các AVP định nghĩa ứng dụng Diameter cho giao diện Sh 47 2.5 Thanh toán (Accounting) 48 2.6 Kiến trúc tính cước 48 2.7 Tính cước offline 52 2.7.1 Đầu cuối IMS mạng khách 52 2.7.2 Đầu cuối IMS mạng nhà 54 2.7.3 Giao diện Rf 57 2.8 Tính cước Online 59 2.8.1 S-CSCF 60 2.8.2 Các AS MRFC 60 CHƯƠNG III: BẢ T CH I S 67 3.1 Tổng quan vấn đề bảo mật mạng 67 3.1.1 Các phương thức công thường gặp mạng IMS 67 3.1.1.1 Sự nghe trộm 67 3.1.1.2 Tấn công đăng kí 68 3.1.1.3 Mạo danh máy chủ 68 3.1.1.4 Chèn khối tin 68 3.1.1.5 Làm đứt phiên 69 3.1.1.6 Tấn công từ chối dịch vụ 69 3.1.1.7 Khuếch đại 70 3.1.2 Kiến trúc anh ninh tổng quan 70 3.1.2.1 Các chức an ninh 72 3.1.2.2 Che giấu cấu hình mạng 73 3.2 An ninh truy nhập cho IMS 74 3.2.1 Xác thực cấp quyền 74 3.2.2 Xác thực cấp quyền với ISIM 75 3.2.3 Xác thực cấp quyền với USIM 78 3.2.4 Thiết lập liên kết an ninh 78 3.2.5 Thủ tục thiết lập liên kết an ninh 80 3.2.5.1 Các tham số liên kết an ninh 80 3.2.5.2 thủ tục liên kết an ninh 87 3.2.5.3 Các lỗi thường xảy thiết lập SA 90 Nguyễn Huy Hoàng D04VT2 - ii - Đồ án tốt nghiệp đại học Mục lục 3.2.5.4 Nhận thực trình tải đăng kí 91 3.2.5.5 Nhận thực trình tải đăng kí 91 3.2.5.6 Vấn đề sử dụng liên kết an ninh 92 3.2.5.7 Thủ tục liên kết IP UE thay đổi dịa IP 95 3.2.6 Mã hóa 95 3.3 An ninh mạng cho IMS 96 3.3.1 Khái niệm miền an ninh mạng 96 3.3.2 Cơ chế quản lý phân phối khóa mạng NDS/IP 97 3.3.2.1 Các chức an ninh 97 3.3.2.2 Liên kết an ninh 97 3.3.3 Giao diện miền liên miền 98 3.3.3.1 Kiến trúc an ninh mạng 98 3.3.3.2 Các giao diện 99 KẾT LUẬN 101 TÀI IỆU TH HẢ 102 Nguyễn Huy Hoàng D04VT2 - iii - Đồ án tốt nghiệp đại học nh D NH ục h nh ỤC H NH V Hình 1 Các khả tiến đến NGN 15 Hình Kiến trúc mạng NGN 16 Hình Sơ đồ kiến trúc IMS 3GPP 18 Hình Kiến trúc IMS NGN 19 Hình Kiến trúc CSCF 20 Hình Kiến trúc MRF 24 Hình Giao thức sở Diameter ứng dụng 27 Hình 2 Dạng tin Diameter 30 Hình Cấu trúc AVP 31 Hình Xác thực trao quyền IMS 36 Hình Cấu trúc profile người dùng 44 Hình Kiến trúc tính cước offline 50 Hình Kiến trúc tính cước online IMS 51 Hình Luồng thiết lập phiên 52 Hình Giá trị P-Charging-Vector INVITE (2) 53 Hình 10 Giá trị P-Charging-Vector INVITE (3) 53 Hình 11 Giá trị P-charging-Vector 183 (xử lý phiên) (4) 54 Hình 12 Giá trị P-Charging-Vector 183 (xử lý phiên) (5) 54 Hình 13 Luồng thiết lập phiên 55 Hình 14 Giá trị P-Charging-Function-Address 183 (xử lý phiên) (5) 55 Hình 15 Giá trị P-Charging-Vector UPDATE (19) 56 Hình 16 Các AVP tin ACR cho tính cước offline 58 Hình 17 Các AVP tin ACA tính cước offline 58 Hình 18 Giá trị EVENT-RECORDS tin ACR 59 Hình 19 Trường mào đầu P-Charging-Function-Address 60 Hình 20 Các AVP tin ACR cho tính cước online 61 Hình 21 Các AVP tin ACA cho tính cước online 62 Hình 22 Tính cước kiện trực tiếp 63 Nguyễn Huy Hoàng D04VT2 - iv - Đồ án tốt nghiệp đại học nh ục h nh Hình 23 Tính cước kiện với đặt trước tin dụng 65 Hình Kiến trúc an ninh cho IMS (TS 33.203 71 Hình SIM, USIM, ISIM UICC đầu cuối IMS 3GPP 75 Hình 3 Phiên Register khởi tạo 76 Hình Trường tiêu đề WWW-Authenticated 77 Hình Trường tiêu đề Authorization 77 Hình Sử dụng cổng liên kết an ninh với UDP 79 Hình Sử dụng cổng liên kết an ninh với TCP 79 Hình Trường tiêu đề Security-client 79 Hình Trường tiêu đề Security-Server 80 Hình 10 Trường tiêu đề Security-Verify 80 Hình 11: UE tiến hành thủ tục tái đăng ký không trao quyền 89 Hình 12: Giao diện nội miền giao diện liên miền 99 Nguyễn Huy Hoàng D04VT2 -v- Đồ án tốt nghiệp đại học Chương III: B o mật cho IMS Trong trường hợp sử dụng chế độ đường hầm UE tiến hành thiết lập hai cặp SA SAD cục Các tin từ SM7 trở sau UE bảo vệ tính mật tính toàn vẹn SM7 chứa danh sách thuật toán mã hóa đảm bảo tính toàn vẹn, giá trị SPI_P Port_P SM6 giá trị SPI_U, Port_U tin SM1 SM7: REGISTER(Security-setup = SPI_U, Port_U, SPI_P, Port_P, P-CSCF integrity and encryption algorithms list, IPSec mode list) Ở chế độ đường hầm đóng gói UDP, UE biết địa IP công cộng cổng server bảo vệ từ trường mào đầu Via Contact (bằng cách kiểm tra tham số “recieved” (nếu có) trường mào đầu Via cao tin SM6) UE liên tục gửi tin nhằm giúp cho ràng buộc NAT trì suốt thời gian đăng ký Tại P-CSCF, tin SM7 trước tiên xử lý chức đóng gói UDP nhằm xác định giá trị port_Uenc mà NAT lựa chọn Sau đó, giá trị port_Uenc ghi vào ô “undef” để hoàn thiện bảng đóng gói UDP Tiếp theo, trường mào đầu UDP tách khỏi gói tin để thực xử lý IPSec Sau bước trên, ứng dụng SIP P-CSCF xem xét danh sách thuật toán đảm bảo tính toàn vẹn, giá trị SPI_P cổng Port_P tin SM7 có giống với tham số tương ứng tin SM6 hay không Ngoài ra, ứng dụng kiểm tra quán giá trị SPI_U Port_U tin SM7 với giá trị tương ứng tin SM1 Nếu phép kiểm tra gặp thất bại thủ tục đăng ký bị loại bỏ ả g 1Bảng đóng gói UDP P-CSCF sau hoàn thành Bảng đóng gói UD phía mạng SA1 SA2 SA3 SA4 Src Addr P-CSCF UE_pub P-CSCF UE_pub Dest Addr UE_pub P-CSCF UE_pub P-CSCF Nguyễn Huy Hoàng D04VT2 - 88 - Đồ án tốt nghiệp đại học Src Port Chương III: B o mật cho IMS Port_U 4500 Dest Port Port_U enc SPI 4500 enc SPI_us 4500 Port_U enc SPI_ps SPI_uc Port_Uenc 4500 SPI_pc Ở chế độ truyền dẫn sau nhận tin SM7, P-CSCF tiến hành hai thao tác kiểm tra Nếu bước kiểm tra gặp thất bại thủ tục đăng ký bị loại bỏ P-CSCF bổ sung thông tin vào tin SM8 để thông báo cho S-CSCF tin UE gửi đến đảm bảo tính toàn vẹn Thông tin thông báo P-CSCF đưa vào tin REGISTER UE gửi đến, sau kiểm tra tính toàn vẹn tin SM8: REGISTER(Integrity-Protection = Successful, IMPI) Cuối cùng, P-CSCF gửi tin SM12 đến UE, tin không chứa thông tin liên quan đến việc thiết lập chế độ an ninh mà có chức thông báo cho UE trình thiết lập an ninh thành công Hình 3.11 minh họa trường hợp UE tiến hành thủ tục tái đăng ký không trao quyền 11: UE tiế Nguyễn Huy Hoàng D04VT2 t ủ tục tái đă g ký k i k ô g trao quyề - 89 - Đồ án tốt nghiệp đại học Chương III: B o mật cho IMS Các lỗi th ờng xảy thiết lập S i) Các lỗi x y r áp dụng gi o thức IMS AKA a) Thất ại nhận thực khách hàng Khi nhận thực cho khách hàng, bước kiểm tra tính toàn vẹn tin SM7 IPSec thực P-CSCF gặp thất bại khóa IKIM RAND UE phân phối xảy lỗi Lúc này, ứng dụng SIP P-CSCF không nhận tin SM7 xóa tham số SA tương ứng với đăng ký lưu trữ tạm thời sau thời hạn cho phép kết thúc Nếu khóa IKIM phân phối không xảy lỗi hồi đáp lại sai trình nhận thực khách hàng S-CSCF thất bại Thông qua P-CSCF, S-CSCF gửi tin 4xx Auth_Failure đến UE SA vừa thiết lập Sau UE P-CSCF xóa SA b) Thất ại nhận thực ạng Nếu UE gặp thất bại nhận thực mạng gửi tin REGISTER (có thể qua SA vừa thiết lập) để thông báo cho P-CSCF P-CSCF xóa SA nhận tin thông báo c) Thất ại đồng ộ Khi UE nhận thấy AUTN mạng gửi đến tin SM6 có chứa số không nằm dải, gửi tin REGISTER để thông báo cho PCSCF Sau đó, P-CSCF xóa SA vừa thiết lập d) Quá tr nh nhận thực không hoàn tất Nếu UE hồi đáp chất vấn P-CSCF gửi đến mà lại không nhận tin trả lời trước thời gian yêu cầu kết thúc bắt đầu thủ tục đăng ký yêu cầu sử dụng dịch vụ đa phương tiện Bản tin trình đăng ký SA thủ tục nhận thực thành công trước bảo vệ Khi P-CSCF nhận chất vấn S-CSCF tạo SA tương ứng trình đăng ký, xóa thông tin liên quan đến thủ tục đăng ký trước (bao gồm SA) Nếu SA bị xóa thời gian tồn hết P-CSCF xóa tất thông tin liên quan đến thủ tục đăng ký tạo SA ii) Các lỗi x y r tr nh thỏ thuận th Nguyễn Huy Hoàng D04VT2 số thiết lập n ninh - 90 - Đồ án tốt nghiệp đại học Chương III: B o mật cho IMS e) P-CSCF không chấp nhận đề nghị củ UE Trường hợp xảy P-CSCF không chấp nhận phương pháp thiết lập an ninh UE gửi đến tin SM1 Khi đó, P-CSCF trả lời tin SM1 thông báo lỗi f) UE không chấp nhận đề nghị củ P-CSCF Nếu UE không chấp nhận phương pháp thiết lập an ninh P-CSCF gửi đến (trong tin SM6) loại bỏ thủ tục đăng ký g) Phương pháp thiết lập n ninh P-CSCF không quán Nếu danh sách thuật toán nhận thực mã hóa tin SM7 SM6 không giống thủ tục đăng ký bị loại bỏ h) ưu lượng không th truyền qu NAT Trường hợp xảy P-CSCF phát có mặt NAT UE P-CSCF lại khả truyền lưu lượng qua NAT Khi đó, P-CSCF loại bỏ thủ tục thiết lập SA Nhận thực trình tải đăng kí Mỗi thủ tục đăng ký có trình nhận thực khách hàng nhằm thiết lập SA Nếu trình nhận thực khách hàng thành công SA thay cho SA cũ Phần đề cập đến cách thức UE P-CSCF thực thay SA cũ xác định SA sử dụng tin cho trước Khi SA thay trình nhận thực yêu cầu tái đăng ký cổng port_us port_ps giữ nguyên cổng port_uc port_pc lại bị thay đổi Nếu UE có cặp SA trạng thái tích cực sử dụng cặp liên kết để bảo vệ cho tin REGISTER Khi P-CSCF thông báo cho S-CSCF tin REGISTER UE gửi đến bảo vệ tính toàn vẹn S-CSCF không cần phải nhận thực khách hàng giao thức AKA Tuy nhiên, P-CSCF nên nhận thực khách hàng UE gửi tin REGISTER không bảo vệ vào thời điểm Ví dụ UE cho SA không P-CSCF tích cực (tức UE không nhận hồi đáp sau gửi số tin bảo vệ) 5 Nhận thực trình tải đăng kí Mỗi thủ tục đăng ký có trình nhận thực khách hàng nhằm thiết lập SA Nếu trình nhận thực khách hàng thành công SA thay Nguyễn Huy Hoàng D04VT2 - 91 - Đồ án tốt nghiệp đại học Chương III: B o mật cho IMS cho SA cũ Phần đề cập đến cách thức UE P-CSCF thực thay SA cũ xác định SA sử dụng tin cho trước Khi SA thay trình nhận thực yêu cầu tái đăng ký cổng port_us port_ps giữ nguyên cổng port_uc port_pc lại bị thay đổi Nếu UE có cặp SA trạng thái tích cực sử dụng cặp liên kết để bảo vệ cho tin REGISTER Khi P-CSCF thông báo cho S-CSCF tin REGISTER UE gửi đến bảo vệ tính toàn vẹn S-CSCF không cần phải nhận thực khách hàng giao thức AKA Tuy nhiên, P-CSCF nên nhận thực khách hàng UE gửi tin REGISTER không bảo vệ vào thời điểm Ví dụ UE cho SA không P-CSCF tích cực (tức UE không nhận hồi đáp sau gửi số tin bảo vệ) Vấn đề sử ụng liên kết an ninh i) Vấn đề sử dụng liên kết n ninh UE Tại thời điểm UE thực thủ tục đăng ký, tức UE phải xóa liệu (bao gồm SA) liên quan đến đăng ký hay nhận thực chưa hoàn tất trước tiến hành thủ tục đăng ký UE bắt đầu thủ tục đăng ký với hai cặp SA tồn (thường SA cũ) Quá trình đăng ký tạo hai cặp SA chúng lại không dùng để bảo vệ cho lưu lượng trình nhận thực “biết đến” Sau đó, tin truyền SA tương ứng Nếu UE nhận tin bảo vệ SA không phù hợp loại bỏ tin Quá trình nhận thực thành công UE bao gồm bước sau: UE gửi tin SM1 để đăng ký với IMS Nếu cần bảo vệ cho tin SM1 UE truyền SA biên cũ P-CSCF gửi chất vấn nhận thực tin SM6 cho UE SA cũ Sau xử lý tin SM6, UE tạo SA Thời gian sống SA thiết lập đủ phép hoàn tất thủ tục đăng ký Nếu SA cũ bảo vệ cho tin SM1 sử dụng chế độ đường hầm đóng gói UDP SA hoạt động chế độ Tiếp theo, UE gửi hồi đáp tin SM7 cho P-CSCF, tin bảo vệ SA biên Lúc này, tin SM1 bảo Nguyễn Huy Hoàng D04VT2 - 92 - Đồ án tốt nghiệp đại học Chương III: B o mật cho IMS vệ UE sử dụng SA cũ để bảo vệ cho tin lại trình nhận thực, nhận tin SM12 Nếu SM1 không bảo vệ UE không phép sử dụng dịch vụ nhận tin SM12 Bản tin SM12 P-CSCF gửi đến bảo vệ SA biên UE Khi UE nhận tin SM12 có nghĩa trình đăng ký diễn thành công UE thiết lập thời gian sống cho SA thời gian tồn dài SA cũ thời gian định thời cho đăng ký lưu tin cộng với thời gian gia hạn ngắn (khoảng thời gian gia hạn không đề cập đến đồ án này), tùy thuộc vào khoảng thời gian dài Các SA biên sử dụng để bảo vệ cho tin SIP mà UE gửi Trường hợp tin SIP phần giao dịch SIP chờ để xử lý truyền SA cũ (Một giao dịch SIP gọi chờ xử lý thiết lập SA cũ.) Khi P-CSCF nhận tin UE SA SA cũ xóa giao dịch SIP chờ đợi hoàn tất bị hết hạn Các SA cũ bị xóa thời gian sống hết Đây bước hoàn tất thủ tục xử lý SA UE Khi trình nhận thực gặp thất bại, tin SM1 không bảo vệ có tin thông báo nhận thực khách hàng bị thất bại truyền SA Nếu tin SM1 bảo vệ tin thông báo thất bại truyền SA cũ Trong hai trường hợp, sau xử lý tin thông báo thất bại P-CSCF xóa tất SA P-CSCF giám sát thời gian hết hạn đăng ký chưa nhận thực trường hợp tăng thời gian tồn SA tạo trước UE xóa SA thời gian sống chúng hết tất IMPU UE tái đăng ký ii) Vấn đề sử dụng liên kết n ninh P-CSCF Khi gửi chất vấn đến UE P-CSCF sử dụng SA cũ trình nhận thực thành công trước (mỗi trình nhận thực thành công tạo hai cặp SA) Quá trình nhận thực tạo hai cặp SA, nhiên SA không sử dụng biết đến trình nhận thực Mỗi tin định bảo vệ SA tương ứng, P-CSCF phát tin bảo vệ SA không phù hợp loại bỏ tin Nguyễn Huy Hoàng D04VT2 - 93 - Đồ án tốt nghiệp đại học Chương III: B o mật cho IMS P-CSCF kiểm tra IMPI IMPU tương ứng UE truyền gói tin cho UE SA vừa thiết lập Quá trình nhận thực thành công P-CSCF bao gồm bước sau: P-CSCF nhận tin SM1 UE gửi đến Trong trường hợp cần bảo vệ cho tin truyền SA cũ P-CSCF gửi tin SM6 có chứa chất vấn cho UE Bản tin truyền SA biên cũ, SM1 có bảo vệ hay không Sau đó, P-CSCF tạo SA có thời gian tồn lập đủ để hoàn thành thủ tục nhận thực Nếu SA cũ bảo vệ cho SM1 sử dụng chế độ đường hầm đóng gói UDP SA hoạt động chế độ P-CSCF nhận tin có chứa hồi đáp (SM7) UE gửi đến Bản tin truyền SA Nếu SM1 bảo vệ SA cũ dùng để bảo vệ cho tin lại trình nhận thực P-CSCF chuyển tiếp tin thông báo đăng ký thành công (SM12) cho UE Bản tin truyền SA biên Đây bước hoàn thành thủ tục đăng ký P-CSCF P-CSCF thiết lập thời gian sống cho SA thời gian tồn dài SA cũ thời gian định thời cho đăng ký lưu tin cộng thêm thời gian gia hạn ngắn nữa, tùy thuộc vào khoảng thời gian dài Sau gửi tin SM12, P-CSCF xử lý SA liên quan đến UE sau: o Nếu SA cũ tồn mà tin P-CSCF nhận lại không bảo vệ P-CSCF xem xảy lỗi cho UE không sử dụng SA cũ nên xóa chúng o Nếu tin SM1 bảo vệ SA cũ phù hợp P-CSCF giữ lại SA biên ba SA tương ứng với để sử dụng (còn tất SA cũ khác xóa đi) Khi bốn SA hết hạn nhận tin UE gửi SA P-CSCF bắt đầu sử dụng SA để truyền tin gửi Trường hợp tin phần giao dịch SIP chờ để xử lý truyền SA cũ Các SA cũ xóa giao dịch SIP xử lý hay bị hết hạn Ngoài ra, SA cũ xóa thời gian tồn chúng hết Khi liên kết cũ hết hạn mà tin SIP truyền SA SA dùng để bảo vệ cho tin biên Đây bước hoàn thành thủ tục nhận thực P-CSCF Nguyễn Huy Hoàng D04VT2 - 94 - Đồ án tốt nghiệp đại học Chương III: B o mật cho IMS Khi trình nhận thực gặp thất bại, tin SM1 không bảo vệ tin thông báo thất bại không bảo vệ, ngoại trừ tin thông báo trình nhận thực khách hàng bị thất bại truyền SA Nếu tin SM1 truyền SA cũ tin thông báo thất bại truyền Trong hai trường hợp, sau xử lý tin thông báo thất bại PCSCF xóa tất SA P-CSCF giám sát thời gian hết hạn đăng ký chưa nhận thực trường hợp cần thiết, tăng thời gian tồn cho SA tạo trình nhận thực trước P-CSCF xóa SA hết hạn SA có IMPI mà tất IMPU tương ứng tái đăng ký Thủ tục liên kết I UE thay đổi ịa I Khi UE thay đổi địa IP xóa SA có thiết lập thủ tục đăng ký địa IP 3.2.6 Mã hóa Mã hóa chức quan trọng mạng IMS Không có mã hóa, Tiêu đề SIP đọc (dưới dạng văn bản) vị thể bì giữ lại sniffer mạng thiết bị mạng khác Điều cho phép hacker dùng thông tin chứa phần tiêu đề tin dập khuôn có truy nhập không cấp quyền đến mạng Một vài ví dụ mã hóa dùng để tránh hacker từ số nhận dạng bị đánh cắp, tránh hoạt động xâm nhập từ việc học cấu hình mạng kẻ công nỗ lực để có truy nhập không xác thực đến tài nguyên mạng (chẳng hạn HSS) Mã hóa quan trọng bên mạng mạng bên Hacker có khả “ lắng nghe” lưu lượng mạng giữ lại liệu thuê bao phiên sau chúng dùng cho truy nhập Một phương pháp pháp công công đăng kí Điều thực lưu phần tiêu đề SIP hợp pháp, lưu số nhận dạng chung cá nhân, đăng kí vào thuê bao thực Tất tin sau chuyển hướng đến hacker Khi tin SIP mã hóa thiết bị vói khóa kí hiệu giải mã tin Thông thường có Proxy mạng (chức điều khiển gọi IMS) Các hệ thống điều khiển sử dụng cho quản lý hiệu đủ khả Nguyễn Huy Hoàng D04VT2 - 95 - Đồ án tốt nghiệp đại học Chương III: B o mật cho IMS Mặt khác, Chặn luật trở thành mục tiêu Không có mã hóa tạo nhiều hậu Bảo mật lớp truyền tải (TLS) Ipsec hai phương pháp khuyến nghị 3GPP cho mã hóa Ipsec làm việc với miền thỏa thuận, cung cấp mã hóa miền tin tưởng Điều tránh nghe trộm thực thể điều khiển gọi Chẳng hạn, IPsec thực hệ thống hoạt động nút mạng khác làm việc với lớp mạng thấp Điều bao gồm CSCF IPsec nên sử dụng mạng nhà khai thác Tuy nhiên IPsec không sử dụng kết nối đến mạng khác Điều yêu cầu TLS TLS hoạt động lớp truyền tải Nó hoạt động tốt kết nối đến hai thực thể chưa xác định Chẳng hạn, truyền tin thông qua nhiều dịch vụ mạng nhà cung cấp TLS sử dụng mức truyền tải IPsec sử dụng thực thể mạng tin tưởng TLS không hoạt động tốt từ đầu cuối đển đầu cuối Nó hữu dụng dùng để truyền tải mạng TLS sử dụng để tránh hacker công từ chặn tin REGISTER có tiêu chuẩn thuê bao mạng truyền tải Đây mạnh TLS> TLS cung cấp xác thực, tính toàn vẹn bí mật tốt khuyến nghị tiêu chuẩn 3GPP môt phương tiện mã hóa cho IMS mạng truyền tải Tất nhiên thể vài mục đích cho hoạt động truyền tải, không nhìn thấy tiêu đề mã hóa, chúng phải ép buộc thỏa thuận kết nối để đảm bảo cung cấp truy nhập đến mạng để xác thực hoạt động tin tưởng 3 n ninh mạng cho I S 331 hái niệm miền an ninh mạng Thông thường mạng chia thành nhiều mạng khác để áp dụng biện pháp an ninh dễ dàng Mỗi mạng gọi miền an ninh Tất thực thể miền an ninh thường bảo vệ chức an ninh giống cấp độ Mạng NDS/IP chia thành nhiều miền khác Biên giới miền an ninh bảo vệ SEG với chức thi hành sách an ninh miền an ninh SEG miền an ninh khác Người quản lý mạng có Nguyễn Huy Hoàng D04VT2 - 96 - Đồ án tốt nghiệp đại học Chương III: B o mật cho IMS thể đặt nhiều SEG mạng để đề phòng SEG gặp cố hay để tăng tính hiệu Một SEG liên kết đến tất miền an ninh khác số miền Vấn đề đảm bảo an ninh cho miền mạng NDS/IP không bao gồm mặt người sử dụng, miền an ninh SEG tương ứng chúng không chứa giao diện Gi (được dùng để giao tiếp với mạng IP khác) Cấu hình chained-tunnel/hub-and-spoke sử dụng để đảm bảo chế an ninh bước Tất lưu lượng mạng NDS/IP phải truyền qua SEG trước vào hay khỏi miền an ninh 3 Cơ chế quản l phân phối khóa mạng NDS/I 3 Các chức an ninh Các đặc tính an ninh IPSec cung cấp định giai đoạn thỏa thuận thiết lập SA Các SA có nhiệm vụ xác định giao thức sử dụng, với chế độ hoạt động đầu cuối kết nối Đối với mạng NDS/IP giao thức IPSec sử dụng ESP với chức bảo đảm tính toàn vẹn, nhận thực tin chống lại công replay (có thể thêm chức bảo đảm tính mật) 3.3.2.2 iên kết an ninh Quá trình quản lý phân phối khóa SEG mạng NDS/IP giao thức IKE đảm nhiệm Chức IKE thỏa thuận, thiết lập trì SA miền có nhu cầu trao đổi thông tin Để đảm bảo an ninh cho lưu lượng hai chiều hai máy trạm hay hai SEG dùng song hướng hay hai SA đơn hướng Mỗi SA đơn hướng xác định ba tham số sau: SPI Địa IP đích Tham số xác định giao thức an ninh (luôn ESP mạng NDS/IP) Khi sử dụng SA mặt điều khiển miền mạng mạng NDS/IP cần ý điểm sau: NDS/IP hỗ trợ cho SA chế độ đường hầm NDS/IP hỗ trợ cho SA ESP Nguyễn Huy Hoàng D04VT2 - 97 - Đồ án tốt nghiệp đại học Chương III: B o mật cho IMS Không cần phải kết hợp SA (do SA ESP đủ để bảo vệ cho lưu lượng truyền nút) Các SA song hướng xác định tham số sau: Cookie phía thiết lập Cookie phía hồi đáp Khi sử dụng SA song hướng mặt điều khiển miền mạng mạng NDS/IP, cần ý NDS/IP hỗ trợ cho SA song hướng có khóa chia sẻ trước 3 Giao iện miền liên miền 3331 iến trúc an ninh mạng Cơ chế quản lý phân phối khóa NDS/IP thiết lập dựa giao thức IKE, vấn đề đảm bảo an ninh giao thức IPSec đảm nhiệm với ưu điểm kiến trúc quản lý phân phối khóa cho NDS/IP đơn giản dễ hiểu Nguyên lý hoạt động kiến trúc NDS/IP đảm bảo an ninh bước (hopby-hop) để phù hợp với cấu hình chained-tunnels hub-and-spoke Cơ chế đảm bảo an ninh bước giúp cho việc áp dụng sách an ninh nội miền liên miền triển khai dễ dàng Trong mạng NDS/IP có SEG sử dụng để trao đổi lưu lượng NDS/IP trực tiếp với thực thể miền khác Các SEG sau tiến hành thiết lập trì SA ESP chế độ đường hầm nối miền (trong có liên kết với SEG phải trạng thái sẵn sàng), đồng thời trì sở liệu SPD SAD riêng biệt cho giao diện Nguyễn Huy Hoàng D04VT2 - 98 - Đồ án tốt nghiệp đại học 12: Giao diệ Chương III: B o mật cho IMS ội miề giao diệ liê miề Các thiết bị mạng có khả thiết lập trì SA đến SEG hay thiết bị khác miền cần thiết Tất lưu lượng NDS/IP gửi từ thiết bị mạng miền đến thiết bị mạng miền khác định tuyến qua SEG xử lý an ninh bước trước gửi đến đích Người điều hành thiết lập SA để truyền lưu lượng hai miền an ninh khác Trong trường hợp này, SA gọi có đặc tính hạt thô Ưu điểm SA đảm bảo an ninh cho số lớn lưu lượng, nhược điểm phân biệt lưu lượng thực thể cụ thể Tiếp theo, SA có đặc tính hạt tinh dùng để truyền đảm bảo an ninh cho lưu lượng thực thể mạng 3 Các giao iện Sau giao diện sử dụng để đảm bảo an ninh cho giao thức IP: i) Gi o diện Z Za giao diện hai SEG bao trùm lên tất lưu lượng NDS/IP truyền hai SEG Đối với giao diện Za chế nhận thực đảm bảo tính toàn vẹn bắt buộc, chế mã hóa mang tính chất khuyến nghị Giao thức ESP Nguyễn Huy Hoàng D04VT2 - 99 - Đồ án tốt nghiệp đại học Chương III: B o mật cho IMS sử dụng để cung cấp đặc tính an ninh Các SEG tiến hành thỏa thuận, thiết lập trì đường hầm an ninh ESP chúng thông qua giao thức IKE Đường hầm sau dùng để truyền lưu lượng hai miền an ninh (giả sử hai miền A B) Giữa SEG tồn đường hầm nối thiết lập cần thiết Một SEG miền phải liên kết đến miền có nhu cầu trao đổi lưu lượng nhằm giúp hạn chế số lượng SA cần phải trì miền ii) Gi o diện Z Zb giao diện thiết bị mạng SEG hay thiết bị mạng với miền an ninh Việc sử dụng giao diện để thực xử lý IPSec có tính tùy chọn Zb dùng hai giao thức ESP IKE Trên giao diện Zb, ESP có chức cung cấp chức nhận thực đảm bảo tính toàn vẹn cho liệu, chức mã hóa có tính tùy chọn Các lưu lượng cần bảo vệ truyền SA ESP SA thiết lập trường hợp cần thiết theo yêu cầu người điều hành để truyền lưu lượng NDS/IP thiết bị mạng khác Chú ý: Chính sách an ninh thiết lập giao diện Za phải tuân thủ theo khuyến nghị chuyển vùng Nhưng giao diện Zb lại khác, sách người quản lý định Yêu cầu đảm bảo an ninh cho lưu lượng trao đổi hai thiết bị hai miền mạng khác không ngăn cấm thực thể vật lý có đồng thời chức thiết bị mạng SEG Do SEG có chức triển khai sách an ninh miền đích bên nên thực thể tổng hợp phải có chức tương tự Cơ chế hoạt động NDS/IP hỗ trợ chức đảm bảo an ninh trực tiếp cho lưu lượng hai thiết bị mạng hai miền khác hai thiết bị có chức SEG Trong trường hợp thiết bị mạng SEG tích hợp vào thực thể vật lý thiết bị mạng khác sử dụng chức cổng để truyền thông với miền an ninh bên Nguyễn Huy Hoàng D04VT2 - 100 - Đồ án tốt nghiệp đại học Kết luận T U N IMS nói riêng NGN Release nói chung vấn đề mẻ lĩnh vực viễn thông ngày Việc phát triển IMS hứa hẹn đem lại cho khách hàng sở hạ tầng viễn thông đại hơn, cho phép thiết bị đầu cuối hội tụ nhiều chức năng, thời gian tạo lập dịch vụ rút ngắn rõ rệt Bên cạnh đó, IMS cung cấp cho khách hàng dịch vụ phong phú với chất lượng ngày nâng cao Sau thời gian nghiên cứu, đồ án em hoàn thành nội dung sau: Giới thiệu tổng quan kiến trúc IMS phần tử chức giao thức sử dụng Tìm hiểu giao thức Diameter trình nhận thực phân quyền toán IMS sử dụng giao thức Diameter Tóm tắt thủ tục cần thiết để đảm bảo an ninh, trình nhận thực mã hóa để đảm bảo tính bảo mật IMS Do hạn chế thân rộng lớn vấn đề bảo mật Nên đồ án em nhiều thiếu xót Em mong thông cảm đóng góp thầy cô để em có hiểu biết đắn hoàn thiện Em xin chân thành cảm ơn Nguyễn Huy Hoàng D04VT2 - 101 - Đồ án tốt nghiệp đại học Tài liệu th TÀI IỆU TH kh o HẢ Gonzalo Camarillo and Miguel A García – Martín, “The 3G IP Multimedia Su syste (IMS)”, John Wiley & Sons Ltd, England, May 2006 3GPP TS 23.228, “IP Multi edi Su syste Rele se 8”, June, 2007 3GPP TS 33.203, “3G Security; Access Security for IP- sed ser ices”, September 2007 3GPP TS 33.210, “Network Domain Security; IP Networt Security”, December 2006 ETSI ES 287 007, “IP Multi edi Su syste (IMS)”, June 2006 http://en.wikipedia.org/wiki/Wiki Nguyễn Huy Hoàng D04VT2 - 102 -