NGUYỄN HUY HOÀNG D04VT2 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG NÂNG CAO KY THUÂT TAI ĐINH TUYÊN NHANH TRONG MANG MPLS ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đồ án: BẢO MẬT TRONG IMS Sinh viên thực : Nguyễn Huy Hoàng * Hà Nội -2008 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA VIỄN THÔNG I -*** - ĐỒ AN TỐT NGHIỆP ĐAI HỌC Đề tài: BẢO MẬT TRONG IMS Giáo viên hướng dẫn : ThS Vũ Thuý Hà Sinh viên thực : Nguyễn Huy Hoàng Lớp : D04VT2 Hà Nội - 2008 HỌC VIỆN CÔNG NGHỆ CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM BƯU CHÍNH VIỄN THÔNG Độc Lập - Tự Do - Hạnh Phúc KHOA VIỄN THÔNG I -*** - -*** ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Họ tên : Nguyễn Huy Hoàng Lớp : D04VT2 Khoá : 2004-2008 Ngành học: Điện Tử - Viễn Thông Tên đồ án: Nội dung đồ án:  Chương I : Kiến trúc IMS  Chương II : Nhận thực trao quyền toán IMS  Chương III : Bảo mật cho IMS Ngày giao đồ án:10/07/2008 Ngày nộp đồ án: 10/11/2008 NHÂN XÉT CỦA GIAO VIÊN HƯỚNG DẪN ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………… Điểm: (bằng chữ ……………… ) Ngày tháng 11 năm 2008 Giáo viên hướng dẫn ThS Vũ Thuý Hà NHÂN XÉT CỦA GIAO VIÊN PHẢN BIỆN …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… ………………………… Điểm: (bằng chữ ……………… ) Ngày tháng 11 năm 2008 Giáo viên phản biện Đồ án tốt nghiệp đại học Mục lục MỤC LỤC MỤC LỤC i DANH MỤC HÌNH VE .v THUÂT NGỮ VIÊT TẮT vi LỜI NÓI ĐẦU ix CHƯƠNG I: KIÊN TRÚC IMS .10 1.1 Kiến trúc NGN 10 1.1.1 Mạng viễn thông .10 1.1.2 Mạng viễn thông đường tiến tới NGN 11 1.2 Phân hệ IMS kiến trúc NGN 16 1.2.1 Tổng quan IMS 16 1.2.2 Chức phần tử IMS 20 1.2 2.1 P-CSCF (Proxy-CSCF) 21 1.2.2.2 I-CSCF (Interrogating-CSCF ) .22 1.2.2.3 S-CSCF (Serving-CSCF) .22 1.2.2.4 BGCF (Breakout Gateway Control Function) .24 1.2.2.5 HSS (Home subscriber Server) 24 1.2.2.6 MGCF (Media Gateway Control Function) 24 1.2.2.7 MRF (Multimedia resource function) 25 1.2.2.8 IMS-MGW (IP multimedia sbsystem-Media gateway function) 26 1.2.2.9 SGW (Signalling gateway function) 26 1.2.3 Các giao diện IMS .26 CHƯƠNG II: NHÂN THỰC TRAO QUYỀN VÀ THANH TOAN TRONG IMS 28 2.1 Giao thức Diameter 28 2.1.1 Các phiên Diameter .30 2.1.2 Dạng tin Diameter .31 2.1.3 Cặp giá trị thuộc tính AVP 33 Nguyễn Huy Hoàng D04VT2 -i- Đồ án tốt nghiệp đại học Mục lục 2.1.4 AAA AAA URIs .34 2.1.5 Các lệnh sở Diameter 35 2.2 Xác thực trao quyền IMS 37 2.3 Giao diện Cx Dx 38 2.3.1 Các mã lệnh định nghĩa giao diện Cx 39 2.3.1.1 Yêu cầu trả lời xác thực người dùng (UAR, UAA) 40 2.3.1.2 Yêu cầu trả lời xác thực đa phương tiện ( MAR, MAA ) 41 2.3.1.3 Yêu cầu trả lời gán máy chủ (SAR, SAA) 41 2.3.1.4 Yêu cầu trả lời thông tin cấp phát (LIR, LIA) 41 2.3.1.5 Yêu cầu trả lời kết thúc đăng kí (RTR, RTA) 42 2.3.1.6 Yêu cầu trả lời đẩy profile ( PPR, PPA) 42 2.3.2 AVPs định nghĩa ứng dụng Diameter cho giao diện Cx 42 2.3.2.1 Việc sử dụng AVP có .44 2.3.3 Profile người dùng 44 2.4 Giao diện Sh .46 2.4.1 Các mã lệnh định nghía ứng dụng diameter cho giao diện Sh 48 2.4.2 Các AVP định nghĩa ứng dụng Diameter cho giao diện Sh .49 2.5 Thanh toán (Accounting) 50 2.6 Kiến trúc tính cước 50 2.7 Tính cước offline 53 2.7.1 Đầu cuối IMS mạng khách 54 2.7.2 Đầu cuối IMS mạng nhà 56 2.7.3 Giao diện Rf 59 2.8 Tính cước Online 61 2.8.1 S-CSCF 62 2.8.2 Các AS MRFC 62 CHƯƠNG III: BẢO MÂT CHO IMS 69 3.1 Tổng quan vấn đề bảo mật mạng 69 3.1.1 Các phương thức công thường gặp mạng IMS .69 3.1.1.1 Sự nghe trộm 69 Nguyễn Huy Hoàng D04VT2 - ii - Đồ án tốt nghiệp đại học Mục lục 3.1.1.2 Tấn công đăng kí 70 3.1.1.3 Mạo danh máy chủ 70 3.1.1.4 Chèn khối tin 70 3.1.1.5 Làm đứt phiên 71 3.1.1.6 Tấn công từ chối dịch vụ 71 3.1.1.7 Khuếch đại 72 3.1.2 Kiến trúc anh ninh tổng quan 72 3.1.2.1 Các chức an ninh 74 3.1.2.2 Che giấu cấu hình mạng 75 3.2 An ninh truy nhập cho IMS 76 3.2.1 Xác thực cấp quyền 76 3.2.2 Xác thực cấp quyền với ISIM 77 3.2.3 Xác thực cấp quyền với USIM 80 3.2.4 Thiết lập liên kết an ninh .80 3.2.5 Thủ tục thiết lập liên kết an ninh 82 3.2.5.1 Các tham số liên kết an ninh 82 3.2.5.2 thủ tục liên kết an ninh 89 3.2.5.3 Các lỗi thường xảy thiết lập SA 91 3.2.5.4 Nhận thực trình tải đăng kí 93 3.2.5.5 Nhận thực trình tải đăng kí 93 3.2.5.6 Vấn đề sử dụng liên kết an ninh .94 3.2.5.7 Thủ tục liên kết IP UE thay đổi dịa IP .97 3.2.6 Mã hóa 97 3.3 An ninh mạng cho IMS 98 3.3.1 Khái niệm miền an ninh mạng 98 3.3.2 Cơ chế quản lý phân phối khóa mạng NDS/IP .99 3.3.2.1 Các chức an ninh 99 3.3.2.2 Liên kết an ninh 99 3.3.3 Giao diện miền liên miền 100 3.3.3.1 Kiến trúc an ninh mạng 100 3.3.3.2 Các giao diện 101 KẾT LUẬN 103 Nguyễn Huy Hoàng D04VT2 - iii - Đồ án tốt nghiệp đại học Mục lục TÀI LIỆU THAM KHẢO .104 Nguyễn Huy Hoàng D04VT2 - iv - Đồ án tốt nghiệp đại học Danh mục hình ve DANH MỤC HÌNH VE DANH MỤC BẢNG BIỂU Nguyễn Huy Hoàng D04VT2 -v- Đồ án tốt nghiệp đại học IMS Chương III: Bảo mật cho Port_P SM6 giá trị SPI_U, Port_U tin SM1 SM7: REGISTER(Security-setup = SPI_U, Port_U, SPI_P, Port_P, P-CSCF integrity and encryption algorithms list, IPSec mode list) Ở chế độ đường hầm đóng gói UDP, UE biết địa IP công cộng cổng server bảo vệ từ trường mào đầu Via Contact (bằng cách kiểm tra tham số “recieved” (nếu có) trường mào đầu Via cao tin SM6) UE liên tục gửi tin nhằm giúp cho ràng buộc NAT trì suốt thời gian đăng ký Tại P-CSCF, tin SM7 trước tiên xử lý chức đóng gói UDP nhằm xác định giá trị port_Uenc mà NAT lựa chọn Sau đó, giá trị port_Uenc ghi vào ô “undef” để hoàn thiện bảng đóng gói UDP Tiếp theo, trường mào đầu UDP tách khỏi gói tin để thực xử lý IPSec Sau bước trên, ứng dụng SIP P-CSCF xem xét danh sách thuật toán đảm bảo tính toàn vẹn, giá trị SPI_P cổng Port_P tin SM7 có giống với tham số tương ứng tin SM6 hay không Ngoài ra, ứng dụng kiểm tra quán giá trị SPI_U Port_U tin SM7 với giá trị tương ứng tin SM1 Nếu phép kiểm tra gặp thất bại thủ tục đăng ký bị loại bỏ Bảng 1Bảng đóng gói UDP P-CSCF sau hoàn thành Bảng đóng gói UDP phía mạng SA1 SA2 SA3 SA4 Src Addr P-CSCF UE_pub P-CSCF UE_pub Dest Addr UE_pub P-CSCF UE_pub P-CSCF Src Port 4500 Dest Port Port_Uen c Port_Uen 4500 c 4500 Port_Uen c Port_Uen c 4500 SPI SPI_us SPI_ps SPI_uc SPI_pc Ở chế độ truyền dẫn sau nhận tin SM7, P-CSCF tiến Đồ án tốt nghiệp đại học IMS Chương III: Bảo mật cho hành hai thao tác kiểm tra Nếu bước kiểm tra gặp thất bại thủ tục đăng ký bị loại bỏ P-CSCF bổ sung thông tin vào tin SM8 để thông báo cho S-CSCF tin UE gửi đến đảm bảo tính toàn vẹn Thông tin thông báo P-CSCF đưa vào tin REGISTER UE gửi đến, sau kiểm tra tính toàn vẹn tin SM8: REGISTER(Integrity-Protection = Successful, IMPI) Cuối cùng, P-CSCF gửi tin SM12 đến UE, tin không chứa thông tin liên quan đến việc thiết lập chế độ an ninh mà có chức thông báo cho UE trình thiết lập an ninh thành công Hình 3.11 minh họa trường hợp UE tiến hành thủ tục tái đăng ký không trao quyền Hình 11: UE tiến hành thủ tục tái đăng ký không trao quyền 3.2.5.3 Các lỗi thường xảy thiết lập SA i) Các lỗi xảy áp dụng giao thức IMS AKA a) Thất bại nhận thực khách hàng Đồ án tốt nghiệp đại học IMS Chương III: Bảo mật cho Khi nhận thực cho khách hàng, bước kiểm tra tính toàn vẹn tin SM7 IPSec thực P-CSCF gặp thất bại khóa IK IM RAND UE phân phối xảy lỗi Lúc này, ứng dụng SIP P-CSCF không nhận tin SM7 xóa tham số SA tương ứng với đăng ký lưu trữ tạm thời sau thời hạn cho phép kết thúc Nếu khóa IKIM phân phối không xảy lỗi hồi đáp lại sai trình nhận thực khách hàng S-CSCF thất bại Thông qua P-CSCF, S-CSCF gửi tin 4xx Auth_Failure đến UE SA vừa thiết lập Sau UE P-CSCF xóa SA b) Thất bại nhận thực mạng Nếu UE gặp thất bại nhận thực mạng gửi tin REGISTER (có thể qua SA vừa thiết lập) để thông báo cho P-CSCF P-CSCF xóa SA nhận tin thông báo c) Thất bại đồng Khi UE nhận thấy AUTN mạng gửi đến tin SM6 có chứa số không nằm dải, gửi tin REGISTER để thông báo cho PCSCF Sau đó, P-CSCF xóa SA vừa thiết lập d) Quá trình nhận thực không hoàn tất Nếu UE hồi đáp chất vấn P-CSCF gửi đến mà lại không nhận tin trả lời trước thời gian yêu cầu kết thúc bắt đầu thủ tục đăng ký yêu cầu sử dụng dịch vụ đa phương tiện Bản tin trình đăng ký SA thủ tục nhận thực thành công trước bảo vệ Khi P-CSCF nhận chất vấn S-CSCF tạo SA tương ứng trình đăng ký, xóa thông tin liên quan đến thủ tục đăng ký trước (bao gồm SA) Nếu SA bị xóa thời gian tồn hết P-CSCF xóa tất thông tin liên quan đến thủ tục đăng ký tạo SA ii) Các lỗi xảy trình thỏa thuận tham số thiết lập an ninh e) P-CSCF không chấp nhận đề nghị UE Trường hợp xảy P-CSCF không chấp nhận phương pháp thiết lập an ninh UE gửi đến tin SM1 Khi đó, P-CSCF trả lời tin SM1 thông báo lỗi f) UE không chấp nhận đề nghị P-CSCF Đồ án tốt nghiệp đại học IMS Chương III: Bảo mật cho Nếu UE không chấp nhận phương pháp thiết lập an ninh P-CSCF gửi đến (trong tin SM6) loại bỏ thủ tục đăng ký g) Phương pháp thiết lập an ninh P-CSCF không quán Nếu danh sách thuật toán nhận thực mã hóa tin SM7 SM6 không giống thủ tục đăng ký bị loại bỏ h) Lưu lượng truyền qua NAT Trường hợp xảy P-CSCF phát có mặt NAT UE P-CSCF lại khả truyền lưu lượng qua NAT Khi đó, P-CSCF loại bỏ thủ tục thiết lập SA 3.2.5.4 Nhận thực trình tải đăng kí Mỗi thủ tục đăng ký có trình nhận thực khách hàng nhằm thiết lập SA Nếu trình nhận thực khách hàng thành công SA thay cho SA cũ Phần đề cập đến cách thức UE P-CSCF thực thay SA cũ xác định SA sử dụng tin cho trước Khi SA thay trình nhận thực yêu cầu tái đăng ký cổng port_us port_ps giữ nguyên cổng port_uc port_pc lại bị thay đổi Nếu UE có cặp SA trạng thái tích cực sử dụng cặp liên kết để bảo vệ cho tin REGISTER Khi P-CSCF thông báo cho S-CSCF tin REGISTER UE gửi đến bảo vệ tính toàn vẹn S-CSCF không cần phải nhận thực khách hàng giao thức AKA Tuy nhiên, P-CSCF nên nhận thực khách hàng UE gửi tin REGISTER không bảo vệ vào thời điểm Ví dụ UE cho SA không P-CSCF tích cực (tức UE không nhận hồi đáp sau gửi số tin bảo vệ) 3.2.5.5 Nhận thực trình tải đăng kí Mỗi thủ tục đăng ký có trình nhận thực khách hàng nhằm thiết lập SA Nếu trình nhận thực khách hàng thành công SA thay cho SA cũ Phần đề cập đến cách thức UE P-CSCF thực thay SA cũ xác định SA sử dụng tin cho trước Khi SA thay trình nhận thực yêu cầu tái đăng ký cổng port_us port_ps giữ nguyên cổng port_uc port_pc lại bị thay đổi Đồ án tốt nghiệp đại học IMS Chương III: Bảo mật cho Nếu UE có cặp SA trạng thái tích cực sử dụng cặp liên kết để bảo vệ cho tin REGISTER Khi P-CSCF thông báo cho S-CSCF tin REGISTER UE gửi đến bảo vệ tính toàn vẹn S-CSCF không cần phải nhận thực khách hàng giao thức AKA Tuy nhiên, P-CSCF nên nhận thực khách hàng UE gửi tin REGISTER không bảo vệ vào thời điểm Ví dụ UE cho SA không P-CSCF tích cực (tức UE không nhận hồi đáp sau gửi số tin bảo vệ) 3.2.5.6 Vấn đề sử dụng liên kết an ninh i) Vấn đề sử dụng liên kết an ninh UE Tại thời điểm UE thực thủ tục đăng ký, tức UE phải xóa liệu (bao gồm SA) liên quan đến đăng ký hay nhận thực chưa hoàn tất trước tiến hành thủ tục đăng ký UE bắt đầu thủ tục đăng ký với hai cặp SA tồn (thường SA cũ) Quá trình đăng ký tạo hai cặp SA chúng lại không dùng để bảo vệ cho lưu lượng trình nhận thực “biết đến” Sau đó, tin truyền SA tương ứng Nếu UE nhận tin bảo vệ SA không phù hợp loại bỏ tin Quá trình nhận thực thành công UE bao gồm bước sau: • UE gửi tin SM1 để đăng ký với IMS Nếu cần bảo vệ cho tin SM1 UE truyền SA biên cũ • P-CSCF gửi chất vấn nhận thực tin SM6 cho UE SA cũ • Sau xử lý tin SM6, UE tạo SA Thời gian sống SA thiết lập đủ phép hoàn tất thủ tục đăng ký Nếu SA cũ bảo vệ cho tin SM1 sử dụng chế độ đường hầm đóng gói UDP SA hoạt động chế độ Tiếp theo, UE gửi hồi đáp tin SM7 cho P-CSCF, tin bảo vệ SA biên Lúc này, tin SM1 bảo vệ UE sử dụng SA cũ để bảo vệ cho tin lại trình nhận thực, nhận tin SM12 Nếu SM1 không bảo vệ UE không phép sử dụng dịch vụ nhận tin SM12 • Bản tin SM12 P-CSCF gửi đến bảo vệ SA biên UE Đồ án tốt nghiệp đại học IMS Chương III: Bảo mật cho • Khi UE nhận tin SM12 có nghĩa trình đăng ký diễn thành công UE thiết lập thời gian sống cho SA thời gian tồn dài SA cũ thời gian định thời cho đăng ký lưu tin cộng với thời gian gia hạn ngắn (khoảng thời gian gia hạn không đề cập đến đồ án này), tùy thuộc vào khoảng thời gian dài Các SA biên sử dụng để bảo vệ cho tin SIP mà UE gửi Trường hợp tin SIP phần giao dịch SIP chờ để xử lý truyền SA cũ (Một giao dịch SIP gọi chờ xử lý thiết lập SA cũ.) Khi P-CSCF nhận tin UE SA SA cũ xóa giao dịch SIP chờ đợi hoàn tất bị hết hạn Các SA cũ bị xóa thời gian sống hết Đây bước hoàn tất thủ tục xử lý SA UE Khi trình nhận thực gặp thất bại, tin SM1 không bảo vệ có tin thông báo nhận thực khách hàng bị thất bại truyền SA Nếu tin SM1 bảo vệ tin thông báo thất bại truyền SA cũ Trong hai trường hợp, sau xử lý tin thông báo thất bại P-CSCF xóa tất SA P-CSCF giám sát thời gian hết hạn đăng ký chưa nhận thực trường hợp tăng thời gian tồn SA tạo trước UE xóa SA thời gian sống chúng hết tất IMPU UE tái đăng ký ii) Vấn đề sử dụng liên kết an ninh P-CSCF Khi gửi chất vấn đến UE P-CSCF sử dụng SA cũ trình nhận thực thành công trước (mỗi trình nhận thực thành công tạo hai cặp SA) Quá trình nhận thực tạo hai cặp SA, nhiên SA không sử dụng biết đến trình nhận thực Mỗi tin định bảo vệ SA tương ứng, P-CSCF phát tin bảo vệ SA không phù hợp loại bỏ tin P-CSCF kiểm tra IMPI IMPU tương ứng UE truyền gói tin cho UE SA vừa thiết lập Quá trình nhận thực thành công P-CSCF bao gồm bước sau: • P-CSCF nhận tin SM1 UE gửi đến Trong trường hợp cần bảo vệ cho tin truyền SA cũ Đồ án tốt nghiệp đại học IMS Chương III: Bảo mật cho • P-CSCF gửi tin SM6 có chứa chất vấn cho UE Bản tin truyền SA biên cũ, SM1 có bảo vệ hay không • Sau đó, P-CSCF tạo SA có thời gian tồn lập đủ để hoàn thành thủ tục nhận thực Nếu SA cũ bảo vệ cho SM1 sử dụng chế độ đường hầm đóng gói UDP SA hoạt động chế độ • P-CSCF nhận tin có chứa hồi đáp (SM7) UE gửi đến Bản tin truyền SA Nếu SM1 bảo vệ SA cũ dùng để bảo vệ cho tin lại trình nhận thực • P-CSCF chuyển tiếp tin thông báo đăng ký thành công (SM12) cho UE Bản tin truyền SA biên Đây bước hoàn thành thủ tục đăng ký P-CSCF P-CSCF thiết lập thời gian sống cho SA thời gian tồn dài SA cũ thời gian định thời cho đăng ký lưu tin cộng thêm thời gian gia hạn ngắn nữa, tùy thuộc vào khoảng thời gian dài • Sau gửi tin SM12, P-CSCF xử lý SA liên quan đến UE sau: o Nếu SA cũ tồn mà tin P-CSCF nhận lại không bảo vệ P-CSCF xem xảy lỗi cho UE không sử dụng SA cũ nên xóa chúng o Nếu tin SM1 bảo vệ SA cũ phù hợp P-CSCF giữ lại SA biên ba SA tương ứng với để sử dụng (còn tất SA cũ khác xóa đi) Khi bốn SA hết hạn nhận tin UE gửi SA P-CSCF bắt đầu sử dụng SA để truyền tin gửi Trường hợp tin phần giao dịch SIP chờ để xử lý truyền SA cũ Các SA cũ xóa giao dịch SIP xử lý hay bị hết hạn Ngoài ra, SA cũ xóa thời gian tồn chúng hết Khi liên kết cũ hết hạn mà tin SIP truyền SA SA dùng để bảo vệ cho tin biên Đây bước hoàn thành thủ tục nhận thực P-CSCF Khi trình nhận thực gặp thất bại, tin SM1 không bảo vệ tin thông báo thất bại không bảo vệ, ngoại trừ tin thông báo trình nhận thực khách hàng bị thất bại truyền SA Nếu tin SM1 truyền SA cũ tin thông báo thất bại truyền Trong hai trường hợp, sau xử lý tin thông báo thất bại P- Đồ án tốt nghiệp đại học IMS Chương III: Bảo mật cho CSCF xóa tất SA P-CSCF giám sát thời gian hết hạn đăng ký chưa nhận thực trường hợp cần thiết, tăng thời gian tồn cho SA tạo trình nhận thực trước P-CSCF xóa SA hết hạn SA có IMPI mà tất IMPU tương ứng tái đăng ký 3.2.5.7 Thủ tục liên kết IP UE thay đổi dịa IP Khi UE thay đổi địa IP xóa SA có thiết lập thủ tục đăng ký địa IP 3.2.6 Mã hóa Mã hóa chức quan trọng mạng IMS Không có mã hóa, Tiêu đề SIP đọc (dưới dạng văn bản) vị thể bì giữ lại sniffer mạng thiết bị mạng khác Điều cho phép hacker dùng thông tin chứa phần tiêu đề tin dập khuôn có truy nhập không cấp quyền đến mạng Một vài ví dụ mã hóa dùng để tránh hacker từ số nhận dạng bị đánh cắp, tránh hoạt động xâm nhập từ việc học cấu hình mạng kẻ công nỗ lực để có truy nhập không xác thực đến tài nguyên mạng (chẳng hạn HSS) Mã hóa quan trọng bên mạng mạng bên Hacker có khả “ lắng nghe” lưu lượng mạng giữ lại liệu thuê bao phiên sau chúng dùng cho truy nhập Một phương pháp pháp công công đăng kí Điều thực lưu phần tiêu đề SIP hợp pháp, lưu số nhận dạng chung cá nhân, đăng kí vào thuê bao thực Tất tin sau chuyển hướng đến hacker Khi tin SIP mã hóa thiết bị vói khóa kí hiệu giải mã tin Thông thường có Proxy mạng (chức điều khiển gọi IMS) Các hệ thống điều khiển sử dụng cho quản lý hiệu đủ khả Mặt khác, Chặn luật trở thành mục tiêu Không có mã hóa tạo nhiều hậu Bảo mật lớp truyền tải (TLS) Ipsec hai phương pháp khuyến nghị 3GPP cho mã hóa Ipsec làm việc với miền thỏa thuận, cung cấp mã hóa miền tin tưởng Điều tránh nghe trộm thực thể điều khiển gọi Chẳng hạn, IPsec thực hệ thống hoạt động nút mạng khác Đồ án tốt nghiệp đại học IMS Chương III: Bảo mật cho làm việc với lớp mạng thấp Điều bao gồm CSCF IPsec nên sử dụng mạng nhà khai thác Tuy nhiên IPsec không sử dụng kết nối đến mạng khác Điều yêu cầu TLS TLS hoạt động lớp truyền tải Nó hoạt động tốt kết nối đến hai thực thể chưa xác định Chẳng hạn, truyền tin thông qua nhiều dịch vụ mạng nhà cung cấp TLS sử dụng mức truyền tải IPsec sử dụng thực thể mạng tin tưởng TLS không hoạt động tốt từ đầu cuối đển đầu cuối Nó hữu dụng dùng để truyền tải mạng TLS sử dụng để tránh hacker công từ chặn tin REGISTER có tiêu chuẩn thuê bao mạng truyền tải Đây mạnh TLS> TLS cung cấp xác thực, tính toàn vẹn bí mật tốt khuyến nghị tiêu chuẩn 3GPP môt phương tiện mã hóa cho IMS mạng truyền tải Tất nhiên thể vài mục đích cho hoạt động truyền tải, không nhìn thấy tiêu đề mã hóa, chúng phải ép buộc thỏa thuận kết nối để đảm bảo cung cấp truy nhập đến mạng để xác thực hoạt động tin tưởng 3.3 An ninh mạng cho IMS 3.3.1 Khái niệm miền an ninh mạng Thông thường mạng chia thành nhiều mạng khác để áp dụng biện pháp an ninh dễ dàng Mỗi mạng gọi miền an ninh Tất thực thể miền an ninh thường bảo vệ chức an ninh giống cấp độ Mạng NDS/IP chia thành nhiều miền khác Biên giới miền an ninh bảo vệ SEG với chức thi hành sách an ninh miền an ninh SEG miền an ninh khác Người quản lý mạng đặt nhiều SEG mạng để đề phòng SEG gặp cố hay để tăng tính hiệu Một SEG liên kết đến tất miền an ninh khác số miền Vấn đề đảm bảo an ninh cho miền mạng NDS/IP không bao gồm mặt người sử dụng, miền an ninh SEG tương ứng chúng không chứa giao diện Gi (được dùng để giao tiếp với mạng IP khác) Đồ án tốt nghiệp đại học IMS Chương III: Bảo mật cho Cấu hình chained-tunnel/hub-and-spoke sử dụng để đảm bảo chế an ninh bước Tất lưu lượng mạng NDS/IP phải truyền qua SEG trước vào hay khỏi miền an ninh 3.3.2 Cơ chế quản lý phân phối khóa mạng NDS/IP 3.3.2.1 Các chức an ninh Các đặc tính an ninh IPSec cung cấp định giai đoạn thỏa thuận thiết lập SA Các SA có nhiệm vụ xác định giao thức sử dụng, với chế độ hoạt động đầu cuối kết nối Đối với mạng NDS/IP giao thức IPSec sử dụng ESP với chức bảo đảm tính toàn vẹn, nhận thực tin chống lại công replay (có thể thêm chức bảo đảm tính mật) 3.3.2.2 Liên kết an ninh Quá trình quản lý phân phối khóa SEG mạng NDS/IP giao thức IKE đảm nhiệm Chức IKE thỏa thuận, thiết lập trì SA miền có nhu cầu trao đổi thông tin Để đảm bảo an ninh cho lưu lượng hai chiều hai máy trạm hay hai SEG dùng song hướng hay hai SA đơn hướng Mỗi SA đơn hướng xác định ba tham số sau: • SPI • Địa IP đích • Tham số xác định giao thức an ninh (luôn ESP mạng NDS/IP) Khi sử dụng SA mặt điều khiển miền mạng mạng NDS/IP cần ý điểm sau: • NDS/IP hỗ trợ cho SA chế độ đường hầm • NDS/IP hỗ trợ cho SA ESP • Không cần phải kết hợp SA (do SA ESP đủ để bảo vệ cho lưu lượng truyền nút) Các SA song hướng xác định tham số sau: • Cookie phía thiết lập • Cookie phía hồi đáp Khi sử dụng SA song hướng mặt điều khiển miền mạng mạng Đồ án tốt nghiệp đại học IMS Chương III: Bảo mật cho NDS/IP, cần ý NDS/IP hỗ trợ cho SA song hướng có khóa chia sẻ trước 3.3.3 Giao diện miền liên miền 3.3.3.1 Kiến trúc an ninh mạng Cơ chế quản lý phân phối khóa NDS/IP thiết lập dựa giao thức IKE, vấn đề đảm bảo an ninh giao thức IPSec đảm nhiệm với ưu điểm kiến trúc quản lý phân phối khóa cho NDS/IP đơn giản dễ hiểu Nguyên lý hoạt động kiến trúc NDS/IP đảm bảo an ninh bước (hopby-hop) để phù hợp với cấu hình chained-tunnels hub-and-spoke Cơ chế đảm bảo an ninh bước giúp cho việc áp dụng sách an ninh nội miền liên miền triển khai dễ dàng Trong mạng NDS/IP có SEG sử dụng để trao đổi lưu lượng NDS/IP trực tiếp với thực thể miền khác Các SEG sau tiến hành thiết lập trì SA ESP chế độ đường hầm nối miền (trong có liên kết với SEG phải trạng thái sẵn sàng), đồng thời trì sở liệu SPD SAD riêng biệt cho giao diện Đồ án tốt nghiệp đại học IMS Chương III: Bảo mật cho Hình 12: Giao diện nội miền giao diện liên miền Các thiết bị mạng có khả thiết lập trì SA đến SEG hay thiết bị khác miền cần thiết Tất lưu lượng NDS/IP gửi từ thiết bị mạng miền đến thiết bị mạng miền khác định tuyến qua SEG xử lý an ninh bước trước gửi đến đích Người điều hành thiết lập SA để truyền lưu lượng hai miền an ninh khác Trong trường hợp này, SA gọi có đặc tính hạt thô Ưu điểm SA đảm bảo an ninh cho số lớn lưu lượng, nhược điểm phân biệt lưu lượng thực thể cụ thể Tiếp theo, SA có đặc tính hạt tinh dùng để truyền đảm bảo an ninh cho lưu lượng thực thể mạng 3.3.3.2 Các giao diện Sau giao diện sử dụng để đảm bảo an ninh cho giao thức IP: i) Giao diện Za • Za giao diện hai SEG bao trùm lên tất lưu lượng NDS/IP truyền hai SEG Đối với giao diện Za chế nhận thực đảm bảo tính toàn Đồ án tốt nghiệp đại học IMS Chương III: Bảo mật cho vẹn bắt buộc, chế mã hóa mang tính chất khuyến nghị Giao thức ESP sử dụng để cung cấp đặc tính an ninh Các SEG tiến hành thỏa thuận, thiết lập trì đường hầm an ninh ESP chúng thông qua giao thức IKE Đường hầm sau dùng để truyền lưu lượng hai miền an ninh (giả sử hai miền A B) Giữa SEG tồn đường hầm nối thiết lập cần thiết • Một SEG miền phải liên kết đến miền có nhu cầu trao đổi lưu lượng nhằm giúp hạn chế số lượng SA cần phải trì miền ii) Giao diện Zb • Zb giao diện thiết bị mạng SEG hay thiết bị mạng với miền an ninh Việc sử dụng giao diện để thực xử lý IPSec có tính tùy chọn Zb dùng hai giao thức ESP IKE • Trên giao diện Zb, ESP có chức cung cấp chức nhận thực đảm bảo tính toàn vẹn cho liệu, chức mã hóa có tính tùy chọn Các lưu lượng cần bảo vệ truyền SA ESP • SA thiết lập trường hợp cần thiết theo yêu cầu người điều hành để truyền lưu lượng NDS/IP thiết bị mạng khác Chú ý: • Chính sách an ninh thiết lập giao diện Za phải tuân thủ theo khuyến nghị chuyển vùng Nhưng giao diện Zb lại khác, sách người quản lý định • Yêu cầu đảm bảo an ninh cho lưu lượng trao đổi hai thiết bị hai miền mạng khác không ngăn cấm thực thể vật lý có đồng thời chức thiết bị mạng SEG Do SEG có chức triển khai sách an ninh miền đích bên nên thực thể tổng hợp phải có chức tương tự Cơ chế hoạt động NDS/IP hỗ trợ chức đảm bảo an ninh trực tiếp cho lưu lượng hai thiết bị mạng hai miền khác hai thiết bị có chức SEG Trong trường hợp thiết bị mạng SEG tích hợp vào thực thể vật lý thiết bị mạng khác sử dụng chức cổng để truyền thông với miền an ninh bên Đồ án tốt nghiệp đại học Kết luận KÊT LUÂN IMS nói riêng NGN Release nói chung vấn đề mẻ lĩnh vực viễn thông ngày Việc phát triển IMS hứa hẹn đem lại cho khách hàng sở hạ tầng viễn thông đại hơn, cho phép thiết bị đầu cuối hội tụ nhiều chức năng, thời gian tạo lập dịch vụ rút ngắn rõ rệt Bên cạnh đó, IMS cung cấp cho khách hàng dịch vụ phong phú với chất lượng ngày nâng cao Sau thời gian nghiên cứu, đồ án em hoàn thành nội dung sau: • Giới thiệu tổng quan kiến trúc IMS phần tử chức giao thức sử dụng • Tìm hiểu giao thức Diameter trình nhận thực phân quyền toán IMS sử dụng giao thức Diameter • Tóm tắt thủ tục cần thiết để đảm bảo an ninh, trình nhận thực mã hóa để đảm bảo tính bảo mật IMS Do hạn chế thân rộng lớn vấn đề bảo mật Nên đồ án em nhiều thiếu xót Em mong thông cảm đóng góp thầy cô để em có hiểu biết đắn hoàn thiện Em xin chân thành cảm ơn Đồ án tốt nghiệp đại học Tài liệu tham khảo TÀI LIỆU THAM KHẢO Gonzalo Camarillo and Miguel A García – Martín, “The 3G IP Multimedia Subsystem (IMS)”, John Wiley & Sons Ltd, England, May 2006 3GPP TS 23.228, “IP Multimedia Subsystem Release 8”, June, 2007 3GPP TS 33.203, “3G Security; Access Security for IP-based services”, September 2007 3GPP TS 33.210, “Network Domain Security; IP Networt Security”, December 2006 ETSI ES 287 007, “IP Multimedia Subsystem (IMS)”, June 2006 http://en.wikipedia.org/wiki/Wiki