HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA VIỄN THÔNG - - BÀI TIỂU LUẬN KHÁI NIỆM IMS BỘ MÔN:BÁO HIỆU VÀ ĐIỀU KHIỂN Giảng viên: Hồng Trọng Minh Nhóm Họ tên sinh viên: 1.Nguyễn Văn Nhân - B18DCVT314 2.Phạm Thế Phú - B18DCVT322 3.Nguyễn Thị Minh Thư – B18DCVT419 Hà Nội, tháng 10 năm 2021 MỤC LỤC MỤC LỤC LỜI NÓI ĐẦU CÁC THUẬT NGỮ VIẾT TẮT DANH MỤC CÁC HÌNH VẼ CHƯƠNG I: Tổng quan IMS 10 Khái niệm IMS 10 Sự cần thiết IMS mạng NGN 11 3.Kết nối người dùng CS truyền thống người dùng IMS 13 3.1 Giới thiệu chung 13 3.2 Phiên khởi tạo IMS hướng tới người dùng mạng lõi CS 13 3.3: Phiên khởi tạo từ CS hướng tới người dùng IMS 15 4.Tương tác IPv4 IPv6 IMS 15 4.1 Giới thiệu IPv4 IPv6 IMS 15 4.2 Liên kết Ipv4 Ipv6 16 4.2.1 Xét tình miền 16 4.2.2 Xét tình liên miền 17 CHƯƠNG II Các khái niệm IMS 18 1.Khái niệm ISIM 18 2.Nhiệm vụ S-CSCF 19 2.1: Giới thiệu chung 19 2.2: Chức 19 3.Cơ chế kiểm soát lưu lượng 20 3.1: Giới thiệu chung 20 3.2 Gating and điều khiển QoS 21 3.3 Network bắt đầu kích hoạt người mang 22 3.4 Cách sử dụng điểm tham chiếu RX 22 Khái niệm Charging 23 4.1 Giới thiệu 23 4.2 Kiến trúc tính phí 24 Cung cấp dịch vụ 24 5.1 Khái niệm 24 5.2 Tạo tiêu chí lọc 25 5.3Lựa chọn AS 25 5.4 Hành vi AS 26 Chuyển vùng IMS 26 6.1 Khái niệm: 26 6.2 Giải pháp chuyển tuyến IMS cho PSTN / ISDN 27 6.3 Chức cảnh cho nhà khai thác nhà cung cấp dịch vụ khác chức cảnh mạng doanh nghiệp 27 Các phiển khẩn cấp IMS 28 7.1 Giới thiệu 28 7.2 Đăng kí khẩn cấp 30 7.3 Thiết lập phiên khẩn cấp 30 Nén SIP 30 8.1: Giới thiệu 30 8.2 Kiến trúc SigComp 31 8.3 Nén tin SIP IMS 32 Các loại ứng dụng dịch vụ IMS 34 9.1 Dịch vụ “Voice call liên tục” 34 9.1.1 Chức Voice call liên tục 35 9.1.2 Khởi tạo kết thúc phiên Voice call liên tục 35 9.1.3 Dịch vụ bổ sung 38 9.2 Các dịch vụ bảo mật IMS 39 9.2.1 Mơ hình bảo mật IMS 39 9.2.2 Xác thực 39 9.2.2.1 Tổng quan phương pháp xác thực IMS 39 9.2.2.2 Xác thực Thỏa thuận khóa (AKA) 40 9.2.2.3 Xác thực theo gói NASS-IMS (NBA) 42 9.2.3 Bảo mật miền mạng (NDS) 43 9.2.4 Các cổng bảo mật 43 9.2.5 Phân phối quản lí khóa 44 9.2.6 Bảo mật truy cập IMS cho dịch vụ dựa SIP 45 9.2.6.1 Tổng quan mơ hình tin cậy 45 9.2.6.2 Xử lý quyền riêng tư người dùng 45 9.2.6.3 Xác thực Thỏa thuận bảo mật 46 9.2.6.4 Bảo vệ tính bảo mật tính tồn vẹn 47 9.2.6.5 Quản lý phân phối 47 9.2.7 Bảo mật truy cập IMS cho dịch vụ dựa HTTP 47 9.2.7.1 Kiến trúc khởi động chung (GBA) 48 9.2.7.2 Xác thực quản lý khóa 48 9.2.7.3 Bảo vệ tính bảo mật tính tồn vẹn 48 9.3 Sự kết hợp Dịch vụ CS IMS - Dịch vụ Kết hợp 48 9.3.1 Giới thiệu 48 9.3.2 Trao đổi lực 49 9.3.3 Dịch vụ IMS CS song song 50 KẾT LUẬN 51 TÀI LIỆU THAM KHẢO 52 LỜI NÓI ĐẦU Trong năm qua xu hướng hội tụ mạng Internet, mạng di động mạng PSTN vấn đề quan tâm hàng đầu lĩnh vực thông tin liên lạc Nhiều kiến trúc đời trình phát triển hợp mạng với mục đích tạo mạng IP Phân hệ IP Multimedia Subsystem (IMS) kiến trúc đời xu phát triển IMS trở thành phân hệ mơ hình mạng hệ (NGN) tất hãng sản xuất thiết bị viễn thơng tổ chức chuẩn hóa giới Với IMS, người dùng liên lạc khắp nơi nhờ tính di động mạng di động đồng thời sử dụng dịch vụ hấp dẫn từ mạng Internet IMS thực trở thành chìa khóa để hợp mạng di động mạng Internet, phân hệ thiếu kiến trúc NGN Trong bối cảnh việc triển khai đề tài ”Phân hệ đa phương tiện IMS (IP Multimedia Subsystem)" cần thiết Mục tiêu tiểu luận tìm hiểu tổng quan IMS, kiến trúc phân hệ - giao thức IMS, dịch vụ triển khai đó, phân tích ưu nhược điểm khả triển khai IMS NGN, qua hiểu thấy tầm quan trọng phân hệ IMS kiến trúc mạng tương lai Nội dung chuyên đề bao gồm: ●Chương 1: Tổng quan IMS ●Chương 2: Các khái niệm IMS Do trình thực chuyên đề dựa lý thuyết tìm hiểu tài liệu, chưa tiếp xúc thực tế có mơ hình thực tiễn để tiếp cận hạn chế mặt thời gian nên nhiều vấn đề chưa thể trình bày rõ chắn không tránh khỏi thiếu sót Rất mong thơng cảm đóng góp ý kiến cô bạn để đề tài hoàn chỉnh Xin chân thành cảm ơn! CÁC THUẬT NGỮ VIẾT TẮT 3GPP 3GPP2 AAA AKA AS AUTN AVP BGCF BICC CDF CDR CGF CS CSCF DNS DSF DTF ENUM ETSI GAA GGSN GPRS GSM HSPA Third Generation Partnership Project Third Generation Partnership Project Authentication, Authorization, Accounting Authentication and Key Agreement Application Server Authentication Token Attribute Value Pair Breakout Gateway Control Function Bearer Independent Call Control Charging Data Function Call Detail Record Charging Gateway Function Circuit Switched Call session control function Dự án hợp tác hệ Domain Name System Dynamic Selection Frequency Dynamic Transfer Frequency Telephone E.164 Number Mapping European Telecommunications Standards Institute General Authentication Architecture Gateway GPRS Support Node General Packet Radio Service Hệ thống tên miền Lựa chọn miền động Chuyển miền động Lập đồ số điện thoại E.164 Global System for Mobile Communications High Speed Packet Access Hệ thống di động toàn cầu Dự án hợp tác hệ thứ ba Nhận thự trao quyền toán Xác thực khóa thỏa thuận Server ứng dụng Mã xác thực Cặp giá trị thuộc tính Chức điều khiển cổng chuyển mạng Mang điều khiển gọi độc lập Sạc liệu chức Bản ghi chi tiết gọi Chức cổng sạc Chuyển mạch kênh Chức điều khiển phiên gọi Viện chuẩn viễn thông châu Âu Kiến trúc xác thực chung Node hỗ trợ GPRS cổng Dịch vụ phát tổng hợp gói Truy cập gói tốc độ cao HSS IBCF Server thuê bao nhà Chức kiểm soát biên giới liên kết MS NDS Home subscriber server Interconnection Border Control Function Interrogating – CSCF Internet Engineering Task Force IP Multimedia subsystem IP Multimedia Subsystem Intergrated Serviec Digital Network IP Multimedia Services Identity Module ISDN User Part Long Term Evolution Media Gateway Control Function Media Gateway Control Function Mobile Station Network Domain Security NGN OCS PCC Next Generation Network Online Charging System Policy and Charging Control Mạng hệ Hệ thống sạc trực tuyến Kiểm sốt sách tính phí PCRF Policy and Charging Rules Function Packet Data Protocol Packet Switched; Presence Server Public Switch Telephone Network Public Switch Telephone Network Chức sách tính phí Quality of Service Session Description Protocol Session Initiation Protocol Chất lượng dịch vụ Giao thức mô tả phiên Giao thức khởi tạo phiên I-CSCF IETF IMS IMS: ISDN ISIM ISUP LTE MGCF MGCF PDP PS PSTN PSTN QoS SDP SIP CSCF – truy vấn Nhóm đặc trách kĩ thuật Inernet Phân hệ đa phương tiện IP Phân hệ đa phương tiện IP Mạng số tích hợp đa dịch vụ Một ứng dụng cư trú UICC Tiến hóa dài hạn Chức điều khiển cổng phương tiện Chức điều khiển cổng phương tiện Trạm di động Bảo mật miền mạng Giao thức liệu gói Gói chuyển đổi; Máy chủ diện Mạng điện thoại công cộng Mạng điện thoại công cộng TLS UA UDVM UE UICC UICC UMTS URI URN USIM VCC VoIP Transfer Layer Security User Agent Universal Data Voice Multiplexer User Equipment Universal Integrated Circuit Card Universal Integrated Circuit Card Universal Mobile Telecommunications System Uniform Resource Identifier Uniform Resource Name Bảo mật tầng truyền tải Đại lý người dùng Bộ ghép kênh thoại liệu phổ quát Universal Subscriber Identity Module Voice call continuity Voice over Internet Protocol Modul nhận dạng thuê bao UMTS Thiết bị người dùng Thẻ mạch tích hợp phổ dụng Tích hợp thẻ phổ mạch(thẻ sim) Hệ thống thơng tin di động tồn cầu Mã định danh tài nguyên thống Định danh tài nguyên thống Gọi thoại liên tục Truyền giọng nói qua giao thức IP DANH MỤC CÁC HÌNH VẼ Hình 1.1.Khả hội tụ mạng IMS Hình 1.2: Kiến trúc phân lớp phân hệ IMS Hình 1.3: Cấu hình liên kết IMS-CS Khi người dùng IMS gọi người dùng CS Hình 1.4: Cấu hình liên kết IMS-CS người dùng CS gọi người dùng IMS Hình 1.5: End-to-end and interconnection scenarios Hình 2.1 Ví dụ nhiệm vụ S-CSCF Hình 2.2: Cho thấy thực thể chức liên quan đến PCC Hình 2.3 Kiến trúc tính phí Hình 2.4 Giải pháp chuyển tuyến IMS cho PSTN / ISDN Hình 2.5 Mơ hình mạng chuyển vùng chung IMS Hình 2.6 Thiết lập phiên khẩn cấp IMS Hình 2.7 Kiến trúc nén báo hiệu Hình 2.8 Voice call liên tục Cuộc gọi khởi tạo IMS Hình 2.9 Voice call liên tục Cuộc gọi khởi tạo CS Hình 2.10 Voice call liên tục gọi kết thúc Hình 2.11 Kiến trúc bảo mật IMS Hình 2.12 Xác thực tham số thỏa thuận Hình 2.13 Minh họa mơ hình NDA / IP tổng thể Hình 2.14 Trao đổi khả gọi CS diễn Hình 2.15 Ví dụ cho kết nối song song kết hợp dịch vụ IMS CS CHƯƠNG I: Tổng quan IMS Khái niệm IMS IMS - thuật ngữ viết tắt IP Multimedia Subsystem, phần kiến trúc mạng hệ cấu thành phát triển tổ chức 3GPP 3GPP2 để hỗ trợ truyền thông đa phương tiện hội tụ thoại, video, audio với liệu hội tụ truy nhập 2G, 3G 4G với mạng không dây IMS kiến trúc mạng nhằm tạo thuận tiện cho việc phát triển phân phối dịch vụ đa phương tiện đến người dùng, họ kết nối thông qua mạng truy nhập IMS hỗ trợ nhiều phương thức truy nhập GSM, UMTS, CDMA2000, truy nhập hữu tuyến băng rộng cáp xDSL, cáp quang, cáp truyền hình, truy nhập vô tuyến băng rộng WLAN, WiMAX IMS tạo điều kiện cho hệ thống mạng khác tương vận (interoperability) với nhau, phần mạng xây dựng bổ sung cho mạng nhằm thực nhiệm vụ hội tụ mạng cung cấp dịch vụ đa phương tiện cho khách hàng đầu cuối IMS hỗ trợ nhiều loại hình dịch vụ khác nhau, bao gồm dịch vụ nhắn tin tức thời (Instant Messaging - IM), hội nghị truyền hình (Video Conferencing) Video theo yêu cầu (Video on Demand - VoD) IMS có khả cung cấp chế xác thực chuyển đổi mạng khác cho khách hàng di động Sau đó, tổ chức chuẩn hóa ITU, ETSI chọn IMS làm tảng cho mạng hội tụ Hình 1.1.Khả hội tụ mạng IMS 10 Hình 2.10 cho thấy cách kết thúc phiên hoạt động VCC kích hoạt mạng IMS Yêu cầu chuyển đến S-CSCF kết thúc theo nguyên tắc định tuyến IMS thông thường giải thích Phần 3.4 Đối với thuê bao VCC, nhà điều hành cần xác định tiêu chí lọc ban đầu phù hợp để định tuyến tất yêu cầu INVITE đến với phương tiện thoại tới ứng dụng VCC (Bước 3) Khi ứng dụng VCC nhận yêu cầu, phải cố định gọi để chuẩn bị cho yêu cầu chuyển giao xảy sau cần lựa chọn tùy chọn kết thúc sử dụng Có số điều kiện khác tính đến chọn CS IMS làm miền kết thúc Các điều kiện động có, ví dụ: trạng thái đăng ký UE CS và/hoặc IMS, loại mạng truy cập cuối biết (ví dụ: GERAN WLAN), thành phần phương tiện cung cấp phiên IMS đến, miền sử dụng gọi neo Ví dụ, điều kiện tĩnh khả UE đăng ký cho VoIP (người dùng có nhiều UE tất chúng thiết phải hỗ trợ VoIP), tùy chọn người dùng và/hoặc sách nhà điều hành Khi ứng dụng VCC chọn kết thúc qua miền IMS Bước 6a 7a xảy ra, tức ứng dụng VCC tự thêm điểm tiếp xúc gửi yêu cầu INVITE sửa đổi trở lại S-CSCF, sau thực kết thúc phiên IMS bình thường Khi ứng dụng VCC chọn kết thúc qua miền CS Bước 6b – 10b xảy Ứng dụng VCC nhận Số định tuyến miền CS (CSRN), sau sửa đổi yêu cầu INVITE cách chèn CSRN làm địa đích làm điểm liên lạc cuối gửi yêu cầu sửa đổi trở lại S-CSCF S-CSCF phân tích địa đích biết yêu cầu phải chuyển tới CS để làm vậy, chuyển yêu cầu đến MGCF thông qua BGCF Sau MGCF nhận yêu cầu, thực dịch giao thức dựa phân tích số CSRN tìm thấy VMSC xác phục vụ UE Cuối cùng, gửi tin địa ban đầu (IAM) đến VMSC để thực kết thúc gọi CS bình thường 9.1.3 Dịch vụ bổ sung Tất dịch vụ bổ sung trình thiết lập phiên gọi diễn cung cấp, ví dụ: chặn gọi, chuyển hướng 38 gọi Tuy nhiên, việc sử dụng chức VCC gặp hạn chế thực chuyển miền Theo kiến trúc 3GPP Release 7, dịch vụ bổ sung sau trì miền quy trình chuyển miền xảy ra: giữ gọi, gọi chờ, gọi hội nghị, gọi nhiều bên 3GPP cải tiến giải pháp Release hạng mục công việc gọi dịch vụ tập trung IMS 9.2 Các dịch vụ bảo mật IMS Phần nhằm giải thích cách hoạt động bảo mật IMS Cơ mật mã Các khái niệm kiến trúc bảo mật IMS hiểu mơ hình 9.2.1 Mơ hình bảo mật IMS Kiến trúc bảo mật IMS bao gồm ba khối xây dựng, minh họa Hình 3.41 Khối xây dựng Bảo mật miền mạng (NDS), cung cấp bảo mật IP miền nút khác miền Xếp lớp với NDS bảo mật truy cập IMS Bảo mật truy cập cho dịch vụ dựa SIP thành phần tự trì, ngoại trừ tham số bảo mật cho lấy từ Giao thức xác thực thỏa thuận khóa (AKA) UMTS AKA sử dụng cho mục đích khởi động - cụ thể là, khóa chứng có nguồn gốc từ thơng tin đăng nhập AKA sau sử dụng để bảo mật ứng dụng chạy Giao thức Truyền tải Siêu văn (hoặc Truyền tải) (HTTP), số thứ khác - gọi Kiến trúc xác thực chung (GAA) 9.2.2 Xác thực 9.2.2.1 Tổng quan phương pháp xác thực IMS Bất người dùng muốn truy cập vào mạng IMS nhà khai thác mạng nhà mình, người dùng xác thực, điều có nghĩa nhà mạng đảm bảo thực người dùng truy cập mạng người dùng độc hại Xác thực IMS đạt theo nhiều cách khác IMS, chủ yếu phụ thuộc vào công nghệ mạng truy cập sử dụng tùy chọn nhà khai thác mạng Các chế xác thực sau xác định IMS: • Thỏa thuận Khóa Xác thực 3GPP (AKA), sử dụng chế 3GPP AKA ,cũng sử dụng mạng CS GPRS hệ thứ ba 3GPP AKA dựa 39 bí mật chia sẻ người dùng (được lưu trữ thẻ UICC) mạng (được lưu trữ HSS) thực tự động mà không cần người dùng tương tác • Hệ thống truy cập mạng (NASS) -Xác thực kèm với IMS (NBA), phương pháp xác thực hầu hết sử dụng mạng cố định / TISPAN dựa vào bảo mật có sẵn lớp thấp để xác thực người dùng Trong trường hợp NBA khơng u cầu quy trình xác thực cụ thể IMS SIP • Xác thực gói GPRS-IMS (GIBA), trước gọi 'bảo mật IMS ban đầu', triển khai mạng dựa 3GPP chưa cung cấp sở hạ tầng cho bảo mật IMS đầy đủ, ví dụ: mạng có triển khai IMS ban đầu không sử dụng IPSec 3GPP AKA cho IMS GIBA dựa vào tính bảo mật lớp GPRS khơng u cầu thủ tục xác thực IMS SIP cụ thể • Từ 3GPP phát hành trở đi, thông báo HTTP phương thức xác thực IMS Nó dựa tên người dùng mật chia sẻ người dùng mạng (nơi lưu trữ HSS) Trong trường hợp thông báo HTTP, người dùng cần nhớ tên người dùng mật phải cung cấp chúng trình xác thực, tức khơng có nhớ giống UICC, cho phép xác thực tự động Hình 2.11 Kiến trúc bảo mật IMS 9.2.2.2 Xác thực Thỏa thuận khóa (AKA) Bảo mật IMS dựa khóa bí mật dài hạn, chia sẻ ISIM Trung tâm xác thực mạng gia đình (AUC) Khối xây dựng quan trọng 40 bảo mật IMS mô-đun ISIM, đóng vai trị lưu trữ bí mật chia sẻ (K) thuật toán AKA kèm, thường nhúng thiết bị dựa thẻ thông minh gọi Thẻ mạch tích hợp đa (UICC) Quyền truy cập vào bí mật chia sẻ bị hạn chế Mô-đun lấy tham số AKA làm đầu vào xuất tham số kết AKA thu Do đó, khơng tiết lộ bí mật chia sẻ thực với giới bên Thiết bị mà ISIM đặt có khả chống giả mạo, truy cập vật lý vào thiết bị khơng thể dẫn đến việc lộ khóa bí mật Để bảo vệ ISIM khỏi bị truy cập trái phép, người dùng thường phải tuân theo chế bảo mật miền người dùng Về chất, điều có nghĩa để chạy AKA ISIM, người dùng nhắc nhập mã PIN Sự kết hợp quyền sở hữu - tức quyền truy cập vào thiết bị vật lý (UICC / ISIM) kiến thức mã PIN bí mật - làm cho kiến trúc bảo mật IMS trở nên mạnh mẽ Kẻ công bắt buộc phải sở hữu 'thứ bạn sở hữu' 'thứ bạn biết', điều khó, miễn người dùng di động có mức độ cẩn thận định AKA hoàn thành xác thực lẫn ISIM AUC, đồng thời thiết lập cặp khóa mật mã khóa tồn vẹn Quy trình xác thực mạng thiết lập cách sử dụng yêu cầu xác thực có chứa thử thách ngẫu nhiên (RAND) mã thông báo xác thực mạng (AUTN) ISIM xác minh AUTN làm xác minh tính xác thực mạng Mỗi đầu trì số thứ tự cho vòng thủ tục xác thực Nếu ISIM phát yêu cầu xác thực có số thứ tự nằm ngồi phạm vi, ISIM hủy bỏ xác thực báo cáo lại mạng thơng báo lỗi đồng hóa, bao gồm số thứ tự xác Đây khái niệm cấp cao khác, cung cấp khả bảo vệ chống phát lại AKA hoàn thành xác thực lẫn ISIM AUC, đồng thời thiết lập cặp khóa mật mã khóa tồn vẹn Quy trình xác thực mạng thiết lập cách sử dụng yêu cầu xác thực có chứa thử thách ngẫu nhiên (RAND) mã thông báo xác thực mạng (AUTN) ISIM xác minh AUTN làm xác minh tính xác thực mạng Mỗi đầu trì số thứ tự cho vịng thủ 41 tục xác thực Nếu ISIM phát yêu cầu xác thực có số thứ tự nằm ngồi phạm vi, ISIM hủy bỏ xác thực báo cáo lại mạng thơng báo lỗi đồng hóa, bao gồm số thứ tự xác Đây khái niệm cấp cao khác cung cấp khả bảo vệ chống phát lại Hình 2.12 Xác thực tham số thỏa thuận 9.2.2.3 Xác thực theo gói NASS-IMS (NBA) Trong TISPAN NGN, IMS UE thường gắn qua liên kết trực tiếp đến Hệ thống truy cập mạng (NASS), hệ thống cung cấp truyền tải lớp (chẳng hạn IP) UE mạng Bằng phương pháp mà UE xác thực NASS lớp thấp không xử lý chi tiết đây, có số khả khác Ví dụ: UE xác thực phương tiện thơng báo HTTP Một ví dụ khác là, thực PSTN UE kế thừa truy cập vào NASS cổng, nằm UE NASS, dịch thủ tục PSTN IP NASS thuộc mạng truy cập (tức nằm UE P-CSCF) bao gồm nhiều phần tử mạng khác (tạo thành hệ thống con), chưa xem xét kỹ UE TISPAN NGN giả định có kết nối cố định với NGN, kết nối không thay đổi vĩnh viễn, chẳng hạn mạng di động (ví dụ: 42 mạng 3GPP UMTS) Khi UE bật, yêu cầu địa IP từ NASS địa gán, UE xác thực lớp UE xác định từ nhận dạng dịng cấu hình (line-id) lưu trữ NASS sử dụng xử lý cho người dùng xác thực 9.2.3 Bảo mật miền mạng (NDS) Một điểm yếu xác định hệ thống 2G thiếu giải pháp bảo mật tiêu chuẩn hóa cho mạng lõi Mặc dù truy cập vô tuyến từ thiết bị đầu cuối di động đến trạm gốc thường bảo vệ mã hóa, nút phần lại hệ thống truyền lưu lượng truy cập cách rõ ràng Đôi liên kết chí chạy qua bước nhảy vơ tuyến khơng bảo vệ, kẻ cơng có quyền truy cập vào phương tiện dễ dàng nghe trộm thông tin liên lạc Rút kinh nghiệm từ thiếu sót 2G, hệ thống 3G đặt mục tiêu bảo vệ tất lưu lượng IP mạng lõi Bảo mật miền mạng (NDS) thực điều cách cung cấp tính bảo mật, tồn vẹn liệu, xác thực bảo vệ chống phát lại cho lưu lượng, sử dụng kết hợp chế bảo mật mật mã chế bảo mật giao thức áp dụng bảo mật IP (IPsec) 9.2.4 Các cổng bảo mật Lưu lượng vào khỏi miền bảo mật qua Cổng bảo mật (SEG) SEG nằm biên giới miền bảo mật chuyển hướng lưu lượng truy cập tới tập hợp miền bảo mật khác xác định Đây gọi mơ hình trung tâm; cung cấp bảo mật bước miền bảo mật SEG chịu trách nhiệm thực thi sách bảo mật chuyển lưu lượng truy cập miền bảo mật Việc thực thi sách bao gồm chức lọc gói tường lửa, chức trách nhiệm quản trị viên miền Trong IMS, tất lưu lượng mạng lõi IMS định tuyến qua SEG, đặc biệt lưu lượng liên miền, nghĩa bắt nguồn từ miền bảo mật khác với miền 43 mà nhận Khi bảo vệ lưu lượng IMS liên miền, tính bảo mật tính tồn vẹn liệu xác thực yêu cầu NDS / IP 9.2.5 Phân phối quản lí khóa Mỗi SEG chịu trách nhiệm thiết lập trì Hiệp hội Bảo mật IPsec (SA) với SEG ngang hàng Các SA thương lượng cách sử dụng giao thức Internet Key Exchange (IKE) nơi xác thực thực cách sử dụng khóa dài hạn lưu trữ SEG Tổng số hai SA cho kết nối ngang hàng SEG trì: cho lưu lượng đến cho lưu lượng Ngoài ra, SEG trì Hiệp hội Bảo mật Internet Giao thức Quản lý Khóa (ISAKMP) SA, liên quan đến quản lý khóa sử dụng để xây dựng IPsec SA thực tế máy chủ ngang hàng Một điều kiện tiên quan trọng ISAKMP SA đồng nghiệp phải xác thực Hình 2.13 Minh họa mơ hình NDA / IP tổng thể Giao thức bảo mật sử dụng NDS / IP để mã hóa, bảo vệ tồn vẹn liệu xác thực IPsec Encapsulation Payload (ESP) chế độ đường hầm Trong chế độ đường hầm ESP, datagram IP đầy đủ bao gồm tiêu đề IP đóng gói gói ESP Để mã hóa, thuật tốn 3DES bắt buộc, để xác thực tồn vẹn liệu, MD5 SHA-1 sử dụng 44 9.2.6 Bảo mật truy cập IMS cho dịch vụ dựa SIP SIP cốt lõi IMS, sử dụng để tạo, quản lý kết thúc loại phiên đa phương tiện khác Điều quan trọng cần đạt việc đảm bảo quyền truy cập vào IMS bảo vệ tín hiệu SIP IMS 9.2.6.1 Tổng quan mơ hình tin cậy IMS thiết lập miền tin cậy, mô tả trong, bao gồm phần tử IMS sau: • P / I / S-CSCF; • BGCF; • MGCF / MRFC; • Tất AS khơng nằm kiểm sốt bên thứ ba Thành phần tin cậy danh tính: để tin cậy thực thể truy cập IMS, cần phải có mối quan hệ thiết lập với thực thể (tức danh tính biết xác minh) Trong IMS, danh tính chuyển nút miền tin cậy dạng nhận dạng xác nhận UE nêu ưu tiên cho danh tính tồn nhiều danh tính; cuối cùng, biên giới miền tin cậy (cụ thể P-CSCF) mà danh tính xác nhận định Ngược lại, PCSCF đóng vai trò trung tâm việc xác thực UE Mức độ tin cậy liên quan đến hành vi mong đợi thực thể Ví dụ, Alice biết Bob tin tưởng đưa cô học Cô mong đợi biết Bob hành động có trách nhiệm như: lái xe an tồn, v.v Nhưng khơng đủ tin tưởng Bob để cấp cho quyền truy cập vào tài khoản ngân hàng cô 9.2.6.2 Xử lý quyền riêng tư người dùng Các khái niệm miền tin cậy danh tính xác nhận cho phép chuyển danh tính khẳng định người dùng, có khả đến thực thể không thuộc miền tin cậy Điều tạo vấn đề quyền riêng tư rõ ràng, thực tế, người dùng u cầu danh tính họ giữ riêng tư nội miền tin cậy 45 Trong IMS, người dùng u cầu khơng tiết lộ danh tính họ cho thực thể bên miền tin cậy Điều dựa phần mở rộng quyền riêng tư SIP Một UE chèn tùy chọn quyền riêng tư vào trường tiêu đề quyền riêng tư, trường sau mạng kiểm tra Các giá trị có cho tiêu đề là: • Người dùng - cho biết mạng phải cung cấp chức riêng tư cấp độ người dùng • Tiêu đề - cho biết UA yêu cầu áp dụng quyền riêng tư header cho tin Điều có nghĩa tất tiêu đề nhạy cảm quyền riêng tư bị che khuất khơng có tiêu đề nhạy cảm khác thêm vào • Phiên - UA yêu cầu liệu nhạy cảm quyền riêng tư bị che khuất phiên (tức tải trọng SDP thơng báo) • Critical - chế quyền riêng tư yêu cầu quan trọng Nếu chế số khơng khả dụng, u cầu khơng thành cơng • ID - người dùng yêu cầu danh tính xác nhận họ giữ bên miền tin cậy Trên thực tế, việc đặt giá trị có nghĩa trường tiêu đề PAsserted-Identity phải loại bỏ khỏi thư rời khỏi miền tin cậy • None - UA u cầu rõ ràng khơng có chế bảo mật áp dụng cho yêu cầu 9.2.6.3 Xác thực Thỏa thuận bảo mật Xác thực truy cập IMS dựa giao thức AKA Tuy nhiên, giao thức AKA chạy trực tiếp qua IP; thay vào đó, cần phương tiện để thực thông điệp giao thức UE mạng gia đình Rõ ràng, tồn mục tiêu xác thực truy cập IMS xác thực cho truy cập SIP, SIP lựa chọn tự nhiên cho phương tiện Trên thực tế, cách thức mà giao thức AKA đào bên SIP định Điều xác định định dạng thông báo quy trình sử dụng AKA làm hệ thống mật xác thực thơng báo cho quy trình đăng ký SIP Thử thách thông 46 báo bắt nguồn từ mạng chứa tham số RAND AUTN AKA, mã hóa giá trị nonce máy chủ Thử thách chứa thị thuật toán đặc biệt hướng dẫn khách hàng sử dụng giao thức AKA cho thử thách cụ thể RES sử dụng làm mật tính tốn thơng tin xác thực thơng báo, có nghĩa khung thơng báo sử dụng theo cách đặc biệt để tạo đường hầm cho giao thức AKA bảo mật truy cập IMS 9.2.6.4 Bảo vệ tính bảo mật tính tồn vẹn Trong bảo mật truy cập IMS, tính bảo mật tính tồn vẹn liệu xác thực bắt buộc Giao thức sử dụng để cung cấp chúng IPsec ESP Các khóa phiên AKA sử dụng làm khóa cho ESP SA IK sử dụng làm khóa xác thực CK làm khóa mã hóa Đương nhiên, tùy thuộc vào độ dài khóa theo yêu cầu thuật toán mật mã sử dụng ESP, số chức mở rộng khóa định sử dụng khóa phiên AKA 9.2.6.5 Quản lý phân phối Như mơ tả chương trước, P-CSCF nằm mạng truy cập Theo giao thức AKA, bí mật chia sẻ truy cập mạng gia đình, điều có nghĩa là, xác thực cần diễn mạng gia đình, ủy quyền trách nhiệm định cần định cho P-CSCF, với tư cách IPsec SA tồn P-CSCF UE Trên thực tế, xác thực IMS diễn mạng gia đình, khóa phiên tạo xác thực AKA sử dụng ESP gửi đến P-CSCF gắn đầu tin đăng ký SIP 9.2.7 Bảo mật truy cập IMS cho dịch vụ dựa HTTP Song song với lưu lượng SIP, cần có UE để quản lý liệu liên quan đến ứng dụng IMS định Giao diện Ut lưu trữ giao thức cần thiết cho chức Bảo mật giao diện Ut liên quan đến tính bảo mật tính tồn vẹn liệu lưu 47 lượng truy cập dựa HTTP Như đề cập trước đây, xác thực người dùng thiết lập khóa cho giao diện Ut dựa AKA 9.2.7.1 Kiến trúc khởi động chung (GBA) Là phần GAA, 3GPP IMS xác định Kiến trúc khởi động chung (GBA) Chức máy chủ khởi động (BSF) UE thực xác thực lẫn dựa AKA, cho phép UE khởi động khóa phiên từ sở hạ tầng 3G Khóa phiên kết AKA cho phép ứng dụng khác cung cấp Chức ứng dụng mạng (NAF) Một ví dụ NAF cấp chứng người đăng ký sử dụng giao thức ứng dụng bảo mật khóa phiên khởi động 9.2.7.2 Xác thực quản lý khóa Xác thực giao diện Ut thực phần tử chuyên biệt, gọi ‘proxy xác thực’ Về mặt GBA, proxy xác thực loại NAF khác Lưu lượng giao diện Ut qua proxy xác thực bảo mật khóa phiên khởi động 9.2.7.3 Bảo vệ tính bảo mật tính tồn vẹn Giao diện Ut sử dụng Bảo mật tầng truyền tải (TLS) để bảo vệ tính bảo mật tính tồn vẹn 9.3 Sự kết hợp Dịch vụ CS IMS - Dịch vụ Kết hợp 9.3.1 Giới thiệu Trong IMS thiết kế hệ thống độc lập để cung cấp dịch vụ đa phương tiện cho người dùng, sử dụng để cung cấp chức bổ sung mạng điện thoại có Trong giai đoạn đầu việc triển khai IMS, người dùng mạng di động chủ yếu sử dụng miền CS mạng di động cho phiên âm Trong gọi CS vậy, IMS không bắt buộc phải cung cấp dịch vụ - tức kết nối báo hiệu phương tiện hai người dùng, QoS 48 Nhưng gọi CS hưởng lợi từ khả cung cấp dịch vụ linh hoạt rộng rãi IMS Công việc 3GPP bắt đầu gần đây, để kích hoạt gọi 'các dịch vụ kết hợp' Vì cơng việc thực thời điểm viết bài, nên nguyên tắc Để kích hoạt kết hợp dịch vụ vậy, trước tiên hai UE cần nhận thức khả hỗ trợ đầu Phần cách khả liên quan đến IMS trao đổi sau gọi CS thiết lập hai người dùng Nó làm nào, dựa trao đổi khả năng, dịch vụ IMS gọi để tăng cường gọi CS diễn 9.3.2 Trao đổi lực Chúng giả định người dùng, Tobias Theresa, người đăng ký từ UE Điều thực để tránh trường hợp bẻ khóa Cả Theresa Tobias có ứng dụng dựa IMS cài đặt UE họ cho phép họ chia sẻ luồng video thời gian thực ngồi gọi thoại CS có Ứng dụng ngang hàng hoạt động ứng dụng có mặt hai UE Để cung cấp trải nghiệm người dùng quán, mục menu cho "chia sẻ video" hiển thị cho Theresa Tobias, UE họ xác minh ứng dụng hỗ trợ đầu từ xa Hình 2.14 Trao đổi khả gọi CS diễn 49 9.3.3 Dịch vụ IMS CS song song Sau trao đổi khả năng, người dùng bắt đầu chia sẻ video trực tiếp Trong ví dụ chúng tơi, Theresa muốn gửi video cho Tobias Thiết lập phiên hai người dùng hoạt động mô tả Phần 11.10 (Thiết lập phiên thay thế) Sau phiên thiết lập, Theresa gửi luồng video qua GPRS tới Tobias Hình 2.15 Ví dụ cho kết nối song song kết hợp dịch vụ IMS CS Hình 2.15 cho thấy kết nối tồn song song Kết nối dựa SIP hai người dùng giải phóng gọi CS diễn ứng dụng chia sẻ video tự động giải phóng sau gọi CS kết thúc Đây hoàn toàn hành vi dành riêng cho ứng dụng 50 KẾT LUẬN IMS tiêu điểm thảo luận tổ chức chuẩn hóa viễn thơng cơng ty điện tử tin học, với phạm vi đề tài khơng thể trình bày hết khía cạnh IMS, đề tài đưa nhìn tổng quan IMS, qua thấy vai trị chức kiến trúc mạng NGN Việc xây dựng mạng lõi IMS kiến trúc NGN nhu cầu tất yếu, phù hợp với xu phát triển ngành viễn thông, mở cánh cửa cho hội tụ di động – cố định với khả đa truy nhập cung cấp nhiều loại hình dịch vụ khác tảng mạng nhất, đáp ứng nhu cầu ngày cao người sử dụng Trong tiến trình phát triển chuẩn hóa IMS, cịn nhiều vấn đề cần tìm hiểu Hướng phát triển đề tài sâu vào tìm hiểu thủ tục giao diện IMS để hỗ trợ ứng dụng đa phương tiện IP, nghiên cứu đưa giải pháp cho vấn đề bảo mật IMS… Do trình thực chuyên đề dựa lý thuyết tìm hiểu tài liệu, chưa tiếp xúc thực tế có mơ hình thực tiễn để tiếp cận hạn chế mặt thời gian nên nhiều vấn đề chưa thể trình bày rõ chắn khơng tránh khỏi thiếu sót Rất mong thơng cảm đóng góp ý kiến bạn để tiểu luận hoàn chỉnh Chân thành cảm ơn 51 TÀI LIỆU THAM KHẢO Bài giảng BÁO HIỆU ĐIỀU KHIỂN (stu.ver) IP Multimedia Concepts and Services-Wiley (2009) 52 ... mạng IMS Hình 1.2: Kiến trúc phân lớp phân hệ IMS Hình 1.3: Cấu hình liên kết IMS- CS Khi người dùng IMS gọi người dùng CS Hình 1.4: Cấu hình liên kết IMS- CS người dùng CS gọi người dùng IMS Hình... trung IMS 9.2 Các dịch vụ bảo mật IMS Phần nhằm giải thích cách hoạt động bảo mật IMS Cơ mật mã Các khái niệm kiến trúc bảo mật IMS hiểu mơ hình 9.2.1 Mơ hình bảo mật IMS Kiến trúc bảo mật IMS. .. dụ giao thức SIP Sự cần thiết IMS mạng NGN IMS phần kiến trúc mạng hệ NGN.Vị trí IMS mạng hệ sau NGN thể hình vẽ sau : Hình 1.2: Kiến trúc phân lớp phân hệ IMS 11 IMS kiến trúc mạng mà định nghĩa