BÀI TIỂU LUẬN KHÁI NIỆM IMS BỘ MÔN:BÁO HIỆU VÀ ĐIỀU KHIỂN Giảng viên: Hoàng Trọng Minh Hà Nội, tháng 10 năm 2021 MỤC LỤC MỤC LỤC 2 LỜI NÓI ĐẦU 5 CÁC THUẬT NGỮ VIẾT TẮT 6 DANH MỤC CÁC HÌNH VẼ 9 CHƯƠNG I: Tổng quan về IMS 10 1. Khái niệm IMS 10 2. Sự cần thiết của IMS trong mạng NGN 11 3. Kết nối giữa người dùng CS truyền thống và người dùng IMS 13 3.1 Giới thiệu chung 13 3.2. Phiên khởi tạo IMS hướng tới người dùng trong mạng lõi CS 13 3.3: Phiên khởi tạo từ CS hướng tới người dùng trong IMS 15 4. Tương tác giữa IPv4 và IPv6 trong IMS 15 4.1 Giới thiệu về IPv4 và IPv6 trong IMS 15 4.2 Liên kết giữa Ipv4 và Ipv6 16 4.2.1 Xét các tình huống trong miền 16 4.2.2 Xét các tình huống liên miền 17 CHƯƠNG II. Các khái niệm trong IMS. 18 1. Khái niệm cơ bản về ISIM 18 2. Nhiệm vụ S-CSCF 19 2.1 : Giới thiệu chung 19 2.2 : Chức năng 19 3. Cơ chế kiểm soát lưu lượng 20 3.1 : Giới thiệu chung 20 3.2 Gating and điều khiển QoS 21 3.3 Network bắt đầu kích hoạt người mang 22 3.4 Cách sử dụng điểm tham chiếu RX 22 4. Khái niệm Charging 23 4.1 Giới thiệu 23 4.2 Kiến trúc tính phí 24 5. Cung cấp dịch vụ 24 5.1 Khái niệm 24 5.2 Tạo tiêu chí bộ lọc 25 5.3 Lựa chọn AS 25 5.4 Hành vi AS 26 6. Chuyển vùng IMS 26 6.1 Khái niệm 26 6.2 Giải pháp chuyển tuyến IMS cho PSTN / ISDN 27 6.3 Chức năng quá cảnh cho các nhà khai thác và nhà cung cấp dịch vụ khác và chức năng quá cảnh đối với các mạng doanh nghiệp 27 7. Các phiển khẩn cấp IMS. 28 7.1 Giới thiệu 28 7.2. Đăng kí khẩn cấp 30 7.3. Thiết lập phiên khẩn cấp 30 8. Nén SIP 30 8.1 : Giới thiệu 30 8.2. Kiến trúc SigComp 31 8.3. Nén một bản tin SIP trong IMS 32 9. Các loại ứng dụng dịch vụ IMS. 34 9.1. Dịch vụ “Voice call liên tục”. 34 9.1.1. Chức năng của Voice call liên tục 35 9.1.2. Khởi tạo và kết thúc phiên Voice call liên tục 35 9.1.3. Dịch vụ bổ sung 38 9.2. Các dịch vụ bảo mật trong IMS 39 9.2.1. Mô hình bảo mật IMS 39 9.2.2. Xác thực. 39 9.2.2.1. Tổng quan về phương pháp xác thực của IMS 39 9.2.2.2. Xác thực và Thỏa thuận khóa (AKA). 40 9.2.2.3. Xác thực theo gói NASS-IMS (NBA) 42 9.2.3. Bảo mật miền mạng (NDS) 43 9.2.4. Các cổng bảo mật 43 9.2.5. Phân phối và quản lí khóa 44 9.2.6. Bảo mật truy cập IMS cho các dịch vụ dựa trên SIP 45 9.2.6.1. Tổng quan về mô hình tin cậy. 45 9.2.6.2. Xử lý quyền riêng tư của người dùng 45 9.2.6.3. Xác thực và Thỏa thuận bảo mật 46 9.2.6.4. Bảo vệ tính bảo mật và tính toàn vẹn 47 9.2.6.5. Quản lý và phân phối chính 47 9.2.7. Bảo mật truy cập IMS cho các dịch vụ dựa trên HTTP 47 9.2.7.1. Kiến trúc khởi động chung (GBA). 48 9.2.7.2. Xác thực và quản lý khóa 48 9.2.7.3. Bảo vệ tính bảo mật và tính toàn vẹn 48 9.3. Sự kết hợp của Dịch vụ CS và IMS - Dịch vụ Kết hợp 48 9.3.1. Giới thiệu 48 9.3.2. Trao đổi năng lực. 49 9.3.3. Dịch vụ IMS và CS song song 50 KẾT LUẬN 51 TÀI LIỆU THAM KHẢO 52 LỜI NÓI ĐẦU Trong những năm qua xu hướng hội tụ mạng Internet, mạng di động và mạng PSTN đang là vấn đề được quan tâm hàng đầu trong lĩnh vực thông tin liên lạc. Nhiều kiến trúc mới đã ra đời trong quá trình phát triển hợp nhất các mạng với mục đích tạo ra một mạng IP duy nhất. Phân hệ IP Multimedia Subsystem (IMS) là một trong những kiến trúc đã ra đời trong xu thế phát triển đó. IMS trở thành một phân hệ trong mô hình mạng thế hệ mới (NGN) của tất cả các hãng sản xuất các thiết bị viễn thông và các tổ chức chuẩn hóa trên thế giới. Với IMS, người dùng có thể liên lạc khắp mọi nơi nhờ tính di động của mạng di động và đồng thời có thể sử dụng những dịch vụ hấp dẫn từ mạng Internet. IMS đã thực sự trở thành chìa khóa để hợp nhất mạng di động và mạng Internet, là một phân hệ không thể thiếu trong kiến trúc NGN. Trong bối cảnh như vậy việc triển khai đề tài ”Phân hệ đa phương tiện IMS (IP Multimedia Subsystem)" là rất cần thiết. Mục tiêu của tiểu luận này là tìm hiểu tổng quan về IMS, kiến trúc phân hệ - các giao thức IMS, các dịch vụ có thể được triển khai trong đó, phân tích những ưu nhược điểm và khả năng triển khai IMS trong NGN, qua đó có thể hiểu và thấy được tầm quan trọng của phân hệ IMS trong kiến trúc mạng tương lai. Nội dung của chuyên đề bao gồm: ●Chương 1: Tổng quan về IMS ●Chương 2: Các khái niệm trong IMS Do quá trình thực hiện chuyên đề chỉ dựa trên lý thuyết và tìm hiểu tài liệu, chưa được tiếp xúc thực tế và có các mô hình thực tiễn để tiếp cận và còn hạn chế về mặt thời gian nên nhiều vấn đề chưa thể trình bày rõ và chắc chắn không tránh khỏi những thiếu sót. Rất mong được sự thông cảm và đóng góp ý kiến của cô và các bạn để đề tài được hoàn chỉnh hơn. Xin chân thành cảm ơn!
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA VIỄN THÔNG - - BÀI TIỂU LUẬN KHÁI NIỆM IMS BỘ MÔN:BÁO HIỆU VÀ ĐIỀU KHIỂN Giảng viên: Hoàng Trọng Minh Hà Nội, tháng 10 năm 2021 MỤC LỤC MỤC LỤC LỜI NÓI ĐẦU CÁC THUẬT NGỮ VIẾT TẮT DANH MỤC CÁC HÌNH VẼ .9 CHƯƠNG I: Tổng quan IMS 10 Khái niệm IMS 10 Sự cần thiết IMS mạng NGN 11 Kết nối người dùng CS truyền thống người dùng IMS .13 3.1 Giới thiệu chung 13 3.2 Phiên khởi tạo IMS hướng tới người dùng mạng lõi CS 13 3.3: Phiên khởi tạo từ CS hướng tới người dùng IMS 15 4.Tương tác IPv4 IPv6 IMS 15 4.1 Giới thiệu IPv4 IPv6 IMS 15 4.2 Liên kết Ipv4 Ipv6 16 4.2.1 Xét tình miền 16 4.2.2 Xét tình liên miền 17 CHƯƠNG II Các khái niệm IMS 18 Khái niệm ISIM 18 Nhiệm vụ S-CSCF 19 2.1 : Giới thiệu chung 19 2.2 : Chức 19 Cơ chế kiểm soát lưu lượng 20 3.1 : Giới thiệu chung 20 3.2 Gating and điều khiển QoS 21 3.3 Network bắt đầu kích hoạt người mang .22 3.4 Cách sử dụng điểm tham chiếu RX 22 Khái niệm Charging 23 4.1 Giới thiệu 23 4.2 Kiến trúc tính phí 24 Cung cấp dịch vụ 24 5.1 Khái niệm 24 5.2 Tạo tiêu chí lọc 25 5.3 Lựa chọn AS 25 5.4 Hành vi AS 26 Chuyển vùng IMS 26 6.1 Khái niệm 26 6.2 Giải pháp chuyển tuyến IMS cho PSTN / ISDN 27 6.3 Chức cảnh cho nhà khai thác nhà cung cấp dịch vụ khác chức cảnh mạng doanh nghiệp 27 Các phiển khẩn cấp IMS 28 7.1 Giới thiệu 28 7.2 Đăng kí khẩn cấp 30 7.3 Thiết lập phiên khẩn cấp 30 Nén SIP .30 8.1 : Giới thiệu 30 8.2 Kiến trúc SigComp 31 8.3 Nén tin SIP IMS 32 Các loại ứng dụng dịch vụ IMS .34 9.1 Dịch vụ “Voice call liên tục” 34 9.1.1 Chức Voice call liên tục 35 9.1.2 Khởi tạo kết thúc phiên Voice call liên tục .35 9.1.3 Dịch vụ bổ sung 38 9.2 Các dịch vụ bảo mật IMS 39 9.2.1 Mơ hình bảo mật IMS 39 9.2.2 Xác thực 39 9.2.2.1 Tổng quan phương pháp xác thực IMS 39 9.2.2.2 Xác thực Thỏa thuận khóa (AKA) 40 9.2.2.3 Xác thực theo gói NASS-IMS (NBA) 42 9.2.3 Bảo mật miền mạng (NDS) 43 9.2.4 Các cổng bảo mật 43 9.2.5 Phân phối quản lí khóa 44 9.2.6 Bảo mật truy cập IMS cho dịch vụ dựa SIP .45 9.2.6.1 Tổng quan mơ hình tin cậy 45 9.2.6.2 Xử lý quyền riêng tư người dùng 45 9.2.6.3 Xác thực Thỏa thuận bảo mật 46 9.2.6.4 Bảo vệ tính bảo mật tính tồn vẹn 47 9.2.6.5 Quản lý phân phối 47 9.2.7 Bảo mật truy cập IMS cho dịch vụ dựa HTTP 47 9.2.7.1 Kiến trúc khởi động chung (GBA) 48 9.2.7.2 Xác thực quản lý khóa 48 9.2.7.3 Bảo vệ tính bảo mật tính toàn vẹn 48 9.3 Sự kết hợp Dịch vụ CS IMS - Dịch vụ Kết hợp 48 9.3.1 Giới thiệu 48 9.3.2 Trao đổi lực 49 9.3.3 Dịch vụ IMS CS song song 50 KẾT LUẬN 51 TÀI LIỆU THAM KHẢO 52 LỜI NÓI ĐẦU Trong năm qua xu hướng hội tụ mạng Internet, mạng di động mạng PSTN vấn đề quan tâm hàng đầu lĩnh vực thông tin liên lạc Nhiều kiến trúc đời trình phát triển hợp mạng với mục đích tạo mạng IP Phân hệ IP Multimedia Subsystem (IMS) kiến trúc đời xu phát triển IMS trở thành phân hệ mơ hình mạng hệ (NGN) tất hãng sản xuất thiết bị viễn thơng tổ chức chuẩn hóa giới Với IMS, người dùng liên lạc khắp nơi nhờ tính di động mạng di động đồng thời sử dụng dịch vụ hấp dẫn từ mạng Internet IMS thực trở thành chìa khóa để hợp mạng di động mạng Internet, phân hệ thiếu kiến trúc NGN Trong bối cảnh việc triển khai đề tài ”Phân hệ đa phương tiện IMS (IP Multimedia Subsystem)" cần thiết Mục tiêu tiểu luận tìm hiểu tổng quan IMS, kiến trúc phân hệ - giao thức IMS, dịch vụ triển khai đó, phân tích ưu nhược điểm khả triển khai IMS NGN, qua hiểu thấy tầm quan trọng phân hệ IMS kiến trúc mạng tương lai Nội dung chuyên đề bao gồm: ●Chương 1: Tổng quan IMS ●Chương 2: Các khái niệm IMS Do trình thực chuyên đề dựa lý thuyết tìm hiểu tài liệu, chưa tiếp xúc thực tế có mơ hình thực tiễn để tiếp cận cịn hạn chế mặt thời gian nên nhiều vấn đề chưa thể trình bày rõ chắn khơng tránh khỏi thiếu sót Rất mong thơng cảm đóng góp ý kiến bạn để đề tài hoàn chỉnh Xin chân thành cảm ơn! CÁC THUẬT NGỮ VIẾT TẮT 3GPP 3GPP2 AAA AKA AS AUTN AVP BGCF BICC CDF CDR CGF CS CSCF DNS DSF DTF ENUM ETSI GAA GGSN GPRS GSM HSPA HSS Third Generation Partnership Project Third Generation Partnership Project Authentication, Authorization, Accounting Authentication and Key Agreement Application Server Authentication Token Attribute Value Pair Breakout Gateway Control Function Bearer Independent Call Control Charging Data Function Call Detail Record Charging Gateway Function Circuit Switched Call session control function Dự án hợp tác hệ Domain Name System Dynamic Selection Frequency Dynamic Transfer Frequency Telephone E.164 Number Mapping European Telecommunications Standards Institute General Authentication Architecture Gateway GPRS Support Node General Packet Radio Service Hệ thống tên miền Lựa chọn miền động Chuyển miền động Lập đồ số điện thoại E.164 Global System for Mobile Communications High Speed Packet Access Home subscriber server Hệ thống di động toàn cầu Dự án hợp tác hệ thứ ba Nhận thự trao quyền tốn Xác thực khóa thỏa thuận Server ứng dụng Mã xác thực Cặp giá trị thuộc tính Chức điều khiển cổng chuyển mạng Mang điều khiển gọi độc lập Sạc liệu chức Bản ghi chi tiết gọi Chức cổng sạc Chuyển mạch kênh Chức điều khiển phiên gọi Viện chuẩn viễn thông châu Âu Kiến trúc xác thực chung Node hỗ trợ GPRS cổng Dịch vụ phát tổng hợp gói Truy cập gói tốc độ cao Server thuê bao nhà IBCF Chức kiểm soát biên giới liên kết MS NDS Interconnection Border Control Function Interrogating – CSCF Internet Engineering Task Force IP Multimedia subsystem IP Multimedia Subsystem Intergrated Serviec Digital Network IP Multimedia Services Identity Module ISDN User Part Long Term Evolution Media Gateway Control Function Media Gateway Control Function Mobile Station Network Domain Security NGN OCS PCC Next Generation Network Online Charging System Policy and Charging Control Mạng hệ Hệ thống sạc trực tuyến Kiểm sốt sách tính phí PCRF Policy and Charging Rules Function Packet Data Protocol Packet Switched; Presence Server Public Switch Telephone Network Public Switch Telephone Network Chức sách tính phí Quality of Service Session Description Protocol Session Initiation Protocol Transfer Layer Security User Agent Chất lượng dịch vụ Giao thức mô tả phiên Giao thức khởi tạo phiên Bảo mật tầng truyền tải Đại lý người dùng I-CSCF IETF IMS IMS: ISDN ISIM ISUP LTE MGCF MGCF PDP PS PSTN PSTN QoS SDP SIP TLS UA CSCF – truy vấn Nhóm đặc trách kĩ thuật Inernet Phân hệ đa phương tiện IP Phân hệ đa phương tiện IP Mạng số tích hợp đa dịch vụ Một ứng dụng cư trú UICC Tiến hóa dài hạn Chức điều khiển cổng phương tiện Chức điều khiển cổng phương tiện Trạm di động Bảo mật miền mạng Giao thức liệu gói Gói chuyển đổi; Máy chủ diện Mạng điện thoại công cộng Mạng điện thoại công cộng UDVM UE UICC UICC UMTS URI URN USIM VCC VoIP Universal Data Voice Multiplexer User Equipment Universal Integrated Circuit Card Universal Integrated Circuit Card Universal Mobile Telecommunications System Uniform Resource Identifier Uniform Resource Name Bộ ghép kênh thoại liệu phổ quát Universal Subscriber Identity Module Voice call continuity Voice over Internet Protocol Modul nhận dạng thuê bao UMTS Thiết bị người dùng Thẻ mạch tích hợp phổ dụng Tích hợp thẻ phổ mạch(thẻ sim) Hệ thống thơng tin di động tồn cầu Mã định danh tài nguyên thống Định danh tài nguyên thống Gọi thoại liên tục Truyền giọng nói qua giao thức IP DANH MỤC CÁC HÌNH VẼ Hình 1.1.Khả hội tụ mạng IMS Hình 1.2: Kiến trúc phân lớp phân hệ IMS Hình 1.3: Cấu hình liên kết IMS-CS Khi người dùng IMS gọi người dùng CS Hình 1.4: Cấu hình liên kết IMS-CS người dùng CS gọi người dùng IMS Hình 1.5: End-to-end and interconnection scenarios Hình 2.1 Ví dụ nhiệm vụ S-CSCF Hình 2.2: Cho thấy thực thể chức liên quan đến PCC Hình 2.3 Kiến trúc tính phí Hình 2.4 Giải pháp chuyển tuyến IMS cho PSTN / ISDN Hình 2.5 Mơ hình mạng chuyển vùng chung IMS Hình 2.6 Thiết lập phiên khẩn cấp IMS Hình 2.7 Kiến trúc nén báo hiệu Hình 2.8 Voice call liên tục Cuộc gọi khởi tạo IMS Hình 2.9 Voice call liên tục Cuộc gọi khởi tạo CS Hình 2.10 Voice call liên tục gọi kết thúc Hình 2.11 Kiến trúc bảo mật IMS Hình 2.12 Xác thực tham số thỏa thuận Hình 2.13 Minh họa mơ hình NDA / IP tổng thể Hình 2.14 Trao đổi khả gọi CS diễn Hình 2.15 Ví dụ cho kết nối song song kết hợp dịch vụ IMS CS CHƯƠNG I: Tổng quan IMS Khái niệm IMS IMS - thuật ngữ viết tắt IP Multimedia Subsystem, phần kiến trúc mạng hệ cấu thành phát triển tổ chức 3GPP 3GPP2 để hỗ trợ truyền thông đa phương tiện hội tụ thoại, video, audio với liệu hội tụ truy nhập 2G, 3G 4G với mạng không dây IMS kiến trúc mạng nhằm tạo thuận tiện cho việc phát triển phân phối dịch vụ đa phương tiện đến người dùng, họ kết nối thông qua mạng truy nhập IMS hỗ trợ nhiều phương thức truy nhập GSM, UMTS, CDMA2000, truy nhập hữu tuyến băng rộng cáp xDSL, cáp quang, cáp truyền hình, truy nhập vơ tuyến băng rộng WLAN, WiMAX IMS tạo điều kiện cho hệ thống mạng khác tương vận (interoperability) với nhau, phần mạng xây dựng bổ sung cho mạng nhằm thực nhiệm vụ hội tụ mạng cung cấp dịch vụ đa phương tiện cho khách hàng đầu cuối IMS hỗ trợ nhiều loại hình dịch vụ khác nhau, bao gồm dịch vụ nhắn tin tức thời (Instant Messaging - IM), hội nghị truyền hình (Video Conferencing) Video theo yêu cầu (Video on Demand - VoD) IMS có khả cung cấp chế xác thực chuyển đổi mạng khác cho khách hàng di động Sau đó, tổ chức chuẩn hóa ITU, ETSI chọn IMS làm tảng cho mạng hội tụ Hình 1.1.Khả hội tụ mạng IMS bảo mật IMS mơ-đun ISIM, đóng vai trị lưu trữ bí mật chia sẻ (K) thuật toán AKA kèm, thường nhúng thiết bị dựa thẻ thông minh gọi Thẻ mạch tích hợp đa (UICC) Quyền truy cập vào bí mật chia sẻ bị hạn chế Mơ-đun lấy tham số AKA làm đầu vào xuất tham số kết AKA thu Do đó, khơng tiết lộ bí mật chia sẻ thực với giới bên Thiết bị mà ISIM đặt có khả chống giả mạo, truy cập vật lý vào thiết bị khơng thể dẫn đến việc lộ khóa bí mật Để bảo vệ ISIM khỏi bị truy cập trái phép, người dùng thường phải tuân theo chế bảo mật miền người dùng Về chất, điều có nghĩa để chạy AKA ISIM, người dùng nhắc nhập mã PIN Sự kết hợp quyền sở hữu - tức quyền truy cập vào thiết bị vật lý (UICC / ISIM) kiến thức mã PIN bí mật làm cho kiến trúc bảo mật IMS trở nên mạnh mẽ Kẻ công bắt buộc phải sở hữu 'thứ bạn sở hữu' 'thứ bạn biết', điều khó, miễn người dùng di động có mức độ cẩn thận định AKA hoàn thành xác thực lẫn ISIM AUC, đồng thời thiết lập cặp khóa mật mã khóa tồn vẹn Quy trình xác thực mạng thiết lập cách sử dụng yêu cầu xác thực có chứa thử thách ngẫu nhiên (RAND) mã thông báo xác thực mạng (AUTN) ISIM xác minh AUTN làm xác minh tính xác thực mạng Mỗi đầu trì số thứ tự cho vòng thủ tục xác thực Nếu ISIM phát u cầu xác thực có số thứ tự nằm ngồi phạm vi, ISIM hủy bỏ xác thực báo cáo lại mạng thông báo lỗi đồng hóa, bao gồm số thứ tự xác Đây khái niệm cấp cao khác, cung cấp khả bảo vệ chống phát lại AKA hoàn thành xác thực lẫn ISIM AUC, đồng thời thiết lập cặp khóa mật mã khóa tồn vẹn Quy trình xác thực mạng thiết lập cách sử dụng yêu cầu xác thực có chứa thử thách ngẫu nhiên (RAND) mã thông báo xác thực mạng (AUTN) ISIM xác minh AUTN làm xác minh tính xác thực mạng Mỗi đầu trì số thứ tự cho vòng thủ tục xác thực Nếu ISIM phát yêu cầu xác thực có số thứ tự nằm ngồi phạm vi, ISIM hủy bỏ xác thực báo cáo lại mạng thông báo lỗi đồng hóa, bao gồm số thứ tự xác Đây khái niệm cấp cao khác cung cấp khả bảo vệ chống phát lại Hình 2.12 Xác thực tham số thỏa thuận 9.2.2.3 Xác thực theo gói NASS-IMS (NBA) Trong TISPAN NGN, IMS UE thường gắn qua liên kết trực tiếp đến Hệ thống truy cập mạng (NASS), hệ thống cung cấp truyền tải lớp (chẳng hạn IP) UE mạng Bằng phương pháp mà UE xác thực NASS lớp thấp không xử lý chi tiết đây, có số khả khác Ví dụ: UE xác thực phương tiện thơng báo HTTP Một ví dụ khác là, thực PSTN UE kế thừa truy cập vào NASS cổng, nằm UE NASS, dịch thủ tục PSTN IP NASS thuộc mạng truy cập (tức nằm UE P-CSCF) bao gồm nhiều phần tử mạng khác (tạo thành hệ thống con), chưa xem xét kỹ UE TISPAN NGN giả định có kết nối cố định với NGN, kết nối không thay đổi vĩnh viễn, chẳng hạn mạng di động (ví dụ: mạng 3GPP UMTS) Khi UE bật, yêu cầu địa IP từ NASS địa gán, UE xác thực lớp UE xác định từ nhận dạng dòng cấu hình (line-id) lưu trữ NASS sử dụng xử lý cho người dùng xác thực 9.2.3 Bảo mật miền mạng (NDS) Một điểm yếu xác định hệ thống 2G thiếu giải pháp bảo mật tiêu chuẩn hóa cho mạng lõi Mặc dù truy cập vô tuyến từ thiết bị đầu cuối di động đến trạm gốc thường bảo vệ mã hóa, nút phần lại hệ thống truyền lưu lượng truy cập cách rõ ràng Đôi liên kết chí chạy qua bước nhảy vơ tuyến khơng bảo vệ, kẻ cơng có quyền truy cập vào phương tiện dễ dàng nghe trộm thơng tin liên lạc Rút kinh nghiệm từ thiếu sót 2G, hệ thống 3G đặt mục tiêu bảo vệ tất lưu lượng IP mạng lõi Bảo mật miền mạng (NDS) thực điều cách cung cấp tính bảo mật, tồn vẹn liệu, xác thực bảo vệ chống phát lại cho lưu lượng, sử dụng kết hợp chế bảo mật mật mã chế bảo mật giao thức áp dụng bảo mật IP (IPsec) 9.2.4 Các cổng bảo mật Lưu lượng vào khỏi miền bảo mật qua Cổng bảo mật (SEG) SEG nằm biên giới miền bảo mật chuyển hướng lưu lượng truy cập tới tập hợp miền bảo mật khác xác định Đây gọi mơ hình trung tâm; cung cấp bảo mật bước miền bảo mật SEG chịu trách nhiệm thực thi sách bảo mật chuyển lưu lượng truy cập miền bảo mật Việc thực thi sách bao gồm chức lọc gói tường lửa, chức trách nhiệm quản trị viên miền Trong IMS, tất lưu lượng mạng lõi IMS định tuyến qua SEG, đặc biệt lưu lượng liên miền, nghĩa bắt nguồn từ miền bảo mật khác với miền mà nhận Khi bảo vệ lưu lượng IMS liên miền, tính bảo mật tính tồn vẹn liệu xác thực yêu cầu NDS / IP 9.2.5 Phân phối quản lí khóa Mỗi SEG chịu trách nhiệm thiết lập trì Hiệp hội Bảo mật IPsec (SA) với SEG ngang hàng Các SA thương lượng cách sử dụng giao thức Internet Key Exchange (IKE) nơi xác thực thực cách sử dụng khóa dài hạn lưu trữ SEG Tổng số hai SA cho kết nối ngang hàng SEG trì: cho lưu lượng đến cho lưu lượng Ngoài ra, SEG trì Hiệp hội Bảo mật Internet Giao thức Quản lý Khóa (ISAKMP) SA, liên quan đến quản lý khóa sử dụng để xây dựng IPsec SA thực tế máy chủ ngang hàng Một điều kiện tiên quan trọng ISAKMP SA đồng nghiệp phải xác thực Hình 2.13 Minh họa mơ hình NDA / IP tổng thể Giao thức bảo mật sử dụng NDS / IP để mã hóa, bảo vệ tồn vẹn liệu xác thực IPsec Encapsulation Payload (ESP) chế độ đường hầm Trong chế độ đường hầm ESP, datagram IP đầy đủ bao gồm tiêu đề IP đóng gói gói ESP Để mã hóa, thuật toán 3DES bắt buộc, để xác thực toàn vẹn liệu, MD5 SHA-1 sử dụng 9.2.6 Bảo mật truy cập IMS cho dịch vụ dựa SIP SIP cốt lõi IMS, sử dụng để tạo, quản lý kết thúc loại phiên đa phương tiện khác Điều quan trọng cần đạt việc đảm bảo quyền truy cập vào IMS bảo vệ tín hiệu SIP IMS 9.2.6.1 Tổng quan mơ hình tin cậy IMS thiết lập miền tin cậy, mô tả trong, bao gồm phần tử IMS sau: • P / I / S-CSCF; • BGCF; • MGCF / MRFC; • Tất AS khơng nằm kiểm sốt bên thứ ba Thành phần tin cậy danh tính: để tin cậy thực thể truy cập IMS, cần phải có mối quan hệ thiết lập với thực thể (tức danh tính biết xác minh) Trong IMS, danh tính chuyển nút miền tin cậy dạng nhận dạng xác nhận UE nêu ưu tiên cho danh tính tồn nhiều danh tính; cuối cùng, biên giới miền tin cậy (cụ thể P-CSCF) mà danh tính xác nhận định Ngược lại, P- CSCF đóng vai trị trung tâm việc xác thực UE Mức độ tin cậy liên quan đến hành vi mong đợi thực thể Ví dụ, Alice biết Bob tin tưởng đưa cô học Cô mong đợi biết Bob hành động có trách nhiệm như: lái xe an tồn, v.v Nhưng không đủ tin tưởng Bob để cấp cho quyền truy cập vào tài khoản ngân hàng cô 9.2.6.2 Xử lý quyền riêng tư người dùng Các khái niệm miền tin cậy danh tính xác nhận cho phép chuyển danh tính khẳng định người dùng, có khả đến thực thể không thuộc miền tin cậy Điều tạo vấn đề quyền riêng tư rõ ràng, thực tế, người dùng u cầu danh tính họ giữ riêng tư nội miền tin cậy Trong IMS, người dùng u cầu khơng tiết lộ danh tính họ cho thực thể bên ngồi miền tin cậy Điều dựa phần mở rộng quyền riêng tư SIP Một UE chèn tùy chọn quyền riêng tư vào trường tiêu đề quyền riêng tư, trường sau mạng kiểm tra Các giá trị có cho tiêu đề là: • Người dùng - cho biết mạng phải cung cấp chức riêng tư cấp độ người dùng • Tiêu đề - cho biết UA yêu cầu áp dụng quyền riêng tư header cho tin Điều có nghĩa tất tiêu đề nhạy cảm quyền riêng tư bị che khuất khơng có tiêu đề nhạy cảm khác thêm vào • Phiên - UA yêu cầu liệu nhạy cảm quyền riêng tư bị che khuất phiên (tức tải trọng SDP thông báo) • Critical - chế quyền riêng tư yêu cầu quan trọng Nếu chế số khơng khả dụng, u cầu khơng thành cơng • ID - người dùng yêu cầu danh tính xác nhận họ giữ bên miền tin cậy Trên thực tế, việc đặt giá trị có nghĩa trường tiêu đề P- Asserted-Identity phải loại bỏ khỏi thư rời khỏi miền tin cậy • None - UA yêu cầu rõ ràng khơng có chế bảo mật áp dụng cho yêu cầu 9.2.6.3 Xác thực Thỏa thuận bảo mật Xác thực truy cập IMS dựa giao thức AKA Tuy nhiên, giao thức AKA chạy trực tiếp qua IP; thay vào đó, cần phương tiện để thực thông điệp giao thức UE mạng gia đình Rõ ràng, tồn mục tiêu xác thực truy cập IMS xác thực cho truy cập SIP, SIP lựa chọn tự nhiên cho phương tiện Trên thực tế, cách thức mà giao thức AKA đào bên SIP định Điều xác định định dạng thơng báo quy trình sử dụng AKA làm hệ thống mật xác thực thông báo cho quy trình đăng ký SIP Thử thách thơng báo bắt nguồn từ mạng chứa tham số RAND AUTN AKA, mã hóa giá trị nonce máy chủ Thử thách chứa thị thuật toán đặc biệt hướng dẫn khách hàng sử dụng giao thức AKA cho thử thách cụ thể RES sử dụng làm mật tính tốn thơng tin xác thực thơng báo, có nghĩa khung thơng báo sử dụng theo cách đặc biệt để tạo đường hầm cho giao thức AKA bảo mật truy cập IMS 9.2.6.4 Bảo vệ tính bảo mật tính tồn vẹn Trong bảo mật truy cập IMS, tính bảo mật tính tồn vẹn liệu xác thực bắt buộc Giao thức sử dụng để cung cấp chúng IPsec ESP Các khóa phiên AKA sử dụng làm khóa cho ESP SA IK sử dụng làm khóa xác thực CK làm khóa mã hóa Đương nhiên, tùy thuộc vào độ dài khóa theo u cầu thuật tốn mật mã sử dụng ESP, số chức mở rộng khóa định sử dụng khóa phiên AKA 9.2.6.5 Quản lý phân phối Như mơ tả chương trước, P-CSCF nằm mạng truy cập Theo giao thức AKA, bí mật chia sẻ truy cập mạng gia đình, điều có nghĩa là, xác thực cần diễn mạng gia đình, ủy quyền trách nhiệm định cần định cho PCSCF, với tư cách IPsec SA tồn P-CSCF UE Trên thực tế, xác thực IMS diễn mạng gia đình, khóa phiên tạo xác thực AKA sử dụng ESP gửi đến P-CSCF gắn đầu tin đăng ký SIP 9.2.7 Bảo mật truy cập IMS cho dịch vụ dựa HTTP Song song với lưu lượng SIP, cần có UE để quản lý liệu liên quan đến ứng dụng IMS định Giao diện Ut lưu trữ giao thức cần thiết cho chức Bảo mật giao diện Ut liên quan đến tính bảo mật tính tồn vẹn liệu lưu lượng truy cập dựa HTTP Như đề cập trước đây, xác thực người dùng thiết lập khóa cho giao diện Ut dựa AKA 9.2.7.1 Kiến trúc khởi động chung (GBA) Là phần GAA, 3GPP IMS xác định Kiến trúc khởi động chung (GBA) Chức máy chủ khởi động (BSF) UE thực xác thực lẫn dựa AKA, cho phép UE khởi động khóa phiên từ sở hạ tầng 3G Khóa phiên kết AKA cho phép ứng dụng khác cung cấp Chức ứng dụng mạng (NAF) Một ví dụ NAF cấp chứng người đăng ký sử dụng giao thức ứng dụng bảo mật khóa phiên khởi động 9.2.7.2 Xác thực quản lý khóa Xác thực giao diện Ut thực phần tử chuyên biệt, gọi ‘proxy xác thực’ Về mặt GBA, proxy xác thực loại NAF khác Lưu lượng giao diện Ut qua proxy xác thực bảo mật khóa phiên khởi động 9.2.7.3 Bảo vệ tính bảo mật tính tồn vẹn Giao diện Ut sử dụng Bảo mật tầng truyền tải (TLS) để bảo vệ tính bảo mật tính tồn vẹn 9.3 Sự kết hợp Dịch vụ CS IMS - Dịch vụ Kết hợp 9.3.1 Giới thiệu Trong IMS thiết kế hệ thống độc lập để cung cấp dịch vụ đa phương tiện cho người dùng, sử dụng để cung cấp chức bổ sung mạng điện thoại có Trong giai đoạn đầu việc triển khai IMS, người dùng mạng di động chủ yếu sử dụng miền CS mạng di động cho phiên âm Trong gọi CS vậy, IMS không bắt buộc phải cung cấp dịch vụ - tức kết nối báo hiệu phương tiện hai người dùng, QoS Nhưng gọi CS hưởng lợi từ khả cung cấp dịch vụ linh hoạt rộng rãi IMS Công việc 3GPP bắt đầu gần đây, để kích hoạt gọi 'các dịch vụ kết hợp' Vì cơng việc thực thời điểm viết bài, nên nguyên tắc Để kích hoạt kết hợp dịch vụ vậy, trước tiên hai UE cần nhận thức khả hỗ trợ đầu Phần cách khả liên quan đến IMS trao đổi sau gọi CS thiết lập hai người dùng Nó làm nào, dựa trao đổi khả năng, dịch vụ IMS gọi để tăng cường gọi CS diễn 9.3.2 Trao đổi lực Chúng giả định người dùng, Tobias Theresa, người đăng ký từ UE Điều thực để tránh trường hợp bẻ khóa Cả Theresa Tobias có ứng dụng dựa IMS cài đặt UE họ cho phép họ chia sẻ luồng video thời gian thực ngồi gọi thoại CS có Ứng dụng ngang hàng hoạt động ứng dụng có mặt hai UE Để cung cấp trải nghiệm người dùng quán, mục menu cho "chia sẻ video" hiển thị cho Theresa Tobias, UE họ xác minh ứng dụng hỗ trợ đầu từ xa Hình 2.14 Trao đổi khả gọi CS diễn 9.3.3 Dịch vụ IMS CS song song Sau trao đổi khả năng, người dùng bắt đầu chia sẻ video trực tiếp Trong ví dụ chúng tơi, Theresa muốn gửi video cho Tobias Thiết lập phiên hai người dùng hoạt động mô tả Phần 11.10 (Thiết lập phiên thay thế) Sau phiên thiết lập, Theresa gửi luồng video qua GPRS tới Tobias Hình 2.15 Ví dụ cho kết nối song song kết hợp dịch vụ IMS CS Hình 2.15 cho thấy kết nối tồn song song Kết nối dựa SIP hai người dùng giải phóng gọi CS diễn ứng dụng chia sẻ video tự động giải phóng sau gọi CS kết thúc Đây hồn toàn hành vi dành riêng cho ứng dụng KẾT LUẬN IMS tiêu điểm thảo luận tổ chức chuẩn hóa viễn thơng công ty điện tử tin học, với phạm vi đề tài khơng thể trình bày hết khía cạnh IMS, đề tài đưa nhìn tổng quan IMS, qua thấy vai trị chức kiến trúc mạng NGN Việc xây dựng mạng lõi IMS kiến trúc NGN nhu cầu tất yếu, phù hợp với xu phát triển ngành viễn thông, mở cánh cửa cho hội tụ di động – cố định với khả đa truy nhập cung cấp nhiều loại hình dịch vụ khác tảng mạng nhất, đáp ứng nhu cầu ngày cao người sử dụng Trong tiến trình phát triển chuẩn hóa IMS, cịn nhiều vấn đề cần tìm hiểu Hướng phát triển đề tài sâu vào tìm hiểu thủ tục giao diện IMS để hỗ trợ ứng dụng đa phương tiện IP, nghiên cứu đưa giải pháp cho vấn đề bảo mật IMS… Do trình thực chuyên đề dựa lý thuyết tìm hiểu tài liệu, chưa tiếp xúc thực tế có mơ hình thực tiễn để tiếp cận hạn chế mặt thời gian nên nhiều vấn đề chưa thể trình bày rõ chắn khơng tránh khỏi thiếu sót Rất mong thơng cảm đóng góp ý kiến bạn để tiểu luận hồn chỉnh Chân thành cảm ơn TÀI LIỆU THAM KHẢO Bài giảng BÁO HIỆU ĐIỀU KHIỂN (stu.ver) IP Multimedia Concepts and Services-Wiley (2009) ... sung 38 9 .2 Các dịch vụ bảo mật IMS 39 9 .2. 1 Mơ hình bảo mật IMS 39 9 .2. 2 Xác thực 39 9 .2. 2.1 Tổng quan phương pháp xác thực IMS 39 9 .2. 2 .2 Xác thực Thỏa... Internet IMS thực trở thành chìa khóa để hợp mạng di động mạng Internet, phân hệ thiếu kiến trúc NGN Trong bối cảnh việc triển khai đề tài ? ?Phân hệ đa phương tiện IMS (IP Multimedia Subsystem)" ... I-CSCF IETF IMS IMS: ISDN ISIM ISUP LTE MGCF MGCF PDP PS PSTN PSTN QoS SDP SIP TLS UA CSCF – truy vấn Nhóm đặc trách kĩ thuật Inernet Phân hệ đa phương tiện IP Phân hệ đa phương tiện IP Mạng