Bảo mật trong IMS: An ninh truy nhập và an ninh mạng

Kiến trúc NGN

ISDN ngày càng thể hiện nhược điểm không thể đáp ứng được nhu cầu truyền thông, trong khi đó công nghệ truyền dẫn và công nghệ điện tử VLSI (Very large scale intergration) ngày càng phát triển và xuất hiện công nghệ mới có khả năng truyền tải cao được đánh giá là có nhiều hứa hẹn để truyền dẫn cả thoại và dữ liệu đó là ATM đã đưa ra một hướng mới để phát triển ISDN băng hẹp thành ISDN băng rộng (B-ISDN). “Mạng thế hệ kế tiếp (NGN) là mạng dựa trên nền gói có thể cung cấp các dịch vụ truyền thông và có thể tận dụng được các dải băng tần rộng, các công nghệ truyền tải với QoS cho phép và ở đó các chức năng liên quan đến dịch vụ sẽ độc lập với các công nghệ truyền tải ở lớp dưới.

Phân hệ IMS trong kiến trúc NGN .1 Tổng quan IMS

Ở đây không có mục đích là để chuẩn hóa các dịch vụ trong phạn vi của phân hệ IM CN, mà mục đích chính là để các dịch vụ sẽ được phát triển do các nhà khai thác mạng PLMN và hiệp hội các nhà cung cấp thứ ba khác bao gồm cả không gian Internet đang sử dụng và phân hệ IM CN. Phân hệ IM CN có thể cho phép hội tụ để truy nhập thoại, hình ảnh, video, bản tin, dữ liệu và web dựa trên các công nghệ cho người dùng đầu cuối không dây, và có thể phối hợp sự phát triển về Internet với sự phát triển của truyền thông di động.

Chức năng các phần tử trong IMS

Cổng liên mạng ẩn cấu hình: trong việc thực hiện các chức năng trên nhà khai thác có thể sử dụng chức năng cổng liên mạng ẩn cấu hình (THIG) trong I-CSCF hoặc kĩ thuật khác để ẩn cấu hình và khả năng của mạng khỏi các mạng ngoài. • Nhận địa chỉ của I-CSCF từ cơ sở dữ liệu để nhà khai thác mạng phục vụ thuê bao đích từ tên người dùng đích (e.g Số điện thoại được quay hoặc URL SIP), khi thuê bao đích là khách từ một nhà khai thác mạng khác gửi yêu cầu hoặc đáp ứng SIP tới I- CSCF đó.

Các giao diện trong IMS

SIP được 3GPP lựa chọn làm giao thức bỏo hiệu trong phần lừi IMS cũn trờn cỏc giao diện giữa phần lừi IMS và cỏc phần tử ngoài khụng được chuẩn húa, 3GPP chỉ khuyến cáo sử dụng các giao thức H.248 và DIAMETER. Để mạng có thể hạn chế các luồng thông tin sau không được chuyển ra ngoài khỏi mạng của nhà khai thác: Số lượng chính xác các S-CSCF, các khả năng của các S-CSCF hoặc các khả năng của mạng.

Giao thức Diameter

Chẳng hạn, trong Context của một người sử dụng quay đến một máy chủ truy nhập đường truyền một phiên bao gồm tất cả các bản tin Diameter được trao đổi giữa máy chủ truy nhập đường truyền và Diameter server từ thời điểm người sử dụng quay số đến khi kết nối ngắt. Trong trường hợp IMS một phiên Diameter có thể bao gồm tất cả bản tin được trao đổi giữa S-CSCF (đóng vai trò như một Diameter client) và HSS ( đóng vai trò như Diameter server) từ thời điểm người sử dụng đăng kí trong IMS đến khi người dùng không còn đăng kí.

Xác thực và trao quyền trong IMS

Tại bất cứ thời điểm nào, nhưng đặc biệt trong các phiên diễn ra trong thời gian dài, Diameter server phải yêu cầu xác thực lại người sử dụng để xác nhận lại không có vấn đề xảy ra. Một Diameter client báo cáo đến một Diameter server là có một người dùng muốn dừng sử dụng dịch vụ bằng cách gủi bản tin yêu cầu kết thúc phiên (STR).

Giao diện Cx và Dx

Lệnh LIA chỉ rừ SIP URI của S-CSCF cấp phỏt đến người dựng hoặc, nếu khụng cú S-CSCF cấp phát đến người dùng, sau đó HSS sẽ chứa một tập các khả năng được yêu cầu bởi S- CSCF, để I-CSCF có thể chọn một S-CSCF đối với người dùng này (tương tự việc chọn. lựa tiến hành trong suốt đăng kí ban đầu ). Profile dịch vụ chia thành 4 phần: một tâp hợp của một hoặc nhiều nhận dạng chung, một trao quyền dịch vụ mạng lừi ngẫu nhiờu, khụng cú hoặc nhiều chỉ tiờu bộ lọc ban đầu, và không có hoặc nhiều chỉ tiêu bộ lọc dùng chung.

Giao diện Sh

Khi một profile dịch vụ của ngươi dùng chứa một hoặc nhiều hơn tiêu chuẩn bộ lọc ban đầu, chỉ bộ nhận dạng được tải đến S-CSCF; S-CSCF đã lưu trữ trước đó tiêu chuẩn bộ lọc ban đầu trong cơ sỏ dữ liệu bên trong của nó. Nhận dạng người dùng là một AVP nhóm chứa nhận dạng người dùng như một bộ nhận dạng người dùng chung mà trong trường hợp này nó chứa một AVP nhận dạng chung ( mượng từ ứng dụng Diameter cho giao diện Cx) hoặc như một số thuê bao di động tích hợp mạng số (MSISDN) trong trường hợp này nó chứa MSISDN AVP.

Thanh toán (Accounting)

AVP Current-Location chỉ rừ một thủ tuc gọi là “ truy vấn dịch vụ hoạt động”. AVP server-name phản xạ AVP với tên giống trong ứng dụng Diameter trong giao diện Cx.

Kiến trúc tính cước

Tất cả các thực thể mạng SIP (trong hình của chúng ta là: các CSCF, BGCF, MRFC, MGCF và các AS) được bao hàm trong một phiên sử dụng giao diện Rf để gửi thông tin thanh toán tới một CCF (Charging Collection Function: chức năng thu thập cước) đặt trong cùng miền quản lý. Thêm vào đó, một thực thể mới được gọi là CDF (Charging Data Functionl: chức năng dữ liệu tính cước) thay thế cho CCF. Bởi vậy, các nút SIP IMS gửi thông tin thanh toán tới CDF sử dụng giao diện Rf, CDF sử dụng giao diện Ga để truyền tải các CDR tới CGF và CDF truyền tải chúng tới BS. b) Mô hình tính cước online.

Tính cước offline

Thí dụ như: nếu cả chủ gọi và bị gọi là những người sử dụng của cùng một nhà khai thác và cả 2 không được roaming tới hai P-CSCF và hai S-CSCF bao hàm trong hồ sơ phiên tính cước các sự kiện tới cùng các CCF, địa chỉ của chúng được phân phối bởi một trong các S- CSCF. + Tham số gcid chứa nhận dạng tính cước GPRS (GCID: GPRS Charging Identifier), nó là nhận dạng tính cước của PDP context tại GGSN (GGSN tạo ra một gicd khác nhau cho mỗi PDP context tạo ra trong GGSN).

Tính cước Online

Cỏc hỡnh vẽ này cũng chỉ rừ cỏc chỉ tiờu kĩ thuật mà mỗi AVP được định nghĩa (nghĩa là trong giao thức dựa trên Diameter, trong ứng dụng điều khiển tín dụng Diameter 3GPP, hoặc trong ứng dụng Diameter 3GPP). Tính cước online được dựa trên các đơn vị tín dụng, các dịch vụ được thanh toán bằng các đơn vị tín dụng và nhiều người sử dụng có thể được hưởng một dịch vụ đặc biệt chỉ cần họ đủ các đơn vị tín dụng trong tài khoản của họ.

An ninh truy nhập cho IMS

• Thủ tục thiết lập liên kết an ninh .1 Các tham số của liên kết an ninh

Để bảo vệ an ninh cho lưu lượng giữa UE và P-CSCF thì hai thực thể này cần phải thống nhất với nhau về các khóa được sử dụng (thông qua IMS AKA) cùng các tham số xác định cách thức bảo vệ. Thủ tục thiết lập chế độ an ninh cũng thực hiện thỏa. thuận các tham số của SA phục vụ cho việc bảo đảm tính cơ mật và quá trình nhận thực của thuê bao. Các tham số của SA cần được thỏa thuận là:. a) Thuật toán mã hóa. b) Thuật toán đảm bảo tính toàn vẹn. Mỗi giá trị SPI chỉ được sử dụng đối với một SA nhất định. Ba tham số SPI, địa chỉ IP đích và giao thức an ninh có chức năng xác định duy nhất một SA. Mỗi UE sẽ có các giá trị SPI riêng khác với các SPI đã được sử dụng. Còn các SPI của P-CSCF sẽ khác với các SPI mà P-CSCF nhận được từ UE. Khi tiến hành nhận thực đăng ký thì UE và P-CSCF sẽ chọn ra giá trị SPI của mình để thiết lập SA. d) Chế độ hoạt động của SA. Chế độ hoạt động của SA sẽ được xác định phụ thuộc vào sự có mặt của NAT. Trong trường hợp không sử dụng NAT thì các SA sẽ hoạt động ở chế độ truyền dẫn, còn trong trường hợp có sử dụng NAT thì chúng sẽ hoạt động ở chế độ đường hầm được đóng gói UDP. P-CSCF sẽ nhận biết được sự hiện diện của NAT trong quá trình thiết lập SA. Sau đây là các tham số không được thỏa thuận của SA:. a) Kiểu thời gian tồn tại (Life type): Luôn có giá trị là giây. c) Chế độ (Mode): Mặc định là chế độ truyền dẫn, chỉ trong trường hợp sử dụng NAT mới chuyển sang chế độ đường hầm được đóng gói UDP. e) Độ dài khóa mã hóa: Độ dài của khóa mã hóa phụ thuộc vào thuật toán được sử dụng, trung bình là 128 bit. Các giá trị chọn lựa a) Khi không có NAT. REGISTER(Integrity-Protection = Successful, IMPI). Cuối cùng, P-CSCF gửi bản tin SM12 đến UE, bản tin này không chứa thông tin nào liên quan đến việc thiết lập chế độ an ninh mà chỉ có chức năng thông báo cho UE rằng quá trình thiết lập an ninh đã thành công. Hình 3.11 dưới đây minh họa trường hợp UE tiến hành thủ tục tái đăng ký khi không được trao quyền. 11: UE tiến hành thủ tục tái đăng ký khi không được trao quyền. i) Các lỗi xảy ra khi áp dụng giao thức IMS AKA a) Thất bại khi nhận thực khách hàng. Khi nhận thực cho khách hàng, bước kiểm tra tính toàn vẹn của bản tin SM7 do IPSec thực hiện tại P-CSCF sẽ gặp thất bại nếu khóa IKIM do RAND tại UE phân phối xảy ra lỗi. Lúc này, ứng dụng SIP ở P-CSCF không nhận được bản tin SM7 và xóa các tham số của SA tương ứng với đăng ký này đang được lưu trữ tạm thời sau khi thời hạn cho phép kết thúc. Nếu khóa IKIM được phân phối không xảy ra lỗi nhưng hồi đáp lại sai thì quá trình nhận thực khách hàng tại S-CSCF vẫn thất bại. Thông qua P-CSCF, S-CSCF sẽ gửi bản tin 4xx Auth_Failure đến UE trên một SA vừa được thiết lập. Sau đó cả UE và P-CSCF xóa các SA mới này. b) Thất bại khi nhận thực mạng.

An ninh mạng cho IMS

Các SEG sau đó tiến hành thiết lập và duy trì các SA ESP ở chế độ đường hầm nối giữa các miền (trong đó có ít nhất là một liên kết với một SEG phải luôn ở trạng thái sẵn sàng), đồng thời cũng duy trì các cơ sở dữ liệu SPD và SAD riêng biệt cho mỗi giao diện. Đường hầm này sau đó được dùng để truyền lưu lượng giữa hai miền an ninh (giả sử là hai miền A và B). Giữa các SEG có thể luôn tồn tại các đường hầm nối hoặc chỉ được thiết lập khi cần thiết. • Một SEG của miền này chỉ phải liên kết đến những miền nào có nhu cầu trao đổi lưu lượng nhằm giúp hạn chế số lượng SA cần phải duy trì giữa các miền. ii) Giao diện Zb.