3 .7An ninh trong G UMTS R5
Hình 3.16 Đăng ký và nhận thực trong IMS
P-CSCF chuyển tiếp yêu cầu đăng ký (REGISTER) đến CSCF hỏi (I-CSCF), chúng lần lượt giao tiếp với HSS để xác định vị trí của một CSCF phục vụ (S- CSCF) thích hợp cho người sử dụng. Tất cả các q trình thơng tin này cũng như tất cả q trình thơng tin sau này giữa các thành phần mạng (NE), đều được bảo vệ bởi phương thức an ninh miền mạng (NDS) sử dụng các liên kết an ninh (SA), SA không riêng biệt đối với từng thuê bao.
Sau khi S-CSCF được xác định, bản tin đăng ký “REGISTER” được chuyển tiếp đến nó. Sau đó, S-CSCF yêu cầu HSS gửi đến cho nó các AV. Cần lưu ý thủ tục nhận thực và thỏa thuận khóa IMS được thực hiện như nhau ở cả miền PS lẫn CS và có cùng một mục đích. Hơn nữa nó cũng có thể sử dụng lại các mơ-dun anh ninh giống nhau bên phía người sử dụng (ví dụ sử dụng lại USIM) như là ISIM. Trong trường hợp này các thông số đặc trưng cho IMS có thể được lưu trong đầu cuối di động và chúng cũng liên quan đến bên mạng, đáng chú ý nhất là HSS có khả năng sử dụng cùng một
AuC để sử dụng cho cả miền CS và PS.
HSS gửi các AV đến cho S-CSCF, đồng thời nó tiến hành lưu địa chỉ của S- CSCF được chọn. Tiếp theo, S-CSCF chọn AV đầu tiên và gửi ba hoặc bốn thông số (ngoại trừ XRES và có thể có cả CK) tới P-CSCF thông qua I-CSCF. Sau khi nhận được các thông số này, P-CSCF lấy ra khóa tồn vẹn (IK) và chuyển tiếp RAND và AUTN đến UE. Bản tin SIP được sử dụng để truyền tất cả các thơng tin này là “401 Authorized”. Vì thế, từ khía cạnh SIP thuần túy việc thử đăng ký đầu tiên đã thất bại.
Tuy nhiên, ISIM trong UE bây giờ có khả năng kiểm tra tính hợp lệ của AUTN, đồng thời nếu kết quả của việc kiểm tra được xác thực thì RES và IK cũng được tính tốn. Một thơng số nhận được từ RES kể cả trong yêu cầu REGISTER sẽ được bảo vệ tồn vẹn bởi khóa tồn vẹn (IK). Bảo vệ toàn vẹn được thực hiện bằng phương tiện của giao thức đóng bao tải trọng an ninh (ESP) trong IPsec. Khóa tồn vẹn IK là một phần quan trọng nhất của ESP.
Tiếp theo, một bản tin “REGISTER” mới được gửi đến P-CSCF, sau đó nó được chuyển tiếp đến I-CSCF. Tiếp đến chúng được kiểm tra tính hợp lệ của địa chỉ S- CSCF bởi HSS. Chú ý rằng I-CSCF đảm bảo vô điều kiện cho các thuê bao. “REGISTER” sau đó được chuyển tiếp đến S-CSCF, tại đây RES (nhận được từ UE) được so sánh với XRES. Nếu chúng giống nhau, thì bản tin “OK” sẽ được gửi ngược trở lại UE.
Thủ tục AKA bây giờ đã được hoàn tất và kết quả cuối cùng như sau:
+ UE và P-CSCF dùng chung IPsec ESP SA, cái mà có thể được sử dụng để bảo vệ tất cả các cuộc truyền thông giữa chúng.
+ S-CSCF và HSS có cả hai sự thay đổi tình trạng của thuê bao từ “không đăng ký” đến “đăng ký”.
S-CSCF luôn luôn thực hiện thủ tục AKA tại thời điểm khởi đầu đăng ký. Để đăng ký lại, nhận thực có thể được bỏ qua, phụ thuộc vào việc chọn lựa của S-
CSCF. S-CSCF cũng có thể bắt buộc UE đăng ký lại tại bất cứ thời điểm nào. Vì thế, S-CSCF có thể nhận thực UE bất cứ khi nào nó muốn.
3.8 Kết luận
Đây là chương chính của quyển đồ án, nội dung của chương đề cập đến các giải pháp an ninh trong hệ thống 3G UMTS. An ninh trong 3G được đảm bảo bởi ba nguyên lý: nhận thực; bảo mật và toàn vẹn. Nhận thực để đảm bảo chỉ có người sử dụng hợp pháp mới được quyền truy nhập thành công vào hệ thống, nhận thực ở 3G UMTS được thực hiện ở cả hai chiều: mạng nhận thực người sử dụng và người sử dụng nhận thực mạng. Kiểu nhận thực này còn được gọi là nhận thực qua lại. Bảo mật và toàn vẹn đảm bảo tính riêng tư và an tồn thơng tin của người sử dụng. Để làm được điều đó an ninh 3G UMTS đã thực hiện thủ tục nhận thực và thỏa thuận khóa AKA. Khi người sử dụng mới truy nhập lần đầu vào hệ thống, yêu cầu kết nối, hủy kết nối, yêu cầu sử dụng các ứng dụng dịch vụ cao hơn...... đều phải thực hiện thủ tục này. Thủ tục này thực hiện được bằng cách sử dụng các hàm mật mã (là các hàm một chiều), cùng với khóa chủ (K) được lưu trong USIM và AuC, để tạo ra các vec-tơ nhận thực và các thông số nhận thực....... Ở cấu trúc 3G UMTS R5 an ninh được đảm bảo bằng các cơ chế an ninh miền mạng (IPsec và MAPsec), an ninh IMS, vì 3G UMTS R5 là cấu trúc mạng toàn IP. Tất cả các đặc điểm trên đều tạo nên một hệ thống 3G UMTS đảm bảo an ninh hơn hẳn hệ thống 2G GSM.