3 .7An ninh trong G UMTS R5
Hình 3.15 Kiến trúc an ninh IMS của UMTS R5
1. Miền mạng lõi mới: được gọi là hệ thống con mạng lõi đa phương tiện IP (IMS).
2. Nâng cấp các SGSN để hỗ trợ thoại thời gian thực và các dịch vụ nhạy cảm khác hay IMS.
Vùng đa phương tiện Internet được xây dựng trên cơ sở giao thức khởi tạo phiên (SIP) dựa trên công nghệ VoIP. Trong miền PS, dịch vụ không được cung cấp chừng nào chưa được liên kết an ninh giữa các thiết bị di động và mạng. IMS chồng lấn lên miền PS và ít lệ thuộc vào miền này. Điều khiển trong R5 được thực hiện bởi mạng nhà. Sự điều khiển phức tạp này dẫn đến sự xuất hiện 3 chức năng điều khiển tình trạng cuộc gọi (CSCF): I-CSCF (CSCF hỏi); S-CSCF (CSCF phục vụ) và P-CSCF (CSCF ủy khác). Để sử dụng dịch vụ của IMS, trước hết người sử dụng phải đăng ký với mạng. Trong mọi trường hợp dù ở mạng nhà hay mạng khách thủ tục này được thực hiện qua P-CSCF. P-CSCF vừa đảm bảo hỗ trợ phiên đa phương tiện cơ sở, vừa đóng vai trị như một tường lửa cho miền IMS. Quá trình người sử dụng tìm thấy P- CSCF như sau: trước hết user tích cực một phiên PDP context để báo hiệu và đăng ký, nhận được một địa chỉ IP động hoặc tĩnh, sau đó user này sẽ gửi một tra hỏi hệ thống tên miền (DNS) về P-CSCF. Khi đó DNS tại GGSN gửi trả lời địa chỉ của P-CSCF.
Tất cả báo hiệu UE-mạng đều được gửi đến P-CSCF và đầu cuối di động không thể biết được địa chỉ của các CSCF khác. Một bản tin đăng ký được gửi đến P-CSCF, bản tin này được P-CSCF chuyển đến I-CSCF trong mạng nhà (P-CSCF nhận dạng mạng nhà theo IMSI hoặc SIP URL của người sử dụng). I-CSCF đóng vai trị như một cổng đối với mạng khác, có nhiệm vụ kiểm sốt truy nhập IMS qua các mạng khác và hỏi HSS. S-CSCF có nhiều chức năng hơn P-CSCF và I-CSCF. Nó truy nhập đến các tài nguyên cần thiết để xử lý dịch vụ được yêu cầu. HSS là một HLR được bổ sung các khả năng mới phù hợp cho miền IM.
3.7.2.4 Quá trình đăng ký và nhận thực trong IMS
Trong mục này chúng ta sẽ tìm hiểu tổng quan về các thành phần của kiến trúc an ninh IMS được sử dụng trong giao thức khởi tạo phiên (SIP) (hình 3.16).
Có hai thủ tục quan trọng trong cả bản thân giao thức khởi tạo phiên (SIP) lẫn an ninh IMS, đó là: “REGISTER” để đăng ký và “INVITE” để thiết lập các phiên. Chúng ta sẽ nói đến giải pháp an ninh cho IMS xung quanh hai chức năng cơ bản này.
Sử dụng IMS dựa trên cơ sở của sự tán thành. Người sử dụng thỏa thuận với người quản lý IMS và có một nhận dạng riêng IMS (IMPI) cái này được lưu ở cả ISIM lẫn HSS. Nó cũng là một mật mã, khoá chủ (K 128bit) được lưu trong bộ nối của IMPI. IMPI không được chỉ định để đề địa chỉ người sử dụng; thay vào đó tồn tại ít nhất một nhận dạng công cộng IMS (được cài vào IMPI). Có thể có sự khác nhau về các đặc điểm dịch vụ bên trong một tiểu mục đơn giản, các IMPU khác nhau sẽ được nối tới cùng một IMPI. Về mặt kỹ thuật thì IMPI có hình thể của nhận dạng truy nhập mạng (NAI), trong khi IMPU có hình thể của một SIP URI hoặc URL(định vị tài nguyên đồng dạng).
Trước khi một thuê bao có thể bắt đầu sử dụng dịch vụ được cung cấp bởi IMS, thuê bao đó phải thực hiện đăng ký, cơng việc này có thể được thực hiện bằng việc gửi đi một bản tin yêu cầu REGISTER tới một CSCF uỷ thác (P-CSCF). Bản tin này bao gồm cả địa chỉ riêng IMPI để được nhận thực và ít nhất một IMPU để được đăng ký. Các vấn đề của q trình tìm kiếm địa chỉ của một P-CSCF thích hợp được thực hiện bởi báo hiệu trong miền PS của 3G UMTS R5.