3.7.1.1 MAPsec
Mục đớch của MAPsec là bảo vệ bớ mật cũng như toàn vẹn cỏc tỏc nghiệp MAP. Bảo vệ MAPsec được thực hiện trong ba chếđộ. Chếđộ thứ nhất an ninh khụng được
đảm bảo, chế độ thứ hai chỉ bảo vệ toàn vẹn, chếđộ thứ ba cả bớ mật lẫn toàn vẹn đều
được đảm bảo.
Đểđảm bảo bớ mật, tiờu đề của cỏc tỏc nghiệp MAP được mật mó húa. Một tiờu
đề an ninh được bổ sung để chỉ dẫn cỏch giải mật mó. Để đảm bảo toàn vẹn, một MAC nữa được tớnh toỏn dựa trờn tải tin của cỏc tỏc nghiệp MAC gốc và tiờu đề an ninh. Một thụng số thay đổi theo thời gian cũng được sử dụng để trỏnh tấn cụng bằng cỏch phỏt lại.
3.7.1.2 IPsec
Cỏc phần chớnh của IPsec là tiờu đề nhận thực (AH), tải tin an ninh đúng bao (ESP) và trao đổi khúa Internet (IKE).
IPsec được sử dụng để bảo vệ cỏc gúi IP. Quỏ trỡnh này được thực hiện bởi ESP, nú đảm bảo cả bớ mật lẫn toàn vẹn, cũn AH chỉđảm bảo tớnh toàn vẹn. Cả AH và ESP đều cần cỏc khúa để thực hiện nhận thực và mật mó húa cỏc gúi. Vỡ thế trước khi sử dụng ESP và AH cần đàm phỏn cỏc khúa này. Quỏ trỡnh này được thực hiện một cỏch an ninh thụng qua IKE được xõy dựng trờn ý tưởng mật mó húa khúa cụng cộng nhằm trao đổi thụng tin an ninh trờn đường truyền khụng an ninh.
Tồn tại hai chếđộ ESP: chếđộ truyền tải và chếđộ truyền tunnel. Trong chếđộ
truyền tải toàn bộ gúi IP (trừ tiờu đề) đều được mật mó húa. Sau đú một tiờu đề ESP mới được bổ sung giữa tiờu đề IP và phần vừa được mật mó húa. Sau cựng mó nhận thực bản tin (MAC) được tớnh toỏn cho toàn bộ, trừ tiờu đề IP và MAC được đặt vào cuối gúi. Tại phớa thu, tớnh toỏn toàn vẹn được đảm bảo bằng cỏch loại bỏ tiờu đề IP khỏi đầu gúi và MAC khỏi cuối gúi. Sau đú thực hiện hàm MAC và so sỏnh đầu ra của nú với MAC trong gúi. Nếu toàn vẹn thành cụng, tiờu đề ESP được loại bỏ và phần cũn lại được giải mó.
Trong chế độ truyền tunnel, một tiờu đề mới được bổ sung tại đầu gúi. Sau đú quỏ trỡnh này được tiến hành nhưở chếđộ truyền tải cho gúi mới nhận được. Điều này cú nghĩa là tiờu đề IP của gúi gốc được bảo vệ.
Truyền thụng ESP được thực hiện giữa hai đầu cuối sử dụng chếđộ truyền tải.
Để thực hiện quỏ trỡnh này hai phớa truyền thụng phải biết được địa chỉ IP của nhau và thực hiện chức năng IPsec.
3.7.2 An ninh IMS
3.7.2.1 Giao thức khởi tạo phiờn SIP
SIP làm việc như sau: một người sử dụng hoặc một tỏc nhõn người sử dụng (UA) gửi một bản tin lời mời “INVITE” đến một người sử dụng khỏc để bắt đầu phiờn họp nơi mà dữ liệu đa phương tiện được trao đổi. SIP ủy thỏc giỳp người sử dụng thực hiện nhiệm vụ này. UA này cũng gửi bản tin đăng ký “REGISTER” tới cỏc Server SIP, cỏi mà được gọi là “cỏc hộ tịch viờn”. Việc đăng ký của UA này giỳp cho cỏc UA khỏc cú thể tỡm được nú. UA được mời sẽ gửi trở lại UA mời một bản tin OK nếu quyết
đinh chấp nhận phiờn họp. Trong tải của cỏc bản tin SIP, cỏc phiờn truyền thụng sử
dụng giao thức miờu tả phiờn (SDP). Cỏc đặc tớnh này bao gồm tờn và thời gian của phiờn, kiểu và dạng của chuỗi truyền thụng, cỏc địa chỉ và cổng của nơi nhận. Người sử dụng cú thể kết thỳc cỏc phiờn này bằng việc gửi bản tin “BYE”.
SIP dựa trờn cỏch thức hỏi và trả lời, tương tự như HTTP. Mỗi bản tin SIP là một yờu cầu được gửi từ một Client tới một Server hoặc một trả lời được gửi ngược trở
lại. Chỳ ý rằng UA bao gồm cả hai Server (UAS) và Client (UAC).
Cú 6 kiểu yờu cầu cơ bản, được gọi là cỏc phương thức trong SIP: “REGISTER” sử dụng cho việc đăng ký thụng tin cho một người sử dụng; “INVITE”; “ACK” và “CANCEL” để thiết lập cỏc phiờn; “BYE” để kết thỳc cỏc phiờn; “OPTION” để tỡm ra cỏc khả năng của Server. Ngoài ra cũn cú “INFO” để truyền cỏc thụng tin bỏo hiệu phiờn trung bỡnh và “MESSAGE” cho cỏc bản tin gấp.
Cỏc trả lời bao gồm một mó tỡnh trạng tạo thành từ ba số nguyờn. Số đầu tiờn cho biết kiểu của trả lời trong cỏc dạng dưới đõy:
+ 1xx là trả lời cỏ nhõn, được thiết lập trong quỏ trỡnh xử lý kết quả;
+ 2xx biểu thị yờu cầu được chấp nhận;
+ 3xx biểu thị giỏn tiếp;
+ 4xx biểu thị lỗi Client, bằng cỏch nào đú một yờu cầu trở nờn xấu hoặc gửi nhầm Server;
+ 5xx biểu thị lỗi Server (vớ dụ yờu cầu hợp lệ nhưng Server khụng thực hiện nú);
+ 6xx là lỗi cục bộ, yờu cầu khụng thểđược thực hiện bởi tất cả cỏc Server.
Một giao dịch bao gồm yờu cầu được gửi đi bằng một Client và tất cả trả lời cho cỏc yờu cầu đú được gửi lại bởi một Server. Lớp giao dịch SIP chịu trỏch nhiệm
truyền lại cỏc yờu cầu và trả lời, làm khớp cỏc trả lời cho đỳng với cỏc yờu cầu và khụng tớnh thời gian.
Yờu cầu INVITE thiết lập một hộp thoại: một mối quan hệ SIP ngang hàng, tồn tại một thời gian và bao gồm vài giao dịch. Hộp thoại cũng làm cho việc sắp xếp dễ
dàng hơn và việc định tuyến cỏc bản tin SIP giữa cỏc UA chớnh xỏc hơn.
Ngoài ra, cỏc bản tin SIP cũn bao gồm cỏc trường tiờu đề và nội dung bản tin. Dưới đõy là vớ dụ về cỏc kiểu tiều đề:
+ Via: bao gồm địa chỉđểđược trả lời;
+ To: ghi rừ một cỏch logic theo yờu cầu của người nhận;
+ From: chỉ thị khởi đầu của một yờu cầu;
+ Call-ID: nhận dạng duy nhõt một phiờn của một người dựng cụ thể;
+ Contact: hướng tới một nhận dạng tài nguyờn đồng dạng (URI) và ý nghĩa của chỳng phụ thuộc vào kiểu yờu cầu;
+ Content-Type: biểu thị kiểu thụng tin được truyền trong nội dung bản tin;
+ Authentication-Info: được sử dụng để nhận thực qua lại bởi cơ chế túm tắt HTTP;
+ Authorization: bao gồm cỏc giấy chứng nhận của UA cần cho việc nhận thực;
+ Priority: biểu thị sự khẩn cấp của yờu cầu;
+ Record-Router: được thờm vào bởi sự ủy thỏc cho cỏc yờu cầu trong tương lai
đểđịnh tuyến thụng qua cựng một sựủy thỏc;
+ Subject: biểu thịđặc tớnh/bản chất của cuộc gọi.
3.7.2.2 Kiến trỳc an ninh IMS
Trong miền PS, dịch vụ chỉđược cung cấp khi đó thiết lập một liờn kết an ninh giữa thiết bị di động và mạng. IMS về bản chất là một hệ thống xếp chồng liờn miền. Vỡ thế cần cú một liờn kết an ninh riờng giữa Client đa phương tiện và IMS, trước khi cho phộp truy nhập cỏc dịch vụ đa phương tiện. Kiến trỳc an ninh IMS được cho ở
hỡnh 3.14.
Cỏc khúa nhận thực IMS và cỏc hàm tại phớa người sử dụng được lưu tại UICC. Cỏc khúa và cỏc hàm này cú thể độc lập logic với cỏc khúa và cỏc hàm sử dụng để
nhận thực cho miền. Tuy nhiờn, điều này khụng cản trở việc sử dụng cỏc khúa nhận thực và cỏc hàm chung cho việc nhận thực cả miền IMS lẫn miền PS.
Hỡnh 3.14 Kiến trỳc an ninh IMS.
Tồn tại năm liờn kết an ninh và cỏc nhu cầu khỏc nhau để bảo vệ an ninh cho IMS, cỏc liờn kết này được đỏnh số 1, 2...5 trờn hỡnh 3.14 như sau:
1. Đảm bảo nhận thực tương hỗ. HSS giao phú thực hiện nhận thực thuờ bao cho IMS CSCF. Tuy nhiờn nú chịu trỏch nhiệm tạo ra cỏc khúa và cỏc hụ lệnh. Khúa dài hạn trong mụ dun nhận dạng dịch vụ đa phương tiện Internet (ISIM) và HSS liờn kết với nhận dạng riờng đa phương tiện Internet (IMPI). Thuờ bao sẽ cú một nhận dạng riờng người sử dụng trong mạng (IMPI) và ớt nhất một dạng cụng cộng người sử dụng bờn ngoài (IMPI: nhận dạng cụng cộng đa phương tiện Internet).
2. Đảm bảo đường truyền an ninh và liờn kết an ninh giữa UE và P-CSCF để
bảo vệ điểm giao diện Gm. Nhận thực nguồn gốc số liệu được đảm bảo (chứng thực rằng nguồn gốc số liệu nhận được là đỳng như yờu cầu).
3. Đảm bảo an ninh giữa miền mạng bờn ngoài cho giao diện Cx.
4. Đảm bảo an ninh giữa cỏc mạng khỏc nhau đối với cỏc nỳt cú khả năng SIP. 5. Đảm bảo an ninh trong mạng giữa cỏc nỳt cú khả năng SIP.
3.7.2.3 Mụ hỡnh an ninh IMS của UMTS R5
3G UMTS R5 chỉ thay đổi mạng lừi chuyển mạch gúi, cũn phần chuyển mạch kờnh của mạng lừi cú thể là MSC/GMSC của cỏc kiến trỳc trước. R5 đưa ra hai phần tử chớnh và mạng lừi (mụ tả cho trường hợp kết nối cuộc gọi giữa cỏc IMS).
Hỡnh 3.15 Kiến trỳc an ninh IMS của UMTS R5.
1. Miền mạng lừi mới: được gọi là hệ thống con mạng lừi đa phương tiện IP (IMS).
2. Nõng cấp cỏc SGSN để hỗ trợ thoại thời gian thực và cỏc dịch vụ nhạy cảm khỏc hay IMS.
Vựng đa phương tiện Internet được xõy dựng trờn cơ sở giao thức khởi tạo phiờn (SIP) dựa trờn cụng nghệ VoIP. Trong miền PS, dịch vụ khụng được cung cấp chừng nào chưa được liờn kết an ninh giữa cỏc thiết bị di động và mạng. IMS chồng lấn lờn miền PS và ớt lệ thuộc vào miền này. Điều khiển trong R5 được thực hiện bởi mạng nhà. Sựđiều khiển phức tạp này dẫn đến sự xuất hiện 3 chức năng điều khiển tỡnh trạng cuộc gọi (CSCF): I-CSCF (CSCF hỏi); S-CSCF (CSCF phục vụ) và P-CSCF (CSCF ủy khỏc). Để sử dụng dịch vụ của IMS, trước hết người sử dụng phải đăng ký với mạng. Trong mọi trường hợp dự ở mạng nhà hay mạng khỏch thủ tục này được thực hiện qua P-CSCF. P-CSCF vừa đảm bảo hỗ trợ phiờn đa phương tiện cơ sở, vừa
đúng vai trũ như một tường lửa cho miền IMS. Quỏ trỡnh người sử dụng tỡm thấy P- CSCF như sau: trước hết user tớch cực một phiờn PDP context để bỏo hiệu và đăng ký, nhận được một địa chỉ IP động hoặc tĩnh, sau đú user này sẽ gửi một tra hỏi hệ thống tờn miền (DNS) về P-CSCF. Khi đú DNS tại GGSN gửi trả lời địa chỉ của P-CSCF. Tất cả bỏo hiệu UE-mạng đều được gửi đến P-CSCF và đầu cuối di động khụng thể
biết được địa chỉ của cỏc CSCF khỏc. Một bản tin đăng ký được gửi đến P-CSCF, bản tin này được P-CSCF chuyển đến I-CSCF trong mạng nhà (P-CSCF nhận dạng mạng nhà theo IMSI hoặc SIP URL của người sử dụng). I-CSCF đúng vai trũ như một cổng
đối với mạng khỏc, cú nhiệm vụ kiểm soỏt truy nhập IMS qua cỏc mạng khỏc và hỏi HSS. S-CSCF cú nhiều chức năng hơn P-CSCF và I-CSCF. Nú truy nhập đến cỏc tài nguyờn cần thiết để xử lý dịch vụ được yờu cầu. HSS là một HLR được bổ sung cỏc khả năng mới phự hợp cho miền IM.
3.7.2.4 Quỏ trỡnh đăng ký và nhận thực trong IMS
Trong mục này chỳng ta sẽ tỡm hiểu tổng quan về cỏc thành phần của kiến trỳc an ninh IMS được sử dụng trong giao thức khởi tạo phiờn (SIP) (hỡnh 3.16).
Cú hai thủ tục quan trọng trong cả bản thõn giao thức khởi tạo phiờn (SIP) lẫn an ninh IMS, đú là: “REGISTER” để đăng ký và “INVITE” để thiết lập cỏc phiờn. Chỳng ta sẽ núi đến giải phỏp an ninh cho IMS xung quanh hai chức năng cơ bản này.
Sử dụng IMS dựa trờn cơ sở của sự tỏn thành. Người sử dụng thỏa thuận với người quản lý IMS và cú một nhận dạng riờng IMS (IMPI) cỏi này được lưu ở cả ISIM lẫn HSS. Nú cũng là một mật mó, khoỏ chủ (K 128bit) được lưu trong bộ nối của IMPI. IMPI khụng được chỉ định đểđềđịa chỉ người sử dụng; thay vào đú tồn tại ớt nhất một nhận dạng cụng cộng IMS (được cài vào IMPI). Cú thể cú sự khỏc nhau về
cỏc đặc điểm dịch vụ bờn trong một tiểu mục đơn giản, cỏc IMPU khỏc nhau sẽ được nối tới cựng một IMPI. Về mặt kỹ thuật thỡ IMPI cú hỡnh thể của nhận dạng truy nhập mạng (NAI), trong khi IMPU cú hỡnh thể của một SIP URI hoặc URL(định vị tài nguyờn đồng dạng).
Trước khi một thuờ bao cú thể bắt đầu sử dụng dịch vụđược cung cấp bởi IMS, thuờ bao đú phải thực hiện đăng ký, cụng việc này cú thểđược thực hiện bằng việc gửi
đi một bản tin yờu cầu REGISTER tới một CSCF uỷ thỏc (P-CSCF). Bản tin này bao gồm cảđịa chỉ riờng IMPI đểđược nhận thực và ớt nhất một IMPU đểđược đăng ký. Cỏc vấn đề của quỏ trỡnh tỡm kiếm địa chỉ của một P-CSCF thớch hợp được thực hiện bởi bỏo hiệu trong miền PS của 3G UMTS R5.
Hỡnh 3.16 Đăng ký và nhận thực trong IMS.
P-CSCF chuyển tiếp yờu cầu đăng ký (REGISTER) đến CSCF hỏi (I-CSCF), chỳng lần lượt giao tiếp với HSS để xỏc định vị trớ của một CSCF phục vụ (S-CSCF) thớch hợp cho người sử dụng. Tất cả cỏc quỏ trỡnh thụng tin này cũng như tất cả quỏ trỡnh thụng tin sau này giữa cỏc thành phần mạng (NE), đều được bảo vệ bởi phương thức an ninh miền mạng (NDS) sử dụng cỏc liờn kết an ninh (SA), SA khụng riờng biệt
đối với từng thuờ bao.
Sau khi S-CSCF được xỏc định, bản tin đăng ký “REGISTER” được chuyển tiếp đến nú. Sau đú, S-CSCF yờu cầu HSS gửi đến cho nú cỏc AV. Cần lưu ý thủ tục nhận thực và thỏa thuận khúa IMS được thực hiện như nhau ở cả miền PS lẫn CS và cú cựng một mục đớch. Hơn nữa nú cũng cú thể sử dụng lại cỏc mụ-dun anh ninh giống nhau bờn phớa người sử dụng (vớ dụ sử dụng lại USIM) như là ISIM. Trong trường hợp này cỏc thụng sốđặc trưng cho IMS cú thểđược lưu trong đầu cuối di động và chỳng cũng liờn quan đến bờn mạng, đỏng chỳ ý nhất là HSS cú khả năng sử dụng cựng một AuC để sử dụng cho cả miền CS và PS.
HSS gửi cỏc AV đến cho S-CSCF, đồng thời nú tiến hành lưu địa chỉ của S- CSCF được chọn. Tiếp theo, S-CSCF chọn AV đầu tiờn và gửi ba hoặc bốn thụng số
(ngoại trừ XRES và cú thể cú cả CK) tới P-CSCF thụng qua I-CSCF. Sau khi nhận
được cỏc thụng số này, P-CSCF lấy ra khúa toàn vẹn (IK) và chuyển tiếp RAND và AUTN đến UE. Bản tin SIP được sử dụng để truyền tất cả cỏc thụng tin này là “401 Authorized”. Vỡ thế, từ khớa cạnh SIP thuần tỳy việc thửđăng ký đầu tiờn đó thất bại.
Tuy nhiờn, ISIM trong UE bõy giờ cú khả năng kiểm tra tớnh hợp lệ của AUTN,
đồng thời nếu kết quả của việc kiểm tra được xỏc thực thỡ RES và IK cũng được tớnh toỏn. Một thụng số nhận được từ RES kể cả trong yờu cầu REGISTER sẽđược bảo vệ
toàn vẹn bởi khúa toàn vẹn (IK). Bảo vệ toàn vẹn được thực hiện bằng phương tiện của giao thức đúng bao tải trọng an ninh (ESP) trong IPsec. Khúa toàn vẹn IK là một phần quan trọng nhất của ESP.
Tiếp theo, một bản tin “REGISTER” mới được gửi đến P-CSCF, sau đú nú
được chuyển tiếp đến I-CSCF. Tiếp đến chỳng được kiểm tra tớnh hợp lệ của địa chỉ S- CSCF bởi HSS. Chỳ ý rằng I-CSCF đảm bảo vụ điều kiện cho cỏc thuờ bao. “REGISTER” sau đú được chuyển tiếp đến S-CSCF, tại đõy RES (nhận được từ UE)
được so sỏnh với XRES. Nếu chỳng giống nhau, thỡ bản tin “OK” sẽ được gửi ngược trở lại UE.
Thủ tục AKA bõy giờđó được hoàn tất và kết quả cuối cựng như sau:
+ UE và P-CSCF dựng chung IPsec ESP SA, cỏi mà cú thểđược sử dụng để bảo vệ tất cả cỏc cuộc truyền thụng giữa chỳng.
+ S-CSCF và HSS cú cả hai sự thay đổi tỡnh trạng của thuờ bao từ “khụng đăng ký” đến “đăng ký”.
S-CSCF luụn luụn thực hiện thủ tục AKA tại thời điểm khởi đầu đăng ký. Để đăng ký lại, nhận thực cú thểđược bỏ qua, phụ thuộc vào việc chọn lựa của S-CSCF.