3.7.2.1 Giao thức khởi tạo phiờn SIP
SIP làm việc như sau: một người sử dụng hoặc một tỏc nhõn người sử dụng (UA) gửi một bản tin lời mời “INVITE” đến một người sử dụng khỏc để bắt đầu phiờn họp nơi mà dữ liệu đa phương tiện được trao đổi. SIP ủy thỏc giỳp người sử dụng thực hiện nhiệm vụ này. UA này cũng gửi bản tin đăng ký “REGISTER” tới cỏc Server SIP, cỏi mà được gọi là “cỏc hộ tịch viờn”. Việc đăng ký của UA này giỳp cho cỏc UA khỏc cú thể tỡm được nú. UA được mời sẽ gửi trở lại UA mời một bản tin OK nếu quyết
đinh chấp nhận phiờn họp. Trong tải của cỏc bản tin SIP, cỏc phiờn truyền thụng sử
dụng giao thức miờu tả phiờn (SDP). Cỏc đặc tớnh này bao gồm tờn và thời gian của phiờn, kiểu và dạng của chuỗi truyền thụng, cỏc địa chỉ và cổng của nơi nhận. Người sử dụng cú thể kết thỳc cỏc phiờn này bằng việc gửi bản tin “BYE”.
SIP dựa trờn cỏch thức hỏi và trả lời, tương tự như HTTP. Mỗi bản tin SIP là một yờu cầu được gửi từ một Client tới một Server hoặc một trả lời được gửi ngược trở
lại. Chỳ ý rằng UA bao gồm cả hai Server (UAS) và Client (UAC).
Cú 6 kiểu yờu cầu cơ bản, được gọi là cỏc phương thức trong SIP: “REGISTER” sử dụng cho việc đăng ký thụng tin cho một người sử dụng; “INVITE”; “ACK” và “CANCEL” để thiết lập cỏc phiờn; “BYE” để kết thỳc cỏc phiờn; “OPTION” để tỡm ra cỏc khả năng của Server. Ngoài ra cũn cú “INFO” để truyền cỏc thụng tin bỏo hiệu phiờn trung bỡnh và “MESSAGE” cho cỏc bản tin gấp.
Cỏc trả lời bao gồm một mó tỡnh trạng tạo thành từ ba số nguyờn. Số đầu tiờn cho biết kiểu của trả lời trong cỏc dạng dưới đõy:
+ 1xx là trả lời cỏ nhõn, được thiết lập trong quỏ trỡnh xử lý kết quả;
+ 2xx biểu thị yờu cầu được chấp nhận;
+ 3xx biểu thị giỏn tiếp;
+ 4xx biểu thị lỗi Client, bằng cỏch nào đú một yờu cầu trở nờn xấu hoặc gửi nhầm Server;
+ 5xx biểu thị lỗi Server (vớ dụ yờu cầu hợp lệ nhưng Server khụng thực hiện nú);
+ 6xx là lỗi cục bộ, yờu cầu khụng thểđược thực hiện bởi tất cả cỏc Server.
Một giao dịch bao gồm yờu cầu được gửi đi bằng một Client và tất cả trả lời cho cỏc yờu cầu đú được gửi lại bởi một Server. Lớp giao dịch SIP chịu trỏch nhiệm
truyền lại cỏc yờu cầu và trả lời, làm khớp cỏc trả lời cho đỳng với cỏc yờu cầu và khụng tớnh thời gian.
Yờu cầu INVITE thiết lập một hộp thoại: một mối quan hệ SIP ngang hàng, tồn tại một thời gian và bao gồm vài giao dịch. Hộp thoại cũng làm cho việc sắp xếp dễ
dàng hơn và việc định tuyến cỏc bản tin SIP giữa cỏc UA chớnh xỏc hơn.
Ngoài ra, cỏc bản tin SIP cũn bao gồm cỏc trường tiờu đề và nội dung bản tin. Dưới đõy là vớ dụ về cỏc kiểu tiều đề:
+ Via: bao gồm địa chỉđểđược trả lời;
+ To: ghi rừ một cỏch logic theo yờu cầu của người nhận;
+ From: chỉ thị khởi đầu của một yờu cầu;
+ Call-ID: nhận dạng duy nhõt một phiờn của một người dựng cụ thể;
+ Contact: hướng tới một nhận dạng tài nguyờn đồng dạng (URI) và ý nghĩa của chỳng phụ thuộc vào kiểu yờu cầu;
+ Content-Type: biểu thị kiểu thụng tin được truyền trong nội dung bản tin;
+ Authentication-Info: được sử dụng để nhận thực qua lại bởi cơ chế túm tắt HTTP;
+ Authorization: bao gồm cỏc giấy chứng nhận của UA cần cho việc nhận thực;
+ Priority: biểu thị sự khẩn cấp của yờu cầu;
+ Record-Router: được thờm vào bởi sự ủy thỏc cho cỏc yờu cầu trong tương lai
đểđịnh tuyến thụng qua cựng một sựủy thỏc;
+ Subject: biểu thịđặc tớnh/bản chất của cuộc gọi.
3.7.2.2 Kiến trỳc an ninh IMS
Trong miền PS, dịch vụ chỉđược cung cấp khi đó thiết lập một liờn kết an ninh giữa thiết bị di động và mạng. IMS về bản chất là một hệ thống xếp chồng liờn miền. Vỡ thế cần cú một liờn kết an ninh riờng giữa Client đa phương tiện và IMS, trước khi cho phộp truy nhập cỏc dịch vụ đa phương tiện. Kiến trỳc an ninh IMS được cho ở
hỡnh 3.14.
Cỏc khúa nhận thực IMS và cỏc hàm tại phớa người sử dụng được lưu tại UICC. Cỏc khúa và cỏc hàm này cú thể độc lập logic với cỏc khúa và cỏc hàm sử dụng để
nhận thực cho miền. Tuy nhiờn, điều này khụng cản trở việc sử dụng cỏc khúa nhận thực và cỏc hàm chung cho việc nhận thực cả miền IMS lẫn miền PS.
Hỡnh 3.14 Kiến trỳc an ninh IMS.
Tồn tại năm liờn kết an ninh và cỏc nhu cầu khỏc nhau để bảo vệ an ninh cho IMS, cỏc liờn kết này được đỏnh số 1, 2...5 trờn hỡnh 3.14 như sau:
1. Đảm bảo nhận thực tương hỗ. HSS giao phú thực hiện nhận thực thuờ bao cho IMS CSCF. Tuy nhiờn nú chịu trỏch nhiệm tạo ra cỏc khúa và cỏc hụ lệnh. Khúa dài hạn trong mụ dun nhận dạng dịch vụ đa phương tiện Internet (ISIM) và HSS liờn kết với nhận dạng riờng đa phương tiện Internet (IMPI). Thuờ bao sẽ cú một nhận dạng riờng người sử dụng trong mạng (IMPI) và ớt nhất một dạng cụng cộng người sử dụng bờn ngoài (IMPI: nhận dạng cụng cộng đa phương tiện Internet).
2. Đảm bảo đường truyền an ninh và liờn kết an ninh giữa UE và P-CSCF để
bảo vệ điểm giao diện Gm. Nhận thực nguồn gốc số liệu được đảm bảo (chứng thực rằng nguồn gốc số liệu nhận được là đỳng như yờu cầu).
3. Đảm bảo an ninh giữa miền mạng bờn ngoài cho giao diện Cx.
4. Đảm bảo an ninh giữa cỏc mạng khỏc nhau đối với cỏc nỳt cú khả năng SIP. 5. Đảm bảo an ninh trong mạng giữa cỏc nỳt cú khả năng SIP.
3.7.2.3 Mụ hỡnh an ninh IMS của UMTS R5
3G UMTS R5 chỉ thay đổi mạng lừi chuyển mạch gúi, cũn phần chuyển mạch kờnh của mạng lừi cú thể là MSC/GMSC của cỏc kiến trỳc trước. R5 đưa ra hai phần tử chớnh và mạng lừi (mụ tả cho trường hợp kết nối cuộc gọi giữa cỏc IMS).
Hỡnh 3.15 Kiến trỳc an ninh IMS của UMTS R5.
1. Miền mạng lừi mới: được gọi là hệ thống con mạng lừi đa phương tiện IP (IMS).
2. Nõng cấp cỏc SGSN để hỗ trợ thoại thời gian thực và cỏc dịch vụ nhạy cảm khỏc hay IMS.
Vựng đa phương tiện Internet được xõy dựng trờn cơ sở giao thức khởi tạo phiờn (SIP) dựa trờn cụng nghệ VoIP. Trong miền PS, dịch vụ khụng được cung cấp chừng nào chưa được liờn kết an ninh giữa cỏc thiết bị di động và mạng. IMS chồng lấn lờn miền PS và ớt lệ thuộc vào miền này. Điều khiển trong R5 được thực hiện bởi mạng nhà. Sựđiều khiển phức tạp này dẫn đến sự xuất hiện 3 chức năng điều khiển tỡnh trạng cuộc gọi (CSCF): I-CSCF (CSCF hỏi); S-CSCF (CSCF phục vụ) và P-CSCF (CSCF ủy khỏc). Để sử dụng dịch vụ của IMS, trước hết người sử dụng phải đăng ký với mạng. Trong mọi trường hợp dự ở mạng nhà hay mạng khỏch thủ tục này được thực hiện qua P-CSCF. P-CSCF vừa đảm bảo hỗ trợ phiờn đa phương tiện cơ sở, vừa
đúng vai trũ như một tường lửa cho miền IMS. Quỏ trỡnh người sử dụng tỡm thấy P- CSCF như sau: trước hết user tớch cực một phiờn PDP context để bỏo hiệu và đăng ký, nhận được một địa chỉ IP động hoặc tĩnh, sau đú user này sẽ gửi một tra hỏi hệ thống tờn miền (DNS) về P-CSCF. Khi đú DNS tại GGSN gửi trả lời địa chỉ của P-CSCF. Tất cả bỏo hiệu UE-mạng đều được gửi đến P-CSCF và đầu cuối di động khụng thể
biết được địa chỉ của cỏc CSCF khỏc. Một bản tin đăng ký được gửi đến P-CSCF, bản tin này được P-CSCF chuyển đến I-CSCF trong mạng nhà (P-CSCF nhận dạng mạng nhà theo IMSI hoặc SIP URL của người sử dụng). I-CSCF đúng vai trũ như một cổng
đối với mạng khỏc, cú nhiệm vụ kiểm soỏt truy nhập IMS qua cỏc mạng khỏc và hỏi HSS. S-CSCF cú nhiều chức năng hơn P-CSCF và I-CSCF. Nú truy nhập đến cỏc tài nguyờn cần thiết để xử lý dịch vụ được yờu cầu. HSS là một HLR được bổ sung cỏc khả năng mới phự hợp cho miền IM.
3.7.2.4 Quỏ trỡnh đăng ký và nhận thực trong IMS
Trong mục này chỳng ta sẽ tỡm hiểu tổng quan về cỏc thành phần của kiến trỳc an ninh IMS được sử dụng trong giao thức khởi tạo phiờn (SIP) (hỡnh 3.16).
Cú hai thủ tục quan trọng trong cả bản thõn giao thức khởi tạo phiờn (SIP) lẫn an ninh IMS, đú là: “REGISTER” để đăng ký và “INVITE” để thiết lập cỏc phiờn. Chỳng ta sẽ núi đến giải phỏp an ninh cho IMS xung quanh hai chức năng cơ bản này.
Sử dụng IMS dựa trờn cơ sở của sự tỏn thành. Người sử dụng thỏa thuận với người quản lý IMS và cú một nhận dạng riờng IMS (IMPI) cỏi này được lưu ở cả ISIM lẫn HSS. Nú cũng là một mật mó, khoỏ chủ (K 128bit) được lưu trong bộ nối của IMPI. IMPI khụng được chỉ định đểđềđịa chỉ người sử dụng; thay vào đú tồn tại ớt nhất một nhận dạng cụng cộng IMS (được cài vào IMPI). Cú thể cú sự khỏc nhau về
cỏc đặc điểm dịch vụ bờn trong một tiểu mục đơn giản, cỏc IMPU khỏc nhau sẽ được nối tới cựng một IMPI. Về mặt kỹ thuật thỡ IMPI cú hỡnh thể của nhận dạng truy nhập mạng (NAI), trong khi IMPU cú hỡnh thể của một SIP URI hoặc URL(định vị tài nguyờn đồng dạng).
Trước khi một thuờ bao cú thể bắt đầu sử dụng dịch vụđược cung cấp bởi IMS, thuờ bao đú phải thực hiện đăng ký, cụng việc này cú thểđược thực hiện bằng việc gửi
đi một bản tin yờu cầu REGISTER tới một CSCF uỷ thỏc (P-CSCF). Bản tin này bao gồm cảđịa chỉ riờng IMPI đểđược nhận thực và ớt nhất một IMPU đểđược đăng ký. Cỏc vấn đề của quỏ trỡnh tỡm kiếm địa chỉ của một P-CSCF thớch hợp được thực hiện bởi bỏo hiệu trong miền PS của 3G UMTS R5.
Hỡnh 3.16 Đăng ký và nhận thực trong IMS.
P-CSCF chuyển tiếp yờu cầu đăng ký (REGISTER) đến CSCF hỏi (I-CSCF),
chỳng lần lượt giao tiếp với HSS để xỏc định vị trớ của một CSCF phục vụ (S-CSCF)
thớch hợp cho người sử dụng. Tất cả cỏc quỏ trỡnh thụng tin này cũng như tất cả quỏ
trỡnh thụng tin sau này giữa cỏc thành phần mạng (NE), đều được bảo vệ bởi phương
thức an ninh miền mạng (NDS) sử dụng cỏc liờn kết an ninh (SA), SA khụng riờng biệt
đối với từng thuờ bao.
Sau khi S-CSCF được xỏc định, bản tin đăng ký “REGISTER” được chuyển tiếp đến nú. Sau đú, S-CSCF yờu cầu HSS gửi đến cho nú cỏc AV. Cần lưu ý thủ tục nhận thực và thỏa thuận khúa IMS được thực hiện như nhau ở cả miền PS lẫn CS và cú cựng một mục đớch. Hơn nữa nú cũng cú thể sử dụng lại cỏc mụ-dun anh ninh giống nhau bờn phớa người sử dụng (vớ dụ sử dụng lại USIM) như là ISIM. Trong trường hợp này cỏc thụng sốđặc trưng cho IMS cú thểđược lưu trong đầu cuối di động và chỳng cũng liờn quan đến bờn mạng, đỏng chỳ ý nhất là HSS cú khả năng sử dụng cựng một AuC để sử dụng cho cả miền CS và PS.
HSS gửi cỏc AV đến cho S-CSCF, đồng thời nú tiến hành lưu địa chỉ của S- CSCF được chọn. Tiếp theo, S-CSCF chọn AV đầu tiờn và gửi ba hoặc bốn thụng số
(ngoại trừ XRES và cú thể cú cả CK) tới P-CSCF thụng qua I-CSCF. Sau khi nhận
được cỏc thụng số này, P-CSCF lấy ra khúa toàn vẹn (IK) và chuyển tiếp RAND và AUTN đến UE. Bản tin SIP được sử dụng để truyền tất cả cỏc thụng tin này là “401 Authorized”. Vỡ thế, từ khớa cạnh SIP thuần tỳy việc thửđăng ký đầu tiờn đó thất bại.
Tuy nhiờn, ISIM trong UE bõy giờ cú khả năng kiểm tra tớnh hợp lệ của AUTN,
đồng thời nếu kết quả của việc kiểm tra được xỏc thực thỡ RES và IK cũng được tớnh toỏn. Một thụng số nhận được từ RES kể cả trong yờu cầu REGISTER sẽđược bảo vệ
toàn vẹn bởi khúa toàn vẹn (IK). Bảo vệ toàn vẹn được thực hiện bằng phương tiện của giao thức đúng bao tải trọng an ninh (ESP) trong IPsec. Khúa toàn vẹn IK là một phần quan trọng nhất của ESP.
Tiếp theo, một bản tin “REGISTER” mới được gửi đến P-CSCF, sau đú nú
được chuyển tiếp đến I-CSCF. Tiếp đến chỳng được kiểm tra tớnh hợp lệ của địa chỉ S- CSCF bởi HSS. Chỳ ý rằng I-CSCF đảm bảo vụ điều kiện cho cỏc thuờ bao. “REGISTER” sau đú được chuyển tiếp đến S-CSCF, tại đõy RES (nhận được từ UE)
được so sỏnh với XRES. Nếu chỳng giống nhau, thỡ bản tin “OK” sẽ được gửi ngược trở lại UE.
Thủ tục AKA bõy giờđó được hoàn tất và kết quả cuối cựng như sau:
+ UE và P-CSCF dựng chung IPsec ESP SA, cỏi mà cú thểđược sử dụng để bảo vệ tất cả cỏc cuộc truyền thụng giữa chỳng.
+ S-CSCF và HSS cú cả hai sự thay đổi tỡnh trạng của thuờ bao từ “khụng đăng ký” đến “đăng ký”.
S-CSCF luụn luụn thực hiện thủ tục AKA tại thời điểm khởi đầu đăng ký. Để đăng ký lại, nhận thực cú thểđược bỏ qua, phụ thuộc vào việc chọn lựa của S-CSCF. S-CSCF cũng cú thể bắt buộc UE đăng ký lại tại bất cứ thời điểm nào. Vỡ thế, S-CSCF cú thể nhận thực UE bất cứ khi nào nú muốn.
3.8 Kết luận
Đõy là chương chớnh của quyển đồ ỏn, nội dung của chương đề cập đến cỏc giải phỏp an ninh trong hệ thống 3G UMTS. An ninh trong 3G được đảm bảo bởi ba nguyờn lý: nhận thực; bảo mật và toàn vẹn. Nhận thực để đảm bảo chỉ cú người sử
dụng hợp phỏp mới được quyền truy nhập thành cụng vào hệ thống, nhận thực ở 3G UMTS được thực hiện ở cả hai chiều: mạng nhận thực người sử dụng và người sử
dụng nhận thực mạng. Kiểu nhận thực này cũn được gọi là nhận thực qua lại. Bảo mật và toàn vẹn đảm bảo tớnh riờng tư và an toàn thụng tin của người sử dụng. Để làm
được điều đú an ninh 3G UMTS đó thực hiện thủ tục nhận thực và thỏa thuận khúa AKA. Khi người sử dụng mới truy nhập lần đầu vào hệ thống, yờu cầu kết nối, hủy kết nối, yờu cầu sử dụng cỏc ứng dụng dịch vụ cao hơn... đều phải thực hiện thủ tục này. Thủ tục này thực hiện được bằng cỏch sử dụng cỏc hàm mật mó (là cỏc hàm một chiều), cựng với khúa chủ (K) được lưu trong USIM và AuC, để tạo ra cỏc vec-tơ nhận thực và cỏc thụng số nhận thực... Ở cấu trỳc 3G UMTS R5 an ninh được đảm bảo bằng cỏc cơ chế an ninh miền mạng (IPsec và MAPsec), an ninh IMS, vỡ 3G UMTS R5 là cấu trỳc mạng toàn IP. Tất cả cỏc đặc điểm trờn đều tạo nờn một hệ thống 3G UMTS đảm bảo an ninh hơn hẳn hệ thống 2G GSM.
KẾT LUẬN
Trong viễn thụng núi chung và trong thụng tin di động núi riờng, đảm bảo an ninh thụng tin luụn là yờu cầu cấp thiết. Hệ thống thụng tin di động thế hệ thứ ba ra
đời đó mang đến cho khỏch hàng những dịch vụ di động với nhiều ưu điểm vượt trội, dịch vụ lại phong phỳ và đa dạng. Thụng tin di động đang ngày càng được ứng dụng sõu rộng vào mọi ngành nghề kinh tế cũng nhưđời sống sinh hoạt của người dõn. Với chiếc điện thoại di động cú hỗ trợ dịch vụ 3G khỏch hàng cú thể thực hiện mọi cụng việc, từ việc nhắn tin gọi điện với bạn bố, giao lưu học hỏi để trao dồi kiến thức, đến việc thực hiện cỏc giao dịch ngõn hàng trực tuyến. Nếu khụng đảm bảo an ninh thỡ thiệt hại về kinh tế sẽ vụ cựng to lớn, lợi ớch của khỏch hàng khụng được đảm bảo, uy tớn nhà mạng bị giảm sỳt, chớnh vỡ thế đảm bảo an ninh trong hệ thống 3G UMTS là
