3 .Các thủ tục an ninh khi UE khởi xướng kết nối đến EPS
3.5An ninh của người sử dụng LTE trongIMS
3.5.1 Mơ hình an ninh IMS (SIP)
IMS (IP Multimedia Subsystem: phân hệ IP đa phương tiện) được kỳ vọng là một phần tử của LTE/SAE. Miền IMS áp dụng hai kiểu thủ tục an ninh:
o IMS AKA Authentication and Key Agreement). Đảm bảo nhận thực tương o Hỗ giữa người sử dụng và S-CSCF
o IMS SA (Security Association: liên kết an nhinh). Đảm bảo bảo vệ an ninh cho báo hiệu SIP giữa UE và P-CSCF.
Định nghĩa an ninh IMS có năm kiến trúc
o Nhận thực tương hỗ đảm bảo nhận thực giữa ISIM (IM Services Identity Module: mođun nhận dạng các dịch vụ đa phương tiện) và HSS thông qua S-CSCF. HSS ủy thác điều này cho S-CSCF nhưng nó khơng chịu trách nhiệm tạo ra các khóa và các số lệnh
o Truy nhập mạng (Gm) thiết lập đường truyền an ninh và các liên kết an ninh giữa UE và P-CSCF để bảo vệ điểm chuẩn Gm. Nhận thực nguồn gốc số liệu được bảo đảm
o Miền mạng (Cx) đảm bảo an ninh trong miền mạng: (1) giữa HSS và I- CSCF, (2) giữa HSS và C-CSCF để bảo vệ giao diện Cx. Liên kết này cũng đóng vai trị quan trọng trong bảo vệ an ninh khóa và các hơ lệnh trong quá trình đăng ký UE.
o Miền mạng (Mw) đảm bảo an ninh giữa đảm bảo an ninh giữa các nút có khả năng SIP (Session Innitiation Protocol: giao thức khởi đầu phiên). Liên kết an ninh này chỉ áp dụng giữa P-CSCF và các dịch vụ SIP lõi khác khi UE chuyển mạng đến mạng khách (VN: Visited Network)
o Miền mạng (Mw) đảm bảo an ninh nội mạng giữa các nút có khả năng SIP.
Liên kết an ninh này chỉ áp dụng giữa P-CSCF và các dịch vụ SIP lõi khác khi UE hoạt động trong mạng nhà (HN: Home Network).
Ngoại trừ giao diện Gm, tất cả các giao diện và các điểm chuẩn khác trongIMS, dù nằm trong cùng một miền an ninh hay trong các miền an ninh khác nhau, đều được bảo vệ theo chương trình khung NDS/IP.
3.5.2 An ninh mạng lõi IMS CN
Đặc tả 33.203 khuyến nghị bảo vệ cho tất cả các giao diện IMS CN tại lớp truyền tải của mạng. Bảo vệ này được xây dựng trên cơ sở chương trình khung an ninh NDS/IP phác thảo trong 33.210. Bảo vệ phải bao gồm: các dịch vụ toàn vẹn bảo mật và chống phát lại.
Các yêu cầu dưới đây cần được thực hiện trong eNodeB: o Giao thức an ninh ESP [RFC 4303]
o Chế độ an ninh: tunnel (bắt buộc) với truyền tải (tùy chọn) o Phiên bản IKE: IKEv2
SEG có thể là tùy chọn tại đầu cuối EPC cho kết cuối SA. Nếu các giao diện được bảo vệ (môi trường tin tưởng), có thể khơng cần chương trình khung an ninh NDS/IP.