1.10 Bảo Mật Truy Cậ p IPsec Sas
1.10.5 Thiết Lập Cổng Và Định Tuyến
Cần đặc biệt chú ý khi nói đến việc sử dụng các cổng SA, vì chúng ảnh hưởng rất nhiều đến việc định tuyến giữa P-CSCF và UE. Như trong Hình 11.6,
UE của Tobias:
• sẽ gửi tất cả các yêu cầu từ cổng khách hàng được bảo vệ của nó (2468);
• mong đợi tất cả các phản hồi sẽ được nhận trên cổng máy chủ được bảo vệ của nó (1357);
• mong đợi tất cả các yêu cầu sẽ được nhận tại cổng máy chủ được bảo vệ của nó (1357);
• sẽ gửi tất cả các phản hồi cho các yêu cầu nhận được từ cổng khách hàng được bảo vệ của nó (2468).
Mặt khác, P-CSCF:
• sẽ gửi tất cả các yêu cầu tới UE từ cổng khách hàng được bảo vệ của nó (8642); • mong đợi nhận được tất cả các phản hồi từ UE tại cổng máy chủ được bảo vệ của nó (7531);
• mong đợi nhận được tất cả các yêu cầu từ UE tại cổng máy chủ được bảo vệ của nó (7531); và
• sẽ gửi tất cả các phản hồi tới UE từ cổng máy khách được bảo vệ của nó (8642). Để đảm bảo rằng tất cả các yêu cầu đều được gửi qua IPsec SAs:
• UE sẽ đặt cổng máy chủ được bảo vệ như một phần của địa chỉ:
◦ trong tiêu đề Liên hệ của mọi yêu cầu (bao gồm tất cả các yêu cầu REGISTER) ◦ trong tiêu đề Qua của mọi yêu cầu, bên cạnh REGISTER ban đầu.
• UE sẽ đặt cổng máy chủ được bảo vệ của P-CSCF như một phần của proxy gửi đi (tức là P-CSCF) địa chỉ trong tiêu đề Lộ trình của mọi u cầu ban đầu mà nó gửi. • P-CSCF sẽ đặt cổng máy chủ được bảo vệ như một phần của địa chỉ:
◦ trong tiêu đề Record-Route của mọi phản hồi mang P-CSCF’s Mục nhập Record-Route về phía UE (để cài đặt chi tiết số cổng trong Tiêu đề Record-Route xem Phần 12.3.4.3).
1.10.5.1:Thiết lập cổng trong khi đăng ký
Ví dụ: UE của Tobias đăng ký ban đầu với thông tin sau:
REGISTER sip:home1.fr SIP/2.0
Via: sip:[5555:1:2:3:4]:1357;branch=0uetb Route: <sip:[5555::a:b:c:d];lr>
Security-Client: digest, IPsec-3gpp; alg=hmac-sha-1-96 ;spi-c=23456789 ;spi-s=12345678
;port-c=2468; port-s=1357
Contact: "Mobile Phone – Tobias" sip:[5555::1:2:3:4]:1357 Điều này có nghĩa là UE:
• Sẽ thiết lập IPsec SA với:
◦ cổng 2468 làm cổng máy khách được bảo vệ (thông số cổng-c của Máy khách-Bảo mật tiêu đề);
◦ cổng 1357 làm cổng máy chủ được bảo vệ (tham số cổng của Máy khách bảo mật đầu trang).
• Mong đợi tất cả các yêu cầu đến được chuyển đến cổng máy chủ được bảo vệ của nó (giá trị cổng trong tiêu đề Liên hệ);
• Sẽ gửi yêu cầu REGISTER ban đầu này tới cổng 5060 không được bảo vệ của P CSCF, vì khơng có giá trị cổng nào được đưa ra trong tiêu đề Tuyến đường; • Sẽ chờ tất cả các phản hồi cho yêu cầu REGISTER ban đầu này trên cổng 5060 khơng được bảo vệ, như khơng có giá trị cổng nào được đưa ra trong tiêu đề Via. Phản hồi 401 (Không được phép) mà UE nhận được sau đó sẽ có dạng như thế này: SIP/2.0 401 Unauthorized
Via: sip:[5555:1:2:3:4]:1357;branch=0uetb
Security-Server: tls ;q=0.2, IPsec-3gpp; q=0.1 ;alg=hmac-sha-1-96 ;spi- c=98765432 ;spi-s=87654321 ;port-c=8642 ;port-s=7531
Điều này có nghĩa là P-CSCF sẽ thiết lập IPsec SA với:
• cổng 8642 làm cổng máy khách được bảo vệ (tham số cổng-c của tiêu đề Máy chủ- Bảo mật)
• cổng 7531 làm cổng máy chủ được bảo vệ (tham số cổng của tiêu đề Máy chủ-Bảo mật).
Sau cuộc trao đổi này, UE và P-CSCF sẽ thiết lập bộ SA tạm thời và UE sau đó sẽ gửi yêu cầu REGISTER thứ hai đã được bảo vệ, sau đó sẽ trơng giống như:
REGISTER sip:home1.fr SIP/2.0
Via: sip:[5555:1:2:3:4]:1357;branch=1uetb Route: <sip:[5555::a:b:c:d]:7531;lr>
Contact: "Mobile Phone – Tobias" sip:[5555::1:2:3:4]:1357
Lưu ý rằng các tiêu đề Security-Client và Security-Verify cũng được bao gồm trong yêu cầu này (xem Phần 1.8), nhưng vì chúng khơng cịn ảnh hưởng đến việc thiết lập SA và định tuyến, chúng khơng được hiển thị ở đây. Điều này có nghĩa là UE: mong đợi tất cả các yêu cầu ban đầu đến sẽ được chuyển đến cổng máy chủ được bảo vệ của nó (giá trị cổng trong tiêu đề Liên hệ);
• gửi yêu cầu REGISTER này đã qua IPsec SA tạm thời (tức là cho người được bảo vệ cổng máy chủ của P-CSCF - giá trị cổng trong tiêu đề Tuyến đường); và
• Mong đợi tất cả các phản hồi cho yêu cầu REGISTER này sẽ được gửi qua IPsec SA tạm thời (nghĩa là trên cổng máy chủ được bảo vệ 1357 - giá trị cổng trong tiêu đề Via).
1.10.5.2:Thiết lập cổng trong khi xác thực lại
Như đã nói trước đây, mỗi lần xác thực lại sẽ tạo ra một cặp IPsec SA mới. Khi nào trao đổi chỉ mục tham số bảo mật và số cổng được bảo vệ cho tập hợp mới của SA theo Thỏa thuận Cơ chế An ninh SIP, chỉ P-CSCF và UE thay đổi các cổng máy khách được bảo vệ của họ:
• UE nhận được yêu cầu và phản hồi cho cả hai tập hợp SA thông qua máy chủ được bảo vệ của nó cổng (us1);
• P-CSCF nhận các yêu cầu và phản hồi cho cả hai nhóm SA thơng qua máy chủ được bảo vệ của nó cổng (ps1);
• P-CSCF cũng sử dụng một cổng máy khách được bảo vệ mới (pc2) để gửi các yêu cầu và phản hồi của UE đối với tập hợp các SA mới. Điều này là do thực tế là hai bộ SA không được sử dụng các tham số cổng giống nhau. Hơn nữa, nếu các cổng máy chủ được bảo vệ thay đổi, điều này sẽ gây ra các vấn đề lớn và có nghĩa là:
• UE sẽ cần thực hiện đăng ký lại, vì địa chỉ liên hệ đã đăng ký của nó bao gồm cổng máy chủ được bảo vệ;
• UE sẽ cần gửi lại INVITE trên tất cả các phiên đã thiết lập, vì thơng tin liên hệ của nó được gửi đến đầu cuối từ xa bao gồm cổng máy chủ được bảo vệ;
• P-CSCF sẽ nhận từ UE tất cả các yêu cầu tiếp theo đối với mọi hộp thoại lished đã được thiết lập (bao gồm tất cả các đăng ký của UE) trên P-CSCF cũ, được bảo vệ cổng máy chủ, vì trong SIP khơng có khả năng thay đổi thông tin tuyến đường cho một hộp thoại đã được thiết lập. Danh sách này khơng đầy đủ, nhưng nó cho thấy rằng việc thay đổi cổng máy chủ được bảo vệ sẽ gây ra rất nhiều vấn đề cho định tuyến SIP. Do đó, điều cốt yếu là giá trị này khơng đã thay đổi miễn là người dùng vẫn đăng ký.
1.10.5.3: Cài đặt cổng cho các yêu cầu SIP ngoài REGISTER
Việc thiết lập các cổng được bảo vệ trong các yêu cầu không REGISTER được mơ tả chi tiết hơn trong Phần 3.7.
Hình 1.8 Định tuyến yêu cầu và phản hồi giữa UE và P-CSCF qua TCP 1.10.5.4: Sử dụng các cổng với UDP và TCP
Các phần trước đã cho thấy cách các yêu cầu và phản hồi được chuyển qua một hoặc nhiều tập hợp các SA. Trong ví dụ đã chọn, chỉ UDP được sử dụng làm giao thức truyền tải. Đối với TCP, tuy nhiên, có một chút khác biệt trong các thủ tục này. Khi một yêu cầu được gửi qua UDP (Hình 11.8), tiêu đề Via cho biết địa chỉ IP và số cổng mà tất cả các phản hồi liên quan sẽ được chuyển đến. Khi TCP được sử dụng để gửi u cầu (Hình 11.9) thơng tin trong tiêu đề Via bị ghi đè và phản hồi được chuyển trở lại cùng một địa chỉ và cổng mà yêu cầu đã được nhận. Điều này rút ra chú ý đến bản chất của TCP như một giao thức truyền tải hướng kết nối. Bằng cách áp dụng quy tắc này được đảm bảo rằng không cần mở thêm kết nối TCP nào để gửi phản hồi cho một yêu cầu đã được nhận qua TCP. Điều này gây ra việc định tuyến các bản tin SIP giữa P-CSCF và UE để hoạt động khác nhau. UE sẽ đặt máy chủ được bảo vệ của nó cổng (us1) trong tiêu đề Via của mọi yêu cầu mà nó gửi đi, bất kể UDP có hoặc TCP được sử dụng. Tất cả các yêu cầu sẽ bắt nguồn từ cổng máy khách được bảo vệ của UE (uc1). Trong trường hợp của UDP, các phản hồi cho một yêu cầu như vậy sẽ được gửi đến UE được bảo vệ cổng máy chủ (us1), như được chỉ ra trong tiêu đề Qua. Trong trường hợp TCP, các phản hồi cho một yêu cầu như vậy sẽ được gửi đến UE được bảo vệ cổng máy khách (uc1), vì u cầu bắt nguồn từ đó. Điều này cũng đúng trong cái khác (nghĩa là đối với các yêu cầu được gửi từ P-CSCF tới UE và phản hồi của họ).
1.10.6: Các tiêu chuẩn liên quan
Các thông số kỹ thuật liên quan đến Mục 1.10 là: 3GPP TS 33.102 Kiến trúc bảo mật.
3GPP TS 33.203 Bảo mật truy cập cho các
dịch vụ dựa trên IP.Bảo mật miền mạng 3GPP TS 33.210 (NDS) Bảo mật lớp mạng IP.
RFC2401 Giao thức Internet.
RFC2403 Việc sử dụng HMAC-MD5-96 trong ESP và AH. RFC2404 Việc sử dụng HMAC-SHA-1-96 trong ESP và AH. RFC2451 Các thuật toán mật mã chế độ ESP CBC.