1.10 Bảo Mật Truy Cậ p IPsec Sas
1.10.2 Thiết Lập SA Trong Quá Trình Đăng Ký Ban Đầu
Yêu cầu REGISTER ban đầu cũng như phản hồi 401 (Unauthorized) được gửi giữa UE và P-CSCF mà khơng có bất kỳ loại bảo vệ nào. Hai tin nhắn này thông tin vận chuyển cho phép UE và P-CSCF đàm phán cơ chế bảo mật và đồng ý về các tham số và cổng sẽ được sử dụng cho SA.
Trong quá trình đăng ký, hai cặp IPsec SA được thiết lập giữa UE và P-CSCF. Trừ khi có quy định khác, tập hợp hai cặp SA như vậy được gọi là dưới dạng 'tập hợp các SA', trong khi một IPsec SA đơn hoặc cụ thể từ bốn SA này được gọi là ‘SA’.
Bốn IPsec SA khơng phải là kết nối tĩnh (ví dụ: kết nối TCP). Họ có thể được coi là các liên kết hợp lý giữa UE và P-CSCF cho phép trao đổi thông điệp SIP.
Một tập hợp các SA tạo điều kiện cho bốn cổng: • cổng máy khách được bảo vệ tại UE (uc1);
• cổng máy chủ được bảo vệ tại UE (us1);
• cổng máy khách được bảo vệ tại P-CSCF (pc1) • cổng máy chủ được bảo vệ tại P-CSCF (ps1).
Các cổng này được thương lượng giữa UE và P-CSCF trong quá trình đăng ký ban đầu (Hình 11.5) bằng cách sử dụng các tiêu đề Security-Client, Security-Server và Security-Verify của Thỏa thuận Cơ chế Bảo mật SIP
Tập hợp các SA cần được thiết lập với một khóa chia sẻ. Thật khơng may, P-CSCF khơng biết gì về các thông số bảo mật được chia sẻ giữa ISIM của Tobias ứng dụng và HSS trong mạng gia đình. Do đó, S-CSCF gửi IK và CK cho P-CSCF trong tiêu đề WWW-Xác thực trong 401 (Unauthorized) phản ứng. P-CSCF phải xóa hai khóa này khỏi tiêu đề và lưu trữ chúng cục bộ trước khi gửi phản hồi 401 (Unauthorized) tới UE. IK sau đó là được P-CSCF sử dụng làm khóa chia sẻ cho tập hợp các SA. UE ở đầu kia của giao diện Gm tính tốn IK từ thử thách nhận được trong 401 (Không được phép) phản hồi và cũng sử dụng nó làm khóa chia sẻ (xem Phần 1.9.6).
Bằng IK, P-CSCF và UE sau đó có thể thiết lập tập hợp các SA giữa bốn cổng đã được trao đổi trước trong yêu cầu ĐĂNG KÝ ban đầu và phản ứng:
• giữa uc1 và ps1 để gửi các yêu cầu SIP từ UE tới P-CSCF; • giữa us1 và pc1 để gửi phản hồi SIP từ P-CSCF tới UE; • giữa us1 và pc1 để gửi các yêu cầu SIP từ P-CSCF tới UE; và • giữa uc1 và ps1 để gửi phản hồi SIP từ UE tới P-CSCF.
Hình 1.5 SA thành lập trong quá trình đăng ký ban đầu
Sau khi thành lập, tập hợp các SA được ấn định thời gian tồn tại tạm thời. Mặc dù UE sẽ gửi tất cả các yêu cầu và phản hồi tiếp theo thông qua tập hợp SA tạm thời này, không thể sử dụng tập hợp các SA cho đến khi quy trình xác thực giữa UE và S-CSCF đã được hoàn thành. Điều này được thực hiện để đảm bảo rằng cơ chế bảo mật giữa UE và P-CSCF dựa trên việc xác thực thành công người dùng.
Khi gửi phản hồi 200 (OK) đến UE, P-CSCF sẽ cập nhật toàn bộ thời gian của tập hợp các SA bằng cách cung cấp cho nó thời gian tồn tại của đăng ký (như đã nêu trong phần hết hạn giá trị của tiêu đề Liên hệ) cộng với 30 giây. UE sẽ làm như vậy sau khi nhận được phản hồi 200 (OK).
Trong trường hợp đăng ký ban đầu (như mô tả ở đây), cả hai kết thúc (tức là P- CSCF và UE) sẽ ngay sau đó đưa bộ SA này vào sử dụng. Điều này có nghĩa là P- CSCF sẽ gửi tất cả các bản tin SIP được hướng tới UE thông qua tập hợp các SA đã thiết lập. Theo cách tương tự, UE sẽ gửi tất cả các bản tin SIP thông qua tập hợp các SA đã thiết lập.