1.8 Thỏa Thuận Cơ Chế Bảo Mật SIP
1.8.6 Sip-Sec-Agree Và Đăng Ký Lại
S-CSCF có thể quyết định xác thực lại UE trong bất kỳ thủ tục đăng ký lại nào, và bằng cách đó, nó sẽ buộc UE và P-CSCF thiết lập một tập hợp IPsec SA mới, vì các SA IPsec này dựa trên IK, thay đổi trong mỗi lần xác thực lại. Thiết lập một tập hợp IPsec SA mới cũng có nghĩa là bộ spis mới và các cổng máy khách và máy chủ được bảo vệ mới được thương lượng. Khi gửi yêu cầu REGISTER mới để đăng ký lại, UE khơng thể chắc chắn liệu S-CSCF có u cầu xác thực lại hay khơng. Do đó, nó sẽ thêm vào mỗi REGISTER yêu cầu tiêu đề Máy khách-Bảo mật mới với các giá trị mới cho spis và các cổng máy khách và máy chủ được bảo vệ: REGISTER sip:home1.fr SIP/2.0
Require: sec-agree
Proxy-Require: sec-agree
Security-Verify: tls ;q=0.2, IPsec-3gpp ;q=0.1 ;alg=hmac-sha-1-96 ;spi-c=98765432 ;spi-s=87654321
;port-c=8642 ;port-s=7531
Security-Client: digest, IPsec-3gpp ;alg=hmac-sha-1-96 ;spi-c=23456790 ;spi-s=12345679
;port-c=2470 ;port-s=1357
Lưu ý rằng các giá trị cho spis và số cổng máy khách được bảo vệ đã thay đổi trong tiêu đề Security-Client, để cho phép thiết lập một tập hợp SA mới, phải S-CSCF xác thực lại UE. Cổng máy chủ được bảo vệ của UE không thay đổi và sẽ được lưu giữ trong suốt quá trình đăng ký của người dùng (xem Phần 1.10.5). Nội dung của tiêu đề Bảo mật-Xác minh được gửi khơng thay đổi, vì nó là bản sao của tiêu đề mới nhất đã nhận được tiêu đề Máy chủ-Bảo mật. Cả P-CSCF và UE sẽ biết, tại thời điểm nhận được phản hồi về yêu cầu REGISTER này từ S-CSCF, liệu các IPsec SA mới có phải được thiết lập khơng: nghĩa là, có nhận được phản hồi 401 (Trái phép) hay không hoặc
200(OK) phản hồi được nhận. Khi nhận được phản hồi 401 (Không được phép) từ S- CSCF, P-CSCF sẽ thêm tiêu đề Máy chủ-Bảo mật mới vào phản hồi, cung cấp các giá trị mới cho nó được bảo vệ cổng và spis mới:
SIP/2.0 401 Unauthorized
Security-Server: tls ;q=0.2, IPsec-3gpp ;q=0.1 ;alg=hmac-sha-1-96 ;spi-c=98765434 ;spi-s=87654322
;port-c=8644 ;port-s=7531
Ngồi ra, P-CSCF sẽ khơng thay đổi giá trị của cổng máy chủ được bảo vệ của nó (7531). Do đó, UE và P-CSCF bây giờ sẽ thiết lập một nhóm SA tạm thời mới (xem Mục 11.7.3). Yêu cầu REGISTER, bao gồm phản hồi đối với thử thách xác thực lại xác thực (xem Phần 11.6), sẽ được gửi qua bộ SA mới, tạm thời này và sẽ bao gồm các tiêu đề sau:
REGISTER sip:home1.fr SIP/2.0 Require: sec-agree
Proxy-Require: sec-agree
Security-Verify: tls ;q=0.2, IPsec-3gpp ;q=0.1 ;alg=hmac-sha-1-96 ;spi-c=98765434 ;spi-s=87654322
;port-c=8644 ;port-s=7531
Security-Client: digest, IPsec-3gpp ;alg=hmac-sha-1-96 ;spi-c=23456790 ;spi-s=12345679
;port-c=2470 ;port-s=1359
Một lần nữa, như trong thủ tục đăng ký ban đầu (Hình 11.10), yêu cầu REG ISTER thứ hai lặp lại tiêu đề Security-Client đã được gửi trong REGISTER mới nhất yêu cầu (với các giá trị mới) và sao chép trong tiêu đề Bảo mật-Xác minh các giá trị của Tiêu đề Máy chủ-Bảo mật đã nhận được trong phản hồi 401 (Không được phép) gần đây nhất. Cái này yêu cầu REGISTER thứ hai trong thủ tục đăng ký lại khơng cịn mang bất kỳ thông tin liên quan đến bất kỳ bộ SA nào đã được thiết lập trước đó.
27
Hình 1.3 Sip-Sec-Agree trong quá trình đăng ký ban đầu 1.8.7 Các tiêu chuẩn liên quan
Các thông số kỹ thuật liên quan đến Mục 1.8 là:
3GPP TS 33.203 Bảo mật truy cập cho các dịch vụ dựa trên IP.
RFC2246 Giao thức TLS Phiên bản 1.0.
HTTP RFC2617: Xác thực truy cập thông báo và cơ bản.
Thỏa thuận Cơ chế Bảo mật RFC3329 cho Khởi tạo Phiên