Trong kiến trúc an ninh của 3GPP, vùng mạng đƣợc chia thành các vùng an ninh
Mặt phẳng điều khiển của mạng UMTS đƣợc chia thành các vùng an ninh và thƣờng chia luôn theo đƣờng biên mạng của nhà khai thác. Đƣờng biên giới này đƣợc bảo vệ bởi các Gateway an ninh (Security Gateway – SEG). SEG có nhiệm vụ áp đặt các chính sách an ninh của một vùng an ninh lên các SEG của mạng đích và hỗ trợ khả năng lƣu trữ khoá dùng cho việc xác thực IKE. Việc quản lý và phân phối chìa khố đƣợc thực hiện thơng qua giao thức IKE, trong đó IKE đƣợc sử dụng để thoả thuận, thiết lập và duy trì một liên kết an ninh giữa các thiết bị kết cuối.
Các tính năng IPsec mà tất cả vùng an ninh phải hỗ trợ là: ESP, chế độ tunnel, biến đổi mã hoá ESP, biến đổi xác thực ESP. Ngoài ra, một vùng an ninh cụ thể có thể hỗ trợ các tính năng khác.
Vấn đề an ninh cho IMS cũng đƣợc 3GPP giải quyết. Các tính năng an ninh đƣợc hỗ trợ bao gồm:
Truy nhập IMS an toàn:
o Xác thực ngƣời dùng và mạng
o Xác thực lại ngƣời dùng
o bảo vệ thông tin cá nhân
o đảm bảo tính tồn vẹn Dấu cấu trúc mạng
Hạn chế trao đổi thông tin cá nhân qua SIP
AN: Access Network, mạng truy nhập SN: Switching Network, mạng chuyển mạch
HE: Home Equipment, thiết bị lƣu trữ thông tin ngƣời dùng
User Application: ứng dụng ngƣời dùng Provider Application: ứng dụng của nhà cung cấp dịch vụ
ME: Mobile Equipment, thiết bị di động USIM: Universal SIM: thẻ SIM
Hạn chế trao đổi thông tin cá nhân qua SIP khi hoạt động với mạng khơng IMS.
Phần dƣới đây sẽ trình bày sơ lƣợc các tính năng và cơ chế an ninh đƣợc tổ chức 3GPP2 đƣa ra. Tƣơng tự nhƣ của 3GPP, an ninh mạng đƣợc chia ra thành: truy nhập mạng, mạng, và truy nhập MMD (IMS). An ninh cho truy nhập mạng bao gồm việc xác thực và thoả thuận khoá, bảo vệ thơng tin cá nhân và bảo vệ tính tồn vẹn số liệu.
Cơ chế xác thực và thoả thuận khố của 3GPP2 dựa gần nhƣ hồn tồn trên cơ chế của 3GPP và bổ sung thêm xác thực UIM và tạo khoá bảo mật UAK. Cơ chế bảo vệ thơng tin cá nhân cũng sử dụng thuật tốn CAVE của 3GPP, nhƣng bên cạnh đó, 3GPP2 cũng sử dụng một số thuật toán khác để đáp ứng yêu cầu mới [18]. Thuật toán mã hoá cho truy nhập CDMA-2000 1x EV-DO đƣợc đƣa ra trong [19]. Cơ chế toàn vẹn số liệu của 3GPP2 cũng tƣơng tự nhƣ của 3GPP. Tuy nhiên, thay vì sử dụng thuật tốn KASUMI, 3GPP2 dùng thuật tốn SHA-1.
Kiến trúc an ninh mạng của 3GPP cũng dựa trên mơ hình Internet. Kiến trúc an ninh cho mạng chuyển mạch kênh dựa trên IS-41 và cho mạng chuyển mạch gói dựa trên mơ hình AAA của mạng IP.
Hình 2.9 minh hoạ kiến trúc an ninh IMS cả 3GPP2 và 7 quan hệ bảo mật giữa các phần tử trong mạng đƣợc đánh số từ 1 đến 7:
1. Xác thực lẫn nhau giữa UE và S-CSCF
2. Cung cấp kết nối an toàn và liên kết bảo mật giữa UE và P-CSCF, xác thực nguồn gốc của số liệu cũng đƣợc cung cấp
3. Cung cấp chức năng an ninh trong vùng mạng
4. Cung cấp chức năng an ninh cho các nút SIP của các vùng mạng khác nhau 5. Cung cấp chức năng an ninh giữa các nút SIP trong mạng bên trong phân hệ
IMS
6. Cung cấp chức năng an ninh giữa một nút SIP của mạng IP bên ngoài và HSS
7. Cung cấp chức năng an ninh giữa các nút SIP (SIP AS) trên các mạng khác nhau.
Tính năng bảo mật cho IMS của 3GPP2 bao gồm truy nhập IMS an tồn (thơng qua khả năng xác thực ngƣời dùng và mạng, xác thực lại ngƣời dùng, bảo vệ thơng tin cá nhân, bảo vệ tồn vẹn số liệu) và ẩn topology mạng.