i) Nhận thực cho thuờ bao IMS
Tất cả hồ sơ của một thuờ bao đa phương tiện được lưu ở HSS của mạng nhà (bao gồm cả cỏc thụng tin bớ mật). Trong quỏ trỡnh đăng ký, I-CSCF sẽ chỉ định một S- CSCF cho thuờ bao. Hồ sơ thuờ bao trong HSS được tải xuống S-CSCF qua điểm tham chiếu Cx (thụng qua bản tin Cx – Pull). Khi một thuờ bao cần truy nhập IMS thỡ S- CSCF sẽ tiến hành kiểm tra tớnh hợp lệ của thuờ bao, bằng cỏch đối chiếu yờu cầu với hồ sơ thuờ bao. Tất cả cỏc bỏo hiệu SIP đều được xử lý trong mặt bằng người dựng.
Cơ chế nhận thực trong UMTS được thực hiện dựa vào giao thức UMTS AKA. Đõy là giao thức hồi đỏp chất vấn đúng vai trũ AuC trong mạng nhà và cú chức năng phõn phối cỏc chất vấn. Mạng nhà gửi đến mạng đang phục vụ năm tham số cú chứa cỏc chất vấn, cỏc hồi đỏp (XRES) và mó nhận thực bản tin (MAC). Mạng đang phục vụ sẽ so sỏnh hồi đỏp do UE gửi đến với giỏ trị XRES, nếu hai giỏ trị này giống nhau thỡ UE được nhận thực. Mặt khỏc, UE cũng tớnh toỏn cỏc giỏ trị MAC và XMAC rồi đối chiếu với giỏ trị MAC mà nú nhận được, nếu cỏc giỏ trị này trựng khớp với nhau thỡ UE nhận thực cho mạng đang phục vụ. Trong IMS cũng cú một giao thức đảm nhận chức năng tương tự, gọi là IMS AKA.
Mạng nhà cú thể tiến hành nhận thực thuờ bao vào bất cứ thời điểm nào của quỏ trỡnh đăng ký và tỏi đăng ký.
Yờu cầu đăng ký của thuờ bao sẽ luụn được S-CSCF nhận thực. Vỡ vậy, sau khi đó đăng ký thành cụng, nhưng vỡ một lý do nào đú thuờ bao này phải tiến hành tỏi đăng ký thỡ lỳc đú S-CSCF cú thể khụng cần phải nhận thực yờu cầu này nữa.
Khi P-CSCF nhận được một bản tin SIP REGISTER khụng được bảo vệ (tức là được xử lý IPSec) cú chứa yờu cầu thiết lập đăng ký của một thuờ bao thỡ S-CSCF sẽ tiến hành nhận thực thuờ bao đú mà khụng cần quan tõm rằng thuờ bao này đó được nhận thực trước đú hay chưa.
ii) Đảm bảo tớnh cơ mật
Trong IMS, việc bảo vệ tớnh cơ mật cho cỏc bản tin bỏo hiệu SIP được trao đổi giữa UE và P-CSCF là rất cần thiết. Tuy nhiờn, cần chỳ ý rằng việc ỏp dụng cỏc giải
Đồ ỏn tốt nghiệp đại học Chương III: Bảo mật cho IMS
phỏp bảo vệ tớnh cơ mật và cỏc thỏa thuận về vấn đề chuyển vựng cần phải đỏp ứng được cỏc yờu cầu về tớnh riờng tư của cỏc mạng con trong đú.
Quỏ trỡnh thỏa thuận của UE và P-CSCF về việc đảm bảo tớnh cơ mật bao gồm cỏc bước sau:
• UE sẽ gửi cho P-CSCF danh sỏch cỏc thuật toỏn mó húa cú thể được sử dụng
• P-CSCF sẽ quyết định một thuật toỏn mó húa nào đú cú được sử dụng hay khụng. Nếu cú thỡ UE và P-CSCF phải thống nhất với nhau về cỏc đặc điểm của SA, bao gồm cả khúa mó húa dựng để bảo vệ tớnh cơ mật. Quỏ trỡnh thỏa thuận khúa này sẽ do giao thức IMS AKA đảm nhận.
Mức độ đảm bảo tớnh cơ mật giữa cỏc CSCF và giữa cỏc CSCF với HSS sẽ phụ thuộc vào thuật toỏn mó húa được sử dụng.
iii) Đảm bảo tớnh toàn vẹn
Cỏc bản tin bỏo hiệu SIP được trao đổi giữa UE và P-CSCF cũng cần phải được bảo vệ tớnh toàn vẹn, trong đú cỏc bước thỏa thuận để sử dụng chức năng an ninh này diễn ra như sau:
a) UE và P-CSCF sẽ thống nhất với nhau về thuật toỏn đảm bảo tớnh toàn vẹn được dựng trong phiờn.
b) UE và P-CSCF thỏa thuận cỏc đặc tớnh của SA sẽ được thiết lập giữa chỳng (bao gồm cỏc khúa toàn vẹn). Quỏ trỡnh này được thực hiện bằng giao thức IMS AKA.
c) Cả UE và P-CSCF đều phải thẩm định nguồn gốc dữ liệu nhận được, ngay cả khi đó sử dụng khúa toàn vẹn, nhằm phỏt hiện cỏc xỏo trộn (nếu cú) xảy ra đối với dữ liệu.
d) Phản hạn chế tấn cụng replay và reflection 3.1.2.2 Che giấu cấu hỡnh mạng
Cỏch thức hoạt động của mạng là những thụng tin cú tớnh chất nhạy cảm và hiếm khi được người điều hành tiết lộ cho người khỏc. Nhưng trong một số trường hợp cần phải chia sẻ những thụng tin kể trờn cho đối tỏc và cỏc bờn cú quan hệ kinh doanh thỡ người điều hành cú quyền giấu đi cỏc phần tử hoạt động trong mạng của mỡnh (vớ dụ như che giấu số lượng và khả năng của cỏc S-CSCF hay dung lượng của mạng).
I-CSCF/IBCF là thực thể cú chức năng mó húa cho địa chỉ của tất cả cỏc thực thể khỏc trờn mạng, sau đú đưa vào trong cỏc trường mào đầu SIP như Via, Record – Route, Route and Path và thực hiện giải mó cỏc địa chỉ này khi hồi đỏp cho một yờu cầu
nào đú. P-CSCF cú thể nhận được thụng tin định tuyến đó được mó húa nhưng nú lại khụng cú khúa để giải mó thụng tin này.
3.1.2.3 Đảm bảo tớnh riờng tư cho bản tin SIP
Tớnh riờng tư trong một số trường hợp cú thể được xem như tớnh cơ mật, tức là thực hiện che giấu thụng tin (bằng cỏc khúa mó húa) đối với tất cả cỏc thực thể trong mạng, trừ những thực thể cú đủ thẩm quyền. Mục đớch của việc đảm bảo tớnh riờng tư là giỳp cho thuờ bao IMS giữ bớ mật được những thụng tin nhận dạng của mỡnh.
Khi mạng IMS Release 6 kết nối liờn mạng với một mạng khụng phải IMS thỡ CSCF sẽ phải xỏc định mức độ tin cậy của phớa đầu cuối ở phớa mạng kia. Một đầu cuối chỉ được gọi là đỏng tin cậy sau khi đó thiết lập được một cơ chế đảm bảo an ninh và một thỏa thuận cho việc kết nối liờn mạng. Nếu việc kết nối liờn mạng được xem là khụng đỏng tin cậy thỡ những thụng tin riờng tư sẽ được tỏch khỏi lưu lượng truyền giữa hai mạng. Lỳc này, CSCF tiến hành kiểm tra ngay khi nhận được bản tin bỏo hiệu và loại bỏ cỏc thụng tin riờng tư nếu chỳng cú mặt trong luồng lưu lượng
3.2 An ninh truy nhập cho IMS
Một người dựng truy cập IMS cần được xỏc thực và cấp quyền trước khi cú thể sử dụng cỏc dịch vụ IMS. Khi một người dựng được cấp quyền bảo vệ lưu lượng SIP giữa đầu cuối IMS và P-CSCF bằng việc sử dụng hai liờn kết an ninh IPsec.
Việc xỏc thực và cấp quyền người dựng và thiết lập liờn kết an ninh IPsec của chỳng được thực hiện dựng chuyển giao REGISTER. S-CSCF tăng xỏc thực và cấp quyền người dựng với vector xỏc thực tải từ HSS ( mỏy chủ thuờ bao nhà, xỏc thực và cấp quyền người dựng, trong suốt quỏ trỡnh xỏc thực người dựng cũng cần xỏc thực mạng để chắc chắn rằng chỳng đang khụng núi chuyện với mạng giả mạo.
3.2.1 Xỏc thực và cấp quyền
Xỏc thực và cấp quyền trong IMS dựa vào chức năng bảo mật trờn mạng trong đầu cuối IMS. Thực tế, chức năng bảo mật được thực hiờn trực tiếp trong đầu cuối IMS, nhưng trong một thẻ thụng minh được chốn trong đầu cuối. chức năng của thẻ thụng minh ( smart card) là phụ thuộc vào mạng thực tế.
Trong mạng 3GPP, thẻ thụng minh thường được biết đến như UICC ( thẻ mạch tớch hợp phổ biến ). UICC chứa một hoặc nhiều ứng dụng như mụ tả trong hỡnh 3.2. Mỗi ứng dụng chứa tham số và cấu hỡnh liờn quan đến một sử dụng đặc biệt. Mỗi một ứng dụng đú là là ISIM ( Module nhận dạng dịch vụ IP đa phương tiện ). Cỏc ứng dụng
Đồ ỏn tốt nghiệp đại học Chương III: Bảo mật cho IMS
cú thể khỏc là SIM ( Modul nhận dạng thuờ bao) và USIM (modul nhận dạng thuờ bao UMTS)
Hình 3. 2 SIM, USIM, và ISIM trong UICC của đầu cuối IMS 3GPP
Mạng 3GPP cho phộp truy nhập đến IMS khi UICC chứa ISIM hoặc USIM, dự ISIM được ưu tiờn vỡ nú được điều chỉnh trong IMS. Tuy nhiờn, truy nhập vúi ứng dụng USIM được cho phộp trong trường hợp người dựng khụng cập nhật thẻ thụng minh của họ đến UICC chứa một ISIM. Do chức năng bảo mật kộm, truy nhập đến IMS với một ứng dụng ISIM trong phần 3.2.3 mụ tả cựng thủ tục khi UICC chứa USIM.
Cỏc tham số nhận thực được lưu trong ISIM trong 3GPP IMS lưu trong đầu cuối IMS hoặc trong R-UIM ( modul nhận dạng người dựng thỏo lắp được ) trong 3GPP2 IMS. Cỏc tham số là giống nhau trong cả hai mạng, như là chức năng bảo mật. Việc lưu trữ cú thể khỏc kể từ 3GPP2 cho phộp đầu cuối IMS hoặc R-UIM để lưu tham số nhận thực, nhưng khỏc đú là khụng cú sự khỏc nhau thực chất. Phần 3.2.2 mụ tả xỏc thực và phõn quyền với ISIM, cũng được ỏp dụng cho mạng 3GPP.
3.2.2 Xỏc thực và cấp quyền với ISIM
Phần này mụ tả thủ tục xỏc thực và phõn quyền diễn ra giữa đầu cuối IMS và mạng khi đầu cuối được trang bị với ứng dụng ISIM.
Xỏc thực qua lại giữa người dựng và mạng trong IMS dựa vào khúa chia sẻ dài hạn giữa ISIM trong đầu cuối và HSS trong mạng. Cỏc ISIM chứa một khúa bớ mật. khúa bớ mật của mỗi ISIM đặc biệt cũng lưu trong HSS nhà. Để đạt được xỏc thực qua
lại giữa ISIM và HSS phải cho biết lẫn nhau khúa bớ mật mà chỳng biết. Tuy nhiờn, đầu cuối chứa ISIM núi với SIP nhưng HSS thỡ khụng. Để giải quyết vấn đề này S-CSCF gỏn cho người dựng một quy tắc của bộ xỏc thực. Một cỏch hiệu quả, HSS trao quyền này cho S-CSCF.
S-CSCF dựng giao thức Diameter cú được vector xỏc thực từ HSS và thử thỏch bộ phận người dựng. Cỏc vector xỏc thực chứa một thử thỏch và một cõu hỏi kỡ vọng từ bộ phận người dựng đối với thử thỏch đú. Nếu người dựng trả lời khỏc so với S-CSCF coi như xỏc thực thất bại Hóy xem cỏch S-CSCF ỏnh xạ cỏc thử thỏch đú thành một chuyển giao REGISTER dựng phõn loại xỏc thực truy nhập.
Việc đầu tiờn một đầu cuối IMS thực hiện khi nú đăng nhập vao mạng IMS là gửi yờu cầu REGISTER đến mạng nhà của nú như hỡnh 3.3. I-CSCF điều khiển việc gỏn REGISTER, theo cỏc chỉ tiờu cú được từ HSS trong trao dổi ban tin Diameter (3) và (4), một S-CSCF cho người dựng, mà được thực hiện nhiệm vụ với xỏc thực và cấp quyền người dựng. S-CSCF tải một số vector xỏc thực từ HSS (7). Mỗi vector chứa một thử thỏch ngẫu nhiờn (RAND), một thẻ xỏc thực mạng ( AUTN) và một khúa phiờn được mó húa (CK). HSS tạo AUTN dựng khúa bớ mật mà nú chia sẻ với ISIM và một số đoạn (SQN) được giữ để đồng bộ giữa ISIM và HSS. Mỗi S-CSCF tải vài vector để trỏnh liờn lạc HSS thờm lần nữa nếu nú cần xỏc thực người dựng lại.
Đồ ỏn tốt nghiệp đại học Chương III: Bảo mật cho IMS
S-CSCF dựng vector xỏc thực đầu tiờn để xõy dựng phõn loại thử thỏch cho ISIM. S- CSCF xõy dựng một đỏp ứng 401 mà bao gồm một trường tiờu đề www-Authenticated. Giỏ trị bao gồm một mó cơ số 64 của RAND và AUTN. Giỏ trị của tham số thuật toỏn được thiết lập là AKAvl-MD5. Hỡnh 3.4 chỉ nội dung của trường tiờu đề WWW- Authenticated. WWW-authenticate: Digest realm=”domain.com”, nonce=”CjPk8mRqNuT25eRkajM09uT19nM09T19nMz50X25PZz==”, qop=”auth, auth-int”, algoritnm=AKAv1-MD5
Hình 3. 4 Trường tiờu đề WWW-Authenticated.
Khi đầu cuối nhận đỏp ứng 401 nú suy ra RAND, AUTN, và CK và khúa IK từ trường lỳc đầu. Nếu nú cú được cựng giỏ trị như AUTN nhận, nú xem xột xỏc thực mạng. Trong trường hợp ISIM dựng khúa bớ mật của nú và RAND nhận được tao ra một giỏ trị đỏp ứng (RES) mà trả lời S-CSCF trong trường tiờu đề cấp quyền của yờu cầu REGISTER (11). Hỡnh 3.5 chỉ ra nội dung của trường tiờu đề.
Authorization: Digest uername=”Alice.Smith@domain.com”, ralm=”domain.com”, nnce=”CjPk9mRqNuT25eRkajM09uT19nM09ut19nMz50X25PZz==”. ui=”sip:domain.com”, qop=auth-int cnonce=”0a4fi13b”, reponse=”6629fae4393a05397450978507c4ef1”,
Khi S-CSCF nhận REGISTER (5) nú so sỏnh với giỏ tri RES nhõn được với giỏ trị kỡ vọng XRES trong vector xỏc thực. Nếu chỳng phự hợp S-CSCF coi như người dựng được xỏc thực và trả lời bằng đỏp ứng OK.
3.2.3 Xỏc thực và cấp quyền với USIM
Một đầu cuối IMS trang bỡ với một UICC chứa một USIM nhưng khụng chứa ISIM vẫn cú thể dựng IMS. Rừ ràng, USIM khụng chứa nhận dạng người dựng cụng cộng và cỏ nhõn, cũng như khúa bớ mật cần thiết để xỏc thực người dựng bằng mạng IMS. USIM chứa IMSI ( nú tương tự như nhận dạng người dựng cụng cộng trong mạng chuyển mạch kờnh và gúi ). Đầu cuối IMS xõy dựng một bộ nhận dạng người dựng tạm thời. USIM cũng chứa một khúa bớ mật dài hạn, thụng thường được sử dụng cho xỏc thực trong mạng chuyển mạch kờnh và gúi. Khi USIM được dựng để truy cập một mạng IMS, cả mạng và đầu cuối dựng một khúa bớ mật dài hạn lưu trong USIM và HSS cho mục đớch xỏc thực.
Trong hầu hết cỏc trường hợp người vận hành mạng nhà sẽ khụng muốn để lộ cả IMSI hoặc bộ nhận dạng người dựng ra bờn ngoài mạng nhà. Nhưng, chỳng ta đó núi về bộ nhận dạng người dựng cụng cộng và bộ nhận dạng cỏ nhõn tạm thời bắt nguồn từ IMSI. Vỡ thế, người vận hành mạng nhà cú khả năng chắn bất kỳ bộ nhận dạng người dựng chung nào, chẳng hạn bộ nhận dạng tạm thời, từ trong bản tin SIP đang được sử dụng khỏc so với yờu cầu REGISTER và đỏp ứng của nú. Đầu cuối IMS cú thể dựng bất kỡ bộ nhận dạng người dựng cụng cộng nào cấp phỏt cho người dung, như chỳng được truyền đến đầu cuối trong trường tiờu đề của P-Associated-URI của đỏp ứng 200 (OK) đối với REGISTER. Nếu đầu cuối IMS khởi đầu một phiờn với một bộ nhận dạng người dựng bị ngăn cấm, S-CSCF sẽ từ chối thiết lập phiờn.
3.2.4 Thiết lập liờn kết an ninh
P-CSCF và đầu cuối thiết lập hai liờn kết an ninh Ipsec giữa chỳng. Cú hai liờn kết an ninh thay vỡ một, cho phộp cỏc đầu cuối và P-CSCF dựng UDP để nhận đỏp ứng đối với một yờu cầu trờn một cổng khỏc so với cổn chỳng dựng để gửi yờu cầu ( cổng nguồn của gúi IP mang yờu cầu ). Vài người thực thi tin tưởng rằng việc thực thi dưới đõy, trạng thỏi này là hiệu quả hơn so với việc thực thi dựng một cổng đơn. Mặt khỏc, cỏc đầu cuối và cỏc P-CSCF dựng TCP giữa chỳng gửi đỏp ứng trờn cựng kết nối TCP ( vớ dụ dựng cựng cổng ) như chỳng nhận yờu cầu. Hỡnh 3.6 và 3.7 mụ tả việc dựng cổng trong UDP và TCP. Trong cả hai trường hợp, một liờn kết an ninh được thiết lập từ
Đồ ỏn tốt nghiệp đại học Chương III: Bảo mật cho IMS
cổng người dựng được bảo vệ của đầu cuối đến cổng mỏy chủ được bảo vệ của P- CSCF. Cả hai liờn kết an ninh hỗ trợ lưu lượng theo cả hai hướng.
Hình 3. 6 Sử dụng cổng và liờn kết an ninh với UDP
P-CSCF và đầu cuối cần đồng ý vúi một bộ tham số để thiết lập hai liờn kết an ninh Ipsec giữa chỳng. P-CSCF bảo đảm toàn vẹn và khúa mó húa trong một đỏp ứng (401) từ S-CSCF ( mà cú được chỳng trong một vector xỏc thực từ HSS). P-CSCF xúa khúa cả hai phớa từ đỏp ứng trước khi chuyển nú đến đầu cuối IMS. P-CSCF và đầu cuối IMS dựng cựng hai chuyển giao REGISTER mà được dựng cho xỏc thực để thương lượng phần cũn lại của cỏc tham số IPsec.
Hình 3. 7 Sử dụng cổng và liờn kết an ninh với TCP
Đầu cuối thờm một trường tiờu đề Security-Client vào REGISTER (1) như trong hỡnh 3.8. Trường tiờu đề này chứa cơ cấu ( ipsec-3gpp) và thuật toỏn (hmac-sha-1-96) đầu cuối hỗ trợ cũng như SIP ( xỏc định cho liờn kết an ninh) và số cổng mà nú sẽ dựng.
Security-client: ipsec-3gpp; alg=hmac-sha-1-96 spi-c=23456789; spi-s=1234568;
port-c=2468; spi-s=1357
P-CSCF thờm một trường tiờu đề Security-client vào đỏp ứng 401 (chưa được cấp quyền) như hỡnh 3.9. Trường tiờu đề này chứa cơ cấu (ipsec-3gpp) và thuật toỏn (hmac-sha-1-96). P-CSCF hỗ trợ như cỏc SPI và số cổng mà nú sẽ dựng. Hơn nữa P- CSCF chỉ rừ giỏ trị q cơ cấu bảo mật hay dựng của nú. Trường tiờu đề Security-Server