Phần này mụ tả thủ tục xỏc thực và phõn quyền diễn ra giữa đầu cuối IMS và mạng khi đầu cuối được trang bị với ứng dụng ISIM.
Xỏc thực qua lại giữa người dựng và mạng trong IMS dựa vào khúa chia sẻ dài hạn giữa ISIM trong đầu cuối và HSS trong mạng. Cỏc ISIM chứa một khúa bớ mật. khúa bớ mật của mỗi ISIM đặc biệt cũng lưu trong HSS nhà. Để đạt được xỏc thực qua
lại giữa ISIM và HSS phải cho biết lẫn nhau khúa bớ mật mà chỳng biết. Tuy nhiờn, đầu cuối chứa ISIM núi với SIP nhưng HSS thỡ khụng. Để giải quyết vấn đề này S-CSCF gỏn cho người dựng một quy tắc của bộ xỏc thực. Một cỏch hiệu quả, HSS trao quyền này cho S-CSCF.
S-CSCF dựng giao thức Diameter cú được vector xỏc thực từ HSS và thử thỏch bộ phận người dựng. Cỏc vector xỏc thực chứa một thử thỏch và một cõu hỏi kỡ vọng từ bộ phận người dựng đối với thử thỏch đú. Nếu người dựng trả lời khỏc so với S-CSCF coi như xỏc thực thất bại Hóy xem cỏch S-CSCF ỏnh xạ cỏc thử thỏch đú thành một chuyển giao REGISTER dựng phõn loại xỏc thực truy nhập.
Việc đầu tiờn một đầu cuối IMS thực hiện khi nú đăng nhập vao mạng IMS là gửi yờu cầu REGISTER đến mạng nhà của nú như hỡnh 3.3. I-CSCF điều khiển việc gỏn REGISTER, theo cỏc chỉ tiờu cú được từ HSS trong trao dổi ban tin Diameter (3) và (4), một S-CSCF cho người dựng, mà được thực hiện nhiệm vụ với xỏc thực và cấp quyền người dựng. S-CSCF tải một số vector xỏc thực từ HSS (7). Mỗi vector chứa một thử thỏch ngẫu nhiờn (RAND), một thẻ xỏc thực mạng ( AUTN) và một khúa phiờn được mó húa (CK). HSS tạo AUTN dựng khúa bớ mật mà nú chia sẻ với ISIM và một số đoạn (SQN) được giữ để đồng bộ giữa ISIM và HSS. Mỗi S-CSCF tải vài vector để trỏnh liờn lạc HSS thờm lần nữa nếu nú cần xỏc thực người dựng lại.
Đồ ỏn tốt nghiệp đại học Chương III: Bảo mật cho IMS
S-CSCF dựng vector xỏc thực đầu tiờn để xõy dựng phõn loại thử thỏch cho ISIM. S- CSCF xõy dựng một đỏp ứng 401 mà bao gồm một trường tiờu đề www-Authenticated. Giỏ trị bao gồm một mó cơ số 64 của RAND và AUTN. Giỏ trị của tham số thuật toỏn được thiết lập là AKAvl-MD5. Hỡnh 3.4 chỉ nội dung của trường tiờu đề WWW- Authenticated. WWW-authenticate: Digest realm=”domain.com”, nonce=”CjPk8mRqNuT25eRkajM09uT19nM09T19nMz50X25PZz==”, qop=”auth, auth-int”, algoritnm=AKAv1-MD5
Hình 3. 4 Trường tiờu đề WWW-Authenticated.
Khi đầu cuối nhận đỏp ứng 401 nú suy ra RAND, AUTN, và CK và khúa IK từ trường lỳc đầu. Nếu nú cú được cựng giỏ trị như AUTN nhận, nú xem xột xỏc thực mạng. Trong trường hợp ISIM dựng khúa bớ mật của nú và RAND nhận được tao ra một giỏ trị đỏp ứng (RES) mà trả lời S-CSCF trong trường tiờu đề cấp quyền của yờu cầu REGISTER (11). Hỡnh 3.5 chỉ ra nội dung của trường tiờu đề.
Authorization: Digest uername=”Alice.Smith@domain.com”, ralm=”domain.com”, nnce=”CjPk9mRqNuT25eRkajM09uT19nM09ut19nMz50X25PZz==”. ui=”sip:domain.com”, qop=auth-int cnonce=”0a4fi13b”, reponse=”6629fae4393a05397450978507c4ef1”,
Khi S-CSCF nhận REGISTER (5) nú so sỏnh với giỏ tri RES nhõn được với giỏ trị kỡ vọng XRES trong vector xỏc thực. Nếu chỳng phự hợp S-CSCF coi như người dựng được xỏc thực và trả lời bằng đỏp ứng OK.