P-CSCF và đầu cuối thiết lập hai liờn kết an ninh Ipsec giữa chỳng. Cú hai liờn kết an ninh thay vỡ một, cho phộp cỏc đầu cuối và P-CSCF dựng UDP để nhận đỏp ứng đối với một yờu cầu trờn một cổng khỏc so với cổn chỳng dựng để gửi yờu cầu ( cổng nguồn của gúi IP mang yờu cầu ). Vài người thực thi tin tưởng rằng việc thực thi dưới đõy, trạng thỏi này là hiệu quả hơn so với việc thực thi dựng một cổng đơn. Mặt khỏc, cỏc đầu cuối và cỏc P-CSCF dựng TCP giữa chỳng gửi đỏp ứng trờn cựng kết nối TCP ( vớ dụ dựng cựng cổng ) như chỳng nhận yờu cầu. Hỡnh 3.6 và 3.7 mụ tả việc dựng cổng trong UDP và TCP. Trong cả hai trường hợp, một liờn kết an ninh được thiết lập từ
Đồ ỏn tốt nghiệp đại học Chương III: Bảo mật cho IMS
cổng người dựng được bảo vệ của đầu cuối đến cổng mỏy chủ được bảo vệ của P- CSCF. Cả hai liờn kết an ninh hỗ trợ lưu lượng theo cả hai hướng.
Hình 3. 6 Sử dụng cổng và liờn kết an ninh với UDP
P-CSCF và đầu cuối cần đồng ý vúi một bộ tham số để thiết lập hai liờn kết an ninh Ipsec giữa chỳng. P-CSCF bảo đảm toàn vẹn và khúa mó húa trong một đỏp ứng (401) từ S-CSCF ( mà cú được chỳng trong một vector xỏc thực từ HSS). P-CSCF xúa khúa cả hai phớa từ đỏp ứng trước khi chuyển nú đến đầu cuối IMS. P-CSCF và đầu cuối IMS dựng cựng hai chuyển giao REGISTER mà được dựng cho xỏc thực để thương lượng phần cũn lại của cỏc tham số IPsec.
Hình 3. 7 Sử dụng cổng và liờn kết an ninh với TCP
Đầu cuối thờm một trường tiờu đề Security-Client vào REGISTER (1) như trong hỡnh 3.8. Trường tiờu đề này chứa cơ cấu ( ipsec-3gpp) và thuật toỏn (hmac-sha-1-96) đầu cuối hỗ trợ cũng như SIP ( xỏc định cho liờn kết an ninh) và số cổng mà nú sẽ dựng.
Security-client: ipsec-3gpp; alg=hmac-sha-1-96 spi-c=23456789; spi-s=1234568;
port-c=2468; spi-s=1357
P-CSCF thờm một trường tiờu đề Security-client vào đỏp ứng 401 (chưa được cấp quyền) như hỡnh 3.9. Trường tiờu đề này chứa cơ cấu (ipsec-3gpp) và thuật toỏn (hmac-sha-1-96). P-CSCF hỗ trợ như cỏc SPI và số cổng mà nú sẽ dựng. Hơn nữa P- CSCF chỉ rừ giỏ trị q cơ cấu bảo mật hay dựng của nú. Trường tiờu đề Security-Server cú một cơ cấu đơn nhưng cơ cấu với giỏ trị q cao hơn hay dựng hơn.
Security-Sever: ipsec-3gpp, q=0.1; alg=hmac-sha-1-96 Spi-c=98765432, spi-s=87654321;
Port-c=8642; port-s=7531
Hình 3. 9 Trường tiờu đề Security-Server
Security-Verify: ipsec-3gpp; q=0.1; alg=hmac-sha-1-96 Spi-c=98765432, spi-s=87654321; Port-c=8642; port-s=7531
Hình 3. 10 Trường tiờu đề Security-Verify
Liờn kết an ninh sẵn sàng sử dụng ngay khi đầu cuối nhận trường tiờu đề Security-Server (10). Vỡ đầu cuối gửi một yờu cầu REGISTER (11) trờn một liờn kết an ninh. Đầu cuối bao gồm một trường tiờu đề Security-Verify trong REGISTER như hỡnh 3.10 phản ỏnh nội dung của trường tiờu đề Security-Server nhận trước đú. Cỏch này mỏy chủ chắc chắn rằng khụng cú tỏc động sửa đổi khi nú gửi đến mỏy trạm. Hiện nay, P-CSCF cũng hỗ trợ ipsec-3gpp nhưng trong tương lai chỳng khụng hỗ trợ cơ cấu an ninh khỏc. Một kẻ tấn cụng cú thể xúa đi cơ cấu bảo mật mạnh nhất từ Securityy-Server để tấn cụng đầu cuối dựng bảo mật yếu hơn. Với thờm trường tiờu đề Security-Verify một kẻ tấn cụng chỉnh sửa danh sỏch Security-Server sẽ cần phỏ cơ cấu an ninh được chọn trong thời gian thực để thay đổi trường tiờu đề Security-Verify. Mặt khỏc, P- CSCF sẽ nhận ra sự tấn cụng và phỏ hủy đăng kớ.