Cỏc tham số của liờn kết an ninh

Một phần của tài liệu Đồ án tốt nghiệp nghiên cứu vấn đề bảo mật IMS (Trang 84 - 91)

Để bảo vệ an ninh cho lưu lượng giữa UE và P-CSCF thỡ hai thực thể này cần phải thống nhất với nhau về cỏc khúa được sử dụng (thụng qua IMS AKA) cựng cỏc tham số xỏc định cỏch thức bảo vệ. Thủ tục thiết lập chế độ an ninh cũng thực hiện thỏa

Đồ ỏn tốt nghiệp đại học Chương III: Bảo mật cho IMS

thuận cỏc tham số của SA phục vụ cho việc bảo đảm tớnh cơ mật và quỏ trỡnh nhận thực của thuờ bao.

Cỏc tham số của SA cần được thỏa thuận là:

a) Thuật toỏn mó hóa

Thuật toỏn mó húa được sử dụng là DES-EDE3-CBC (RFC 2451) hoặc AES-CBC (RFC 3602) với độ dài khúa là 128 bit.

b) Thuật toỏn đảm bảo tớnh toàn vẹn

Hai thuật toỏn đảm bảo tớnh toàn vẹn được sử dụng là HMAC-MD5-96 và HMAC-SHA-1-96.

c) Chỉ số tham số an ninh – SPI

Mỗi giỏ trị SPI chỉ được sử dụng đối với một SA nhất định. Ba tham số SPI, địa chỉ IP đớch và giao thức an ninh cú chức năng xỏc định duy nhất một SA. Mỗi UE sẽ cú cỏc giỏ trị SPI riờng khỏc với cỏc SPI đó được sử dụng. Cũn cỏc SPI của P-CSCF sẽ khỏc với cỏc SPI mà P-CSCF nhận được từ UE. Khi tiến hành nhận thực đăng ký thỡ UE và P-CSCF sẽ chọn ra giỏ trị SPI của mỡnh để thiết lập SA.

d) Chế độ hoạt động của SA

Chế độ hoạt động của SA sẽ được xỏc định phụ thuộc vào sự cú mặt của NAT. Trong trường hợp khụng sử dụng NAT thỡ cỏc SA sẽ hoạt động ở chế độ truyền dẫn, cũn trong trường hợp cú sử dụng NAT thỡ chỳng sẽ hoạt động ở chế độ đường hầm được đúng gúi UDP. P-CSCF sẽ nhận biết được sự hiện diện của NAT trong quỏ trỡnh thiết lập SA.

Sau đõy là cỏc tham số khụng được thỏa thuận của SA:

a) Kiểu thời gian tồn tại (Life type): Luụn cú giỏ trị là giõy. b) Thời hạn của SA (SA duration): Cú độ dài cố định là 232-1.

c) Chế độ (Mode): Mặc định là chế độ truyền dẫn, chỉ trong trường hợp sử dụng NAT mới chuyển sang chế độ đường hầm được đúng gúi UDP.

d) Độ dài khúa toàn vẹn (Key length): Độ dài của khúa toàn vẹn IKESP tựy thuộc vào thuật toỏn được sử dụng, vớ dụ thuật toỏn HMAC–MD5–96 cú độ dài khúa là 128 bit, cũn thuật toỏn HMAC–SHA–1–96 là 160 bit.

e) Độ dài khúa mó húa: Độ dài của khúa mó húa phụ thuộc vào thuật toỏn được sử dụng, trung bỡnh là 128 bit.

Cỏc giỏ trị chọn lựa

a) Khi khụng có NAT

• Địa chỉ IP của cỏc cặp SA:

o Cặp SA trong biờn tại P-CSCF: Địa chỉ IP nguồn và đớch của cặp SA này giống với cỏc địa chỉ IP tương ứng trong mào đầu của gúi tin chứa bản tin SIP REGISTER mà UE gửi đến.

o Cặp SA ngoài biờn tại P-CSCF: Địa chỉ IP nguồn và đớch của cặp SA này chớnh là địa chỉ IP đớch và nguồn của cặp SA trong biờn (cỏc giỏ trị đảo ngược cho nhau).

• Giao thức truyền dẫn cú thể là UDP hoặc TCP.

• Cỏc cổng:

o P-CSCF làm việc trờn hai cổng, đú là port_ps (cổng server được bảo vệ) và port_pc (cổng client được bảo vệ). Mỗi cổng này sẽ thiết lập một cặp SA khi nhận thực cho yờu cầu đăng ký. Để đảm bảo an ninh, cỏc bản tin khụng được bảo vệ sẽ khụng được truyền hay nhận qua cỏc cổng port_ps và port_pc. Số của cỏc cổng này được gửi đến cho UE khi thiết lập chế độ an ninh. Cả hai cổng trờn đều hỗ trợ UDP và TCP:

 Đối với UDP: P-CSCF nhận/gửi cỏc yờu cầu và hồi đỏp được bảo vệ bởi ESP từ/đến UE qua cổng port_ps/port_pc.

 Đối với TCP: P-CSCF phải thiết lập một kết nối TCP từ cổng port_pc đến cổng port_us của UE trước khi gửi yờu cầu.

o Chỳ ý:

 Cả UE và P-CSCF cú thể thiết lập một kết nối TCP từ cổng client của mỡnh đến cổng server của thực thể bờn kia khi cần thiết. Tuy nhiờn, chỳng cũng cú thể tỏi sử dụng một kết nối TCP sẵn cú.

 Cổng server được bảo vệ port_us sẽ khụng thay đổi đối với UE cho đến khi tất cả IMPU của UE đú được tỏi đăng ký.

o UE cũng sử dụng hai cổng là port_us (cổng server được bảo vệ) và port_uc (cổng client được bảo vệ). Cỏc cổng này cũng cú tớnh chất tương tự như cỏc cổng của P- CSCF. Giao thức truyền dẫn được sử dụng cú thể là UDP hoặc TCP:

 Đối với UDP: UE nhận/gửi cỏc yờu cầu và hồi đỏp được bảo vệ bởi ESP từ/đến P-CSCF ở cổng port_us /port_uc.

Đồ ỏn tốt nghiệp đại học Chương III: Bảo mật cho IMS

 Đối với TCP: UE phải thiết lập một kết nối TCP đến cổng port_ps của P-CSCF trước khi gửi yờu cầu cho P-CSCF.

o P-CSCF chỉ được phộp nhận cỏc bản tin REGISTER tại cỏc cổng port_ps và port_pc. Cũn cỏc bản tin liờn quan đến cỏc dịch vụ khẩn cấp và cỏc bản tin bỏo lỗi trờn cỏc cổng khụng được bảo vệ.

o Tại cỏc cổng port_us và port_uc, UE sẽ khụng được phộp nhận cỏc bản tin sau:

 Cỏc hồi đỏp cho cỏc bản tin REGISTER khụng được bảo vệ.

 Cỏc bản tin liờn quan đến cỏc dịch vụ khẩn cấp.

 Cỏc bản tin bỏo lỗi.

Cỏc bản tin khụng hợp lệ sẽ bị UE từ chối hoặc tự động loại bỏ mà khụng cần thụng bỏo cho P-CSCF.

Cỏc yờu cầu khi thiết lập SA:

• Đối với mỗi SA đang tồn tại, ứng dụng SIP tại P-CSCF sẽ lưu trữ ớt nhất là cỏc tham số: địa chỉ IP của UE, cổng được bảo vệ của UE, cổng được bảo vệ của P-CSCF, SPI, IMPI, IPMU1, ..., IMPUn và thời gian sống trong bảng SA. Hai giỏ trị cổng được bảo vệ của UE và cổng được bảo vệ của P-CSCF là port_uc và port_ps hoặc port_us và port_pc.

Chỳ ý: SPI chỉ được sử dụng khi P-CSCF cần thiết lập hay xúa cỏc SA

• Ứng dụng SIP tại P-CSCF ngay khi nhận được bản tin REGISTER được bảo vệ sẽ kiểm tra trường địa chỉ IP nguồn và đớch cú giống với địa chỉ IP của UE trong trường mào đầu Via hay khụng. Nếu trường mào đầu Via chứa một ký hiệu thay vỡ địa chỉ IP của UE thỡ P-CSCF trước hết phải xử lý ký hiệu đú để biết được địa chỉ IP của UE.

• Ứng dụng SIP tại P-CSCF ngay khi nhận được bản tin thiết lập REGISTER hoặc bản tin re-REGISTER sẽ kiểm tra địa chỉ IP của UE và cổng client được bảo vệ của UE cú phự hợp với cỏc đầu vào trong bảng SA hay khụng. Ở đõy, địa chỉ IP của UE được lấy trong phần mào đầu của gúi tin và giỏ trị cổng client được bảo vệ sẽ do UE gửi đến. Nếu kết quả kiểm tra khụng phự hợp thỡ quỏ trỡnh đăng ký sẽ bị loại bỏ, đồng thời P-CSCF gửi một bản tin thụng bỏo lỗi cho UE.

• Khi P-CSCF nhận được một gúi tin trờn SA thỡ ứng dụng SIP của nú sẽ thẩm định SA trong biờn được sử dụng cú phự hợp hay khụng, bằng cỏch kiểm tra ba tham số địa chỉ IP của UE, cổng được bảo vệ của UE và cổng được bảo vệ của P-CSCF cú trong

bảng SA. Đồng thời, ứng dụng SIP cũn phải đảm bảo rằng thuờ bao mà P-CSCF gửi hồi đỏp cũng chớnh là thuờ bao đó gửi bản tin cho P-CSCF.

Chỳ ý: Cú một số bản tin SIP khụng cú nhận dạng chung và riờng vớ dụ như cỏc bản tin kế tiếp nhau trong cuộc hội thoại.

• Đối với mỗi SA đang tồn tại, ứng dụng SIP tại UE cũng lưu ớt nhất là một trong cỏc tham số: địa chỉ IP của UE, cổng được bảo vệ của UE, cổng được bảo vệ của P-CSCF, SPI và thời gian sống cú trong bảng SA. Cổng được bảo vệ của UE và cổng được bảo vệ của P-CSCF chớnh là port_uc và port_ps hoặc port_us và port_pc.

Chỳ ý: SPI chỉ được UE sử dụng khi thiết lập và xúa cỏc SA ở UE.

• Khi một cặp SA mới được thiết lập thỡ ứng dụng SIP tại UE phải đảm bảo rằng cỏc số đó lựa chọn cho cỏc cổng được bảo vệ sẽ khụng trựng với bất cứ đầu vào nào trong bảng SA.

Chỳ ý: Số của cỏc cổng được bảo vệ tại UE nờn được lựa chọn một cỏch ngẫu nhiờn nhằm hạn chế tấn cụng DoS.

• Đối với mỗi bản tin nhận được, ứng dụng SIP tại UE sẽ kiểm tra sự phự hợp của SA tương ứng thụng qua hai giỏ trị là cổng được bảo vệ của UE và cổng được bảo vệ của P-CSCF trong bảng SA.

Chỳ ý: Nếu gúi tin nhận được này khụng được bảo vệ tớnh toàn vẹn thỡ nú sẽ bị IPSec tự động loại bỏ.

b) Khi có NAT

Trong trường hợp cú NAT thỡ UE sẽ được cấu hỡnh nội bộ bằng một địa chỉ IP riờng. Khi UE này liờn lạc với P-CSCF thỡ NAT sẽ cú chức năng định vị ràng buộc và chuyển đổi địa chỉ IP nội bộ của UE thành địa chỉ IP cụng cộng.

• Địa chỉ IP:

o Địa chỉ của cỏc SA tại P-CSCF vẫn giống như trường hợp khụng cú NAT.

o Đối với SA ngoài biờn của UE: Địa chỉ nguồn của SA ngoài biờn chớnh là địa chỉ IP cụng cộng của UE. UE biết được địa chỉ IP cụng cộng này thụng qua cỏc tham số cú trong trường mào đầu Via của hồi đỏp 401 (khụng được nhận thực) tương ứng với yờu cầu REGISTER khụng được bảo vệ.

Địa chỉ đớch của SA này là địa chỉ đớch trong phần mào đầu của gúi tin chứa bản tin SIP REGISTER được gửi đến cho P-CSCF.

Đồ ỏn tốt nghiệp đại học Chương III: Bảo mật cho IMS

o Đối với SA trong biờn của UE: Địa chỉ IP nguồn và đớch của SA trong biờn chớnh là địa chỉ IP đớch và nguồn của SA ngoài biờn.

Chỳ ý: Cỏc địa chỉ IP và cỏc cổng được sử dụng làm giỏ trị lựa trong chế độ đường hầm của IPSec đều nằm ở phần mào đầu bờn trong.

• Giao thức truyền dẫn cú thể là UDP hoặc TCP.

• Cỏc cổng: Giống như trường hợp khụng cú NAT.

Dữ liệu liờn quan đến việc sử dụng chế độ đường hầm được đúng gúi UDP:

• Đối với một gúi tin ở chế độ đường hầm thỡ cần phải quan tõm đến địa chỉ đầu cuối của đường hầm và cấu tạo mào đầu của gúi tin.

• Khi sử dụng chế độ đường hầm được đúng gúi UDP thỡ gúi tin truyền giữa UE và P-CSCF sẽ được thờm một phần mào đầu mới bờn ngoài. Cũn phần mào đầu bờn trong vẫn giống với trường hợp khụng cú NAT. Trường mào đầu địa chỉ IP ở phần mào đầu bờn ngoài được xỏc định như sau:

o Đối với P-CSCF: Địa chỉ nguồn của SA ngoài biờn chớnh là

địa chỉ của P-CSCF, cũn địa chỉ đớch là địa chỉ cụng cộng của UE. Đối với SA trong biờn thỡ địa chỉ đớch là địa chỉ của P-CSCF.

o Đối với UE: Địa chỉ nguồn của SA ngoài biờn là địa chỉ IP nội

bộ của UE, cũn địa chỉ đớch sẽ là địa chỉ của P-CSCF. Địa chỉ đớch của SA trong biờn chớnh là địa chỉ nội bộ của UE và được dựng để xỏc định SA.

• Giỏ trị cỏc cổng cú trong phần mào đầu đúng gúi UDP:

o Đối với UE: Mỗi bản tin được đúng gúi UDP truyền trờn SA

sẽ dựng cổng 4500 làm cổng nguồn và cổng đớch trong phần mào đầu của nú.

o Đối với P-CSCF: Khi UE gửi một bản tin được đúng gúi UDP

đến P-CSCF cú số cổng như trờn thỡ NAT sẽ thay giỏ trị cổng nguồn thành một cổng khỏc, gọi là cổng port_Uenc. Khi P-CSCF nhận được gúi tin đúng gúi UDP đầu tiờn do UE gửi đến thỡ nú sẽ lưu giữ lại số cổng port_Uenc này. Từ đõy về sau, cỏc bản tin được đúng gúi UDP do P-CSCF gửi đến UE sẽ sử dụng cổng 4500 làm cổng nguồn và cổng port_Uenc làm cổng đớch trong phần mào đầu đúng gúi UDP.

Cỏc yờu cầu khi thiết lập SA:

• Đối với mỗi SA đang tồn tại, ứng dụng SIP tại P-CSCF lưu trữ tối thiểu cỏc số liệu: địa chỉ IP của UE, cổng được bảo vệ của UE, cổng được bảo vệ của P-CSCF, SPI, IMPI, IPMU1, ..., IMPUn, thời gian sống và chế độ hoạt động trong bảng SA. Cổng

được bảo vệ của UE và cổng được bảo vệ của P-CSCF là port_uc và port_ps hoặc port_us và port_pc.

• Khi ứng dụng SIP tại P-CSCF nhận được bản tin REGISTER thỡ nú sẽ kiểm tra trường địa chỉ IP nguồn của gúi tin cú giống với địa chỉ IP của UE trong trường mào đầu Via hay khụng. Nếu trường mào đầu Via chứa một ký hiệu thay vỡ địa chỉ IP của UE thỡ P-CSCF trước hết phải xử lý ký hiệu đú để biết được địa chỉ của UE.

• Ứng dụng SIP tại P-CSCF ngay khi nhận được bản tin thiết lập REGISTER hoặc bản tin re-REGISTER sẽ kiểm tra địa chỉ IP của UE và cổng client được bảo vệ của UE cú phự hợp với cỏc đầu vào trong bảng SA hay khụng. Trong đú, địa chỉ IP của UE là địa chỉ nguồn trong phần mào đầu gúi tin, cũn giỏ trị cổng client được bảo vệ sẽ do UE gửi đến. Nếu phỏt hiện UE nằm sau một NAT thỡ P-CSCF sẽ so sỏnh hai giỏ trị địa chỉ IP của UE và cổng server được bảo vệ của UE với cỏc đầu vào của bảng SA.

Chỳ ý: Khi cú nhiều UE cựng nằm sau một NAT thỡ P-CSCF sẽ từ chối cỏc yờu cầu đăng ký từ cỏc UE cú cựng địa chỉ và cổng server được bảo vệ, nhằm trỏnh xảy ra tỡnh trạng mập mờ về địa chỉ của cỏc bản tin SIP được gửi cho UE thụng qua cổng server được bảo vệ.

Nếu cỏc bước kiểm tra trờn gặp thất bại thỡ quỏ trỡnh đăng ký sẽ bị loại bỏ, đồng thời P-CSCF gửi bản tin bỏo lỗi cho UE.

• Đối với mỗi bản tin nhận được, ứng dụng SIP tại P-CSCF sẽ kiểm tra sự phự hợp của SA trong biờn được sử dụng thụng qua ba giỏ trị là địa chỉ IP của UE, cổng được bảo vệ của UE và cổng được bảo vệ của P-CSCF trong bảng SA. Ứng dụng này cũn phải đảm bảo gửi bản tin đến đỳng người nhận.

• Đối với mỗi SA đang tồn tại, ứng dụng SIP tại UE sẽ lưu ớt nhất một trong cỏc tham số: địa chỉ IP của UE, cổng được bảo vệ của UE, cổng được bảo vệ của P-CSCF, SPI, thời gian sống và chế độ hoạt động trong bảng SA.

• Khi cần thiết lập một cặp SA mới thỡ ứng dụng SIP tại UE phải đảm bảo rằng giỏ trị sử dụng của cỏc cổng được bảo vệ sẽ khỏc với mọi đầu vào trong bảng SA. Cỏc giỏ trị này sẽ được lựa chọn một cỏch ngẫu nhiờn. Khi UE nhận được một bản tin thụng bỏo lỗi do xảy ra xung đột giữa địa chỉ IP và cổng thỡ nú cú thể tiến hành đăng ký lại với một số cổng khỏc.

Chỳ ý:

Đồ ỏn tốt nghiệp đại học Chương III: Bảo mật cho IMS

 Trỏnh xảy ra trường hợp tồn tại một cặp xung đột (địa chỉ IP, cổng) tại P- CSCF.

 Ngăn chặn tấn cụng DoS.

o Quỏ trỡnh lựa chọn ngẫu nhiờn số cổng được thực hiện trong cả quỏ trỡnh thiết lập đăng ký và tỏi đăng ký.

• Đối với mỗi bản tin bảo vệ nhận được, ứng dụng SIP tại UE sẽ kiểm tra sự phự hợp của SA dựa vào hai giỏ trị là cổng được bảo vệ của UE và cổng được bảo vệ của P- CSCF trong bảng SA.

Chỳ ý: Nếu bước kiểm tra tớnh toàn vẹn cho gúi tin nhận được gặp thất bại thỡ IPSec sẽ tự động loại bỏ gúi tin đú.

Một phần của tài liệu Đồ án tốt nghiệp nghiên cứu vấn đề bảo mật IMS (Trang 84 - 91)

(106 trang)