i) Vấn đề sử dụng liờn kết an ninh ở UE
Tại một thời điểm thỡ mỗi UE chỉ được thực hiện một thủ tục đăng ký, tức là UE sẽ phải xúa cỏc dữ liệu (bao gồm cả cỏc SA) liờn quan đến cỏc đăng ký hay nhận thực chưa được hoàn tất trước đú khi nú tiến hành một thủ tục đăng ký mới.
UE cú thể bắt đầu một thủ tục đăng ký với hai cặp SA đang tồn tại (thường là cỏc SA cũ). Quỏ trỡnh đăng ký cũng tạo ra hai cặp SA mới nhưng chỳng lại khụng được dựng để bảo vệ cho lưu lượng cho đến khi được quỏ trỡnh nhận thực “biết đến”. Sau đú, cỏc bản tin sẽ được truyền trờn SA tương ứng. Nếu UE nhận được một bản tin được bảo vệ bằng một SA khụng phự hợp thỡ nú sẽ loại bỏ bản tin này.
Quỏ trỡnh nhận thực thành cụng của UE bao gồm cỏc bước sau:
• UE gửi bản tin SM1 để đăng ký với IMS. Nếu cần bảo vệ cho bản tin SM1 này thỡ UE sẽ truyền nú trờn một SA ngoài biờn cũ.
• P-CSCF gửi một chất vấn nhận thực trong bản tin SM6 cho UE trờn một SA cũ.
• Sau khi xử lý bản tin SM6, UE sẽ tạo ra cỏc SA mới. Thời gian sống của cỏc SA mới này sẽ được thiết lập đủ để cho phộp hoàn tất thủ tục đăng ký. Nếu cỏc SA cũ bảo vệ cho bản tin SM1 sử dụng chế độ đường hầm được đúng gúi UDP thỡ cỏc SA mới cũng hoạt động ở chế độ đú. Tiếp theo, UE gửi hồi đỏp là bản tin SM7 cho P-CSCF, bản tin này được bảo vệ bằng SA ngoài biờn mới. Lỳc này, nếu bản tin SM1 được bảo
Đồ ỏn tốt nghiệp đại học Chương III: Bảo mật cho IMS
vệ thỡ UE sẽ sử dụng cỏc SA cũ để bảo vệ cho cỏc bản tin cũn lại của quỏ trỡnh nhận thực, cho đến khi nhận được bản tin SM12. Nếu SM1 khụng được bảo vệ thỡ UE khụng được phộp sử dụng cỏc dịch vụ cho đến khi nhận được bản tin SM12.
• Bản tin SM12 do P-CSCF gửi đến sẽ được bảo vệ bởi một SA trong biờn mới của UE.
• Khi UE nhận được bản tin SM12 thỡ cú nghĩa là quỏ trỡnh đăng ký diễn ra thành cụng. UE thiết lập thời gian sống cho cỏc SA mới bằng thời gian tồn tại dài nhất của cỏc SA cũ hoặc bằng thời gian định thời cho đăng ký được lưu trong bản tin cộng với một thời gian gia hạn ngắn (khoảng thời gian gia hạn này sẽ khụng được đề cập đến trong đồ ỏn này), tựy thuộc vào khoảng thời gian nào dài hơn. Cỏc SA ngoài biờn mới sẽ được sử dụng để bảo vệ cho cỏc bản tin SIP mà UE gửi đi. Trường hợp bản tin SIP là một phần của giao dịch SIP đang được chờ để xử lý thỡ nú cú thể được truyền trờn SA cũ. (Một giao dịch SIP được gọi là đang chờ xử lý nếu nú được thiết lập bằng một SA cũ.) Khi P-CSCF nhận được cỏc bản tin của UE trờn một SA mới thỡ cỏc SA cũ sẽ được xúa đi ngay khi cỏc giao dịch SIP đang chờ đợi được hoàn tất hoặc bị hết hạn. Cỏc SA cũ cũn bị xúa khi thời gian sống của nú đó hết. Đõy là bước hoàn tất thủ tục xử lý SA đối với UE.
Khi quỏ trỡnh nhận thực gặp thất bại, nếu bản tin SM1 khụng được bảo vệ thỡ chỉ cú bản tin thụng bỏo nhận thực khỏch hàng bị thất bại được truyền trờn SA mới. Nếu bản tin SM1 được bảo vệ thỡ cỏc bản tin thụng bỏo thất bại sẽ được truyền trờn cỏc SA cũ. Trong cả hai trường hợp, sau khi xử lý bản tin thụng bỏo thất bại này thỡ P-CSCF sẽ xúa tất cả cỏc SA mới.
P-CSCF luụn giỏm sỏt thời gian hết hạn của cỏc đăng ký chưa được nhận thực và trong trường hợp thỡ nú sẽ tăng thời gian tồn tại của cỏc SA được tạo ra trước đú.
UE sẽ xúa cỏc SA khi thời gian sống của chỳng đó hết hoặc khi tất cả cỏc IMPU của UE này được tỏi đăng ký.
ii) Vấn đề sử dụng liờn kết an ninh ở P-CSCF
Khi gửi một chất vấn đến UE thỡ P-CSCF cú thể sử dụng một SA cũ của quỏ trỡnh nhận thực thành cụng trước đú (mỗi quỏ trỡnh nhận thực thành cụng sẽ tạo ra hai cặp SA). Quỏ trỡnh nhận thực mới cũng tạo ra hai cặp SA, tuy nhiờn cỏc SA mới này sẽ khụng được sử dụng cho đến khi được biết đến trong quỏ trỡnh nhận thực. Mỗi bản tin nhất định sẽ được bảo vệ bằng SA tương ứng, nếu P-CSCF phỏt hiện ra bản tin được bảo vệ bằng SA khụng phự hợp thỡ nú sẽ loại bỏ bản tin đú.
P-CSCF kiểm tra IMPI cựng cỏc IMPU tương ứng của UE khi truyền cỏc gúi tin cho UE này trờn SA vừa được thiết lập.
Quỏ trỡnh nhận thực thành cụng đối với P-CSCF bao gồm cỏc bước sau:
• P-CSCF nhận bản tin SM1 do UE gửi đến. Trong trường hợp cần bảo vệ cho bản tin này thỡ nú sẽ truyền trờn một SA cũ.
• P-CSCF gửi bản tin SM6 cú chứa chất vấn cho UE. Bản tin này được truyền trờn một SA ngoài biờn cũ, bất kể SM1 cú được bảo vệ hay khụng.
• Sau đú, P-CSCF tạo ra cỏc SA mới cú thời gian tồn tại được lập đủ để hoàn thành thủ tục nhận thực. Nếu SA cũ bảo vệ cho SM1 sử dụng chế độ đường hầm được đúng gúi UDP thỡ cỏc SA mới cũng sẽ hoạt động ở chế độ này.
• P-CSCF nhận bản tin cú chứa hồi đỏp (SM7) do UE gửi đến. Bản tin này được truyền trờn một SA mới. Nếu SM1 được bảo vệ thỡ cỏc SA cũ sẽ được dựng để bảo vệ cho cỏc bản tin cũn lại trong quỏ trỡnh nhận thực.
• P-CSCF chuyển tiếp bản tin thụng bỏo đăng ký thành cụng (SM12) cho UE. Bản tin này được truyền trờn SA ngoài biờn mới. Đõy là bước hoàn thành thủ tục đăng ký đối với P-CSCF. P-CSCF sẽ thiết lập thời gian sống cho cỏc SA mới bằng thời gian tồn tại dài nhất của cỏc SA cũ bằng thời gian định thời cho đăng ký được lưu trong bản tin cộng thờm một thời gian gia hạn ngắn nữa, tựy thuộc vào khoảng thời gian nào dài hơn.
• Sau khi gửi bản tin SM12, P-CSCF xử lý cỏc SA liờn quan đến UE như sau:
o Nếu cỏc SA cũ vẫn cũn tồn tại mà bản tin do P-CSCF nhận được lại khụng được bảo vệ thỡ P-CSCF sẽ xem như đó xảy ra lỗi và cho rằng UE khụng cũn sử dụng cỏc SA cũ này nữa nờn xúa chỳng đi.
o Nếu bản tin SM1 được bảo vệ bằng một SA cũ phự hợp thỡ P-CSCF sẽ giữ lại SA trong biờn này cựng ba SA tương ứng với nú để sử dụng (cũn tất cả cỏc SA cũ khỏc đều được xúa đi). Khi bốn SA này sắp hết hạn hoặc khi nhận được một bản tin do UE gửi trờn một SA mới thỡ P-CSCF sẽ bắt đầu sử dụng cỏc SA mới để truyền cỏc bản tin được gửi đi. Trường hợp bản tin là một phần của giao dịch SIP đang được chờ để xử lý thỡ nú cú thể được truyền trờn SA cũ. Cỏc SA cũ này sẽ được xúa ngay khi giao dịch SIP được xử lý hay bị hết hạn. Ngoài ra, cỏc SA cũ cũn được xúa khi thời gian tồn tại của chỳng đó hết. Khi cỏc liờn kết cũ hết hạn mà khụng cú bản tin SIP nào được truyền
Đồ ỏn tốt nghiệp đại học Chương III: Bảo mật cho IMS
trờn cỏc SA mới thỡ cỏc SA mới này sẽ được dựng để bảo vệ cho cỏc bản tin ngoài biờn. Đõy là bước hoàn thành thủ tục nhận thực ở P-CSCF.
Khi quỏ trỡnh nhận thực gặp thất bại, nếu bản tin SM1 khụng được bảo vệ thỡ cỏc bản tin thụng bỏo thất bại cũng khụng được bảo vệ, ngoại trừ bản tin thụng bỏo quỏ trỡnh nhận thực khỏch hàng bị thất bại sẽ được truyền trờn cỏc SA mới. Nếu bản tin SM1 được truyền trờn cỏc SA cũ thỡ cỏc bản tin thụng bỏo thất bại cũng được truyền trờn đú. Trong cả hai trường hợp, sau khi xử lý bản tin thụng bỏo thất bại này thỡ P- CSCF sẽ xúa tất cả cỏc SA mới.
P-CSCF luụn giỏm sỏt thời gian hết hạn của cỏc đăng ký chưa được nhận thực và trong trường hợp cần thiết, nú sẽ tăng thời gian tồn tại cho cỏc SA được tạo ra trong quỏ trỡnh nhận thực trước đú.
P-CSCF sẽ xúa cỏc SA đó hết hạn hoặc cỏc SA cú IMPI mà tất cả cỏc IMPU tương ứng đó được tỏi đăng ký.