HỌc viện công nghệ BƯu chính viễn thông đỒ Án tốt nghiệP ĐẠi họC Đồ án

tải về 0.54 Mb.

trang	11/12
Chuyển đổi dữ liệu	15.08.2016
Kích	0.54 Mb.
	#20189

1 ... 4 5 6 7 8 9 10 11 12

3.2 An ninh truy nhập cho IMS

Một người dùng truy cập IMS cần được xác thực và cấp quyền trước khi có thể sử dụng các dịch vụ IMS. Khi một người dùng được cấp quyền bảo vệ lưu lượng SIP giữa đầu cuối IMS và P-CSCF bằng việc sử dụng hai liên kết an ninh IPsec.

Việc xác thực và cấp quyền người dùng và thiết lập liên kết an ninh IPsec của chúng được thực hiện dùng chuyển giao REGISTER. S-CSCF tăng xác thực và cấp quyền người dùng với vector xác thực tải từ HSS ( máy chủ thuê bao nhà, xác thực và cấp quyền người dùng, trong suốt quá trình xác thực người dùng cũng cần xác thực mạng để chắc chắn rằng chúng đang không nói chuyện với mạng giả mạo.

3.2.1 Xác thực và cấp quyền

Xác thực và cấp quyền trong IMS dựa vào chức năng bảo mật trên mạng trong đầu cuối IMS. Thực tế, chức năng bảo mật được thực hiên trực tiếp trong đầu cuối IMS, nhưng trong một thẻ thông minh được chèn trong đầu cuối. chức năng của thẻ thông minh ( smart card) là phụ thuộc vào mạng thực tế.

Trong mạng 3GPP, thẻ thông minh thường được biết đến như UICC ( thẻ mạch tích hợp phổ biến ). UICC chứa một hoặc nhiều ứng dụng như mô tả trong hình 3.2. Mỗi ứng dụng chứa tham số và cấu hình liên quan đến một sử dụng đặc biệt. Mỗi một ứng dụng đó là là ISIM ( Module nhận dạng dịch vụ IP đa phương tiện ). Các ứng dụng có thể khác là SIM ( Modul nhận dạng thuê bao) và USIM (modul nhận dạng thuê bao UMTS)

Hình 3. 2 SIM, USIM, và ISIM trong UICC của đầu cuối IMS 3GPP

Mạng 3GPP cho phép truy nhập đến IMS khi UICC chứa ISIM hoặc USIM, dù ISIM được ưu tiên vì nó được điều chỉnh trong IMS. Tuy nhiên, truy nhập vói ứng dụng USIM được cho phép trong trường hợp người dùng không cập nhật thẻ thông minh của họ đến UICC chứa một ISIM. Do chức năng bảo mật kém, truy nhập đến IMS với một ứng dụng ISIM trong phần 3.2.3 mô tả cùng thủ tục khi UICC chứa USIM.

Các tham số nhận thực được lưu trong ISIM trong 3GPP IMS lưu trong đầu cuối IMS hoặc trong R-UIM ( modul nhận dạng người dùng tháo lắp được ) trong 3GPP2 IMS. Các tham số là giống nhau trong cả hai mạng, như là chức năng bảo mật. Việc lưu trữ có thể khác kể từ 3GPP2 cho phép đầu cuối IMS hoặc R-UIM để lưu tham số nhận thực, nhưng khác đó là không có sự khác nhau thực chất. Phần 3.2.2 mô tả xác thực và phân quyền với ISIM, cũng được áp dụng cho mạng 3GPP.

3.2.2 Xác thực và cấp quyền với ISIM

Phần này mô tả thủ tục xác thực và phân quyền diễn ra giữa đầu cuối IMS và mạng khi đầu cuối được trang bị với ứng dụng ISIM.

Xác thực qua lại giữa người dùng và mạng trong IMS dựa vào khóa chia sẻ dài hạn giữa ISIM trong đầu cuối và HSS trong mạng. Các ISIM chứa một khóa bí mật. khóa bí mật của mỗi ISIM đặc biệt cũng lưu trong HSS nhà. Để đạt được xác thực qua lại giữa ISIM và HSS phải cho biết lẫn nhau khóa bí mật mà chúng biết. Tuy nhiên, đầu cuối chứa ISIM nói với SIP nhưng HSS thì không. Để giải quyết vấn đề này S-CSCF gán cho người dùng một quy tắc của bộ xác thực. Một cách hiệu quả, HSS trao quyền này cho S-CSCF.

S-CSCF dùng giao thức Diameter có được vector xác thực từ HSS và thử thách bộ phận người dùng. Các vector xác thực chứa một thử thách và một câu hỏi kì vọng từ bộ phận người dùng đối với thử thách đó. Nếu người dùng trả lời khác so với S-CSCF coi như xác thực thất bại Hãy xem cách S-CSCF ánh xạ các thử thách đó thành một chuyển giao REGISTER dùng phân loại xác thực truy nhập.

Việc đầu tiên một đầu cuối IMS thực hiện khi nó đăng nhập vao mạng IMS là gửi yêu cầu REGISTER đến mạng nhà của nó như hình 3.3. I-CSCF điều khiển việc gán REGISTER, theo các chỉ tiêu có được từ HSS trong trao dổi ban tin Diameter (3) và (4), một S-CSCF cho người dùng, mà được thực hiện nhiệm vụ với xác thực và cấp quyền người dùng. S-CSCF tải một số vector xác thực từ HSS (7). Mỗi vector chứa một thử thách ngẫu nhiên (RAND), một thẻ xác thực mạng ( AUTN) và một khóa phiên được mã hóa (CK). HSS tạo AUTN dùng khóa bí mật mà nó chia sẻ với ISIM và một số đoạn (SQN) được giữ để đồng bộ giữa ISIM và HSS. Mỗi S-CSCF tải vài vector để tránh liên lạc HSS thêm lần nữa nếu nó cần xác thực người dùng lại.

Hình 3. 3 Phiên Register khởi tạo

S-CSCF dùng vector xác thực đầu tiên để xây dựng phân loại thử thách cho ISIM. S-CSCF xây dựng một đáp ứng 401 mà bao gồm một trường tiêu đề www-Authenticated. Giá trị bao gồm một mã cơ số 64 của RAND và AUTN. Giá trị của tham số thuật toán được thiết lập là AKAvl-MD5. Hình 3.4 chỉ nội dung của trường tiêu đề WWW-Authenticated.

WWW-authenticate: Digest

realm=”domain.com”,

nonce=”CjPk8mRqNuT25eRkajM09uT19nM09T19nMz50X25PZz==”,

qop=”auth, auth-int”,

algoritnm=AKAv1-MD5

Hình 3. 4 Trường tiêu đề WWW-Authenticated.

Khi đầu cuối nhận đáp ứng 401 nó suy ra RAND, AUTN, và CK và khóa IK từ trường lúc đầu. Nếu nó có được cùng giá trị như AUTN nhận, nó xem xét xác thực mạng. Trong trường hợp ISIM dùng khóa bí mật của nó và RAND nhận được tao ra một giá trị đáp ứng (RES) mà trả lời S-CSCF trong trường tiêu đề cấp quyền của yêu cầu REGISTER (11). Hình 3.5 chỉ ra nội dung của trường tiêu đề.

Authorization: Digest

uername=”Alice.Smith@domain.com”,

ralm=”domain.com”,

nnce=”CjPk9mRqNuT25eRkajM09uT19nM09ut19nMz50X25PZz==”.

ui=”sip:domain.com”,

qop=auth-int

cnonce=”0a4fi13b”,

reponse=”6629fae4393a05397450978507c4ef1”,

Hình 3. 5 Trường tiêu đề Authorization

Khi S-CSCF nhận REGISTER (5) nó so sánh với giá tri RES nhân được với giá trị kì vọng XRES trong vector xác thực. Nếu chúng phù hợp S-CSCF coi như người dùng được xác thực và trả lời bằng đáp ứng OK.

3.2.3 Xác thực và cấp quyền với USIM

Một đầu cuối IMS trang bì với một UICC chứa một USIM nhưng không chứa ISIM vẫn có thể dùng IMS. Rõ ràng, USIM không chứa nhận dạng người dùng công cộng và cá nhân, cũng như khóa bí mật cần thiết để xác thực người dùng bằng mạng IMS. USIM chứa IMSI ( nó tương tự như nhận dạng người dùng công cộng trong mạng chuyển mạch kênh và gói ). Đầu cuối IMS xây dựng một bộ nhận dạng người dùng tạm thời. USIM cũng chứa một khóa bí mật dài hạn, thông thường được sử dụng cho xác thực trong mạng chuyển mạch kênh và gói. Khi USIM được dùng để truy cập một mạng IMS, cả mạng và đầu cuối dùng một khóa bí mật dài hạn lưu trong USIM và HSS cho mục đích xác thực.

Trong hầu hết các trường hợp người vận hành mạng nhà sẽ không muốn để lộ cả IMSI hoặc bộ nhận dạng người dùng ra bên ngoài mạng nhà. Nhưng, chúng ta đã nói về bộ nhận dạng người dùng công cộng và bộ nhận dạng cá nhân tạm thời bắt nguồn từ IMSI. Vì thế, người vận hành mạng nhà có khả năng chắn bất kỳ bộ nhận dạng người dùng chung nào, chẳng hạn bộ nhận dạng tạm thời, từ trong bản tin SIP đang được sử dụng khác so với yêu cầu REGISTER và đáp ứng của nó. Đầu cuối IMS có thể dùng bất kì bộ nhận dạng người dùng công cộng nào cấp phát cho người dung, như chúng được truyền đến đầu cuối trong trường tiêu đề của P-Associated-URI của đáp ứng 200 (OK) đối với REGISTER. Nếu đầu cuối IMS khởi đầu một phiên với một bộ nhận dạng người dùng bị ngăn cấm, S-CSCF sẽ từ chối thiết lập phiên.

3.2.4 Thiết lập liên kết an ninh

P-CSCF và đầu cuối thiết lập hai liên kết an ninh Ipsec giữa chúng. Có hai liên kết an ninh thay vì một, cho phép các đầu cuối và P-CSCF dùng UDP để nhận đáp ứng đối với một yêu cầu trên một cổng khác so với cổn chúng dùng để gửi yêu cầu ( cổng nguồn của gói IP mang yêu cầu ). Vài người thực thi tin tưởng rằng việc thực thi dưới đây, trạng thái này là hiệu quả hơn so với việc thực thi dùng một cổng đơn. Mặt khác, các đầu cuối và các P-CSCF dùng TCP giữa chúng gửi đáp ứng trên cùng kết nối TCP ( ví dụ dùng cùng cổng ) như chúng nhận yêu cầu. Hình 3.6 và 3.7 mô tả việc dùng cổng trong UDP và TCP. Trong cả hai trường hợp, một liên kết an ninh được thiết lập từ cổng người dùng được bảo vệ của đầu cuối đến cổng máy chủ được bảo vệ của P-CSCF. Cả hai liên kết an ninh hỗ trợ lưu lượng theo cả hai hướng.

Hình 3. 6 Sử dụng cổng và liên kết an ninh với UDP

P-CSCF và đầu cuối cần đồng ý vói một bộ tham số để thiết lập hai liên kết an ninh Ipsec giữa chúng. P-CSCF bảo đảm toàn vẹn và khóa mã hóa trong một đáp ứng (401) từ S-CSCF ( mà có được chúng trong một vector xác thực từ HSS). P-CSCF xóa khóa cả hai phía từ đáp ứng trước khi chuyển nó đến đầu cuối IMS. P-CSCF và đầu cuối IMS dùng cùng hai chuyển giao REGISTER mà được dùng cho xác thực để thương lượng phần còn lại của các tham số IPsec.

Hình 3. 7 Sử dụng cổng và liên kết an ninh với TCP

Đầu cuối thêm một trường tiêu đề Security-Client vào REGISTER (1) như trong hình 3.8. Trường tiêu đề này chứa cơ cấu ( ipsec-3gpp) và thuật toán (hmac-sha-1-96) đầu cuối hỗ trợ cũng như SIP ( xác định cho liên kết an ninh) và số cổng mà nó sẽ dùng.

Security-client: ipsec-3gpp; alg=hmac-sha-1-96

spi-c=23456789; spi-s=1234568;

port-c=2468; spi-s=1357

Hình 3. 8 Trường tiêu đề Security-client

P-CSCF thêm một trường tiêu đề Security-client vào đáp ứng 401 (chưa được cấp quyền) như hình 3.9. Trường tiêu đề này chứa cơ cấu (ipsec-3gpp) và thuật toán (hmac-sha-1-96). P-CSCF hỗ trợ như các SPI và số cổng mà nó sẽ dùng. Hơn nữa P-CSCF chỉ rõ giá trị q cơ cấu bảo mật hay dùng của nó. Trường tiêu đề Security-Server có một cơ cấu đơn nhưng cơ cấu với giá trị q cao hơn hay dùng hơn.

Security-Sever: ipsec-3gpp, q=0.1; alg=hmac-sha-1-96

Spi-c=98765432, spi-s=87654321;

Port-c=8642; port-s=7531

Hình 3. 9 Trường tiêu đề Security-Server

Security-Verify: ipsec-3gpp; q=0.1; alg=hmac-sha-1-96

Spi-c=98765432, spi-s=87654321;

Port-c=8642; port-s=7531

Hình 3. 10 Trường tiêu đề Security-Verify

Liên kết an ninh sẵn sàng sử dụng ngay khi đầu cuối nhận trường tiêu đề Security-Server (10). Vì đầu cuối gửi một yêu cầu REGISTER (11) trên một liên kết an ninh. Đầu cuối bao gồm một trường tiêu đề Security-Verify trong REGISTER như hình 3.10 phản ánh nội dung của trường tiêu đề Security-Server nhận trước đó. Cách này máy chủ chắc chắn rằng không có tác động sửa đổi khi nó gửi đến máy trạm. Hiện nay, P-CSCF cũng hỗ trợ ipsec-3gpp nhưng trong tương lai chúng không hỗ trợ cơ cấu an ninh khác. Một kẻ tấn công có thể xóa đi cơ cấu bảo mật mạnh nhất từ Securityy-Server để tấn công đầu cuối dùng bảo mật yếu hơn. Với thêm trường tiêu đề Security-Verify một kẻ tấn công chỉnh sửa danh sách Security-Server sẽ cần phá cơ cấu an ninh được chọn trong thời gian thực để thay đổi trường tiêu đề Security-Verify. Mặt khác, P-CSCF sẽ nhận ra sự tấn công và phá hủy đăng kí.

3.2.5 Thủ tục thiết lập liên kết an ninh

3.2.5.1 Các tham số của liên kết an ninh

Để bảo vệ an ninh cho lưu lượng giữa UE và P-CSCF thì hai thực thể này cần phải thống nhất với nhau về các khóa được sử dụng (thông qua IMS AKA) cùng các tham số xác định cách thức bảo vệ. Thủ tục thiết lập chế độ an ninh cũng thực hiện thỏa thuận các tham số của SA phục vụ cho việc bảo đảm tính cơ mật và quá trình nhận thực của thuê bao.

Các tham số của SA cần được thỏa thuận là:

Thuật toán mã hóa

Thuật toán mã hóa được sử dụng là DES-EDE3-CBC (RFC 2451) hoặc AES-CBC (RFC 3602) với độ dài khóa là 128 bit.

Thuật toán đảm bảo tính toàn vẹn

Hai thuật toán đảm bảo tính toàn vẹn được sử dụng là HMAC-MD5-96 và HMAC-SHA-1-96.

Chỉ số tham số an ninh – SPI

Mỗi giá trị SPI chỉ được sử dụng đối với một SA nhất định. Ba tham số SPI, địa chỉ IP đích và giao thức an ninh có chức năng xác định duy nhất một SA. Mỗi UE sẽ có các giá trị SPI riêng khác với các SPI đã được sử dụng. Còn các SPI của P-CSCF sẽ khác với các SPI mà P-CSCF nhận được từ UE. Khi tiến hành nhận thực đăng ký thì UE và P-CSCF sẽ chọn ra giá trị SPI của mình để thiết lập SA.

Chế độ hoạt động của SA

Chế độ hoạt động của SA sẽ được xác định phụ thuộc vào sự có mặt của NAT. Trong trường hợp không sử dụng NAT thì các SA sẽ hoạt động ở chế độ truyền dẫn, còn trong trường hợp có sử dụng NAT thì chúng sẽ hoạt động ở chế độ đường hầm được đóng gói UDP. P-CSCF sẽ nhận biết được sự hiện diện của NAT trong quá trình thiết lập SA.

Sau đây là các tham số không được thỏa thuận của SA:

Kiểu thời gian tồn tại (Life type): Luôn có giá trị là giây.
Thời hạn của SA (SA duration): Có độ dài cố định là 2³²-1.
Chế độ (Mode): Mặc định là chế độ truyền dẫn, chỉ trong trường hợp sử dụng NAT mới chuyển sang chế độ đường hầm được đóng gói UDP.
Độ dài khóa toàn vẹn (Key length): Độ dài của khóa toàn vẹn IK_ESP tùy thuộc vào thuật toán được sử dụng, ví dụ thuật toán HMAC–MD5–96 có độ dài khóa là 128 bit, còn thuật toán HMAC–SHA–1–96 là 160 bit.
Độ dài khóa mã hóa: Độ dài của khóa mã hóa phụ thuộc vào thuật toán được sử dụng, trung bình là 128 bit.

Các giá trị chọn lựa

Khi không có NAT

Địa chỉ IP của các cặp SA:

Cặp SA trong biên tại P-CSCF: Địa chỉ IP nguồn và đích của cặp SA này giống với các địa chỉ IP tương ứng trong mào đầu của gói tin chứa bản tin SIP REGISTER mà UE gửi đến.
Cặp SA ngoài biên tại P-CSCF: Địa chỉ IP nguồn và đích của cặp SA này chính là địa chỉ IP đích và nguồn của cặp SA trong biên (các giá trị đảo ngược cho nhau).

Giao thức truyền dẫn có thể là UDP hoặc TCP.
Các cổng:

P-CSCF làm việc trên hai cổng, đó là port_ps (cổng server được bảo vệ) và port_pc (cổng client được bảo vệ). Mỗi cổng này sẽ thiết lập một cặp SA khi nhận thực cho yêu cầu đăng ký. Để đảm bảo an ninh, các bản tin không được bảo vệ sẽ không được truyền hay nhận qua các cổng port_ps và port_pc. Số của các cổng này được gửi đến cho UE khi thiết lập chế độ an ninh. Cả hai cổng trên đều hỗ trợ UDP và TCP:

Đối với UDP: P-CSCF nhận/gửi các yêu cầu và hồi đáp được bảo vệ bởi ESP từ/đến UE qua cổng port_ps/port_pc.
Đối với TCP: P-CSCF phải thiết lập một kết nối TCP từ cổng port_pc đến cổng port_us của UE trước khi gửi yêu cầu.

Chú ý:

Cả UE và P-CSCF có thể thiết lập một kết nối TCP từ cổng client của mình đến cổng server của thực thể bên kia khi cần thiết. Tuy nhiên, chúng cũng có thể tái sử dụng một kết nối TCP sẵn có.
Cổng server được bảo vệ port_us sẽ không thay đổi đối với UE cho đến khi tất cả IMPU của UE đó được tái đăng ký.

UE cũng sử dụng hai cổng là port_us (cổng server được bảo vệ) và port_uc (cổng client được bảo vệ). Các cổng này cũng có tính chất tương tự như các cổng của P-CSCF. Giao thức truyền dẫn được sử dụng có thể là UDP hoặc TCP:

Đối với UDP: UE nhận/gửi các yêu cầu và hồi đáp được bảo vệ bởi ESP từ/đến P-CSCF ở cổng port_us /port_uc.
Đối với TCP: UE phải thiết lập một kết nối TCP đến cổng port_ps của P-CSCF trước khi gửi yêu cầu cho P-CSCF.

P-CSCF chỉ được phép nhận các bản tin REGISTER tại các cổng port_ps và port_pc. Còn các bản tin liên quan đến các dịch vụ khẩn cấp và các bản tin báo lỗi trên các cổng không được bảo vệ.
Tại các cổng port_us và port_uc, UE sẽ không được phép nhận các bản tin sau:

Các hồi đáp cho các bản tin REGISTER không được bảo vệ.
Các bản tin liên quan đến các dịch vụ khẩn cấp.
Các bản tin báo lỗi.

Các bản tin không hợp lệ sẽ bị UE từ chối hoặc tự động loại bỏ mà không cần thông báo cho P-CSCF.

Các yêu cầu khi thiết lập SA:

Đối với mỗi SA đang tồn tại, ứng dụng SIP tại P-CSCF sẽ lưu trữ ít nhất là các tham số: địa chỉ IP của UE, cổng được bảo vệ của UE, cổng được bảo vệ của P-CSCF, SPI, IMPI, IPMU1, ..., IMPUn và thời gian sống trong bảng SA. Hai giá trị cổng được bảo vệ của UE và cổng được bảo vệ của P-CSCF là port_uc và port_ps hoặc port_us và port_pc.

Chú ý: SPI chỉ được sử dụng khi P-CSCF cần thiết lập hay xóa các SA

Ứng dụng SIP tại P-CSCF ngay khi nhận được bản tin REGISTER được bảo vệ sẽ kiểm tra trường địa chỉ IP nguồn và đích có giống với địa chỉ IP của UE trong trường mào đầu Via hay không. Nếu trường mào đầu Via chứa một ký hiệu thay vì địa chỉ IP của UE thì P-CSCF trước hết phải xử lý ký hiệu đó để biết được địa chỉ IP của UE.
Ứng dụng SIP tại P-CSCF ngay khi nhận được bản tin thiết lập REGISTER hoặc bản tin re-REGISTER sẽ kiểm tra địa chỉ IP của UE và cổng client được bảo vệ của UE có phù hợp với các đầu vào trong bảng SA hay không. Ở đây, địa chỉ IP của UE được lấy trong phần mào đầu của gói tin và giá trị cổng client được bảo vệ sẽ do UE gửi đến. Nếu kết quả kiểm tra không phù hợp thì quá trình đăng ký sẽ bị loại bỏ, đồng thời P-CSCF gửi một bản tin thông báo lỗi cho UE.
Khi P-CSCF nhận được một gói tin trên SA thì ứng dụng SIP của nó sẽ thẩm định SA trong biên được sử dụng có phù hợp hay không, bằng cách kiểm tra ba tham số địa chỉ IP của UE, cổng được bảo vệ của UE và cổng được bảo vệ của P-CSCF có trong bảng SA. Đồng thời, ứng dụng SIP còn phải đảm bảo rằng thuê bao mà P-CSCF gửi hồi đáp cũng chính là thuê bao đã gửi bản tin cho P-CSCF.

Chú ý: Có một số bản tin SIP không có nhận dạng chung và riêng ví dụ như các bản tin kế tiếp nhau trong cuộc hội thoại.

Đối với mỗi SA đang tồn tại, ứng dụng SIP tại UE cũng lưu ít nhất là một trong các tham số: địa chỉ IP của UE, cổng được bảo vệ của UE, cổng được bảo vệ của P-CSCF, SPI và thời gian sống có trong bảng SA. Cổng được bảo vệ của UE và cổng được bảo vệ của P-CSCF chính là port_uc và port_ps hoặc port_us và port_pc.

Chú ý: SPI chỉ được UE sử dụng khi thiết lập và xóa các SA ở UE.

Khi một cặp SA mới được thiết lập thì ứng dụng SIP tại UE phải đảm bảo rằng các số đã lựa chọn cho các cổng được bảo vệ sẽ không trùng với bất cứ đầu vào nào trong bảng SA.

Chú ý: Số của các cổng được bảo vệ tại UE nên được lựa chọn một cách ngẫu nhiên nhằm hạn chế tấn công DoS.

Đối với mỗi bản tin nhận được, ứng dụng SIP tại UE sẽ kiểm tra sự phù hợp của SA tương ứng thông qua hai giá trị là cổng được bảo vệ của UE và cổng được bảo vệ của P-CSCF trong bảng SA.

Chú ý: Nếu gói tin nhận được này không được bảo vệ tính toàn vẹn thì nó sẽ bị IPSec tự động loại bỏ.

Khi có NAT

Trong trường hợp có NAT thì UE sẽ được cấu hình nội bộ bằng một địa chỉ IP riêng. Khi UE này liên lạc với P-CSCF thì NAT sẽ có chức năng định vị ràng buộc và chuyển đổi địa chỉ IP nội bộ của UE thành địa chỉ IP công cộng.

Địa chỉ IP:

Địa chỉ của các SA tại P-CSCF vẫn giống như trường hợp không có NAT.
Đối với SA ngoài biên của UE: Địa chỉ nguồn của SA ngoài biên chính là địa chỉ IP công cộng của UE. UE biết được địa chỉ IP công cộng này thông qua các tham số có trong trường mào đầu Via của hồi đáp 401 (không được nhận thực) tương ứng với yêu cầu REGISTER không được bảo vệ.

Địa chỉ đích của SA này là địa chỉ đích trong phần mào đầu của gói tin chứa bản tin SIP REGISTER được gửi đến cho P-CSCF.

Đối với SA trong biên của UE: Địa chỉ IP nguồn và đích của SA trong biên chính là địa chỉ IP đích và nguồn của SA ngoài biên.

Chú ý: Các địa chỉ IP và các cổng được sử dụng làm giá trị lựa trong chế độ đường hầm của IPSec đều nằm ở phần mào đầu bên trong.

Giao thức truyền dẫn có thể là UDP hoặc TCP.
Các cổng: Giống như trường hợp không có NAT.

Dữ liệu liên quan đến việc sử dụng chế độ đường hầm được đóng gói UDP:

Đối với một gói tin ở chế độ đường hầm thì cần phải quan tâm đến địa chỉ đầu cuối của đường hầm và cấu tạo mào đầu của gói tin.
Khi sử dụng chế độ đường hầm được đóng gói UDP thì gói tin truyền giữa UE và P-CSCF sẽ được thêm một phần mào đầu mới bên ngoài. Còn phần mào đầu bên trong vẫn giống với trường hợp không có NAT. Trường mào đầu địa chỉ IP ở phần mào đầu bên ngoài được xác định như sau:
- Đối với P-CSCF: Địa chỉ nguồn của SA ngoài biên chính là địa chỉ của P-CSCF, còn địa chỉ đích là địa chỉ công cộng của UE. Đối với SA trong biên thì địa chỉ đích là địa chỉ của P-CSCF.
- Đối với UE: Địa chỉ nguồn của SA ngoài biên là địa chỉ IP nội bộ của UE, còn địa chỉ đích sẽ là địa chỉ của P-CSCF. Địa chỉ đích của SA trong biên chính là địa chỉ nội bộ của UE và được dùng để xác định SA.
Giá trị các cổng có trong phần mào đầu đóng gói UDP:
- Đối với UE: Mỗi bản tin được đóng gói UDP truyền trên SA sẽ dùng cổng 4500 làm cổng nguồn và cổng đích trong phần mào đầu của nó.
- Đối với P-CSCF: Khi UE gửi một bản tin được đóng gói UDP đến P-CSCF có số cổng như trên thì NAT sẽ thay giá trị cổng nguồn thành một cổng khác, gọi là cổng port_Uenc. Khi P-CSCF nhận được gói tin đóng gói UDP đầu tiên do UE gửi đến thì nó sẽ lưu giữ lại số cổng port_Uenc này. Từ đây về sau, các bản tin được đóng gói UDP do P-CSCF gửi đến UE sẽ sử dụng cổng 4500 làm cổng nguồn và cổng port_Uenc làm cổng đích trong phần mào đầu đóng gói UDP.

Các yêu cầu khi thiết lập SA:

Đối với mỗi SA đang tồn tại, ứng dụng SIP tại P-CSCF lưu trữ tối thiểu các số liệu: địa chỉ IP của UE, cổng được bảo vệ của UE, cổng được bảo vệ của P-CSCF, SPI, IMPI, IPMU1, ..., IMPUn, thời gian sống và chế độ hoạt động trong bảng SA. Cổng được bảo vệ của UE và cổng được bảo vệ của P-CSCF là port_uc và port_ps hoặc port_us và port_pc.
Khi ứng dụng SIP tại P-CSCF nhận được bản tin REGISTER thì nó sẽ kiểm tra trường địa chỉ IP nguồn của gói tin có giống với địa chỉ IP của UE trong trường mào đầu Via hay không. Nếu trường mào đầu Via chứa một ký hiệu thay vì địa chỉ IP của UE thì P-CSCF trước hết phải xử lý ký hiệu đó để biết được địa chỉ của UE.
Ứng dụng SIP tại P-CSCF ngay khi nhận được bản tin thiết lập REGISTER hoặc bản tin re-REGISTER sẽ kiểm tra địa chỉ IP của UE và cổng client được bảo vệ của UE có phù hợp với các đầu vào trong bảng SA hay không. Trong đó, địa chỉ IP của UE là địa chỉ nguồn trong phần mào đầu gói tin, còn giá trị cổng client được bảo vệ sẽ do UE gửi đến. Nếu phát hiện UE nằm sau một NAT thì P-CSCF sẽ so sánh hai giá trị địa chỉ IP của UE và cổng server được bảo vệ của UE với các đầu vào của bảng SA.

Chú ý: Khi có nhiều UE cùng nằm sau một NAT thì P-CSCF sẽ từ chối các yêu cầu đăng ký từ các UE có cùng địa chỉ và cổng server được bảo vệ, nhằm tránh xảy ra tình trạng mập mờ về địa chỉ của các bản tin SIP được gửi cho UE thông qua cổng server được bảo vệ.

Nếu các bước kiểm tra trên gặp thất bại thì quá trình đăng ký sẽ bị loại bỏ, đồng thời P-CSCF gửi bản tin báo lỗi cho UE.

Đối với mỗi bản tin nhận được, ứng dụng SIP tại P-CSCF sẽ kiểm tra sự phù hợp của SA trong biên được sử dụng thông qua ba giá trị là địa chỉ IP của UE, cổng được bảo vệ của UE và cổng được bảo vệ của P-CSCF trong bảng SA. Ứng dụng này còn phải đảm bảo gửi bản tin đến đúng người nhận.
Đối với mỗi SA đang tồn tại, ứng dụng SIP tại UE sẽ lưu ít nhất một trong các tham số: địa chỉ IP của UE, cổng được bảo vệ của UE, cổng được bảo vệ của P-CSCF, SPI, thời gian sống và chế độ hoạt động trong bảng SA.
Khi cần thiết lập một cặp SA mới thì ứng dụng SIP tại UE phải đảm bảo rằng giá trị sử dụng của các cổng được bảo vệ sẽ khác với mọi đầu vào trong bảng SA. Các giá trị này sẽ được lựa chọn một cách ngẫu nhiên. Khi UE nhận được một bản tin thông báo lỗi do xảy ra xung đột giữa địa chỉ IP và cổng thì nó có thể tiến hành đăng ký lại với một số cổng khác.

Chú ý:

Các số cổng sẽ được UE lựa chọn một cách ngẫu nhiên nhằm:

Tránh xảy ra trường hợp tồn tại một cặp xung đột (địa chỉ IP, cổng) tại P-CSCF.
Ngăn chặn tấn công DoS.

Quá trình lựa chọn ngẫu nhiên số cổng được thực hiện trong cả quá trình thiết lập đăng ký và tái đăng ký.

Đối với mỗi bản tin bảo vệ nhận được, ứng dụng SIP tại UE sẽ kiểm tra sự phù hợp của SA dựa vào hai giá trị là cổng được bảo vệ của UE và cổng được bảo vệ của P-CSCF trong bảng SA.

Chú ý: Nếu bước kiểm tra tính toàn vẹn cho gói tin nhận được gặp thất bại thì IPSec sẽ tự động loại bỏ gói tin đó.

3.2.5.2 thủ tục liên kết an ninh

các cổng được P-CSCF gán cho UE thì phương pháp thiết lập an ninh trong bản tin SM6 còn chứa một danh sách các nhận dạng của các thuật toán mã hóa và đảm bảo tính toàn vẹn mà P-CSCF hỗ trợ. Nếu P-CSCF không hỗ trợ chức năng đảm bảo tính cơ mật thì phương pháp thiết lập an ninh trong bản tin SM6 sẽ không chứa một thuật toán mã hóa nào.

Chú ý: P-CSCF không hỗ trợ chức năng đảm bảo tính cơ mật khi người điều hành tin tưởng vào quá trình mã hóa của mạng truy nhập tầng dưới. Lúc này, P-CSCF hoạt động như một P-CSCF Release 5 và không gửi kèm các thuật toán mã hóa trong bản tin SM6 nữa.

SM6:

4xx Auth_Challenge(Security-setup = SPI_P, Port_P, P CSCF integrity and encryption algorithms list, IPSec mode list)

Khi nhận được bản tin SM6, UE sẽ quyết định các thuật toán mã hóa và thuật toán đảm bảo tính toàn vẹn dựa vào danh sách do P-CSCF gửi đến. Đây phải là thuật toán được UE và P-CSCF cùng hỗ trợ. Nếu P-SCSF không gửi thuật toán bảo đảm tính toàn vẹn nào trong bản tin SM6 thì UE sẽ gán giá trị cho thuật toán này là NULL.

Chú ý: UE Release 5 không hỗ trợ bất cứ thuật toán mã hóa nào và nó sẽ chọn thuật toán Release 5 đầu tiên trong danh sách.

UE tiến hành lựa chọn chế độ hoạt động cho IPSec dựa vào thông tin trong SM6. Nếu UE không nhận được thông tin về chế độ hoạt động thì nó sẽ kiểm tra sự có mặt của NAT nhờ tham số “received” trong trường mào đầu Via của SM6. Nếu không có NAT thì UE hoạt động ở chế độ truyền dẫn, ngược lại nó hủy bỏ liên lạc với P-CSCF. Trong trường hợp sử dụng chế độ đường hầm thì UE tiến hành thiết lập hai cặp SA mới trong SAD cục bộ.

Các bản tin từ SM7 trở về sau sẽ được UE bảo vệ tính cơ mật và tính toàn vẹn. SM7 chứa danh sách các thuật toán mã hóa và đảm bảo tính toàn vẹn, các giá trị SPI_P và Port_P của SM6 và các giá trị SPI_U, Port_U của bản tin SM1.

SM7:

REGISTER(Security-setup = SPI_U, Port_U, SPI_P, Port_P, P CSCF integrity and encryption algorithms list, IPSec mode list)

Ở chế độ đường hầm được đóng gói UDP, UE có thể biết được địa chỉ IP công cộng và cổng server được bảo vệ của nó từ các trường mào đầu Via và Contact (bằng cách kiểm tra tham số “recieved” (nếu có) trong trường mào đầu Via cao nhất của bản tin SM6). UE sẽ liên tục gửi bản tin nhằm giúp cho ràng buộc NAT được duy trì trong suốt thời gian đăng ký.

Tại P-CSCF, bản tin SM7 trước tiên được xử lý bởi chức năng đóng gói UDP nhằm xác định giá trị port_Uenc mà NAT đã lựa chọn. Sau đó, giá trị port_Uenc sẽ được ghi vào các ô “undef” để hoàn thiện bảng đóng gói UDP như dưới đây.

Tiếp theo, trường mào đầu UDP được tách ra khỏi gói tin để thực hiện xử lý IPSec.

Sau các bước trên, ứng dụng SIP tại P-CSCF sẽ xem xét danh sách các thuật toán đảm bảo tính toàn vẹn, cùng các giá trị SPI_P và cổng Port_P trong bản tin SM7 có giống với các tham số tương ứng trong bản tin SM6 hay không. Ngoài ra, ứng dụng này còn kiểm tra sự nhất quán giữa các giá trị SPI_U và Port_U trong bản tin SM7 với các giá trị tương ứng trong bản tin SM1. Nếu các phép kiểm tra này gặp thất bại thì thủ tục đăng ký sẽ bị loại bỏ.

Bảng 3. 1Bảng đóng gói UDP của P-CSCF sau khi được hoàn thành

Bảng đóng gói UDP ở phía mạng
	SA1	SA2	SA3	SA4
Src Addr	P-CSCF	UE_pub	P-CSCF	UE_pub
Dest Addr	UE_pub	P-CSCF	UE_pub	P-CSCF
Src Port	4500	Port_Uenc	4500	Port_Uenc
Dest Port	Port_Uenc	4500	Port_Uenc	4500
SPI	SPI_us	SPI_ps	SPI_uc	SPI_pc

Ở chế độ truyền dẫn thì sau khi nhận được bản tin SM7, P-CSCF cũng sẽ tiến hành hai thao tác kiểm tra trên. Nếu một bước kiểm tra nào đó gặp thất bại thì thủ tục đăng ký cũng bị loại bỏ.

P-CSCF sẽ bổ sung một thông tin vào bản tin SM8 để thông báo cho S-CSCF rằng các bản tin do UE gửi đến đều được đảm bảo tính toàn vẹn. Thông tin thông báo này còn được P-CSCF đưa vào các bản tin REGISTER tiếp theo do UE gửi đến, sau khi đã kiểm tra tính toàn vẹn đối với các bản tin này.

SM8:

Cuối cùng, P-CSCF gửi bản tin SM12 đến UE, bản tin này không chứa thông tin nào liên quan đến việc thiết lập chế độ an ninh mà chỉ có chức năng thông báo cho UE rằng quá trình thiết lập an ninh đã thành công.

Hình 3.11 dưới đây minh họa trường hợp UE tiến hành thủ tục tái đăng ký khi không được trao quyền.

Hình 3. 11: UE tiến hành thủ tục tái đăng ký khi không được trao quyền.

3.2.5.3 Các lỗi thường xảy ra khi thiết lập SA

i) Các lỗi xảy ra khi áp dụng giao thức IMS AKA

Thất bại khi nhận thực khách hàng

Khi nhận thực cho khách hàng, bước kiểm tra tính toàn vẹn của bản tin SM7 do IPSec thực hiện tại P-CSCF sẽ gặp thất bại nếu khóa IK_IM do RAND tại UE phân phối xảy ra lỗi. Lúc này, ứng dụng SIP ở P-CSCF không nhận được bản tin SM7 và xóa các tham số của SA tương ứng với đăng ký này đang được lưu trữ tạm thời sau khi thời hạn cho phép kết thúc.

Nếu khóa IK_IM được phân phối không xảy ra lỗi nhưng hồi đáp lại sai thì quá trình nhận thực khách hàng tại S-CSCF vẫn thất bại. Thông qua P-CSCF, S-CSCF sẽ gửi bản tin 4xx Auth_Failure đến UE trên một SA vừa được thiết lập. Sau đó cả UE và P-CSCF xóa các SA mới này.

Thất bại khi nhận thực mạng

Nếu UE gặp thất bại khi nhận thực mạng thì nó gửi một bản tin REGISTER (có thể qua một SA vừa được thiết lập) để thông báo cho P-CSCF. P-CSCF sẽ xóa các SA mới khi nhận được bản tin thông báo này.

Thất bại khi đồng bộ

Khi UE nhận thấy rằng AUTN do mạng gửi đến trong bản tin SM6 có chứa một số tuần tự không nằm trong dải, nó sẽ gửi một bản tin REGISTER để thông báo cho P-CSCF. Sau đó, P-CSCF sẽ xóa các SA vừa được thiết lập.

Quá trình nhận thực không hoàn tất

Nếu UE hồi đáp chất vấn do P-CSCF gửi đến mà lại không nhận được bản tin trả lời trước khi thời gian yêu cầu kết thúc thì nó sẽ bắt đầu thủ tục đăng ký nếu còn yêu cầu sử dụng dịch vụ đa phương tiện. Bản tin đầu tiên trong quá trình đăng ký sẽ được SA của thủ tục nhận thực thành công trước đó bảo vệ.

Khi P-CSCF nhận được một chất vấn của S-CSCF và tạo ra các SA tương ứng trong quá trình đăng ký, nó sẽ xóa các thông tin liên quan đến các thủ tục đăng ký trước đó (bao gồm cả các SA).

Nếu một SA bị xóa do thời gian tồn tại của nó đã hết thì P-CSCF cũng xóa tất cả các thông tin liên quan đến thủ tục đăng ký đã tạo ra SA này.

ii) Các lỗi xảy ra trong quá trình thỏa thuận các tham số thiết lập an ninh

P-CSCF không chấp nhận đề nghị của UE

Trường hợp này xảy ra khi P-CSCF không chấp nhận phương pháp thiết lập an ninh do UE gửi đến trong bản tin SM1. Khi đó, P-CSCF sẽ trả lời bản tin SM1 bằng một thông báo lỗi.

UE không chấp nhận đề nghị của P-CSCF

Nếu UE không chấp nhận phương pháp thiết lập an ninh do P-CSCF gửi đến (trong bản tin SM6) thì nó sẽ loại bỏ thủ tục đăng ký.

Phương pháp thiết lập an ninh ở P-CSCF không nhất quán

Nếu danh sách các thuật toán nhận thực và mã hóa trong bản tin SM7 và SM6 không giống nhau thì thủ tục đăng ký sẽ bị loại bỏ.

Lưu lượng không thể truyền qua NAT

Trường hợp này xảy ra khi P-CSCF phát hiện ra sự có mặt của NAT nhưng UE hoặc P-CSCF lại không có khả năng truyền lưu lượng qua NAT. Khi đó, P-CSCF cũng loại bỏ thủ tục thiết lập SA.

3.2.5.4 Nhận thực quá trình tải đăng kí

Mỗi thủ tục đăng ký luôn có một quá trình nhận thực khách hàng nhằm thiết lập các SA mới. Nếu quá trình nhận thực khách hàng thành công thì các SA mới sẽ thay thế cho các SA cũ. Phần này sẽ đề cập đến cách thức UE và P-CSCF thực hiện thay thế các SA cũ và xác định SA nào sẽ được sử dụng đối với một bản tin cho trước.

Khi các SA được thay thế ở quá trình nhận thực yêu cầu tái đăng ký thì các cổng port_us và port_ps vẫn được giữ nguyên trong khi các cổng port_uc và port_pc lại bị thay đổi.

Nếu UE có một cặp SA ở trạng thái tích cực thì nó sẽ sử dụng cặp liên kết này để bảo vệ cho bản tin REGISTER. Khi P-CSCF thông báo cho S-CSCF rằng bản tin REGISTER do UE gửi đến được bảo vệ tính toàn vẹn thì S-CSCF có thể không cần phải nhận thực khách hàng bằng giao thức AKA nữa. Tuy nhiên, P-CSCF nên nhận thực khách hàng do UE có thể gửi bản tin REGISTER không được bảo vệ vào bất cứ thời điểm nào. Ví dụ như khi UE cho rằng các SA không còn được P-CSCF tích cực nữa (tức là UE không nhận được hồi đáp sau khi nó đã gửi một số các bản tin được bảo vệ).

3.2.5.5 Nhận thực quá trình tải đăng kí

3.2.5.6 Vấn đề sử dụng liên kết an ninh

i) Vấn đề sử dụng liên kết an ninh ở UE

Tại một thời điểm thì mỗi UE chỉ được thực hiện một thủ tục đăng ký, tức là UE sẽ phải xóa các dữ liệu (bao gồm cả các SA) liên quan đến các đăng ký hay nhận thực chưa được hoàn tất trước đó khi nó tiến hành một thủ tục đăng ký mới.

UE có thể bắt đầu một thủ tục đăng ký với hai cặp SA đang tồn tại (thường là các SA cũ). Quá trình đăng ký cũng tạo ra hai cặp SA mới nhưng chúng lại không được dùng để bảo vệ cho lưu lượng cho đến khi được quá trình nhận thực “biết đến”. Sau đó, các bản tin sẽ được truyền trên SA tương ứng. Nếu UE nhận được một bản tin được bảo vệ bằng một SA không phù hợp thì nó sẽ loại bỏ bản tin này.

Quá trình nhận thực thành công của UE bao gồm các bước sau:

UE gửi bản tin SM1 để đăng ký với IMS. Nếu cần bảo vệ cho bản tin SM1 này thì UE sẽ truyền nó trên một SA ngoài biên cũ.
P-CSCF gửi một chất vấn nhận thực trong bản tin SM6 cho UE trên một SA cũ.
Sau khi xử lý bản tin SM6, UE sẽ tạo ra các SA mới. Thời gian sống của các SA mới này sẽ được thiết lập đủ để cho phép hoàn tất thủ tục đăng ký. Nếu các SA cũ bảo vệ cho bản tin SM1 sử dụng chế độ đường hầm được đóng gói UDP thì các SA mới cũng hoạt động ở chế độ đó. Tiếp theo, UE gửi hồi đáp là bản tin SM7 cho P-CSCF, bản tin này được bảo vệ bằng SA ngoài biên mới. Lúc này, nếu bản tin SM1 được bảo vệ thì UE sẽ sử dụng các SA cũ để bảo vệ cho các bản tin còn lại của quá trình nhận thực, cho đến khi nhận được bản tin SM12. Nếu SM1 không được bảo vệ thì UE không được phép sử dụng các dịch vụ cho đến khi nhận được bản tin SM12.
Bản tin SM12 do P-CSCF gửi đến sẽ được bảo vệ bởi một SA trong biên mới của UE.
Khi UE nhận được bản tin SM12 thì có nghĩa là quá trình đăng ký diễn ra thành công. UE thiết lập thời gian sống cho các SA mới bằng thời gian tồn tại dài nhất của các SA cũ hoặc bằng thời gian định thời cho đăng ký được lưu trong bản tin cộng với một thời gian gia hạn ngắn (khoảng thời gian gia hạn này sẽ không được đề cập đến trong đồ án này), tùy thuộc vào khoảng thời gian nào dài hơn. Các SA ngoài biên mới sẽ được sử dụng để bảo vệ cho các bản tin SIP mà UE gửi đi. Trường hợp bản tin SIP là một phần của giao dịch SIP đang được chờ để xử lý thì nó có thể được truyền trên SA cũ. (Một giao dịch SIP được gọi là đang chờ xử lý nếu nó được thiết lập bằng một SA cũ.) Khi P-CSCF nhận được các bản tin của UE trên một SA mới thì các SA cũ sẽ được xóa đi ngay khi các giao dịch SIP đang chờ đợi được hoàn tất hoặc bị hết hạn. Các SA cũ còn bị xóa khi thời gian sống của nó đã hết. Đây là bước hoàn tất thủ tục xử lý SA đối với UE.

Khi quá trình nhận thực gặp thất bại, nếu bản tin SM1 không được bảo vệ thì chỉ có bản tin thông báo nhận thực khách hàng bị thất bại được truyền trên SA mới. Nếu bản tin SM1 được bảo vệ thì các bản tin thông báo thất bại sẽ được truyền trên các SA cũ. Trong cả hai trường hợp, sau khi xử lý bản tin thông báo thất bại này thì P-CSCF sẽ xóa tất cả các SA mới.

P-CSCF luôn giám sát thời gian hết hạn của các đăng ký chưa được nhận thực và trong trường hợp thì nó sẽ tăng thời gian tồn tại của các SA được tạo ra trước đó.

UE sẽ xóa các SA khi thời gian sống của chúng đã hết hoặc khi tất cả các IMPU của UE này được tái đăng ký.

ii) Vấn đề sử dụng liên kết an ninh ở P-CSCF

Khi gửi một chất vấn đến UE thì P-CSCF có thể sử dụng một SA cũ của quá trình nhận thực thành công trước đó (mỗi quá trình nhận thực thành công sẽ tạo ra hai cặp SA). Quá trình nhận thực mới cũng tạo ra hai cặp SA, tuy nhiên các SA mới này sẽ không được sử dụng cho đến khi được biết đến trong quá trình nhận thực. Mỗi bản tin nhất định sẽ được bảo vệ bằng SA tương ứng, nếu P-CSCF phát hiện ra bản tin được bảo vệ bằng SA không phù hợp thì nó sẽ loại bỏ bản tin đó.

P-CSCF kiểm tra IMPI cùng các IMPU tương ứng của UE khi truyền các gói tin cho UE này trên SA vừa được thiết lập.

Quá trình nhận thực thành công đối với P-CSCF bao gồm các bước sau:

P-CSCF nhận bản tin SM1 do UE gửi đến. Trong trường hợp cần bảo vệ cho bản tin này thì nó sẽ truyền trên một SA cũ.
P-CSCF gửi bản tin SM6 có chứa chất vấn cho UE. Bản tin này được truyền trên một SA ngoài biên cũ, bất kể SM1 có được bảo vệ hay không.
Sau đó, P-CSCF tạo ra các SA mới có thời gian tồn tại được lập đủ để hoàn thành thủ tục nhận thực. Nếu SA cũ bảo vệ cho SM1 sử dụng chế độ đường hầm được đóng gói UDP thì các SA mới cũng sẽ hoạt động ở chế độ này.
P-CSCF nhận bản tin có chứa hồi đáp (SM7) do UE gửi đến. Bản tin này được truyền trên một SA mới. Nếu SM1 được bảo vệ thì các SA cũ sẽ được dùng để bảo vệ cho các bản tin còn lại trong quá trình nhận thực.
P-CSCF chuyển tiếp bản tin thông báo đăng ký thành công (SM12) cho UE. Bản tin này được truyền trên SA ngoài biên mới. Đây là bước hoàn thành thủ tục đăng ký đối với P-CSCF. P-CSCF sẽ thiết lập thời gian sống cho các SA mới bằng thời gian tồn tại dài nhất của các SA cũ bằng thời gian định thời cho đăng ký được lưu trong bản tin cộng thêm một thời gian gia hạn ngắn nữa, tùy thuộc vào khoảng thời gian nào dài hơn.
Sau khi gửi bản tin SM12, P-CSCF xử lý các SA liên quan đến UE như sau:

Nếu các SA cũ vẫn còn tồn tại mà bản tin do P-CSCF nhận được lại không được bảo vệ thì P-CSCF sẽ xem như đã xảy ra lỗi và cho rằng UE không còn sử dụng các SA cũ này nữa nên xóa chúng đi.
Nếu bản tin SM1 được bảo vệ bằng một SA cũ phù hợp thì P-CSCF sẽ giữ lại SA trong biên này cùng ba SA tương ứng với nó để sử dụng (còn tất cả các SA cũ khác đều được xóa đi). Khi bốn SA này sắp hết hạn hoặc khi nhận được một bản tin do UE gửi trên một SA mới thì P-CSCF sẽ bắt đầu sử dụng các SA mới để truyền các bản tin được gửi đi. Trường hợp bản tin là một phần của giao dịch SIP đang được chờ để xử lý thì nó có thể được truyền trên SA cũ. Các SA cũ này sẽ được xóa ngay khi giao dịch SIP được xử lý hay bị hết hạn. Ngoài ra, các SA cũ còn được xóa khi thời gian tồn tại của chúng đã hết. Khi các liên kết cũ hết hạn mà không có bản tin SIP nào được truyền trên các SA mới thì các SA mới này sẽ được dùng để bảo vệ cho các bản tin ngoài biên. Đây là bước hoàn thành thủ tục nhận thực ở P-CSCF.

Khi quá trình nhận thực gặp thất bại, nếu bản tin SM1 không được bảo vệ thì các bản tin thông báo thất bại cũng không được bảo vệ, ngoại trừ bản tin thông báo quá trình nhận thực khách hàng bị thất bại sẽ được truyền trên các SA mới. Nếu bản tin SM1 được truyền trên các SA cũ thì các bản tin thông báo thất bại cũng được truyền trên đó. Trong cả hai trường hợp, sau khi xử lý bản tin thông báo thất bại này thì P-CSCF sẽ xóa tất cả các SA mới.

P-CSCF luôn giám sát thời gian hết hạn của các đăng ký chưa được nhận thực và trong trường hợp cần thiết, nó sẽ tăng thời gian tồn tại cho các SA được tạo ra trong quá trình nhận thực trước đó.

P-CSCF sẽ xóa các SA đã hết hạn hoặc các SA có IMPI mà tất cả các IMPU tương ứng đã được tái đăng ký.

3.2.5.7 Thủ tục liên kết IP khi UE thay đổi dịa chỉ IP

Khi UE thay đổi địa chỉ IP của mình thì nó sẽ xóa các SA hiện có và thiết lập thủ tục đăng ký bằng địa chỉ IP mới

3.2.6 Mã hóa

Mã hóa là chức năng quan trọng trong mạng IMS. Không có mã hóa, Tiêu đề SIP có thể đọc được (dưới dạng văn bản) và vị thể có thể bì giữ lại bởi các sniffer mạng và thiết bị mạng khác. Điều này cho phép hacker dùng thông tin chứa trong phần tiêu đề bản tin dập khuôn có được truy nhập không được cấp quyền đến mạng.

Một vài ví dụ trong đó mã hóa có thể dùng để tránh hacker từ các số nhận dạng bị đánh cắp, và tránh các hoạt động xâm nhập từ việc học cấu hình mạng của một kẻ tấn công trong một nỗ lực để có được truy nhập không xác thực đến tài nguyên mạng (chẳng hạn như HSS). Mã hóa là rất quan trọng ở bên trong mạng cũng như mạng bên ngoài. Hacker có khả năng “ lắng nghe” lưu lượng trong mạng và giữ lại dữ liệu về thuê bao và các phiên sau đó chúng có thể dùng cho truy nhập.

Một phương pháp pháp tấn công là tấn công đăng kí. Điều này thực hiện bằng sao lưu phần tiêu đề SIP hợp pháp, sao lưu số nhận dạng chung và cá nhân, và đăng kí vào thuê bao thực. Tất cả các bản tin sau đó chuyển hướng đến hacker.

Khi bản tin SIP được mã hóa chỉ các thiết bị vói khóa kí hiệu có thể giải mã bản tin. Thông thường có các Proxy trong mạng (chức năng điều khiển cuộc gọi trong IMS). Các hệ thống được điều khiển sử dụng cho quản lý hiệu năng không có đủ khả năng này. Mặt khác, Chặn đúng luật cũng trở thành một mục tiêu. Không có mã hóa sẽ tạo ra nhiều hậu quả hơn.

Bảo mật lớp truyền tải (TLS) và Ipsec là hai phương pháp được khuyến nghị bởi 3GPP cho mã hóa. Ipsec làm việc với một miền thỏa thuận, cung cấp mã hóa giữa các miền tin tưởng. Điều này tránh nghe trộm bởi các thực thể giữa các bộ điều khiển cuộc gọi. Chẳng hạn, IPsec được thực hiện trong hệ thống hoạt động của các nút mạng khác nhau làm việc với các lớp mạng thấp hơn.

Điều này bao gồm giữa các CSCF. IPsec cũng nên được sử dụng trong một mạng của nhà khai thác. Tuy nhiên IPsec không sử dụng khi kết nối đến các mạng khác. Điều này yêu cầu TLS.

TLS hoạt động tại lớp truyền tải. Nó hoạt động tốt khi kết nối đến hai thực thể chưa xác định. Chẳng hạn, khi truyền một bản tin thông qua nhiều dịch vụ mạng của nhà cung cấp. TLS được sử dụng tại mức truyền tải. IPsec được sử dụng trong thực thể mạng tin tưởng.

TLS không hoạt động tốt từ đầu cuối đển đầu cuối. Nó chỉ hữu dụng khi dùng để truyền tải giữa các mạng. TLS có thể sử dụng để tránh hacker tấn công từ chặn các bản tin REGISTER và có được tiêu chuẩn của thuê bao trong các mạng truyền tải đó. Đây là thế mạnh của TLS>

TLS cung cấp xác thực, tính toàn vẹn và bí mật tốt và được khuyến nghị bởi tiêu chuẩn 3GPP và là môt phương tiện mã hóa cho IMS trong các mạng truyền tải. Tất nhiên nó thể hiện vài mục đích cho hoạt động truyền tải, bởi vì nó sẽ không có thể nhìn thấy tiêu đề được mã hóa, vì vậy chúng phải ép buộc thỏa thuận kết nối để đảm bảo cung cấp truy nhập đến mạng để xác thực và hoạt động tin tưởng.

Каталог: data -> file -> 2015 -> Thang02
Thang02 -> Những câu nói hay về tình yêu bằng Tiếng Anh I used to think that dreams do not come true, but this quickly changed the moment I laid my eyes on you
Thang02 -> Những bài thơ hay về ngày quốc tế phụ nữ 8-3
Thang02 -> Những từ tiếng Anh thường hay viết tắt
Thang02 -> VĂn khấN Đi chùa cầu bình an, may mắn và giải hạn năm mớI
Thang02 -> Exercise 1: Mark the letter A, B, c or d to indicate the correct answer to each of the following questions
Thang02 -> Maersk logistics quốc tế và Việt Nam (Đan Mạch)
Thang02 -> Tài Liệu Bồi Dưỡng Học Sinh Giỏi Lớp 7 Period 1 tenses summary (Tóm tắt)
Thang02 -> Vietnam National University, Hanoi College of foreign languages Post graduate Department o0o nguyễn phưƠng ngọc an Action research on the effects of Pre writing
Thang02 -> Chuyên đề tốt nghiệp Trường Học Viện Tài Chính

tải về 0.54 Mb.

Chia sẻ với bạn bè của bạn:

1 ... 4 5 6 7 8 9 10 11 12