IMS网络多种鉴权机制的研究 - A Study of Multi-Authentication
IMS关键点分析及解答
1、IMS产品相关的网元有哪几个?描述各网元之间的接口协议及简要功能。
2、IMS系统中中IMPU、IMPI分别其到什么作用?IMPU,用于标识业务签约关系,计费等,还表示用户身份以及用于路由,但它不能表示用户实际的位置信息。
用在业务配置、计费等,主要是业务方面的作用IMPI,是网络层的标识,用于表示用户和网络的签约关系,一般也可以唯一的表示一个终端。
使用IMPI,网络可以通过鉴权来识别用户是否可以使用网络。
用在身份认证,授权等,主要是安全方面的作用。
4、MS用户注册前、注册中、注册后分别在ICSCF、PCSCF、SCSCF中存贮的注册相关状态信息是什么?5、MS——SCSCF的主要功能有哪些?✓注册、注销过程:重注册、多注册、隐式注册、第三方注册的控制过程,同时负责进行各个过程的注销。
✓鉴权功能:包括多种方式的鉴权过程,✓授权功能:业务授权,媒体授权、漫游地授权等等✓订阅、通知控制。
✓用户及本地的数据管理。
用户标识、签约数据、本地数据等等的管理。
✓路由处理:包括SIP的路由过程,及E164号码的本地路由、DNS/ENUM方式的路由及FORK的路由过程。
✓会话管理功能:主要包括MO、MT过程的会话过程控制,非会话过程的控制。
✓业务触发的控制过程✓计费触发功能6、IP呼叫过程中,SIP呼叫控制服务器中主要的呼叫状态有几个?分别是什么?简述状态迁移过程。
7、述SIP头字段中关于Via、Route、Service Route、Record Route、Path、Contact,的应用方式和区别。
✓Route。
Route头字段用在请求消息中表示一个预设的路由地址列表,使该请求可以按照地址列表中的路由访问其他代理。
✓Record-Route。
Record-Route用于请求消息中,也是一个路由列表。
如果某代理服务器希望后续请求消息能够经过自己,而且这些后续的请求消息属于由当前请求创建的一个对话,那么即使请求中已经出现了Route头字段,代理服务器也必须在请求消息中插入一个Record-Route头字段值。
IMS技术原理及应用介绍
R4软交换是基 于用户 MSISDN和 MSRN号码的 路由机制
IMS网络采用 类似互联网的 路由机制,路 由更加扁平化
采用TEL的 编号规则
IMS采用SIP URI用户码 号、保持与 互联网业务 体验一致性
R4软交换网络 QoS保障机制主 要针对话音类窄 带业务
核心控制协议 :SIP
数据操作协议 :Diameter
媒体网关控制: H.248
IMS采用端 到端IP化, 支持固定及 移动方式接 入
开放CSCF和AS接 口ISC;
业务均有AS提供 ;
IFC业务触发机制
IMS采用 ENUM\DNS协 助路由、是一 种基于IP网络 的路由机制
采用SIP URI和TEL URI共用的 编号规则
6 Diameter
5
7
I-CSCF
S-CSCF
SIP
AS
8 SIP P-CSCF
Called Party Visited Network
Backbone Packet Network
11 10 9 Access
IMS到CS互通流程
1 IMS用户发起会话请求,消息到达S-CSCF 2 S-CSCF从HSS下载用户数据(可选) 3 S-CSCF触发业务,AS进行业务逻辑控制 4 S-CSCF将会话请求转给BGCF,BGCF选择MGCF 5 MGCF控制MGW为会话在CS域分配中继 6 双方进行资源协商和预留
NAT/ALG设备:
对于企业IP私网内的SIP终端,进一步要求NAT(Network Address Translation)、防火墙设备具备 ALG(Application Level Gateway)功能,以对IMS SIP信令地址及SIP信令所包含的SDP地址信息 进行解析,从而实现SIP控制面UDP/IP公私网地址及相应承载面RTP/IP公私网地址变换
IMS简介
IMS系统架构和基本原理1
IMS系统架构和基本原理1IMS系统架构和基本原理11.IMS核心网络:IMS核心网络是IMS系统的核心部分,用于实现用户的登录、身份鉴别、会话控制和多媒体传输等功能。
它由CSCF(Call Session Control Function)、HSS(Home Subscriber Server)、MGCF(Media Gateway Control Function)、BGCF(Breakout Gateway Control Function)和MGW(Media Gateway)等模块组成。
- CSCF:CSCF包括P-CSCF(Proxy-CSCF)、I-CSCF(Interrogating-CSCF)和S-CSCF(Serving-CSCF)三个功能实体。
P-CSCF作为用户终端和IMS核心网络之间的接入点,负责用户的登录和注册。
I-CSCF负责身份鉴别和会话请求的转发。
S-CSCF负责用户的策略和服务控制。
-HSS:HSS是一个重要的数据存储实体,用于存储用户的身份认证信息、配置文件和通信参数等。
它提供用户认证、鉴权和账号管理等功能。
-BGCF:BGCF是IMS系统架构中的一个可选组件,用于处理具有特定策略需求的呼叫。
它负责选择呼叫的最佳路径,以便保证呼叫的顺利转接。
-MGW:MGW是一个重要的传输节点,用于实现语音、视频和数据等多种多媒体内容的传输。
它实现了多媒体内容的编解码、传输和媒体流的控制等功能。
2.用户终端:3.IP网络:4.应用服务器:IMS系统的基本原理是通过IP网络实现多媒体和VoIP通信。
用户可以通过用户终端接入IMS核心网络,进行用户注册和登录。
IMS核心网络通过用户的身份鉴别和会话控制,实现用户之间的多媒体传输和通信。
IMS系统支持语音、视频、即时消息和文件传输等多种多媒体内容的传输,可以满足用户的不同通信需求。
总之,IMS系统架构和基本原理主要包括IMS核心网络、用户终端、IP网络和应用服务器等组成部分。
IMS的AKA鉴权机制
摘要:IP多媒体子系统(IMS)作为3G网络的核心控制平台,其安全问题正面临着严峻的挑战。
IMS的接入认证机制的实现作为整个IMS安全方案实施的第一步,是保证IMS系统安全的关键。
基于认证和密钥协商(AKA)的IMS接入认证机制是由因特网工程任务组(IETF)制定,并被3GPP采用,广泛应用于3G无线网络的鉴权机制。
此机制基于“提问/回答”模式实现对用户的认证和会话密钥的分发,由携带AKA参数的SIP消息在用户设备(UE)和IMS网络认证实体之间进行交互,按照AKA机制进行传输和协商,从而实现用户和网络之间的双向认证,并协商出后续通信所需的安全性密钥对。
关键词:IP多媒体子系统;认证和密钥协商;会话初始协议;接入认证机制Abstract:IPMultimediaSubsystem(IMS) has been accepted as the core control platform of the 3G network. Its security problems are facing severe challenges now. The implementation of IMS access authentication mechanism, which is considered to be the first step of the whole IMS security plan, is the key to the IMS system security access. The Authentication and Key Agreement (AKA)-based IMS access authentication mechanism is developed by the Internet Engineering Task Force (IETF) organization and adopted by the 3GPP organization, and is widely used in 3G wireless network authentication mechanism. It is based on the “challenge/response” mode to achieve the bidirect ional authentication and session key distribution. The Session Initiation Protocol (SIP) messages, which are carried with AKA parameters, are transmitted through the User Equipment (UE) and IMS core functional entities according to the AKA mechanism for consultation, thus realizing the two-way authentication between user and network, as well as the security key pair for later communications.Keywords:IMS;AKA;SIP; access authentication mechanism移动通信的安全问题正越来越多地受到关注。
中兴IMS核心网基础原理介绍
秘密▲
P2P技术、Web2.0应用、NGI对IMS的挑战
9
互联网的优势和缺陷
优势:
IP技术,便于开展丰富的多媒体业务。 开放的网络,任何个人和组织都可以发布新业务。 有丰富的业务。 对用户免费的商业模式吸引了大量用户的参与。
秘密▲
缺陷:
类似的业务之间不能互联互通。例如IM类业务的MSN、Skype、QQ 等。 没有统一管理的用户帐号。需要用户针对每项业务申请一个帐号。 没有好的QoS保障机制 没有比较好的统一管理机制。不利于国家安全和个人信用体系的建立。 没有好的用户认证、信息安全机制,不利于电子商务的发展。 由于互联网的自由性,导致业务提供者很难直接从用户处获得利益,需 要通过其他手段(如广告)获利。阻碍了业务提供能力。
秘密▲
IMS
采用跟HTTP类似的SIP协议,拥有众多 潜在的开发者 基于SCIM实现业务灵活组合 兼容三种主流类型业务:SIP-AS, OSASCS, IM_SSF
CAP/INAP
SCP CAP/INAP TCAP SCCP MTP3
MSC/ SSP Legacy network
RAN
MTP2
以IP为基础的网络是通信业发展方向!
10
IMS和互联网的差异 -- 统一的控制和业务的融合
秘密▲
业务应用层
SIP-AS / Parlay / IN
ISP
ISP
ISP
控制层
PCSCF
IMS
SCSCF I-CSCF
BGCF
MGCF SGW
MGW
全IP的NGN网络
网络承载层
NE NE NE
Intenet网络
Internet Engineering Task Force
IMS核心网基础原理介绍
IMS核心网基础原理介绍首先,IMS核心网的核心概念是基于IP的会话控制架构,它采用了分层结构。
整个架构可以分为四个层次,分别是终端层、接入层、应用层和控制层。
终端层是指智能终端设备,如手机、平板电脑等;接入层是指与终端设备连接的网络,如LTE、Wi-Fi等;应用层是指提供各种服务的应用,如语音通话、视频通话、消息等;控制层是IMS核心网的核心部分,它负责整个会话的控制与管理。
IMS核心网中的控制层包括了若干个控制节点,如呼叫控制功能(Call Session Control Function,CSCF)、服务控制功能(Service Control Function,SCF)等。
CSCF是IMS核心网的最重要的节点,它负责呼叫控制和会话管理。
CSCF之间通过SIP(Session Initiation Protocol,会话初始协议)进行交互,完成终端设备的注册、授权、鉴权等过程。
IMS核心网还包括了HSS(Home Subscriber Server,本地用户服务器)和AS(Application Server,应用服务器)等节点,它们分别存储和管理用户信息和服务能力。
在IMS核心网中,会话的建立和终止是核心功能。
终端设备通过CSCF进行注册,将自己的信息和服务能力注册到IMS核心网中。
当发起一个新的会话时,终端设备通过CSCF发起呼叫请求,CSCF会根据呼叫请求中的目的地信息找到对应的目标终端设备。
CSCF之间进行协商和交互,最终确定呼叫的路径和传输的媒体类型。
一旦呼叫建立成功,IMS核心网就负责多媒体数据的传输,包括语音、视频等。
IMS核心网直接面向IP网络,因此可以支持各种IP网络的接入和接口。
它可以与传统的电路交换网络(PSTN)和移动通信网络(GSM/CDMA)进行互联,也可以与其他IP网络(如互联网)进行互联。
另外,IMS核心网还支持多种接口和协议,如SIP、DIAMETER等。
IMS技术简介
IMS技术简介1IMS的由来迄今为止,3GPP 关于UMTS网络的标准已经发布四个版本,即我们熟知的R99、R4、R5和R6。
其中,R5版本是全IP的第一个版本,在核心网方面,最大的变化是在PS域上叠加了一个IP多媒体子系统——IP Multimedia System,即IMS。
如上图所示,IMS是在PS域上叠加的一个子系统。
3GPP提出IMS的初衷是为了丰富3G业务种类并增加3G中GPRS对于最终用户的吸引力,同时也为运营商对IP多媒体业务的接续,服务质量和开发提供了控制手段,这一系列举措也坚定了运营商对于3G的信心。
另一方面,目前3GPP协议演进的中,出现了全IP化的趋势,业务也显露出单一PS化的趋势。
IMS和PS域一起实现实时和非实时的多媒体业务,并可以实现与CS域的互操作。
此时,即使没有CS域,也可以实现话音呼叫。
在R5中仍然保留CS域并实现与IMS的互操作主要是保护运营商的R99的网络投资。
因此,对于新运营商而言,完全不需要建设CS域来实现话音业务,IMS和PS域都可以代劳了。
IMS考虑了全IP的组网方式是网络演进的趋势,在技术上具有先进性,在组网方面可以降低建网的成本,并可以灵活扩展网络,是网络演进的方向并有利于与固网NGN的融合。
从网络演进的观点看,IMS这种组网方式适合于全业务运营商,因为这样可以较好的实现资源的共享、业务的共享以及网络的综合管理。
目前,包括Siemens、Nokia、Nortel、Ericsson、Motorola、Lucent、NEC、Alcatel、中兴、华为都在致力于IMS系统的研发,部分厂家已经推出了IMS演示、测试系统甚至预商用系统。
2IMS的基本功能和主要特点在UMTS中,IMS的基本功能是为3G移动通信的多媒体服务提供支持,包括两个基本部分:1)在PS域承载上提供3G移动通信的IP多媒体服务IP多媒体服务通过PS域提供传输承载,IMS的功能主要是当移动用户要使用IP多媒体业务时,提供相应的资源许可鉴权和基于QoS的呼叫控制(会话的建立、终止等)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
IMS网络多种鉴权机制的研究李阳申铉京廉芳芳(吉林大学计算机科学与技术学院)摘要:对IMS用户接入的认证鉴权进行分析与研究,介绍了IMS的整体安全体系结构,深入研究剖析了当前四种可能的鉴权方式,包括IMS-AKA鉴权、HTTP Digest鉴权、Early IMS 鉴权和NBA鉴权。
在此基础上,依据3GPP相关规定,研究出一种能够支持各种鉴权方式的鉴权协商机制,使IMS的接入无关性迈出关键性一步。
关键词:IMS,鉴权,多种鉴权协商,AKA,安全中图法分类号:TP319文献标识码:AA Study of Multi-Authentication Mechanismof IP Multimedia Subsystem NetworkLI Yang, SHEN Xuan_jing, LIAN Fang_fang (Dep. of Computer Science and Technology, JiLin University)Abstract:The authentication and authorization are analysed and researched when an IMS (IP Multimedia Subsystem) user is accessed in this paper. The IMS security system architecture is introduced firstly, and then the detailed analysis is made about current four kinds of main authentication mode, including IMS-AKA authentication, HTTP Digest authentication, Early IMS authentication and NBA (NASS Bundle Authentication) authentication. In this foundation, according to 3GPP associated regulations, an authentication agreement mechanism is excogitated which can support that four kinds of authentication mode. This makes a critical progress for irrespective access to IMS network..Key words:IMS,Authentication ,Multi-Authentication Agreement,AKA,Security1 引言移动通信中的安全问题正受到越来越多的关注。
在模拟蜂窝移动通信系统中基本上没有采用什么安全技术,对用户的信息是以明文传送。
尽管2G系统和GPRS系统在安全性方面有了大的进步,但它仍然存在许多不足。
例如,鉴权机制是单方面的;加密机制仅应用于无线部分,而在网络内的传输链路仍然是明文传送;只使用一种加密算法等等[1]。
3G移动通信系统中的安全技术是在GSM的安全基础上建立起来的,它克服了GSM中的安全问题,并增加了新的安全特性,使得网络的安全性得到了大大提高。
IMS(IP Multimedia Subsystem,IP多媒体子系统)网络的出现,对鉴权技术提出了新的要求。
IMS网络是一个融合的网络,也就是各种终端都能以各种接入方式接入,由于终端对鉴权算法支持的不同,就需要网络能够支持各种鉴权算法。
2存在多种鉴权算法的必要性IP多媒体子系统是一个应用层的系统,建立在UMTS分组交换域上,但是却与下层接入技术无关。
除了UTRAN和GERAN接入,它还能支持其他的接入技术,比如能够使用无限局域网(WLAN)接入。
为了满足如上各种接入方式,S-CSCF和HSS必须要能够辨别出终端发出的注册消息中使用的鉴权方式,并用该鉴权方式对其鉴权。
3 IMS网络安全体系结构IMS网络安全体系包括从终端到网络的整个安全过程,整个安全体系如图1[2][4]。
图1 IMS网络安全体系安全结构依赖于3个主要组成部分:1、用户域安全,ISIM和HSS以共享密钥的方式相互鉴权协商,以保证用户安全接入。
2、网络接入安全,一个临时的安全环境存在于用户侧的终端设备和网络侧的一个P-CSCF间,它包括IPSec、ESP和SAs等,保护无线接入链路安全。
3、网络域安全,不同的网络节点之间所有控制平面的通信都受到保护。
本论文主要研究第一部分,ISIM和HSS之间的认证鉴权。
4 各种鉴权算法的研究本文研究的鉴权协商机制支持四种鉴权算法,标准IMS用户的AKAv1-MD5算法、软终端等用户常用的HTTP Digest算法、早期IMS用户使用的Early IMS算法和WLAN用户常用的NBA(NASS Bundle Authentication)算法。
4.1 HTTP Digest算法HTTP摘要认证是一种基于挑战-响应结构的安全机制。
当服务器收到请求消息时,就会向请求的发起者挑战,客户端提供认证信息以实现服务器对其身份的验证。
服务器发出的挑战包含生成的临时值nonce,专门用以挑战而产生,只能用于此次挑战中。
请求者和服务器共享同一密码,请求者将用户名、密码、nonce值、HTTP方法以及被请求的URI经过hash 算法(一般为HTTP-Digest算法)运算后,得到一个响应值。
当请求者再次发送包含这个响应值的请求时,服务器就通过比较两个响应值来对请求进行认证。
采用这种机制,使得密码不采用明文形式在网络上发送,提高安全性。
4.2 AKA v1-MD5算法3G系统执行AKA(Authentication and Key Agreement)协议,在移动台和服务网络之间进行双向鉴权,在互相确认对方身份的基础上生成数据加密密钥CK和数据完整性密钥IK,为下一步的数据传输做准备。
基于USIM卡与AuC共享密钥K,以AKA方式实现相互鉴权[5]。
研究这种鉴权方式的论文很多,本文不再赘述。
在IMS网络里,用户的标识称为ISIM(IMS SIM),采用的鉴权算法是AKAv1-MD5,这个算法由3G系统中的AKA算法与HTTP Digest算法有机结合而成,通过把AKA鉴权过程中的XRES当作HTTP Digest鉴权中的密码来完成。
4.3 Early IMS算法Early IMS终端是指出现在IMS网络以前,但能满足IMS业务的需要,这类终端缺少对USIM和ISIM卡接口的支持,所以不能提供类似AKA的鉴权,缺少了安全性。
因为不可能让所有的early IMS用户一次性都更换UE。
因此,对于Early IMS用户,提供一种简单、足够安全的保护机制以避免最有影响的安全威胁是必要的。
Early IMS鉴权保证了不支持IMS AKA鉴权的终端能够接入到IMS网络,实现IMS和PS网络的兼容。
对于Early IMS用户,在HSS中保存着SIP层的用户标识IMPU(用户公共身份标识)和GPRS层给用户当前分配的IP地址的绑定关系,Early IMS安全解决方案就是基于这个绑定关系来建立的。
正因为这种可靠的绑定关系,如果PS域承载层是安全的,那么就可推导出在IMS信令层上该用户是安全的[6]。
在Early IMS安全体系下,当GGSN收到来自UE的激活PDP上下文请求时,GGSN经过认证后给该UE分配一个IP地址。
同时,GGSN把该UE的IMSI、MSISDN和IP地址通过Gi 接口传给HSS,HSS保存这些信息。
HSS通过用户开户时的IMSI-IMPI绑定来建立用户IMPI 和其IP地址之间的绑定。
当收到来自UE的注册或其他SIP请求的时候,在Early IMS安全体系下,S-CSCF通过比较SIP请求消息中携带的IP地址和HSS中保存的IP地址,来完成鉴权的过程。
如果IP地址相同,那么鉴权通过。
4.4 NBA算法对于早期的固定终端,一般通过WLAN接入,它既不支持AKAv1-MD5鉴权算法也不支持HTTP Digest鉴权算法。
为了能满足这类终端接入的IMS网络,使用IMS业务,提出了一种新的鉴权算法,称为NBA算法[3]。
这种算法的基本原理就是如果接入层网络NASS认为终端是可信任的,S-CSCF再通过判断NASS给的位置信息是否可信,如果可信,那么服务层的网络IMS就认为该终端是可信任的。
当UE发送注册消息到P-CSCF时,P-CSCF查询CLF功能实体以获取该UE的位置信息。
P-CSCF把查询到的位置信息插入到注册消息中,然后把这个注册消息前传到S-CSCF,由S-CSCF对UE进行鉴权。
S-CSCF比较收到的注册消息中的位置信息和从UPSF处获得的位置信息,如果二者相同,那么鉴权成功。
网络结构如图2。
图2 NASS绑定鉴权结构图5 各种鉴权算法的协商本文根据3GPP相关协议的规范和实际开发过程中的需要,研究出一种能够解决四种鉴权算法同时存在的鉴权机制。
主要工作过程分如下四步:第一,S-CSCF收到REGISTER时,该消息中的Authorization header中有“integrity-protected”参数,那么鉴权算法一定是IMS AKA,否则考虑其他算法。
第二,S-CSCF在发送MAR时,如果确定了鉴权算法是IMS-AKA,那么auth-scheme填写“IMS-AKA”,否则填写“unknown”,同时在MAR中加入IMPI。
第三,HSS发送MAA前,首先根据IMPI过滤,如果该IMPI只有一个鉴权算法,那么就指定该算法;如果该IMPI有多种鉴权算法,且包括IMS-AKA算法,那么就指定IMS-AKA;否则指定所有可能算法,都通过MAA发给S-CSCF。
最后,S-CSCF收到MAA后,如果鉴权算法唯一,使用该算计执行鉴权;否则,如果Early IMS/NBA可用,使用该两种方式鉴权;如果Early IMS/NBA不可用或失败,考虑HTTP Digest算法。
6 结论移动通信系统的认证和鉴权在整个系统的安全体系结构中处于一个非常重要的位置。
IMS网络的认证和鉴权机制是在兼容2G和3G网络的同时,考虑到各种不同接入带来的不同鉴权方式,研究出一种各种鉴权算法的协商机制,提高了IMS网络的整体安全性。
本文的鉴权协商只考虑了当前的四种鉴权方式,如果以后又出现其他的鉴权方式,还应继续研究,并逐渐形成规范。
本文作者的创新点是:1、IMS网络中,针对各种不同接入带来的不同鉴权方式,研究出一种鉴权算法的协商机制,使得各种接入鉴权算法都可用于IMS网络,这为IMS网络的整体安全性和接入无关性向前推进了重要一步。