Proiect SRS: IP Multimedia Subsystem (IMS), Authentication

Profesor:

Studenţi:

Onoriu Bradeanu

Facultatea de Electronică, Telecomunicaţii şi Tehnologia Informaţiei, Bucureşti, 2011

Cuprins: Capitolul 1. Introducere 1.1 Ce este Subsistemul Multimedia IP (IMS)? 1.2 Istoria IMS 1.3 Convergenţa Fix/Mobil 1.4 Servicii Capitolul 2. Principiile de bază Capitolul 3. Arhitectura IMS Capitolul 4. Servicii de securitate în IMS 4.1 Modelul de securitate pentru IMS 4.2 Prezentare generală a metodelor de autentificare 4.2.1 Autentificarea şi acordul cheilor (AKA) 4.2.2 Autentificarea NBA 4.2.3 GPRS-IMS-Bundled Authentication(GIBA) 4.2.4 HTTP şi AKA 3GPP Capitolul 5.Concluzii

În momentul de faţă ne confruntăm cu o convergenţă rapidă a sistemelor fixe şi mobile. jocuri online. date şi servicii multimedia va creea cereri pentru servicii noi.5G) şi evoluţia sa LTE asigură rata de date mai mare şi servicii multimedia diverse. au camere incorporate şi o mulţime de resurse pentru aplicaţii. aplicaţiile bazate pe IP. chat-ul multimedia şi conferinţele. 3G. format în anul 1999. trebuie să aibe un mecanism pentru a ajunge la destinaţie. IMS-ul este cel care introduce controlul sesiuni multimedia în domeniul pachetelor comutate şi în acelaşi timp introduce funcţionalitatea circuitelor comutate în acest domeniu. Reţeaua de telefonie oferă în prezent această sarcină critică de stabilire a unei conexiuni.IP.Capitolul 1. Aceste tipuri de conexiuni la internet permit conectivitate permanentă.2 Istoria IMS IMS a fost iniţial definit de un forum al industriei numit 3G. cum ar fi aplicaţii chat. Aceste sisteme au oferit servicii de bază pentru utilizatori. datorită modelelor de dispozitive mobile care se modifică de la an la an. În scopul comunicării. În ultimii ani. servicii de date şi servicii suplimentare pentru utilizatori. reţeaua poate stabili o conexiune adhoc între oricare două terminale din reţeaua IP. Figura 1 prezintă o reţea convergentă de comunicaţii pentru mediile mobile fixe. bazate pe Internet. în timp ce dezvoltarea de aplicaţii inovatoare care integrează serviciul de voce. S-a pus accentul pe transmisia de voce şi serviciile legate de voce. cum ar fi prezentă. sistemele de primă generaţie (1G) au fost introduse la mijlocul anilor 1980.IP a proiectat arhitectura iniţială de IMS. voice over IP (VOIP).[1] 1. care este o necesitate pentru oamenii care doresc să folosească aplicaţii în timp real. Abilitatea de a combina mobilitatea şi reţeaua IP vor fi cruciale pentru succesul serviciilor în viitor. Introducere 1. Aceste dispozitive mobile au afişaje de înaltă precizie. Prin apelarea punct la punct. reţelele de telefonie publice comutate (PSTN) şi reţelele de servici digitale integrate (ISDN) au dominat comunicaţiile video şi de voce. care a fost predată către 3rd Generation Partnership Project (3GPP). Pe partea fixă. IMS este o arhitectură globală cu acces independent şi standarde bazate pe IP şi o arhitectură bazată pe controlul serviciilor care permite diferite tipuri de servicii multimedia utilizatorilor finali care folosesc protocoale comune.1 Ce este Subsistemul Multimedia IP (IMS)? Reţelele fixe şi mobile au trecut printr-o tranziţie majoră în ultimii 20 de ani. ca parte a muncii de standardizare pentru telefonia mo- . IMS este o tehnologie cheie pentru consolidarea reţelei. A doua generaţie de sisteme (2G) în 1990 a adus unele îmbunătăţiri. În domeniul telefoniei mobile. O integrare reală a serviciilor de voce şi date creşte productivitatea şi eficienţa globală. Cea de-a treia generaţie (3G şi 3. utilizarea internet-ului a explodat şi din ce în ce mai mulţi utilizatori profită de conexiunea la Internet mai rapida şi mai ieftina cum ar fi Asymmetric Digital Subscriber Line (ADSL).

care să profite de preţul redus şi lăţimea mare de bandă a liniilor fixe de acasă. reţelele de telefonie fixă sunt de asemenea suportate. 5 (Evoluţia de la reţele 2G la reţele 3G).3 Convergenţa Fix/Mobil IMS a fost iniţial proiectat pentru reţelele mobile. Viziunea este aceea ca utilizatorii să aibă un telefon cu un singur număr de telefon. IMS în reţele convergente 1. Acest lucru este numit în engleză Fixed/Mobile Convergence (FMC) . 7. prin adăugarea de sesiuni multimedia bazate pe SIP. IMS-ul include de asemenea transferul fără întreruperi ale apelului telefonic între liniile fixe de telefonie şi reţeaua de telefonie mobilă. . care a devenit mai apoi unul dintre principalele tendinţe din industria de telecomunicaţii în anul 2005. o singură agendă telefonică şi mesagerie vocală. prin conlucrarea cu TISPAN R1.[2] Figura 1. Implementările iniţiale de IMS au fost definite pentru a permite implementări de IMS care nu aveau suport pentru toatalitatea cerinţelor IMS-ului (implementări parţiale). 3GPP2 (o organizaţie diferită) a pus fundamentele pentru CDMA2000 Multimedia Domain (MMD) pe 3GPP IMS. A fost de asemenea adăugat şi suportul pentru mai vechile reţele GSM şi GPRS. dar prin adăugarea TISPAN din revizuirea nr.tradus în româneşte drept Convergenţa Fix/Mobil. A apărut iniţial în release-ul nr. 3GPP release-ul nr 7 a adăugat interoperabilitatea cu reţelele de telefonie fixă. 3GPP release-ul nr 6 a adăugat interoperabilitatea cu Wireless LAN-urile.bilă 3G din reţelele UMTS. adăugând astfel suportul pentru CDMA2000. precum şi de mobilitatea pe care o oferă reţelele de telefonie mobilă.

sau modelul terminalului. etc) Redirecţionarea apelului. dar transferat catre sistemul de home entertainment atunci când utilizatorul ajunge acasă. Un apel video de exemplu poate fi acceptat pe un telefon mobil.4 • • Servicii • • • • • • • • • • • • • • • Telefonia. Acest transfer implică şi modificarea parametrilor sesiunii. reducându-şi în acelaşi timp costurile operaţionale prin folosirea tehnologiei Voce peste IP. Criticii spun ca operatorii de telefonie fixă sunt interesaţi în principal de extinderea serviciilor lor în spaţiul operatorilor de telefonie mobilă (şi vice-versa). când s-a intamplat ceva palpitant in timpul Formulei 1 ş.a. 1. Mai mult soluţiile avansate de IMS vor oferii handover-ul apelurilor de voce către o reţea 2G atunci când se pierdea acoperirea. Transferul apelului Interceptare legală Location based services Mesagerie vocală Apel în aşteptare.d. IMS garantează interoperabilitatea dintre sistemele telefonice existente. Call holding. Push to talk O sesiune poate fi mutată de pe un dispozitiv pe altul in timp ce rulează.Companiile de telefonie pot oferi servicii utilizatorilor fără a fi limitate de locul în care sunt aceştia. IMS permite apeluri video cu avantajul asupra actualelor apeluri video 3G bazate pe CS că fluxul video poate fi inserat sau abandonat in orice moment in timpul sesiunii Mesagerie instantă si de prezenţă (PRIM) Sesiuni de voice si video in conferintă cu 3 sau mai multe părţi. dar şi o cale de modernizare spre sesiuni multimedia (precum videotelefoanele). Mesaje Push si servicii video precum trimiterea mesajelor clientilor atunci cand echpa lor favorită a inscris un gol.[4] . Sincronizarea calendarului pentru toate dispozitivele IMS Servicii de trezire cu auto raspuns si cu melodiile sau ştirile preferate ale utilizatorului Evenimente audio si transmisiuni video live Un singur numar de telefon/ o singură identitate pentru toate dispozitivele unui utilizator Notificări ale evenimentelor importante (zile de nastere. ca principală aplicaţie Între reţele atunci când utilizatorul iese din acoperirea unei reţele.m. sau modul de acces.

în strânsă cooperare. cum ar fi SIP. Pe măsură ce reţeaua creşte. Interfeţele deschise dintre nivelele de control şi servicii permit combinarea elementelor şi apelurilor/sesiunilor din diferite tipuri de reţele. Standardele IMS definesc componente logice. Printre exemple putem include VoIP. deoarece la început vor fi foarte puţini utilizatori IMS. mesajele transmise între ele şi modul în care aplicaţiile interne pot pot utiliza IMS pentru a oferi servicii utilizatorilor. Reţeaua ar trebui să fie unificată şi transparentă din punct de vedere logic. Megaco. Cel mai vizibil rezultat al suportului pentru un asemenea standard ar trebui să fie faptul că nu ar mai fi nici o diferenţă între o convorbire telefonică mobil-mobil sau mobilfix şi ceea ce astăzi este înţeles prin navigarea pe internet cu ajutorul unui browser web. UMTS. Generalizarea serviciilor bazate pe protocolul IP: IMS ar trebui să uşureze oferirea oricărui serviciu bazat pe IP. Cele mai utilizate protocoale utilizate între componente.[3] • • • Capitolul 3. informaţii de presence şi distribuţia de conţinut. jocuri multi utilizatori. CDMA2000. asta ţine de furnizorii de infrastructură şi operatori de reţea să decidă ce componente logice trebuie combinate într-un dispozitiv fizic în funcţie de mărimea reţelei. Mobilitatea utilizatorilor şi a terminalelor: Reţeaua mobilă asigură mobilitatea terminalelor (roaming). WLAN. precum GPRS. cablu. Principala arhitectură. unele funcţii migrează către dispozitive fizice de sine stătătoare şi o entitate unică ar putea fi distribuită pe mai multe dispozitive pentru a-şi împărţi funcţiile şi a asigura redundanţă. Sistemele învechite cu comutaţie de circuite (POTS.Capitolul 2. videoconferinţă. servicii comunitare. în schimb nu solicită un sistem distribuit mare. Arhitectură Unul dintre obiectivele majore ale IMS a fost acela de a crea o platformă flexibilă care poate fi scalată pentru reţele cu zeci de mii la zeci de milioane de abonaţi. Este probabil ca primele implementări să co-localizeze multe funcţii logice într-un singur dispozitiv. Diferite arhitecturi de reţea: IMS permite operatorilor şi furnizorilor folosirea diferitelor arhitecturi de reţea. mobilă sau wireless) cu comutaţie de pachete. WiMAX. Diameter. Principiile de bază • Independenţa accesului: IMS va lucra probabil cu orice reţea (fixă. În practică. şi aşa mai departe sunt standardizate de către Internet Society‘s Internet Engineering Task Force (IETF). IMS a fost definită de două organisme de standardizare. DSL. iar mobilitatea utilizatorilor este asigurată prin IMS şi SIP. mesagerie. GSM) sunt suportate prin intermediul unor gateway-uri. componentele logice şi interconectările dintre ele sunt standardizate de 3GPP. Push to talk over cellular (POC). Această modificare a fost făcută cu scopul de a utiliza . Cops. care.

Aceasta permite interoperabilitatea cu alte sisteme bazate pe sesiune prin utilizarea standardelor deschise în viitor. dar şi pentru faptul că o mare parte din IMS este complet independentă de partea de acces şi de transport. decât să folosească protocoale particulare/patentate. deoarece IETF are o expertiză puternică în ceea ce priveşte protocoalele IP în timp ce 3GPP se axează pe aspectele legate de mobilitate şi arhitectura reţelei. Ruptura este. Figura 2. Doar câteva părţi din IMS comunica cu reţeaua de transport pentru a asigura QoS şi pentru a preveni utilizarea eronată a serviciului. Figura nu prezintă funcţiile de bază pentru transport ale reţelelor fixe şi fără fir. de asemenea benefică. Componentele de bază ale unui cadru IMS Figura 2 prezintă principalele componente necesare nivelului aplicaţie pentru a asigura o soluţie de bază IMS.[4] .cât mai multe protocoale de internet gratis pentru IMS. Standardele IMS definesc mai multe entităţi funcţionale suplimentare. Acest lucru a fost făcut pentru claritate.

Arhitectura IMS Principalele părţi ale unei reţele IMS.Figura 3. ilustrate în figura 3 sunt: .

În practică. Figura 4. care servicii are voie utilizatorul să solicite şi informaţii despre cum ar trebui tratate cererile primite atunci când utilizatorul nu este înregistrat (de exemplu expedierea către căsuţa vocală). SLF nu stă în calea de semnalizare dintre CSCF uri şi HSS uri. Nu este necesară dacă există o singură bază HSS în reţea. SLF este o componentă opţională şi de aceea nu este ilustrată în figura 2. de obicei. Reţelele mari pot avea câteva entităţi HSS din motive de capacitate. ci un joc de cuvinte bazat pe predecesorul său. deoarece utilizarea unui serviciu IMS este posibilă din reţele GSM/UMTS/HSPA/LTE doar atunci când a fost stabilită o conexiune PS la reţea (prin intermediul unui APN). Informaţii de abonare CS sunt necesare în caz că utilizatorul doreşte să utilizeze servicii CS precum SMS sau voce (atunci când se realizează roaming în afara zonei acoperite în are apelurile de voce IMS sunt suportate). Un profil de utilizator IMS cuprinde informaţii precum identităţile utilizatorului conectate la o abonare. Componente IMS precum I-CSCF şi SCSCF sunt conectate la HSS printr-o conexiune IP. Protocolul utilizat pentru recuperarea şi actualizarea înregistrărilor din HSS este Diameter. Diameter nu este o abreviere. Utilizatorul trebuie de asemenea să fie asigurat în partea de GPRS a HSS. face autentificarea şi autorizarea utilizatorilor.• Baza de date a utilizatorilor HSS (Home Subscriber Server) este baza de date primară care oferă suport pentru entităţile din reţeaua IMS care administrează apelurile telefonice/sesiunile. Această sarcină este coordonată de SLF (Subscription Locator Function). Dx şi Sh). Structura HSS În final un utilizator trebuie să aibe un profil de utilizator pentru servicii IMS altfel nu poate utiliza niciun serviciu IMS. Pentru IMS un al treilea bloc a fost adăugat la HSS/HLR unde sunt stocate profilele de utilizatori pentru abonaţii IMS. Atât HSS cât şi SLF implementează protocolul DIAMETER (interfeţele Cx. o reţea stochează informaţii despre un utilizator în toate cele 3 părţi ale HSS. . dar se comportă precum o bază de date de sine stătătoare ce poate fi interogată utilizând protocolul Diameter pentru a returna adresa IP a HSS ului responsabil pentru un anumit abonat care urmează după dialogul Diameter cu HSS pentru a returna informaţia abonării. Ea conţine informaţii legate de modul de subscriere al utilizatorului (profilul utilizatorului). protocolul Radius (Remote Authentication Dial În User Service) (platforma centrală AAA și utilajului de acces Dial-UP). • Un SLF (Subscriber Location Function) este necesar atunci când sunt utilizate mai multe HSS-uri. Este similar cu HLR-ul şi AUC din reţeaua GSM. şi poate oferi informaţii despre locaţia fizică a utilizatorilor. În acest caz CSCF urile trebuie să interogheze o bază de date ce conţine informaţii despre ce abonat este administrat de care HSS.

o se ocupă de cererile de înregistrare SIP. sau aceasta îi va fi alocat în Contextul PDP (din GPRS). El se poate afla atât în reţeaua vizitată (în reţelele care implementează pe deplin IMS) sau în cadrul reţelei de bază (când reţeaua vizitată nu este încă compatibilă IMS). Se află în reţeaua de bază. pentru a localiza utilizatorul şi pentru a transmite apelurile SIP către S-CSCF de care aparţine. care duce la reducerea distanţei round-trip pentru legăturile radio (care sunt destul de încete) o poate să includă un PDF (Policy Decision Function). caz în care este numit THIG (Topology Hiding Interface Gateway). o generează de asemenea înregistrări folosite pentru taxarea serviciilor I-CSCF (Interrogating-Call Session Control Function) este un proxy SIP proxy aflat la marginea domeniului administrativ. astfel încât serverele îndepărtate (ex: un P-CSCF dintr-un domeniu vizitat.. IBCF este folosit drept gateway pentru reţelele externe. care autorizează resursele din planul media. Adresa IP este publicată în serverele DNS ale domeniului (folosind tipurile NAPTR şi SRV ale serverului de nume). administrarea lăţimii de bandă.• P-CSCF (Proxy-Call Session Control Function) este un proxy SIP care este primul punct de contact pentru terminalul IMS. I-CSCF interoghează HSS folosind interfeţele Cx şi Dx ale DIAMETER-ului. Aceasta previne atacurile de tip spoofing şi atacurile de tip replay şi protejează confidenţialitatea utilizatorilor. S-CSCF (Serving-Call Session Control Function) este nodul central din planul apelului. etc. o îi este asignat terminalului IMS la înregistrare şi nu se schimbă în perioada în care terminalul este înregistrat o stă în calea mesajelor de semnalizare şi inspectează fiecare mesaj o autentifică utilizatorul şi stabileşte asociaţia de securitate IPsec cu terminalul IMS. Este utilizat pentru controlul drepturilor de acces. sau un S-CSCF dintr-un domeniu străin) îl poate localiza şi folosi ca punct de intrare pentru toate pachetele SIP ale unui domeniu. care îi permit să asocieze localizarea utilizatorului (ex: adresa IP a terminalului) şi adresa SIP o prelucrează şi filtrează toate mesajele de semnalizare • • . Terminalul îşi va afla propriul P-CSCF fie prin intermediul DHCP-ului.. Până la Release 6 el poate fi folosit pentru a ascunde reţeaua internă pentru lumea din exterior (prin criptarea mesajelor SIP). Anumite reţele pot folosi un Session Border Controller care să îndeplinească această funcţie. precum quality of service (QoS) din planul media. PDF poate de asemenea să fie o funcţie separată. S-CSCF foloseşte interfeţele Cx şi Dx din DIAMETER până la HSS pentru a descărca şi încărca profile de utilizatori . o poate de asemenea să compreseze şi să decompreseze mesajele SIP folosind SigComp. şi nu cer ca utilizatorul să se autentifice şi la ele. Alte noduri se încred în P-CSCF. dar asigură şi controlul sesiunii în acelaşi timp. ea ţinând de IBCF (Interconnection Border Control Function).nu are o stocare locală a utilizatorilor. Începând cu Release 7 această funcţie a fost scoasă din îndatoririle I-CSCFului. asigurând funcţiile de NAT şi Firewall. Este un server SIP.

componentele acestei arhitecturi. GSM. Accesul fix (exemplu: DSL.Accesul securităţii pentru serviciile bazate pe SIP este o componentă de sine stătătoare. Pe lângă suportul de bază pentru conectivitate (de exemplu GPRS. De exemplu. care asigură securitate IP între diferite domenii şi noduri în cadrul unui domeniu. Dispozitivele IMS (telefoanele mobile. de obicei folosind interogări de tip ENUM pune în aplicare politică operatorului de reţea • ASs (servere de aplicaţie) implementează funcţiile aplicaţie. chiar dacă sunt în roaming într-o altă ţară sau o reţea străină (reţea vizitată).[6] Capitolul 4. WiMAX) sunt toate suportate. şi anume SIP. accesul mobil (W-CDMA. Ethernet). oferă şi suport pentru protocoalele IMS. se pot înregistra direct într-o reţea IMS. Alături de NDS apare şi nivelul de acces al securităţii IMS. inclusiv modelele şi protocoalele folosite pentru a oferi caracteristicile necesare pentru a asigura securitatea. Serverele de aplicaţie oferă interfeţe API precum OSA/Parlay sau servlet SIP pentru executarea aplicaţiilor. Singura cerinţă este să folosească IPv6 (de asemenea IPv4 din 'Early IMS') şi să ruleze agenţi SIP. dar toate folosesc protocolul standard Internet Protocol (IP). H. 4. primul nivel este reprezentat de Network Domain Security (NDS). printre altele-în ceea ce se numeşte Arhitectură de Autentificare Generică (GAA). şi codecuri media pentru aplicaţiile multimedia. Alte sisteme telefonice precum POTS (vechile telefoane analogice). va oferi astfel o imagine la nivel înalt a arhitecturi de securitate şi va explica. Intenţionat lăsate în afara acestui model arhitectural sunt acele nivele de securitate superioare securităţii de acces IMS sau cele care rulează după nivelul NDS. WLAN). CDMA2000. .323 şi sistemele VoIP incompatibile IMS sunt suportate prin intermediul unor gateway-uri. cu excepţia faptului că parametrii de securitate pentru aceasta sunt derivaţi din autentificarea UMTS şi protocolul AKA (KEY Agreement). Protocolul AKA este folosit pentru procesul de bootstrap şi anume. Sistemul utilizatorului final IMS. modemurile de cablu.o o o • decide care server aplicaţie va primi mesajul SIP. pentru ca acesta să ofere serviciul asigură servicii de routare. Servicii de securitate în IMS Acest capitol îşi propune să explice cum funcţionează securitatea în IMS. cheile şi certificările sunt derivate din acreditări AKA ulterior utilizate pentru asigurarea aplicaţiilor care rulează pe protocolul de transfer sau transport Hypertext. GPRS) şi accesul fără fir (WLAN.1 Modelul de securitate pentru IMS Arhitectura modelului de securitate pentru IMS este alcătuită din 3 nivele de blocuri aşa cum se poate observa şi în figura 5. oferind utilizatorilor servicii bazate pe sesiune.[5] Reţeaua de Access Utilizatorul se poate conecta la o reţea IMS folosind diferite metode. calculatoarele). PDA-urile.

aceasta fiind o metodă utilizată în principal de reţele fixe/TISPAN şi se bazează pe securitatea disponibilă din straturile inferioare. cea mai mare parte fiind dependentă de tehnologia de acces la reţea utilizată şi de preferinţele operatorului de reţea. În cazul utilizări metodei de autentificare NBA nu este nevoie de o procedură de autentificarea specifică IMS sau SIP. care nu sunt folosite pentru transportul semnalelor de voce sau video de tip CS. Informaţia de autentificare este folosită mai târziu în timpul realizării unui apel video sau de voce pentru a cripta calea vocii din conexiune. Autentificarea este tratată de CSCF în timp ce utilizatorul se loghează. GIBA se • • . IMS-ul este proiectat într-un mod care nu depinde de existenţa altor securităţi de acces sau de securitatea planutilizator. care este. Autentificarea în IMS este realizată în moduri diferite în cadrul IMS. Informaţia de autentificare este utilizată pentru a verifica corectitudinea cererii şi pentru a stabilii o conexiune criptată pentru întreschimbarea mesajelor de semnalizare. asta înseamnă că reţeaua se va asigura ca acesta este utilizatorul care va accesa reţeaua. de exemplu reţele cu implementări IMS timpurii care nu utilizează IPSec şi AKA 3GPP pentru IMS.3GPP AKA se bazează pe un secret partajat între utilizator (stocat pe cardul UICC) şi reţea (stocat în HSS) şi se efectuează automat fără interacţiune din partea nici unui utilizator.[7] Următoarele mecanisme de autentificare sunt definite în prezent în IMS: • Autentificarea 3GPP şi acordul cheii (AKA). ci pe o stivă de protocoale de semnalizare în afara benzii. care utilizează mecanismul general AKA al 3GPP. 4. Serverul de Aplicaţie SIP (AS) poate verifica dacă utilizatorul a fost autentificat. În afara benzii înseamnă ca mesajele sunt interschimbate prin conexiuni dedicate de semnalizare. numită SS7.în UMTS nivelul de acces radio pune în aplicare propriul set de caracteristici de securitate. Network Access Subsystem (NASS)-IMS-bundled authentication). inclusiv cifrarea şi integritatea mesajului. şi nu un alt utilizator „rău intenţionat”. de asemenea. utilizat în cadrul celei de-a treia generaţii CS şi la reţelele GPRS. Autentificare bazată pe combinaţia Network Access Subsystem si IMS (NBA. Cu toate acestea. în scopul de a autentifica utilizatorul. Autentificare „amestecată” GPRS-IMS (GIBA). utilizatorul va fi autentificat. denumită anterior „începutul securităţii în IMS”. care este desfăşurat în cadrul reţelelor 3GPP care nu oferă infrastructură pentru securitate IMS deplină.2 Prezentare generală a metodelor de autentificare IMS Ori de câte ori un utilizator doreşte să acceseze reţeaua IMS. De reţinut ca inter schimbarea mesajelor nu este bazată pe IP.

nu sunt necesare proceduri specifice de autentificare IMS sau SIP • Începând de la release 8 al 3GPP. adică nu există stocare UICC. Acesta se bazează pe user şi parola comună pentru utilizator şi reţea (în cazul în care este stocat în HSS). acest lucru înseamnă ca pentru a rula AKA pe .[8] Figura 5 Arhitectura Securităţii pentru IMS 1. chiar şi accesul fizic este puţin probabil să aibă ca rezultat expunerea cheii secrete. utilizatorul trebuie să-şi amintească numele de utilizator şi parola şi trebuie să le furnizeze în timpul proceduri de autentificare. Astfel. Pentru a proteja ISIM de accesul neautorizat. care este conceput ca o arhivă pentru cheile secrete (K) şi care însoţeşte algoritmi AKA. care ar permite stocarea automată. şi este de obicei încorporat într-un dispozitiv cu. astfel încât. Modulul preia parametri AKA ca date de intrare iar ca date de ieşire parametri AKA rezultaţi. card de memorie numit Card al Circuitului Integrat Universal (Universal Integrated Circuit Card (UICC)). În esenţă. împărţit între ISIM şi centrul de autentificare al reţelei la domiciliu (AUC). prin urmare.bazează pe nivelul de securitate al GPRS si. HTTP va fi o metodă de autentificare în cadrul IMS. Accesul la secretele comune este limitat. Cel mai important nivel din arhitectura IMS este modulul ISIM. Rezumatul HTTP-ului este publicat de către IETF în [RFC 2617]. Autentificarea şi acordul cheii (AKA) Securitatea în IMS se bazează pe un cod secret pe termen lung. nu se expune niciodată secretul comun către lumea exterioară. utilizatorul este de obicei obiectul unor mecanisme de securitate a domeniului. Dispozitivul pe care este stabilit ISIM este rezistent la „capcane”. În cazul HTTP-ului.

utilizatorului i se cere un cod PIN. RES este verificat de reţea pentru a autentifica ISIM.ISIM. Aceste chei pot fi folosite pentru a securiza comunicarea dintre două entităţi. ISIM verifică AUTN şi prin aceasta verifică şi autenticitatea reţelei în sine. ceea ce este dificil atât timp cât există un nivel de îngrijire din partea utilizatorului. Un atacator trebuie să aibe în posesie atât “ceva ce şti utilizatorul” cât şi “ceva ce posedă utilizatorul”. Cerere de autentificare aleatoare generată de reţea Token de autentificare (al retelei) Număr secvenţial ce urmăreşte secvenţa procedurilor de autentificare Token de sincronizare generat de ISIM după detectarea unei erori de sincronizarea Răspunsulde autentificare generat de ISIM Cheie de criptare generată în timpul autentificarea-i atât e reţea cât şi de ISIM Cheie de integritate generată în timpul autentificării atât de reţea cât şi de ISIM AKA realizează autentificarea mutuală atât a ISIM cât şi a AUC şi stabileşte o pereche de chei de integritate şi de criptare. cheia pentru autentificare partajată între reţea şi terminalul mobil. ISIM aplică cheia secretă lui RAND pentru a produce răspunsul de autentificare (RES). La acest punct Terminalul Mobil şi reţeaua s-au autentificat cu succes u nul altuia şi ca produs secundat au generat de asemenea şi o pereche de chei de sesiune: Cheia de criptare CK şi cheia de integritate IK. accesul la un dispozitiv al nivelului fizic (UICC/ISIM) şi cunoaşterea codului PIN secret-face ca arhitectura securităţii IMS să fie robustă. Acesta este un alt concept de nivel înalt ce oferă protecţie anti-reply. [9] 2. Tabelul 1 prezintă parametrii AKA principali şi semnificaţia lor. Combinaţia de proprietate. atunci renunţă la autentificare şi raportează reţelei cu un mesaj de eroare de sincronizare incluzând în el numărul secvenţial corect. Procedura de autentificare este setată de reţea utilizând cereri de autentificare ce conţin o cerere aleatoare (RAND) şi un token de autentificare la reţea (AUTN). Fiecare capăt deţine un număr secvenţial pentru fiecare rundă de proceduri de autentificare. Dacă ISIM detectează o cerere de autentificare al cărei număr secvenţial este eronat. Tabelul 1. Autentificarea NBA . de exemplu. Pentru a răspunde cererii de autentificare a reţelei. Parametrii AKA Parametrul Lungime (bits) AKA K 128 RAND AUTN SQN AUTS RES CK IK 128 128 48 112 32-128 128 128 Descriere Secret partajat.

poate realiza înregistrarea IMS. Cererea Register nu vă include nicio informaţie legată de autentificare. care nu se modifică permanent. Terminalul mobil trimite o cerere SIP REGISTER către P-CSCF. S-CSCF trebuie să aibe grijă ca utilizatorul să fie autentificat. P-CSCF ştie adresa IP a UE şi ştie pe baza configuraţiei locale şi a politicii operatorului că această adresa a fost asignată de un anumit NASS. care oferă partea de transport inferior (precum IP) între terminalul mobil şi reţea.Într-o reţea TISPAN NGN. care returnează line-id-ul. Terminalul mobil dintr-un NGN TISPAN are o conexiune fixă cu NGN. Figura 6. Terminalul mobil este autentificat la nivel inferior. precum în reţelele mobile (de exemplu reţelele 3GPP UMTS). NASS aparţine reţelei de acces (este localizat între terminalul mobil şi P-SCCF) şi constă într-o varietate de elemente de reţea (care formează subsistemul). Odată autentificat terminalul la NGN. în timpul căreia va avea loc autentificarea utilizatorului. Terminalul este acum identificat prin line-id-ul configurat. ce nu a fost standardizată de exemplu modul cum această conexiune este realizată este lăsat la nivelul implementărilor indi- . pe baza procedurilor IMS normale. Prin urmare trimite o cerere Multimedia-Auth Diameter (MAR) către HSS. Există o multitudine de metode prin care terminalul mobil este autentificat de NASS. care este stocat în NASS şi este utilizat drept nume pentru utilizatorul autentificat. P-CSCF interoghează NASS. terminalul mobil de tip IMS este ataşat de obicei printro legătură directă la un subsystem NASS. indicând identitatea publică a utilizatorului înregistrată. Autentificare NASS HSS are deasemenea o conexiune către NASS. P-CSCF include apoi line-id-ul în antetul P-AccessNetwork-Info din cererea Register şi trimite cererea către I-CSCF şi S-CSCF. Odată ce cererea Register a ajuns la S-CSCF. Odată ce terminalul mobil este pornit. cere o adresă IP de la NASS şi în timp ce adresa este asignată.

ele bazându-se pe autentificarea ce a avut deja loc la nivelele inferioare când UE s-a asociat la NASS. HSS cunoaşte deasemenea detaliile autentificării de nivel inferior a terminalului şi prin urmare răspunde S-CSCF cu un Răspuns Multimedia-Auth (MAA) care include line-id şi profilul de utilizator. primeşte cererea REGISTER. Din aceste motive UE va construi un nou mesaj REGISTER. incluzând antetul Authorization. în antetul P-Access-Network-Info cu line-id-ul primit de la USPF în MAA. După stabilirea acestui context de semnalizare. terminalul mobil va trimite o cerere iniţială REGISTER. GPRS-IMS-Bundled Authentication (GIBA) Un exemplu de înregistrare IMS cu ajutorul GIBA este ilustrat în figura 7: Atunci cand UE stabileşte un context de semnalizare PDP pentru IMS. fără să mai interogheze terminalul mobil. procedurile NBA nu autentifică utilizatorul sau terminalul mobil. Aceasta respingere este utilizată de către Terminalul Mobil drept o înştiinţare că trebuie aplicată procedura GIBA. Dacă acestea coincid utilizatorul este autentificat şi S-CSCF va răspunde imediat la cererea REGISTER cu un răspuns 200 (ok). acesta o va respinge cu un răspuns 420(unsupported) indicând că nu suportă extensia SipSec-Agree. [10] 3. . aşa cum este descris în capitolul anterior. care nu conţine antetele Authorization şi Proxy-Require. Astfel. un antet Security-Client precum şi eticheta 'sec-agree' în antetele Require şi ProxyRequire: <s Foi t r>. m <s T> oi <s p: Co i:[c "i 1 Mta 2 b> 3 o 5 n t Când P-CSCF. In orice caz HSS este conştient că terminalul mobil care se înregistrează momentan s-a ataşat la HSS. care în acest exemplu suportă doar GIBA.viduale ale HSS şi NASS. S-CSCF compară acum line-id-ul primit în cererea REGISTER de la UE. GGSN va crea o cerere RADIUS către GGSN în care va specifica numărul MSISDN (Mobile Subscriber Integrated Services Digital Network) al utilizatorului (de exemplu numărul de telefon) precum şi adresa IP pentru contextul PDP specific IMS.

Figura 7.0 <sip:222330999999999@33.3gppnetworks. Drept urmare. utilizatorul va utiliza un identificator public de utilizator temporar în cazul GIBA. Exemplu de realizare a securitatii IMS Informaţiile utilizate în cererea REGISTER trebuie să provină din aplicaţia USIM a terminalului mobil.IMSI. Prin urmare va trimite identificatorul în antetul ‘To’ şi adresa IP din antetul ‘Contact’ prin interfaţa Cx către HSS. REGISTER sip:33.222.a t g <sip:222330999999999@33. HSS verifica dacă MSISDN este corelat cu IMSI oferit în identificatorul utilizatorului.3gppnetworks. Ceea ce înseamnă că terminalul mobil. S-CSCF va detecta că este utilizată GIBA.xr i:[ 3 2 1 5 e p s e Atunci când P-CSCF va primi această a doua cerere REGISTER va înţelege că este utilizată procedura GIBA.222. Apoi verifica dacă adresa IP indicată de S-CSCF a fost . deoarece nu este inclus antetul Authorization în cererea primită.3gppnetworks.IMSI.org > <s p: i >. deoarece eticheta 'secagree' nu este inclusă în antetele Require şi Proxy-Require.org SIP/2.org >.IMSI. chiar dacă este echipat cu o aplicaţie ISIM (în cazul GIBA) trebuie totuşi să extragă informaţiile din USIM.222. Acest lucru este necesar deoarece a doua cerere REGISTER nu include identificatorul public al utilizatorului în antetul ‘Authorization’.

dar reţeaua suportă doar 3GPP AKA. În cazul în care terminalul mobil suportă doar GIBA. SIP/2. indicând că are nevoie de procedura Sip-Sec-Sgree pentru a furniza securitate IMS. La completarea acestei proceduri utlizatorul este autentficat de IMS. HSS primeşte de la HSS adresa IP ce a fost atribuită respectivului MSISDN în timpul procedurii de stabilire a contextului PDP. Doar în reţelele care oferă ambele mecanisme abonaţii nu vor suferi de discontinuitatea serviciului. Acest lucru evidenţieaza stadiul prematur de dezvoltare şi standardizare al GIBA. HSS va informa S-CSCF că autentificarea s-a încheiat cu succes. va înceta să se mai conecteze la reţeaua IMS. P-CSCF va respinge cererea REGISTER iniţială cu 421(Extension Required).0 421 Extension Required Require: sec-agree Deoarece Terminalul în acest caz nu suportă 3GPP AKA.[11] Tabelul 2 Scenarii de inregistrare GIBA Reteaua suporta: UE suporta: Doar GIBA Doar GIBA GIBA Doar 3GPP AKA P-CSCF respinge cererea REGISTER 'GIBA' – nu este posibila inregistrarea IMS 3GPP AKA Ambele UE initiaza inregistrarea 'GIBA' – reteaua accepta Doar 3GPP AKA P-CSCF respinge cererea REGISTER initiala – nu este posibila inregistrarea IMS P-CSCF respinge cererea REGISTER initiala – UE trimite cererea 'GIBA' 3GPP AKA Ambele 3GPP AKA 3GPP AKA 4. Scenarii GIBA În tabelul 2 sunt listate scenarii posibile pentru GIBA. HTTP digest şi AKA 3GPP . După ce primeşte această informaţie S-CSCF va răspunde la cerere cu 200 (ok). Doar dacă această verificare este validată.atribuită de GGSN acelui MSISDN. În tabelul 2 sunt prezentate două situaţii în care conectarea la IMS nu este posibilă.

• Răspunsul şi câmpurile temporare. [RFC3310] defineşte modul în care parametrii 3GPP AKA pot fi mapaţi în autentificarea HTTP.mesagerie. În cererea iniţială REGISTER terminalul mobil utilizează antetul Autorizare HTTP pentru a transporta identificatorul privat de utilizator. utilizatorul trebuie să-şi amintească numele de utilizator şi parola şi trebuie să le furnizeze în timpul proceduri de autentificare. • Gestionarea costurilor şi implementare scăzută. inovatoare şi convingătoare.HTTP digest este specificat în [RFC2617]. Pentru a îndeplini cerinţele HTTP digest. [12] 5. Aceste câmpuri sunt utilizate de HTTP digest. IMS oferă servicii multimedia mobile în timp real. dar cu alt sens (de exemplu interpretarea lor de către terminalul mobil. Pentru a realiza autentificare bazată pe 3GPP AKA în cadrul IMS.Caracteristicile IMS includ: • O platformă comună pentru furnizarea de servicii cu dezvoltare uşoară şi rapidă.conferinţe şi servicii de push. care va fi folosit de S-CSCF şi de HSS pentru a identifica utilizatorul. . IMS. Prin urmare elementele de semnalizare (parametrii şi antete SIP) utilizate pentru a transporta informaţii 3GPP AKA sunt identice cu cele folosite pentru HTTP digest.care sunt lăsate necompletate. deoarece AKA este mapată în mecanismul HTTP digest. permiţând operatorilor să ofere servicii noi. care foloseşte mecanismul 3GPP AKA pentru autentificare. • Câmpul nume utilizator – setat la identificatorul privat al utilizatorului. IMS umple golul dintre tehnologiile tradiţionale de comunicaţii şi tehnologia Internet. • Servicii convergente. • Interfeţe deschise şi coerente pentru dezvoltatori terţi. terminalul include urmatoarele campuri in antetul Autorizare: • Schema de autentificare -setat la valoarea 'Digest'. În cazul HTTP-ului. • Câmpurile ‘realm’ şi ‘URI’ – setate la home domain al utilizatorului. tehnologia reţelei de telefonie mobilă peste o infrastructură bazată pe IP. Cererea REGISTER arată acum aşa: Urmează etapele: • S-CSCF downloadează vectorul autentificării(AV) de la HSS • S-CSCF interoghează terminalul mobil • Terminalul mobil răspunde interogării • Protectia integrităţii si incheierea autentificării HTTP cu scucces. face parte din arhitectura 3GPP/UMTS. a discursului. de către S-CSCF sau de către PCSCF).telefonie video. dar nu sunt utilizate în cererea iniţială REGISTER.cum ar fi servicii de voce. Concluzii IMS definit de către 3rd Generation Partnership Project(3GPP) este un subsistem care permite convergenţa datelor. din contră. iar modul în care este utilizat cu SIP este specificat în [RFC3261].

[10]. [12] Miikka Poikselka. multe aplicaţii iniţiate de protocolul sesiune (SIP) sunt deja disponibile. 2009. Există un interes crescut în IMS. Internet Engineering Task Force (IETF) elaborează standarde pentru privind SIP şi formatele de bază pentru prezenţa informaţiei şi liste ale reprezentaţiilor care vor fi schimbate între elementele de bază şi facilitatori de servicii.[13] Referinţe: [1]. iar dezvoltatori lucrează acum la aplicaţiile SIP pentru mediul mobil. [9]. îmbinares serviciilor. cu servicii noi şi inovatoare. Industria mobilă face tranziţia de la serviciul tradiţional de voce şi transmiterea de mesaje scurte la o varietate de servicii multimedia noi şi interesante. ’The IMS IP Multimedia Concepts and Services 3rd ed’ . de asemenea. Serviciul de implementare este eficient şi uşor. [11]. şi Alianţa Open Mobile(OMA). cu o standardizare a interfeţei ISC şi a punctului de referinţă Sh. care defineşte aplicaţii care sunt construite peste infrastructura IMS. integrare. de asemenea. Aceasta va permite.cum ar fi sesiuni push-to-talk.Georg Mayer. reutilizabilă. activarea de noi servicii între dispozitivele mobile şi fixe TISPAN oferind convergenţă fix-mobil. jocuri multimedia. [7]. . aplicaţii video în timp real.IMS reprezintă o platformă standardizată. şi o mai bună extindere a consumului de date şi voce de către utilizatori. Unele dintre beneficiile oferite de IMS includ: • Scăderea timpului de lansare pe piaţă • Costuri scăzute • Flexibilitate în alegerea echipamentelor pentru furnizori multipli • Servicii care sunt mai uşor de dezvoltat • Servicii integrate şi interoperabile • Servicii personalizate • Convergenţa fix-mobil. Serviciul de voce şi mesaje este completat de aplicaţii de ultimă generaţie. UK. rezultat din standardizarea interfeţelor pentru integrarea serverelor de aplicaţii în IMS. 3GPP/3GPP2 definesc mare parte din infrastructura IMS. care oferă o mai bună modalitate de implementare. sau adaugă un joc multiplayer în timpul unei sesiuni push-to-talk. mesageria vocală. [8]. datorită capacităţii sale de a revoluţiona experienţa utilizatorului final. IMS permite. partajarea de imagini şi foldere. cum ar fi trimiterea unui mediu în timp ce vorbesc. şi videoconferinţe. Pe partea fixă.

[2].[13] Syed A. [3]. [6] Wikipedia: http://en. ’IP Multimedia Subsystem Handbook (IMS)’. [5]. Ahson. [4] Martin Sauter. UK. USA.[4]. ’Beyond 3G – Bringing Networks. 2009. Terminals and the Web Together’. 2009.wikipedia.Mohammad Ilyas.org/wiki/IP_Multimedia_Subsystem .

Sign up to vote on this title
UsefulNot useful