您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 销售管理 > IMS业务安全机制研究PPT
IMS网络及业务安全机制研究报告内容提纲基础概念与背景技术接入安全无卡软终端:HTTPDigestFullycompliantIMS:DigestAKAEarlyIMS网络域安全安全域及信令保护网络托扑隐藏业务安全GBA机制及应用分析Presence业务安全IMS身份传递机制总结与建议USIMUEUTRANVLR/SGSNHLR/Auc请求(IMSI/TMSI)MAP_SEND_AUTHENTIACATION_INFO_REQMAP_SEDN_AUTHENTIACATION_INFO_REPAV(1…n)卡中预置IMSI,K用户鉴权请求(RAND,AUTN)用户鉴权请求(RAND,AUTN)用户鉴权响应(RES)用户鉴权响应(RES)对RES与XRES进行比较,鉴别用户身份用户鉴权请求(RAND,AUTN)1.验证MAC,从而鉴别网络身份2.验证序列号SQN,从而防止重放攻击3.根据RAND,K生成RESUMTSAKA产生认证向量Av(i)=(RAND,XRES,CK,IK,AUTN)请求(IMSI/TMSI)AUTN:=SQN⊕AK||AMF||MACKSQNRANDf1f2f3f4f5MACXRESCKIKAKAUTN:=SQNAK||AMF||MACAV:=RAND||XRES||CK||IK||AUTN产生SQN产生RANDAMFKSQNRANDf1f2f3f4f5XMACRESCKIKAKSQNAKAMFMACAUTNVerifyMAC=XMAC检验SQN在一个正确的范围DigestAKA对基本HTTPDigest的扩展algorithm=AKAv1-MD5nonce=Base64(RAND,AUTN,ServerData)将UE计算出的RES作为计算H(A1)的password为Authrization头定义了一个auts参数,用于从UE向网络传递AKA鉴权机制中的重同步消息ClientServerHTTP-Request(Request-URI)401Unauthorized()HTTP-Request(AuthorizationHeader)200OK(Authentication-InfoHeader)HTTP-Request(AuthorizationHeader)200OK(Authentication-InfoHeader)DigestAKA流程(1)(IMPI,IMPU)获取AV(RAND||XRES||IK||CK||AUTN)AuthenticateHeaderBase64(RAND、AUTN)1.认证网络2.计算RES,生成Authorization头3.计算CK,IKAuthorizationHeader(response)利用XRES计算摘要值,与response比较,完成用户认证DigestAKA流程(2)1.UE通过SM1REGISTER(IMPI,IMPU)发起注册过程2.P-CSCF转发注册消息给I-CSCF3.I-CSCF发起UAR/UAA过程获取S-CSCF地址,并转发注册消息给S-CSCF4.S-CSCF判断该IMPU是否已经注册,如果没有进行注册,通过Cx-Put设置HSS中该IMPU的状态为“初始注册挂起(initialregistrationpending)”5.S-CSCF通过Cx接口请求鉴权向量AV(RAND||XRES||CK||IK||AUTN)6,7HSS产生一组鉴权向量,并从Cx接口返回S-CSCF8.S-CSCF通过SM44xxAuth_Challenge(IMPI,RAND,AUTN,IK,CK)发起对UE的质询9.P-CSCF收到鉴权消息后,将消息中的CK和IK保存下来并将其从消息中删除DigestAKA流程(3)10.P-CSCF转发4xxAuth_Challenge(IMPI,RAND,AUTN)到UE,UE利用AUTN认证网络,计算RES,并将其作为password计算Authorizationheader,并计算IK和CK11.UE重新发起送包含Authorizationheader的REGISTER进行注册12-14.P-CSCF/I-CSCF转发消息到S-CSCF,S-CSCF收到重新注册消息后通过Authorizationheader认证用户15.若认证成功,S-CSCF通过Cx-Put方法修改HSS中该用户的“pending”状态为“Registered”16.通过Cx-Pull方法从HSS中获取该IMPU对应的所有用户数据。如果HSS中有关于和该IMPU相关的隐式注册的相关信息,HSS将通知S-CSCF这些信息,S-CSCF将认为这些隐式的用户状态也是”Registered”,并将这些信息通知P-CSCF17-19.S-CSCF发送对REGISTER消息的认证通过确认响应发送到UESecurityModeSetupUEP-CSCF信令保护:IPsecESP传输模式加密和完整性密钥由CK,IK导出,不用IKE协商完整性是必须的,加密是可选的,根据运营商策略决定,R5之前的UE不支持加密能力需要协商的SA参数加密算法:DES-EDE3-CBCorAES-CBC完整性算法:HMAC-MD5-96orHMAC-SHA-1-96SPI(SecurityParameterIndex)IP地址、端口(两对SA)port_uc(UEClientPort)port_ps(P-CSCFServerPort)port_us(UEServerPort)port_pc(P-CSCFClientPort)SecurityModeSetup流程IPSecESP通道(SPI_U,Port_U,UEalgorithmslist)(SPI_P,Port_P,P-CSCFalgorithmslist)保存相关信息,并根据自己的算法支持列表选择加密和完整性算法SPI_U,Port_U,SPI_P,Port_P,P-CSCFalgorithmslist进行解密和完整性校验处理,检查收到的信息是否与前面协商的信息一致,确保通道正确建立保存相关信息,并根据自己的算法支持列表选择加密和完整性算法SecurityModeSetup(续)AKA及信令保护过程示例Register(SM1)P-CSCFUE401Unauthorised(SM6)RAND||AUTNRegister(SM7)RESOK(SM12)port_ucport_usport_psport_pcInvite200OKUnprotectedProtectedbySApair1ProtectedbySApair2180Ringing安全模式协商信息的实际传递是通过RFC3329中定义的Security-Client/Security-Server/Security-VerifyHeader实现的AKA及信令保护过程示例内容提纲基础概念与背景技术接入安全无卡软终端:HTTPDigestFullycompliantIMS:DigestAKAEarlyIMS网络域安全安全域及信令保护网络托扑隐藏业务安全GBA机制及应用分析Presence业务安全IMS身份传递机制总结与建议EarlyIMS背景IMS早期实现,用户侧的性能不能达到fullIMS的要求用户侧不支持USIM/ISIM一些UE平台不支持IPsec基本原理:基于IP地址建立GPRS承载层到SIP层的信任传递,依靠底层网络的认证结果保证IMS层的安全接入安全威胁盗用IMS层身份标识用户A附着到GRRS网络,GGSN为其分配IP地址IPA用户A使用其IP地址IPA,但使用用户B的IMS身份标识IDB注册到IMS网络,这样用户A只对IP连接付费,用户B将对IMS业务付费盗用IP地址用户A使用自己的IMS身份标识IDA,但使用用户B的地址IPB作为源地址进行IMS注册这样用户A为其IMS业务付费,但用户B将为用户A的IP连接付费既盗用IP地址又盗用IMS层身份标识用户A使用用户B的IP地址和IMS身份标识进行IMS注册,那么用户B将将承担A的所有费用认证流程(1)PDP上下文激活时,GGSN将用户IP地址,IMSI和MSISDN发给HSSHSS由IMSI与IMPI的绑定关系,得到IP地址与IMPI和IMPU的绑定关系GGSN确保IP源地址是前面PDP上下文激活中分配的IP地址检查SIP报文via头中的”sent-by”是否与IP包源地址相同,如果不同则增加一个”received”字段,值设置为IP包源地址认证流程(2)P-CSCFI-CSCFHSSS-CSCFGGSNSGSNUES-CSCF利用MAR向HSS查询IMPU对应的IP地址信息将返回的IP地址息与”received”或”sent-by”中的地址信息进行比较,完成用户认证攻击场景示例(1)IP源地址检查正确!IP源地址对比正确!上报地址绑定信息攻击场景示例(2)P-CSCFHSSS-CSCFGGSNUE1UE2HSS返回UE1的地址ff.ee.dd.cc,而非aa.bb.cc.dd!比较错误,鉴权失败!S-CSCF向HSS查询UE1对应的IP地址信息EarlyIMS使用要求要求GGSN处于归属网络EarlyIMS要求UE包含SIM/USIM(FullIMS要求UE具备USIM/ISIM),IMPI/IMPU由IMSI导出(23.003)IMPI:IMSI@ims.mncMNC.mccMCC.3gppnetwork.org例如,若用户IMSI为234150999999999(MCC=234,MNC=15),则:IMPI为:234150999999999@ims.mnc015.mcc234.3gppnetwork.orgIMPU为:sip:234150999999999@ims.mnc015.mcc234.3gppnetwork.org3GPP对于EarlyIMS不采用HTTPDigest作为鉴权机制的解释HTTPDigest对运营商计费模式有限制HTTPDigest利用用户名/密码机制进行鉴权,包月用户可以将其口令告诉其它人从而多人共同使用,给运营商造成损失安全性考虑口令的强度及提供用户名/口令信息的方式都会直接影响HTTPDigest的安全性,实际执行中难以保证3GPP所使用的安全机制都是基于用户卡中存储的安全信息内容提纲基础概念与背景技术接入安全无卡软终端:HTTPDigestFullycompliantIMS:DigestAKAEarlyIMS网络域安全安全域及信令保护网络托扑隐藏业务安全GBA机制及应用分析Presence业务安全IMS身份传递机制总结与建议内容提纲基础概念与背景技术接入安全无卡软终端:HTTPDigestFullycompliantIMS:DigestAKAEarlyIMS网络域安全安全域及信令保护网络托扑隐藏业务安全GBA机制及应用分析Presence业务安全IMS身份传递机制总结与建议IMS网络域安全(NDS/IP)ZaZbZbZbSEGASecurityDomainASecurityDomainBSEGBNEA-1NEA-2ZbZbZbNEB-1NEB-2IKEconnectionESPtunnel安全域通常被同一个管理机构所管理的网络构成一个安全域,在同一安全域中应用同一级别的安全策略一个运营商管理的网络组成一个安全域,可能包含多个IP子网安全网关SEG安全域间的边界由SEG保护,负责在与目的安全域的互通过程中,实施本安全域安全策略出于防止单点失效和负载均衡的考虑,一个安全域可以部署一个或多个SEG通信安全保护机制接口Za接口:位于不同安全域的安全网关之间,必须实施Zb接口:位于同一安全域内的安全网关和网元之间,及网元和网元之间的接口,可选接口安全机制Za和Zb接口的通信通过IPSecESP隧道模式进行保护必须提供加密和完整性保护密钥的管理和分发可由IKE协议支持对IPSec及IKE的详细参数要求参
本文标题:IMS业务安全机制研究PPT
链接地址:https://www.777doc.com/doc-1840982 .html