IMS安全架构.docVIP

IMS的安全架构 2010-3-25 ? 一、概述 ? ??? IMS是一个基于IP的会话控制系统，其安全性倍受人们的关注。随着Common IMS的提出，由于运行环境多样性的需求，使它形成了一个完整的安全体系结构。 ? ??? IMS安全架构的四个部分为： 用户终端设备，支持各类移动或固定的终端设备，包括具备IMS安全能力的或支持早期不具备该能力的用户终端设备 信令层安全系统，支持各IMS通信实体间SIP信令和Cx接口的安全 用户层安全系统，提供用户终端设备与各应用服务器之间的通信安全 媒体层安全系统，即在IMS用户平面为不同用途和不同用户群提供媒体安全 ??? 安全系统提供的安全服务主要包括如下： 鉴权(实体认证)：保证通信实体身份的正确性 完整性：数据以明码形式交换，但可以验证数据及其特性是否被改变过 防重放：防止以重放数据的方式的非法入侵，它是完整性保护的一个特例 机密性：数据以暗码形式交换，防止内容的泄露，这是一个可选的功能 接入控制：防止未经容许使用网络资源 ? 二、信令平面的安全 ? ??? IMS是在分组网上的一个叠加系统，它对下面的分组网的依赖性很低，因此在IMS各网元间要求建立一套独立的实体认证和安全通信的约定，称为安全关联（SA）。3GPP2的IMS信令安全结构建立了七个SA（3GPP为SA1-SA5），如图所示： ? SA1提供相互鉴权，用户设备和HSS中各存一个相同的永久性密钥，通过HSS与S-CSCF配合执行用户与网络的双向认证。 SA2提供用户设备和P-CSCF之间的安全链路，用于保护Gm接口。提供数据源鉴权，即对收到数据的来源进行认证的功能。 SA3提供网络域内Cx接口的安全。 SA4提供不同网络SIP节点之间的安全，只有当P-SCSF在拜访网络(VN)时使用本安全关联，如果P-CSCF在归属网络(HN)时使用SA5。 SA5提供网络内部SIP节点之间的安全。 SA6提供HSS与外部IP网络SIP AS间的安全，与归属网络SIP AS之间采用SA3。 SA7提供SIP节点与外部IP网络SIP AS间的安全，与归属网络SIP AS之间采用SA5。 ??? 这些SA按接口划分可以分成用户和网络间的SA和网络实体之间的SA。前者将放在下节“接入安全”中介绍。后者按网络安全域（NDS）的概念来管理。一个运营商的所有网络实体组成一个NDS。在一个NDS内网络实体间SA用接口Zb来表示，NDS之间网络实体间SA用Za接口表示，如图所示： ? ??? 网络安全域之间要通过安全网关(SEG)进行通信。SEG间的Za接口采用IPsec ESP的隧道模式提供安全服务(建议机密性保护)，同时支持IKEv1和IKEv2。除此之外，SEG通常还提供包过滤和防火墙等功能。Zb可以采用IPsec ESP的隧道模式或传输模式来提供安全功能，但Zb是可选的，可以由运营商根据具体网络结构来选择。 ? 三、接入安全 ? ??? IMS支持各类移动或固定的终端设备接入网络的安全保护，包括具有CSIM/USIM/ISIM能力的移动和固定终端设备，如3GPP/3GPP2的 UE、TISPAN的TE或IRG；包括不具备上述能力的移动和固定终端，如2G终端设备或老的CPE/CNG设备；还包括不使用3GPP接入技术但具备IMS证件（IMC：IMS Credentials）的终端设备。IMC是一个与ISIM类似的集成电路模块，包括一组数据和功能，可以使用IMS AKA进行IMS接入。IMC可以插入如机顶盒、游戏机、家庭网关或其他一些类型的终端设备中使用。但在同时具有USIM/ISIM的情况下，应不使用IMC。IMC至少包括如下的数据和功能： IMPI及至少一个IMPU 归宿网络域名和一个鉴权密钥 支持序列号(SQN)检查和规定的安全算法 (??? 同一个IMS核心网络实体能为各种不同的终端的接入技术提供安全接入的手段。下面介绍一些常用的接入安全机制。 IMS AKA ??? 这是IMS基本的接入安全机制，用于所有IMS终端的接入。AKA协议是为UMTS开发的安全协议，相同的概念/原理被重用于IMS，称为IMS AKA。在该机制中HSS和ISIM分别存放一个相同的、与IMPI关联的永久性密钥。当收到用户的注册请求后，S-CSCF向HSS获取鉴权向量(AV)。AV包括一个随机数RAND、一个响应XRES、一个加密密钥CK、一个完整性密钥IK和一个鉴权码AUTN。RAND和AUTN将包括在发给用户的“Auth_Challenge”消息中。ISIM用存储的密钥和RAND计算出对应的响应RES、CK、IK和消息鉴权码XMAC。如果XMAC等于AUTN中的消息鉴权码MAC并且顺序号SQN正确，则返回鉴权响应。如果