Autentificarea in IP Multimedia Subsystem

7/30/2019 Autentificarea in IP Multimedia Subsystem

1/21

Proiect SRS:

IP Multimedia Subsystem (IMS), Authentication

Profesor: Studeni:Onoriu Bradeanu

Facultatea de Electronic, Telecomunicaii i Tehnologia Informaiei, Bucureti,2011


2/21

Cuprins:

Capitolul 1. Introducere

1.1 Ce este Subsistemul Multimedia IP (IMS)?1.2 Istoria IMS1.3 Convergena Fix/Mobil1.4 Servicii

Capitolul 2. Principiile de baz

Capitolul 3. Arhitectura IMS

Capitolul 4. Servicii de securitate n IMS4.1 Modelul de securitate pentru IMS4.2 Prezentare general a metodelor de autentificare

4.2.1 Autentificarea i acordul cheilor (AKA)4.2.2 Autentificarea NBA4.2.3 GPRS-IMS-Bundled

Authentication(GIBA)4.2.4 HTTP i AKA 3GPP

Capitolul 5.Concluzii


3/21

Capitolul 1. Introducere

1.1 Ce este Subsistemul Multimedia IP (IMS)?

Reelele fixe i mobile au trecut printr-o tranziie major n ultimii 20 de ani. ndomeniul telefoniei mobile, sistemele de prim generaie (1G) au fost introduse la mi-jlocul anilor 1980. Aceste sisteme au oferit servicii de baz pentru utilizatori. S-a pus ac-centul pe transmisia de voce i serviciile legate de voce. A doua generaie de sisteme(2G) n 1990 a adus unele mbuntiri, servicii de date i servicii suplimentare pentruutilizatori. Cea de-a treia generaie (3G i 3.5G) i evoluia sa LTE asigur rata de datemai mare i servicii multimedia diverse. Pe partea fix, reelele de telefonie publice co-mutate (PSTN) i reelele de servici digitale integrate (ISDN) au dominat comunicaiilevideo i de voce. n ultimii ani, utilizarea internet-ului a explodat i din ce n ce mai muliutilizatori profit de conexiunea la Internet mai rapida i mai ieftina cum ar fi Asymmet-

ric Digital Subscriber Line (ADSL). Aceste tipuri de conexiuni la internet permit conec-tivitate permanent, care este o necesitate pentru oamenii care doresc s foloseasc apli-caii n timp real, cum ar fi aplicaii chat, jocuri online, voice over IP (VOIP). n momen-tul de fa ne confruntm cu o convergen rapid a sistemelor fixe i mobile, datoritmodelelor de dispozitive mobile care se modific de la an la an. Aceste dispozitive mo-bile au afiaje de nalt precizie, au camere incorporate i o mulime de resurse pentruaplicaii.

n scopul comunicrii, aplicaiile bazate pe IP, trebuie s aibe un mecanism pentru aajunge la destinaie. Reeaua de telefonie ofer n prezent aceast sarcin critic de sta-bilire a unei conexiuni. Prin apelarea punct la punct, reeaua poate stabili o conexiune ad-hoc ntre oricare dou terminale din reeaua IP.

IMS este o arhitectur global cu acces independent i standarde bazate pe IP i oarhitectur bazat pe controlul serviciilor care permite diferite tipuri de servicii multime-dia utilizatorilor finali care folosesc protocoale comune, bazate pe Internet.O integrare real a serviciilor de voce i date crete productivitatea i eficiena global, ntimp ce dezvoltarea de aplicaii inovatoare care integreaz serviciul de voce, date i ser-vicii multimedia va creea cereri pentru servicii noi, cum ar fi prezent, chat-ul multime-dia i conferinele. Abilitatea de a combina mobilitatea i reeaua IP vor fi cruciale pentrusuccesul serviciilor n viitor. Figura 1 prezint o reea convergent de comunicaii pentrumediile mobile fixe. IMS-ul este cel care introduce controlul sesiuni multimedia n dome-niul pachetelor comutate i n acelai timp introduce funcionalitatea circuitelor comutaten acest domeniu. IMS este o tehnologie cheie pentru consolidarea reelei.[1]

1.2 Istoria IMS

IMS a fost iniial definit de un forum al industriei numit 3G.IP, format n anul1999. 3G.IP a proiectat arhitectura iniial de IMS, care a fost predat ctre 3rd Genera-tion Partnership Project (3GPP), ca parte a muncii de standardizare pentru telefonia mo-


4/21

bil 3G din reelele UMTS. A aprut iniial n release-ul nr. 5 (Evoluia de la reele 2G lareele 3G), prin adugarea de sesiuni multimedia bazate pe SIP. A fost de asemenea adu-gat i suportul pentru mai vechile reele GSM i GPRS.

Implementrile iniiale de IMS au fost definite pentru a permite implementri deIMS care nu aveau suport pentru toatalitatea cerinelor IMS-ului (implementri pariale).

3GPP2 (o organizaie diferit) a pus fundamentele pentru CDMA2000 Multimedia Do-main (MMD) pe 3GPP IMS, adugnd astfel suportul pentru CDMA2000.3GPP release-ul nr 6 a adugat interoperabilitatea cu Wireless LAN-urile.3GPP release-ul nr 7 a adugat interoperabilitatea cu reelele de telefonie fix, prin conlu-crarea cu TISPAN R1.[2]

Figura 1. IMS n reele convergente

1.3 Convergena Fix/Mobil

IMS a fost iniial proiectat pentru reelele mobile, dar prin adugarea TISPAN dinrevizuirea nr. 7, reelele de telefonie fix sunt de asemenea suportate. Acest lucru estenumit n englezFixed/Mobile Convergence (FMC) - tradus n romnete drept

Convergena Fix/Mobil, care a devenit mai apoi unul dintre principalele tendine dinindustria de telecomunicaii n anul 2005.Viziunea este aceea ca utilizatorii s aib un telefon cu un singur numr de telefon,

o singur agend telefonic i mesagerie vocal, care s profite de preul redus i limeamare de band a liniilor fixe de acas, precum i de mobilitatea pe care o ofer reelele detelefonie mobil. IMS-ul include de asemenea transferul fr ntreruperi ale apeluluitelefonic ntre liniile fixe de telefonie i reeaua de telefonie mobil.
http://ro.wikipedia.org/w/index.php?title=TISPAN&action=edit&redlink=1http://ro.wikipedia.org/wiki/2005http://ro.wikipedia.org/w/index.php?title=TISPAN&action=edit&redlink=1http://ro.wikipedia.org/wiki/2005


5/21

Companiile de telefonie pot oferi servicii utilizatorilor fr a fi limitate de locul ncare sunt acetia, sau modul de acces, sau modelul terminalului. IMS garanteazinteroperabilitatea dintre sistemele telefonice existente, dar i o cale de modernizare spresesiuni multimedia (precum videotelefoanele).Criticii spun ca operatorii de telefonie fix sunt interesai n principal de extinderea

serviciilor lor n spaiul operatorilor de telefonie mobil (i vice-versa), reducndu-i nacelai timp costurile operaionale prin folosirea tehnologiei Voce peste IP.

1.4 Servicii

Telefonia, ca principal aplicaie ntre reele atunci cnd utilizatorul iese din acoperirea unei reele. Mai mult

soluiile avansate de IMS vor oferii handover-ul apelurilor de voce ctre o reea2G atunci cnd se pierdea acoperirea.

IMS permite apeluri video cu avantajul asupra actualelor apeluri video 3G bazatepe CS c fluxul video poate fi inserat sau abandonat in orice moment in timpulsesiunii

Mesagerie instant si de prezen (PRIM) Sesiuni de voice si video in conferint cu 3 sau mai multe pri. Mesaje Push si servicii video precum trimiterea mesajelor clientilor atunci cand

echpa lor favorit a inscris un gol, cnd s-a intamplat ceva palpitant in timpulFormulei 1 .a.m.d.

Sincronizarea calendarului pentru toate dispozitivele IMS Servicii de trezire cu auto raspuns si cu melodiile sau tirile preferate ale

utilizatorului

Evenimente audio si transmisiuni video live Un singur numar de telefon/ o singur identitate pentru toate dispozitivele unui

utilizator Notificri ale evenimentelor importante (zile de nastere, etc) Redirecionarea apelului, Transferul apelului Interceptare legal Location based services Mesagerie vocal Apel n ateptare, Call holding, Push to talk O sesiune poate fi mutat de pe un dispozitiv pe altul in timp ce ruleaz. Un apel

video de exemplu poate fi acceptat pe un telefon mobil, dar transferat catre

sistemul de home entertainment atunci cnd utilizatorul ajunge acas. Acesttransfer implic i modificarea parametrilor sesiunii.[4]
http://ro.wikipedia.org/w/index.php?title=Videotelefon&action=edit&redlink=1http://ro.wikipedia.org/wiki/Voce_peste_IPhttp://ro.wikipedia.org/w/index.php?title=Redirec%C8%9Bionarea_apelului&action=edit&redlink=1http://ro.wikipedia.org/w/index.php?title=Transferul_apelului&action=edit&redlink=1http://ro.wikipedia.org/w/index.php?title=Location-based_service&action=edit&redlink=1http://ro.wikipedia.org/w/index.php?title=Mesagerie_vocal%C4%83&action=edit&redlink=1http://ro.wikipedia.org/w/index.php?title=Apel_%C3%AEn_a%C8%99teptare&action=edit&redlink=1http://ro.wikipedia.org/w/index.php?title=Push_to_talk&action=edit&redlink=1http://ro.wikipedia.org/w/index.php?title=Videotelefon&action=edit&redlink=1http://ro.wikipedia.org/wiki/Voce_peste_IPhttp://ro.wikipedia.org/w/index.php?title=Redirec%C8%9Bionarea_apelului&action=edit&redlink=1http://ro.wikipedia.org/w/index.php?title=Transferul_apelului&action=edit&redlink=1http://ro.wikipedia.org/w/index.php?title=Location-based_service&action=edit&redlink=1http://ro.wikipedia.org/w/index.php?title=Mesagerie_vocal%C4%83&action=edit&redlink=1http://ro.wikipedia.org/w/index.php?title=Apel_%C3%AEn_a%C8%99teptare&action=edit&redlink=1http://ro.wikipedia.org/w/index.php?title=Push_to_talk&action=edit&redlink=1


6/21

Capitolul 2. Principiile de baz

Independena accesului: IMS va lucra probabil cu orice reea (fix, mobil sauwireless) cu comutaie de pachete, precum GPRS, UMTS, CDMA2000, WLAN,WiMAX, DSL, cablu. Sistemele nvechite cu comutaie de circuite (POTS, GSM)sunt suportate prin intermediul unor gateway-uri. Interfeele deschise dintrenivelele de control i servicii permit combinarea elementelor iapelurilor/sesiunilor din diferite tipuri de reele.

Diferite arhitecturi de reea: IMS permite operatorilor i furnizorilor folosireadiferitelor arhitecturi de reea.

Mobilitatea utilizatorilor i a terminalelor: Reeaua mobil asigur mobilitateaterminalelor (roaming), iar mobilitatea utilizatorilor este asigurat prin IMS iSIP.

Generalizarea serviciilor bazate pe protocolul IP: IMS ar trebui s uurezeoferirea oricrui serviciu bazat pe IP. Printre exemple putem include VoIP, Pushto talk over cellular (POC), jocuri multi utilizatori, videoconferin, mesagerie,servicii comunitare, informaii de presence i distribuia de coninut. Cel maivizibil rezultat al suportului pentru un asemenea standard ar trebui s fie faptul cnu ar mai fi nici o diferen ntre o convorbire telefonic mobil-mobil sau mobil-fix i ceea ce astzi este neles prin navigarea pe internet cu ajutorul unui browserweb. Reeaua ar trebui s fie unificat i transparent din punct de vedere logic.[3]

Capitolul 3. Arhitectur

Unul dintre obiectivele majore ale IMS a fost acela de a crea o platform flexibilcare poate fi scalat pentru reele cu zeci de mii la zeci de milioane de abonai. Standard-ele IMS definesc componente logice, mesajele transmise ntre ele i modul n care apli-caiile interne pot pot utiliza IMS pentru a oferi servicii utilizatorilor. n practic, asta inede furnizorii de infrastructur i operatori de reea s decid ce componente logice trebuiecombinate ntr-un dispozitiv fizic n funcie de mrimea reelei. Este probabil ca primeleimplementri s co-localizeze multe funcii logice ntr-un singur dispozitiv, deoarece lanceput vor fi foarte puini utilizatori IMS, care, n schimb nu solicit un sistem distribuit

mare. Pe msur ce reeaua crete, unele funcii migreaz ctre dispozitive fizice de sinestttoare i o entitate unic ar putea fi distribuit pe mai multe dispozitive pentru a-i m-pri funciile i a asigura redundan.IMS a fost definit de dou organisme de standardizare, n strns cooperare. Principalaarhitectur, componentele logice i interconectrile dintre ele sunt standardizate de 3GPP.Cele mai utilizate protocoale utilizate ntre componente, cum ar fi SIP, Diameter, Mega-co, Cops, i aa mai departe sunt standardizate de ctre Internet Societys Internet Engi-neering Task Force (IETF). Aceast modificare a fost fcut cu scopul de a utiliza
http://ro.wikipedia.org/w/index.php?title=WLAN&action=edit&redlink=1http://ro.wikipedia.org/w/index.php?title=WiMAX&action=edit&redlink=1http://ro.wikipedia.org/wiki/Digital_Subscriber_Linehttp://ro.wikipedia.org/w/index.php?title=Cable_modem&action=edit&redlink=1http://ro.wikipedia.org/w/index.php?title=Plain_old_telephone_service&action=edit&redlink=1http://ro.wikipedia.org/wiki/GSMhttp://ro.wikipedia.org/w/index.php?title=Gateway&action=edit&redlink=1http://ro.wikipedia.org/w/index.php?title=Roaming&action=edit&redlink=1http://ro.wikipedia.org/wiki/Internet_Protocolhttp://ro.wikipedia.org/wiki/VoIPhttp://ro.wikipedia.org/w/index.php?title=Push_to_talk_over_cellular&action=edit&redlink=1http://ro.wikipedia.org/w/index.php?title=Push_to_talk_over_cellular&action=edit&redlink=1http://ro.wikipedia.org/w/index.php?title=Videoconferin%C8%9B%C4%83&action=edit&redlink=1http://ro.wikipedia.org/w/index.php?title=Mesagerie&action=edit&redlink=1http://ro.wikipedia.org/w/index.php?title=WLAN&action=edit&redlink=1http://ro.wikipedia.org/w/index.php?title=WiMAX&action=edit&redlink=1http://ro.wikipedia.org/wiki/Digital_Subscriber_Linehttp://ro.wikipedia.org/w/index.php?title=Cable_modem&action=edit&redlink=1http://ro.wikipedia.org/w/index.php?title=Plain_old_telephone_service&action=edit&redlink=1http://ro.wikipedia.org/wiki/GSMhttp://ro.wikipedia.org/w/index.php?title=Gateway&action=edit&redlink=1http://ro.wikipedia.org/w/index.php?title=Roaming&action=edit&redlink=1http://ro.wikipedia.org/wiki/Internet_Protocolhttp://ro.wikipedia.org/wiki/VoIPhttp://ro.wikipedia.org/w/index.php?title=Push_to_talk_over_cellular&action=edit&redlink=1http://ro.wikipedia.org/w/index.php?title=Push_to_talk_over_cellular&action=edit&redlink=1http://ro.wikipedia.org/w/index.php?title=Videoconferin%C8%9B%C4%83&action=edit&redlink=1http://ro.wikipedia.org/w/index.php?title=Mesagerie&action=edit&redlink=1


7/21

ct mai multe protocoale de internet gratis pentru IMS, dect s foloseasc protocoaleparticulare/patentate.Aceasta permite interoperabilitatea cu alte sisteme bazate pe sesiune prin utilizarea stan-dardelor deschise n viitor. Ruptura este, de asemenea benefic, deoarece IETF are o ex-pertiz puternic n ceea ce privete protocoalele IP n timp ce 3GPP se axeaz pe as-

pectele legate de mobilitate i arhitectura reelei.

Figura 2. Componentele de baz ale unui cadru IMSFigura 2 prezint principalele componente necesare nivelului aplicaie pentru a asigura osoluie de baz IMS. Standardele IMS definesc mai multe entiti funcionale suplimenta-re. Figura nu prezint funciile de baz pentru transport ale reelelor fixe i fr fir. Acestlucru a fost fcut pentru claritate, dar i pentru faptul c o mare parte din IMS este com-plet independent de partea de acces i de transport. Doar cteva pri din IMS comunicacu reeaua de transport pentru a asigura QoS i pentru a preveni utilizarea eronat a servi-ciului.[4]


8/21

Figura 3. Arhitectura IMS

Principalele pri ale unei reele IMS, ilustrate n figura 3 sunt:


9/21

Baza de date a utilizatorilor HSS (Home Subscriber Server) este baza de date pri-mar care ofer suport pentru entitile din reeaua IMS care administreaz

apelurile telefonice/sesiunile. Ea conine informaii legate de modul de subscriereal utilizatorului (profilul utilizatorului), face autentificarea i autorizarea utilizato-rilor, i poate oferi informaii despre locaia fizic a utilizatorilor. Este similar cuHLR-ul i AUC din reeaua GSM. Pentru IMS un al treilea bloc a fost adugat laHSS/HLR unde sunt stocate profilele de utilizatori pentru abonaii IMS. Un profilde utilizator IMS cuprinde informaii precum identitile utilizatorului conectatela o abonare, care servicii are voie utilizatorul s solicite i informaii despre cumar trebui tratate cererile primite atunci cnd utilizatorul nu este nregistrat (de ex-emplu expedierea ctre csua vocal). Componente IMS precum I-CSCF i S-CSCF sunt conectate la HSS printr-o conexiune IP. Protocolul utilizat pentru re-cuperarea i actualizarea nregistrrilor din HSS este Diameter. Diameter nu este oabreviere, ci un joc de cuvinte bazat pe predecesorul su, protocolul Radius (Re-mote Authentication Dial n User Service) (platforma central AAA i utilajuluide acces Dial-UP). n practic, de obicei, o reea stocheaz informaii despre unutilizator n toate cele 3 pri ale HSS. Informaii de abonare CS sunt necesare ncaz c utilizatorul dorete s utilizeze servicii CS precum SMS sau voce (atuncicnd se realizeaz roaming n afara zonei acoperite n are apelurile de voce IMSsunt suportate). Utilizatorul trebuie de asemenea s fie asigurat n partea de GPRSa HSS, deoarece utilizarea unui serviciu IMS este posibil din reeleGSM/UMTS/HSPA/LTE doar atunci cnd a fost stabilit o conexiune PS la reea(prin intermediul unui APN).

Figura 4. Structura HSSn final un utilizator trebuie s aibe un profil de utilizator pentru servicii IMS alt-fel nu poate utiliza niciun serviciu IMS. Reelele mari pot avea cteva entitiHSS din motive de capacitate. n acest caz CSCF urile trebuie s interogheze obaz de date ce conine informaii despre ce abonat este administrat de care HSS.Aceast sarcin este coordonat de SLF (Subscription Locator Function).

Un SLF (Subscriber Location Function) este necesar atunci cnd sunt utilizatemai multe HSS-uri. Att HSS ct i SLF implementeaz protocolul DIAMETER(interfeele Cx, Dx i Sh). SLF nu st n calea de semnalizare dintre CSCF uri i

HSS uri, dar se comport precum o baz de date de sine stttoare ce poate fi in-terogat utiliznd protocolul Diameter pentru a returna adresa IP a HSS ului re-sponsabil pentru un anumit abonat care urmeaz dup dialogul Diameter cu HSSpentru a returna informaia abonrii. SLF este o component opional i de aceeanu este ilustrat n figura 2. Nu este necesar dac exist o singur baz HSS nreea.


10/21

P-CSCF (Proxy-Call Session Control Function) este un proxy SIP care esteprimul punct de contact pentru terminalul IMS. El se poate afla att n reeaua viz-itat (n reelele care implementeaz pe deplin IMS) sau n cadrul reelei de baz(cnd reeaua vizitat nu este nc compatibil IMS). Anumite reele pot folosi unSession Border Controller care s ndeplineasc aceast funcie. Terminalul i va

afla propriul P-CSCF fie prin intermediul DHCP-ului, sau aceasta i va fi alocat nContextul PDP (din GPRS).o i este asignat terminalului IMS la nregistrare i nu se schimb n perioada

n care terminalul este nregistrato st n calea mesajelor de semnalizare i inspecteaz fiecare mesajo autentific utilizatorul i stabilete asociaia de securitate IPsec cu termi-

nalul IMS. Aceasta previne atacurile de tip spoofing i atacurile de tip re-play i protejeaz confidenialitatea utilizatorilor. Alte noduri se ncred nP-CSCF, i nu cer ca utilizatorul s se autentifice i la ele.

o poate de asemenea s compreseze i s decompreseze mesajele SIPfolosind SigComp, care duce la reducerea distanei round-trip pentru leg-

turile radio (care sunt destul de ncete)o poate s includ un PDF (Policy Decision Function), care autorizeaz

resursele din planul media, precum quality of service (QoS) din planul me-dia. Este utilizat pentru controlul drepturilor de acces, administrarealimii de band, etc... PDF poate de asemenea s fie o funcie separat.

o genereaz de asemenea nregistrri folosite pentru taxarea serviciilor

I-CSCF (Interrogating-Call Session Control Function) este un proxy SIP proxyaflat la marginea domeniului administrativ. Adresa IP este publicat n servereleDNS ale domeniului (folosind tipurile NAPTR i SRV ale serverului de nume),astfel nct serverele ndeprtate (ex: un P-CSCF dintr-un domeniu vizitat, sau un

S-CSCF dintr-un domeniu strin) l poate localiza i folosi ca punct de intrarepentru toate pachetele SIP ale unui domeniu. I-CSCF interogheaz HSS folosindinterfeele Cx i Dx ale DIAMETER-ului, pentru a localiza utilizatorul i pentru atransmite apelurile SIP ctre S-CSCF de care aparine. Pn la Release 6 el poatefi folosit pentru a ascunde reeaua intern pentru lumea din exterior (prin criptareamesajelor SIP), caz n care este numit THIG (Topology Hiding Interface Gate-way). ncepnd cu Release 7 aceast funcie a fost scoas din ndatoririle I-CSCF-ului, ea innd de IBCF (Interconnection Border Control Function). IBCF estefolosit drept gateway pentru reelele externe, asigurnd funciile de NAT i Fire-wall.

S-CSCF (Serving-Call Session Control Function) este nodul central din planulapelului. Este un server SIP, dar asigur i controlul sesiunii n acelai timp. Seafl n reeaua de baz. S-CSCF folosete interfeele Cx i Dx din DIAMETERpn la HSS pentru a descrca i ncrca profile de utilizatori - nu are o stocare lo-cal a utilizatorilor.

o se ocup de cererile de nregistrare SIP, care i permit s asocieze lo-calizarea utilizatorului (ex: adresa IP a terminalului) i adresa SIP

o prelucreaz i filtreaz toate mesajele de semnalizare


11/21

o decide care server aplicaie va primi mesajul SIP, pentru ca acesta s ofereserviciul

o asigur servicii de routare, de obicei folosind interogri de tip ENUMo pune n aplicare politic operatorului de reea

ASs (servere de aplicaie) implementeaz funciile aplicaie, oferind utilizatorilorservicii bazate pe sesiune. Serverele de aplicaie ofer interfee API precumOSA/Parlay sau servlet SIP pentru executarea aplicaiilor.

Sistemul utilizatorului final IMS. Pe lng suportul de baz pentru conectivitate(de exemplu GPRS, WLAN), ofer i suport pentru protocoalele IMS, i anumeSIP, i codecuri media pentru aplicaiile multimedia.[5]

Reeaua de AccessUtilizatorul se poate conecta la o reea IMS folosind diferite metode, dar toate folos-

esc protocolul standard Internet Protocol (IP). Dispozitivele IMS (telefoanele mobile,PDA-urile, calculatoarele), se pot nregistra direct ntr-o reea IMS, chiar dac sunt n

roaming ntr-o alt ar sau o reea strin (reea vizitat). Singura cerin este sfoloseasc IPv6 (de asemenea IPv4 din 'Early IMS') i s ruleze ageni SIP. Accesul fix(exemplu: DSL, modemurile de cablu, Ethernet), accesul mobil (W-CDMA, CDMA2000,GSM, GPRS) i accesul fr fir (WLAN, WiMAX) sunt toate suportate. Alte sistemetelefonice precum POTS (vechile telefoane analogice), H.323 i sistemele VoIP incom-patibile IMS sunt suportate prin intermediul unor gateway-uri.[6]

Capitolul 4. Servicii de securitate n IMS

Acest capitol i propune s explice cum funcioneaz securitatea n IMS, va oferi

astfel o imagine la nivel nalt a arhitecturi de securitate i va explica, componentele aces-tei arhitecturi, inclusiv modelele i protocoalele folosite pentru a oferi caracteristicilenecesare pentru a asigura securitatea.

4.1 Modelul de securitate pentru IMS

Arhitectura modelului de securitate pentru IMS este alctuit din 3 nivele de blocuriaa cum se poate observa i n figura 5, primul nivel este reprezentat de Network DomainSecurity (NDS), care asigur securitate IP ntre diferite domenii i noduri n cadrul unuidomeniu. Alturi de NDS apare i nivelul de acces al securitii IMS.Accesul securitii

pentru serviciile bazate pe SIP este o component de sine stttoare, cu excepia faptuluic parametrii de securitate pentru aceasta sunt derivai din autentificarea UMTS i proto-colul AKA (KEY Agreement). Protocolul AKA este folosit pentru procesul de bootstrapi anume, cheile i certificrile sunt derivate din acreditri AKA ulterior utilizate pentruasigurarea aplicaiilor care ruleaz pe protocolul de transfer sau transport Hypertext,printre altele-n ceea ce se numete Arhitectur de Autentificare Generic (GAA).

Intenionat lsate n afara acestui model arhitectural sunt acele nivele de securitatesuperioare securitii de acces IMS sau cele care ruleaz dup nivelul NDS. De exemplu,


12/21

n UMTS nivelul de acces radio pune n aplicare propriul set de caracteristici de securi-tate, inclusiv cifrarea i integritatea mesajului. Cu toate acestea, IMS-ul este proiectatntr-un mod care nu depinde de existena altor securiti de acces sau de securitatea plan-utilizator.

4.2 Prezentare general a metodelor de autentificare IMS

Ori de cte ori un utilizator dorete s acceseze reeaua IMS, utilizatorul va fi auten-tificat, asta nseamn c reeaua se va asigura ca acesta este utilizatorul care va accesareeaua, i nu un alt utilizator ru intenionat. Autentificarea n IMS este realizat nmoduri diferite n cadrul IMS, cea mai mare parte fiind dependent de tehnologia de ac-ces la reea utilizat i de preferinele operatorului de reea.Autentificarea este tratat de CSCF n timp ce utilizatorul se logheaz, Serverul de Apli-caie SIP (AS) poate verifica dac utilizatorul a fost autentificat.

Informaia de autentificare este utilizat pentru a verifica corectitudinea cererii i

pentru a stabilii o conexiune criptat pentru ntreschimbarea mesajelor de semnalizare.Informaia de autentificare este folosit mai trziu n timpul realizrii unui apel video saude voce pentru a cripta calea vocii din conexiune. De reinut ca inter schimbareamesajelor nu este bazat pe IP, ci pe o stiv de protocoale de semnalizare n afara benzii,numit SS7. n afara benzii nseamn ca mesajele sunt interschimbate prin conexiuni ded-icate de semnalizare, care nu sunt folosite pentru transportul semnalelor de voce sauvideo de tip CS.[7]

Urmtoarele mecanisme de autentificare sunt definite n prezent n IMS:

Autentificarea 3GPP i acordul cheii (AKA), care utilizeaz mecanismul generalAKA al 3GPP, care este, de asemenea, utilizat n cadrul celei de-a treia generaiiCS i la reelele GPRS.3GPP AKA se bazeaz pe un secret partajat ntre utilizator(stocat pe cardul UICC) i reea (stocat n HSS) i se efectueaz automat fr in-teraciune din partea nici unui utilizator.

Autentificare bazat pe combinaia Network Access Subsystem si IMS (NBA,Network Access Subsystem (NASS)-IMS-bundled authentication), aceasta fiindo metod utilizat n principal de reele fixe/TISPAN i se bazeaz pe securitateadisponibil din straturile inferioare, n scopul de a autentifica utilizatorul. n cazul

utilizri metodei de autentificare NBA nu este nevoie de o procedur de autentifi-carea specific IMS sau SIP.

Autentificare amestecat GPRS-IMS (GIBA), denumit anterior nceputul se-curitii n IMS, care este desfurat n cadrul reelelor 3GPP care nu ofer in-frastructur pentru securitate IMS deplin, de exemplu reele cu implementriIMS timpurii care nu utilizeaz IPSec i AKA 3GPP pentru IMS. GIBA se


13/21

bazeaz pe nivelul de securitate al GPRS si, prin urmare, nu sunt necesare proce-duri specifice de autentificare IMS sau SIP

ncepnd de la release 8 al 3GPP, HTTP va fi o metod de autentificare n cadrulIMS. Rezumatul HTTP-ului este publicat de ctre IETF n [RFC 2617]. Acesta se

bazeaz pe user i parola comun pentru utilizator i reea (n cazul n care estestocat n HSS). n cazul HTTP-ului, utilizatorul trebuie s-i aminteasc numelede utilizator i parola i trebuie s le furnizeze n timpul proceduri de autentifi-care, adic nu exist stocare UICC, care ar permite stocarea automat.[8]

Figura 5 Arhitectura Securitii pentru IMS

1. Autentificarea i acordul cheii (AKA)

Securitatea n IMS se bazeaz pe un cod secret pe termen lung, mprit ntre ISIMi centrul de autentificare al reelei la domiciliu (AUC). Cel mai important nivel din arhi-tectura IMS este modulul ISIM, care este conceput ca o arhiv pentru cheile secrete (K) icare nsoete algoritmi AKA, i este de obicei ncorporat ntr-un dispozitiv cu, card de

memorie numit Card al Circuitului Integrat Universal (Universal Integrated Circuit Card(UICC)). Accesul la secretele comune este limitat. Modulul preia parametri AKA ca datede intrare iar ca date de ieire parametri AKA rezultai. Astfel, nu se expune niciodat se-cretul comun ctre lumea exterioar.

Dispozitivul pe care este stabilit ISIM este rezistent la capcane, astfel nct, chiari accesul fizic este puin probabil s aib ca rezultat expunerea cheii secrete. Pentru aproteja ISIM de accesul neautorizat, utilizatorul este de obicei obiectul unor mecanismede securitate a domeniului. n esen, acest lucru nseamn ca pentru a rula AKA pe


14/21

ISIM, utilizatorului i se cere un cod PIN. Combinaia de proprietate, de exemplu, accesulla un dispozitiv al nivelului fizic (UICC/ISIM) i cunoaterea codului PIN secret-face caarhitectura securitii IMS s fie robust. Un atacator trebuie s aibe n posesie att cevace ti utilizatorul ct i ceva ce posed utilizatorul, ceea ce este dificil att timp ct ex-ist un nivel de ngrijire din partea utilizatorului.

Tabelul 1. Parametrii AKAParametrulAKA

Lungime (bits) Descriere

K 128 Secret partajat; cheia pentru autentificare partajatntre reea i terminalul mobil.

RAND 128 Cerere de autentificare aleatoare generat de reeaAUTN 128 Token de autentificare (al retelei)

SQN 48 Numr secvenial ce urmrete secvena procedurilor de autentificareAUTS 112 Token de sincronizare generat de ISIM dup detectarea

unei erori de sincronizareaRES 32-128 Rspunsulde autentificare generat de ISIMCK 128 Cheie de criptare generat n timpul autentificarea-i att

e reea ct i de ISIMIK 128 Cheie de integritate generat n timpul autentificrii att

de reea ct i de ISIM

AKA realizeaz autentificarea mutual att a ISIM ct i a AUC i stabilete o

pereche de chei de integritate i de criptare. Procedura de autentificare este setat de reeautiliznd cereri de autentificare ce conin o cerere aleatoare (RAND) i un token de auten-tificare la reea (AUTN). ISIM verific AUTN i prin aceasta verific i autenticitateareelei n sine. Fiecare capt deine un numr secvenial pentru fiecare rund de proceduride autentificare. Dac ISIM detecteaz o cerere de autentificare al crei numr secvenialeste eronat, atunci renun la autentificare i raporteaz reelei cu un mesaj de eroare desincronizare incluznd n el numrul secvenial corect. Acesta este un alt concept de nivelnalt ce ofer protecie anti-reply.Pentru a rspunde cererii de autentificare a reelei, ISIM aplic cheia secret lui RANDpentru a produce rspunsul de autentificare (RES). RES este verificat de reea pentru aautentifica ISIM. La acest punct Terminalul Mobil i reeaua s-au autentificat cu succes u

nul altuia i ca produs secundat au generat de asemenea i o pereche de chei de sesiune:Cheia de criptare CK i cheia de integritate IK. Aceste chei pot fi folosite pentru a secur-iza comunicarea dintre dou entiti. Tabelul 1 prezint parametrii AKA principali isemnificaia lor. [9]

2. Autentificarea NBA


15/21

ntr-o reea TISPAN NGN, terminalul mobil de tip IMS este ataat de obicei printr-o legtur direct la un subsystem NASS, care ofer partea de transport inferior (precumIP) ntre terminalul mobil i reea.Exist o multitudine de metode prin care terminalul mobil este autentificat de NASS.NASS aparine reelei de acces (este localizat ntre terminalul mobil i P-SCCF) i const

ntr-o varietate de elemente de reea (care formeaz subsistemul).Terminalul mobil dintr-un NGN TISPAN are o conexiune fix cu NGN, care nu se modi-fic permanent, precum n reelele mobile (de exemplu reelele 3GPP UMTS). Odat ceterminalul mobil este pornit, cere o adres IP de la NASS i n timp ce adresa este asig-nat, Terminalul mobil este autentificat la nivel inferior. Terminalul este acum identificatprin line-id-ul configurat, care este stocat n NASS i este utilizat drept nume pentru uti-lizatorul autentificat.

Odat autentificat terminalul la NGN, poate realiza nregistrarea IMS, n timpulcreia va avea loc autentificarea utilizatorului. Terminalul mobil trimite o cerere SIPREGISTER ctre P-CSCF. Cererea Register nu v include nicio informaie legat de aut-entificare. P-CSCF tie adresa IP a UE i tie pe baza configuraiei locale i a politicii op-

eratorului c aceast adresa a fost asignat de un anumit NASS. P-CSCF interogheazNASS, care returneaz line-id-ul. P-CSCF include apoi line-id-ul n antetul P-Access-Network-Info din cererea Register i trimite cererea ctre I-CSCF i S-CSCF, pe bazaprocedurilor IMS normale.Odat ce cererea Register a ajuns la S-CSCF, S-CSCF trebuie s aibe grij ca utilizatoruls fie autentificat. Prin urmare trimite o cerere Multimedia-Auth Diameter (MAR) ctreHSS, indicnd identitatea public a utilizatorului nregistrat.

Figura 6. Autentificare NASS

HSS are deasemenea o conexiune ctre NASS, ce nu a fost standardizat de exem-plu modul cum aceast conexiune este realizat este lsat la nivelul implementrilor indi-


16/21

viduale ale HSS i NASS. In orice caz HSS este contient c terminalul mobil care se n-registreaz momentan s-a ataat la HSS. HSS cunoate deasemenea detaliile autentificriide nivel inferior a terminalului i prin urmare rspunde S-CSCF cu un Rspuns Multime-dia-Auth (MAA) care include line-id i profilul de utilizator. S-CSCF compar acumline-id-ul primit n cererea REGISTER de la UE, n antetul P-Access-Network-Info cu

line-id-ul primit de la USPF n MAA. Dac acestea coincid utilizatorul este autentificat iS-CSCF va rspunde imediat la cererea REGISTER cu un rspuns 200 (ok), fr s maiinterogheze terminalul mobil.Astfel, procedurile NBA nu autentific utilizatorul sau terminalul mobil, ele bazndu-sepe autentificarea ce a avut deja loc la nivelele inferioare cnd UE s-a asociat la NASS.[10]

3. GPRS-IMS-Bundled Authentication (GIBA)

Un exemplu de nregistrare IMS cu ajutorul GIBA este ilustrat n figura 7:Atunci cand UE stabilete un context de semnalizare PDP pentru IMS, GGSN va crea ocerere RADIUS ctre GGSN n care va specifica numrul MSISDN (Mobile Subscriber Inte-grated Services Digital Network) al utilizatorului (de exemplu numrul de telefon) precum iadresa IP pentru contextul PDP specific IMS.Dup stabilirea acestui context de semnalizare, terminalul mobil va trimite o cerere in-iial REGISTER, aa cum este descris n capitolul anterior, incluznd antetul Authoriza-tion, un antet Security-Client precum i eticheta 'sec-agree' n antetele Require i Proxy-Require:

From;t

To

Conta ct:"Mobi

Cnd P-CSCF, care n acest exemplu suport doar GIBA, primete cererea REGISTER,acesta o va respinge cu un rspuns 420(unsupported) indicnd c nu suport extensia Sip-Sec-Agree.

Aceasta respingere este utilizat de ctre Terminalul Mobil drept o ntiinare c trebuieaplicat procedura GIBA. Din aceste motive UE va construi un nou mesaj REGISTER,care nu conine antetele Authorization i Proxy-Require.


17/21

Figura 7. Exemplu de realizare a securitatii IMS

Informaiile utilizate n cererea REGISTER trebuie s provin din aplicaia USIM a ter-minalului mobil. Ceea ce nseamn c terminalul mobil, chiar dac este echipat cu o apli-caie ISIM (n cazul GIBA) trebuie totui s extrag informaiile din USIM. Acest lucrueste necesar deoarece a doua cerere REGISTER nu include identificatorul public al uti-lizatorului n antetul Authorization. Drept urmare, utilizatorul va utiliza un identificatorpublic de utilizator temporar n cazul GIBA.

REGISTER sip:33.222.IMSI.3gppnetworks.org SIP/2.0

;tag

;expir es

Atunci cnd P-CSCF va primi aceast a doua cerere REGISTER va n elege c este utilizat procedura GIBA, deoarece eticheta 'sec- agree' nu este inclus n antetele Require i Proxy-Require. S-CSCF vadetecta c este utilizat GIBA, deoarece nu este inclus antetul Autho-rization n cererea primit . Prin urmare va trimite identificatorul n an -tetul To i adresa IP din antetul Contact prin interfa a Cx c tre HSS. HSS verifica dac MSISDN este corelat cu IMSI oferit n identificatorul utilizatorului. Apoi verifica dac adresa IP indicat de S-CSCF a fost


18/21

atribuit de GGSN acelui MSISDN. HSS primete de la HSS adresa IP ce a fost atribuit respectivului M SISDN n timpul procedurii de stabilire acontextului PDP. Doar dac aceast verificare este validat , HSS va in -forma S-CSCF c autentificarea s-a ncheiat cu succes. Dup ce primete aceast informa ie S-CSCF va r spunde la cerere cu 200 (ok).

La completarea acestei proceduri utlizatorul este autentficat de IMS.

Scenarii GIBAn tabelul 2 sunt listate scenarii posibile pentru GIBA. n cazul n care terminalul mobilsuport doar GIBA, dar reeaua suport doar 3GPP AKA, P-CSCF va respinge cerereaREGISTER iniial cu 421(Extension Required), indicnd c are nevoie de proceduraSip-Sec-Sgree pentru a furniza securitate IMS.

SIP/2.0 421 Extension Required

Require: sec-agree

Deoarece Terminalul n acest caz nu suport 3GPP AKA, va nceta s se mai conecteze la

reeaua IMS.n tabelul 2 sunt prezentate dou situaii n care conectarea la IMS nu este posibil. Acestlucru evidenieaza stadiul prematur de dezvoltare i standardizare al GIBA. Doar nreelele care ofer ambele mecanisme abonaii nu vor suferi de discontinuitatea serviciu-lui.[11]

Tabelul 2 Scenarii de inregistrare GIBA

Reteaua suporta:

UE suporta: Doar GIBA Doar 3GPP AKA Ambele

Doar GIBA GIBA P-CSCF respinge

cererea REGISTER'GIBA' nu esteposibila inregistrareaIMS

UE initiaza

inregistrarea 'GIBA' reteaua accepta

Doar 3GPPAKA

P-CSCF respingecererea REGISTERinitiala nu esteposibila inregistrareaIMS

3GPP AKA 3GPP AKA

Ambele P-CSCF respinge

cererea REGISTERinitiala UE trimitecererea 'GIBA'

3GPP AKA 3GPP AKA

4. HTTP digest i AKA 3GPP


19/21

HTTP digest este specificat n [RFC2617], iar modul n care este utilizat cu SIPeste specificat n [RFC3261]. IMS, din contr, face parte din arhitectura 3GPP/UMTS,care folosete mecanismul 3GPP AKA pentru autentificare.

n cazul HTTP-ului, utilizatorul trebuie s-i aminteasc numele de utilizator iparola i trebuie s le furnizeze n timpul proceduri de autentificare.

Pentru a realiza autentificare bazat pe 3GPP AKA n cadrul IMS, [RFC3310] definetemodul n care parametrii 3GPP AKA pot fi mapai n autentificarea HTTP. Prin urmareelementele de semnalizare (parametrii i antete SIP) utilizate pentru a transporta infor-maii 3GPP AKA sunt identice cu cele folosite pentru HTTP digest, dar cu alt sens (deexemplu interpretarea lor de ctre terminalul mobil, de ctre S-CSCF sau de ctre P-CSCF).

n cererea iniial REGISTER terminalul mobil utilizeaz antetul Autorizare HTTPpentru a transporta identificatorul privat de utilizator. Pentru a ndeplini cerinele HTTPdigest, terminalul include urmatoarele campuri in antetul Autorizare: Schema de autentificare -setat la valoarea 'Digest', deoarece AKA este mapat nmecanismul HTTP digest.

Cmpul nume utilizator setat la identificatorul privat al utilizatorului, care va fifolosit de S-CSCF i de HSS pentru a identifica utilizatorul. Cmpurile realm i URI setate la home domain al utilizatorului; Rspunsul i cmpurile temporare- care sunt lsate necompletate. Aceste cmpuri suntutilizate de HTTP digest, dar nu sunt utilizate n cererea iniial REGISTER.Cererea REGISTER arat acum aa:

Urmeaz etapele: S-CSCF downloadeaz vectorul autentificrii(AV) de la HSS S-CSCF interogheaz terminalul mobil Terminalul mobil rspunde interogrii Protectia integritii si incheierea autentificrii HTTP cu scucces.

[12]

5. Concluzii

IMS definit de ctre 3rd Generation Partnership Project(3GPP) este un subsistemcare permite convergena datelor, a discursului, tehnologia reelei de telefonie mobilpeste o infrastructur bazat pe IP. IMS umple golul dintre tehnologiile tradiionale de

comunicaii i tehnologia Internet, permind operatorilor s ofere servicii noi, inovatoarei convingtoare.IMS ofer servicii multimedia mobile n timp real,cum ar fi servicii de

voce,telefonie video,mesagerie,conferine i servicii de push.Caracteristicile IMS includ: O platform comun pentru furnizarea de servicii cu dezvoltare uoar i rapid; Gestionarea costurilor i implementare sczut; Servicii convergente; Interfee deschise i coerente pentru dezvoltatori teri;


20/21

IMS reprezint o platform standardizat, reutilizabil, care ofer o mai bunmodalitate de implementare, integrare, i o mai bun extindere a consumului de date ivoce de ctre utilizatori. Serviciul de implementare este eficient i uor, cu ostandardizare a interfeei ISC i a punctului de referin Sh, rezultat din standardizarea

interfeelor pentru integrarea serverelor de aplicaii n IMS.Exist un interes crescut n IMS, datorit capacitii sale de a revoluiona experienautilizatorului final, cu servicii noi i inovatoare. Industria mobil face tranziia de laserviciul tradiional de voce i transmiterea de mesaje scurte la o varietate de serviciimultimedia noi i interesante. Serviciul de voce i mesaje este completat de aplicaii deultim generaie,cum ar fi sesiuni push-to-talk, aplicaii video n timp real, jocurimultimedia, partajarea de imagini i foldere, mesageria vocal, i videoconferine.

IMS permite, de asemenea, mbinares serviciilor, cum ar fi trimiterea unui mediu ntimp ce vorbesc, sau adaug un joc multiplayer n timpul unei sesiuni push-to-talk.Aceasta va permite, de asemenea, activarea de noi servicii ntre dispozitivele mobile ifixe TISPAN oferind convergen fix-mobil. Pe partea fix, multe aplicaii iniiate de

protocolul sesiune (SIP) sunt deja disponibile, iar dezvoltatori lucreaz acum la aplicaiileSIP pentru mediul mobil.Unele dintre beneficiile oferite de IMS includ:

Scderea timpului de lansare pe pia Costuri sczute Flexibilitate n alegerea echipamentelor pentru furnizori multipli Servicii care sunt mai uor de dezvoltat Servicii integrate i interoperabile Servicii personalizate Convergena fix-mobil.

3GPP/3GPP2 definesc mare parte din infrastructura IMS,

Internet Engineering TaskForce (IETF) elaboreaz standarde pentru privind SIP i formatele de baz pentruprezena informaiei i liste ale reprezentaiilor care vor fi schimbate ntre elementele debaz i facilitatori de servicii, i Aliana Open Mobile(OMA), care definete aplicaii caresunt construite peste infrastructura IMS.[13]

Referine:

[1], [7], [8], [9], [10], [11], [12] Miikka Poikselka,Georg Mayer, The IMS IPMultimedia Concepts and Services 3rd ed , 2009, UK;


21/21

[4], [5],[13] Syed A. Ahson,Mohammad Ilyas, IP Multimedia Subsystem Handbook(IMS), 2009, USA;[4] Martin Sauter, Beyond 3G Bringing Networks, Terminals and the Web Together,2009, UK;[2], [3], [6] Wikipedia: http://en.wikipedia.org/wiki/IP_Multimedia_Subsystem
http://en.wikipedia.org/wiki/IP_Multimedia_Subsystemhttp://en.wikipedia.org/wiki/IP_Multimedia_Subsystem

Documents

Autentificarea in IP Multimedia Subsystem