IMS基本概念之 安全服务和安全机制

3.6 IMS中的安全服务

本节打算解释IMS网络怎么实现安全。这里故意不深入到密码学中，因此也不会深入的介绍算法和密钥长度，同样也不会对IMS的安全进行密码学分析。有其它的更好的书专门会介绍这些方面。

取而代之的是，本节会从较高的角度来展示安全的体系结构，以及解释体系中的各个组成部分，包括提供所需的安全特性的模型和协议。在读完本节后，读者应该熟悉IMS安全体系结构的主要概念，并且理解下面的模型，特别是与那些总体上描述IMS安全的信任和标示符相关的。

3.6.1 IMS安全模型

IMS安全体系结构由三块组成，如下图所示。第一块是网络域安全（NDS）[3GPP TS 33.210]，这部分提供了不同域间和域中节点间的安全。和NDS一起的另外一块是IMS接入安全[3GPP TS 33.203]。为基于SIP的服务提供的接入安全是一个独立的部分，除了一个例外是它用到的安全参数需要从全球移动通信系统（UMTS）认证和密钥协定（AKA）获取[3GPP TS 33.102]。AKA还被用作引导目的（也就是说，密钥和证书先从AKA信任状获取，然后来保证运行在HTTP上的应用程序的安全）。

图 3‑5 IMS安全的体系结构

在IMS接入安全之上和NDS之下的安全层被特地从这个安全模型中省略掉。例如在UMTS中，无线接入层实现了它自己的安全特性，包括加密和消息完整性。然而，IMS被设计成不依赖接入层或者用户层安全的存在。

3.6.2 认证和密钥协定

IMS中的安全是基于一个长期的安全密钥，这个密钥在ISIM和所属地网络的认证中心（AUC）间共享。IMS安全中最重要的一块是ISIM模块，它作为一个存储设备保存了安全密钥（K）和相应的AKA算法，并且通常嵌入在一个基于智能卡的通用集成电路卡上（UICC）。对共享密钥的访问是受限的。这个模块将AKA参数作为输入，并输出产生的AKA参数和结果。因此它从不向外界暴露这个共享密钥。

ISIM所驻留的设备是防篡改的，因此即使是能够在物理上访问这个设备，也不可能导致其中密钥的暴露。为了进一步保护ISIM免受未授权的访问，用户通常还受制于用户域安全机制。这本质上的意思是为了在ISIM上运行AKA，需要先提示用户输入一个PIN码。这种关系的结合（也就是能够从物理上访问设备（UICC/ISIM）并知道PIN码）使得IMS的安全体系结构是强壮的。攻击者需要同时拥有“你所拥有的东西”和“你所知道的东西”，这是相当困难的，只要移动用户有一定程度上比较小心。

AKA同时完成ISIM和AUC间的双向认证，并建立一对加密密钥和完整性密钥。认证的过程是由网络发起的，网络通过使用一个包含了随机质疑（challenge）（RAND）和网络认证令牌（AUTN）的认证请求发起认证过程。ISIM验证AUTN并由此验证网络自身的真实性。网络和ISIM这两侧都需要每一轮的认证过程维护一个序列号。如果ISIM检测到认证请求里的序列号超出了范围，它就中断这个认证过程，并向网络报告一个同步错误消息，消息中包含正确的序列号。这是另外一个提供防止重放攻击的上层思想。

为了应答网络的认证请求，ISIM将密钥应用到这个随机质疑（RAND）上以生成一个认证应答（RES）。网络通过验证这个RES来带到对ISIM的认证。到这个时候，UE和网络都已经完成了相互的认证。作为这个过程的副产物，他们同时还产生了一对会话密钥：加密密钥（CK）和完整性密钥（IK）。这些密钥就可以被用来确保两个实体间后续通信的安全。下表显示了一些核心AKA参数和它们表示的意思。

AKA 参数	长度（bit）	描述
K	128	在网络和移动终端间共享的认证共享密钥。
RAND	128	有网络产生的随机认证质疑。
AUTN	128	网络认证令牌。
SQN	48	追踪认证过程次数的序列号。
AUTS	112	由ISIM在检测到同步失败后产生的同步令牌。
RES	32-128	由ISIM产生的认证应答。
CK	128	认证过程中由ISIM和网络都会产生的加密密钥。
IK	128	认证过程中由ISIM和网络都会产生的完整性密钥。

表格 3‑2 AKA 参数

3.6.3 网络域安全

3.6.3.1 介绍

其中一个被指出的2G系统的重要缺陷是缺少核心网络间的标准化解决方案。尽管从移动终端到基站间的无线接入通常有加密保护，但系统的其余部分使用明文形式传送通信量。有的时候这些链路还运行在不受保护的无线段落上，因此能够访问这个媒介的攻击者可以相当容易的在通信中进行窃听。

通过从2G这些缺陷中获取的教训，3G系统开始保护核心网中所有IP部分的通信。NDS通过为通信提供保密性、数据完整性、认证和防重放攻击保护来完成这个目标。这结合了加密学安全机制和应用在IPSec中的协议安全机制。

3.6.3.2 安全域

安全域是NDS概念中的核心部分。一个典型的安全域是由一个管理机构维护的网络，在这个域中维护统一的安全策略。因此，在一个安全域中的安全级别和配置的安全服务通常而言是系统上一致的。

在许多情况下，一个安全域就直接和一个运营商的核心网络相对应。然而，也有可能对应于运营商整个网络的几个子集各自分别运行一个安全域。在NDS/IP中，不同安全域之间的接口用Za表示，而域内不同要实体的接口用Zb表示。是否使用Zb接口完全是可选的，并且取决于安全域的管理员，而Za则是强制在不同安全域间使用的。数据认证和完整性保护是两个接口必须提供的，而是否使用加密则对于Zb接口是可选的，相对于Za来说则是建议使用的。

图 3‑6 IMS中的安全域

IMS建立在一个所属地网络和一个访问点网络这样熟悉的概念上。一般的，根据IMS终端是否漫游，存在着两种情景。第一种情况下，UE接入IMS的第一个交互点（P-CSCF）位于所属地网络中。第二种情况下，P-CSCF位于访问点网络中，这意味着UE是以接入IMS的第一交互点不在所属地网络的方式来进行漫游。这两种情景显示在上图中。

很常见的是，一个IMS网络只对应了一个安全域，并且不同运营商的IMS网络间的通信使用NDS/IP来保护。这同样适用于上述的第二种情况，在那种情况下访问点网络和所属地网络间的通信也是由NDS/IP来保护的。

在IMS中，NDS/IP只保护IP层网络实体间的通信，因此还需要进一步的安全手段。这些都会在后续的章节中涉及到。最总要的一点，SIP通信的第一跳不是使用NDS/IP来保护的，而是使用IMS接入安全手段[3GPP TS 33.203]。在上面的场景中，IMS要素被分割到所属地网络和访问点网络中，因此不同的安全域在认证和密钥发放上需要有特殊考虑，这会在后续的章节进行解释。

3.6.3.3 安全网关

同信量是通过安全网关（SEG）来进入和离开一个安全域的。SEG坐落在安全域的边界上，并向几个预先定义好的安全域传输通信量。这是一种称作对话中枢（hub-and-spoke）的模型，它提供了安全域间的逐跳安全。SEG负责在安全域间传递通信量时加强安全策略。策略加强可能包含包过滤或者防火墙功能，这些功能都是域管理员的责任。

IMS核心网中的通信量都是通过SEG来路由的，特别是当通信量是介于不同网络间时，意思是从一个安全域中发出而在另一个安全域中接收。当保护不同网络间的通信量时，保密性、数据完整性和认证在NDS/IP中都是必须的。

3.6.3.4 密钥管理和发布

每个SEG都需要负责与对端的SEG建立和维护IPSec安全关联（SA）[RFC2401]。这些SA是使用因特网密钥交换（IKE）协议[RFC2409]来进行协商的，而认证则是通过保存在SEG中的长期密钥来完成的。SEG为与每个对端的连接维护两个SA：一个用于进入的消息量，而另一个用于出去的消息量。另外，SEG维护一个因特网安全关联和密钥管理协议（ISAKMP）SA[RFC2408]，这用于密钥管理和建立与对端间实际的IPSec SA。ISAKMP SA的一个首要条件是对端间是认证过的。在NDS/IP中，这个认证基于预先共享的密钥。下图展示了这个模型。

图 3‑7 NDS/IP和SEG

NDS/IP用来加密、数据完整性保护和认证的安全协议是IPSec封装安全负载（ESP）[RFC2406]的隧道模式。在ESP隧道模式下，包括IP头部在内的整个IP数据报被封装在ESP包中。对于加密，三重DES（3DES）[RFC1851]是强制要求的。而对于数据完整性和认证，MD5[RFC1321]和SHA-1[RFC2404]都可以使用。关于IPSec/IKE和ESP的详细说明可以参考第18章。

3.6.4 用于基于SIP的服务的IMS接入安全

3.6.4.1 介绍

SIP是IMS网络的核心，这是因为它被用作建立、管理和结束各种类型的多媒体会话。确保IMS访问的安全的关键是保护IMS中的SIP信令。就如前面所提到的，在IMS核心网络中这是通过使用NDS/IP来完成的。但是第一跳，也就是称为Gm的UE和IMS P-CSCF间的通信接口，需要更多的安全措施，这是因为它在NDS/IP的范围之外。

用来安全接入IMS的安全特性和机制在[3GPP TS 33.203]中介绍。这定义了UE和网络是如何认证的，以及它们怎么对安全机制、算法和密钥达成共识。

3.6.4.2 信任模型概览

如[RFC3325]中介绍，IMS建立了一个信任域，包含了以下的IMS要素：

· P/I/S-CSCF

· BGCF

· MGCF/MRFC

· 所有非第三方的AS

信任的主要成分是标识符：为了信任一个访问IMS的实体，需要有与那个实体间建立好的关系（即它的标识符是知道并验证的）。在IMS中，这个标识符以宣称的标识符（asserted identity）的形式在节点间传递。如果有多个IMS标识符存在，则UE可以声明对这个标识符的优先选择。但是最终会在信任域的边界上（也就是在P-CSCF中）分配宣称的标识符。相对应的，P-CSCF在UE的认证中扮演核心角色。

信任的级别总是和一个实体能被预期的行为相关的。例如Alice可能认识Bob，并信任他能带她的孩子去学校。她期望并知道Bob会负责任，会安全的开车等等。但是她可能不会足够的相信Bob而让让他访问自己的银行账户。

IMS信任模型的另外一个重要特性是它基于可传递的信任。第一和第二个实体间的成对信任以及第二和第三个实体间的成对信任使得信任关系自动渗透到第一和第三个实体间。例如Alice认识和信任Bob，而Bob继而认识Celia并相信她能带他的小孩去学校。现在根据信任的传递，不需要亲自见过Celia，Alice也会信任Celia能带她的小孩去学校。Alice信任Bob，同时知道Celia也属于亲子关系这个信任域的一部分，这就足够了。实际上，Alice和Bob都是双亲之一这个事实就使得Alice能够确信Bob在判断Celia是否合适带小孩去学校时有应有的留心。在本质上，亲子关系这一信任域构成了双亲的网络，都服从预定义好的一个父亲或者母亲的行为。

在[RFC3325]条款中，对于一个给定的信任域T，需要指定信任域中实体被期望的行为和如何确保遵从被期望的行为。这些内容被称作“Spec(T)”。组成“Spec(T)”的部分是：

· 用以认证进入信任域的用户的认证方法的定义，用于确保用户和信任域间通信安全所使用的安全机制的定义。在IMS中限定使用AKA协议和[3GPP TS 33.203]中关于Gm安全的相关规定。

· 用于确保信任域中节点间通信安全的机制的定义。在IMS中，这一块在NDS/IP[3GPP TS 33.210]中记载。

· 用于确定实体是否属于本信任域的方法和过程的定义。在IMS中，这批实体基本上是一批对端的SEG，这是位于这个信任域中的SEG所知道的。

· 信任域中的节点都遵循SIP和SIP宣称的标识（asserted identity）符规范的声明。

· 隐私处理的定义。这个定义依赖于SIP隐私机制和它与宣称的标识符一起使用的方法（3.6.4.3节会更深入的讨论这个问题）。

3.6.4.3 用户隐私处理

信任域和宣称的标识符的概念使得能够有可能向不在信任域中实体传递宣称的标识符。这造成了显然的隐私问题，这是因为用户实际上可能会要求他的标识符只在信任域内部知道。

在IMS中，用户可以请求他的标识符不被暴露给信任域外的实体。这基于SIP隐私扩展[RFC3323]。UE在隐私头部中插入它的隐私选择，而这个头部将会被网络检查。这个头部可能的取值有：

· User——指示网络应该提供用户级的隐私功能。这个值通常是由中间网络实体而不是用户代理来设置的。

· Header——指示用户代理要求头部隐私被应用于消息。这表示所有隐私敏感的数据被去掉并且不加入新的敏感头部。

· Session——指示用户代理要求隐私敏感的数据被从会话中去掉（也就是从消息的SDP载荷中）。

· Critical——指示所要求的隐私机制是至关重要的。如果其中任何的机制不可用，则请求会失败。

· ID——指示用户要求他的宣称的标识符被保留在信任域中。在实际中，设置了这个值就意味着消息在离开信任域时，P-Asserted-Identity头部必须被从消息中剥去。

· None——指示用户明确要求不需要对这个请求使用隐私机制。

3.6.4.4 认证和安全协定

IMS的接入认证基于AKA协议。然而AKA不能直接运行在IP上，相反的，它需要在UE和所属地网络间有传输媒介来传输协议消息。由于IMS接入认证的整个目标就是为了SIP的接入，显然SIP就是作为这个传输媒介的自然选择。在实际中，AKA如何在SIP中传输是在[RFC3310]中描述的。SIP注册过程中，AKA需要的的消息格式和流程将利用[RFC2617]定义的数字摘要认证（digest authentication）系统。从网络发出的摘要质疑包含RAND和AUTN两个AKA参数，它们被编码在服务端nonce值中。这个质疑包含了一个算法指示，以指示客户使用AKA来处理这个质疑。RES被用作计算摘要信任状（digest credential）的密码，这也意味着在IMS接入安全中，数字摘要认证框架被使用作为一个特殊的方式来透传AKA协议。

伴随着用户的认证，UE和IMS还需要协商Gm接口上确保后续SIP通信的安全机制。用于这个安全协定的协议仍然是SIP，如[RFC3329]中描述。UE和P-CSCF交换它们各自支持的安全机制的列表，最后被共同支持的机制将会被选中和使用。作为最低要求，被选中的安全机制要能够提供完整性保护，因为这是保护真正的安全机制的协商所要求的。一旦一个安全机制被选中并开始使用，前面交换的安全机制列表会被以安全的方式重新发送回网络。这使得网络能够确认安全机制的选择被正确进行，并且安全协定没有被篡改。如果没有这个特性的话，有一种可能的攻击叫做“bidding-down攻击”，这种攻击的攻击者会迫使对方选择一个强度低的安全机制。确保安全机制的协商过程安全有这样的好处，新的机制可以在以后被加入而老的被移除。因为各个UE总是选择自己所能支持的最强壮的安全机制，所以这些这些机制能够很好的共存。

3.6.4.5 机密性和完整性保护

在IMS中，机密性、数据完整性和认证都是必需的。用来提供这些功能的协议是IPSec ESP[RFC2406]，这将在18章进一步解释。

AKA会话密钥被用作ESP SA的密钥。IK被用作认证密钥，CK被用作加密密钥。

3.6.4.6 密钥管理和分发

如前面章节所说，P-CSCF可能位于访问点网络中。借助于AKA协议的设计优点，共享密钥只能在所属地网络中访问。这意味着认证在所属地网络进行，而某些委托责任需要被分配给P-CSCF，也就是P-CSCF和UE间的IPSec SA。在实际中，认证在所属地网络进行，而AKA认证过程中产生并用于ESP的会话密钥会被放在SIP注册消息中带给P-CSCF。

为了刷新SA，网络需要重新认证UE。也意味着UE也需要重新注册，这个重新注册可能是网络发起的或者是由于注册过期造成的。最终的效果是一致的：AKA协议被运行，刷新的密钥被递送给P-CSCF。

3.6.5 用于基于HTTP的服务的IMS接入安全

3.6.5.1 简介

类似于SIP通信，UE还需要为其它某些IMS应用来维护安全关联。2.3.14中介绍的Ut接口承载了这个功能所需要的协议。Ut接口的安全包括了基于HTTP的通信的保密性和数据完整性保护[RFC2616]。如之前所提到的，Ut接口的认证和密钥协定也是基于AKA的。

图 3‑8 GBA

3.6.5.2 通用引导体系结构

作为通用认证体系结构（GAA）的一部分，IMS定义了通用引导体系结构（GBA），如上图所示。引导服务功能实体（BSF）和UE基于AKA进行相互的认证，这允许UE能够从3G基础结构（infrastructure）引导（bootstrap）会话密钥。会话密钥作为AKA的结果使得网络应用服务实体（NAF）能够提供进一步的服务。发放订阅者证书的NAF就是其中一个例子，它使用引导所得的会话密钥的保护通信。

3.6.5.3 认证和密钥协定

Ut接口上的认证是由一个叫做认证代理的专门实体来进行的。按照GBA，认证服务器是另外一种NAF。Ut接口上的通信穿过认证代理，并且被引导所得的会话密钥所保护。

3.6.5.4 机密性和完整性保护

Ut接口采用传输层安全协议（TLS）来实现机密性和完整性保护[3GPP TS 33.222]。TLS在第14章中更透彻的解释。

 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
本文内容来自下面的著作，如果读者对本文内容感兴趣，请购买正版原著书籍阅读。
书名：THE IMS IP Multimedia Concepts and Services in the Mobile Domain
出版社：John wiley & Sons, Ltd

本译文内容未经作者许可，不得用于商业用途。