基于AKA的IMS接入认证机制

本文深入探讨了基于AKA的IMS接入认证机制,该机制是3GPP标准的重要组成部分,用于确保用户和网络的双向认证。通过IMS注册过程,AKA机制实现了用户鉴权、密钥协商,保障了通信的安全性。文章详细阐述了AKA的实现流程,包括用户认证网络、网络认证用户身份、机密性和完整性保护等方面,同时也分析了该机制的安全隐患及可能的解决方案,强调了IMS安全接入对于整体网络可靠性的重要性。
摘要由CSDN通过智能技术生成

基于AKAIMS接入认证机制

IP多媒体子系统(IMS)作为3G网络的核心控制平台,其安全问题正面临着严峻的挑战。IMS的接入认证机制的实现作为整个IMS安全方案实施的第一步,是保证IMS系统安全的关键。基于认证和密钥协商(AKA)IMS接入认证机制是由因特网工程任务组(IETF)制定,并被3GPP采用,广泛应用于 3G 无线网络的鉴权机制。此机制基于提问/回答模式实现对用户的认证和会话密钥的分发,由携带AKA参数的SIP消息在用户设备(UE)IMS网络认证实体之间进行交互,按照AKA机制进行传输和协商,从而实现用户和网络之间的双向认证,并协商出后续通信所需的安全性密钥对。

移动通信的安全问题正越来越多地受到关注。 2G 网络主要传输语音业务,采用的是单向的用户认证方案,即网络能够验证用户身份是否合法,而用户无法确认其所连接的网络服务是否可靠。然而, 3G 网络将会演变成一个覆盖全球的集有线、蜂窝和卫星通信于一体的全网,不仅支持传统的语音和数据业务,还支持交互式和分布式的业务,如多媒体业务、电子商务、网上银行等。随着各种信息服务的蓬勃开展,各种机密性、敏感性、隐私性的数据的传输会大大增加,这对网络的安全性提出了更高的要求。

    IP多媒体子系统(IMS)3G 网络的核心控制平台,具有基于会话初始协议(SIP)的全IP架构,IP协议固有的缺陷和安全漏洞使IMS很容易遭受攻击。另外,IMS对开放性接入的支持也对其网络安全提出挑战。如何保证用户安全地接入网络,保证IMS网络的可靠部署进而走向商用,成为了重中之重的问题。因此,研究IMS网络的安全接入认证机制有着十分重要的现实意义。

    3GPP已经成立了专门的工作组SAWG3负责 3G 网络安全方面的标准化工作,已经发布的IMS安全标准主要有:3GPPTS33.102: 3G 网络安全架构[1]3GPP TS33.203: IMS接入网络的安全机制[2]3GPP TS33.210: IMS核心网络的安全机制[3]

    1IMS的安全体系结构

    作为相对独立的安全体系,IMS要求所有的用户在使用IMS服务之前都必须进行鉴权(认证和授权),协商建立安全的接入通道。用户和网络实体之间以及网络实体之间的通信必须时刻处于安全保护之中。IMS安全体系的整体思想是使用因特网协议安全(IPSec)的安全特性为IMS系统提供安全保护。IMS安全体系架构分为5个安全层面。

    IMS安全架构的5个安全层面应用于IMS安全保护中不同的需求:

    安全层面1提供用户和网络之间的双向身份认证。归属用户服务器(HSS)负责产生认证数据,并且委托服务呼叫会话控制功能(S-CSCF)执行用户认证的操作。认证基于由IP多媒体服务身份模块(ISIM)HSS共享的密钥和算法。

    安全层面2用户设备(UE)和代理呼叫会话控制功能(P-CSCF)之间的通信提供安全关联,包括加密和完整性保护,并通过IPSec提供接入安全保护。

    安全层面3提供网络域内呼叫会话控制功能(CSCF)HSS之间的安全关联。

    安全层面4不同网络间的CSCF提供安全保护,适合于P-CSCF位于访问网络的情况。

    安全层面5网络内部的不同CSCF间提供安全保护,适合于P-CSCF位于归属网络的情况。

安全层面1和安全层面2属于IMS接入安全机制IMS的接入安全机制承担着两大任务:一是对接入用户的鉴权;二是在鉴权结束之后,在UEP-CSCF之间建立IPSec安全关联(IPSecSA),为后续SIP信令的交互提供安全保护。本文主要对基于认证和密钥协商(AKA)机制的IMS安全接入认证机制进行研究。

IMS安全参数

IMS网络的安全完全是基于用户的私有身份以及存在于卡上的密钥,IMS定义了自己的ISIM卡,类似于UMTSUSIM卡,里面存储着IMS相关的安全数据和算法。ISIM存在于UICC芯片上,和USIM不共享安全函数。目前标准中定义的ISIM主要包含以下参数:

1IMPIIM个人身份信息。

2IMPU:一个或多个IM公开身份。

3)用户所属网络的域名。

4IMS域内的SQN序列号。

5)认证密钥。

IMS网络中,只有ISIMHSS共享这些秘密参数和算法,其他的任何网络实体都不知道密钥和私有身份IMPI。以下介绍的认证、加密和完整性保护等都是基于这些参数。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值