安全机制协商

最新推荐文章于 2021-12-01 08:57:46 发布
最新推荐文章于 2021-12-01 08:57:46 发布
阅读量5.1k 收藏 11
点赞数 4
分类专栏: IMS技术IAD终端实现分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liujianfeng1984/article/details/35248935
版权

安全机制协商

一、初始注册的协商处理

当前IMS的唯一安全机制是IPSec,但考虑为了以后向后兼容性问题,因此设计了SIP安全机制协定,以使UEP-CSCF间可以协商和采用一个共同的安全机制。

 

 

1UE初始Register请求协带安全机制协定有关的消息头。

REGISTERsip:ue@ims.test SIP/2.0

Require:sec-agree

Proxy- Require:sec-agree

Security-Client:ipsec-3gpp;alg=hmac-sha-1-96;spi-c=23456789;spi-s=12345678;port-c=2468;port-s=1357

 

  • Proxy-Require头域包含sec-agree,它指示下一跳代理必须支持SIP安全协定过程才能进一步处理本请求。

  • Require头域也包含sec-agree,和Proxy-Require头域类似也是用于信令扩冲,但这个头域作用于远端UE(而非代理),主要防止这个请求没有经过P-CSCF代理,而直接发往目的地S-CSCF,而S-CSCF不检查Proxy-Require值,导致安全机制无法协商完成。

  • Security-Client头域将所支持的所有安全机制列表发送给P-CSCF,其中参数包括:

    Alg:用于IPsec加密所使用的算法

    Port-c Port-S:用于UE侧的IPSec SA所使用的受保护客户端端口和受保护的服务端口

    SPI:用于受保护的客户端安全参数索引、受保护的服务端安全参数索引。

     

    2P-CSCF转发注册请求给S-CSCF

    由于安全机制是建立在UEP-CSCF之间的,所以P-CSCF在转发注册请求时,会删除所有和安全协商有关的字段。

 

3P-CSCF转发401响应给UE

当接收到来自S-CSCF对注册401响应后,P-CSCFSecurity-Server消息头中包含自身所支持的安全机制列表。

 

SIP/2.0 401 Unauthorized

Security-Server : ipsec-3gpp;alg=hmac-sha-1-96;spi-c=98765432;spi-s=87654321;port-c=8642;port-s=7531

 

当前P-CSCFUE回应,他也支持IPSec安全机制,同时同样协带关于SPI和受保护的客户端和服务端端口等与IPSec有关的信息。

 

4UE发起第二个Register消息

在接收到401响应后,UE就可以建立IPSec SA了。当这完成之后,它可以使用已经建立起来的SA来发送第二个Register请求。

 

REGISTER sip:ue@ims.test SIP/2.0

Require: sec-agree

Proxy- Require: sec-agree

Security-Client:ipsec-3gpp;alg=hmac-sha-1-96;spi-c=23456789;spi-s=12345678;port-c=2468;port-s=1357

Security-Verity: :ipsec-3gpp;alg=hmac-sha-1-96;spi-c=98765432;spi-s=87654321;port-c=8642;port-s=7531

 

Security-Verity头域的值是从P-CSCF应答消息中Security-Server头域复制过来的,而Security-Client头域的值仍为第一个Register消息时使用的值。

 

5P-CSCF转发第二次注册请求给S-CSCF

P-CSCF将会比较初始和第二个Register请求中的两个Security-Client头域,看它们是否匹配。它还会比较它所发送的401响应中的Security-Server头域是否与它收到的第二个Register请求中的Security-Verity头域一致。

 

在进一步转发这个Register请求之前,P-CSCFSecurity-ClientSecurity-Verity从消息头中删除。

二、注册刷新的协商处理

在每次重注册过程中,S-CSCF都可以决定对UE进行重新认证。通过重新认证,它强制UEP-CSCF之间必须重新建立一组新的IPSec SA,因为这些IPSec SA所依赖的IK在每次重认证过程中已经改变。

 

  1. UE发起重注册请求

    REGISTERsip:ue@ims.test SIP/2.0

    Require:sec-agree

    Proxy- Require:sec-agree

    Security-Client:ipsec-3gpp;alg=hmac-sha-1-96;spi-c=23456790;spi-s=12345688;port-c=2468;port-s=1359

Security-Verity::ipsec-3gpp;alg=hmac-sha-1-96;spi-c=98765432;spi-s=87654321;port-c=8642;port-s=7531

 

注意这里在进行重新协商SA时,仅修改了SPI-CSPI-SPORT-C,没有修改PORT-S,这是因为受保护的服务端口如果发生改变,将产生很多问题,比如UE需要对所有已建立的对话发送reinvite,因为联系它的服务端口已经改变。

 

Security-Verity头域的值没有改变,为最后一次收到Security-Server头域值的复制。

 

2P-CSCF转发注册请求给S-CSCF

由于安全机制是建立在UEP-CSCF之间的,所以P-CSCF在转发注册请求时,会删除所有和安全协商有关的字段。

 

3P-CSCF转发401响应给UE

当接收到来自S-CSCF对注册401响应后,P-CSCF在这个响应中添加新的Security-Server消息头,提供新的受保护客户端口及SPI参数索引。

 

注意这里没有修改PORT-S,这是因为如果受保护的服务端口被修改会带来很多问题,比如:P-CSCF就不得不在旧的受保护服务端口上接收来自UE对已建立对话的所有后续事务请求,因为SIP不能对已建立的对话变更路由信息。

 

SIP/2.0 401Unauthorized

Security-Server: ipsec-3gpp;alg=hmac-sha-1-96;spi-c=98765457;spi-s=87654333;port-c=8656;port-s=7531

 

4UE发起第二个Register消息

在接收到401响应后,UE就建立了新的IPSec SA。当这完成之后,它可以使用已经建立起来的新的SA来发送第二个Register请求。

 

REGISTERsip:ue@ims.test SIP/2.0

Require:sec-agree

Proxy- Require:sec-agree

Security-Client:ipsec-3gpp;alg=hmac-sha-1-96;spi-c=23456790;spi-s=12345688;port-c=2468;port-s=1359

Security-Verity: : ipsec-3gpp;alg=hmac-sha-1-96;spi-c=98765457;spi-s=87654333;port-c=8656;port-s=7531

 

与初始注册过程一样,协带新的Security-Client头域,以及把从P-CSCF应答消息中Security-Server头域值复制到Security-Verity头域。

 

参考资料

《中国电信IMS网络SIP协议总体技术要求》

IMS-移动领域的IP多媒体概念和服务》

技术人生LJF
关注
  • 4
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
UE attach和IMS register流程
pdk1986的专栏
07-27 2721
UE注册和IMS注册
SpringSecurity客户端1的配置
makaixuan_的博客
08-23 297
⑤:客户端认证URL:user-authorization-uri: http://localhost:8080/oauth/authorize。⑥:授权Token令牌URL:access-token-uri: http://localhost:8080/oauth/token。④:客户端认证密码:client-secret: 任意。③:客户端认证ID:client-id:任意。username:admin(暂时不要)password:1234(暂时不要)①:端口号指定: port: 8081。
移动网优大神VoLTE学习笔记(三):注册信令流程
爆椒火龙果的博客
07-16 7141
文/张阳,本文来源于微信公众号:网优小谈(wireless_talk) 对于一个网络工程师而言,解读电信网络的信令是分析定位网络问题的有效手段之一。所谓兵马未动,粮草先行,网络信令就是先于业务流程的“粮草”,当信令流程先打通时,才能保障后续业务流程的通畅与质量。网络信令不仅是UE与网络信息交互的基础,同时也是各个网络节点之间对话的“标准语言”。对于IMS子系统的信令也是同样的道理,因此熟悉一些基本流程的信令对于网络优化的排障、分析工作不无裨益。 在IMS子系统,只存在一种信令流程控制协议,就.
IMS/SIP - 如何理解PRACK消息?
yu_yuan_hong的专栏
10-13 9623
我们先来看看协议里对PRACK的解释:4.1.13 PRACK The PRACK [28] method is used to acknowledge receipt of reliably transported provisional responses (1xx). The reliability of 2xx, 3xx, 4xx
彻底禁止Microsoft Security Client OOBE 程序错误解决办法 (关闭Windows Defender)
骚年还在等什么,奋斗吧
07-10 5798
照着之前的方法试了几次,
lte安全机制.pdf
03-03
【LTE/SAE安全机制详解】 LTE(Long Term Evolution)是3GPP为解决传统3G网络的问题并适应高速数据传输需求而提出的一种4G移动通信标准。它与SAE(System Architecture Evolution)一起,旨在提供更高的数据速率、...
面向B5G网络的高效切换认证与安全密钥更新机制.docx
05-29
### 面向B5G网络的高效切换认证与安全密钥更新机制 #### 引言 随着3GPP R-16版本机制的冻结以及R-17版本的推进,全球范围内加速了5G网络的建设和应用。5G网络凭借其高速率、大容量、低时延等特点,为增强移动宽带...
基于安全协商的DDS安全通信间件设计.docx
06-17
为了减少安全协商过程对性能的影响,本文提出了一种基于DDS发现协议的安全协商机制。具体来说,该机制安全协商过程与DDS的发现机制紧密结合。在DDS发现过程,不仅会完成参与者之间的互相发现和主题匹配,还会...
私募基金财产安全制度和纠纷解决机制.docx
02-27
深圳XX基金管理有限公司的财产安全制度和纠纷解决机制涵盖了多个方面,旨在遵循相关法律法规,如《华人民共和国证券投资基金法》、《私募投资基金监督管理暂行办法》和《私募投资基金管理人内部控制指引》。...
私募基金财产安全制度和纠纷解决机制.pdf
03-11
私募基金财产安全制度和纠纷解决机制是私募基金行业的重要组成部分,旨在保障投资者的权益,规范资产管理,防范经营风险。以下是对这些条款的详细解读: 1. **财产隔离**:私募基金财产应与基金管理公司的自有资产...
客户端错误应答4XX
至虛極,守靜篤
04-07 9770
服务端或UAS使用这类应答来说明所收到的请求是无法完成的。特定的客户端错误应答,或某些特定的头域,可以向UAC说明错误的性质以及应该如何重新格式化请求。UAC如果没有基于应答修改请求消息,就不应该重发请求。但是,同一请求可以发给不同的地方继续尝试。代理分支处理时收到4xx应答不会终止搜索。通常,客户端错误应答需要用户干预,才能生成新的请求。 400 Bad Request 说明服务端不能理解请求消息。比如说,请求缺少诸如To, From, Call-ID, 或 C...
SIP参考大全
810364804
03-19 734
Description: Protocol suite: TCP/IP. Protocol type: Application layer protocol. Multicast addresses: 224.0.1.75 (all servers). Ports: 5060 (SCTP, TCP, UDP) server default. 5061 (TL...
VoLTE 信令分析手册
达帮主
01-23 1万+
1 初始注册 1) VoLTE UE 在 LTE 网络内发起 Initial attach 流程,建立数据 APN 的 PDN connection,相应的 default EPS bearer 为 QCI9/8(由 HSS 上用户签约数据决定); 当核心网也支持 VoLTE 时,MME 会在 Attach 过程告知 UE 网络侧支持 VoLTE。 2) VoLTE UE 发起到 IMS APN 的 PDN connection 建立流程,相应的缺省承载为 QCI5;在该过 程,获取 IMS .
SIP扩展与相关RFC介绍
石头
09-15 905
SIP扩展综述    SIP扩展可分成几个类型: SIP能力的某些欠缺;业务能力增强,如IM、REFER;安全性、Qos能力增强;SIP适用于传统电信网络应用模型的能力,包括IMS专用扩展; 事件通知 - RFC3265    增加了消息SUBSCRIBE、NOT
04 VoLTE - Signaling - IMS Client Registration
NGC 6786
04-10 2222
IMS Client Registration过程主要分为两个部分 发现 P-CSCFIMS 注册过程 P-CSCF Discovery Overview P-CSCF是通向IMS的网关,它是UE的代理。 P-CSCF的信息: P-CSCF IP AddressP-CSCF server portP-CSCF transport pro
07 VoLTE - Signaling - IMS Client Deregistration
NGC 6786
04-14 1365
触发IMS Deregistration的情形 UE触发 UE power offUE LTE RAT is disabled 网络触发 网络将UE从EPC去附着 Service 触发 LTE/IMS注册超时IMS注册失败达到最大次数 IMS Deregistration的过程 1)  UE释放与
spring security 多个client id_spring-security 理解 笔记 介绍以及使用
weixin_42681774的博客
01-25 1911
本人经过2周的学习,成功搭建了认证服务器,资源服务器和客户端 。下面是本人对 oauth2的理解,以及spring-security的使用,如果理解错误的地方,还望指正。现在代码有点凌乱,过段时间会放到github上面的,本人会在代码添加详细注释,供学习交流使用理解1.认证服务器  如抖音可以选择QQ或者微信登录,此时QQ或者微信就是认证服务器  1.认证::用户认证和客户端认证,只要用户或者客...
sip加密机制
放飞自己
12-24 7796
转载自:http://blog.sina.com.cn/s/blog_737adf5301013rb7.html 1、加密和解密 加密系统的组成: (1)加密前的报文——明文 (2)加密后的报文——密文 (3)加密解密算法 (4)用于加密和解密的钥匙   2、关于密钥 要想加密必须使用密钥,他是将信息内容变为内容的工具。它可能是字符串或者数字或者两者的混合。 密码算
SIP协议/框架
热门推荐
hanyingzhong的专栏
12-01 1万+
Service Creation Environment (SCE ) for SIPApplications I hoped of making a SIP application Development environment a year back and worked towards it earnestly . Sadly I wasn’t able to complete the job yet I have decided to share a few things about it he.
基于安全协商的dds安全通信间件设计.docx
最新发布
05-14
本文介绍的是一种基于安全协商的DDS安全通信间件设计。DDS是分布式数据服务的英文缩写,是一种通过网络连接的数据分发系统。DDS的安全通信对于网络安全具有重要的意义,因此设计一种基于安全协商的DDS安全通信间件具有实际意义。 该间件设计的主要目的是为了实现基于DDS的安全通信。首先,基于传输层安全协议(TLS)进行通信的过程必须得到完善。因此,TLS客户端和服务器端需要配置一些参数,比如加密算法、证书等,从而确保客户端和服务器端能够互相认证,通信过程需要进行加密和身份验证。 其次,为了保证通信过程的数据安全性,该间件设计使用了DDS加密插件,实现了数据的加密和解密。DDS加密插件主要有两个部分,一个部分是消息加密处理程序,负责在发布和订阅过程对消息进行加密和解密操作;另一个部分是密钥管理程序,负责生成、存储和传输密钥。 最后,为了方便用户的使用和管理,该间件设计还集成了DDS权限管理模块。DDS权限管理模块主要是通过授权机制,实现了权限的控制和管理。用户在使用时可以设置相应的权限,从而确保数据的安全和保密性。 总之,该间件设计完善了基于DDS的安全通信机制,涵盖了TLS客户端和服务器端、DDS加密插件和DDS权限管理模块等多个方面。对于网络安全和数据保护具有重要的意义。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值