图1 IMS安全体系结构图
图1显示了5个不同的安全层面,它们将用于IMS安全保护中不同的需求,并分别被标注为(1)、(2)、(3)、(4)和(5)。
(1)提供用户和网络之间的双向身份认证。HSS委托S-CSCF执行用户认证,认证基于保存在HSS中的密钥和函数。
(2)为UE和P-CSCF间的通信提供一个安全连接,用以保护Gm参考点的安全。其中,包括加密和完整性保护。
(3)提供网络域内CSCF和HSS之间的安全。
(4)为不同网络间的CSCF提供安全。
(5)为网络内部的CSCF提供安全。
对于接入部分而言,UE和P-CSCF之间涉及到接入安全与身份认证。IMSAKA实现了UE与网络的双向认证功能;UE与P-CSCF之间协商SA(SecurityAssociation,安全联盟),并通过IPSec提供了接入安全保护。
核心网部分引入了安全域的概念。安全域是由某个单独机构所管理的网络,在同一安全域内的网元具有相同的安全级别并享有特定的安全服务。特别指出,某个运营商自己的网络就可以作为一个安全域,虽然这个网络可能包含多个独立的子网。网络域内部的实体和网络域之间都可以使用IPSec来提供安全保护。
4、IMS安全参数
IMS网络的安全完全是基于用户的私有身份以及存在于卡上的密钥,IMS定义了自己的ISIM卡,类似于UMTS的USIM卡,里面存储着IMS相关的安全数据和算法。ISIM存在于UICC芯片上,和USIM不共享安全函数。目前标准中定义的ISIM主要包含以下参数:
(1)IMPI:IM个人身份信息。
(2)IMPU:一个或多个IM公开身份。
(3)用户所属网络的域名。
(4)IMS域内的SQN序列号。
(5)认证密钥。
在IMS网络中,只有ISIM和HSS共享这些秘密参数和算法,其他的任何网络实体都不知道密钥和私有身份IMPI。以下介绍的认证、加密和完整性保护等都是基于这些参数。
5、IMS接入网安全机制
5.1客户和网络的双向身份认证
在归属网络中,HSS上存储了每个IM客户相对应的客户描述(Profile)。这个客户描述包含了客户的信息,并且这些信息不能够泻露给外部。在注册过程中,I-CSCF将给用户分配一个S-CSCF,客户描述将从HSS下载到S-CSCF上。当一个客户请求接入IMS网络时,S-CSCF将对客户描述和客户接入请求进行匹配性检查以确定是否允许客户继续请求接入,亦即归属控制(IM业务的认证)。
对于IM业务,在允许接入IM业务前,移动设备和IMS间需要建立一个新的SA(安全联盟),主要是为双方协商使用什么样的安全协议来进行通信保护,即采用什么安全算法来进行加密及完整化保护等。
IMS中的双向认证机制采用UMTSAKA。它是一个Challenge-Response协议,由归属网的认证中心(AuC)发起Challenge。归属网将一个包含Challenge的五元组传送到服务网。这个五元组包含期望的ResponseXRES和一个消息认证码MAC。服务网比较UE的Response和XRES,如果匹配则UE通过了网络的认证。UE计算一个XMAC,并且与收到的MAC比较,如果匹配,则服务网通过了UE的认证。这样,UE与网络之间就完成了双向的身份认证。
