IMS的AKA鉴权机制
摘要:IP多媒体子系统(IMS)作为3G网络的核心控制平台,其安全问题正面临着严峻的挑战。IMS的接入认证机制的实现作为整个IMS安全方案实施的第一步,是保证IMS系统安全的关键。基于认证和密钥协商(AKA)的IMS接入认证机制是由因特网工程任务组(IETF)制定,并被3GPP采用,广泛应用于3G无线网络的鉴权机制。此机制基于“提问/回答”模式实现对用户的认证和会话密钥的分发,由携带AKA参数的SIP消息在用户设备(UE)和IMS网络认证实体之间进行交互,按照AKA机制进行传输和协商,从而实现用户和网络之间的双向认证,并协商出后续通信所需的安全性密钥对。
关键词:IP多媒体子系统;认证和密钥协商;会话初始协议;接入认证机制
Abstract:IPMultimediaSubsystem(IMS) has been accepted as the core control platform of the 3G network. Its security problems are facing severe challenges now. The implementation of IMS access authentication mechanism, which is considered to be the first step of the whole IMS security plan, is the key to the IMS system security access. The Authentication and Key Agreement (AKA)-based IMS access authentication mechanism is developed by the Internet Engineering Task Force (IETF) organization and adopted by the 3GPP organization, and is widely used in 3G wireless network authentication mechanism. It is based on the “challenge/response” mode to achieve the bidirectional authentication and session key distribution. The Session Initiation Protocol (SIP) messages, which are carried with AKA parameters, are transmitted through the User Equipment (UE) and IMS core functional entities according to the AKA mechanism for consultation, thus realizing the two-way authentication between user and network, as well as the security key pair for later communications.
Keywords:IMS;AKA;SIP; access authentication mechanism
移动通信的安全问题正越来越多地受到关注。2G网络主要传输语音业务,采用的是单向的用户认证方案,即网络能够验证用户身份是否合法,而用户无法确认其所连接的网络服务是否可靠。然而,3G网络将会演变成一个覆盖全球的集有线、蜂窝和卫星通信于一体的全网,不仅支持传统的语音和数据业务,还支持交互式和分布式的业务,如多媒体业务、电
子商务、网上银行等。随着各种信息服务的蓬勃开展,各种机密性、敏感性、隐私性的数据的传输会大大增加,这对网络的安全性提出了更高的要求。
IP多媒体子系统(IMS)是3G网络的核心控制平台,具有基于会话初始协议(SIP)的全IP 架构,IP协议固有的缺陷和安全漏洞使IMS很容易遭受攻击。另外,IMS对开放性接入的支持也对其网络安全提出挑战。如何保证用户安全地接入网络,保证IMS网络的可靠部署进而走向商用,成为了重中之重的问题。因此,研究IMS网络的安全接入认证机制有着十分重要的现实意义。
3GPP已经成立了专门的工作组SA WG3负责3G网络安全方面的标准化工作,已经发布的IMS安全标准主要有:3GPP TS33.102: 3G网络安全架构[1]、3GPP TS33.203: IMS接入网络的安全机制[2]、3GPP TS33.210: IMS核心网络的安全机制[3]。
1 IMS的安全体系结构
作为相对独立的安全体系,IMS要求所有的用户在使用IMS服务之前都必须进行鉴权(认证和授权),协商建立安全的接入通道。用户和网络实体之间以及网络实体之间的通信必须时刻处于安全保护之中。IMS安全体系的整体思想是使用因特网协议安全(IPSec)的安全特性为IMS系统提供安全保护。IMS安全体系架构[2] 如图1所示,分为5个安全层面。
IMS安全架构的5个安全层面应用于IMS安全保护中不同的需求:
安全层面1提供用户和网络之间的双向身份认证。归属用户服务器(HSS)负责产生认证数据,并且委托服务呼叫会话控制功能(S-CSCF)执行用户认证的操作。认证基于由IP多媒体服务身份模块(ISIM)和HSS共享的密钥和算法。
安全层面2为用户设备(UE)和代理呼叫会话控制功能(P-CSCF)之间的通信提供安全关联,包括加密和完整性保护,并通过IPSec提供接入安全保护。
安全层面3提供网络域内呼叫会话控制功能(CSCF)和HSS之间的安全关联。
安全层面4为不同网络间的CSCF提供安全保护,适合于P-CSCF位于访问网络的情况。
安全层面5在网络内部的不同CSCF间提供安全保护,适合于P-CSCF位于归属网络的情况。
图1中的安全层面1和安全层面2属于IMS接入安全机制。IMS的接入安全机制承担着两大任务:一是对接入用户的鉴权;二是在鉴权结束之后,在UE和P-CSCF之间建立IPSec 安全关联(IPSec SA),为后续SIP信令的交互提供安全保护。本文主要对基于认证和密钥协商(AKA)机制的IMS安全接入认证机制进行研究。
2 IMS的接入安全机制
2.1IMSAKA机制概述
AKA机制是由因特网工程任务组(IETF)制定、并被3GPP采用,广泛应用于3G无线网络的鉴权机制。IMS的鉴权机制沿用了这种机制的原理和核心算法,故称之为IMS AKA机制[4]。
IMS AKA机制是对HTTP摘要认证机制[5]的扩展,主要用于用户的认证和会话密钥的分发,它的实现基于一个长期共享密钥(Key)和一个序列号(SQN),它们仅在HSS的认证中心模块(AuC)和UE的ISIM中可见。由于HSS不与UE直接通信,而是由S-CSCF执行认证过程,因此它们不会将真实的Key暴露给外界。
IMS AKA机制使用“提问/回答”的模式实现用户和网络之间的双向认证,并通过协商产生的密码对(CK, IK)作为IPSec SA所需的密钥,为后续的通信提供安全保护。IMS AKA 机制是基于SIP协议来实现的。AKA与SIP的结合在IETF RFC3310中定义。在IMS的注册过程中,携带AKA参数的SIP信令在UE和IMS网络认证实体之间进行交互,按照AKA机制来传输和协商AKA参数,从而实现接入认证和密钥协商的过程。
2.2IMS接入认证的实现
通过IMS注册过程实现基于AKA机制的IMS接入认证的具体流程[6] 如图2所示。
(1) 用户发起注册请求
用户在使用IMS服务之前必须向IMS网络进行注册,注册的目的是将用户的私有身份(IMPI)与用户想要注册的公开身份(IMPU)绑定。每个用户只有一个IMPI,而可拥有多个IMPU,每个IMPU对应相应的服务配置。
UE在初始的注册请求SIP REGISTER消息中发送它的IMPI,该IMPI保存在ISIM应用中,只用于认证和注册过程。这个初始的REGISTER消息的主要头域和参数如图3所示。
由于3GPP AKA被映射到HTTP摘要机制,因此认证方案的值被设置为“Digest”,而“response”和“nonce”域的值在初始注册请求消息中都设置为空。P-CSCF将这个REGISTER消息转发给I-CSCF,I-CSCF联系HSS,以选择为用户提供服务的S-CSCF,然后将REGISTER请求消息转发给选定的S-CSCF。当S-CSCF收到REGISTER消息后,如果发现该用户还没有被认证,则S-CSCF向HSS发送多媒体认证请求(MAR)消息[7]以请求认证数据。
(2) 计算认证向量
HSS收到MAR消息之后,运行AKA算法,为该用户计算认证向量(AV),计算过程如下:HSS中的AuC运行AKA机制,首先产生最新的序列号SQN和一个不可预测的随机提问数(RAND)。然后HSS将根据它与该UE之间的共享密钥Key,以及刚刚产生的SQN和RAND来计算其他的参数,其原理如图4所示,AKA参数核心算法由3GPP TS35.206[8]提供。
其中,各个参数的计算公式如下( ?茌表示按位异或,|| 表示串接):
计算消息认证码(MAC):MAC=F1K(SQN|| RAND || AMF) ;
计算期望的认证应答(XRES):XRES=F2K(RAND);
计算保密性密钥(CK):CK=F3K(RAND);
计算完整性密钥(IK):IK=F4K(RAND);
匿名密钥(AK):AK=F5K(RAND);
网络认证令牌(AUTN):AUTN=SQN?茌AK|| AMF || MAC;
AV:AV=RAND||XRES||CK||IK||AUTN;
AK用来隐藏SQN,因为SQN可能会暴露用户的位置信息。如果不需要隐藏SQN,那么AK 被设置为0。
(3) 网络向用户提问
HSS通过上述的计算过程得到了一组AV,其中每个AV都是一个五元组(RAND, XRES, AUTN, CK, IK),该认证五元组并不包括Key和SQN本身。然后,HSS将这些认证数据通过多媒体
认证应答(MAA)消息发送给S-CSCF。
S-CSCF从HSS得到所需的安全相关的参数,即所谓的AV。这些参数使得S-CSCF可以在不需要知道共享密钥Key和SQN的情况下就可以执行认证过程。
S-CSCF将剔除XRES的AV包含在401 Unauthorized应答消息的WWW-Authenticate头
域中向用户提问,401应答主要的头域和字段如图5所示。
其中,在nonce字段填入了将RAND和AUTN参数串接后进行Base64编码后的字符串。在ik和ck字段加入完整性密钥和保密性密钥。在algorithm字段放入值“AKAv1-MD5”,表示使用的是3GPP AKA认证机制。
当接收到S-CSCF返回的401应答消息后,P-CSCF在将其发往UE之前,将其中的完整性密钥IK和保密性密钥CK保存下来,并将它们从AV中删除掉(IK,CK这两个参数不能暴露,网络认证通过后,UE的ISIM会根据收到的AV,重新计算出来)。
(4) 用户认证网络身份
接收到网络返回的401应答消息后,UE将接收到的AKA参数传递给ISIM应用,由ISIM 模块运行AKA算法,执行以下工作:
首先基于ISIM中存储的共享密钥Key来校验网络认证令牌AUTN,如果AUTN校验成功,网络就被认证通过(即确认认证数据是从归属网络中发来的)。ISIM计算AKA参数的过程如图6所示。UE中的认证服务模块通过随机数RAND计算出匿名密钥AK,然后使用匿名密钥AK来恢复序列号SQN,接着通过得到的序列号SQN、RAND和ISIM中保存的认证管理域AMF 来计算期望的消息认证码XMAC。将计算得到的期望的消息认证码XMAC和从网络认证令牌AUTN中取得的由HSS计算的消息认证码MAC相比较。如果这两个参数一致,那么用户认证网络身份成功,接着进行下面的步骤;如果不一致,则用户认证网络身份失败,UE向网络发送不携带response字段的REGISTER消息,以此通知网络提问无效。
如果用户认证网络身份成功,UE将接着检查序列号SQN是否在正确的范围之内(比较这次提问的序列号SQN是否比上次提问时使用的SQNi大)。如果SQN在正确的范围之内(即SQN>SQNi,将SQNi更新为SQN,并保存,以备下次使用),UE将会计算认证应答(RES)。如果SQN不大于SQNi,则认为本次提问的AV是不新鲜的,UE与网络失同步,则UE计算重同步参数AUTS,使用携带该重同步参数的REGISTER消息重新发起注册请求。
如果UE确认SQN在正确的范围之内,则接着计算保密性密钥CK和完整性密钥IK。
至此,UE和S-CSCF都知道了密钥对CK和IK,可以用于进行下面的数据加密。UE将会保存CK和IK,直到下一次成功执行了AKA过程。
最后,UE在发往S-CSCF的第二个REGISTER请求中返回认证挑战应答RES。
(5) 网络认证用户身份
P-CSCF将这个携带认证应答的REGISTER消息转发给I-CSCF,I-CSCF重新查询HSS以发现S-CSCF,然后将REGISTER消息转发给S-CSCF。当S-CSCF接收到REGISTER消息之后,进行解析并从认证头域Authorization中取出相应的参数:
如果Authorization头域中的response字段为空,再检查重同步参数字段auts是否为空:如果AUTS参数不为空,说明UE检查出了SQN同步失败,S-CSCF使用这个重同步参数AUTS重新向HSS请求认证数据,当下载认证数据成功后,再用新的认证向量重新向UE提问。如果AUTS参数也为空,说明S-CSCF的提问无效,S-CSCF选择下一个认证向量,重新用401消息进行提问。如果S-CSCF用完了所有的认证向量后,用户仍然无法确认网络身份,S-CSCF 认为本次认证失败,放弃本次认证过程,并发送403Forbidden消息通知用户。
如果Authorization头域中的response字段不为空,则S-CSCF取出其中的认证应答RES参数,并将其和保存在S-CSCF中的认证应答XRES相比较。如果一致,S-CSCF就认为用户回答提问正确,认证用户身份成功,允许用户接入网络,同时向UE回送200OK消息;如果不一致,S-CSCF就认为用户回答提问错误,认证用户身份失败,S-CSCF不允许用户接入网络,那么S-CSCF应该发送403Forbidden应答消息给UE,通知认证失败,并且放弃本次认证过程。
3 IMSAKA机制的安全性分析
3.1IMSAKA机制实现的安全能力
从上述对基于AKA的IMS接入认证机制的原理和实现过程的分析可以看出,IMS AKA机制实现了以下安全目标。
(1) 用户和网络之间的双向认证
S-CSCF对UE的认证是通过RES实现的:如果UE合法,它能够正确地计算出RES,且RES等于XRES;UE对S-CSCF的认证是通过MAC实现的:UE收到S-CSCF转发的MAC后,计算期望的消息认证码(XMAC),如果MAC和XMAC一致,则认证成功。
(2) UE和P-CSCF之间的密钥协商分配
P-CSCF收到的来自HSS的AV中包含了保密性密钥(CKHSS)和完整性密钥(IKHSS)。合法的用户在收到正确的RAND之后,能正确地产生CKUE和IKUE,且CKHSS等于CKUE,IKHSS 等于IKUE。CK和IK用于其后的保密通信,而CK和IK并没有在空中接口中传输,确保了密钥的安全性。
(3) UE与S-CSCF间密钥的新鲜性
由于每次通信前的认证选择了不同的AV,保证了每次通信采用的CK和IK都是由不同的RAND计算得到的。而每次使用的MAC是由不断递增的SQN作为输入变量之一,从而确保了密钥的新鲜性,有效地防止了重放攻击。
(4) 认证应答RES的安全
当UE计算出认证应答RES之后,使用名为“AKAv1-MD5”的摘要算法(实际上就是一个单向的哈希函数)来计算RES的摘要,然后将该摘要发送到S-CSCF。S-CSCF也使用同样的方法计算出期望的认证应答(XRES)的摘要值,通过比较这两个摘要值是否一致来认证用户的身份。通过这样的方法,即使攻击者窃听到RES的值,但是由于摘要算法是单向的哈希函数,根本无法反推出RES的值,因此不能危害网络安全。
由上面的分析,可以看到IMS AKA机制具有相当强大的安全能力来实现用户和服务网络之间的双向认证以及密钥协商,并且能够保证协商的保密性密钥和完整性密钥的新鲜性。因此,AKA机制在3G网络的接入认证机制的实现中得到了相当广泛的应用。
3.2IMSAKA机制的安全隐患及解决方案
在实际应用中,IMS AKA机制的一些安全漏洞渐渐暴露出来。下面将对IMS AKA机制在注册过程中存在的一些安全隐患及现有的解决方案进行介绍。
(1) 虽然UE和P-CSCF之间可以通过AKA机制协商的安全性密钥对SIP信令进行加密性和完整性保护,但是初始注册请求REGISTER消息却是在安全密钥尚未协商的时候发送的,故该消息没有受到任何安全保护而且是用明文发送的,攻击者可以轻而易举地获取用户的注册信息,从而造成用户隐私泄密。
SIP协议对此进行了安全扩展:对SIP消息取摘要值,并且由SIP消息携带这个摘要值一同发送。在接收端对收到的SIP消息计算摘要值,如果和原摘要值一致,说明这个SIP
消息没有被修改过,受到了完整性保护。虽然即便是这样,还是不能杜绝攻击者窃听SIP
消息,可是至少攻击者无法偷偷修改消息内容,这样对SIP消息的安全性能有一定程度的提高。
(2) 向IMS网络注册时,至少需要发送两次REGISTER请求,用户与网络之间的SIP交互过于繁琐,并且SIP消息携带的认证头域(如Authorization头域和WWW-Authenticate
头域)带有众多AKA参数,导致SIP消息长度大幅增加。由于网络带宽的限制,传输延迟将会十分明显,用户通过注册接入网络的耗时将会比较长,影响用户的使用感受。可以采用压缩SIP消息[9]的方法来在一定程度上改善服务质量,特别是在无线环境下能大大缩短呼叫建立的时间。
(3) 在基于AKA的接入认证过程中,UE并没有对IMS核心网络的接入点P-CSCF进行身份认证,会给攻击者提供冒充中间人实施攻击的机会。参考文献[10]中提出的基于传输层安全协议(TLS)的IMS接入认证机制能对这一缺陷进行改进,但也仅仅是在理论阶段,还没有接受实际应用的考证。
4 结束语
IMS作为下一代网络的发展方向,作为移动网络和固定网络的融合平台,为用户提供端到端的IP多媒体业务,这种基于SIP的全IP的开放网络特性给IMS网络的安全带来了极大的挑战。如何保证用户安全地接入网络是整个IMS安全方案实施的第一步,只有实现安全的接入认证机制,才能保证IMS网络的可靠部署,进而走向商用。
IMS AKA机制虽然被广泛地应用,但正如没有任何一种技术是十全十美的道理一样,IMS AKA机制本身也存在一些不太合理的地方,目前也有许多的组织和个人对IMS AKA机制提出了许多增强和完善的建议,但除了SIP的安全扩展机制以外,还没有哪一种改进方案被标准化采用。但无疑正是这种不断的推陈出新,使得网络的安全性越来越高。IMS AKA机制中仍有一些有待改进的开放性问题,希望在以后的研究工作中能对其进行改进:
(1) 通过使用序列号,用户可以保证认证信息(如RAND和AUTN)是没有被攻击者或者是被服务网络使用过的。服务网络通过检验用户认证应答RES来判断用户是否知道他和网络之间的共享密钥,以此来认证用户身份。然而,用户却仅仅只能检测出认证向量是否由归属网络产生,也就是说,用户不能判断收到的认证向量是否是他请求服务的服务网络所申请的,因为任何服务网络都可以向归属网络请求认证向量。这种安全漏洞也会给攻击者提供机会。
(2) SQN重同步的过程也并不很合理,因为只要UE检查出来SQN不在正常的范围之内,它就会发起重同步过程,而不关心SQN同步失败的真实原因。但是事实上即使序列号不在正确的范围内,也并不代表HSS中的计数器SQN_HN发生了同步失败,有可能是恶意的攻击者重放提问引起的。UE不关心真实的原因,不断进行重同步过程,这必然会加大服务网络和归属网络之间的通信负荷,严重延迟用户接入网络的时间,甚至最后无法接入网络,严重影响用户的使用感受。但是这个问题的改进可能要涉及到对IMS AKA机制的改进。本文主要研究安全接入认证机制,当实现用户的安全接入之后,如何建立IPSec SC的过程暂不涉及,将在以后的工作中进一步研究。
SensaphoneIMS-4000机房环境监控系统解决方案-广州置信机电教案资料
Sensaphone IMS-4000机房环境监控系统解决方案 广州置信机电科技有限公司 2008年1月
随着信息技术的发展和普及,计算机系统及通信设备数量与日俱增,规模越来越大,中心机房、计算机系统和通讯网络已成为各大单位业务管理的核心部分。为保证其安全正常运行,与之配套的机房动力系统、环境系统、消防系统、保安系统必须时时刻刻稳定协调工作。如果机房动力及环境设备出现故障,轻则影响电脑系统的运行,重则造成计算机和通信设备报废,使系统陷入瘫痪,后果不堪设想。因此对中心机房的动力及环境系统进行实时集中的监控极其必要。 随着计算机及网络设备的普及化,计算机及网络系统对企业的重要性愈来愈高,其配套的环境设备也日益增多。因此,机房的管理及监控是现代计算机及网络通信机房非常重要的一个环节。 IMS-4000是专为现代计算机及网络通信机房而设计的远程环境及网络监控报警系统。IMS-4000 除可监视机房内的环境参数外,更可监控网络上的IP设备。它可通过多种不同的通信方式发送报警信息。而且IMS-4000 已结合了网页服务器及电邮服务器的功能,用户可方便地在互联网或通过电子邮件得到机房的信息。 IMS-4000实现了机房集中分布式监控和智能化专家管理,在电信、金融、海关、税务、电力、公安、交通等许多行业的机房中得到良好的应用,其系统设计先进、运行稳定、操作方便获得用户一致好评。 1. 系统介绍 SensaphoneIMS-4000 远程环境与网络监控报警系统将改变计算机、网络机房的监控方式,包括环境条件和网络设备,系统将会随时告知机房状态,例如:温度、湿度、电压、漏水、服务器、UPS故障等。IMS 将及时地通知任何的被发现的问题,方式有:电话、传真机、传呼机、E-Mail等。主要功能: 1台IMS主机可扩展31个IMS副机。 每主机有8个传感器输入,以检测环境条件。 10 M网络端口与网络设备连接。 本地的配置RS-232 串联端口。 不间断的后备电池组。 噪音探测的麦克风。 允许机架、挂壁或桌面安装。 ConsoleView 软件设计,处理IMS系统。 1.1. 环境监控 IMS-4000可监控机房的各项环境参数,包括温度、湿度、烟雾报警、声音、漏水、门禁、红外线感应、电源及其它设备,如空调、UPS的报警等。IMS-4000更细微到检测机柜内、服务器、散热器或特定设备的温度,比监控空调设备或房间温度更准确。 1.2. IP网络设备监控与服务
《解决方案-中国移动CM-IMS 接入解决方案-小区类2021》
《解决方案-中国移动CM-IMS 接入解决方 案-小区类(xx0119)》 第一篇:解决方案-中国移动cm-ims接入解决方案-小区类(xx0119)中国移动cm-ims接入解决方案-宽带小区类 需求分析 xx年电信重组后,中国移动由于固网短板明显,因此中国移动希望通过引入ims实现固定话音接入和业务控制,提供多媒体类和融合类业务能力,为全业务运营尤其是政企客户的争夺奠定坚实的基础。 中国移动将在其固网和多媒体、流媒体网络的部署上,跨过传统固定软交换和传统iptv、会议电视方案,直接采用ims技术部署宽带固定语音、高清会议电视和imsbasediptv,一步到位地构建目标网络,实现网络融合。 中国移动早在几年前就开始了ims的研究,并在国际标准基础上创新性地提出cm-ims,cm-ims已经成为中国移动实现网络和业务融合的重要解决方案。中国移动希望通过将ims和移动互联网结合,为用户提供更加丰富的多媒体业务。cm-ims将ims网络和业务能力开放给互联网用户,并使其融入web2.0的生态环境,以提供通信网络与互联网的混搭应用,开拓新的业务领域,增加新的收入。一旦中国移动ims实现全国范围内部署,将成为全球最大规模的ims商用网络。 在小区接入方面,由于历史原因,中国电信和中国联通在该细分市场有较大优势,同时具有国内最大规模的pstn电话网。那么中国移动若想切入该市场,则中国移动给用户提供的通信体验必须有别于
传统的固化业务。 出于以上情况,迈普公司针对cm-ims部署环境中,宽带小区类这一细分市场,为中国移动提供专业的优质的ims接入解决方案,助力中国移动在家庭多媒体融合通信市场竞争中占取有力位置,成为ims运营市场领跑者。 方案介绍 图1cm-ims宽带小区接入网络拓扑 方案说明 随着ip技术的不断完善,与传统pstn电话网相比,voip在用户体验、融合能力、建设成本、运维管理等多方面都有着无法比拟的优势,尤其是面向未来的融合通信上更是传统pstn电话无法做到的。因此本文提出基于sip的中国移动cm-ims的小区语音接入方案。 在用户侧,对于老小区改造可以使用原有楼宇的布线系统,放置迈普ippbx设备连接住户放号,或者使用迈普ippbx设备替换原有传统pbx再连接住户进行放号。 对于新建小区,由于接入的终端多为模拟电话机,同样可以使用传统电话线布线方法,每户电话接入迈普ippbx。同时可以将ippbx 接入小区局域网络,为未来连接sip电话预留扩展能力,此时迈普语音设备角色由ippbx转化为sip控制服务器,从而为未来扩展业务内容提供良好的网络环境。 中国移动上联线路可以根据环境不同,可使用多种接入方式,但目前最常用的是直接通过ip线路连接中国移动城域网再接入移动ims
2G3G4G系统中鉴权与加密技术演进
2G/3G/4G系统鉴权与加密技术演进 学院:电子信息学院 班级:12通信B班 学生:周雪玲 许冠辉 黄立群 指导老师:卢晶琦 完成时间:2015.04.19
【摘要】 本文研究容主要是几大网络的安全机制。这项研究是颇具现实意义的,因为一个网络的安全性直接关系到用户和网络运营商本身的利益。保证合法的用户获取服务和网络正常的运营,保证用户的信息完整、可靠的传输,实现通信,要求有一套缜密的安全机制,这是对网络和服务的更高层次的要求,也是现如今颇受关注的话题。本文主要研究容是WCDMA、LTE 的安全机制,为了更好地了解WCDMA 的安全机制必须溯源到GSM的鉴权机制,从对比和演进的角度来看待这三种网络的安全机制的特点。 【关键词】GAM,3G,LTE,鉴权与加密
目录 1、概述 (4) 1.1移动通信系统中鉴权和加密产生的背景 (4) 2、通信的基本原理 (4) 2.1工作原理 (4) 2.2数学模型的建立 (5) 3、GSM系统的鉴权与 (6) 3.1 GSM系统中鉴权 (7) 3.2 GSM加解密 (9) 3.3 TMSI的具体更新过程 (10) 3.4 GSM安全性能分析 (11) 4、3G系统信息安全 (11) 4.1 WCDMA系统的鉴权和加密 (13) 4.2 CDMA-2000系统的鉴权和加密 (14) 5、4G系统信息安全 (16) 5.1 LTE系统网络架构 (16) 5.2 LTE_SAE网元功能介绍 (16) 5.2.1 UTRAN (17) 5.2.2 MME (17) 5.2.3 S-GW (18) 5.2.4 P-GW (18) 5.2.5 HSS (19) 5.3 LTE/SAE安全架构 (19) 5.4 LTE/SAE安全层次 (21) 5.5 LTE/SAE密钥架构 (22) 6、 LTE与2G/3G网络的兼容 (23) 7、结束语 (24) 参考文献 (25)
2G3G4G系统中鉴权与加密技术演进
2G3G4G系统中鉴权与加密 技术演进 -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
2G/3G/4G系统鉴权与加密技术演进 学院:电子信息学院 班级:12通信B班 学生姓名:周雪玲 许冠辉 黄立群 指导老师:卢晶琦 完成时间:2015.04.19
【摘要】 本文研究内容主要是几大网络的安全机制。这项研究是颇具现实意义的,因为一个网络的安全性直接关系到用户和网络运营商本身的利益。保证合法的用户获取服务和网络正常的运营,保证用户的信息完整、可靠的传输,实现保密通信,要求有一套缜密的安全机制,这是对网络和服务的更高层次的要求,也是现如今颇受关注的话题。本文主要研究内容是WCDMA、LTE 的安全机制,为了更好地了解WCDMA的安全机制必须溯源到GSM的鉴权机制,从对比和演进的角度来看待这三种网络的安全机制的特点。 【关键词】GAM,3G,LTE,鉴权与加密
目录 1、概述 (3) 1.1移动通信系统中鉴权和加密产生的背景 (3) 2、保密通信的基本原理 (3) 2.1工作原理 (3) 2.2数学模型的建立 (4) 3、GSM系统的鉴权与保密 (4) 3.1 GSM系统中鉴权 (5) 3.2 GSM加解密 (7) 3.3 TMSI的具体更新过程 (8) 3.4 GSM安全性能分析 (8) 4、3G系统信息安全 (8) 4.1 WCDMA系统的鉴权和加密 (10) 4.2 CDMA-2000系统的鉴权和加密 (10) 5、4G系统信息安全 (11) 5.1 LTE系统网络架构 (11) 5.2 LTE_SAE网元功能介绍 (12) 5.2.1 UTRAN (12) 5.2.2 MME (13) 5.2.3 S-GW (13) 5.2.4 P-GW (13) 5.2.5 HSS (13) 5.3 LTE/SAE安全架构 (14) 5.4 LTE/SAE安全层次 (15) 5.5 LTE/SAE密钥架构 (15) 6、 LTE与2G/3G网络的兼容 (16) 7、结束语 (17) 参考文献 (18)
IMS的AKA鉴权机制
摘要:IP多媒体子系统(IMS)作为3G网络的核心控制平台,其安全问题正面临着严峻的挑战。IMS的接入认证机制的实现作为整个IMS安全方案实施的第一步,是保证IMS系统安全的关键。基于认证和密钥协商(AKA)的IMS接入认证机制是由因特网工程任务组(IETF)制定,并被3GPP采用,广泛应用于3G无线网络的鉴权机制。此机制基于“提问/回答”模式实现对用户的认证和会话密钥的分发,由携带AKA参数的SIP消息在用户设备(UE)和IMS网络认证实体之间进行交互,按照AKA机制进行传输和协商,从而实现用户和网络之间的双向认证,并协商出后续通信所需的安全性密钥对。 关键词:IP多媒体子系统;认证和密钥协商;会话初始协议;接入认证机制 Abstract:IPMultimediaSubsystem(IMS) has been accepted as the core control platform of the 3G network. Its security problems are facing severe challenges now. The implementation of IMS access authentication mechanism, which is considered to be the first step of the whole IMS security plan, is the key to the IMS system security access. The Authentication and Key Agreement (AKA)-based IMS access authentication mechanism is developed by the Internet Engineering Task Force (IETF) organization and adopted by the 3GPP organization, and is widely used in 3G wireless network authentication mechanism. It is based on the “challenge/response” mode to achieve the bidirect ional authentication and session key distribution. The Session Initiation Protocol (SIP) messages, which are carried with AKA parameters, are transmitted through the User Equipment (UE) and IMS core functional entities according to the AKA mechanism for consultation, thus realizing the two-way authentication between user and network, as well as the security key pair for later communications. Keywords:IMS;AKA;SIP; access authentication mechanism
VoLTE及新增IMS网元介绍
一 VoLTE介绍 1.1 LTE语音解决方案演进 SvLTE(Simultaneous Voice and LTE), 即双待手机方式。手机同时工作在LTE 和CS,前者提供数据业务,后者提供语音业务。是纯粹基于手机的方案。对网络无特别要求,不需要部署IMS,缺点是手机成本高、耗电高。目前已经有CDMA1x 和LTE的双待手机,被一些CDMA运营商采用作为IMS部署前的过渡方案,而GSM/UMTS和LTE的双待手机目前还没有推出。 CSFB(Circuit Switched Fall Back),LTE只提供数据业务,当发起或者接受语音呼叫时,回落到CS域进行处理。运营商无需部署IMS,只需要升级MSC就可以支持。这是一种快速提供业务的方案,但缺点是呼叫接续速度慢。CSFB适合作为IMS部署之前的过渡方案,另外还可以用来解决LTE手机漫游场景的语音呼叫问题,在拜访地网络没有部署IMS,或者IMS漫游协议尚未应用的情况下,CSFB 可以为漫入的LTE用户提供语音业务。
SRVCC(Single Radio Voice Call Continuity),解决语音控制和移动到CS网络切换时的语音连续性问题。 为基于IMS的VOIP呼叫解决方案,利用IMS核心网络提供LTE VoIP语音业务的路由、控制和业务触发,并提供LTE向2G/3G切换时的语音连续性保证。SRVCC 的实现过程实质上就是一个切换过程,在LTE网络中终端是通过IMS来实现语音功能的,当终端离开LTE网络后,则通过MSC server(Mobile Switching Center server)切换到2G/3G 网络中从而实现z在2G/3G网络中的语音功能。 VoLTE(Voice over Long Term Evolution),实现LTE网络中的IMS域提供高清晰的语音服务。 IMS由于支持多种接入和丰富的多媒体业务,成为全IP时代的核心网标准架构。经历了过去几年的发展成熟后,如今IMS已经跨越裂谷,成为固定话音领域VoBB、PSTN网改的主流选择,而且也被3GPP、GSMA确定为移动语音的标准架构。 1.2 LTE语音解决方案(CSFB)
电信鉴权
电信增值业务运营中的认证鉴权控制方案研究[图] https://www.wendangku.net/doc/8a9602826.html, ( 2011/12/26 10:41 ) 摘要:通过归纳现有运营商增值业务运营的特点,对认证、鉴权、控制方案进行具体的分析和阐述,为电信运营商相关系统建设及业务运营提供指导。 0 前言 近年来,在国际信息产业发展迅猛的大背景下,国内电信运营商在增值业务方面也有了长足的发展。按照工信部的相关统计,2009年中国移动增值业务收入占营运收入的比重为29.1%,达到1311亿元;中国电信增值服务收入占经营收入的比重为10.3%,达到215.33亿元;中国联通GSM增值业务收入占GSM通信服务收入比重为27.3%,达到186.3亿元。2010 年,移动增值业务市场规模超过2000亿;2011年,移动增值业务市场规模将超过2200亿元,年增长率差超过10%。 国内电信运营商在进行增值业务运营过程中,建设了大量的业务平台,如短信网关、短信互通网关、彩信网关、WAP系统、流媒体、Java下载、IVR系统、定位、应用商店等等。在通过这些平台向用户提供增值服务的过程中,包括用户、业务及产品认证、鉴权、计费等在内的服务策略管理一直是运营商关注的焦点。 在国际上,各标准化组织,如ITU、3GPP/3GPP2、OMA、Parlay等,基于研究重点不同,对业务平台的研究深度也不相同,对增值业务平台分别提出了不同的架构;但其共同的核心思想之一就是运营管理与能力提供的分离,认证、鉴权与控制则是运营管理的核心内容。在各国际组织的推动以及业务需求驱动下,电信运营商正将增值业务平台从垂直独立、条块部署模式,转向统一支撑管理的部署模式。 另一方面,在当前技术革新加速、各种产业面临融合的形势下,电信运营商不但需要应对传统电信行业内的竞争,也日益面临互联网厂商、广电、终端厂商等其他行业的竞争,面临管道化的风险。电信运营商在增值业务运营中,如何构筑合理有效的运营控制平台、整合内部服务资源至为重要,而理顺认证、鉴权等控制流程将是提高运营商核心竞争力的关键环节。 本文结合国内电信运营商增值业务运营的实际,对其中的认证、鉴权、控制方案进行具体阐述。 1 需求分析 经过多年的建设,电信运营商已经普遍建成了一定规模的增值业务系统,原有业务系统的建设基本上都采用垂直体系结构。随着业务深入发展,新业务不断涌现,逐渐暴露出一些问题,并影响业务的进一步发展。统一的增值业务认证、鉴权、控制方案需要解决以下迫切问题。 a)增值系统条块分割,综合管理成本高。
统一身份认证系统建设方案
统一身份认证系统建设方案 发布日期:2008-04-01 1.1 研发背景 随着信息技术的不断发展,企业已逐渐建立起多应用、多服务的IT 架构,在信息化建设中起到十分重要的作用。但是各信息系统面向不同管理方向,各有其对应的用户群体、技术架构、权限体系,限制了系统之间的信息共享和信息交换,形成的信息孤岛。同时,每一个信息系统的用户拥有不同的角色(职能),需要操作不同的系统,难以对其需要和拥有的信息和操作进行综合处理,限制信息系统效率的发挥。在这种背景下企业准备实施内网信息门户系统。其中统一身份管理系统是内网信息门户系统的一个重要组成部分。 统一身份管理将分散的用户和权限资源进行统一、集中的管理,统一身份管理的建设将帮助实现内网信息门户用户身份的统一认证和单点登录,改变原有各业务系统中的分散式身份认证及授权管理,实现对用户的集中认证和授权管理,简化用户访问内部各系统的过程,使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。 1.2 组成架构 汇信科技与SUN公司建立了紧密合作关系,汇信科技推出的统一身份认证解决方案基于SUN公司的Sun Java System Identity Manager和Sun Java System Access Manager以及Sun Java System Directory Server实现。主要包括受控层、统一访问控制系统(统一认证服务器)、统一身份管理系统(统一身份管理服务器)、目录服务器。 受控层位于各应用服务器前端,负责策略的判定和执行,提供AGENT和API两种部署方式。 统一认证服务器安装统一身份认证系统(AM),主要提供身份认证服务和访问控制服务。 统一认证服务器安装统一身份管理系统(IM),主要实现身份配给、流程自动化、委任管理、密码同步和密码重置的自助服务。 目录服务器部署Sun Java System Directory Server,是整个系统的身份信息数据中心。 1.1 功能描述 1.1.1 实现“一次鉴权”(SSO) “一次鉴权(认证和授权)”是指建立统一的资源访问控制体系。用户采用不同的访问手段(如Intranet、PSTN、GPRS等)通过门户系统
RFC2617 鉴权 中文
Network Working Group J. Franks Request for Comments: 2617 Northwestern University Obsoletes: 2069 P. Hallam-Baker Category: Standards Track Verisign, Inc. J. Hostetler AbiSource, Inc. S. Lawrence Agranat Systems, Inc. P. Leach Microsoft Corporation A. Luotonen Netscape Communications Corporation L. Stewart Open Market, Inc. June 1999 HTTP Authentication: Basic and Digest Access Authentication 备忘(Status of this Memo) 本文档跟踪记录Internet团体为完善协议而进行的讨论、建议。详情请参见官方文件(STD1)。本文可任意分发。
版权声明(Copyright Notice) Copyright (C) The Internet Society (1999). All Rights Reserved. 摘要(Abstract) “HTTP/1.0”中包括基本访问鉴别方案(Basic Access Authentication scheme)。该方案不是安全的用户授权方法(除非与其它安全方法联合使用,如SSL[5]),因为其用户名和口令在网络上是以明文方式传送的。 本文档还提供了HTTP鉴别框架的规范,有关原始的基本鉴别方案和基于哈希加密的方案的内容,请参见分类访问鉴别(Digest Acccess Authentication)。从RFC2069公布以来,其中涉及的一些可选元素因为出现问题而被移出;而还有一些新的元素因为兼容性的原因而被加入,这些新元素虽然是可选的,但还是强烈建议使用的,因而,RFC2069[6]最终可能会被本规范所替代。 Franks, et al. Standards Track [Page 1]
移动通信中的鉴权
GSM系统的鉴权 为了保障GSM系统的安全保密性能,在系统设计中采用了很多安全、保密措施,其中最主要的有以下四类:防止未授权的非法用户接入的鉴权(认证)技术,防止空中接口非法用户窃听的加、解密技术,防止非法用户窃取用户身份码和位置信息的临时移动用户身份码TMSI 更新技术,防止未经登记的非法用户接入和防止合法用户过期终端(手机)在网中继续使用的设备认证技术。 鉴权(认证)目的是防止未授权的非法用户接入GSM系统。其基本原理是利用认证技术在移动网端访问寄存器VLR时,对入网用户的身份进行鉴别。 GSM系统中鉴权的原理图如下所示。 本方案的核心思想是在移动台与网络两侧各产生一个供鉴权(认证)用鉴别响应符号SRES1和SRES2,然后送至网络侧VLR中进行鉴权(认证)比较,通过鉴权的用户是合理用户可以入网,通不过鉴权的用户则是非法(未授权)用户,不能入网。 在移动台的用户识别卡SIM中,分别给出一对IMSI和个人用户密码Ki。在SIM卡中利用个人密码Ki与从网络侧鉴权中心AUC和安全工作站SWS并经VLR传送至移动台SIM卡中的一组随机数RAND通过A3算法产生输出的鉴权响应符号SRES2。 在网络侧,也分为鉴权响应符号SRES1的产生与鉴权比较两部分。
为了保证移动用户身份的隐私权,防止非法窃取用户身份码和相应的位置信息,可以采用不断更新临时移动用户身份码TMSI取代每个用户唯一的国际移动用户身份码IMSI。TMSI 的具体更新过程原理如下图所示,由移动台侧与网络侧双方配合进行。 这项技术的目的是防止非法用户接入移动网,同时也防止已老化的过期手机接入移动网。在网络端采用一个专门用于用户设备识别的寄存器EIR,它实质上是一个专用数据库。负责存储每个手机唯一的国际移动设备号码IMEI。根据运营者的要求,MSC/VLR能够触发检查IMEI的操作。 IS-95系统的鉴权 IS-95中的信息安全主要包含鉴权(认证)与加密两个方面的问题,而且主要是针对数据用户,以确保用户的数据完整性和保密性。鉴权(认证)技术的目的:确认移动台的合理身份、保证数据用户的完整性、防止错误数据的插入和防止正确数据被纂改。加密技术的目的是防止非法用户从信道中窃取合法用户正在传送的机密信息,它包括:信令加密、话音加密、数据加密。 在IS-95标准中,定义了下列两个鉴权过程:全局查询鉴权和唯一查询鉴权。 鉴权基本原理是要在通信双方都产生一组鉴权认证参数,这组数据必须满足下列特性:通信双方、移动台与网络端均能独立产生这组鉴权认证数据;必须具有被认证的移动台用户的特征信息;具有很强的保密性能,不易被窃取,不易被复制;具有更新的功能;产生方法应具有通用性和可操作性,以保证认证双方和不同认证场合,产生规律的一致性。满足上述五点特性的具体产生过程如下图所示:
ims 接入
IMS 接入与互联边界解决方案 来源:运营与增值网 2011-05-23 10:57:12 [ 10038阅读1评论 ] 分享到移动微博 分类:分布式技术标签:IMS 内容摘要:随着运营商网络的IP转型,终端用户将逐步从TDM网络迁移到IP网络如固定软交换、移动软交换和IMS。基于此,传统的TDM接入与互联节点也将转变为IP互联的方式。本文将着重研究网络IP化后接入和互联边界的解决方案,在IP化的基础上保证网络互联互通的安全性、可靠性和业务的无缝部署。 在传统的网络概念中,接入与互联侧采用的都是TDM的方式,因此从安全性和隔离性而言,TDM网络相对封闭,不存在比较大的安全隐患。随着IP化的发展尤其是SIP协议的引入,运营商的接入网与核心网、运营商核心网之间的物理边界被扁平的IP网络所替代,此时需要考虑3层IP的路由可达性和5层协议 (SIP) 的信令路由,这就天然的产生了信令和承载的分离。 基于此,我们可以相应地定义接入边界和互联边界的概念: 接入边界是指用户侧CPE与运营商核心网络之间的网络边界,如DSL接入、PON接入、WiFi接入、 2G/3G/LTE接入等,接入边界保护网络免受非法用户的攻击包括IP层面的攻击、信令层面的工具以及业务、带宽的盗用。 互联边界是指不同运营商之间或者运营商的不同网络域之间的网络边界,以保证网络互联的安全性。 互联边界在传统的TDM网络中类似关口局的角色。 边界组网技术与发展 边界方案的演进 基于IP网络、协议和标准的发展情况,边界网元的整体演进路径。 边界网元作为网络的边缘节点,主要实现的是防止网络攻击,隐藏网络拓扑和防火墙穿越的功能,因此 边界网元的发展经历了防火墙、基于防火墙的IP网关、应用层网关、集成式SBC(会话边缘控制器)、分离式SBC的几个阶段。考虑到互联互通性的复杂性,传统的防火墙、应用层网关更多的应用于企业网方案,而在运营商的商用网络中,随着SIP协议的不断完善和标准化,传统的防火墙、应用网关方案由于太多依赖用户侧的网络能力,并不适合网络的大规模部署, 因此主要还是采用集成式SBC的方案。
GSM、WCDMA及LTE鉴权机制的比较与分析
严丽云陈久雨:GSM、WCDMA及LTE鉴权机制的比较与分析 严丽云 南京邮电大学研究生,通信与信息工程专业,研究方向:网络与应用技术。 陈久雨 中国电信股份有限公司广东研究院移动通信技术部。 引言 本文研究内容主要是几大网络的安全机制。这项研究是颇具现实意义的,因为一个网络的安全性直接关系到用户和网络运营商本身的利益。保证合法的用户获取服务和网络正常的运营,保证用户的信息完整、可靠的传输,实现保密通信,要求有一套缜密的安全机制,这是对网络和服务的更高层次的要求,也是现如今颇受关注的话题。本文主要研究内容是WCDMA、LTE 的安全机制,为了更好地了解WCDMA的安全机制必须溯源到GSM的鉴权机制,从对比和演进的角度来看待这三种网络的安全机制的特点。最后,本文展望了未来移动通信中的安全机制,并提出建议。 1 GSM概述 GSM系统一个显著的优点就是它在安全性方面比模拟系统有了显著的改进,它主要是在以下部分加强了保护:在接入网络方面通过AUC 鉴权中心采取了对客户鉴权;在无线路径上采取了对通信信息的保密;对移动设备通过EIR设备识别中心采用了设备识别;对客户身份识别码IMSI用临时识别码TMSI保护;SIM卡用PIN码保护。 2 GSM鉴权 运营者开始使用安全功能之前,移动用户已经在鉴权中心被创建。同样的数据也存在移动用户的SIM卡中。以下是创建用户所需要的信息:用户的IMSI、用户的Ki、使用的算法版本。GSM的鉴权是网络要确定用户的合法性,即确认用户方Ki和网络方Ki 是相等。鉴权流程图(如图1)及说明如下:在呼叫建立的初始间断、位置更新、补充业务相关的请求时需要进行鉴权,移动台发起这类请求给MSC/VLR;MSC/VLR向HLR/AUC请求鉴权参数,及鉴权三元组;HLR/AUC根据随机数发生器产生的RAND与KI通过A3单向算法计算得出SRES(i);根据RAND与KI通过A8算法计算出Kc;将计算出的鉴权三元组(SRES(i)、RAND以及Kc(i))包含在鉴权相应中传递给
ESMTP身份验证的机制
ESMTP身份验证的机制有很多种,最常见的是LOGIN机制,类似于POP3的身 份验证方式,即分两步输入账号和密码。在所有的验证机制中,信息全部采用 Base64编码。 例如,用https://www.wendangku.net/doc/8a9602826.html,邮件服务器发送邮件,从开始连接到身份验证的过程如 下(红色和蓝色分别代表客户端和服务器): (连接到https://www.wendangku.net/doc/8a9602826.html,:25) 220sp1ESMTPv2.1 EHLOABCDEFG https://www.wendangku.net/doc/8a9602826.html, 250-PIPELINING 250-SIZE20480000 250-ETRN 250-AUTHLOGINPLAINDIGEST-MD5CRAM-MD5(支持的身份验证机制种 类:LOGIN,PLAIN等) 2508BITMIME AUTHLOGIN 334VXNlcm5hbWU6(Base64解码后:Username:) Ymh3YW5n(Base64编码前:bhwang) 334UGFzc3dvcmQ6(Base64解码后:Password:) bXlwYXNzd29yZCFteXBhc3N3b3JkISE=(Base64编码前:********) 235Authenticationsuccessful 另外一种较常见的机制是PLAIN。与LOGIN机制的不同之处在于一次性输入账号 和密码,格式为“
IMS鉴权过程中各参数的用途
IMS鉴权过程中各参数的用途 发帖日期:2011-08-18 14:12:52 按照目前的国际规范,IMS认证方式主要有IMS AKA、SIP Digest、NASS-IMS Bundled Authentication(NBA)以及GPRS-IMS Bundled Authentication(GBA)几种方式。其中NBA 和GBA认证的主要思路是IMS核心网信任接入网络(NASS、GPRS)为用户分配的IP地址,因此不涉及鉴权参数的使用,本文仅根据个人理解列举了IMS AKA和SIP Digest过程中各参数的用途。 IMS AKA username 即用户的IMPI。 K IMS AKA认证过程中的根密钥,除RAND之外的其他鉴权参数计算过程中全部需要使用K。K 分别存储在ISIM(或终端)以及HSS中,永远不会在网络上传输。 RAND 由HSS生成的随机数,HSS和ISIM(或终端)通过RAND和K可以计算IK/CK/RES/XRES。RAND在鉴权过程中会从HSS一直传递至终端。 XRES XRES由HSS通过K和RAND计算得到,这个参数从HSS传递至S-CSCF,不会继续向下传输。S-CSCF通过比对从XRES和从终端得到的RES来对用户身份进行认证。 RES RES由终端通过K和RAND计算得到,并在鉴权响应中携带该参数。该参数从终端传送至S-CSCF。 IK 完整性密钥。终端和HSS分别计算该参数,HSS计算的IK会一直传递至P-CSCF。终端与 P-CSCF之间建立IPSec所使用的完整性密钥即为该参数。 CK
加密密钥。终端和HSS分别计算该参数,HSS计算的CK会一直传递至P-CSCF。终端与P-CSCF之间建立IPSec所使用的加密密钥即为该参数。 SQN 终端与HSS同步的序列号。这个序列号是计算AUTN的中间值。当网络与终端的SQN失配时,终端会从新发起REGISTER请求,携带auts参数,用于SQN同步。这个参数不会在网络上 传输,分别由终端和HSS本地维护。 AUTN 用于终端对网络的认证。该参数从HSS一直传递至终端,终端收到鉴权挑战后,会根据 SQN计算XAUTN,然后与收到的AUTN进行比对,以此来对网络进行认证。 SIP Digest username 即用户的IMPI。 password 该参数的性质与IMS AKA中的K类似,即终端与网络之间共享的一个“秘密”,用于网络 对终端的认证,这个参数同样不会在网络上传输。但是与K也有不同,password通常不会 直接用于计算鉴权结果,而是使用对password的哈希结果,即通常所说的H(A1),HSS会 在Cx查询时将H(A1)传递给S-CSCF。在终端与P-CSCF之间使用TLS时,建立TLS使用的 密钥不一定根据这个password生成。 nonce 该参数与IMS AKA中的RAND类似,用于计算认证结果,与IMS AKA不同的是nonce值由 S-CSCF生成,而不是从HSS得到。 response 该参数与IMS AKA中的RES类似,终端首先通过password计算得到H(A1),然后再结合nonce值计算得到response。这里需要注意一点,当需要进行完整性保护(见qop)时, 计算response的输入需要增加消息体,也就是SIP消息的body部分(不包括Header)。 qop
解决方案-中国移动CM-IMS 接入解决方案-小区类(20100119)
中国移动CM-IMS接入解决方案-宽带小区类 需求分析 2008年电信重组后,中国移动由于固网短板明显,因此中国移动希望通过引入IMS实现固定话音接入和业务控制,提供多媒体类和融合类业务能力,为全业务运营尤其是政企客户的争夺奠定坚实的基础。 中国移动将在其固网和多媒体、流媒体网络的部署上,跨过传统固定软交换和传统IPTV、会议电视方案,直接采用IMS技术部署宽带固定语音、高清会议电视和IMS Based IPTV,一步到位地构建目标网络,实现网络融合。 中国移动早在几年前就开始了IMS的研究,并在国际标准基础上创新性地提出CM-IMS,CM-IMS已经成为中国移动实现网络和业务融合的重要解决方案。中国移动希望通过将IMS和移动互联网结合,为用户提供更加丰富的多媒体业务。CM-IMS将IMS网络和业务能力开放给互联网用户,并使其融入Web2.0的生态环境,以提供通信网络与互联网的混搭应用,开拓新的业务领域,增加新的收入。一旦中国移动IMS实现全国范围内部署,将成为全球最大规模的IMS商用网络。 在小区接入方面,由于历史原因,中国电信和中国联通在该细分市场有较大优势,同时具有国内最大规模的PSTN电话网。那么中国移动若想切入该市场,则中国移动给用户提供的通信体验必须有别于传统的固化业务。 出于以上情况,迈普公司针对CM-IMS部署环境中,宽带小区类这一细分市场,为中国移动提供专业的优质的IMS接入解决方案,助力中国移动在家庭多媒体融合通信市场竞争中占取有力位置,成为IMS运营市场领跑者。 方案介绍
图1 CM-IMS宽带小区接入网络拓扑 方案说明 随着IP技术的不断完善,与传统PSTN电话网相比,V oIP在用户体验、融合能力、建设成本、运维管理等多方面都有着无法比拟的优势,尤其是面向未来的融合通信上更是传统PSTN电话无法做到的。因此本文提出基于SIP的中国移动CM-IMS的小区语音接入方案。 在用户侧,对于老小区改造可以使用原有楼宇的布线系统,放置迈普IPPBX设备连接住户放号,或者使用迈普IPPBX设备替换原有传统PBX再连接住户进行放号。 对于新建小区,由于接入的终端多为模拟电话机,同样可以使用传统电话线布线方法,每户电话接入迈普IPPBX。同时可以将IPPBX接入小区局域网络,为未来连接SIP电话预留扩展能力,此时迈普语音设备角色由IPPBX转化为SIP控制服务器,从而为未来扩展业务内容提供良好的网络环境。 中国移动上联线路可以根据环境不同,可使用多种接入方式,但目前最常用的是直接通过IP线路连接中国移动城域网再接入移动IMS网络。 特点及优势 1.先进的体系设计 IMS是一个包含核心网设备、业务平台、接入侧设备和终端产品的庞大体系。CM-IMS
固网接入IMS的解决方案
固网接入IMS的解决方案 固定运营商希望通过IMS融合固定接入网络和移动接入网络,向网络融合和NGN迈进。IMS应如何支持固定接入是业界普遍关注的技术问题,也是标准组织研究的重点问题。 摘要:IMS是3GPP在其R5版本中提出的支持IP多媒体业务的子系统,是一种基于全IP分组传送的与接入无关的网络架构。分析了IMS在固网接入方面的发展演进策略,对TISPAN引入NASS、RACS等子系统用以完成用户认证、保证网络的安全以及实现对固定网络接入环境的承载资源控制进行了阐述。最后以VoIP为例,描述了通过固网接入IMS时对VoIP业务实施接纳控制机制的具体消息流程。 自2000年3GPP首次在R5中提出IP多媒体子系统(IMS)[1]概念以后,IMS一直受到广泛的关注。由于IMS网络架构不仅定义了业务的技术实现方式,还充分考虑了运营商的网络管理和运营需求,IMS 不再单纯是移动网的一个子系统,它已经延伸到固网,成为固网和移动网在控制层的融合点。固定运营商希望通过IMS融合固定接入网络和移动接入网络,向网络融合和NGN迈进。IMS应如何支持固定接入是业界普遍关注的技术问题,也是标准组织研究的重点问题。 TISPAN和3GPP是ETSI旗下的两大标准化组织,其中3GPP关注于IMS在移动通信中的应用,TISPAN 研究IMS在固网和在网络融合领域的应用[2]。早在ETSI TISPAN研究NGN架构时,就将IMS的概念引入到固网的NGN网络架构中,并且在很大程度上继承了3GPP在IMS上的研究成果。但TISPAN IMS架构与3GPP IMS架构还存在一些不同之处,这主要是因为固定网络的接入环境要比移动网络更加复杂一些,必须通过增加一些功能模块来完成用户认证、保证网络的安全以及实现对承载资源的控制。目前,基于固定的TISPAN IMS标准还不成熟,需要不断地研究和探索,文章主要介绍了固网接入IMS的承载资源控制、用户认证、保证网络安全方面的研究进展。 1、IMS向固网延伸 IMS系统具有接入无关性,最初的IMS系统只支持GPRS分组网络的接入,然后又支持WLAN互通网络的接入,在3GPP R7版本以后IMS系统还支持固定网络的接入。IMS系统支持固定网络的传统业务,包括电信业务、电路域数据业务和补充业务。新型的SIP终端可以直接接入IMS系统,传统的固定终端通过一个新建的PSTN/ISDN仿真网络接入IMS系统。对比移动接入网络,GPRS解决了移动性和资源管理,固定接入网络也必须自己解决这些问题。为此TISPAN将NGN架构分为业务层和传送层,在传送层引入了网络附着子系统(NASS)与资源及接纳控制子系统 (RACS),负责为上层业务层提供独立的用户接入管理功能[3],如图1所示。