Proiect SRS: IP Multimedia Subsystem (IMS), Authentication

Profesor:

Studeni:

Onoriu Bradeanu

Facultatea de Electronic, Telecomunicaii i Tehnologia Informaiei, Bucureti, 2011

Cuprins: Capitolul 1. Introducere 1.1 Ce este Subsistemul Multimedia IP (IMS)? 1.2 Istoria IMS 1.3 Convergena Fix/Mobil 1.4 Servicii Capitolul 2. Principiile de baz Capitolul 3. Arhitectura IMS Capitolul 4. Servicii de securitate n IMS 4.1 Modelul de securitate pentru IMS 4.2 Prezentare general a metodelor de autentificare 4.2.1 Autentificarea i acordul cheilor (AKA) 4.2.2 Autentificarea NBA 4.2.3 GPRS-IMS-Bundled Authentication(GIBA) 4.2.4 HTTP i AKA 3GPP Capitolul 5.Concluzii

Capitolul 1. Introducere
1.1

Ce este Subsistemul Multimedia IP (IMS)?

Reelele fixe i mobile au trecut printr-o tranziie major n ultimii 20 de ani. n domeniul telefoniei mobile, sistemele de prim generaie (1G) au fost introduse la mijlocul anilor 1980. Aceste sisteme au oferit servicii de baz pentru utilizatori. S-a pus accentul pe transmisia de voce i serviciile legate de voce. A doua generaie de sisteme (2G) n 1990 a adus unele mbuntiri, servicii de date i servicii suplimentare pentru utilizatori. Cea de-a treia generaie (3G i 3.5G) i evoluia sa LTE asigur rata de date mai mare i servicii multimedia diverse. Pe partea fix, reelele de telefonie publice comutate (PSTN) i reelele de servici digitale integrate (ISDN) au dominat comunicaiile video i de voce. n ultimii ani, utilizarea internet-ului a explodat i din ce n ce mai muli utilizatori profit de conexiunea la Internet mai rapida i mai ieftina cum ar fi Asymmetric Digital Subscriber Line (ADSL). Aceste tipuri de conexiuni la internet permit conectivitate permanent, care este o necesitate pentru oamenii care doresc s foloseasc aplicaii n timp real, cum ar fi aplicaii chat, jocuri online, voice over IP (VOIP). n momentul de fa ne confruntm cu o convergen rapid a sistemelor fixe i mobile, datorit modelelor de dispozitive mobile care se modific de la an la an. Aceste dispozitive mobile au afiaje de nalt precizie, au camere incorporate i o mulime de resurse pentru aplicaii. n scopul comunicrii, aplicaiile bazate pe IP, trebuie s aibe un mecanism pentru a ajunge la destinaie. Reeaua de telefonie ofer n prezent aceast sarcin critic de stabilire a unei conexiuni. Prin apelarea punct la punct, reeaua poate stabili o conexiune adhoc ntre oricare dou terminale din reeaua IP. IMS este o arhitectur global cu acces independent i standarde bazate pe IP i o arhitectur bazat pe controlul serviciilor care permite diferite tipuri de servicii multimedia utilizatorilor finali care folosesc protocoale comune, bazate pe Internet. O integrare real a serviciilor de voce i date crete productivitatea i eficiena global, n timp ce dezvoltarea de aplicaii inovatoare care integreaz serviciul de voce, date i servicii multimedia va creea cereri pentru servicii noi, cum ar fi prezent, chat-ul multimedia i conferinele. Abilitatea de a combina mobilitatea i reeaua IP vor fi cruciale pentru succesul serviciilor n viitor. Figura 1 prezint o reea convergent de comunicaii pentru mediile mobile fixe. IMS-ul este cel care introduce controlul sesiuni multimedia n domeniul pachetelor comutate i n acelai timp introduce funcionalitatea circuitelor comutate n acest domeniu. IMS este o tehnologie cheie pentru consolidarea reelei.[1]

1.2

Istoria IMS

IMS a fost iniial definit de un forum al industriei numit 3G.IP, format n anul 1999. 3G.IP a proiectat arhitectura iniial de IMS, care a fost predat ctre 3rd Generation Partnership Project (3GPP), ca parte a muncii de standardizare pentru telefonia mo-

bil 3G din reelele UMTS. A aprut iniial n release-ul nr. 5 (Evoluia de la reele 2G la reele 3G), prin adugarea de sesiuni multimedia bazate pe SIP. A fost de asemenea adugat i suportul pentru mai vechile reele GSM i GPRS. Implementrile iniiale de IMS au fost definite pentru a permite implementri de IMS care nu aveau suport pentru toatalitatea cerinelor IMS-ului (implementri pariale). 3GPP2 (o organizaie diferit) a pus fundamentele pentru CDMA2000 Multimedia Domain (MMD) pe 3GPP IMS, adugnd astfel suportul pentru CDMA2000. 3GPP release-ul nr 6 a adugat interoperabilitatea cu Wireless LAN-urile. 3GPP release-ul nr 7 a adugat interoperabilitatea cu reelele de telefonie fix, prin conlucrarea cu TISPAN R1.[2]

Figura 1. IMS n reele convergente 1.3

Convergena Fix/Mobil

IMS a fost iniial proiectat pentru reelele mobile, dar prin adugarea TISPAN din revizuirea nr. 7, reelele de telefonie fix sunt de asemenea suportate. Acest lucru este numit n englez Fixed/Mobile Convergence (FMC) - tradus n romnete drept Convergena Fix/Mobil, care a devenit mai apoi unul dintre principalele tendine din industria de telecomunicaii n anul 2005. Viziunea este aceea ca utilizatorii s aib un telefon cu un singur numr de telefon, o singur agend telefonic i mesagerie vocal, care s profite de preul redus i limea mare de band a liniilor fixe de acas, precum i de mobilitatea pe care o ofer reelele de telefonie mobil. IMS-ul include de asemenea transferul fr ntreruperi ale apelului telefonic ntre liniile fixe de telefonie i reeaua de telefonie mobil.

Companiile de telefonie pot oferi servicii utilizatorilor fr a fi limitate de locul n care sunt acetia, sau modul de acces, sau modelul terminalului. IMS garanteaz interoperabilitatea dintre sistemele telefonice existente, dar i o cale de modernizare spre sesiuni multimedia (precum videotelefoanele). Criticii spun ca operatorii de telefonie fix sunt interesai n principal de extinderea serviciilor lor n spaiul operatorilor de telefonie mobil (i vice-versa), reducndu-i n acelai timp costurile operaionale prin folosirea tehnologiei Voce peste IP.

1.4

Servicii

Telefonia, ca principal aplicaie ntre reele atunci cnd utilizatorul iese din acoperirea unei reele. Mai mult soluiile avansate de IMS vor oferii handover-ul apelurilor de voce ctre o reea 2G atunci cnd se pierdea acoperirea. IMS permite apeluri video cu avantajul asupra actualelor apeluri video 3G bazate pe CS c fluxul video poate fi inserat sau abandonat in orice moment in timpul sesiunii Mesagerie instant si de prezen (PRIM) Sesiuni de voice si video in conferint cu 3 sau mai multe pri. Mesaje Push si servicii video precum trimiterea mesajelor clientilor atunci cand echpa lor favorit a inscris un gol, cnd s-a intamplat ceva palpitant in timpul Formulei 1 .a.m.d. Sincronizarea calendarului pentru toate dispozitivele IMS Servicii de trezire cu auto raspuns si cu melodiile sau tirile preferate ale utilizatorului Evenimente audio si transmisiuni video live Un singur numar de telefon/ o singur identitate pentru toate dispozitivele unui utilizator Notificri ale evenimentelor importante (zile de nastere, etc) Redirecionarea apelului, Transferul apelului Interceptare legal Location based services Mesagerie vocal Apel n ateptare, Call holding, Push to talk O sesiune poate fi mutat de pe un dispozitiv pe altul in timp ce ruleaz. Un apel video de exemplu poate fi acceptat pe un telefon mobil, dar transferat catre sistemul de home entertainment atunci cnd utilizatorul ajunge acas. Acest transfer implic i modificarea parametrilor sesiunii.[4]

Capitolul 2. Principiile de baz

Independena accesului: IMS va lucra probabil cu orice reea (fix, mobil sau wireless) cu comutaie de pachete, precum GPRS, UMTS, CDMA2000, WLAN, WiMAX, DSL, cablu. Sistemele nvechite cu comutaie de circuite (POTS, GSM) sunt suportate prin intermediul unor gateway-uri. Interfeele deschise dintre nivelele de control i servicii permit combinarea elementelor i apelurilor/sesiunilor din diferite tipuri de reele. Diferite arhitecturi de reea: IMS permite operatorilor i furnizorilor folosirea diferitelor arhitecturi de reea. Mobilitatea utilizatorilor i a terminalelor: Reeaua mobil asigur mobilitatea terminalelor (roaming), iar mobilitatea utilizatorilor este asigurat prin IMS i SIP. Generalizarea serviciilor bazate pe protocolul IP: IMS ar trebui s uureze oferirea oricrui serviciu bazat pe IP. Printre exemple putem include VoIP, Push to talk over cellular (POC), jocuri multi utilizatori, videoconferin, mesagerie, servicii comunitare, informaii de presence i distribuia de coninut. Cel mai vizibil rezultat al suportului pentru un asemenea standard ar trebui s fie faptul c nu ar mai fi nici o diferen ntre o convorbire telefonic mobil-mobil sau mobilfix i ceea ce astzi este neles prin navigarea pe internet cu ajutorul unui browser web. Reeaua ar trebui s fie unificat i transparent din punct de vedere logic.[3]

Capitolul 3. Arhitectur
Unul dintre obiectivele majore ale IMS a fost acela de a crea o platform flexibil care poate fi scalat pentru reele cu zeci de mii la zeci de milioane de abonai. Standardele IMS definesc componente logice, mesajele transmise ntre ele i modul n care aplicaiile interne pot pot utiliza IMS pentru a oferi servicii utilizatorilor. n practic, asta ine de furnizorii de infrastructur i operatori de reea s decid ce componente logice trebuie combinate ntr-un dispozitiv fizic n funcie de mrimea reelei. Este probabil ca primele implementri s co-localizeze multe funcii logice ntr-un singur dispozitiv, deoarece la nceput vor fi foarte puini utilizatori IMS, care, n schimb nu solicit un sistem distribuit mare. Pe msur ce reeaua crete, unele funcii migreaz ctre dispozitive fizice de sine stttoare i o entitate unic ar putea fi distribuit pe mai multe dispozitive pentru a-i mpri funciile i a asigura redundan. IMS a fost definit de dou organisme de standardizare, n strns cooperare. Principala arhitectur, componentele logice i interconectrile dintre ele sunt standardizate de 3GPP. Cele mai utilizate protocoale utilizate ntre componente, cum ar fi SIP, Diameter, Megaco, Cops, i aa mai departe sunt standardizate de ctre Internet Societys Internet Engineering Task Force (IETF). Aceast modificare a fost fcut cu scopul de a utiliza

ct mai multe protocoale de internet gratis pentru IMS, dect s foloseasc protocoale particulare/patentate. Aceasta permite interoperabilitatea cu alte sisteme bazate pe sesiune prin utilizarea standardelor deschise n viitor. Ruptura este, de asemenea benefic, deoarece IETF are o expertiz puternic n ceea ce privete protocoalele IP n timp ce 3GPP se axeaz pe aspectele legate de mobilitate i arhitectura reelei.

Figura 2. Componentele de baz ale unui cadru IMS Figura 2 prezint principalele componente necesare nivelului aplicaie pentru a asigura o soluie de baz IMS. Standardele IMS definesc mai multe entiti funcionale suplimentare. Figura nu prezint funciile de baz pentru transport ale reelelor fixe i fr fir. Acest lucru a fost fcut pentru claritate, dar i pentru faptul c o mare parte din IMS este complet independent de partea de acces i de transport. Doar cteva pri din IMS comunica cu reeaua de transport pentru a asigura QoS i pentru a preveni utilizarea eronat a serviciului.[4]

Figura 3. Arhitectura IMS Principalele pri ale unei reele IMS, ilustrate n figura 3 sunt:

Baza de date a utilizatorilor HSS (Home Subscriber Server) este baza de date primar care ofer suport pentru entitile din reeaua IMS care administreaz

apelurile telefonice/sesiunile. Ea conine informaii legate de modul de subscriere al utilizatorului (profilul utilizatorului), face autentificarea i autorizarea utilizatorilor, i poate oferi informaii despre locaia fizic a utilizatorilor. Este similar cu HLR-ul i AUC din reeaua GSM. Pentru IMS un al treilea bloc a fost adugat la HSS/HLR unde sunt stocate profilele de utilizatori pentru abonaii IMS. Un profil de utilizator IMS cuprinde informaii precum identitile utilizatorului conectate la o abonare, care servicii are voie utilizatorul s solicite i informaii despre cum ar trebui tratate cererile primite atunci cnd utilizatorul nu este nregistrat (de exemplu expedierea ctre csua vocal). Componente IMS precum I-CSCF i SCSCF sunt conectate la HSS printr-o conexiune IP. Protocolul utilizat pentru recuperarea i actualizarea nregistrrilor din HSS este Diameter. Diameter nu este o abreviere, ci un joc de cuvinte bazat pe predecesorul su, protocolul Radius (Remote Authentication Dial n User Service) (platforma central AAA i utilajului de acces Dial-UP). n practic, de obicei, o reea stocheaz informaii despre un utilizator n toate cele 3 pri ale HSS. Informaii de abonare CS sunt necesare n caz c utilizatorul dorete s utilizeze servicii CS precum SMS sau voce (atunci cnd se realizeaz roaming n afara zonei acoperite n are apelurile de voce IMS sunt suportate). Utilizatorul trebuie de asemenea s fie asigurat n partea de GPRS a HSS, deoarece utilizarea unui serviciu IMS este posibil din reele GSM/UMTS/HSPA/LTE doar atunci cnd a fost stabilit o conexiune PS la reea (prin intermediul unui APN). Figura 4. Structura HSS n final un utilizator trebuie s aibe un profil de utilizator pentru servicii IMS altfel nu poate utiliza niciun serviciu IMS. Reelele mari pot avea cteva entiti HSS din motive de capacitate. n acest caz CSCF urile trebuie s interogheze o baz de date ce conine informaii despre ce abonat este administrat de care HSS. Aceast sarcin este coordonat de SLF (Subscription Locator Function).

Un SLF (Subscriber Location Function) este necesar atunci cnd sunt utilizate mai multe HSS-uri. Att HSS ct i SLF implementeaz protocolul DIAMETER (interfeele Cx, Dx i Sh). SLF nu st n calea de semnalizare dintre CSCF uri i HSS uri, dar se comport precum o baz de date de sine stttoare ce poate fi interogat utiliznd protocolul Diameter pentru a returna adresa IP a HSS ului responsabil pentru un anumit abonat care urmeaz dup dialogul Diameter cu HSS pentru a returna informaia abonrii. SLF este o component opional i de aceea nu este ilustrat n figura 2. Nu este necesar dac exist o singur baz HSS n reea.

P-CSCF (Proxy-Call Session Control Function) este un proxy SIP care este primul punct de contact pentru terminalul IMS. El se poate afla att n reeaua vizitat (n reelele care implementeaz pe deplin IMS) sau n cadrul reelei de baz (cnd reeaua vizitat nu este nc compatibil IMS). Anumite reele pot folosi un Session Border Controller care s ndeplineasc aceast funcie. Terminalul i va afla propriul P-CSCF fie prin intermediul DHCP-ului, sau aceasta i va fi alocat n Contextul PDP (din GPRS). o i este asignat terminalului IMS la nregistrare i nu se schimb n perioada n care terminalul este nregistrat o st n calea mesajelor de semnalizare i inspecteaz fiecare mesaj o autentific utilizatorul i stabilete asociaia de securitate IPsec cu terminalul IMS. Aceasta previne atacurile de tip spoofing i atacurile de tip replay i protejeaz confidenialitatea utilizatorilor. Alte noduri se ncred n P-CSCF, i nu cer ca utilizatorul s se autentifice i la ele. o poate de asemenea s compreseze i s decompreseze mesajele SIP folosind SigComp, care duce la reducerea distanei round-trip pentru legturile radio (care sunt destul de ncete) o poate s includ un PDF (Policy Decision Function), care autorizeaz resursele din planul media, precum quality of service (QoS) din planul media. Este utilizat pentru controlul drepturilor de acces, administrarea limii de band, etc... PDF poate de asemenea s fie o funcie separat. o genereaz de asemenea nregistrri folosite pentru taxarea serviciilor I-CSCF (Interrogating-Call Session Control Function) este un proxy SIP proxy aflat la marginea domeniului administrativ. Adresa IP este publicat n serverele DNS ale domeniului (folosind tipurile NAPTR i SRV ale serverului de nume), astfel nct serverele ndeprtate (ex: un P-CSCF dintr-un domeniu vizitat, sau un S-CSCF dintr-un domeniu strin) l poate localiza i folosi ca punct de intrare pentru toate pachetele SIP ale unui domeniu. I-CSCF interogheaz HSS folosind interfeele Cx i Dx ale DIAMETER-ului, pentru a localiza utilizatorul i pentru a transmite apelurile SIP ctre S-CSCF de care aparine. Pn la Release 6 el poate fi folosit pentru a ascunde reeaua intern pentru lumea din exterior (prin criptarea mesajelor SIP), caz n care este numit THIG (Topology Hiding Interface Gateway). ncepnd cu Release 7 aceast funcie a fost scoas din ndatoririle I-CSCFului, ea innd de IBCF (Interconnection Border Control Function). IBCF este folosit drept gateway pentru reelele externe, asigurnd funciile de NAT i Firewall. S-CSCF (Serving-Call Session Control Function) este nodul central din planul apelului. Este un server SIP, dar asigur i controlul sesiunii n acelai timp. Se afl n reeaua de baz. S-CSCF folosete interfeele Cx i Dx din DIAMETER pn la HSS pentru a descrca i ncrca profile de utilizatori - nu are o stocare local a utilizatorilor. o se ocup de cererile de nregistrare SIP, care i permit s asocieze localizarea utilizatorului (ex: adresa IP a terminalului) i adresa SIP o prelucreaz i filtreaz toate mesajele de semnalizare

o o o

decide care server aplicaie va primi mesajul SIP, pentru ca acesta s ofere serviciul asigur servicii de routare, de obicei folosind interogri de tip ENUM pune n aplicare politic operatorului de reea

ASs (servere de aplicaie) implementeaz funciile aplicaie, oferind utilizatorilor servicii bazate pe sesiune. Serverele de aplicaie ofer interfee API precum OSA/Parlay sau servlet SIP pentru executarea aplicaiilor. Sistemul utilizatorului final IMS. Pe lng suportul de baz pentru conectivitate (de exemplu GPRS, WLAN), ofer i suport pentru protocoalele IMS, i anume SIP, i codecuri media pentru aplicaiile multimedia.[5]

Reeaua de Access Utilizatorul se poate conecta la o reea IMS folosind diferite metode, dar toate folosesc protocolul standard Internet Protocol (IP). Dispozitivele IMS (telefoanele mobile, PDA-urile, calculatoarele), se pot nregistra direct ntr-o reea IMS, chiar dac sunt n roaming ntr-o alt ar sau o reea strin (reea vizitat). Singura cerin este s foloseasc IPv6 (de asemenea IPv4 din 'Early IMS') i s ruleze ageni SIP. Accesul fix (exemplu: DSL, modemurile de cablu, Ethernet), accesul mobil (W-CDMA, CDMA2000, GSM, GPRS) i accesul fr fir (WLAN, WiMAX) sunt toate suportate. Alte sisteme telefonice precum POTS (vechile telefoane analogice), H.323 i sistemele VoIP incompatibile IMS sunt suportate prin intermediul unor gateway-uri.[6]

Capitolul 4. Servicii de securitate n IMS

Acest capitol i propune s explice cum funcioneaz securitatea n IMS, va oferi astfel o imagine la nivel nalt a arhitecturi de securitate i va explica, componentele acestei arhitecturi, inclusiv modelele i protocoalele folosite pentru a oferi caracteristicile necesare pentru a asigura securitatea.

4.1 Modelul de securitate pentru IMS

Arhitectura modelului de securitate pentru IMS este alctuit din 3 nivele de blocuri aa cum se poate observa i n figura 5, primul nivel este reprezentat de Network Domain Security (NDS), care asigur securitate IP ntre diferite domenii i noduri n cadrul unui domeniu. Alturi de NDS apare i nivelul de acces al securitii IMS.Accesul securitii pentru serviciile bazate pe SIP este o component de sine stttoare, cu excepia faptului c parametrii de securitate pentru aceasta sunt derivai din autentificarea UMTS i protocolul AKA (KEY Agreement). Protocolul AKA este folosit pentru procesul de bootstrap i anume, cheile i certificrile sunt derivate din acreditri AKA ulterior utilizate pentru asigurarea aplicaiilor care ruleaz pe protocolul de transfer sau transport Hypertext, printre altele-n ceea ce se numete Arhitectur de Autentificare Generic (GAA). Intenionat lsate n afara acestui model arhitectural sunt acele nivele de securitate superioare securitii de acces IMS sau cele care ruleaz dup nivelul NDS. De exemplu,

n UMTS nivelul de acces radio pune n aplicare propriul set de caracteristici de securitate, inclusiv cifrarea i integritatea mesajului. Cu toate acestea, IMS-ul este proiectat ntr-un mod care nu depinde de existena altor securiti de acces sau de securitatea planutilizator.

4.2 Prezentare general a metodelor de autentificare IMS

Ori de cte ori un utilizator dorete s acceseze reeaua IMS, utilizatorul va fi autentificat, asta nseamn c reeaua se va asigura ca acesta este utilizatorul care va accesa reeaua, i nu un alt utilizator ru intenionat. Autentificarea n IMS este realizat n moduri diferite n cadrul IMS, cea mai mare parte fiind dependent de tehnologia de acces la reea utilizat i de preferinele operatorului de reea. Autentificarea este tratat de CSCF n timp ce utilizatorul se logheaz, Serverul de Aplicaie SIP (AS) poate verifica dac utilizatorul a fost autentificat. Informaia de autentificare este utilizat pentru a verifica corectitudinea cererii i pentru a stabilii o conexiune criptat pentru ntreschimbarea mesajelor de semnalizare. Informaia de autentificare este folosit mai trziu n timpul realizrii unui apel video sau de voce pentru a cripta calea vocii din conexiune. De reinut ca inter schimbarea mesajelor nu este bazat pe IP, ci pe o stiv de protocoale de semnalizare n afara benzii, numit SS7. n afara benzii nseamn ca mesajele sunt interschimbate prin conexiuni dedicate de semnalizare, care nu sunt folosite pentru transportul semnalelor de voce sau video de tip CS.[7]

Urmtoarele mecanisme de autentificare sunt definite n prezent n IMS:

Autentificarea 3GPP i acordul cheii (AKA), care utilizeaz mecanismul general AKA al 3GPP, care este, de asemenea, utilizat n cadrul celei de-a treia generaii CS i la reelele GPRS.3GPP AKA se bazeaz pe un secret partajat ntre utilizator (stocat pe cardul UICC) i reea (stocat n HSS) i se efectueaz automat fr interaciune din partea nici unui utilizator. Autentificare bazat pe combinaia Network Access Subsystem si IMS (NBA, Network Access Subsystem (NASS)-IMS-bundled authentication), aceasta fiind o metod utilizat n principal de reele fixe/TISPAN i se bazeaz pe securitatea disponibil din straturile inferioare, n scopul de a autentifica utilizatorul. n cazul utilizri metodei de autentificare NBA nu este nevoie de o procedur de autentificarea specific IMS sau SIP. Autentificare amestecat GPRS-IMS (GIBA), denumit anterior nceputul securitii n IMS, care este desfurat n cadrul reelelor 3GPP care nu ofer infrastructur pentru securitate IMS deplin, de exemplu reele cu implementri IMS timpurii care nu utilizeaz IPSec i AKA 3GPP pentru IMS. GIBA se

bazeaz pe nivelul de securitate al GPRS si, prin urmare, nu sunt necesare proceduri specifice de autentificare IMS sau SIP ncepnd de la release 8 al 3GPP, HTTP va fi o metod de autentificare n cadrul IMS. Rezumatul HTTP-ului este publicat de ctre IETF n [RFC 2617]. Acesta se bazeaz pe user i parola comun pentru utilizator i reea (n cazul n care este stocat n HSS). n cazul HTTP-ului, utilizatorul trebuie s-i aminteasc numele de utilizator i parola i trebuie s le furnizeze n timpul proceduri de autentificare, adic nu exist stocare UICC, care ar permite stocarea automat.[8]

Figura 5 Arhitectura Securitii pentru IMS 1. Autentificarea i acordul cheii (AKA) Securitatea n IMS se bazeaz pe un cod secret pe termen lung, mprit ntre ISIM i centrul de autentificare al reelei la domiciliu (AUC). Cel mai important nivel din arhitectura IMS este modulul ISIM, care este conceput ca o arhiv pentru cheile secrete (K) i care nsoete algoritmi AKA, i este de obicei ncorporat ntr-un dispozitiv cu, card de memorie numit Card al Circuitului Integrat Universal (Universal Integrated Circuit Card (UICC)). Accesul la secretele comune este limitat. Modulul preia parametri AKA ca date de intrare iar ca date de ieire parametri AKA rezultai. Astfel, nu se expune niciodat secretul comun ctre lumea exterioar. Dispozitivul pe care este stabilit ISIM este rezistent la capcane, astfel nct, chiar i accesul fizic este puin probabil s aib ca rezultat expunerea cheii secrete. Pentru a proteja ISIM de accesul neautorizat, utilizatorul este de obicei obiectul unor mecanisme de securitate a domeniului. n esen, acest lucru nseamn ca pentru a rula AKA pe

ISIM, utilizatorului i se cere un cod PIN. Combinaia de proprietate, de exemplu, accesul la un dispozitiv al nivelului fizic (UICC/ISIM) i cunoaterea codului PIN secret-face ca arhitectura securitii IMS s fie robust. Un atacator trebuie s aibe n posesie att ceva ce ti utilizatorul ct i ceva ce posed utilizatorul, ceea ce este dificil att timp ct exist un nivel de ngrijire din partea utilizatorului.

Tabelul 1. Parametrii AKA Parametrul Lungime (bits) AKA K 128 RAND AUTN SQN AUTS RES CK IK 128 128 48 112 32-128 128 128

Descriere Secret partajat; cheia pentru autentificare partajat ntre reea i terminalul mobil. Cerere de autentificare aleatoare generat de reea Token de autentificare (al retelei) Numr secvenial ce urmrete secvena procedurilor de autentificare Token de sincronizare generat de ISIM dup detectarea unei erori de sincronizarea Rspunsulde autentificare generat de ISIM Cheie de criptare generat n timpul autentificarea-i att e reea ct i de ISIM Cheie de integritate generat n timpul autentificrii att de reea ct i de ISIM

AKA realizeaz autentificarea mutual att a ISIM ct i a AUC i stabilete o pereche de chei de integritate i de criptare. Procedura de autentificare este setat de reea utiliznd cereri de autentificare ce conin o cerere aleatoare (RAND) i un token de autentificare la reea (AUTN). ISIM verific AUTN i prin aceasta verific i autenticitatea reelei n sine. Fiecare capt deine un numr secvenial pentru fiecare rund de proceduri de autentificare. Dac ISIM detecteaz o cerere de autentificare al crei numr secvenial este eronat, atunci renun la autentificare i raporteaz reelei cu un mesaj de eroare de sincronizare incluznd n el numrul secvenial corect. Acesta este un alt concept de nivel nalt ce ofer protecie anti-reply. Pentru a rspunde cererii de autentificare a reelei, ISIM aplic cheia secret lui RAND pentru a produce rspunsul de autentificare (RES). RES este verificat de reea pentru a autentifica ISIM. La acest punct Terminalul Mobil i reeaua s-au autentificat cu succes u nul altuia i ca produs secundat au generat de asemenea i o pereche de chei de sesiune: Cheia de criptare CK i cheia de integritate IK. Aceste chei pot fi folosite pentru a securiza comunicarea dintre dou entiti. Tabelul 1 prezint parametrii AKA principali i semnificaia lor. [9]

2. Autentificarea NBA

ntr-o reea TISPAN NGN, terminalul mobil de tip IMS este ataat de obicei printro legtur direct la un subsystem NASS, care ofer partea de transport inferior (precum IP) ntre terminalul mobil i reea. Exist o multitudine de metode prin care terminalul mobil este autentificat de NASS. NASS aparine reelei de acces (este localizat ntre terminalul mobil i P-SCCF) i const ntr-o varietate de elemente de reea (care formeaz subsistemul). Terminalul mobil dintr-un NGN TISPAN are o conexiune fix cu NGN, care nu se modific permanent, precum n reelele mobile (de exemplu reelele 3GPP UMTS). Odat ce terminalul mobil este pornit, cere o adres IP de la NASS i n timp ce adresa este asignat, Terminalul mobil este autentificat la nivel inferior. Terminalul este acum identificat prin line-id-ul configurat, care este stocat n NASS i este utilizat drept nume pentru utilizatorul autentificat. Odat autentificat terminalul la NGN, poate realiza nregistrarea IMS, n timpul creia va avea loc autentificarea utilizatorului. Terminalul mobil trimite o cerere SIP REGISTER ctre P-CSCF. Cererea Register nu v include nicio informaie legat de autentificare. P-CSCF tie adresa IP a UE i tie pe baza configuraiei locale i a politicii operatorului c aceast adresa a fost asignat de un anumit NASS. P-CSCF interogheaz NASS, care returneaz line-id-ul. P-CSCF include apoi line-id-ul n antetul P-AccessNetwork-Info din cererea Register i trimite cererea ctre I-CSCF i S-CSCF, pe baza procedurilor IMS normale. Odat ce cererea Register a ajuns la S-CSCF, S-CSCF trebuie s aibe grij ca utilizatorul s fie autentificat. Prin urmare trimite o cerere Multimedia-Auth Diameter (MAR) ctre HSS, indicnd identitatea public a utilizatorului nregistrat.

Figura 6. Autentificare NASS HSS are deasemenea o conexiune ctre NASS, ce nu a fost standardizat de exemplu modul cum aceast conexiune este realizat este lsat la nivelul implementrilor indi-

viduale ale HSS i NASS. In orice caz HSS este contient c terminalul mobil care se nregistreaz momentan s-a ataat la HSS. HSS cunoate deasemenea detaliile autentificrii de nivel inferior a terminalului i prin urmare rspunde S-CSCF cu un Rspuns Multimedia-Auth (MAA) care include line-id i profilul de utilizator. S-CSCF compar acum line-id-ul primit n cererea REGISTER de la UE, n antetul P-Access-Network-Info cu line-id-ul primit de la USPF n MAA. Dac acestea coincid utilizatorul este autentificat i S-CSCF va rspunde imediat la cererea REGISTER cu un rspuns 200 (ok), fr s mai interogheze terminalul mobil. Astfel, procedurile NBA nu autentific utilizatorul sau terminalul mobil, ele bazndu-se pe autentificarea ce a avut deja loc la nivelele inferioare cnd UE s-a asociat la NASS. [10]

3. GPRS-IMS-Bundled Authentication (GIBA) Un exemplu de nregistrare IMS cu ajutorul GIBA este ilustrat n figura 7: Atunci cand UE stabilete un context de semnalizare PDP pentru IMS, GGSN va crea o cerere RADIUS ctre GGSN n care va specifica numrul MSISDN (Mobile Subscriber Integrated Services Digital Network) al utilizatorului (de exemplu numrul de telefon) precum i adresa IP pentru contextul PDP specific IMS. Dup stabilirea acestui context de semnalizare, terminalul mobil va trimite o cerere iniial REGISTER, aa cum este descris n capitolul anterior, incluznd antetul Authorization, un antet Security-Client precum i eticheta 'sec-agree' n antetele Require i ProxyRequire:
<s Foi t r>; m <s T> oi <s p: Co i:[c "i 1 Mta 2 b> 3 o 5 n t

Cnd P-CSCF, care n acest exemplu suport doar GIBA, primete cererea REGISTER, acesta o va respinge cu un rspuns 420(unsupported) indicnd c nu suport extensia SipSec-Agree. Aceasta respingere este utilizat de ctre Terminalul Mobil drept o ntiinare c trebuie aplicat procedura GIBA. Din aceste motive UE va construi un nou mesaj REGISTER, care nu conine antetele Authorization i Proxy-Require.

Figura 7. Exemplu de realizare a securitatii IMS Informaiile utilizate n cererea REGISTER trebuie s provin din aplicaia USIM a terminalului mobil. Ceea ce nseamn c terminalul mobil, chiar dac este echipat cu o aplicaie ISIM (n cazul GIBA) trebuie totui s extrag informaiile din USIM. Acest lucru este necesar deoarece a doua cerere REGISTER nu include identificatorul public al utilizatorului n antetul Authorization. Drept urmare, utilizatorul va utiliza un identificator public de utilizator temporar n cazul GIBA.
REGISTER sip:33.222.IMSI.3gppnetworks.org SIP/2.0 <sip:222330999999999@33.222.IMSI.3gppnetworks.org >;a t g <sip:222330999999999@33.222.IMSI.3gppnetworks.org > <s p: i >;xr i:[ 3 2 1 5 e p s e

Atunci cnd P-CSCF va primi aceast a doua cerere REGISTER va nelege c este utilizat procedura GIBA, deoarece eticheta 'secagree' nu este inclus n antetele Require i Proxy-Require. S-CSCF va detecta c este utilizat GIBA, deoarece nu este inclus antetul Authorization n cererea primit. Prin urmare va trimite identificatorul n antetul To i adresa IP din antetul Contact prin interfaa Cx ctre HSS. HSS verifica dac MSISDN este corelat cu IMSI oferit n identificatorul utilizatorului. Apoi verifica dac adresa IP indicat de S-CSCF a fost

atribuit de GGSN acelui MSISDN. HSS primete de la HSS adresa IP ce a fost atribuit respectivului MSISDN n timpul procedurii de stabilire a contextului PDP. Doar dac aceast verificare este validat, HSS va informa S-CSCF c autentificarea s-a ncheiat cu succes. Dup ce primete aceast informaie S-CSCF va rspunde la cerere cu 200 (ok). La completarea acestei proceduri utlizatorul este autentficat de IMS. Scenarii GIBA n tabelul 2 sunt listate scenarii posibile pentru GIBA. n cazul n care terminalul mobil suport doar GIBA, dar reeaua suport doar 3GPP AKA, P-CSCF va respinge cererea REGISTER iniial cu 421(Extension Required), indicnd c are nevoie de procedura Sip-Sec-Sgree pentru a furniza securitate IMS.
SIP/2.0 421 Extension Required Require: sec-agree

Deoarece Terminalul n acest caz nu suport 3GPP AKA, va nceta s se mai conecteze la reeaua IMS. n tabelul 2 sunt prezentate dou situaii n care conectarea la IMS nu este posibil. Acest lucru evidenieaza stadiul prematur de dezvoltare i standardizare al GIBA. Doar n reelele care ofer ambele mecanisme abonaii nu vor suferi de discontinuitatea serviciului.[11] Tabelul 2 Scenarii de inregistrare GIBA Reteaua suporta: UE suporta: Doar GIBA Doar GIBA GIBA Doar 3GPP AKA P-CSCF respinge cererea REGISTER 'GIBA' nu este posibila inregistrarea IMS 3GPP AKA Ambele UE initiaza inregistrarea 'GIBA' reteaua accepta

Doar 3GPP AKA

P-CSCF respinge cererea REGISTER initiala nu este posibila inregistrarea IMS P-CSCF respinge cererea REGISTER initiala UE trimite cererea 'GIBA'

3GPP AKA

Ambele

3GPP AKA

3GPP AKA

4. HTTP digest i AKA 3GPP

HTTP digest este specificat n [RFC2617], iar modul n care este utilizat cu SIP este specificat n [RFC3261]. IMS, din contr, face parte din arhitectura 3GPP/UMTS, care folosete mecanismul 3GPP AKA pentru autentificare. n cazul HTTP-ului, utilizatorul trebuie s-i aminteasc numele de utilizator i parola i trebuie s le furnizeze n timpul proceduri de autentificare. Pentru a realiza autentificare bazat pe 3GPP AKA n cadrul IMS, [RFC3310] definete modul n care parametrii 3GPP AKA pot fi mapai n autentificarea HTTP. Prin urmare elementele de semnalizare (parametrii i antete SIP) utilizate pentru a transporta informaii 3GPP AKA sunt identice cu cele folosite pentru HTTP digest, dar cu alt sens (de exemplu interpretarea lor de ctre terminalul mobil, de ctre S-CSCF sau de ctre PCSCF). n cererea iniial REGISTER terminalul mobil utilizeaz antetul Autorizare HTTP pentru a transporta identificatorul privat de utilizator. Pentru a ndeplini cerinele HTTP digest, terminalul include urmatoarele campuri in antetul Autorizare: Schema de autentificare -setat la valoarea 'Digest', deoarece AKA este mapat n mecanismul HTTP digest. Cmpul nume utilizator setat la identificatorul privat al utilizatorului, care va fi folosit de S-CSCF i de HSS pentru a identifica utilizatorul. Cmpurile realm i URI setate la home domain al utilizatorului; Rspunsul i cmpurile temporare- care sunt lsate necompletate. Aceste cmpuri sunt utilizate de HTTP digest, dar nu sunt utilizate n cererea iniial REGISTER. Cererea REGISTER arat acum aa: Urmeaz etapele: S-CSCF downloadeaz vectorul autentificrii(AV) de la HSS S-CSCF interogheaz terminalul mobil Terminalul mobil rspunde interogrii Protectia integritii si incheierea autentificrii HTTP cu scucces. [12]

5. Concluzii
IMS definit de ctre 3rd Generation Partnership Project(3GPP) este un subsistem care permite convergena datelor, a discursului, tehnologia reelei de telefonie mobil peste o infrastructur bazat pe IP. IMS umple golul dintre tehnologiile tradiionale de comunicaii i tehnologia Internet, permind operatorilor s ofere servicii noi, inovatoare i convingtoare. IMS ofer servicii multimedia mobile n timp real,cum ar fi servicii de voce,telefonie video,mesagerie,conferine i servicii de push.Caracteristicile IMS includ: O platform comun pentru furnizarea de servicii cu dezvoltare uoar i rapid; Gestionarea costurilor i implementare sczut; Servicii convergente; Interfee deschise i coerente pentru dezvoltatori teri;

IMS reprezint o platform standardizat, reutilizabil, care ofer o mai bun modalitate de implementare, integrare, i o mai bun extindere a consumului de date i voce de ctre utilizatori. Serviciul de implementare este eficient i uor, cu o standardizare a interfeei ISC i a punctului de referin Sh, rezultat din standardizarea interfeelor pentru integrarea serverelor de aplicaii n IMS. Exist un interes crescut n IMS, datorit capacitii sale de a revoluiona experiena utilizatorului final, cu servicii noi i inovatoare. Industria mobil face tranziia de la serviciul tradiional de voce i transmiterea de mesaje scurte la o varietate de servicii multimedia noi i interesante. Serviciul de voce i mesaje este completat de aplicaii de ultim generaie,cum ar fi sesiuni push-to-talk, aplicaii video n timp real, jocuri multimedia, partajarea de imagini i foldere, mesageria vocal, i videoconferine. IMS permite, de asemenea, mbinares serviciilor, cum ar fi trimiterea unui mediu n timp ce vorbesc, sau adaug un joc multiplayer n timpul unei sesiuni push-to-talk. Aceasta va permite, de asemenea, activarea de noi servicii ntre dispozitivele mobile i fixe TISPAN oferind convergen fix-mobil. Pe partea fix, multe aplicaii iniiate de protocolul sesiune (SIP) sunt deja disponibile, iar dezvoltatori lucreaz acum la aplicaiile SIP pentru mediul mobil. Unele dintre beneficiile oferite de IMS includ: Scderea timpului de lansare pe pia Costuri sczute Flexibilitate n alegerea echipamentelor pentru furnizori multipli Servicii care sunt mai uor de dezvoltat Servicii integrate i interoperabile Servicii personalizate Convergena fix-mobil. 3GPP/3GPP2 definesc mare parte din infrastructura IMS, Internet Engineering Task Force (IETF) elaboreaz standarde pentru privind SIP i formatele de baz pentru prezena informaiei i liste ale reprezentaiilor care vor fi schimbate ntre elementele de baz i facilitatori de servicii, i Aliana Open Mobile(OMA), care definete aplicaii care sunt construite peste infrastructura IMS.[13]

Referine:
[1], [7], [8], [9], [10], [11], [12] Miikka Poikselka,Georg Mayer, The IMS IP Multimedia Concepts and Services 3rd ed , 2009, UK;

[4], [5],[13] Syed A. Ahson,Mohammad Ilyas, IP Multimedia Subsystem Handbook (IMS), 2009, USA; [4] Martin Sauter, Beyond 3G Bringing Networks, Terminals and the Web Together, 2009, UK; [2], [3], [6] Wikipedia: http://en.wikipedia.org/wiki/IP_Multimedia_Subsystem