CUPRINS

1. Introducere ............................................................................................................................. 1
Ce este Subsistemul Multimedia IP (IMS)? ........................................................................... 1
Istoria IMS.............................................................................................................................. 1
Convergenţa Fix/Mobil .......................................................................................................... 2
Servicii ................................................................................................................................... 2
2. Principiile de bază .................................................................................................................. 3
3. Arhitectură .............................................................................................................................. 3
4. Servicii de securitate în IMS .................................................................................................. 7
Modelul de securitate pentru IMS .......................................................................................... 8
Prezentare generală a metodelor de autentificare IMS ........................................................... 8
5. Concluzii ........................................................................................................................... 15
1. Introducere
Ce este Subsistemul Multimedia IP (IMS)?

Reţelele fixe şi mobile au trecut printr-o tranziţie majoră în ultimii 20 de ani. În

domeniul telefoniei mobile, sistemele de primă generaţie (1G) au fost introduse la mijlocul
anilor 1980. Aceste sisteme au oferit servicii de bază pentru utilizatori. S-a pus accentul pe
transmisia de voce şi serviciile legate de voce. A doua generaţie de sisteme (2G) în 1990 a
adus unele îmbunătăţiri, servicii de date şi servicii suplimentare pentru utilizatori. Cea de-a
treia generaţie (3G şi 3.5G) şi evoluţia sa LTE asigură rata de date mai mare şi servicii
multimedia diverse. Pe partea fixă, reţelele de telefonie publice comutate (PSTN) şi reţelele
de servici digitale integrate (ISDN) au dominat comunicaţiile video şi de voce. În ultimii ani,
utilizarea internet-ului a explodat şi din ce în ce mai mulţi utilizatori profită de conexiunea la
Internet mai rapida şi mai ieftina cum ar fi Asymmetric Digital Subscriber Line (ADSL).
Aceste tipuri de conexiuni la internet permit conectivitate permanentă, care este o necesitate
pentru oamenii care doresc să folosească aplicaţii în timp real, cum ar fi aplicaţii chat, jocuri
online, voice over IP (VOIP). În momentul de faţă ne confruntăm cu o convergenţă rapidă a
sistemelor fixe şi mobile, datorită modelelor de dispozitive mobile care se modifică de la an la
an. Aceste dispozitive mobile au afişaje de înaltă precizie, au camere incorporate şi o mulţime
de resurse pentru aplicaţii.
În scopul comunicării, aplicaţiile bazate pe IP, trebuie să aibe un mecanism pentru a
ajunge la destinaţie. Reţeaua de telefonie oferă în prezent această sarcină critică de stabilire a
unei conexiuni. Prin apelarea punct la punct, reţeaua poate stabili o conexiune ad-hoc între
oricare două terminale din reţeaua IP.
IMS este o arhitectură globală cu acces independent şi standarde bazate pe IP şi o
arhitectură bazată pe controlul serviciilor care permite diferite tipuri de servicii multimedia
utilizatorilor finali care folosesc protocoale comune, bazate pe Internet.
O integrare reală a serviciilor de voce şi date creşte productivitatea şi eficienţa globală, în
timp ce dezvoltarea de aplicaţii inovatoare care integrează serviciul de voce, date şi servicii
multimedia va creea cereri pentru servicii noi, cum ar fi prezentă, chat-ul multimedia şi
conferinţele. Abilitatea de a combina mobilitatea şi reţeaua IP vor fi cruciale pentru succesul
serviciilor în viitor. IMS-ul este cel care introduce controlul sesiuni multimedia în domeniul
pachetelor comutate şi în acelaşi timp introduce funcţionalitatea circuitelor comutate în acest
domeniu. IMS este o tehnologie cheie pentru consolidarea reţelei.

Istoria IMS
IMS a fost iniţial definit de un forum al industriei numit 3G.IP, format în anul 1999.
3G.IP a proiectat arhitectura iniţială de IMS, care a fost predată către 3rd Generation
Partnership Project (3GPP), ca parte a muncii de standardizare pentru telefonia mobilă 3G din
reţelele UMTS. A apărut iniţial în release-ul nr. 5 (Evoluţia de la reţele 2G la reţele 3G), prin
adăugarea de sesiuni multimedia bazate pe SIP. A fost de asemenea adăugat şi suportul pentru
mai vechile reţele GSM şi GPRS.
Implementările iniţiale de IMS au fost definite pentru a permite implementări de IMS
care nu aveau suport pentru toatalitatea cerinţelor IMS-ului (implementări parţiale).
3GPP2 (o organizaţie diferită) a pus fundamentele pentru CDMA2000 Multimedia Domain
(MMD) pe 3GPP IMS, adăugând astfel suportul pentru CDMA2000.
3GPP release-ul nr 6 a adăugat interoperabilitatea cu Wireless LAN-urile.
3GPP release-ul nr 7 a adăugat interoperabilitatea cu reţelele de telefonie fixă, prin
conlucrarea cu TISPAN R1.

1
 IMS în reţele convergente

Convergenţa Fix/Mobil

IMS a fost iniţial proiectat pentru reţelele mobile, dar prin adăugarea TISPAN din
revizuirea nr. 7, reţelele de telefonie fixă sunt de asemenea suportate. Acest lucru este numit
în engleză Fixed/Mobile Convergence (FMC) - tradus în româneşte drept Convergenţa
Fix/Mobil, care a devenit mai apoi unul dintre principalele tendinţe din industria de
telecomunicaţii în anul 2005.
Viziunea este aceea ca utilizatorii să aibă un telefon cu un singur număr de telefon, o
singură agendă telefonică şi mesagerie vocală, care să profite de preţul redus şi lăţimea mare
de bandă a liniilor fixe de acasă, precum şi de mobilitatea pe care o oferă reţelele de telefonie
mobilă. IMS-ul include de asemenea transferul fără întreruperi ale apelului telefonic între
liniile fixe de telefonie şi reţeaua de telefonie mobilă.
Companiile de telefonie pot oferi servicii utilizatorilor fără a fi limitate de locul în care
sunt aceştia, sau modul de acces, sau modelul terminalului. IMS garantează interoperabilitatea
dintre sistemele telefonice existente, dar şi o cale de modernizare spre sesiuni multimedia
(precum videotelefoanele).
Criticii spun ca operatorii de telefonie fixă sunt interesaţi în principal de extinderea serviciilor
lor în spaţiul operatorilor de telefonie mobilă (şi vice-versa), reducându-şi în acelaşi timp
costurile operaţionale prin folosirea tehnologiei Voce peste IP.

Servicii

 Telefonia, ca principală aplicaţie

2
  Între reţele atunci când utilizatorul iese din acoperirea unei reţele. Mai mult soluţiile
avansate de IMS vor oferii handover-ul apelurilor de voce către o reţea 2G atunci când
se pierdea acoperirea.
 IMS permite apeluri video cu avantajul asupra actualelor apeluri video 3G bazate pe
CS că fluxul video poate fi inserat sau abandonat in orice moment in timpul sesiunii
 Mesagerie instantă si de prezenţă (PRIM)
 Sesiuni de voice si video in conferintă cu 3 sau mai multe părţi.
 Mesaje Push si servicii video precum trimiterea mesajelor clientilor atunci cand echpa
lor favorită a inscris un gol, când s-a intamplat ceva palpitant in timpul Formulei 1
ş.a.m.d.
 Sincronizarea calendarului pentru toate dispozitivele IMS
 Servicii de trezire cu auto raspuns si cu melodiile sau ştirile preferate ale utilizatorului
 Evenimente audio si transmisiuni video live
 Un singur numar de telefon/ o singură identitate pentru toate dispozitivele unui
utilizator
 Notificări ale evenimentelor importante (zile de nastere, etc)
 Redirecţionarea apelului, Transferul apelului
 Interceptare legală
 Location based services
 Mesagerie vocală
 Apel în aşteptare, Call holding, Push to talk
 O sesiune poate fi mutată de pe un dispozitiv pe altul in timp ce rulează. Un apel video
de exemplu poate fi acceptat pe un telefon mobil, dar transferat catre sistemul de home
entertainment atunci când utilizatorul ajunge acasă. Acest transfer implică şi
modificarea parametrilor sesiunii.

2. Principiile de bază
 Independenţa accesului: IMS va lucra probabil cu orice reţea (fixă, mobilă sau
wireless) cu comutaţie de pachete, precum GPRS, UMTS, CDMA2000, WLAN,
WiMAX, DSL, cablu. Sistemele învechite cu comutaţie de circuite (POTS, GSM) sunt
suportate prin intermediul unor gateway-uri. Interfeţele deschise dintre nivelele de
control şi servicii permit combinarea elementelor şi apelurilor/sesiunilor din diferite
tipuri de reţele.
 Diferite arhitecturi de reţea: IMS permite operatorilor şi furnizorilor folosirea
diferitelor arhitecturi de reţea.
 Mobilitatea utilizatorilor şi a terminalelor: Reţeaua mobilă asigură mobilitatea
terminalelor (roaming), iar mobilitatea utilizatorilor este asigurată prin IMS şi SIP.
 Generalizarea serviciilor bazate pe protocolul IP: IMS ar trebui să uşureze oferirea
oricărui serviciu bazat pe IP. Printre exemple putem include VoIP, Push to talk over
cellular (POC), jocuri multi utilizatori, videoconferinţă, mesagerie, servicii
comunitare, informaţii de presence şi distribuţia de conţinut. Cel mai vizibil rezultat al
suportului pentru un asemenea standard ar trebui să fie faptul că nu ar mai fi nici o
diferenţă între o convorbire telefonică mobil-mobil sau mobil-fix şi ceea ce astăzi este
înţeles prin navigarea pe internet cu ajutorul unui browser web. Reţeaua ar trebui să fie
unificată şi transparentă din punct de vedere logic.

3. Arhitectură

3
 Unul dintre obiectivele majore ale IMS a fost acela de a crea o platformă flexibilă care
poate fi scalată pentru reţele cu zeci de mii la zeci de milioane de abonaţi. Standardele IMS
definesc componente logice, mesajele transmise între ele şi modul în care aplicaţiile interne
pot pot utiliza IMS pentru a oferi servicii utilizatorilor. În practică, asta ţine de furnizorii de
infrastructură şi operatori de reţea să decidă ce componente logice trebuie combinate într-un
dispozitiv fizic în funcţie de mărimea reţelei. Este probabil ca primele implementări să co-
localizeze multe funcţii logice într-un singur dispozitiv, deoarece la început vor fi foarte
puţini utilizatori IMS, care, în schimb nu solicită un sistem distribuit mare. Pe măsură ce
reţeaua creşte, unele funcţii migrează către dispozitive fizice de sine stătătoare şi o entitate
unică ar putea fi distribuită pe mai multe dispozitive pentru a-şi împărţi funcţiile şi a asigura
redundanţă.
IMS a fost definită de două organisme de standardizare, în strânsă cooperare. Principala
arhitectură, componentele logice şi interconectările dintre ele sunt standardizate de 3GPP.
Cele mai utilizate protocoale utilizate între componente, cum ar fi SIP, Diameter, Megaco,
Cops, şi aşa mai departe sunt standardizate de către Internet Society‘s Internet Engineering
Task Force (IETF). Această modificare a fost făcută cu scopul de a utiliza
cât mai multe protocoale de internet gratis pentru IMS, decât să folosească protocoale
particulare/patentate.
Aceasta permite interoperabilitatea cu alte sisteme bazate pe sesiune prin utilizarea
standardelor deschise în viitor. Ruptura este, de asemenea benefică, deoarece IETF are o
expertiză puternică în ceea ce priveşte protocoalele IP în timp ce 3GPP se axează pe aspectele
legate de mobilitate şi arhitectura reţelei.

Componentele de bază ale unui cadru IMS

Figura prezintă principalele componente necesare nivelului aplicaţie pentru a asigura o soluţie
de bază IMS. Standardele IMS definesc mai multe entităţi funcţionale suplimentare. Figura nu
prezintă funcţiile de bază pentru transport ale reţelelor fixe şi fără fir. Acest lucru a fost făcut
pentru claritate, dar şi pentru faptul că o mare parte din IMS este complet independentă de

4
partea de acces şi de transport. Doar câteva părţi din IMS comunica cu reţeaua de transport
pentru a asigura QoS şi pentru a preveni utilizarea eronată a serviciului.

Arhitectura IMS

Principalele părţi ale unei reţele IMS sunt:

 Baza de date a utilizatorilor HSS (Home Subscriber Server) este baza de date primară
care oferă suport pentru entităţile din reţeaua IMS care administrează apelurile
telefonice/sesiunile. Ea conţine informaţii legate de modul de subscriere al
utilizatorului (profilul utilizatorului), face autentificarea şi autorizarea utilizatorilor, şi
poate oferi informaţii despre locaţia fizică a utilizatorilor. Este similar cu HLR-ul şi
AUC din reţeaua GSM. Pentru IMS un al treilea bloc a fost adăugat la HSS/HLR unde
sunt stocate profilele de utilizatori pentru abonaţii IMS. Un profil de utilizator IMS
cuprinde informaţii precum identităţile utilizatorului conectate la o abonare, care
servicii are voie utilizatorul să solicite şi informaţii despre cum ar trebui tratate
cererile primite atunci când utilizatorul nu este înregistrat (de exemplu expedierea
către căsuţa vocală). Componente IMS precum I-CSCF şi S-CSCF sunt conectate la
HSS printr-o conexiune IP. Protocolul utilizat pentru recuperarea şi actualizarea
înregistrărilor din HSS este Diameter. Diameter nu este o abreviere, ci un joc de
cuvinte bazat pe predecesorul său, protocolul Radius (Remote Authentication Dial În
User Service) (platforma centrală AAA și utilajului de acces Dial-UP). În practică, de
obicei, o reţea stochează informaţii despre un utilizator în toate cele 3 părţi ale HSS.
Informaţii de abonare CS sunt necesare în caz că utilizatorul doreşte să utilizeze
servicii CS precum SMS sau voce (atunci când se realizează roaming în afara zonei
acoperite în are apelurile de voce IMS sunt suportate). Utilizatorul trebuie de
asemenea să fie asigurat în partea de GPRS a HSS, deoarece utilizarea unui serviciu

5
 IMS este posibilă din reţele GSM/UMTS/HSPA/LTE doar atunci când a fost stabilită
o conexiune PS la reţea (prin intermediul unui APN).
Structura HSS
În final un utilizator trebuie să aibe un profil de utilizator pentru servicii IMS altfel nu
poate utiliza niciun serviciu IMS. Reţelele mari pot avea câteva entităţi HSS din

motive de capacitate. În acest caz CSCF urile trebuie să interogheze o bază de date ce
conţine informaţii despre ce abonat este administrat de care HSS. Această sarcină este
coordonată de SLF (Subscription Locator Function).

 Un SLF (Subscriber Location Function) este necesar atunci când sunt utilizate mai
multe HSS-uri. Atât HSS cât şi SLF implementează protocolul DIAMETER
(interfeţele Cx, Dx şi Sh). SLF nu stă în calea de semnalizare dintre CSCF uri şi HSS
uri, dar se comportă precum o bază de date de sine stătătoare ce poate fi interogată
utilizând protocolul Diameter pentru a returna adresa IP a HSS ului responsabil pentru
un anumit abonat care urmează după dialogul Diameter cu HSS pentru a returna
informaţia abonării. SLF este o componentă opţională şi de aceea nu este ilustrată în
figura 2. Nu este necesară dacă există o singură bază HSS în reţea.

 P-CSCF (Proxy-Call Session Control Function) este un proxy SIP care este primul
punct de contact pentru terminalul IMS. El se poate afla atât în reţeaua vizitată (în
reţelele care implementează pe deplin IMS) sau în cadrul reţelei de bază (când reţeaua
vizitată nu este încă compatibilă IMS). Anumite reţele pot folosi un Session Border
Controller care să îndeplinească această funcţie. Terminalul îşi va afla propriul P-
CSCF fie prin intermediul DHCP-ului, sau aceasta îi va fi alocat în Contextul PDP
(din GPRS).
o îi este asignat terminalului IMS la înregistrare şi nu se schimbă în perioada în
care terminalul este înregistrat
o stă în calea mesajelor de semnalizare şi inspectează fiecare mesaj
o autentifică utilizatorul şi stabileşte asociaţia de securitate IPsec cu terminalul
IMS. Aceasta previne atacurile de tip spoofing şi atacurile de tip replay şi
protejează confidenţialitatea utilizatorilor. Alte noduri se încred în P-CSCF, şi
nu cer ca utilizatorul să se autentifice şi la ele.
o poate de asemenea să compreseze şi să decompreseze mesajele SIP folosind
SigComp, care duce la reducerea distanţei round-trip pentru legăturile radio
(care sunt destul de încete)
o poate să includă un PDF (Policy Decision Function), care autorizează resursele
din planul media, precum quality of service (QoS) din planul media. Este
utilizat pentru controlul drepturilor de acces, administrarea lăţimii de bandă,
etc... PDF poate de asemenea să fie o funcţie separată.
o generează de asemenea înregistrări folosite pentru taxarea serviciilor

 I-CSCF (Interrogating-Call Session Control Function) este un proxy SIP proxy aflat la
marginea domeniului administrativ. Adresa IP este publicată în serverele DNS ale
domeniului (folosind tipurile NAPTR şi SRV ale serverului de nume), astfel încât

6
 serverele îndepărtate (ex: un P-CSCF dintr-un domeniu vizitat, sau un S-CSCF dintr-
un domeniu străin) îl poate localiza şi folosi ca punct de intrare pentru toate pachetele
SIP ale unui domeniu. I-CSCF interoghează HSS folosind interfeţele Cx şi Dx ale
DIAMETER-ului, pentru a localiza utilizatorul şi pentru a transmite apelurile SIP
către S-CSCF de care aparţine. Până la Release 6 el poate fi folosit pentru a ascunde
reţeaua internă pentru lumea din exterior (prin criptarea mesajelor SIP), caz în care
este numit THIG (Topology Hiding Interface Gateway). Începând cu Release 7
această funcţie a fost scoasă din îndatoririle I-CSCF-ului, ea ţinând de IBCF
(Interconnection Border Control Function). IBCF este folosit drept gateway pentru
reţelele externe, asigurând funcţiile de NAT şi Firewall.

 S-CSCF (Serving-Call Session Control Function) este nodul central din planul
apelului. Este un server SIP, dar asigură şi controlul sesiunii în acelaşi timp. Se află în
reţeaua de bază. S-CSCF foloseşte interfeţele Cx şi Dx din DIAMETER până la HSS
pentru a descărca şi încărca profile de utilizatori - nu are o stocare locală a
utilizatorilor.
o se ocupă de cererile de înregistrare SIP, care îi permit să asocieze localizarea
utilizatorului (ex: adresa IP a terminalului) şi adresa SIP
o prelucrează şi filtrează toate mesajele de semnalizare
o decide care server aplicaţie va primi mesajul SIP, pentru ca acesta să ofere
serviciul
o asigură servicii de routare, de obicei folosind interogări de tip ENUM
o pune în aplicare politică operatorului de reţea

 ASs (servere de aplicaţie) implementează funcţiile aplicaţie, oferind utilizatorilor

servicii bazate pe sesiune. Serverele de aplicaţie oferă interfeţe API precum
OSA/Parlay sau servlet SIP pentru executarea aplicaţiilor.
 Sistemul utilizatorului final IMS. Pe lângă suportul de bază pentru conectivitate (de
exemplu GPRS, WLAN), oferă şi suport pentru protocoalele IMS, şi anume SIP, şi
codecuri media pentru aplicaţiile multimedia.

Reţeaua de Access

Utilizatorul se poate conecta la o reţea IMS folosind diferite metode, dar toate folosesc
protocolul standard Internet Protocol (IP). Dispozitivele IMS (telefoanele mobile, PDA-urile,
calculatoarele), se pot înregistra direct într-o reţea IMS, chiar dacă sunt în roaming într-o altă
ţară sau o reţea străină (reţea vizitată). Singura cerinţă este să folosească IPv6 (de asemenea
IPv4 din 'Early IMS') şi să ruleze agenţi SIP. Accesul fix (exemplu: DSL, modemurile de
cablu, Ethernet), accesul mobil (W-CDMA, CDMA2000, GSM, GPRS) şi accesul fără fir
(WLAN, WiMAX) sunt toate suportate. Alte sisteme telefonice precum POTS (vechile
telefoane analogice), H.323 şi sistemele VoIP incompatibile IMS sunt suportate prin
intermediul unor gateway-uri.

4. Servicii de securitate în IMS

Acest capitol îşi propune să explice cum funcţionează securitatea în IMS, va oferi astfel o
imagine la nivel înalt a arhitecturi de securitate şi va explica, componentele acestei arhitecturi,

7
inclusiv modelele şi protocoalele folosite pentru a oferi caracteristicile necesare pentru a
asigura securitatea.

Modelul de securitate pentru IMS

Arhitectura modelului de securitate pentru IMS este alcătuită din 3 nivele de blocuri,
primul nivel este reprezentat de Network Domain Security (NDS), care asigură securitate IP
între diferite domenii şi noduri în cadrul unui domeniu. Alături de NDS apare şi nivelul de
acces al securităţii IMS.Accesul securităţii pentru serviciile bazate pe SIP este o componentă
de sine stătătoare, cu excepţia faptului că parametrii de securitate pentru aceasta sunt derivaţi
din autentificarea UMTS şi protocolul AKA (KEY Agreement). Protocolul AKA este folosit
pentru procesul de bootstrap şi anume, cheile şi certificările sunt derivate din acreditări AKA
ulterior utilizate pentru asigurarea aplicaţiilor care rulează pe protocolul de transfer sau
transport Hypertext, printre altele-în ceea ce se numeşte Arhitectură de Autentificare Generică
(GAA).
Intenţionat lăsate în afara acestui model arhitectural sunt acele nivele de securitate
superioare securităţii de acces IMS sau cele care rulează după nivelul NDS. De exemplu, în
UMTS nivelul de acces radio pune în aplicare propriul set de caracteristici de securitate,
inclusiv cifrarea şi integritatea mesajului. Cu toate acestea, IMS-ul este proiectat într-un mod
care nu depinde de existenţa altor securităţi de acces sau de securitatea plan-utilizator.

Prezentare generală a metodelor de autentificare IMS

Ori de câte ori un utilizator doreşte să acceseze reţeaua IMS, utilizatorul va fi

autentificat, asta înseamnă că reţeaua se va asigura ca acesta este utilizatorul care va accesa
reţeaua, şi nu un alt utilizator „rău intenţionat”. Autentificarea în IMS este realizată în moduri
diferite în cadrul IMS, cea mai mare parte fiind dependentă de tehnologia de acces la reţea
utilizată şi de preferinţele operatorului de reţea.
Autentificarea este tratată de CSCF în timp ce utilizatorul se loghează, Serverul de Aplicaţie
SIP (AS) poate verifica dacă utilizatorul a fost autentificat.
Informaţia de autentificare este utilizată pentru a verifica corectitudinea cererii şi pentru
a stabilii o conexiune criptată pentru întreschimbarea mesajelor de semnalizare. Informaţia de
autentificare este folosită mai târziu în timpul realizării unui apel video sau de voce pentru a
cripta calea vocii din conexiune. De reţinut ca inter schimbarea mesajelor nu este bazată pe
IP, ci pe o stivă de protocoale de semnalizare în afara benzii, numită SS7. În afara benzii
înseamnă ca mesajele sunt interschimbate prin conexiuni dedicate de semnalizare, care nu
sunt folosite pentru transportul semnalelor de voce sau video de tip CS.

Următoarele mecanisme de autentificare sunt definite în prezent în IMS:

8
 Autentificarea 3GPP şi acordul cheii (AKA), care utilizează mecanismul general AKA
al 3GPP, care este, de asemenea, utilizat în cadrul celei de-a treia generaţii CS şi la
reţelele GPRS.3GPP AKA se bazează pe un secret partajat între utilizator (stocat pe
cardul UICC) şi reţea (stocat în HSS) şi se efectuează automat fără interacţiune din
partea nici unui utilizator.

 Autentificare bazată pe combinaţia Network Access Subsystem si IMS (NBA, Network

Access Subsystem (NASS)-IMS-bundled authentication), aceasta fiind o metodă utilizată în
principal de reţele fixe/TISPAN şi se bazează pe securitatea disponibilă din straturile
inferioare, în scopul de a autentifica utilizatorul. În cazul utilizări metodei de
autentificare NBA nu este nevoie de o procedură de autentificarea specifică IMS sau
SIP.

 Autentificare „amestecată” GPRS-IMS (GIBA), denumită anterior „începutul

securităţii în IMS”, care este desfăşurat în cadrul reţelelor 3GPP care nu oferă
infrastructură pentru securitate IMS deplină, de exemplu reţele cu implementări IMS
timpurii care nu utilizează IPSec şi AKA 3GPP pentru IMS. GIBA se bazează pe
nivelul de securitate al GPRS si, prin urmare, nu sunt necesare proceduri specifice de
autentificare IMS sau SIP

 Începând de la release 8 al 3GPP, HTTP va fi o metodă de autentificare în cadrul IMS.

Rezumatul HTTP-ului este publicat de către IETF în [RFC 2617]. Acesta se bazează
pe user şi parola comună pentru utilizator şi reţea (în cazul în care este stocat în HSS).
În cazul HTTP-ului, utilizatorul trebuie să-şi amintească numele de utilizator şi parola
şi trebuie să le furnizeze în timpul proceduri de autentificare, adică nu există stocare
UICC, care ar permite stocarea automată.

Arhitectura Securităţii pentru IMS

1. Autentificarea şi acordul cheii (AKA)

9
 Securitatea în IMS se bazează pe un cod secret pe termen lung, împărţit între ISIM şi
centrul de autentificare al reţelei la domiciliu (AUC). Cel mai important nivel din arhitectura
IMS este modulul ISIM, care este conceput ca o arhivă pentru cheile secrete (K) şi care
însoţeşte algoritmi AKA, şi este de obicei încorporat într-un dispozitiv cu, card de memorie
numit Card al Circuitului Integrat Universal (Universal Integrated Circuit Card (UICC)).
Accesul la secretele comune este limitat. Modulul preia parametri AKA ca date de intrare iar
ca date de ieşire parametri AKA rezultaţi. Astfel, nu se expune niciodată secretul comun către
lumea exterioară.
Dispozitivul pe care este stabilit ISIM este rezistent la „capcane”, astfel încât, chiar şi
accesul fizic este puţin probabil să aibă ca rezultat expunerea cheii secrete. Pentru a proteja
ISIM de accesul neautorizat, utilizatorul este de obicei obiectul unor mecanisme de securitate
a domeniului. În esenţă, acest lucru înseamnă ca pentru a rula AKA pe ISIM, utilizatorului i
se cere un cod PIN. Combinaţia de proprietate, de exemplu, accesul la un dispozitiv al
nivelului fizic (UICC/ISIM) şi cunoaşterea codului PIN secret-face ca arhitectura securităţii
IMS să fie robustă. Un atacator trebuie să aibe în posesie atât “ceva ce şti utilizatorul” cât şi
“ceva ce posedă utilizatorul”, ceea ce este dificil atât timp cât există un nivel de îngrijire din
partea utilizatorului.

Parametrii AKA
Parametrul Lungime (bits) Descriere
AKA
K 128 Secret partajat; cheia pentru autentificare partajată
între reţea şi terminalul mobil.
RAND 128 Cerere de autentificare aleatoare generată de reţea
AUTN 128 Token de autentificare (al retelei)
SQN 48 Număr secvenţial ce urmăreşte secvenţa procedurilor
de autentificare
AUTS 112 Token de sincronizare generat de ISIM după detectarea
unei erori de sincronizarea
RES 32-128 Răspunsulde autentificare generat de ISIM
CK 128 Cheie de criptare generată în timpul autentificarea-i atât
e reţea cât şi de ISIM
IK 128 Cheie de integritate generată în timpul autentificării
atât de reţea cât şi de ISIM

AKA realizează autentificarea mutuală atât a ISIM cât şi a AUC şi stabileşte o pereche
de chei de integritate şi de criptare. Procedura de autentificare este setată de reţea utilizând
cereri de autentificare ce conţin o cerere aleatoare (RAND) şi un token de autentificare la
reţea (AUTN). ISIM verifică AUTN şi prin aceasta verifică şi autenticitatea reţelei în sine.
Fiecare capăt deţine un număr secvenţial pentru fiecare rundă de proceduri de autentificare.
Dacă ISIM detectează o cerere de autentificare al cărei număr secvenţial este eronat, atunci
renunţă la autentificare şi raportează reţelei cu un mesaj de eroare de sincronizare incluzând în
el numărul secvenţial corect. Acesta este un alt concept de nivel înalt ce oferă protecţie anti-
reply.
Pentru a răspunde cererii de autentificare a reţelei, ISIM aplică cheia secretă lui RAND pentru
a produce răspunsul de autentificare (RES). RES este verificat de reţea pentru a autentifica
ISIM. La acest punct Terminalul Mobil şi reţeaua s-au autentificat cu succes u nul altuia şi ca
produs secundat au generat de asemenea şi o pereche de chei de sesiune: Cheia de criptare CK

10
şi cheia de integritate IK. Aceste chei pot fi folosite pentru a securiza comunicarea dintre două
entităţi. Tabelul 1 prezintă parametrii AKA principali şi semnificaţia lor.

2. Autentificarea NBA

Într-o reţea TISPAN NGN, terminalul mobil de tip IMS este ataşat de obicei printr-o
legătură directă la un subsystem NASS, care oferă partea de transport inferior (precum IP)
între terminalul mobil şi reţea.
Există o multitudine de metode prin care terminalul mobil este autentificat de NASS.
NASS aparţine reţelei de acces (este localizat între terminalul mobil şi P-SCCF) şi constă într-
o varietate de elemente de reţea (care formează subsistemul).
Terminalul mobil dintr-un NGN TISPAN are o conexiune fixă cu NGN, care nu se modifică
permanent, precum în reţelele mobile (de exemplu reţelele 3GPP UMTS). Odată ce terminalul
mobil este pornit, cere o adresă IP de la NASS şi în timp ce adresa este asignată, Terminalul
mobil este autentificat la nivel inferior. Terminalul este acum identificat prin line-id-ul
configurat, care este stocat în NASS şi este utilizat drept nume pentru utilizatorul autentificat.
Odată autentificat terminalul la NGN, poate realiza înregistrarea IMS, în timpul căreia
va avea loc autentificarea utilizatorului. Terminalul mobil trimite o cerere SIP REGISTER
către P-CSCF. Cererea Register nu vă include nicio informaţie legată de autentificare. P-
CSCF ştie adresa IP a UE şi ştie pe baza configuraţiei locale şi a politicii operatorului că
această adresa a fost asignată de un anumit NASS. P-CSCF interoghează NASS, care
returnează line-id-ul. P-CSCF include apoi line-id-ul în antetul P-Access-Network-Info din
cererea Register şi trimite cererea către I-CSCF şi S-CSCF, pe baza procedurilor IMS
normale.
Odată ce cererea Register a ajuns la S-CSCF, S-CSCF trebuie să aibe grijă ca utilizatorul să
fie autentificat. Prin urmare trimite o cerere Multimedia-Auth Diameter (MAR) către HSS,
indicând identitatea publică a utilizatorului înregistrată.

Autentificare NASS

11
 HSS are deasemenea o conexiune către NASS, ce nu a fost standardizată de exemplu
modul cum această conexiune este realizată este lăsat la nivelul implementărilor individuale
ale HSS şi NASS. In orice caz HSS este conştient că terminalul mobil care se înregistrează
momentan s-a ataşat la HSS. HSS cunoaşte deasemenea detaliile autentificării de nivel
inferior a terminalului şi prin urmare răspunde S-CSCF cu un Răspuns Multimedia-Auth (MAA)
care include line-id şi profilul de utilizator. S-CSCF compară acum line-id-ul primit în cererea
REGISTER de la UE, în antetul P-Access-Network-Info cu line-id-ul primit de la USPF în MAA.
Dacă acestea coincid utilizatorul este autentificat şi S-CSCF va răspunde imediat la cererea
REGISTER cu un răspuns 200 (ok), fără să mai interogheze terminalul mobil.
Astfel, procedurile NBA nu autentifică utilizatorul sau terminalul mobil, ele bazându-se pe
autentificarea ce a avut deja loc la nivelele inferioare când UE s-a asociat la NASS.

3. GPRS-IMS-Bundled Authentication (GIBA)

Un exemplu de înregistrare IMS cu ajutorul GIBA:

Atunci cand UE stabileşte un context de semnalizare PDP pentru IMS, GGSN va crea o cerere
RADIUS către GGSN în care va specifica numărul MSISDN (Mobile Subscriber Integrated
Services Digital Network) al utilizatorului (de exemplu numărul de telefon) precum şi adresa IP
pentru contextul PDP specific IMS.
După stabilirea acestui context de semnalizare, terminalul mobil va trimite o cerere
iniţială REGISTER, aşa cum este descris în capitolul anterior, incluzând antetul
Authorization, un antet Security-Client precum şi eticheta 'sec-agree' în antetele Require şi
Proxy-Require:

REGISTER sip:home1.fr SIP/2.0

From: <sip:tobias@home1.fr>;tag=pohja
To: <sip:tobias@home1.fr>
Authorization: Digest username="tobias private@home1.fr",
realm="home1.fr", nonce="",
uri="sip:home1.fr", response=""
Security-Client: digest, IPsec-3gpp; alg=hmac-sha-1-96
;spi-c=23456789 ;spi-s=12345678
;port-c=2468; port-s=1357
Require: sec-agree
Proxy-Require: sec-agree
Contact: "Mobile Phone – Tobias" <sip:[5555::1:2:3:4]:1357>
;expires=600000

Când P-CSCF, care în acest exemplu suportă doar GIBA, primeşte cererea
REGISTER, acesta o va respinge cu un răspuns 420(unsupported) indicând că nu suportă
extensia Sip-Sec-Agree.
SIP/2.0 420 Unsupported
Unsupported: sec-agr

Aceasta respingere este utilizată de către Terminalul Mobil drept o înştiinţare că trebuie
aplicată procedura GIBA. Din aceste motive UE va construi un nou mesaj REGISTER, care
nu conţine antetele Authorization şi Proxy-Require.

12
 Exemplu de realizare a securitatii IMS

Informaţiile utilizate în cererea REGISTER trebuie să provină din aplicaţia USIM a

terminalului mobil. Ceea ce înseamnă că terminalul mobil, chiar dacă este echipat cu o
aplicaţie ISIM (în cazul GIBA) trebuie totuşi să extragă informaţiile din USIM. Acest lucru
este necesar deoarece a doua cerere REGISTER nu include identificatorul public al
utilizatorului în antetul ‘Authorization’. Drept urmare, utilizatorul va utiliza un identificator
public de utilizator temporar în cazul GIBA.
REGISTER sip:33.222.IMSI.3gppnetworks.org SIP/2.0
From: <sip:222330999999999@33.222.IMSI.3gppnetworks.org>;tag=t2
To: <sip:222330999999999@33.222.IMSI.3gppnetworks.org>
Contact: "Mobile Phone – Tobias" <sip:[5555::1:2:3:4]:1357>;expires=600000

Atunci când P-CSCF va primi această a doua cerere REGISTER va înţelege că este utilizată
procedura GIBA, deoarece eticheta 'sec-agree' nu este inclusă în antetele Require şi Proxy-
Require. S-CSCF va detecta că este utilizată GIBA, deoarece nu este inclus antetul
Authorization în cererea primită. Prin urmare va trimite identificatorul în antetul ‘To’ şi
adresa IP din antetul ‘Contact’ prin interfaţa Cx către HSS.
HSS verifica dacă MSISDN este corelat cu IMSI oferit în identificatorul utilizatorului. Apoi
verifica dacă adresa IP indicată de S-CSCF a fost atribuită de GGSN acelui MSISDN. HSS
primeşte de la HSS adresa IP ce a fost atribuită respectivului MSISDN în timpul procedurii de
stabilire a contextului PDP. Doar dacă această verificare este validată, HSS va informa S-
CSCF că autentificarea s-a încheiat cu succes. După ce primeşte această informaţie S-CSCF

13
va răspunde la cerere cu 200 (ok). La completarea acestei proceduri utlizatorul este autentficat
de IMS.

Scenarii GIBA
În tabelul 2 sunt listate scenarii posibile pentru GIBA. În cazul în care terminalul mobil
suportă doar GIBA, dar reţeaua suportă doar 3GPP AKA, P-CSCF va respinge cererea
REGISTER iniţială cu 421(Extension Required), indicând că are nevoie de procedura Sip-
Sec-Sgree pentru a furniza securitate IMS.
SIP/2.0 421 Extension Required
Require: sec-agree

Deoarece Terminalul în acest caz nu suportă 3GPP AKA, va înceta să se mai conecteze la
reţeaua IMS.
În tabelul 2 sunt prezentate două situaţii în care conectarea la IMS nu este posibilă. Acest
lucru evidenţieaza stadiul prematur de dezvoltare şi standardizare al GIBA. Doar în reţelele
care oferă ambele mecanisme abonaţii nu vor suferi de discontinuitatea serviciului.

Scenarii de inregistrare GIBA

Reteaua suporta:
UE suporta: Doar GIBA Doar 3GPP AKA Ambele
Doar GIBA GIBA P-CSCF respinge UE initiaza
cererea REGISTER inregistrarea 'GIBA'
'GIBA' – nu este – reteaua accepta
posibila inregistrarea
IMS
Doar 3GPP P-CSCF respinge 3GPP AKA 3GPP AKA
AKA cererea REGISTER
initiala – nu este
posibila inregistrarea
IMS
Ambele P-CSCF respinge 3GPP AKA 3GPP AKA
cererea REGISTER
initiala – UE trimite
cererea 'GIBA'

4. HTTP digest şi AKA 3GPP

HTTP digest este specificat în [RFC2617], iar modul în care este utilizat cu SIP este
specificat în [RFC3261]. IMS, din contră, face parte din arhitectura 3GPP/UMTS, care
foloseşte mecanismul 3GPP AKA pentru autentificare.
În cazul HTTP-ului, utilizatorul trebuie să-şi amintească numele de utilizator şi parola
şi trebuie să le furnizeze în timpul proceduri de autentificare.
Pentru a realiza autentificare bazată pe 3GPP AKA în cadrul IMS, [RFC3310] defineşte
modul în care parametrii 3GPP AKA pot fi mapaţi în autentificarea HTTP. Prin urmare
elementele de semnalizare (parametrii şi antete SIP) utilizate pentru a transporta informaţii
3GPP AKA sunt identice cu cele folosite pentru HTTP digest, dar cu alt sens (de exemplu
interpretarea lor de către terminalul mobil, de către S-CSCF sau de către P-CSCF).

14
 În cererea iniţială REGISTER terminalul mobil utilizează antetul Autorizare HTTP
pentru a transporta identificatorul privat de utilizator. Pentru a îndeplini cerinţele HTTP
digest, terminalul include urmatoarele campuri in antetul Autorizare:
• Schema de autentificare -setat la valoarea 'Digest', deoarece AKA este mapată în
mecanismul HTTP digest.
• Câmpul nume utilizator – setat la identificatorul privat al utilizatorului, care va fi folosit de
S-CSCF şi de HSS pentru a identifica utilizatorul.
• Câmpurile ‘realm’ şi ‘URI’ – setate la home domain al utilizatorului;
• Răspunsul şi câmpurile temporare- care sunt lăsate necompletate. Aceste câmpuri sunt
utilizate de HTTP digest, dar nu sunt utilizate în cererea iniţială REGISTER.
Cererea REGISTER arată acum aşa:

REGISTER sip:home1.fr SIP/2.0

Authorization: Digest username="tobias private@home1.fr",
realm="home1.fr",
nonce="",
uri="sip:home1.fr",
response=""

Urmează etapele:
 S-CSCF downloadează vectorul autentificării(AV) de la HSS
 S-CSCF interoghează terminalul mobil
 Terminalul mobil răspunde interogării
 Protectia integrităţii si incheierea autentificării HTTP cu scucces.

5. Concluzii

IMS definit de către 3rd Generation Partnership Project(3GPP) este un subsistem care
permite convergenţa datelor, a discursului, tehnologia reţelei de telefonie mobilă peste o
infrastructură bazată pe IP. IMS umple golul dintre tehnologiile tradiţionale de comunicaţii şi
tehnologia Internet, permiţând operatorilor să ofere servicii noi, inovatoare şi convingătoare.
IMS oferă servicii multimedia mobile în timp real,cum ar fi servicii de voce,telefonie
video,mesagerie,conferinţe şi servicii de push.Caracteristicile IMS includ:
 O platformă comună pentru furnizarea de servicii cu dezvoltare uşoară şi rapidă;
 Gestionarea costurilor şi implementare scăzută;
 Servicii convergente;
 Interfeţe deschise şi coerente pentru dezvoltatori terţi;

IMS reprezintă o platformă standardizată, reutilizabilă, care oferă o mai bună modalitate
de implementare, integrare, şi o mai bună extindere a consumului de date şi voce de către
utilizatori. Serviciul de implementare este eficient şi uşor, cu o standardizare a interfeţei ISC
şi a punctului de referinţă Sh, rezultat din standardizarea interfeţelor pentru integrarea
serverelor de aplicaţii în IMS.
Există un interes crescut în IMS, datorită capacităţii sale de a revoluţiona experienţa
utilizatorului final, cu servicii noi şi inovatoare. Industria mobilă face tranziţia de la serviciul
tradiţional de voce şi transmiterea de mesaje scurte la o varietate de servicii multimedia noi şi
interesante. Serviciul de voce şi mesaje este completat de aplicaţii de ultimă generaţie,cum ar
fi sesiuni push-to-talk, aplicaţii video în timp real, jocuri multimedia, partajarea de imagini şi
foldere, mesageria vocală, şi videoconferinţe.

15
 IMS permite, de asemenea, îmbinares serviciilor, cum ar fi trimiterea unui mediu în
timp ce vorbesc, sau adaugă un joc multiplayer în timpul unei sesiuni push-to-talk. Aceasta va
permite, de asemenea, activarea de noi servicii între dispozitivele mobile şi fixe TISPAN
oferind convergenţă fix-mobil. Pe partea fixă, multe aplicaţii iniţiate de protocolul sesiune
(SIP) sunt deja disponibile, iar dezvoltatori lucrează acum la aplicaţiile SIP pentru mediul
mobil.
Unele dintre beneficiile oferite de IMS includ:
 Scăderea timpului de lansare pe piaţă
 Costuri scăzute
 Flexibilitate în alegerea echipamentelor pentru furnizori multipli
 Servicii care sunt mai uşor de dezvoltat
 Servicii integrate şi interoperabile
 Servicii personalizate
 Convergenţa fix-mobil.

3GPP/3GPP2 definesc mare parte din infrastructura IMS, Internet Engineering Task
Force (IETF) elaborează standarde pentru privind SIP şi formatele de bază pentru prezenţa
informaţiei şi liste ale reprezentaţiilor care vor fi schimbate între elementele de bază şi
facilitatori de servicii, şi Alianţa Open Mobile(OMA), care defineşte aplicaţii care sunt
construite peste infrastructura IMS.

Referinţe:
Miikka Poikselka,Georg Mayer, ’The IMS IP Multimedia Concepts and Services 3rd ed’ ,
2009, UK;
Syed A. Ahson,Mohammad Ilyas, ’IP Multimedia Subsystem Handbook (IMS)’, 2009, USA;
Martin Sauter, ’Beyond 3G – Bringing Networks, Terminals and the Web Together’, 2009,
UK;
Wikipedia: http://en.wikipedia.org/wiki/IP_Multimedia_Subsystem

16