IMS中的安全服务

本节将介绍IMS中如何保证安全。由于不打算详细地介绍密码学，因此我们既不会深入讨论算法和密钥长度问题，也不计划对IMS安全作任何的密码分析。对于这些问题，已经有一些更好的书做了专门介绍。

相反地，本章要做的是从较高的层次来观察安全体系，并且说明这个体系的各个组成部分，包括那些用于提供所需安全特征的模型和协议。在阅读完本章之后，读者应当熟悉IMS安全体系中的主要概念，并且能理解其背后的模型，特别是那些与信任和身份有关的部分，它们使得IMS安全成为一个整体。

3.19.1 IMS安全模型

IMS安全体系包括三个组成模块，如图3-29所示。第一个模块是网络域安全(NDS)[3GPP TS 33.210],它提供了不同域之间和同一域中不同节点之间的IP安全。与NDS并列的是IMS接入安全[3GPPTS33.203]。基于SIP的服务的接入安全是一个自我完备的单元，惟一例外是它所使用的安全参数是从通用移动通信系统（UMTS）认证和密钥协商（AKA）协议[3GPP TS 33.102]中获得。AKA也用于引导的目的——也就是，密钥和证书都是由AKA凭证获得，并且随之用于其中运行在超文本传输协议（HTTP）[RFC2616]上的安全应用——其中也称为通用认证体系（GAA）[3GPPTS33.220]。

图3-29  IMSS的安全体系

这个体系模型故意省去了那些可能位于IMS接入安全之上或者位于NDS之下的安全层。例如，在UMTS中，无线接入层实现了它自身的一套安全特征，包括加密和消息完整性。不过，IMS的设计方式不依赖于任何接入安全或者用户平面安全的存在。

3.19.2 认证与密钥协商

IMS中的安全所基于的密钥是长期生效的，该密钥在ISIM和归属网络的认证中心（AUC）之间共享。IMS安全中最重要的组成模块就是ISIM模块，它存储了共享密钥（K）和相应的AKA算法，并且通常被嵌入到一个基于智能卡的设备中,该设备被称为通用集成电路卡（UICC）,对于共享密钥的访问是受限的。这个模块采用AKA参数作为输入，并输出计算得到的AKA参数和结果。因此，它从不把真实的共享密钥暴露给外部世界。

ISIM所在的设备是防篡改的，因此即使通过物理方式访问到该设备也不会导致密钥的暴露。为了进一步保护ISIM避免未授权的访问，用户通常被要求遵循用户域安全机制。这就意味着为了在ISIM上运行AKA,用户会被提示输入PIN码。这种所有权的组合（也就是，对物理设备（UICC/ISIM）的访问和对PIN密码的获知）使IMS安全体系更加可靠。攻击者既需要具备“用户所拥有的”，又需要具备“用户所知道的"，只要移动用户稍加注意，这两个条件就很难同时满足。

AKA实现了ISIM和AUC之间的相互认证,并建立了一对加密和完整性密钥。这一认证过程是由网络发起的，它发出一个认证请求，包含一个随机挑战（RAND）和一个网络认证令牌（AUTN）。ISIM对AUTN进行验证，从而对网络本身的真实性进行了验证。每个终端也为每一轮认证过程维护一个序列号。如果ISIM检测到超出了序列号码范围之外的认证请求，那么它就放弃该认证并向网络返回一个同步失败消息，其中包含了正确的序列号码。这是另一个避免重放攻击（Replay）的高级概念。

为了响应网络的认证请求，ISIM将密钥应用于随机挑战（RAND）,从而产生一个认证响应（RES）。网络对RES进行验证以认证ISIM。到这一点时，UE和网络已经成功地完成了相互认证，并且还生成了一对会话密钥作为副产品：加密密钥（CK）和完整性密钥（IK）。这些密钥随后可被用于两个实体之间通信的安全保护。表3-13列出了AKA的一些核心参数和它们的含义。

表3-13   AKA参数

3.19.3网络域安全

3.19.3.1概述

2G系统的主要安全缺点之一就是缺乏核心网的标准化安全解决方案。尽管从移动终端到基站的无线接入通常由加密来保护，但是系统其余各部分的节点却以明文来传送业务流。有的时候，这些链路甚至采用未保护的无线中继，因此能够访问这个媒体的攻击者可以相当容易地对通信进行窃听。

了解了2G系统中的这些缺点，3G系统开始着手对核心网中的所有IP业务流进行保护。NDS实现了这个目的，这是通过为服务提供机密性、数据完整性、认证和防止重放攻击，以及通过应用在IP安全(IPsec)中的密码安全机制和协议安全机制来实现的。

3.19.3.2安全域

安全域是NDS概念的核心所在。典型意义上，安全域是由单个管理者运营的网络，该管理者维护着这个安全域中的统一安全策略。作为结果，同一个安全域内的安全等级和安全服务通常是相同的。

在很多情况下，一个安全域直接对应一个运营商的核心网。不过，一个运营商也可以运行多个安全域，每个安全域都是该运营商整个核心网络的一个子集。在NDS/IP中，不同安全域之间的接口表示为Za,而一个安全域内不同元素之间的接口表示为Zb。不过Zb接口的使用通常是可选的，而且取决于安全域的管理者；而Za接口在不同安全域之间总是强制使用。数据认证和完整性保护在这两种接口上都是强制使用的，而加密对Zb接口是可选的，相反对Za接口则是推荐使用的。

IMS是基于人们熟知的归属网络和拜访网络的概念。基本上，两种情况都存在，依赖于IMS终端是否漫游。在第一种情况中，UE与IMS的第一个接触点位于归属网络中，称为P-CSCF。而在第二种情况中，P-CSCF位于拜访网络，意味着UE事实上正在按照如下方式漫游:UE与IMS网络间的第一个接触点并不是其自身的归属网络。这两种情况如图3-30所示。

一个IMS网络通常与单个安全域相对应，因此运营商IMS网络之间的业务流使用NDS/IP进行保护。上述提到的第二种情况也是这样，其中拜访网络和归属网络之间的服务也使用NDS/IP进行保护。

在IMS网络中，NDS/IP只保护IP层网元之间的业务流，因此还需要进一步的安全测量。这些将在后续的章节中涵盖。最重要的是，就SIP服务而言，第一跳㊀并没有使用NDS/IP保护，但是使用了IMS接入安全测量［3GPP TS 33.203］。正如后续章节中将要说明的，上述IMS元素分别位于归属网络和拜访网络中的情况下，不同的安全域在认证和密钥分配方面就需要一些特别的注意。

3.19.3.3安全网关

业务流通过一个安全网关(SEG)进入和离开安全域。SEG位于一个安全域的边界处，将业务流通过隧道传送到已定义好的一组其他安全域。这称为轮轴-辐条(hub-and-spoke)模型，它为不同安全域之间提供逐跳的安全保护。SEG负责在不同安全域之间传送业务流时实施安全策略。策略的实施也可以包括分组过滤或者防火墙的功能，但是这些功能应该是域管理者的职责。

图3-30  IMS网络下面的安全域

在IMS中，IMS核心网络的所有业务流都是通过SEG进行传送的，特别是跨不同域的业务流，也就意味着发起该业务流的安全域与接收它的域不是同一个安全域。当保护跨不同域的IMS业务流时，机密性、数据完整性和认证都是NDS/IP中所必须的。

3.19.3.4 密钥管理和分配

每个SEG负责建立和维护与其对等SEG之间的IPsec安全联盟（SA）[RFC2401]。这些SA使用因特网密钥交换（IKE）[RFC2409]协议进行协商，其中的认证使用保存在SEG中的长期有效的密钥来完成。每个对等连接的两个SA都是由SEG维护的：一个SA用于入向的业务流，另一个用于出向的业务流。另外,SEG还维护了一个单独的因特网安全联盟和密钥管理协议（ISAKMP）SAFRFC2408],这个SA与密钥管理有关，用于构建实际的对等主机之间的IPsec SA。对于ISAKMP SA而言，一个关键的前提就是这两个对等实体必须都已经通过认证。在NDS/IP中，认证是基于预先共享的密钥（PSK）。在3GPP版本6中，NDS被进一步扩展，因此除了PSK以外的其他认证机制也可以在SEG间使用。NDS认证框架（NDS/AF）[3GPPTS33.310]定义了公共密钥基础结构（PKI）、信任模型和使用公共密钥验证与RSA签名的SEG认证机制。NDS/AF所需的用于PKI的信任模型包括两个交叉验证^©模式：

•  人工交叉验证：在这个模式中，授权域自行决定信任另外一个授权域。这个模式在缩放比例中非常困难，因为每个远端安全域需要正确的、本地已信任

（已签署）的验证。这个限制与使用PSK的NDS/IP基线中找到的限制是非常相似的。

•  使用桥接验证授权（CA）的交叉验证：在这个模式中，代理实体或者验证交换处应用一对一验证，并且不同的安全域通过信任传递（transitivetrust,参见3.19.4.2节有关中间信任的讨论）来实现相互间的信任。这限制了所需验证的数量,因为单个授权域只需要和桥接CA进行交叉验证。

图3-31展示了整个NDA/IP模型。

NDS/IP中用于加密、数据完整性保护和认证的安全协议是隧道模式的IPsec封装安全净荷（ESP）[RFC2406]o在隧道模式的ESP中，包括IP头的完整的IP数据包被封装到ESP分组中。对于加密，三DES（3DES）[RFC1851]算法是强制使用的，而对于数据完整性和认证，MD5[RFC132]和SHA-l[RFC2404]都可以使用。对于IPsec/IKE和ESP的具体细节，请参见第22章，该章将更加深入地讨论这些协议。

㊀交叉验证是用于建立两个授权域之间的信任。当授权域A与授权域B进行交叉验证的时候，这两个都能够信任相互的验证结果——就是说，它们能够相互认证。

3.19.4基于SIP的服务的IMS接入安全

3.19.4.1概述

SIP是IMS的核心所在，因为它被用于创建、管理和终结各种类型的多媒体会话。因此，为IMS接入所提供的安全保护中，最关键的事情就是要保护IMS网络中的SIP信令。正如前面所述，在IMS核心网中，这是通过使用NDS/IP来完成的。但是第一跳，也就是UE和IMSP-CSCF之间的称为Gm的SIP通信接口，需要附加的测量，因为它位于NDS/IP范围之外。

对于IMS网络安全接入，其安全特征和机制在协议［3GPPTS33.203］中进行了定义。它定义了UE和网络如何被认证，同时也定义了它们如何就安全机制、算法和密钥达成一致。

3.19.4.2信任模型概述

IMS网络建立了一个信任域，如［RFC3325］中所述，它包括下列IMS元素：

• P/I/S-CSCF。

• 出口网关控制功能（BGCF）。

• 媒体网关控制功能/多媒体资源功能控制器（MGCF/MRFC）。

• 非第三方控制的所有AS。

信任域的最主要的要素是身份：就是为了信任一个接入到IMS网络的实体，需要与那个实体之间存在一种已经建立的关系（也就是说，该实体的身份已知并且已经证实）。在IMS网络中，这个身份以一个声明身份的形式在信任域中的不同节点之间传送。如果存在多个身份，UE会对该身份规定优先级，但对声明身份的分配最终是在信任域的边界（也就是在P-CSCF中）完成的。相反地，P-CSCF在对UE的认证过程中起到关键作用。

信任级别总是与对一个实体的行为期望有关。例如，爱丽丝（Alice）可能了解并信任鲍勃（Bob）,因此让他将她的孩子送到学校。她期望并且知道鲍勃具有责任感，能够安全驾驶等等。但是她对鲍勃的信任可能还不足以授权他使用她的银行账号。

IMS网络信任模型的另一个重要特性就是它是基于可传递的信任。第一个和第二个实体之间存在信任，第二个和第三个实体之间也存在信任，这种成对的信任就使第一个和第三个实体之间自动产生了信任关系。例如，爱丽丝了解并且信任鲍勃，而鲍勃了解并信任赛丽亚（Celia）,让她将他的孩子送到学校，那么根据信任的可传递性，爱丽丝也就可以信任赛丽亚，让她将她的孩子送到学校，而不需要亲自与赛丽亚会面。爱丽丝信任鲍勃，并且知道赛丽亚也是父母身份信任域的一部分，这两点就足够了。爱丽丝和鲍勃都为人父母这一事实，使爱丽丝确信鲍勃在判断赛丽亚是否适合送孩子上学时是足够认真的。本质上，父母身份信任域形成了父母们之间的网络,其中的所有人都服从对一个母亲或者一个父亲所预先定义的行为。

在［RFC3325］术语中，对信任域中实体的行为期望和对服从行为期望的确信，都需要在给定的信任域T中使用称为“Spec（T）”的参数进行定义。构成Spec（T）的组成元素包括：

• 对用户进入信任域时的认证方式的定义，和为保证用户和信任域之间的通信安全所使用的安全机制的定义。在IMS网络中，这需要使用AKA协议和［3GPPTS33.203］中与Gm安全相关的规范来进行认证。

• 用于信任域中各节点之间通信安全机制的定义。在IMS网络中，这个比特在NDS/IP［3GPPTS33.210］中说明。

• 用于决定实体集合是信任域的一部分的过程的定义。在IMS网络中，这个实体集合基本上是由对等SEG的集合表示的，一个安全域中的SEG对此是有所了解的。

• 对于信任域中的节点与SIP和SIP被证实的身份规范都兼容的声明。

• 对隐私处理的定义。这个定义依赖于SIP隐私机制，以及它们与被证实的身份一起被使用的方式（3.19.4.3节将更深入地讨论这个问题）。

3.19.4.3用户隐私处理

信任域和证实身份的概念使得将用户的证实身份可以被到处传送，也可能被传递到那些不属于本信任域的实体。这就形成了一个明显的隐私问题，因为用户事实上可能要求对其身份进行保密并仅在信任域内部使用。

在IMS网络中，用户可能请求其身份不要暴露给信任域之外的实体。这基于SIP隐私扩展［RFC3323］协议。UE在一个隐私消息头中插入其隐私选择，随后网络将查看这个部分。这个头可能的取值如下：

• 用户——指出网络应当提供的用户级㊀隐私功能。这个值通常由中间服务器而不是用户代理来设置。

• 消息头——指出用户代理（UA）要求在消息上实施消息头隐私。这也意味着所有对隐私敏感的消息头被遮蔽，并且不会增加其他的敏感消息头。

• 会话——指出UA要求对会话中隐私敏感的数据（即在消息的SDP净荷中）进行遮蔽。

• 决定性一一指出所请求的隐私机制是关键的和决定性的。如果这些机制中任何一个无法实现，请求就必须失败。

• ID——指出用户要求将其证实身份保持在信任域之内。实际上，这个值的设置意味着当消息离开信任域时必需将其P-Asserted-Identity消息头字段从消息中删除。

㊀关于用户级隐私，我们是指SIPUA本身能够提供的隐私功能（例如，在请求的From字段中使用匿名标识）。

•无——指出UA明确地不需要任何隐私机制应用于这个请求。

3.19.4.4认证与安全协商

对IMS接入的认证是基于AKA协议的。不过，AKA协议无法直接在IP上运行，相反地，它需要一种媒介来承载UE和归属网络之间的协议消息。很明显，由于IMS接入认证的总体目标是对SIP接入进行认证，因此SIP就是这个媒介的自然选择。实际上，AKA协议在SIP内部以隧道方式传送的方法在［RFC3310］中定义。这个RFC为使用AKA作为SIP注册过程的一种摘要认证［RFC2617］口令系统定义了其消息格式和过程。由网络发起的摘要挑战将包括RAND和AUTNAKA参数，按照服务器当前值进行编码。挑战中包含了特定算法的指示，告诉客户端要为这个特定的挑战使用AKA协议。在计算摘要证书的时候，RES被用作口令,这就意味着摘要框架按照一种特别的方式使用，以实现在IMS接入安全中传送AKA协议。

与用户的认证同时，UE和IMS网络之间还要对安全机制进行协商，这个安全机制将被用于随后对Gm接口的SIP业务流的安全保护。用于这个安全协商的协议也是SIP,正如［RFC3329］所定义的。UE和P-CSCF交换它们各自支持的安全机制列表，其中被双方都支持的最高的安全机制将被采用。至少，所选择的安全机制要能提供数据完整性保护，因为这种能力需要被用于保护实际中的安全机制协商。一旦安全机制被选定并且开始使用，先前交换的列表就以安全的方式重放给网络。这使网络能够确认安全机制的选择过程是正确的，并且安全协商没有受到损害。不具备这个特征时，可能发生的网络攻击的例子就是“降级攻击(bidding-downattack)”,这种情况下攻击者强迫对等双方选择一个已知的安全性能很弱的机制。使用的安全机制进行安全协商的最大的好处就是以后可以随时增加新的安全机制以及删除旧的安全机制。由于每个UE总是使用它所能够利用的最健壮的安全机制，因此安全机制之间可以很好地共存。

3.19.4.5机密性与完整性保护

在IMS接入安全中，机密性和数据完整性、认证都是必须的。用于完成这些功能的协议就是IPsecESP［RFC2406］,在第22章中将作进一步的详细说明。

AKA会话密钥被用作ESPSA的密钥，IK用作认证密钥，而CK用作加密密钥。相应地，根据ESP中使用的加密算法所需的密钥长度，特定密钥扩展功能可能被应用于AKA会话密钥。

3.19.4.6密钥管理与分配

正如前面章节中所述，P-CSCF也可能位于拜访网络。由于AKA协议的特点,共享密钥只在归属网络中才可访问到，这就意味着，由于IPsec SA存在于P-CSCF和UE之间，当归属网络中要进行认证时，对责任的某种授权需要被分配给P-CSCFo实践中，当归属网络中要进行IMS认证时，产生于AKA认证中并且用于ESP的会话密钥被传送给P-CSCF,该密钥在SIP注册消息顶端被携带。

当更新SA时，网络必须重新对UE进行认证。这意味着UE也必须重新注册,这可能是网络发起的或者由于注册过期的原因。这两种情况的效果是相同的:AKA协议被运行，并且新的密钥被传送给P-CSCFo

3.19.5基于HTTP服务的IMS接入安全

3.19.5.1概述

在SIP业务流传送的同时，UE还需要管理与特定IMS应用相关的数据。Ut接口，如第2.3.15节中所述，拥有这个功能所需要的协议。Ut接口的安全保护包括基于HTTP服务的机密性和数据完整性保护[RFC2616]o正如先前所述，Ut接口的认证与密钥协商也基于AKA协议。

3.19.5.2通用引导体系

作为通用认证体系（GAA）的一部分，IMS网络定义了通用引导体系（GBA）[3GPPTS33.220],如图3-32所示。引导服务器功能（BSF）和UE执行基于AKA协议的相互认证，这使得UE可以从3G基础设施引导出会话密钥。会话密钥是AKA协议的结果，并且是网络应用功能（NAF）所提供的进一步应用的基础。一个这样的例子是，一个NAF使用一种应用协议来发行用户证书，而该应用协议就是由引导得到的会话密钥进行安全保护的。

图3-32  通用引导体系（GBA）

3.19.5.3认证和密钥管理

Ut接口的认证是由特定的单元执行的，这个单元被称为“认证代理”。按照GBA的术语，认证代理是另一种类型的NAF。Ut接口的业务流会经过认证代理,并且使用引导得到的会话密钥进行安全保护。

3.19.5.4机密性与完整性保护

Ut接口采用传输层安全（TLS）进行机密性和完整性保护[3GPPTS33.222]oTLS将在第21章中进行更深入的讨论。