در ادامه آموزش های شبکه به این موضوع می پردازیم که IMS چه ویژگی ها و مکانیزم های امنیتی را داراست.دسترسی امن کاربران به شبکه IMS با ابعاد امنیتی احراز هویت کاربر وشبکه، حفاظت از محرمانگی ارتباط، حفاظت از یکپارچگی ارتباط برقرار میشود. موارد ذکر شده ویژگیهایی میباشد که ارتباط یک کاربر با شبکه IMS دارا میباشد. در ادامه این ویژگیها مورد بررسی قرار میگیرد.
شناسه ISIM
کلیدهای احراز هویت و توابع کاربر درون UICC ذخیره شده است. شناسه ارتباطی این شبکهISIM نامیده میشود. دادههای امنیتی IMS و توابع آن درونUICCذخیره شده است. کاربران شبکهIMS نمیتوانند تغییر و اصلاحی در نام دامنه شبکه خانه را در سیم کارت خود انجام دهند[g]. در ایجاد ارتباط کاربر با شبکهIMS، شناسه ISIM درونUICC امکان انتخاب مکانیزمهای امنیتی متفاوتی را برای شبکه فراهم مینماید. یکی از این انتخاب ها بین شبکه و کاربر توافق شده و ارتباط امن ایجاد خواهد شد. انتخاب ها شامل موارد زیر میباشند:
هیچ تابع امنیتی و یا دادهای به اشتراک گذاشته نمیشود.
تنها الگوریتمها به اشتراک گذاشته میشوند.
کلید احراز هویت، مکانیزم چک شماره ترتیبی به اشتراک گذاشته میشوند.
کلید احراز هویت، توابع احراز هویت و مکانیزم چک شماره ترتیبی به اشتراک گذاشته میشوند.
این انتخابها در شبکهUSIM وجود ندارد و در آن شبکه کلید احراز هویت، توابع احراز هویت و مکانیزم چک شماره ترتیبی در تمام ارتباطهای کاربر با شبکه به اشتراک گذاشته خواهد ش و کاربر مجاز به انتخاب این موارد و توافق بر سر آنها با شبکه نمیباشد
احراز هویت
یک کاربر IMS دارای مشخصههای مخصوص خود در HSS میباشند که شامل اطلاعات و دادههای مختص کاربر است و در استاندارد۳GPP TS 23.228 تعیین شده است. در زمان ثبت نام کاربر، سرور S-CSCF توسط I-CSCSF به کاربر معرفی میشود. مشخصههای کاربر توسط واسط ارتباطیCx از HSSبه S-CSCF منتقل میشود. پروتکل احراز هویت استفاده شده در شبکهUMTS با نام IMS AKA در شبکهIMS مورد بهرهبرداری قرار میگیرد. این دو پروتکل کاملا شبیه هم هستند. تنها در IMS AKA پاسخی(RES) که کاربر برای احراز هویت خود به شبکه ارسال مینماید به صورت رمز شده منتقل میشود در حالی که پاسخ ارسال شده کاربر در UMTS AKA به صورت متن رمز نشده و کاملا آشکار ارسال میشود و امکان شنود آن بیشتر میباشد. توضیحات بیشتر در زمینه احراز هویت در بخشهای بعدی خواهد آمد.
محرمانگی
امکان محافظت از محرمانگی سیگنالینگSIP در شبکه IMS ارتباط بین کاربر و سرور P-CSCF را برقرار مینماید. تجهیزات کاربر الگوریتمهای رمزنگاری برای استفاده در نشست را برای P-CSCF ارسال مینماید. این سرور تصمیم میگیرد الگوریتم مورد استفاده کدام باشد و با الگوریتم مورد نظر شبکه نیز تطابق داشته باشد. توافق شبکه و کاربر در این زمینه، شامل کلیدهای رمزنگاری مورد استفاده در حفظ محرمانگی نیز میشود. مکانیزم مبتنی بر IMS AKA میباشد. مکانیزم محرمانگی در ارتباط امن بین سرورهای CSCFها به مکانیزمهای امنیتی مشخص شده در امنیت دامنه شبکه و در TS33.210تعیین شده است.
یکپارچگی
محافظت از یکپارچگی ارتباط بین کاربر و سرورP-CSCF برای محافظت از سیگنالینگSIP برقرار میشود. الگوریتم و کلیدهای استفاده شده در یکپارچگی بین کاربر و شبکه مورد توافق قرار میگیرد. با این مکانیزم، حملات تکرار محدود خواهند شد. مکانیزم یکپارچگی در ارتباط امن بین سرورهای CSCFها به مکانیزمهای امنیتی مشخص شده در امنیت دامنه شبکه و در TS33.210 تعیین خواهد شد. مطابق با RFC3261، پشتیبانی از پروتکلTLS توسط سرورهایSIP اجباری میباشد. برای محافظت از محرمانگی و یکپارچگی ارتباط بین سرورها، این پروتکل در لایه بالای IPSec قابل اجرا میباشد و مشخصههای Session ID, IP address, port No.در اتصالTLS وجود دارد. در صورتی که پروتکلTLS بر روی سرور قابل ارایه باشد، میتواند احراز هویت تشریح شده در TS33.310 را مورد استفاده قرار داد.
