CN101483860A - Ims网络中基于sip安全策略等级的协商控制方法 - Google Patents
Ims网络中基于sip安全策略等级的协商控制方法 Download PDFInfo
- Publication number
- CN101483860A CN101483860A CNA2009100778604A CN200910077860A CN101483860A CN 101483860 A CN101483860 A CN 101483860A CN A2009100778604 A CNA2009100778604 A CN A2009100778604A CN 200910077860 A CN200910077860 A CN 200910077860A CN 101483860 A CN101483860 A CN 101483860A
- Authority
- CN
- China
- Prior art keywords
- security
- cscf
- strategy
- message
- ims
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
IMS网络中基于SIP安全策略等级的协商控制方法,提供了一种IP多媒体子***IMS网络中基于会话初始协议SIP的安全策略等级的协商控制机制,属于网络安全保护和访问控制技术领域,其特征在于,包含以下两方面内容:1)根据IMS技术规范,通过不同安全机制的组合来选择由弱到强的安全保护策略,提供了一套完整统一的IMS安全策略组合,为IMS与用户设备UE进行安全协商提供策略选择。2)通过定义新的SIP消息域和协商过程,为终端用户和IMS运营商提供了协商流程和SIP消息字段格式,来实现IMS运营商和终端用户协商和确定业务安全策略的方法,最终实现运营商能够针对不同业务类型、不同用户类型,提供不同安全等级的安全策略,既满足个性化的用户服务质量保障,又降低网络安全所带来的资源开销,从而实现网络安全保护和服务质量保障的最佳选择策略。
Description
技术领域
本发明涉及IP多媒体子***IMS中一种基于SIP信令的用户安全策略划分方法和协商控制方法,属于网络安全和访问控制技术领域。
背景技术
SIP信令
会话初始协议(SIP是互联网工程任务组IETF在1999年发表的一个标准,用来解决IP网上的信令控制。第三代合作伙伴计划3GPP选择SIP作为会话控制协议,该协议是IMS体系结构的核心。SIP可以建立音频、视频、多方通话等会话,也可以用来传送即时消息和文件,使得运营商能通过统一的业务平台提供综合业务,以实现网络的融合。在用户与IMS核心网建立IP连接并获取IMS业务的过程中,与SIP信令相关的主要有两个通信过程,IMS注册过程和多媒体会话建立过程。
IMS安全需求
根据3GPP技术规范33.102,IMS安全需求可以划分为三类安全:(1)认证和密钥协商AKA,包含用户设备UE和归属用户服务器HSS的相互认证和建立加密和传输密钥对,这部分在3GPP发布的IMS技术规范版本5中定义。(2)IMS接入安全AccessSecurity,包括网络接入安全的特征和机制定义,比如UE和IMS核心网是如何认证的,怎样协商安全机制、算法和密钥。接入安全为UE和代理-呼叫会话控制功能P-CSCF服务器提供安全关联,也负责SIP信令的机密性保护等。这部分在3GPP技术规范33.203中定义标准。(3)网络域安全Network Domain Security,提供整个核心网基于IP消息流的机密性、数据完整性、认证性和防重放攻击保护等,使用互联网安全协议IPSec等加密安全机制和协议,这部分在3GPP技术规范33.210中定义了标准。
IMS安全机制
根据3GPP所定义的IMS安全机制的相关标准,安全机制主要包括5类,分别为认证性、机密性、完整性、可用性和私密性。其中(1)认证性:在IMS安全标准中要求使用AKA认证机制,以实现认证用户设备和归属网络之间的相互认证,为网络设备之间传递的信息提供了数据源认证。(2)机密性:IMS安全标准没有强制要求UE和P-CSCF之间的SIP消息的机密性保护,建议在接入网的链路层提供加密保护。此外,对域内SIP服务器之间SIP信令的机密性保护是可选的;不同域网络设备之间的机密性保护是强制的。(3)完整性:网络流量中通过在每一个数据包中包含一个消息认证码MAC来实现数据的完整性保护,IMS安全标准要求UE和P-CSCF之间使用传输模式的IPSec封装安全负载,IMS核心网络设备间使用隧道模式的IPsec ESP,可使用信息摘要算法MD5或者安全散列算法SHA-1,来提供它们之间SIP信令的数据完整性保护。(4)可用性:IMS安全标准没有明确地消除拒绝服务攻击DoS,但是定义了安全域,它们由安全网关来保护,运营商能够直接实施自己的DoS保护机制。因此,除非运营商采取了相应的措施,IMS体系结构中的各个网络设备以及运营支撑***中的服务器,都有可能遭到DoS攻击。(5)私密性:运营商通常将网络的细节如:网络设备的数量、性能,网络的容量等视为敏感的商业信息。P-CSCF通过它的代理功能来向终端用户隐藏这类的信息。问询-呼叫会话控制功能I-CSCF服务器用来向其它运营商隐藏网络拓扑信息,如加密发送至外部网络中P-CSCF的SIP信息。从IMS安全框架来看,隐藏机制是可选的。如表1归纳了IMS网络中与各安全属性相关的各层安全机制。
IMS中基于SIP的策略控制
运营商使用IMS网络提供服务最迫切的需求就是能够控制IMS网络中的一切行为,使IMS网络中的实体均按照运营商的规定来运作。这意味着IMS网络需要按照运营商部署的策略来运行,也即是说IMS网络需要进行相应的策略控制。简单的策略控制诸如***体类型,控制编码方式等等,复杂的针对特定业务的策略则更为多样化和特殊化,如针对一个用户请求某个IMS业务提供商的服务,根据下面的一些内容和参数的不同,策略则可能不同:(1)业务类型不同,可能的策略不同,如运营商可能根据同一用户使用多方会议业务和使用无线移动网络对话业务而给出不同的策略,比如不同权限,不同控制流程等等;(2)用户的类型,用户是受限用户,一般用户还是高级用户等等,按照不同的分类方式和用户级别,运营商制订的策略各不相同;(3)不同运营商(或同一运营上在不同情况下如不同时段)也可能在同一种业务的基础上提供不同的策略控制,如对于视频服务或多方会议可能采取不同的控制方式。
IMS中安全等级划分和安全策略控制
在现有的SIP规范中,主要是通过SIP安全机制协议Sip-Sec-Agree来保证UE和P-CSCF间可以协商和采用共同的安全机制。这样存在两方面的问题:(1)仅仅协商UE和P-CSCF之间的安全机制是不足的,根据IMS规范以及前面归纳的安全机制,接入安全和网络域安全中有些机制是可选的,这种开放性往往会导致后向兼容性问题,比如不同版本的UE、不同网络域之间安全机制、不同运营商的安全配置不兼容问题,所以IMS提供各类多媒体服务时,不仅需要提供UE与P-CSCF之间的安全机制协商协议,还需要提供内部的网络域安全机制的协商机制,最终形成一套完整统一的由各部分安全机制组成的安全策略来保证IMS安全的兼容性。(2)IMS网络为用户提供多种多媒体服务,用户的服务质量QoS需求和安全需求存在多样性,不同的业务类型和不同的用户应用有不同的安全性需求,而QoS协商机制并没有充分考虑网络安全的需求和协商机制,也没有提供与安全相关的服务级别,来满足用户的安全需求。所以IMS应该在保证QoS资源预留前提下,考虑不同安全策略对网络性能以及提供给用户的端到端QoS指标的影响,并针对不同业务类型、不同用户类型,提供不同安全等级的安全策略,既满足个性化的用户服务质量保障,又降低网络安全所带来的资源开销,从而实现网络安全和QoS保障的最佳选择策略。
而现有的SIP规范中,没有一个正式的标准来规范基于SIP协议的策略控制和交互流程。特别是缺乏不同安全级别的安全策略定义规范,以及针对用户服务类型、综合考虑服务质量与安全需求的安全策略的协商控制机制,而这两点对于解决上述IMS网络安全问题至关重要,是满足未来IMS网络安全和保障和服务的必要条件。新的方案除了要满足上述分析的条件如框架清晰,简单实用,可扩展性强,安全策略对用户透明等等需求以外,还必须考虑整个方案的安全可信。
发明内容
本方案设计和实现了IMS网络中基于SIP的扩展控制方案,其目的是为了在IMS核心网为终端用户提供多媒体服务之前实现统一安全策略的协商和控制方法,最终确定网络安全和QoS保障的最佳配置方案。
本发明主要解决两方面的技术问题:(1)设计了IMS安全保护等级的划分方案,根据IMS技术规范,通过不同安全机制的组合来选择由弱到强的安全保护策略,提供了一套完整统一的IMS安全策略组合,为IMS与用户进行安全协商提供策略选择,将来还可以根据技术规范进行进一步的扩展,具有良好的兼容性。(2)设计了新的基于SIP的安全策略协商和控制方法,使得运营商能够针对不同业务类型、不同用户类型,提供不同安全等级的安全策略,既满足个性化的用户服务质量保障,又降低网络安全所带来的资源开销,从而实现网络安全和QoS保障的最佳选择策略。具体的方案提供了终端用户和IMS核心网交互协商流程和SIP消息字段,本发明中设计的协商控制机制可以为今后IMS网络安全保障和管理提供技术基础。
本发明的特征在于
其特征在于,是基于第三代合作伙伴计划3GPP所定义的IP多媒体子***IMS技术规范TS 33.102,TS 33.203和TS 33.210,在作为客户端的用户设备UE和作为服务器端的IMS呼叫会话控制功能CSCF服务器依次按以下步骤实现的:
步骤(1),客户端UE注册IMS归属网络时,客户端UE和服务器端的CSCF服务器依次按照以下步骤执行:
步骤(1.1),基于已有的会话初始协议SIP的安全机制协议Sip-Sec-Agree,所述客户端UE通过其归属网络域中的代理-呼叫会话控制功能服务器P-CSCF,向其归属网络域中的服务-呼叫会话控制功能服务器S-CSCF提供客户端所支持的第一跳接入安全机制,
步骤(1.2),所述客户端UE声明支持安全策略协商服务Security-policy-service消息头扩展,并由所述S-CSCF将该用户设备信息标记在本地数据库中,
步骤(1.3),所述S-CSCF根据IMS技术规范中所定义的域内和域间的可选或必选的安全机制,以及步骤(1.2)中所述的客户端支持的安全机制组合出在下述安全保护强度由弱到强的总共七个不同等级的安全策略,保护强度通过计算该策略对于认证性、机密性、完整性、可用性、私密性共5个安全属性上的效用值之和来得到,用于所述IMS归属网络域针对所述客户端UE发起业务的整体安全策略,供选择使用,所述七个等级的安全策略为P1~P7如下:
安全策略P1,包含采用认证和密钥协商AKA的相互认证+注册,在认证性的安全保护效用值为2,可用性效用值为1,总体保护强度效用值为3,
安全策略P2,包含采用认证和密钥协商AKA的相互认证+注册+采用信息摘要算法MD5的第一跳安全保护,在认证性的效用值为3,完整性的效用值为1,可用性的效用值为3,所述总体保护强度效用值为7,
安全策略P3,包含采用认证和密钥协商AKA的相互认证+注册+采用信息摘要算法MD5的第一跳安全保护+同时采用信息摘要算法MD5和加强型数据加密标准3DES的域间安全保护,认证性、机密性、完整性、可用性四种安全属性的效用值分别为3、2、2、4,所述总体保护强度效用值为11,
安全策略P4,包含采用认证和密钥协商AKA的相互认证+注册+采用信息摘要算法MD5的第一跳安全保护+同时采用信息摘要算法MD5和加强型数据加密标准3DES的域间安全保护+采用信息摘要算法MD5的域内安全保护,在认证性、机密性、完整性、可用性四种安全属性的效用值分别为3、2、3、4,所述总体保护强度效用值为12,
安全策略P5,包含采用认证和密钥协商AKA的相互认证+注册+采用安全散列算法SHA-1的第一跳安全保护+同时采用安全散列算法SHA-1和加强型数据加密标准3DES的域间安全保护+采用安全散列算法SHA-1的域内安全保护,在认证性、机密性、完整性、可用性四种安全属性的效用值分别为3、2、6、4,所述总体保护强度效用值为15,
安全策略P6,包含采用认证和密钥协商AKA的相互认证+注册+同时采用信息摘要算法MD5和加强型数据加密标准3DES的第一跳安全保护+同时采用信息摘要算法MD5和加强型数据加密标准3DES的域间安全保护+同时采用信息摘要算法MD5和加强型数据加密标准3DES的域内安全保护+网络拓扑隐藏保护,在认证性、机密性、完整性、可用性、私密性五种安全属性的效用值分别为4、4、3、6、1,所述总体保护强度效用值为18,
安全策略P7,包含采用认证和密钥协商AKA的相互认证+注册+同时采用安全散列算法SHA-1和加强型数据加密标准3DES的第一跳安全保护+同时采用安全散列算法SHA-1和加强型数据加密标准3DES的域间安全保护+同时采用安全散列算法SHA-1和加强型数据加密标准3DES的域内安全保护+网络拓扑隐藏保护,在认证性、机密性、完整性、可用性、私密性五种安全属性的效用值分别为4、4、6、6、1,所述总体保护强度效用值为21,在所述七个等级的安全策略中,“+”表示不同机制的组合;
步骤(2),所述客户端UE和所述服务器端的CSCF服务器依次按照以下步骤执行,完成业务请求过程:
步骤(2.1),所述客户端UE在业务请求消息中包含支持安全策略协商服务消息Supported:Security-policy-service,在代理请求Proxy-Require消息头中包含安全策略标签sec-policy,表示该业务需要与所述的S-CSCF服务器协商统一的安全策略,
步骤(2.2),所述S-CSCF服务器通过在归属网络域中的所述P-CSCF收到步骤(2.1)所述的业务请求消息后,依次执行以下步骤执行基于用户业务类型的安全策略选择方法:
步骤(2.2.1),所述S-CSCF根据注册记录和步骤(1.1)和(1.3)中所支持的安全机制,基于用户类型、业务类型和运营商类型,推荐适合该客户端UE的安全策略等级,
步骤(2.2.2),所述S-CSCF检查可选安全机制中是否有不匹配、不识别的情况,如果存在,则向客户端UE发送安全机制不可识别消息411SecurityMechanism Undecipherable,否则执行步骤(2.2.3),
步骤(2.2.3),所述S-CSCF检查是否存在可供选择的安全策略,若不存在,则向客户端UE发出安全策略协商失败消息422Security Policy AgreementFailed,否则执行步骤(2.2.4),
步骤(2.2.4),所述S-CSCF将推荐的安全策略所包含的所有安全机制写入会话应答消息183 Session Progress的安全策略Security-policy消息头,该消息头包含安全策略等级policyid、接入安全机制access-sec、域内安全机制intra-domain-sec和域间安全机制inter-domain-sec标签,将安全机制所采用的具体算法写入消息域中对应的消息头中,发送给所述客户端UE;
步骤(2.3),所述客户端UE通过所述P-CSCF收到所述S-CSCF根据步骤(2.2)发送来的会话应答消息后,依次执行以下步骤:
步骤(2.3.1),所述客户端UE检查会话应答消息,如果是安全机制不可识别消息411Security Mechanism Undecipherable,表示安全机制不可识别,重新执行步骤(2.1)进行安全策略的协商过程,
步骤(2.3.2),所述客户端UE检查会话应答消息,如果是安全策略协商失败消息422Security Policy Agreement Failed,表示协商失败,停止协商过程,
步骤(2.3.3),所述客户端UE接收到步骤(2.2.4)中会话应答消息中所述S-CSCF推荐的安全策略消息头,确认接受后,将该消息头内所包含的所有内容复制到请求应答消息INVITE中的安全策略确认Security-policy-verify消息头中,发送给所述的S-CSCF;
步骤(2.4),所述S-CSCF在收到所述客户端UE发送的安全策略确认Security-policy-verify消息头后,比较确认该UE是否接受步骤(2.2.4)所推荐的安全策略,如果不一致,则重复步骤(2.2),如果完全一致,所述S-CSCF将删除业务请求指令中与安全策略协商服务扩展相关的字段,并转发给对应的应用服务器上,同时针对该UE所请求的业务类型,按照之前协商好的整体安全策略,提供接入保护、域内保护、域间保护的安全机制。
本发明的效果如下:
(1)本发明在IMS网络中定义了安全保护等级的划分方案,提供了一套完整统一的IMS安全策略组合,为IMS运营商与终端用户进行安全协商提供了策略选择,将来还可以根据技术规范进行扩展。
(2)本发明所设计的基于SIP安全策略协商和控制方法,将用于网络运营商针对不同业务类型、不同用户类型提供相应的安全策略,满足个性化的用户服务质量保障,又降低网络安全带来的资源开销,实现网络安全保护和服务质量保障的最佳策略选择。
附图说明
图1是本发明中终端UE安全策略协商控制流程图。
图2是本发明中S-CSCF安全策略协商控制流程图。
图3是本发明中IMS初始化时S-CSCF划分安全策略等级的算法。
图4是本发明中S-CSCF选择安全策略流程图。
图5是本发明中请求业务过程中安全策略协商控制流程图。
具体实施方式
本发明是一种IMS网络中安全策略协商和控制方法,本发明所涉及的交互实体主要是作为客户端的用户设备UE和IMS网络中服务-呼叫会话控制功能S-CSCF之间进行基于SIP消息格式的安全策略协商控制。
本发明定义了一个新的SIP扩展消息域:安全策略协商服务Security-policy-service,用于S-CSCF与UE之间安全策略协商流程,在注册过程S-CSCF为UE提供默认的安全策略,并检查UE是否支持本发明的扩展;在业务请求信令中,通过Security policyservice来协商符合该用户请求业务安全需求的安全策略。
UE的安全策略协商流程图参见图1,UE首先必须在注册IMS网络的过程中声明自己支持Security-policy-service扩展,并将UE所支持的安全机制和算法通过已有的安全机制协议Sip-Sec-Agree提供给S-CSCF,便于S-CSCF提供合适的安全策略。然后UE在业务请求过程中,获得S-CSCF推荐的安全策略,并检查是否符合自身业务的安全需求,以及自己是否支持相关安全机制,如果确认接受,需要在安全策略确认消息域Security-policy-verify中复制确认的安全策略和机制,返回给S-CSCF。
S-CSCF的安全策略协商流程图参见图2,UE注册IMS的归属网络后,S-CSCF将声明支持Security-policy-service消息域扩展的UE用户标记在本地数据库,同时S-CSCF根据IMS技术规范中所定义的域内、域间的可选或必选安全机制,以及UE所支持的接入安全机制,组合出安全保护强度从弱到强的不同等级的安全策略,适用于IMS网络针对该UE用户的整体安全策略选择。然后在UE业务请求过程中,S-CSCF针对该UE业务推荐相应的安全策略和具体的机制,通过183 Session Progress消息中的Security-policy消息域发送给UE,获得Security-policy-verify确认UE接受该安全策略后,S-CSCF将删除业务请求指令中与Security-policy-service扩展相关的字段,并转发给对应的应用服务器上,同时针对UE所请求的业务类型,按照之前协商好的整体安全策略,提供接入保护、域内保护、域间保护的安全机制。
本方案中可能存在的协商失败的情况有两种,分别对应了两种响应:421 SecurityPolicy Undecipherable和422 Security Policy Agreement Failed。
421 Security Policy Undecipherable:安全策略的定义标准和格式不符合规范或无法识别相应的字段,S-CSCF无法识别终端UE发送过来的确认接受的安全策略,这时S-CSCF将返回“421 Security Policy Undecipherable”。
422 Security Policy Agreement Failed:如果出现S-CSCF推荐的安全策略UE不支持,同时UE发送的安全策略S-CSCF又无法满足的话,S-CSCF将返回“422 Security PolicyAgreement Failed”消息表示无法与终端协商出一致的整体安全策略。
本发明在UE和S-CSCF协商安全策略的控制信令自身的安全性主要由UE在注册过程的默认安全策略保护机密性和完整性,主要是注册过程中双向认证建立的安全联盟,并通过3GPP AKA机制获得完整性密钥和加密密钥,具体参考3GPP TS 33.210和3GPP 33.203。
本发明在上述实施流程中,涉及两部分技术方案介绍如下:
(1)安全保护等级的划分方案
安全策略在协商之前,首先需要划分等级。本发明定义了一种针对IMS安全机制保护强弱的评价方法和保护等级的划分方案,国际通用标准ISO17799和ISO15408等安全评价标准只是根据密钥长度或者信息敏感度来划分加解密算法的保护强弱,但缺乏针对非加解密算法的划分标准。本发明所采用的划分方案是根据安全机制对于安全属性的影响程度来计算效用值,综合确定安全策略的强弱与等级,具体算法参见图3.
首先,计算IMS网络中不同安全机制对应认证、机密性、完整性、可用性和私密性五种安全属性的效用值,如表2(具体数值仅供参考)。根据相关安全标准,安全散列算法SHA-1比信息摘要算法MD5保护性更强,在完整性保护上SHA-1的效用为2,而MD5为1,而当同时采取MD5和加强型数据加密标准算法3DES将比只采用加密算法对于机密性更有效。注意到赋予一个安全机制中某种安全属性的权重,只表明了它与其它安全机制相比的相对效用,这些权重并不意味着,与某个安全属性相关的安全效用的绝对量。所以上面的效用表只是示意数值,仅供参考,但必须反应安全机制的保护强弱的差别。
其次,根据IMS网络接入安全和网络域安全相关规范,以及安全机制的可选情况,通过选择各层可选的安全机制,组合成安全保护强度由弱到强的不同安全策略(可以扩展)。对于安全机制的组合选择必须符合3GPP制定的IMS技术规范所定义的安全标准,涵盖认证性、机密性、完整性、可用性、私密性等5种属性的安全保护,根据各安全机制的累加效用总和来确定安全策略的保护强度。最终本发明根据上述划分方案,提供了一套完整统一的IMS安全策略组合,为IMS与用户进行安全协商提供策略选择,当然IMS安全策略组合并没有唯一标准,本发明只是提供一种评价方案,具有较强的扩展性。
本发明给出的参考划分方案中,具体的安全策略效用值计算如表3所示,共有{P1,P2,…,P7}七种安全策略,如果针对某一用户采取P6策略,说明IMS将针对该用户提供由AKA保护的相互认证注册机制、第一跳安全(UE和P-CSCF之间)同时采取MD5+3DES的保护机制、IMS域间和域内安全都同时采取MD5+3DES的加密保护、以及网络拓扑隐藏机制保护可用性。需要注意的是IMS网络对于不同业务类型、不同用户类型、不同运营商可以采取不同的安全策略标准,但安全策略自身必须兼容,必须采取同一种加解密算法,不能采取相互矛盾的安全机制组合。
(2)安全策略协商和推荐方案
终端UE用户和S-CSCF协商安全策略和控制方法,涉及注册过程和业务申请两个过程。本发明定义了一个新的SIP标签:Security-policy-service,用于S-CSCF与UE之间安全策略协商流程,在注册过程S-CSCF为终端用户提供默认的安全策略,并检查UE是否支持本发明的扩展;在业务请求信令中,通过Security policy service来协商符合该用户请求业务安全需求的安全策略。
在划分了安全策略等级之后,必须提供S-CSCF如何与UE协商并推荐合适的安全策略的方法。具体流程参见图4,获得输入信息包括:UE所支持的安全机制、UE所申请的业务类型、UE用户类型,S-CSCF根据UE所支持的安全机制,如果UE的安全机制无法识别,输出421 Security Mechanism Undecipherable;如果可以识别,根据用户类型和申请的业务类型,在上述选择的安全策略中再选择符合要求的最低策略,如果没有可选策略,仍然输出422 Security Policy Agreement Failed;如果有,则S-CSCF对该UE用户申请业务的推荐安全策略。
本发明中所有的SIP消息只给出与该扩展方案相关的头域,其它无关消息域将省略。同时,在IMS中SIP需要使用压缩形式的消息头域以节约带宽,为了方便阅读,本发明中所有消息域均不使用压缩形式。下面给出安全策略协商控制流程的消息示例:
注册过程
假设终端设备用户(UE)支持本方案定义的扩展,向自己的归属网络发起注册请求,该请求必须表明本客户端支持安全策略制订和相关的协议,并且能理解扩展对应的头域。客户端UE的注册请求消息如下:
当S-CSCF认证用户UE以后,由Supported:Security-policy-service知道该客户端支持本发明定义的扩展,将该用户标记在本地数据库中,在后续会话建立过程中以便和终端用户协商所需的安全策略。注册完成后IMS对于UE所采取的安全策略,接入安全根据SIP安全机制协定所确定的P-CSCF与UE之间的安全机制(见图1),而网络域安全则采取IMS核心网的默认安全策略。
IMS服务提供商可以要求用户使用本网络的服务时必须支持Security-policy-service扩展,若不支持则拒绝该用户的注册请求,这可以通过判断注册请求中是否包含Supported:Security-policy-service来实现;IMS服务提供商也可以允许不支持Security-policy-service扩展的用户注册,并标识这些用户,通过一定策略来限制该用户对服务的访问,如只提供个别基本服务;服务提供商还可以通过空中接口将新的扩展下载到用户终端,将不支持Security-policy-service扩展的用户请求通过301响应重定向到更新服务器,在用户安装扩展以后再让其正常接入到IMS网络。
业务请求过程
图5描述了UE向SIP应用服务器发起请求呼叫过程中与本发明相关的信令。其中UE是SIP客户端,P-CSCF和S-CSCF是IMS网络中的SIP会话控制服务器,ApplicationServer是IMS网络中的应用服务器。
下面详细描述该呼叫流程中的各个步骤及SIP消息的相关字段:
(1)UE请求应用服务器AS的服务,在SIP消息中包含了Supported:Security-policy-service来表明支持本专利的扩展,Proxy-Require消息头包含了选项标签“sec-policy”,指示该请求业务需要与S-CSCF协商统一的安全策略,SIP消息如下(本专利中所有消息只包含必要字段):
(2)P-CSCF将INVITE请求发往S-CSCF,S-CSCF根据注册时的记录验证该用户支持的扩展。由于用户支持Security-policy-service扩展,表示Alice需要和S-CSCF协商出安全策略以后才能请求建立会话。按照附图5的方法,S-CSCF通过查询HSS服务器后,根据用户请求业务的类型和用户终端类型,确定相应的安全策略,并返回183Session Progress消息,并在该消息中增加Security-policy消息头,消息头内包括policyid、access-sec、intra-domain-sec和inter-domain-sec标签,分别制定安全策略ID、接入安全机制、域内安全机制和域间安全机制。在Security-policy消息头中,policyid是安全策略的ID号,图5所示采取安全策略是P5(相互认证+注册+保护第一跳安全(SA SHA-1)+域间安全(SHA-1 3DES)+域内安全(SHA-1))。SIP消息如下:
(3)Alice收到183 Session Progress响应后,检查Security-policy消息头中S-CSCF所建议的安全策略是否支持,是否符合用户的安全需求。如果是的话,则返回Security-policy-verify消息头,将S-CSCF推荐的安全策略再复制发送一遍,表示确认接受安全策略;如果认为该安全策略不能接受,则再次发送“Require:sec-policy;Proxy-Require:sec-policy”消息请求S-CSCF再次推荐合适的安全策略。
(4)S-CSCF接收到Alice发送的确认安全策略后,检验与自己推荐的策略是否一致,如果是,表示整体安全策略协商已经完成,S-CSCF将Alice发送的业务请求指令中的“Supported:Security-policy-service”的字段删除,并转发给对应的应用服务器上,并针对Alice所在的终端UE以及他所请求的业务类型,按照之前协商好的整体安全策略,提供接入保护、域内保护、域间保护的安全机制,保证Alice该业务控制信令的安全,并提供良好的服务质量保障。
下接表1~表3
表1.现有技术下的IMS各层安全机制
表2.不同安全机制的相应安全属性的效用表
表3.不同等级的安全策略对于安全属性的效用值
Claims (1)
1.IMS网络中基于SIP安全策略等级的协商控制方法,其特征在于,是基于第三代合作伙伴计划3GPP所定义的IP多媒体子***IMS技术规范TS 33.102,TS 33.203和TS33.210,在作为客户端的用户设备UE和作为服务器端的IMS呼叫会话控制功能CSCF服务器依次按以下步骤实现的:
步骤(1),客户端UE注册IMS归属网络时,客户端UE和服务器端的CSCF服务器依次按照以下步骤执行:
步骤(1.1),基于已有的会话初始协议SIP的安全机制协议Sip-Sec-Agree,所述客户端UE通过其归属网络域中的代理-呼叫会话控制功能服务器P-CSCF,向其归属网络域中的服务-呼叫会话控制功能服务器S-CSCF提供客户端所支持的第一跳接入安全机制,
步骤(1.2),所述客户端UE声明支持安全策略协商服务Security-policy-service消息头扩展,并由所述S-CSCF将该用户设备信息标记在本地数据库中,
步骤(1.3),所述S-CSCF根据IMS技术规范中所定义的域内和域间的可选或必选的安全机制,以及步骤(1.2)中所述的客户端支持的安全机制组合出在下述安全保护强度由弱到强的总共七个不同等级的安全策略,保护强度通过计算该策略对于认证性、机密性、完整性、可用性、私密性共5个安全属性上的效用值之和来得到,用于所述IMS归属网络域针对所述客户端UE发起业务的整体安全策略,供选择使用,所述七个等级的安全策略为P1~P7如下:
安全策略P1,包含采用认证和密钥协商AKA的相互认证+注册,在认证性的安全保护效用值为2,可用性效用值为1,总体保护强度效用值为3,
安全策略P2,包含采用认证和密钥协商AKA的相互认证+注册+采用信息摘要算法MD5的第一跳安全保护,在认证性的效用值为3,完整性的效用值为1,可用性的效用值为3,所述总体保护强度效用值为7,
安全策略P3,包含采用认证和密钥协商AKA的相互认证+注册+采用信息摘要算法MD5的第一跳安全保护+同时采用信息摘要算法MD5和加强型数据加密标准3DES的域间安全保护,认证性、机密性、完整性、可用性四种安全属性的效用值分别为3、2、2、4,所述总体保护强度效用值为11,
安全策略P4,包含采用认证和密钥协商AKA的相互认证+注册+采用信息摘要算法MD5的第一跳安全保护+同时采用信息摘要算法MD5和加强型数据加密标准3DES的域间安全保护+采用信息摘要算法MD5的域内安全保护,在认证性、机密性、完整性、可用性四种安全属性的效用值分别为3、2、3、4,所述总体保护强度效用值为12,
安全策略P5,包含采用认证和密钥协商AKA的相互认证+注册+采用安全散列算法SHA-1的第一跳安全保护+同时采用安全散列算法SHA-1和加强型数据加密标准3DES的域间安全保护+采用安全散列算法SHA-1的域内安全保护,在认证性、机密性、完整性、可用性四种安全属性的效用值分别为3、2、6、4,所述总体保护强度效用值为15,
安全策略P6,包含采用认证和密钥协商AKA的相互认证+注册+同时采用信息摘要算法MD5和加强型数据加密标准3DES的第一跳安全保护+同时采用信息摘要算法MD5和加强型数据加密标准3DES的域间安全保护+同时采用信息摘要算法MD5和加强型数据加密标准3DES的域内安全保护+网络拓扑隐藏保护,在认证性、机密性、完整性、可用性、私密性五种安全属性的效用值分别为4、4、3、6、1,所述总体保护强度效用值为18,
安全策略P7,包含采用认证和密钥协商AKA的相互认证+注册+同时采用安全散列算法SHA-1和加强型数据加密标准3DES的第一跳安全保护+同时采用安全散列算法SHA-1和加强型数据加密标准3DES的域间安全保护+同时采用安全散列算法SHA-1和加强型数据加密标准3DES的域内安全保护+网络拓扑隐藏保护,在认证性、机密性、完整性、可用性、私密性五种安全属性的效用值分别为4、4、6、6、1,所述总体保护强度效用值为21,
在所述七个等级的安全策略中,“+”表示不同机制的组合;
步骤(2),所述客户端UE和所述服务器端的CSCF服务器依次按照以下步骤执行,完成业务请求过程:
步骤(2.1),所述客户端UE在业务请求消息中包含支持安全策略协商服务消息Supported:Security-policy-service,在代理请求Proxy-Require消息头中包含安全策略标签sec-policy,表示该业务需要与所述的S-CSCF服务器协商统一的安全策略,
步骤(2.2),所述S-CSCF服务器通过在归属网络域中的所述P-CSCF收到步骤(2.1)所述的业务请求消息后,依次执行以下步骤执行基于用户业务类型的安全策略选择方法:
步骤(2.2.1),所述S-CSCF根据注册记录和步骤(1.1)和(1.3)中所支持的安全机制,基于用户类型、业务类型和运营商类型,推荐适合该客户端UE的安全策略等级,
步骤(2.2.2),所述S-CSCF检查可选安全机制中是否有不匹配、不识别的情况,如果存在,则向客户端UE发送安全机制不可识别消息411 SecurityMechanism Undecipherable,否则执行步骤(2.2.3),
步骤(2.2.3),所述S-CSCF检查是否存在可供选择的安全策略,若不存在,则向客户端UE发出安全策略协商失败消息422Security Policy AgreementFailed,否则执行步骤(2.2.4),
步骤(2.2.4),所述S-CSCF将推荐的安全策略所包含的所有安全机制写入会话应答消息183Session Progress的安全策略Security-policy消息头,该消息头包含安全策略等级policyid、接入安全机制access-sec、域内安全机制intra-domain-sec和域间安全机制inter-domain-sec标签,将安全机制所采用的具体算法写入消息域中对应的消息头中,发送给所述客户端UE;
步骤(2.3),所述客户端UE通过所述P-CSCF收到所述S-CSCF根据步骤(2.2)发送来的会话应答消息后,依次执行以下步骤:
步骤(2.3.1),所述客户端UE检查会话应答消息,如果是安全机制不可识别消息411Security Mechanism Undecipherable,表示安全机制不可识别,重新执行步骤(2.1)进行安全策略的协商过程,
步骤(2.3.2),所述客户端UE检查会话应答消息,如果是安全策略协商失败消息422Security Policy Agreement Failed,表示协商失败,停止协商过程,
步骤(2.3.3),所述客户端UE接收到步骤(2.2.4)中会话应答消息中所述S-CSCF推荐的安全策略消息头,确认接受后,将该消息头内所包含的所有内容复制到请求应答消息INVITE中的安全策略确认Security-policy-verify消息头中,发送给所述的S-CSCF;
步骤(2.4),所述S-CSCF在收到所述客户端UE发送的安全策略确认Security-policy-verify消息头后,比较确认该UE是否接受步骤(2.2.4)所推荐的安全策略,如果不一致,则重复步骤(2.2),如果完全一致,所述S-CSCF将删除业务请求指令中与安全策略协商服务扩展相关的字段,并转发给对应的应用服务器上,同时针对该UE所请求的业务类型,按照之前协商好的整体安全策略,提供接入保护、域内保护、域间保护的安全机制。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100778604A CN101483860B (zh) | 2009-01-23 | 2009-01-23 | Ims网络中基于sip安全策略等级的协商控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100778604A CN101483860B (zh) | 2009-01-23 | 2009-01-23 | Ims网络中基于sip安全策略等级的协商控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101483860A true CN101483860A (zh) | 2009-07-15 |
| CN101483860B CN101483860B (zh) | 2010-09-01 |
Family
ID=40880748
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100778604A Expired - Fee Related CN101483860B (zh) | 2009-01-23 | 2009-01-23 | Ims网络中基于sip安全策略等级的协商控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101483860B (zh) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010083671A1 (zh) * | 2009-01-21 | 2010-07-29 | 中兴通讯股份有限公司 | 一种网络安全的http协商的方法及其相关装置 |
| CN102316450A (zh) * | 2010-06-29 | 2012-01-11 | 上海贝尔股份有限公司 | M2m通信的基于组的认证方法及其设备 |
| CN103036885A (zh) * | 2012-12-18 | 2013-04-10 | 迈普通信技术股份有限公司 | Sip服务器过载保护***及方法 |
| CN103095657A (zh) * | 2011-11-03 | 2013-05-08 | 中兴通讯股份有限公司 | 一种用户接入方法、接入服务路由器及用户接入*** |
| US8565226B1 (en) | 2012-04-23 | 2013-10-22 | Huawei Technologies Co., Ltd. | Data transmission system used between multiple servers, data interface device, and data transmission method |
| CN103458046A (zh) * | 2013-09-13 | 2013-12-18 | 中国科学院信息工程研究所 | 一种基于核心网络的数据秘密共享***及方法 |
| CN105247832A (zh) * | 2013-04-03 | 2016-01-13 | 赛门铁克公司 | 将安全上下文集成到网络路由决策中的方法和装置 |
| CN106301947A (zh) * | 2016-08-31 | 2017-01-04 | 广州唯品会信息科技有限公司 | 业务信息处理***和方法 |
| CN103716192B (zh) * | 2013-12-31 | 2017-03-22 | 大连环宇移动科技有限公司 | 一种基于虚拟ip的无感串接设备 |
| CN107231332A (zh) * | 2016-03-24 | 2017-10-03 | 华为技术有限公司 | 安全策略确定方法及装置 |
| CN108055278A (zh) * | 2017-12-26 | 2018-05-18 | 杭州迪普科技股份有限公司 | 一种查找会话信息的方法及装置 |
| CN109314638A (zh) * | 2016-07-01 | 2019-02-05 | 华为技术有限公司 | 密钥配置及安全策略确定方法、装置 |
| CN109450852A (zh) * | 2018-10-09 | 2019-03-08 | 中国科学院信息工程研究所 | 网络通信加密解密方法及电子设备 |
| CN111049810A (zh) * | 2019-11-28 | 2020-04-21 | 光通天下网络科技股份有限公司 | 网络安全套餐匹配方法、装置、设备及介质 |
| CN112333288A (zh) * | 2021-01-04 | 2021-02-05 | 三盟科技股份有限公司 | 一种智慧学堂数据安全防护方法、***及可读存储介质 |
| CN112788045A (zh) * | 2021-01-21 | 2021-05-11 | 杭州迪普科技股份有限公司 | 网络摄像机的安全防护方法及装置 |
| CN113672985A (zh) * | 2021-08-25 | 2021-11-19 | 支付宝(杭州)信息技术有限公司 | 用于隐私保护的机器学习算法脚本编译方法和编译器 |
| CN115589321A (zh) * | 2022-10-11 | 2023-01-10 | 中国电信股份有限公司 | 安全上下文隔离策略协商方法、装置、设备及存储介质 |
-
2009
- 2009-01-23 CN CN2009100778604A patent/CN101483860B/zh not_active Expired - Fee Related
Cited By (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010083671A1 (zh) * | 2009-01-21 | 2010-07-29 | 中兴通讯股份有限公司 | 一种网络安全的http协商的方法及其相关装置 |
| US8701160B2 (en) | 2009-01-21 | 2014-04-15 | Zte Corporation | Network security HTTP negotiation method and related devices |
| CN102316450A (zh) * | 2010-06-29 | 2012-01-11 | 上海贝尔股份有限公司 | M2m通信的基于组的认证方法及其设备 |
| CN102316450B (zh) * | 2010-06-29 | 2014-01-22 | 上海贝尔股份有限公司 | M2m通信的基于组的认证方法及其设备 |
| CN103095657A (zh) * | 2011-11-03 | 2013-05-08 | 中兴通讯股份有限公司 | 一种用户接入方法、接入服务路由器及用户接入*** |
| WO2013064052A1 (zh) * | 2011-11-03 | 2013-05-10 | 中兴通讯股份有限公司 | 一种用户接入方法、接入服务路由器及用户接入*** |
| US8565226B1 (en) | 2012-04-23 | 2013-10-22 | Huawei Technologies Co., Ltd. | Data transmission system used between multiple servers, data interface device, and data transmission method |
| CN103036885A (zh) * | 2012-12-18 | 2013-04-10 | 迈普通信技术股份有限公司 | Sip服务器过载保护***及方法 |
| CN103036885B (zh) * | 2012-12-18 | 2016-03-23 | 迈普通信技术股份有限公司 | Sip服务器过载保护***及方法 |
| CN105247832A (zh) * | 2013-04-03 | 2016-01-13 | 赛门铁克公司 | 将安全上下文集成到网络路由决策中的方法和装置 |
| CN105247832B (zh) * | 2013-04-03 | 2019-06-14 | 赛门铁克公司 | 将安全上下文集成到网络路由决策中的方法和装置 |
| CN103458046A (zh) * | 2013-09-13 | 2013-12-18 | 中国科学院信息工程研究所 | 一种基于核心网络的数据秘密共享***及方法 |
| CN103458046B (zh) * | 2013-09-13 | 2016-09-07 | 中国科学院信息工程研究所 | 一种基于核心网络的数据秘密共享***及方法 |
| CN103716192B (zh) * | 2013-12-31 | 2017-03-22 | 大连环宇移动科技有限公司 | 一种基于虚拟ip的无感串接设备 |
| CN107231332A (zh) * | 2016-03-24 | 2017-10-03 | 华为技术有限公司 | 安全策略确定方法及装置 |
| CN109314638A (zh) * | 2016-07-01 | 2019-02-05 | 华为技术有限公司 | 密钥配置及安全策略确定方法、装置 |
| US11057775B2 (en) | 2016-07-01 | 2021-07-06 | Huawei Technologies Co., Ltd. | Key configuration method, security policy determining method, and apparatus |
| CN109560929A (zh) * | 2016-07-01 | 2019-04-02 | 华为技术有限公司 | 密钥配置及安全策略确定方法、装置 |
| CN109560929B (zh) * | 2016-07-01 | 2020-06-16 | 华为技术有限公司 | 密钥配置及安全策略确定方法、装置 |
| US11689934B2 (en) | 2016-07-01 | 2023-06-27 | Huawei Technologies Co., Ltd. | Key configuration method, security policy determining method, and apparatus |
| CN114285570A (zh) * | 2016-07-01 | 2022-04-05 | 华为技术有限公司 | 密钥配置及安全策略确定方法、装置 |
| CN106301947A (zh) * | 2016-08-31 | 2017-01-04 | 广州唯品会信息科技有限公司 | 业务信息处理***和方法 |
| CN108055278A (zh) * | 2017-12-26 | 2018-05-18 | 杭州迪普科技股份有限公司 | 一种查找会话信息的方法及装置 |
| CN108055278B (zh) * | 2017-12-26 | 2020-12-29 | 杭州迪普科技股份有限公司 | 一种查找会话信息的方法及装置 |
| CN109450852A (zh) * | 2018-10-09 | 2019-03-08 | 中国科学院信息工程研究所 | 网络通信加密解密方法及电子设备 |
| CN109450852B (zh) * | 2018-10-09 | 2020-09-29 | 中国科学院信息工程研究所 | 网络通信加密解密方法及电子设备 |
| CN111049810A (zh) * | 2019-11-28 | 2020-04-21 | 光通天下网络科技股份有限公司 | 网络安全套餐匹配方法、装置、设备及介质 |
| CN112333288A (zh) * | 2021-01-04 | 2021-02-05 | 三盟科技股份有限公司 | 一种智慧学堂数据安全防护方法、***及可读存储介质 |
| CN112788045A (zh) * | 2021-01-21 | 2021-05-11 | 杭州迪普科技股份有限公司 | 网络摄像机的安全防护方法及装置 |
| CN113672985A (zh) * | 2021-08-25 | 2021-11-19 | 支付宝(杭州)信息技术有限公司 | 用于隐私保护的机器学习算法脚本编译方法和编译器 |
| CN113672985B (zh) * | 2021-08-25 | 2023-11-14 | 支付宝(杭州)信息技术有限公司 | 用于隐私保护的机器学习算法脚本编译方法和编译器 |
| CN115589321A (zh) * | 2022-10-11 | 2023-01-10 | 中国电信股份有限公司 | 安全上下文隔离策略协商方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101483860B (zh) | 2010-09-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101483860B (zh) | Ims网络中基于sip安全策略等级的协商控制方法 | |
| CN101322428B (zh) | 用于传递密钥信息的方法和设备 | |
| EP1743449B1 (en) | Handling of identities in a trust domain of an ip network | |
| CN101102185B (zh) | Ims会话的媒体安全 | |
| EP2521304B1 (en) | Authentication method, system and apparatus | |
| US9854508B2 (en) | Downloadable ISIM | |
| CN101330504B (zh) | 一种基于共享密钥的sip网络中传输层安全的实现方法 | |
| EP1583312A1 (en) | Apparatuses and method for controlling access to an IP multimedia system from an application server | |
| CN101379802B (zh) | 在媒体服务器和用户设备之间以加密方式传输媒体数据的方法和装置 | |
| EP1994707B1 (en) | Access control in a communication network | |
| CN102868665A (zh) | 数据传输的方法及装置 | |
| CN101350808A (zh) | 实现媒体内容转换的方法、***和装置 | |
| JP4838881B2 (ja) | メディアデータを符号化および復号化するための方法、装置ならびにコンピュータプログラム製品 | |
| EP2011299B1 (en) | Method and apparatuses for securing communications between a user terminal and a sip proxy using ipsec security association | |
| US10182037B2 (en) | Method for the transmission of a message by a server of an IMS multimedia IP core network, and server | |
| Islam et al. | Multi-domain authentication for IMS services | |
| CN101990771B (zh) | 服务报告 | |
| Sher et al. | Secure Service Provisioning Framework (SSPF) for IP Multimedia System and Next Generation Mobile Networks | |
| CN101796797A (zh) | 在ip多媒体子***通信网络中处理信任的方法和设备 | |
| Baba et al. | Web-IMS convergence architecture and prototype | |
| Rehman | Investigation of Interworked IMS Architecture In Terms Of Traffic Security | |
| Matsunaka et al. | Device authentication and registration method assisted by a cellular system for user-driven service creation architecture | |
| CN102045297A (zh) | 一种用于对网络中的应用服务器实施策略管理的方法和设备 | |
| Tsagkaropoulos et al. | Provisioning of Multimedia Applications across Heterogeneous All-IP Networks | |
| Tsagkaropoulos et al. | Provisioning of Multimedia Applications across Heterogeneous All-IP Networks: Requirements, Functions and Research Issues |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100901 Termination date: 20210123 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |