中兴IMS核心网基础原理介绍.ppt

IMS终端认证鉴权方式*面向ISIM卡终端：支持ISIM卡的IMS手机；支持USBKEY的PC软终端ISIM中存储用户的PUI和PVI以及鉴权认证的参数IMSAKA:针对不支持ISIM卡和IPsec的终端：普通GPRS手机要求终端能够根据USIM中的用户信息来生成公有用户标志和私有用户标志P-CSCF根据SIP中无AuthorizationHeader确定EarlyIMS流程EarlyIMS：传统SIP终端，无卡智能终端，PC，SIPIADSIPIAD以设备的MAC地址为用户名，烧录的密码进行认证HTTPDigest：IMSAKA认证过程*12345678910111213141516OK(SM)2xxAuth-OK(SM)2xxAuth-OKUEP-CSCFI-CSCFHSSS-CSCF(SM)Register(SM)Register(SM)RegisterCx-Selection-InfoCx-Put(CM)AV-Req(CM)AV-Req-Resp(SM)4xxAuth-Challenge(SM)4xxAuth-Challenge(SM)4xxAuth-Challenge(SM)Register(SM)Register(SM)RegisterCx-QueryCx-PutCx-Pull(SM)2xxAuth-OK【1】P-CSCF的地址通过P-CSCF发现过程获得。需要注册的归属域名通过ISIM中获得。携带IMPI和IMPU进行注册尝试。【2】此时P-CSCF收到消息的没有一致性安全保护。P-CSCF通过根据Request-URI路由注册消息到用户归属域的接口I-CSCF。I-CSCF从用户归属的HSS中获取能够为用户服务的S-CSCF信息，并将注册消息转发给该S-CSCF。【3】由于用户当前没有在S-CSCF中注册，所以需要向HSS设置RegistrationFlag（pending)，指示正在注册。S-CSCF以用户的IMPI为关键字，向HSS索取鉴权向量5元组，包括RAND,AUTH,XRES,CK和IK。【4】S-CSCF保存全部鉴权向量5元组。将RAND,AUTH,CK和IK在SIP4XX应答中发给I-CSCF，由其转发给P-CSCF。【6】UE获得AUTH后，提取MAC和SQN，并自行利用共享密钥IK计算XMAC，判断XMAC是否和MAC一致，SQN是否在合理数值范围，以辨别IMS网络是否合法。UE利用共享密钥和RAND计算鉴权响应RES，并重新发起注册过程。新的注册过程使用的IP地址不变，但端口号须选择SA中协商的一致。选择的P-CSCF和S-CSCF必须与初始注册过程一样。【5】P-CSCF收到该SIP4XX应答之后，保存CK和IK，将其余部分转发给UE。CK和IK的扩展将用做IPsecESP传输模式下安全联盟需要的保密密钥和一致性密钥。【7】S-CSCF比较从UE获得的RES和曾从HSS获得的XRES，如果一致，则UE认证鉴权通过。可以享受服务。S-CSCF向HSS设置RegistrationFlag(registered)，并从HSS中获取用户属性和业务信息。最后向UE发送SIP2XX注册完成响应。HttpDigest认证*HTTPDIGEST认证是在固定网络中无法使用AKA情况下采用的一种鉴权认证方式01HTTPDigest鉴权是基于challenge-response机制02在HTTPBasic鉴权模式下，用户的username和password在网络中都是以明文传送，有严重的安全隐患03针对这个问题，HTTPDigest模式对Basic模式进行改进，对username和password进行加密，并提供了一定程度上有限的消息完整性保护，但是它对消息本身并不加密，并且也不支持IPsec04EarlyIMS认证过程*UEP-CSCFI-CSCFHSSS-CSCF(SM)Register12(SM)Register3(SM)RegisterCx-Query/

Cx-Selection-Info45Cx-MAR6Cx-MAA7(SM)200OK(SM)200OK10(SM)200OKActiviateCreate

PDPContextAccoutingRequestSTARTRadius-SRadius-CKeyInfor