IMS下WAPI安全接入方案的研究

安全接入方案的研究刘琪北京邮电大学电信工程学院，北京（10086）E-mail：alexliuqi@gmail.com摘要：本文在研究了WLAN与IMS安全体系的前提下,针对IMS接入网络的不安全性，提出了WAPI与IMS互联的解决方案，并给出了WAPI客户端接入IMS的认证和鉴权流程关键词：IMS，WAPI，接入网安全1.引言IMS是基于SIP（sessioninitiationprotocol，会话启始协议）的系统，它为多媒体服务提供了一整套标准体系架构。作为日趋成熟的标准体系，IETF、3GPP、OMA（openmobilealliance，开放移动联盟）等国际标准组织都在定义和完善IMS标准。IMS技术允许运营商能更好地控制业务层，能更快地集成和开展IMS多媒体服务，并减少网络投资和运营开销，所以运营商都很重视IMS技术。同时，IMS技术也能给用户带来统一的用户体验，用户将会获得更多质量和安全都有保障的IMS服务。IMS的提出，顺应了通信网络技术融合与业务融合发展的趋势，它将在未来通信网络中发挥重要作用。近年来，以802.11标准为主的WLAN以其低廉的建网价格以及高传输带宽（802.11系列标准能提供54~108Mbit/s的数据传输速率）迅速拓展市场空间，但是它的缺点也很明显，每个接入点的覆盖范围不大，只能适用于公司、旅馆、机场等小范围地区，而且不同的WLAN业务提供商之间的网络没有漫游协议。而UMTS以及IMS则能弥补WLAN这些所有的缺点。UMTS作为一个完整的移动通信系统可以为用户提供无所不在的连接性，在不同的PLMN间有成熟的漫游协议。但是UMTS的投资规模庞大，数据峰值也只有2Mbit/s左右。由于WLAN和UMTS这些互补的特性，3GPP开始研究UMTS-WLAN的互操作，并确定互联互通的基本原则：3GPP-WLAN互操作必须尽量减少对WLAN以及3GPP标准的影响：即保持WLAN标准不变，同时使对3GPP现存规范的修改昀小化。然而，WLAN在接入域中被证明并不安全，为了克服该协议的缺陷，中国已颁布了具有鉴别保密机制的无线局域网标准。无线局域网鉴别与保密基础结构WAPI(WLANAuthenticationandPrivacyInfrastructure)由无线局域网鉴别基础结构WAI(WLANAuthenticationInfrastructure)和无线局域网保密基础结构WPI(WLANPrivacyInfrastructure)组成，分别实现WLAN实体认证(也称鉴别)和数据保密通信。其中，WAI采用基于椭圆曲线的公钥证书体制，无线客户端STA和接入点AP通过鉴别服务器AS进行双向身份鉴别[4]。而在对传输数据的保密方面，WPI采用了国家商用密码管理委员会办公室提供的对称密码算法进行加密和解密，充分保障了数据传输的安全。于是，WAPI接入IMS网络成为了一个新的值得研究的课题。接入安全威胁接入层在物理位置上是离用户昀近的，而接入层的设备相对其它网络域又更为智能和多样化，因此接入层的安全威胁也是昀为严重的。在IMS网络中，终端设备和IMS服务网之间的接入是一个重要的攻击点。作好接入层的安全保护尤为重要。在IMS网络中接入层的特点有接入种类繁多，用户接入非常灵活。用户可以随意接入网络，只要是能连接到IP网的终端都能接入到IMS网络中并享受相应的服务。用户的随意移动性也增添了IMS网络的安全隐患。IMS网络的安全威胁主要有以下几类：1、接入层用户信息的安全(1)未授权接入数据：窃听用户业务、窃听信令或控制数据、伪装成通信参与者、被动的业务分析、主动的业务分析。(2)完整性威胁：篡改用户业务、篡改信令或控制数据(3)未授权接入业务：伪装成另一用户接入业务以上这些通常是通过盗用其它用户的IMS业务标识和/或其它用户的IP地址来实现的。这就需要严格有效的认证鉴权措施，另外，在注册过程中，用户信息在网络上进行传送，如何保证注册业务信息不被窃取，采用何种有效的加密措施也是必须考虑的。2、接入层发起的各类攻击接入层很容易获取核心网络的相应信息，因此也很容易发起各类攻击，这也需要重点防止。接入层发起的一些攻击主要有：(1)拒绝服务攻击：拒绝服务攻击是一种破坏性的攻击，通过向目标发送大量垃圾信息包来组织目标提供服务，其通常利用的手段有：死亡之Ping,UDP洪水、SYN洪水、等。这类攻击攻击性强，会严重损伤网络服务。(2)利用型攻击：包括猜测口令、特洛伊木马、缓冲区溢出等。(3)信息收集型攻击：信息收集型攻击不对目标造成伤害，但是为下一步攻击做了准备。包括扫描技术、网络拓扑探测等。(4)假消息攻击：如DNS告诉缓存污染，利用DNS服务器与其它名称服务器交互信息的时候不进行认证，将会把用户引入不正确的目的地。以上诸多攻击所使用的手段，假冒源IP地址是罪魁祸首。因此接入层的安全措施主要是通过有效的认证鉴权来保证。2.2IMS安全体制IMS网络基于数据网上,但是它的安全机制却和数据网不相关的[2]。具体结构可以参见下图个层面：1．提供用户和IMS网络之间的双向认证。认证是基于存在于IMS用户和HSS的秘密数据和函数。HSS向S-CSCF分发认证向量。S-CSCF代表网络对用户进行认证。2．提供UE和P-CSCF之间的空中接口之间的安全链接。其中包括加密和完整化保护。3．提供网络域内CSCF和HSS之间的安全。4．提供不同网络之间的CSCF网络实体之间的网络域安全。5．提供相同网络内的CSCF之间的安全。这当中,1,2被称为IMS接入网的安全,而3,4,5则是网络域内范围的安全。这里我们主要讨论接入域的安全问题。3.IMS下WAPI的安全接入WAPI客户端接入IMS时，要求保证WAPI在接入域的安全。WAPI客户端从GGSN接入IMS时，除了需要进行IMS认证外，还需要进行WAPI鉴别和授权。这两个过程相互独立[1]。根据3GPP关于IMS与WAPI互联的方案，这里给出了非漫游情况下(WLAN于用户的3GPP归属网络有直接连接)的UMTS-WAPI互操作模型。网络互通体系结构中新增的主要网络实体以及它们之间的参考点。1、新增网络实体及其功能(1)3GPPAAAServer3GPPAAAServer位于3GPP网络中，其主要功能如下：从3GPP用户的3GPP归属网络的HLR/HSS获取认证信息和用户属性(包括用户的授权信息)。基于从HLR/HSS获取的认证信息对3GPP用户进行认证。认证信令可能通过AAAProxy传送。与WAPI交互授权信息，与WAPI的AS服务器交互信息，可以进行WAPI的证书鉴别。对于每个经过认证和授权的3GPP用户，将其3GPPAAAServer的地址和名称注册到HLR/HSS也可作为AAAProxy传递AAA信令。生成每个用户的计费信息，并向HPLMN中的CCF/CGW报告(2)WAGWAG是应用于场景3中的网关，它在WAPI接入网与PLMN之间路由、转发数据，为场景3的WAPIUE提供3GPP分组域业务。如果是漫游情况下，WAG应该位于VPLMN中，否则WAG位于HPLMN中。它的主要功能如下。对于从WAPIAN漫游接入的用户，允许VPLMN生成计费信息。使分组数据路由经过PDG。收集每个隧道的计费信息，如数据流量、使用时间等。基于分组数据中的未加密信息，过滤分组数据。除了UE发出的业务请求、隧道建立等消息之外，只有现存隧道的分组才会被转发。(3)PDG凡接入3GPP分组域业务都必须经过PDG。非漫游情况下，PDG位于HPLMN中。漫游情况下，如果用户使用HPLMN提供的3GPP分组域业务，PDG位于HPLMN中;如果用户使用VPLMN提供的3GPP分组域业务，PDG位于VPLMN中。PDG的选择是由授权、业务选择等过程决定的。PDG的主要功能如下。存储WAPI3G连接用户的路由信息。在WAPI3G连接用户与PDN(PacketDataNetwork)之间路由分组数据允许为WAPIUE分配远程IP地址(RemoteIPAddress：WAPIUE通过PDG访问外部IP网络的地址)注册WAPIUE的本地IP地址(LocalIPAddress：WAPIUE在3GPP-WAPI互通网络内部的路由识别地址)，并与远程IP地址绑定。解除WAPIUE的本地IP地址与远程IP地址的绑定。进行RemoteIPAddress与LocalIPAddress翻译和映射。滤除未经过授权的数据分组。为离线计费和在线计费的目的，生成用户的计费信息。与策略控制功能PCF(PolicyControlFunction)交互信息，包括基于业务的本地策略和QOS的互通信息。2、新增参考点Wr参考点：Wr参考点位于WAPI.接入网与3GPPAAAServer之间，它的作用是为认证、授权及其相关信息提供安全的传输方式。Wb参考点：Wr参考点位于WAPI接入网与3GPPAAAServer之间，它的作用是为计费相关信息提供安全的传输方式。Wx参考点：Wx参考点位于3GPPAAAServer与HSS之间，主要作用是在二者之间通信。D'/Gr参考点：D'/Gr’参考点位于3GPPAAAServer与HLR之间，主要作用是在二者之间通信。Wo参考点：Wo参考点位于3GPPAAAServer与3GPPOCS之间，主要作用是在二者之间传递在线计费相关信息。Wf参考点：Wf参考点位于3GPPAAAServer与CGF/CCF之间，主要作用是在二者之间传递离线计费相关信息、以及费用结算。Wg参考点：Wg参考点位于3GPPAAAServer与WAG之间，用于提供WAG需要的信息，来对授权用户执行策略增强功能。Wn参考点：Wn参考点位于WAPI接入网络与WAG之间，强制在WAPIUE发起的隧道上的业务流量经过WAG。.参考点：wi参考点位于PDG与PDN之间。PDN可以是一个运营商的外部公网和私网，也有可能是一个内部数据网，例如IMS,RADIUS计费或认证，DHCP的入口点。类似于分组域的Gi参考点。通过基于IP的wi参考点，提供WAPI与3GPP分组域的互通。Wm参考点：Wm参考点位于3GPPAAAServer与PDG之间，传送必要的鉴权和授权信息。Ws参考点：Ws参考点连接3GPPAAAServer与3GPPAAAProxy(可能会有中间网络)，它的作用是为认证、鉴权信息提供安全的传输。We参考点：We参考点位于3GPPAAAServer与3GPPAAAProxy之间，它的作用是为计费信息提供安全的传输。Wu参考点：Wu参考点位于WI.ANUE与PDG之间，表示二者之间的、由WAPIUE初始化隧道。Wu参考点的传输由Wn和WP提供，保证数据路由经过WAPI接入网络。3.2WAPI接入IMS的安全性认证1.基本要求WAPI用户接入IMS主要通过注册过程完成用户对网络和网络对用户的双向认证。该认证包括IMSAKA机制和WAPI证书认证。AKA实现了ISIM和AUC之间的相互认证请求，包含一个随机挑战（RAND）和一个网络认证令牌（AUTH）。ISIM对AUTH进行验证，从而对网络本身的真实性进行验证。每个终端也为每一轮认证过程维护一个序列号。如果ISIM检测到超出了序列号码范围之外的认证请求，那么它就放弃认证并向网络返回一个同步失败消息，其中包含了正确的序列号码。为了相应网络的认证请求，ISIM将密钥应用于随机挑战（RAND），从而产生一个认