基于PSTN固網(wǎng)與IMS互通的身份認(rèn)證

李翔鷹

摘要：在IMS大范圍部署及PSTN固網(wǎng)與IMS網(wǎng)絡(luò)互通的背景下，根據(jù)PSTN固網(wǎng)與IMS互通的安全需求，分析并擴(kuò)展了MGCF，BGCF以及I-CSCF核心網(wǎng)元的功能實(shí)現(xiàn)，分別在MGCF與I-CSCF之間，以及BGCF與MGCF之間實(shí)現(xiàn)HTTP雙向摘要認(rèn)證。結(jié)合MGCF信令轉(zhuǎn)換功能，以MGCF為核心，按照PSTN固網(wǎng)與IMS互通的去話、來話呼叫流程，給出MGCF與相關(guān)網(wǎng)元完成雙向摘要認(rèn)證以及SIP與ISUP信令轉(zhuǎn)換的工作流程，有效避免了網(wǎng)元間的假冒服務(wù)器攻擊和假冒客戶端攻擊。

關(guān)鍵詞：IMS；MGCF；身份認(rèn)證；SIP；PSTN固網(wǎng)

中圖分類號：TP393文獻(xiàn)標(biāo)志碼：A文章編號：1008-1739（2019）10-59-3

0引言

目前，我國公網(wǎng)運(yùn)營商的IMS網(wǎng)絡(luò)已陸續(xù)建成并投入使用。提供基本語音業(yè)務(wù)的行業(yè)專網(wǎng)出于保護(hù)PSTN固網(wǎng)設(shè)備投資、滿足固網(wǎng)用戶話務(wù)接續(xù)的需要，應(yīng)實(shí)現(xiàn)PSTN固網(wǎng)與IMS的安全互通。

PSTN固網(wǎng)基于電路域（CS域）提供面向連接的語音業(yè)務(wù)。IMS網(wǎng)絡(luò)中，SIP協(xié)議的開放性以及分組域（PS域）的不可信任性，使得PSTN固網(wǎng)與IMS網(wǎng)在互通時面臨一定的安全風(fēng)險(xiǎn)：PSTN固網(wǎng)通過關(guān)口局以中繼方式接入IMS網(wǎng)元，但是MGCF，MGCF，I-CSCF，BGCF網(wǎng)元之間缺乏身份認(rèn)證機(jī)制，無法避免假冒服務(wù)器攻擊和客戶端攻擊，這是依托PSTN固網(wǎng)的行業(yè)專網(wǎng)與IMS互通時亟待解決的安全問題。

1 PSTN固網(wǎng)與IMS互通的核心網(wǎng)元

PSTN固網(wǎng)與IMS互通的主要實(shí)體功能包括媒體網(wǎng)關(guān)控制功能MGCF、信令網(wǎng)關(guān)SGW、IMS媒體網(wǎng)關(guān)IM-MGW、出口網(wǎng)關(guān)控制功能BGCF和查詢呼叫會話控制功能I-CSCF。

MGCF有消息映射和路由選擇功能，是PSTN固網(wǎng)與IMS互通的核心網(wǎng)元。MGCF在控制面實(shí)現(xiàn)PSTN固網(wǎng)與IMS之間的交互，通過控制SGW完成SIP協(xié)議與PSTN固網(wǎng)中繼電路的SS7信令交互；IM-MGW實(shí)現(xiàn)IMS與PSTN固網(wǎng)之間用戶面的交互，在MGCF的控制下，完成IMS和PSTN兩側(cè)呼叫的建立和釋放。BGCF是呼叫由IMS路由至與外部網(wǎng)絡(luò)的分界點(diǎn)，BGCF選擇MGCF實(shí)現(xiàn)IMS與PSTN固網(wǎng)互通[1]。

PSTN固網(wǎng)與IMS互通的網(wǎng)元架構(gòu)如圖1所示。在本地SS7信令的低級信令轉(zhuǎn)接點(diǎn)（LSTP）或高級信令轉(zhuǎn)接點(diǎn)（HSTP）與SGW之間設(shè)置信令互通點(diǎn)，在IM-MGW與本地匯接局MS之間設(shè)置媒體流互通點(diǎn)[2]。

2身份認(rèn)證機(jī)制

身份認(rèn)證是計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)主體的身份與其聲稱的身份是否相符的過程。下面對比不同用戶之間的呼叫流程，對PSTN固網(wǎng)與IMS互通時的身份認(rèn)證機(jī)制進(jìn)行分析。

2.1 IMS用戶之間的身份認(rèn)證

當(dāng)IMS用戶之間呼叫時，在注冊階段，I-CSCF為用戶指定服務(wù)呼叫會話控制功能（S-CSCF），由S-CSCF代理HSS向用戶進(jìn)行身份認(rèn)證操作[3]。

用戶和S-CSCF之間通過客戶端和服務(wù)器方式，采用IMS AKA協(xié)議完成共享密鑰的協(xié)商，并實(shí)現(xiàn)雙向身份認(rèn)證功能。其中，AKA算法和密鑰存儲在硬件內(nèi)置的電路卡中。

2.2 PSTN固網(wǎng)與IMS互通時的身份認(rèn)證

以IMS用戶為主叫、PSTN固網(wǎng)用戶為被叫，其信令路由為：S-CSCF查詢ENUM Server解析失敗（被叫為非IMS用戶），呼叫經(jīng)BGCF路由至MGCF，SGW在MGCF控制下進(jìn)行SIP信令與SS7轉(zhuǎn)換，經(jīng)中繼接入被叫固網(wǎng)關(guān)口局；媒體路由為：主叫IMS用戶經(jīng)IP承載網(wǎng)路由至IM-MGW，通過中繼方式接入被叫PSTN關(guān)口局。

以PSTN固網(wǎng)用戶為主叫，IMS用戶為被叫，其信令路由為：PSTN關(guān)口局完成被叫號碼分析，信令流通過中繼接入SGW，MGCF控制其完成SS7與SIP信令轉(zhuǎn)換，并路由至I-CSCF。經(jīng)查詢SLF/HSS，得到被叫歸屬的S-CSCF，路由至P-CSCF并送至被叫；媒體路由為：主叫固網(wǎng)用戶經(jīng)PSTN關(guān)口局中繼接入IM-MGW，由IP承載網(wǎng)路由至被叫IMS用戶。

PSTN與IMS互通時，PSTN固網(wǎng)用戶來話、去話信令流和媒體流如圖2所示[4]。

由此看出，PSTN固網(wǎng)用戶與IMS互通時缺乏身份認(rèn)證機(jī)制。

一方面，PSTN關(guān)口局以數(shù)字中繼方式接入IM-MGW，PSTN固網(wǎng)側(cè)提供是面向連接的TDM專線通信，其呼叫具有物理端口可追溯跟蹤的特性，攻擊者很難對電信用戶進(jìn)行拒絕服務(wù)攻擊[5]。因此，電路域的PSTN固網(wǎng)用戶側(cè)相對安全。

另一方面，IMS的承載層基于IP，向用戶提供端到端的面向無連接的服務(wù)；其應(yīng)用層基于SIP協(xié)議，SIP協(xié)議的開放性、公開性降低了攻擊者的實(shí)施難度。對于去話路由，呼叫經(jīng)BGCF路由至MGCF；對于來話路由，呼叫經(jīng)MGCF路由至I-CSCF。MGCF、BGCF和I-CSCF各網(wǎng)元之間通過IPSEC保障其通信安全，但在應(yīng)用層面，網(wǎng)元間缺乏身份認(rèn)證機(jī)制。從而使得上述網(wǎng)元間存在冒充服務(wù)器和冒充客戶端的安全風(fēng)險(xiǎn)。

為此，需要對MGCF、BGCF和I-CSCF進(jìn)行功能擴(kuò)展，在MGCF與I-CSCF或BGCF通信時，實(shí)施雙向HTTP摘要認(rèn)證。IMS支持多個用戶注冊相同的公共用戶身份，考慮MGCF的存儲開銷，相同關(guān)口局的用戶以該關(guān)口局為單位作為一個公共用戶身份建立密鑰。

3 HTTP雙向摘要認(rèn)證

HTTP摘要認(rèn)證由RFC2617提出，是一種基于挑戰(zhàn)—響應(yīng)的安全機(jī)制。服務(wù)器和客戶端共享密鑰，服務(wù)器以隨機(jī)數(shù)nonce進(jìn)行質(zhì)詢，客戶端根據(jù)用戶名、密碼、nonce、HTTP方法和請求的URI信息生成response作為響應(yīng)，經(jīng)服務(wù)器驗(yàn)證，完成認(rèn)證[6]。HTTP雙向摘要認(rèn)證與HTTP摘要認(rèn)證原理相同，在服務(wù)器對客戶端身份認(rèn)證基礎(chǔ)上，增加客戶端對服務(wù)器的身份認(rèn)證。

3.1 HTTP雙向摘要認(rèn)證模型

根據(jù)PSTN固網(wǎng)與IMS互通的安全需求，MGCF以每個中繼接入的關(guān)口局為單位，代表不同的客戶端，以I-CSCF或BGCF為服務(wù)器，實(shí)施HTTP雙向摘要認(rèn)證。

基于SIP協(xié)議的可擴(kuò)展性，服務(wù)器使用S-Authenticate，S-Authorization兩個頭域，客戶端構(gòu)造C-Authenticate，C-Authorization兩個頭域[7]，實(shí)現(xiàn)客戶端對服務(wù)器進(jìn)行身份認(rèn)證。頭域C-Authenticate含有對服務(wù)器身份認(rèn)證的參數(shù)：c-realm，c-nonce。頭域C-Authorization的內(nèi)容是服務(wù)器對客戶端發(fā)起的身份認(rèn)證挑戰(zhàn)的響應(yīng)c-response。

客戶端認(rèn)證服務(wù)器時，挑戰(zhàn)包含在頭域C-Authenticate中，隨請求發(fā)至服務(wù)器。服務(wù)器計(jì)算響應(yīng)值，包含在頭域C-Authorization發(fā)回客戶端，客戶端將響應(yīng)值與自己通過密鑰計(jì)算的結(jié)果對比，如果相同，則該服務(wù)器身份合法；服務(wù)器對客戶端的身份認(rèn)證時，挑戰(zhàn)信息包含在頭域S-Authenticate中，挑戰(zhàn)的響應(yīng)包含在頭域S-Authorization中。

3.2 HTTP雙向摘要認(rèn)證過程

MGCF是PSTN固網(wǎng)與IMS互通的關(guān)鍵網(wǎng)元，負(fù)責(zé)控制SGW完成SIP協(xié)議與固網(wǎng)關(guān)口局SS7信令之間的轉(zhuǎn)換，關(guān)口局SS7信令為ISUP信令。圖3針對IMS到PSTN固網(wǎng)的去話呼叫流程，演示了身份認(rèn)證、信令消息交互和協(xié)議轉(zhuǎn)換過程[7]。

①IMS用戶為主叫，呼叫PSTN固網(wǎng)用戶時，呼叫路由至BGCF。BGCF向MGCF發(fā)送Invite請求。

②MGCF根據(jù)被叫將呼叫路由至相應(yīng)的固網(wǎng)關(guān)口局，控制SGW向關(guān)口局發(fā)送ISUP信令：初始地址消息IAM，并接收關(guān)口局的地址全消息ACM。

③MGCF收到Invite消息后，發(fā)現(xiàn)BGCF的身份需要認(rèn)證，生成隨機(jī)數(shù)c-nonce，將c-nonce，c-realm等字段作為頭域C-Authenticate的內(nèi)容，將頭域添加到100 Trying消息中，發(fā)送給BGCF。

④BGCF從頭域C-Authenticate得到字段c-nonce的值（挑戰(zhàn)信息），計(jì)算c-response，作為HTTP摘要認(rèn)證的響應(yīng)值，并將該字段添加至頭域C-Authorization。為實(shí)現(xiàn)對關(guān)口局的身份認(rèn)證，BGCF生成隨機(jī)數(shù)nonce，將nonce，realm等字段作為頭域S-Authenticate的內(nèi)容，上述2個頭域添加到Invite請求，發(fā)送給MGCF。

⑤MGCF計(jì)算對BGCF發(fā)出挑戰(zhàn)的響應(yīng)值，與C-Authorization頭域的c-response值對比，若相同，表明BGCF為合法服務(wù)器，繼續(xù)處理其呼叫請求；根據(jù)頭域S-Authenticate中的挑戰(zhàn)信息，計(jì)算HTTP摘要響應(yīng)值response，作為頭域S-Authorization的內(nèi)容，隨180 Ring消息發(fā)送給BGCF。

⑥BGCF計(jì)算對MGCF發(fā)出挑戰(zhàn)的響應(yīng)值，與S-Authorization頭域的response對比，若相同，表明MGCF為合法用戶，繼續(xù)處理其呼叫請求。

⑦PSTN固網(wǎng)關(guān)口局被叫用戶摘機(jī)發(fā)出應(yīng)答消息ANM，經(jīng)SGW信令轉(zhuǎn)換后，由MGCF向BGCF發(fā)出200 OK消息。

⑧BGCF向MGCF發(fā)出ACK確認(rèn)，雙方建立通話。

⑨IMS主叫用戶呼叫釋放，向MGCF發(fā)送SIP消息BYE，MGCF向BGCF發(fā)送SIP消息200 OK消息，同時，控制SGW向PSTN固網(wǎng)中繼發(fā)送ISUP信令的釋放電路消息REL。

PSTN固網(wǎng)用戶作為來話呼叫IMS用戶時，身份認(rèn)證過程與上述相似。

4結(jié)束語

PSTN固網(wǎng)的行業(yè)專網(wǎng)與IMS互通時的安全風(fēng)險(xiǎn)，是行業(yè)專網(wǎng)運(yùn)維中必須考慮的問題。本文以MGCF為核心，通過擴(kuò)展MGCF，I-CSCF，BGCF網(wǎng)元的功能，實(shí)現(xiàn)了PSTN固網(wǎng)與IMS互通的HTTP雙向摘要身份認(rèn)證，有效避免了PS域的假冒服務(wù)器攻擊和假冒客戶端攻擊。

參考文獻(xiàn)

[1]梁雪梅.方曉農(nóng).楊碩，等.IMS技術(shù)行業(yè)專網(wǎng)應(yīng)用[M].北京：人民郵電出版社，2016.

[2]任躍安.IMS控制下的網(wǎng)絡(luò)融合與業(yè)務(wù)融合方式研究[D].長春：吉林大學(xué)，2014.

[3]孫志穎.IMS技術(shù)的特點(diǎn)及其面臨的主要問題分析[J].信息通信，2014（2）：235.

[4]關(guān)穎奇.IMS網(wǎng)元互通和系統(tǒng)構(gòu)建研究[D].長春：吉林大學(xué)， 2014.

[5]宋建標(biāo).IMS固定接入網(wǎng)相關(guān)安全問題分析與研究[D].北京：北京郵電大學(xué)，2011.

[6]李陽.申鉉京.廉芳芳.IMS網(wǎng)絡(luò)多種鑒權(quán)機(jī)制的研究[J].微計(jì)算機(jī)信息，2008（9）：42-43，28.

[7]才大壯.IMS接入側(cè)安全機(jī)制的研究與設(shè)計(jì)[D]沈陽：中國科學(xué)院沈陽計(jì)算技術(shù)研究所，2015.

[8]李軍軍，李卓琳.IMS與PSTN域互通中MGCF的設(shè)計(jì)[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2018，44（23）：63-64.