ims接入认证及密钥分配机制优化方法 optimized procedure of ims access authentication and key agreement mechanism.pdfVIP

技术交流 Discussion 数据通信2009．2 Technology IMS接人认证及密钥分配机制优化方法 王松俞能海(中国科学技术大学电子工程与信息科学系多媒体计算 与通信教育部一微软重点实验室合月E230027) IMs会分别对用户终端独立地进行两次认证和密钥分配，两次操作过程具有较大的相似性，造成了重复的通信开 销，缺乏效率。通过分析IMs认证与密钥分配协议(IMSAKA)过程，发现协议中存在安全漏洞，容易受到伪装攻 AKA效率的同时，可以解决 击。文章提出了一种优化与改进方法ESAKA(EfficientandSecurityAKA)，在提高IMS 用户终端对S—CSCF的认证及网络端信息传输的安全『生。 关键词：IMS安全；认证与密钥分配；伪装攻击 3GPP在R5版本中提出了一种基于SIPtll协议的性密钥(IK)，导致整个IMS系统的安全性受到严重威 UMTS子域IMS，IMS刚采用分层网络体系结构，与用胁，容易受到各种攻击；(3)容易受到伪装攻击；(4) 户的具体接入方式无关，能够为用户提供丰富多彩 的多媒体业务，是未来网络融合的核心控制平台，但 S-CSCF放在一起进行分析，不能突出各个模块在认 与此同时，IMS的安全正面临着严峻的挑战。在uMT9证过程中的实际作用。文献[4】在文献【7】的基础上，增 系统中，UE首先需要通过PS(Packet—Switch)域的 GPRS AKA过程中存在的安 Support 钥分配，但仍然没有解决IMS SGSN(Serving Node)进行认证闭，认证通 GPRS 全缺陷。本文在分析PS域认证和IMS认证的基础上， 过后由GGSN(GatewaySupportNode)为其分配 Data IP地址并进行PDP(PacketProtoc01)上下文激活，提出了一种新的优化与改进方案ESAKA，既可以提 使UE最后获取到与UMTS的IP连接。UE通过P5；域认高IMSAKA的效率，又可以解决用户终端对S—CSCF 证后，如果想获取IMs且艮务，还必须通过IMSAKA协议与的认证及网络端信息传输的安全性，兼顾了IMS注册 IMs逆许亍认诳卿，两次认证过程前后进行，许多操作非常相认证的效率与网络的安全性。 似甚至完全重复，因此有必要对其进行优化。 文献【7】通过对两次认证过程的仔细分析和研 1 3GPP中的IMS注册认证与密钥分配过程 究，对第二次认证过程，即IMS两回合认证过程提出 假定UE事先已通过Ps域的接人认证，PDP上下 了一种单回合认证优化方法，该方法提高了IMS认证文激活后，如果UE需要请求IMSJ]浸务，可以通过IMS 的认证效率，减少了通信开销。但文献【7】的方法仍然 AKA协议进行IMS注册认证与密钥分配过程。PS域认 存在以下问题：(1)没有实现UE与IMS之间的双向认 MobileSubscriberI— 证过程中使用IMSI(International 证。改进后的方法只考虑了IMS网络对UE的认证，但 缺少UE对IMS网络的认证，从而UE有可能遭受IMS网IMPI(iPMultimediaPrivate Identity)来唯一识别用户， 络的欺骗攻击；(2)缺少在UE和CSCF之间进行密钥IMPI归属于HSS(HomeSubscriberServer)，HSS会根 分配。UE和CSCF之间缺少机密性密钥(CK)和完整 万方数据