基于PSTN固網與IMS互通的身份認證

2019-09-10 02:20:30李翔鷹

計算機與網絡 2019年10期

李翔鷹

摘要：在IMS大范圍部署及PSTN固網與IMS網絡互通的背景下，根據PSTN固網與IMS互通的安全需求，分析并擴展了MGCF，BGCF以及I-CSCF核心網元的功能實現，分別在MGCF與I-CSCF之間，以及BGCF與MGCF之間實現HTTP雙向摘要認證。結合MGCF信令轉換功能，以MGCF為核心，按照PSTN固網與IMS互通的去話、來話呼叫流程，給出MGCF與相關網元完成雙向摘要認證以及SIP與ISUP信令轉換的工作流程，有效避免了網元間的假冒服務器攻擊和假冒客戶端攻擊。

關鍵詞：IMS；MGCF；身份認證；SIP；PSTN固網

中圖分類號：TP393文獻標志碼：A文章編號：1008-1739（2019）10-59-3

0引言

目前，我國公網運營商的IMS網絡已陸續建成并投入使用。提供基本語音業務的行業專網出于保護PSTN固網設備投資、滿足固網用戶話務接續的需要，應實現PSTN固網與IMS的安全互通。

PSTN固網基于電路域（CS域）提供面向連接的語音業務。IMS網絡中，SIP協議的開放性以及分組域（PS域）的不可信任性，使得PSTN固網與IMS網在互通時面臨一定的安全風險：PSTN固網通過關口局以中繼方式接入IMS網元，但是MGCF，MGCF，I-CSCF，BGCF網元之間缺乏身份認證機制，無法避免假冒服務器攻擊和客戶端攻擊，這是依托PSTN固網的行業專網與IMS互通時亟待解決的安全問題。

1 PSTN固網與IMS互通的核心網元

PSTN固網與IMS互通的主要實體功能包括媒體網關控制功能MGCF、信令網關SGW、IMS媒體網關IM-MGW、出口網關控制功能BGCF和查詢呼叫會話控制功能I-CSCF。

MGCF有消息映射和路由選擇功能，是PSTN固網與IMS互通的核心網元。MGCF在控制面實現PSTN固網與IMS之間的交互，通過控制SGW完成SIP協議與PSTN固網中繼電路的SS7信令交互；IM-MGW實現IMS與PSTN固網之間用戶面的交互，在MGCF的控制下，完成IMS和PSTN兩側呼叫的建立和釋放。BGCF是呼叫由IMS路由至與外部網絡的分界點，BGCF選擇MGCF實現IMS與PSTN固網互通[1]。

PSTN固網與IMS互通的網元架構如圖1所示。在本地SS7信令的低級信令轉接點（LSTP）或高級信令轉接點（HSTP）與SGW之間設置信令互通點，在IM-MGW與本地匯接局MS之間設置媒體流互通點[2]。

2身份認證機制

身份認證是計算機及網絡系統確認主體的身份與其聲稱的身份是否相符的過程。下面對比不同用戶之間的呼叫流程，對PSTN固網與IMS互通時的身份認證機制進行分析。

2.1 IMS用戶之間的身份認證

當IMS用戶之間呼叫時，在注冊階段，I-CSCF為用戶指定服務呼叫會話控制功能（S-CSCF），由S-CSCF代理HSS向用戶進行身份認證操作[3]。

用戶和S-CSCF之間通過客戶端和服務器方式，采用IMS AKA協議完成共享密鑰的協商，并實現雙向身份認證功能。其中，AKA算法和密鑰存儲在硬件內置的電路卡中。

2.2 PSTN固網與IMS互通時的身份認證

以IMS用戶為主叫、PSTN固網用戶為被叫，其信令路由為：S-CSCF查詢ENUM Server解析失?。ū唤袨榉荌MS用戶），呼叫經BGCF路由至MGCF，SGW在MGCF控制下進行SIP信令與SS7轉換，經中繼接入被叫固網關口局；媒體路由為：主叫IMS用戶經IP承載網路由至IM-MGW，通過中繼方式接入被叫PSTN關口局。

以PSTN固網用戶為主叫，IMS用戶為被叫，其信令路由為：PSTN關口局完成被叫號碼分析，信令流通過中繼接入SGW，MGCF控制其完成SS7與SIP信令轉換，并路由至I-CSCF。經查詢SLF/HSS，得到被叫歸屬的S-CSCF，路由至P-CSCF并送至被叫；媒體路由為：主叫固網用戶經PSTN關口局中繼接入IM-MGW，由IP承載網路由至被叫IMS用戶。

PSTN與IMS互通時，PSTN固網用戶來話、去話信令流和媒體流如圖2所示[4]。

由此看出，PSTN固網用戶與IMS互通時缺乏身份認證機制。

一方面，PSTN關口局以數字中繼方式接入IM-MGW，PSTN固網側提供是面向連接的TDM專線通信，其呼叫具有物理端口可追溯跟蹤的特性，攻擊者很難對電信用戶進行拒絕服務攻擊[5]。因此，電路域的PSTN固網用戶側相對安全。

另一方面，IMS的承載層基于IP，向用戶提供端到端的面向無連接的服務；其應用層基于SIP協議，SIP協議的開放性、公開性降低了攻擊者的實施難度。對于去話路由，呼叫經BGCF路由至MGCF；對于來話路由，呼叫經MGCF路由至I-CSCF。MGCF、BGCF和I-CSCF各網元之間通過IPSEC保障其通信安全，但在應用層面，網元間缺乏身份認證機制。從而使得上述網元間存在冒充服務器和冒充客戶端的安全風險。

為此，需要對MGCF、BGCF和I-CSCF進行功能擴展，在MGCF與I-CSCF或BGCF通信時，實施雙向HTTP摘要認證。IMS支持多個用戶注冊相同的公共用戶身份，考慮MGCF的存儲開銷，相同關口局的用戶以該關口局為單位作為一個公共用戶身份建立密鑰。

3 HTTP雙向摘要認證

HTTP摘要認證由RFC2617提出，是一種基于挑戰—響應的安全機制。服務器和客戶端共享密鑰，服務器以隨機數nonce進行質詢，客戶端根據用戶名、密碼、nonce、HTTP方法和請求的URI信息生成response作為響應，經服務器驗證，完成認證[6]。HTTP雙向摘要認證與HTTP摘要認證原理相同，在服務器對客戶端身份認證基礎上，增加客戶端對服務器的身份認證。

3.1 HTTP雙向摘要認證模型

根據PSTN固網與IMS互通的安全需求，MGCF以每個中繼接入的關口局為單位，代表不同的客戶端，以I-CSCF或BGCF為服務器，實施HTTP雙向摘要認證。

基于SIP協議的可擴展性，服務器使用S-Authenticate，S-Authorization兩個頭域，客戶端構造C-Authenticate，C-Authorization兩個頭域[7]，實現客戶端對服務器進行身份認證。頭域C-Authenticate含有對服務器身份認證的參數：c-realm，c-nonce。頭域C-Authorization的內容是服務器對客戶端發起的身份認證挑戰的響應c-response。

客戶端認證服務器時，挑戰包含在頭域C-Authenticate中，隨請求發至服務器。服務器計算響應值，包含在頭域C-Authorization發回客戶端，客戶端將響應值與自己通過密鑰計算的結果對比，如果相同，則該服務器身份合法；服務器對客戶端的身份認證時，挑戰信息包含在頭域S-Authenticate中，挑戰的響應包含在頭域S-Authorization中。

3.2 HTTP雙向摘要認證過程

MGCF是PSTN固網與IMS互通的關鍵網元，負責控制SGW完成SIP協議與固網關口局SS7信令之間的轉換，關口局SS7信令為ISUP信令。圖3針對IMS到PSTN固網的去話呼叫流程，演示了身份認證、信令消息交互和協議轉換過程[7]。

①IMS用戶為主叫，呼叫PSTN固網用戶時，呼叫路由至BGCF。BGCF向MGCF發送Invite請求。

②MGCF根據被叫將呼叫路由至相應的固網關口局，控制SGW向關口局發送ISUP信令：初始地址消息IAM，并接收關口局的地址全消息ACM。

③MGCF收到Invite消息后，發現BGCF的身份需要認證，生成隨機數c-nonce，將c-nonce，c-realm等字段作為頭域C-Authenticate的內容，將頭域添加到100 Trying消息中，發送給BGCF。

④BGCF從頭域C-Authenticate得到字段c-nonce的值（挑戰信息），計算c-response，作為HTTP摘要認證的響應值，并將該字段添加至頭域C-Authorization。為實現對關口局的身份認證，BGCF生成隨機數nonce，將nonce，realm等字段作為頭域S-Authenticate的內容，上述2個頭域添加到Invite請求，發送給MGCF。

⑤MGCF計算對BGCF發出挑戰的響應值，與C-Authorization頭域的c-response值對比，若相同，表明BGCF為合法服務器，繼續處理其呼叫請求；根據頭域S-Authenticate中的挑戰信息，計算HTTP摘要響應值response，作為頭域S-Authorization的內容，隨180 Ring消息發送給BGCF。

⑥BGCF計算對MGCF發出挑戰的響應值，與S-Authorization頭域的response對比，若相同，表明MGCF為合法用戶，繼續處理其呼叫請求。

⑦PSTN固網關口局被叫用戶摘機發出應答消息ANM，經SGW信令轉換后，由MGCF向BGCF發出200 OK消息。

⑧BGCF向MGCF發出ACK確認，雙方建立通話。

⑨IMS主叫用戶呼叫釋放，向MGCF發送SIP消息BYE，MGCF向BGCF發送SIP消息200 OK消息，同時，控制SGW向PSTN固網中繼發送ISUP信令的釋放電路消息REL。