李翔鷹

摘要：在IMS大范圍部署及PSTN固網(wǎng)與IMS網(wǎng)絡互通的背景下，根據(jù)PSTN固網(wǎng)與IMS互通的安全需求，分析并擴展了MGCF，BGCF以及I-CSCF核心網(wǎng)元的功能實現(xiàn)，分別在MGCF與I-CSCF之間，以及BGCF與MGCF之間實現(xiàn)HTTP雙向摘要認證。結合MGCF信令轉換功能，以MGCF為核心，按照PSTN固網(wǎng)與IMS互通的去話、來話呼叫流程，給出MGCF與相關網(wǎng)元完成雙向摘要認證以及SIP與ISUP信令轉換的工作流程，有效避免了網(wǎng)元間的假冒服務器攻擊和假冒客戶端攻擊。

關鍵詞：IMS；MGCF；身份認證；SIP；PSTN固網(wǎng)

中圖分類號：TP393文獻標志碼：A文章編號：1008-1739（2019）10-59-3

0引言

目前，我國公網(wǎng)運營商的IMS網(wǎng)絡已陸續(xù)建成并投入使用。提供基本語音業(yè)務的行業(yè)專網(wǎng)出于保護PSTN固網(wǎng)設備投資、滿足固網(wǎng)用戶話務接續(xù)的需要，應實現(xiàn)PSTN固網(wǎng)與IMS的安全互通。

PSTN固網(wǎng)基于電路域（CS域）提供面向連接的語音業(yè)務。IMS網(wǎng)絡中，SIP協(xié)議的開放性以及分組域（PS域）的不可信任性，使得PSTN固網(wǎng)與IMS網(wǎng)在互通時面臨一定的安全風險：PSTN固網(wǎng)通過關口局以中繼方式接入IMS網(wǎng)元，但是MGCF，MGCF，I-CSCF，BGCF網(wǎng)元之間缺乏身份認證機制，無法避免假冒服務器攻擊和客戶端攻擊，這是依托PSTN固網(wǎng)的行業(yè)專網(wǎng)與IMS互通時亟待解決的安全問題。

1 PSTN固網(wǎng)與IMS互通的核心網(wǎng)元

PSTN固網(wǎng)與IMS互通的主要實體功能包括媒體網(wǎng)關控制功能MGCF、信令網(wǎng)關SGW、IMS媒體網(wǎng)關IM-MGW、出口網(wǎng)關控制功能BGCF和查詢呼叫會話控制功能I-CSCF。

MGCF有消息映射和路由選擇功能，是PSTN固網(wǎng)與IMS互通的核心網(wǎng)元。MGCF在控制面實現(xiàn)PSTN固網(wǎng)與IMS之間的交互，通過控制SGW完成SIP協(xié)議與PSTN固網(wǎng)中繼電路的SS7信令交互；IM-MGW實現(xiàn)IMS與PSTN固網(wǎng)之間用戶面的交互，在MGCF的控制下，完成IMS和PSTN兩側呼叫的建立和釋放。BGCF是呼叫由IMS路由至與外部網(wǎng)絡的分界點，BGCF選擇MGCF實現(xiàn)IMS與PSTN固網(wǎng)互通[1]。

PSTN固網(wǎng)與IMS互通的網(wǎng)元架構如圖1所示。在本地SS7信令的低級信令轉接點（LSTP）或高級信令轉接點（HSTP）與SGW之間設置信令互通點，在IM-MGW與本地匯接局MS之間設置媒體流互通點[2]。

2身份認證機制

身份認證是計算機及網(wǎng)絡系統(tǒng)確認主體的身份與其聲稱的身份是否相符的過程。下面對比不同用戶之間的呼叫流程，對PSTN固網(wǎng)與IMS互通時的身份認證機制進行分析。

2.1 IMS用戶之間的身份認證

當IMS用戶之間呼叫時，在注冊階段，I-CSCF為用戶指定服務呼叫會話控制功能（S-CSCF），由S-CSCF代理HSS向用戶進行身份認證操作[3]。

用戶和S-CSCF之間通過客戶端和服務器方式，采用IMS AKA協(xié)議完成共享密鑰的協(xié)商，并實現(xiàn)雙向身份認證功能。其中，AKA算法和密鑰存儲在硬件內(nèi)置的電路卡中。

2.2 PSTN固網(wǎng)與IMS互通時的身份認證

以IMS用戶為主叫、PSTN固網(wǎng)用戶為被叫，其信令路由為：S-CSCF查詢ENUM Server解析失?。ū唤袨榉荌MS用戶），呼叫經(jīng)BGCF路由至MGCF，SGW在MGCF控制下進行SIP信令與SS7轉換，經(jīng)中繼接入被叫固網(wǎng)關口局；媒體路由為：主叫IMS用戶經(jīng)IP承載網(wǎng)路由至IM-MGW，通過中繼方式接入被叫PSTN關口局。

以PSTN固網(wǎng)用戶為主叫，IMS用戶為被叫，其信令路由為：PSTN關口局完成被叫號碼分析，信令流通過中繼接入SGW，MGCF控制其完成SS7與SIP信令轉換，并路由至I-CSCF。經(jīng)查詢SLF/HSS，得到被叫歸屬的S-CSCF，路由至P-CSCF并送至被叫；媒體路由為：主叫固網(wǎng)用戶經(jīng)PSTN關口局中繼接入IM-MGW，由IP承載網(wǎng)路由至被叫IMS用戶。

PSTN與IMS互通時，PSTN固網(wǎng)用戶來話、去話信令流和媒體流如圖2所示[4]。

由此看出，PSTN固網(wǎng)用戶與IMS互通時缺乏身份認證機制。

一方面，PSTN關口局以數(shù)字中繼方式接入IM-MGW，PSTN固網(wǎng)側提供是面向連接的TDM專線通信，其呼叫具有物理端口可追溯跟蹤的特性，攻擊者很難對電信用戶進行拒絕服務攻擊[5]。因此，電路域的PSTN固網(wǎng)用戶側相對安全。

另一方面，IMS的承載層基于IP，向用戶提供端到端的面向無連接的服務；其應用層基于SIP協(xié)議，SIP協(xié)議的開放性、公開性降低了攻擊者的實施難度。對于去話路由，呼叫經(jīng)BGCF路由至MGCF；對于來話路由，呼叫經(jīng)MGCF路由至I-CSCF。MGCF、BGCF和I-CSCF各網(wǎng)元之間通過IPSEC保障其通信安全，但在應用層面，網(wǎng)元間缺乏身份認證機制。從而使得上述網(wǎng)元間存在冒充服務器和冒充客戶端的安全風險。

為此，需要對MGCF、BGCF和I-CSCF進行功能擴展，在MGCF與I-CSCF或BGCF通信時，實施雙向HTTP摘要認證。IMS支持多個用戶注冊相同的公共用戶身份，考慮MGCF的存儲開銷，相同關口局的用戶以該關口局為單位作為一個公共用戶身份建立密鑰。

3 HTTP雙向摘要認證

HTTP摘要認證由RFC2617提出，是一種基于挑戰(zhàn)—響應的安全機制。服務器和客戶端共享密鑰，服務器以隨機數(shù)nonce進行質(zhì)詢，客戶端根據(jù)用戶名、密碼、nonce、HTTP方法和請求的URI信息生成response作為響應，經(jīng)服務器驗證，完成認證[6]。HTTP雙向摘要認證與HTTP摘要認證原理相同，在服務器對客戶端身份認證基礎上，增加客戶端對服務器的身份認證。

3.1 HTTP雙向摘要認證模型

根據(jù)PSTN固網(wǎng)與IMS互通的安全需求，MGCF以每個中繼接入的關口局為單位，代表不同的客戶端，以I-CSCF或BGCF為服務器，實施HTTP雙向摘要認證。

基于SIP協(xié)議的可擴展性，服務器使用S-Authenticate，S-Authorization兩個頭域，客戶端構造C-Authenticate，C-Authorization兩個頭域[7]，實現(xiàn)客戶端對服務器進行身份認證。頭域C-Authenticate含有對服務器身份認證的參數(shù)：c-realm，c-nonce。頭域C-Authorization的內(nèi)容是服務器對客戶端發(fā)起的身份認證挑戰(zhàn)的響應c-response。

客戶端認證服務器時，挑戰(zhàn)包含在頭域C-Authenticate中，隨請求發(fā)至服務器。服務器計算響應值，包含在頭域C-Authorization發(fā)回客戶端，客戶端將響應值與自己通過密鑰計算的結果對比，如果相同，則該服務器身份合法；服務器對客戶端的身份認證時，挑戰(zhàn)信息包含在頭域S-Authenticate中，挑戰(zhàn)的響應包含在頭域S-Authorization中。

3.2 HTTP雙向摘要認證過程

MGCF是PSTN固網(wǎng)與IMS互通的關鍵網(wǎng)元，負責控制SGW完成SIP協(xié)議與固網(wǎng)關口局SS7信令之間的轉換，關口局SS7信令為ISUP信令。圖3針對IMS到PSTN固網(wǎng)的去話呼叫流程，演示了身份認證、信令消息交互和協(xié)議轉換過程[7]。

①IMS用戶為主叫，呼叫PSTN固網(wǎng)用戶時，呼叫路由至BGCF。BGCF向MGCF發(fā)送Invite請求。

②MGCF根據(jù)被叫將呼叫路由至相應的固網(wǎng)關口局，控制SGW向關口局發(fā)送ISUP信令：初始地址消息IAM，并接收關口局的地址全消息ACM。

③MGCF收到Invite消息后，發(fā)現(xiàn)BGCF的身份需要認證，生成隨機數(shù)c-nonce，將c-nonce，c-realm等字段作為頭域C-Authenticate的內(nèi)容，將頭域添加到100 Trying消息中，發(fā)送給BGCF。

④BGCF從頭域C-Authenticate得到字段c-nonce的值（挑戰(zhàn)信息），計算c-response，作為HTTP摘要認證的響應值，并將該字段添加至頭域C-Authorization。為實現(xiàn)對關口局的身份認證，BGCF生成隨機數(shù)nonce，將nonce，realm等字段作為頭域S-Authenticate的內(nèi)容，上述2個頭域添加到Invite請求，發(fā)送給MGCF。

⑤MGCF計算對BGCF發(fā)出挑戰(zhàn)的響應值，與C-Authorization頭域的c-response值對比，若相同，表明BGCF為合法服務器，繼續(xù)處理其呼叫請求；根據(jù)頭域S-Authenticate中的挑戰(zhàn)信息，計算HTTP摘要響應值response，作為頭域S-Authorization的內(nèi)容，隨180 Ring消息發(fā)送給BGCF。

⑥BGCF計算對MGCF發(fā)出挑戰(zhàn)的響應值，與S-Authorization頭域的response對比，若相同，表明MGCF為合法用戶，繼續(xù)處理其呼叫請求。

⑦PSTN固網(wǎng)關口局被叫用戶摘機發(fā)出應答消息ANM，經(jīng)SGW信令轉換后，由MGCF向BGCF發(fā)出200 OK消息。

⑧BGCF向MGCF發(fā)出ACK確認，雙方建立通話。

⑨IMS主叫用戶呼叫釋放，向MGCF發(fā)送SIP消息BYE，MGCF向BGCF發(fā)送SIP消息200 OK消息，同時，控制SGW向PSTN固網(wǎng)中繼發(fā)送ISUP信令的釋放電路消息REL。

PSTN固網(wǎng)用戶作為來話呼叫IMS用戶時，身份認證過程與上述相似。

4結束語

PSTN固網(wǎng)的行業(yè)專網(wǎng)與IMS互通時的安全風險，是行業(yè)專網(wǎng)運維中必須考慮的問題。本文以MGCF為核心，通過擴展MGCF，I-CSCF，BGCF網(wǎng)元的功能，實現(xiàn)了PSTN固網(wǎng)與IMS互通的HTTP雙向摘要身份認證，有效避免了PS域的假冒服務器攻擊和假冒客戶端攻擊。

參考文獻

[1]梁雪梅.方曉農(nóng).楊碩，等.IMS技術行業(yè)專網(wǎng)應用[M].北京：人民郵電出版社，2016.

[2]任躍安.IMS控制下的網(wǎng)絡融合與業(yè)務融合方式研究[D].長春：吉林大學，2014.

[3]孫志穎.IMS技術的特點及其面臨的主要問題分析[J].信息通信，2014（2）：235.

[4]關穎奇.IMS網(wǎng)元互通和系統(tǒng)構建研究[D].長春：吉林大學， 2014.

[5]宋建標.IMS固定接入網(wǎng)相關安全問題分析與研究[D].北京：北京郵電大學，2011.

[6]李陽.申鉉京.廉芳芳.IMS網(wǎng)絡多種鑒權機制的研究[J].微計算機信息，2008（9）：42-43，28.

[7]才大壯.IMS接入側安全機制的研究與設計[D]沈陽：中國科學院沈陽計算技術研究所，2015.

[8]李軍軍，李卓琳.IMS與PSTN域互通中MGCF的設計[J].計算機與網(wǎng)絡，2018，44（23）：63-64.