IMS Avanc : Enregistrement et Authentification

EFORT http://www.efort.com
Ce second tutoriel EFORT ddi lIMS prsente les procdures denregistrement et dauthentification IMS. Avant de pouvoir utiliser les services du domaine IMS, tels qu'tablir une session multimdia ou recevoir une demande de session, un usager doit s'enregistrer au rseau IMS. Puisque lIMS supporte le roaming , lusager peut senregistrer depuis son rseau nominal o depuis nimporte quel rseau visit qui dispose dun accord de roaming avec le rseau nominal. Le premier chapitre dcrit les identits IMS ncessaires lenregistrement et lauthentification, i.e., identit priv et identit publique. Le second chapitre introduit la procdure denregistrement IMS. Le troisime chapitre dtaille la procdure dauthentification IMS.

1 Identits pour lenregistrement IMS

Lenregistrement lIMS requiert une identits prive et une identit publique. Trois types denregistrement sont considrer : 1. Enregistrement dun client mobile depuis un accs 3G ou 4G avec une carte USIM intgrant un module ISIM (IMS SIM Module) 2. Enregistrement dun client mobile depuis un accs 3G ou 4G avec une carte USIM sans module ISIM (IMS SIM Module) 3. Enregistrement dun client fixe sans USIM et ISIM.

1.1

Enregistrement de l usager disposant dune USIM avec module ISIM

La rfrence une souscription IMS est dfinie par un compte usager. La souscription IMS peut tre utilise depuis n importe quel quipement appel UE (User Equipment) , pour des communications fixes ou mobiles. Un usager doit avoir au moins une identit prive et au moins une identit publique. L identit prive IMS (IMSI Private User Identity, IMPI) est une donne usager permanente dans le HSS (Home Subscriber Server). Le format de l IMPI est de type username@realm de Network Address Identifier (NAI) tel que spcifi dans le RFC IETF 4282. L IMSI peut tre inclus dans la partie username si souhait par l oprateur; le format de la partie realm tant alors : ims.mnc[MNC].mcc[MCC].3gppnetwork.org Si l IMSI suivant est utilis, 2080123456555 o MCC = 208, MNC = 01, et MSIN = 43567656, alors IMPI = 2080123456555@ims.mnc01.mcc208.3gppnetwork.org autre IMPI possible: JohnCook_private@orange.fr La Private User Identity n est pas une URI SIP. Lidentit publique dusager (IMS Public User Identity, IMPU) est un nom de contact publi ou un numro avec lequel adresser lusager. Plusieurs IMPUs peuvent exister par souscription IMS par exemple, un numro de tlphone (tel : +33672112445) et une adresse SIP URI (sip : JohnCook@orange.fr). Loprateur de rseau IMS nominal assigne les identits IMPU. Ces IDs sont des donnes permanentes de lusager stockes dans la base de donnes HSS. Des IMPUs peuvent tre partags par diffrents IMPIs avec la mme souscription IMS. Une identit IMPU donne peut tre enregistre simultanment sur diffrents UEs qui utilisent des IMPIs diffrents.

Copyright EFORT 2010

1.2

Enregistrement de l usager sans ISIM mais avec USIM

Un usager mobile peut senregistrer lIMS avec sa carte USIM sans que celle-ci possde de module ISIM. Une adresse prive temporaire et une adresse publique temporaire sont alors gnres pour lenregistrement IMS et ont le format : username@realm. L IMSI doit tre inclus dans la partie username; le format de la partie realm est : ims.mnc[MNC].mcc[MCC].3gppnetwork.org Ex : IMSI = 2080143567656, o MCC = 208, MNC = 01, et MSIN = 43567656. L identit prive est alors : 2080143567656@ims.mnc01.mcc208.3gppnetwork.org L identit publique temporaire est identique une adresse prive temporaire mais prfixe par sip: car il s agit d une URI SIP. Dans notre exemple sa valeur est : sip : 2080143567656@ims.mnc01.mcc208.3gppnetwork.org Lorsqu un terminal IMS disposant d une USIM sans ISIM doit construire le nom de domaine de son rseau nominal qui est inclus dans le Request-URI de la requte SIP REGISTER, le terminal supprime la partie user de l identit publique temporaire. L URI du nom de domaine du rseau nominal est : sip: ims.mnc01.mcc208.3gppnetwork.org Dans ce cas particulier, lorsque l usager s enregistre, l authentification sera base sur l AKA 3G et non pas l AKA IMS. L authentification IMS pour les clients mobiles est base sur une cl partage K qui est uniquement prsente dans le HSS et dans l application ISIM de la carte USIM sur l UE. Comme le HSS ne communique jamais directement avec l UE, le S-CSCF ralise les procdures d authentification. Le vecteur d authentification (AV, Authentication Vector) est tlcharg par le S-CSCF partir du HSS pendant l enregistrement. La procdure dauthentification est similaire celle mise en uvre dans les rseaux mobiles 3G sur la base du protocole AKA (Authentication and Key Agreement). La partie authentication de AKA permet de vrifier l identit de l usager alors que la partie Key Agreement permet de gnrer des cls qui sont ensuite utilises pour le chiffrement du trafic de signalisation SIP entre lUE et le P-CSCF et pour la protection de l intgrit de la signalisation SIP toujours entre lUE et le P-CSCF. Dans le cas dun usager ne disposant pas de module ISIM, lauthentification sappuiera sur lAKA 3G et la cl K prsents sur lUSIM. Si lauthentification russit pendant la phase denregistrement lusager obtient du rseau son identit ou ses identits publiques IMS (prsents dans le header P-Associated-URI de la rponse SIP 200 OK) . Une fois la procdure d enregistrement finalise, le terminal IMS dispose donc d un ensemble d identits publiques d usager pour par exemple tablir des sessions IMS.

1.3

Enregistrement de l usager sans USIM et sans ISIM (i.e., enregistrement depuis un accs large bande fixe)

Dans ce cas prcis, le nom dutilisateur et le mot de passe utiliss par le modem (e.g., modem ADSL) pour lauthentification sur laccs large bande fixe peuvent tre rutiliss pour lauthentificaiton lIMS. L authentification d accs HTTP avec la mthode Digest est la forme la plus simple d authentification dans le protocole SIP et concerne ce scnario. Le mcanisme fait partie de la spcification SIP (RFC 3261) et doit tre implant obligatoirement dans les clients et serveurs SIP. Il s agit d une adaptation du mme mcanisme utilis pour l authentification au service Web. Le mcanisme requiert un nom d utilisateur et un mot de passe. Le nom d utilisateur est considr comme la Private User Identity. L authentification est toujours mutuelle. Le transport est assur par TLS (Transport Layer Security). L authentification d accs HTTP avec la mthode Digest est donc utilise pour accder l IMS travers des rseaux d accs non dfinis par 3GPP.

Copyright EFORT 2010

Nous avons montr que si l accs est 3GPP (e.g., 3G, 3G+, LTE/4G), l usager dispose d une USIM avec ou sans module ISIM. Alors le mcanisme d authentification est l authentification d accs HTTP avec la mthode Digest en utilisant AKA appel simplement HTTP Digest AKA.

2 Enregistrement IMS
Avant de pouvoir utiliser les services du domaine IMS, tels qu'tablir une session multimdia ou recevoir une demande de session, un usager doit s'enregistrer l IMS. Que l'usager soit dans son rseau nominal ou dans un rseau visit, cette procdure fait intervenir un P-CSCF (Proxy- Call Stateful Control Function). L'usager dans un rseau daccs 3G+ dcouvre l'adresse de l'entit P-CSCF en activant le contexte PDP ncessaire pour l'change de messages de signalisation SIP. Le message d'acceptation d'activation de contexte PDP contient l'adresse IP alloue lUE (User Equipment) et ladresse du P-CSCF. Tous les messages de signalisation mis par L'UE ou destination de l'UE sont relays par le PCSCF ; l'UE n'a jamais la connaissance des adresses des autres CSCFs (i.e., I-CSCF et SCSCF). Lentit P-CSCF est dans le rseau visit si lusager souhaitant senregistrer est dans un rseau visit alors que les entits I-CSCF (Interrogating CSCF) et S-CSCF (Serving CSCF) sont toujours prsentes dans le rseau nominal de l'usager, ainsi que le HSS. Les entits P-CSCF, I-CSCF, S-CSCF et HSS ont t dcrites dans le tutoriel IMS dEFORT (http://www.efort.com/r_tutoriels/IMS_EFORT.pdf).

Grce l'enregistrement SIP : Le HSS est notifi de la localisation courante de l'UE par rapport au domaine IMS et met jour le profil de l'usager correspondant, L'usager est authentifi avant de pouvoir accder aux services du domaine IM, Le domaine IMS nominal de l'usager slectionne un S-CSCF appropri qui invoquera les services de l'UE auprs de serveurs d'application, et ce, grce au profil de l'usager retourn par le HSS au S-CSCF slectionn (i.e., ASSI). Le S-CSCF peut tre assimil l'entit SSP de l'architecture du Rseau Intelligent. La figure 1 dcrit les diffrentes tapes de la procdure denregistrement IMS. 1. Un message SIP REGISTER est mis par l'UE au P-CSCF. 2. Le P-CSCF le relaye l'entit I-CSCF du rseau nominal de l'usager s'enregistrant. Le rseau nominal peut tre identifi partir de l'URL SIP de l'usager s'enregistrant ou partir de son IMSI. Le nom de domaine de l'adresse SIP de l'UE s'enregistrant peut tre rsolu par le DNS en une adresse IP d'une entit I-CSCF du domaine IMS nominal. L'entit I-CSCF joue le rle de point d'entre pour les messages de signalisation SIP provenant d'autres rseaux. 3. L'entit I-CSCF interroge le HSS (Home Subscriber Server) travers l'interface Cx supporte par le protocole DIAMETER (Requte UAR : User Authorization Request). Le HSS est le HLR avec de nouvelles capacits pour supporter le domaine IMS. Le HSS est indpendant de l'accs de telle sorte que des oprateurs peuvent rutiliser le domaine IMS pour d'autres technologies d'accs telles que xDSL (Digital Subscriber Line), le cble ou FTTH. Le message UAR mis contient le nom du domaine nominal, le nom du domaine visit et l'identit de l'UE. 4. Le HSS retourne les informations d autorisation de l'usager et les capacits obligatoires et optionnelles du S-CSCF slectionner (Rponse UAA : User Authorization Answer). ces informations serviront d'entres sa fonction de slection d'un S-CSCF. 5. L I-CSCF vrifie si l usager est autoris s'enregistrer partir du rseau visit et dans le cas positif, lI-CSCF relaye la mthode SIP REGISTER au S-CSCF identifi. L'entit S-

Copyright EFORT 2010

CSCF a plus de fonctionnalits que les P-CSCF et I-CSCF. L'oprateur peut disposer de plusieurs S-CSCFs avec des capacit diffrentes et slectionner celui appropri pour rendre le service demand. 6. L entit S-CSCF demande des informations d authentification de l usager au HSS (MAR : Multimedia authentication request) 7. Le HSS retourne les informations dauthentification par une rponse MAA (Multimedia Authentication Answer) au S-CSCF. 8.9. 10. Lentit S-CSCF retourne lusager une rponse ngative denregistrement contenant dune part une valeur random (RAND) utiliser par son module ISIM pour calculer un rsultat dauthentification usager et dautre part un rsultat dauthentification rseau (AUTN) permet au rseau IMS de sauthentifier auprs de lusager. Notons que lauthentification IMS est mutuelle. 11. L usager renvoie une demande d enregistrement au P-CSCF. Cette deuxime demande denregistrement contient un rsultat dauthentification usager (RES). 12. Le P-CSCF route le message REGISTER un S-CSCF du domaine nominal de l usager. 13. et 14. Idem 3 et 4. 15. Le message REGISTER est rout de l I-CSCF au S-CSCF. 16. L'entit S-CSCF aprs avoir vrifi les informations d authentification de l usager, met une requte SAR (Server Assignment Request) au HSS afin que ce dernier mette jour le profil de l'usager avec le nom du S-SCSF qui le sert. 17. Le HSS retourne une rponse SAA (Server Assignment Answer) l'entit S-CSCF, contenant le profil de l'usager. Ce profil consiste en les informations de souscription par l'usager des services. Le S-CSCF doit par ailleurs stocker le nom / l'adresse du PCSCF courant de l'usager afin de lui dlivrer directement des demandes d'tablissement de session entrantes concernant cet usager. 18. Le S-CSCF invoque des services ventuels tels que le service de Prsence. 19., 20. et 21. Une rponse 200 OK est retourne par le S-CSCF l'entit I-CSCF qui le relaye au P-CSCF qui le dlivre UE. L IMS est bas sur plusieurs relations de scurit. Deux d entre elles influencent la signalisation SIP : authentification entre l usager et le rseau , et L association de scurit (SA, Security Association) entre l UE et le P-CSCF . Les procdures d authentification et d tablissement de SA dans l IMS sont directement lies aux procdures d enregistrement SIP.

Copyright EFORT 2010

Rseau Visit
UE P-CSCF

Rseau Nominal
I-CSCF HSS S-CSCF

1. Register
SIP DIAMETER

2. Register 3. UAR 4. UAA 5. Register 6. MAR 7. MAA 8. 401 Unauthorized

Joue le rle de registrar

9. 401 Unauthorized 10. 401 Unauthorized 11. Register 12. Register

Jouent le rle de Proxy Server

13. UAR 14. UAA 15. Register 19. 200 OK 16. SAR 17. SAA 18. Service Control

21. 200 OK 20. 200 OK

Figure 1 : Enregistrement IMS

3 Authentification IMS et Procdure AKA

Lorsque le S-CSCF reoit la requte REGISTER de l UE, il tlcharge les AV (Authentication Vector) partir du HSS (Figure 2). Un AV ne contient pas la cl secrte. Cette dernire n est prsente que sur l ISIM (IMS SIM Module) et le HSS. Les paramtres prsents dans l AV sont : RAND le challenge (non alatoire gnr par le HSS) qui sert en tant quun des paramtres dentre pour gnrer les 4 autres paramtres de l AV. XRES Le rsultat attendu, utilis par le rseau pour l authentification de l ISIM de l UE. AUTN Le jeton d authentification utilis par l ISIM pour l authentification rseau. CK La cl de chiffrement. Cette cl sert au chiffrement de la signalisation SIP change entre lUE et le P-CSCF. Au del du P-CSCF, la signalisation nest pas chiffre.

Copyright EFORT 2010

IK La cl d intgrit. Cette cl sert la protection de lintgrit de la signalisation SIP change entre lUE et le P-CSCF. Au del du P-CSCF, lintgrit de la signalisation SIP nest pas protge.
P-CSCF S-CSCF

UE
REGISTER REGISTER MAR MAA

HLR

Vecteur d authentification (RAND, XRES, CK, IK, AUTN)

401 Not Authorized (RAND, AUTN) Vrifie AUTN Calcule RES REGISTER (RES) Calcule CK et IK REGISTER (RES) Compare RES et XRES 401 Not Authorized (RAND, AUTN, CK, IK)

Procdure AKA applique IMS Pour obtenir les vecteurs dauthentification, le S-CSCF met la requte DIAMETER Multimedia-Auth Request (MAR) au HSS. Cette requte contient : < Diameter Header: 303, REQ, PXY, 16777216 > L AVP Session-Id (263), positionn scscf1.orange.fr; 1123347722;122 LAVP Vendor-Specific-Application-Id AVP (260) indiquant le Vendor-ID (i.e.,10415), et de manire optionnelle Authentication-Application-Id (16777216) et AccountingApplication-Id. LAVP Auth-Session-State AVP (277) indiquant quaucun tat nest maintenu (i.e., No_State_Maintained). L AVP Public-Identity (600), indiquant la public user identity qui est enregistre, i.e., l URI contenue dans le header To de la requte REGISTER: sip:JohnCook@orange.fr; L AVP User-Name AVP (1) positionn la valeur de la private identity de John Cook, i.e., JohnCook_private@orange.fr ; L AVP Server-Name (602) positionn la valeur de l URI SIP du S-CSCF ralisant la commande MAR, i.e. sip:scscf1.orange.fr; L AVP SIP-Number-Auth-Items (607) positionn la valeur 5, indiquant que le SCSCF souhaite tlcharger 5 vecteurs d authentification conscutifs pour cet usager, L AVP SIP-Auth-Data-Item (612), incluant le schma d authentification SIP SIPAuthentication-Scheme L AVP Origin-Host (264) positionn l adresse du S-CSCF, i.e. scscf1.orange.fr; L AVP Origin-Realm (296) positionn au nom de domaine du rseau de l oprateur dans lequel est prsent le S-CSCF, i.e., orange.fr , L AVP Destination-Realm (283) correspondant au nom de domaine du HSS, i.e. orange.fr, L AVP Destination-Host (293) positionn l adresse du HSS, i.e., hss1@orange.fr, qui sera pr-configure au niveau du S-CSCF si le rseau nominal ne possde qu un seul HSS.

Copyright EFORT 2010

Aprs avoir reu la commande MAR, le HSS vrifie d abord si le S-CSCF est autoris tlcharger des donnes d authentification relatives Mary Taylor. Comme le S-CSCF est autoris, le HSS retourne une rponse DIAMETER Multimedia-Auth Answer (MAA) au SCSCF, contenant : < Diameter Header: 303, PXY, 16777216 > L AVP Session-Id (263), positionn scscf1.orange.fr; 1123347722;122 LAVP Vendor-Specific-Application-Id AVP (260) indiquant le Vendor-ID (i.e.,10415), et de manire optionnelle Authentication-Application-Id (16777216) et AccountingApplication-Id. LAVP Auth-Session-State AVP (277) indiquant quaucun tat nest maintenu (i.e., No_State_Maintained). L AVP Origin-Host (264) positionn l adresse du HSS, i.e., hss1.orange.fr; L AVP Origin-Realm (296) positionn au nom de domaine du rseau de l oprateur dans lequel est prsent le HSS, i.e., orange.fr , L AVP Public-Identity (608) positionn la mme valeur que celle reue dans la commande MAR, i.e., public user identity, sip:JohnCook@orange.fr L AVP User-Name (1) positionn l identit prive de John Cook : JohnCook_private@orange.fr L AVP SIP-Number-Auth-Items (607) positionn la valeur 5, indiquant que le HSS a retourn 5 vecteurs d authentification S-CSCF; L AVP SIP-Auth-Data-Item (612), incluant 5 fois les AVPs suivants (un par vecteur d authentification) : L AVP SIP-Item-Number (613) positionn la valeur 1 pour le premier vecteur d authentification (et incrmente de 1 pour les 4 autres vecteurs d authentification), cette squence indiquant l ordre dans lequel utiliser les vecteurs L AVP SIP-Authentication-Scheme AVP (608) positionn la valeur DigestAKAv1-MD5 L AVP SIP-Authenticate (609) incluant : La valeur random (RAND); Le jeton d authentification rseau (AUTN); L AVP SIP-Authorization (610) incluant le rsultat attendu (XRES); L AVP Confidentiality-Key (625) incluant la cl de confidentialit (CK); L AVP Integrity-Key (626) incluant la cl d intgrit (IK); L AVP Result-Code (268) positionn DIAMETER SUCCESS (2001), indiquant que la requte a t excute avec succs. Sur la base des donnes dans le quintupl d authentification, le S-CSCF retourne une rponse 401 Unauthorized contenant le header WWW-Authenticate et renseigne ce header de la manire suivant comme montr la figure ci-dessus : dans le champs nonce , sont prsents les paramtres RAND et AUTN qui taient prsents dans l AVP SIP-Authenticate de la rponse DIAMETER MAA. Ces deux valeurs ont une longueur de 32 bits et 64 bits respectivement. dans le champ algorithm la valeur prsente est AKAv1-MD5 comme prsent dans l AVP SIPAuthentication-Scheme dans la rponse MAA et qui identifie le mcanisme 3GPP AKA; dans les champs ik et ck sont prsents les cls d intgrit et de chiffrement respectivement comme prsentes dans les AVPs Confidentiality-Key et Integrity-Key de la rponse MAA. Ces deux champs ne font pas partie de la dfinition l origine du header WWWAuthenticate header, comme dfini dans le RFC 3261. Aprs avoir reu la rponse SIP 401 (Unauthorized), le P-CSCF doit supprimer en les mmorisant les champs ik et ck du header WWW-Authenticate header, avant de relayer cette rponse l UE.

Copyright EFORT 2010

S-CSCF

I -CSCF (Message 8) et I-CSCF

P-CSCF (Message 9)

SIP/2.0 401 Unauthorized WWW-Authenticate: Digest realm= orange.fr , nonce=A34Cm+Fva37UYWpGNB34JP, algorithm=AKAv1-MD5, ik="0123456789abcdeedcba987654321021", ck="9876543210abcdeedcba012345678944"
RAND et AUTN

P-CSCF

UE (Message 10)

SIP/2.0 401 Unauthorized WWW-Authenticate: Digest realm= orange.fr , nonce=A34Cm+Fva37UYWpGNB34JP, algorithm=AKAv1-MD5,

RAND et AUTN

A partir du paramtre AUTN reu, l application ISIM sur l UE de John Cook dcouvre qu il s agit bien du rseau nominal de John Cook qui a envoy la rponse 401 (Unauthorized). Il peut driver de l AUTN que le SQN (sequence number) est valide. Les paramtres RAND et AUTN reus ainsi que la cl K permettent l ISIM de gnrer RES, CK et IK et les passe l UE. L UE renvoie une seconde requte SIP REGISTER qui inclut un header Authorization incluant entre autres les champs suivants : le champ username qui inclut l identit prive de John Cook, le champ nonce qui est retourn avec la mme valeur que celle reue dans le header WWW-Authenticate de la rponse SIP 401 (Unauthorized); le champ response qui inclut le challenge d authentification RES driv partir de K et de RAND par l application ISIM. L ISIM calcule aussi les cls CK et IK qui sont par ailleurs connues par le P-CSCF (ce dernier les a reu du S-CSCF dans le message 9). Sur la base de ces cl et d autres informations, l UE et le P-CSCF tablissent des SAs (Secure Associations) IPSec, utilises par l UE pour envoyer la seconde requte REGISTER.

REGISTER sip:orange.fr SIP/2.0 Authorization: Digest username= "JohnCook_private@orange.fr", realm= "orange.fr", nonce=A34Cm+Fva37UYWpGNB34JP, algorithm=AKAv1-MD5, uri="sip:orange.fr", response="6629fae49393a05397450978507c4ef1"
Lorsque le S-CSCF reoit le message REGISTER (Message 15), il compare le champ response avec le paramtre XRES deu vecteur dauthentification correspondant. Si les valeurs de ces deux informations sont gales, alors lauthentification de lUE a russi. Le but de la formation IMS Avanc dEFORT est de prsenter en dtail les procdures denregistrement, dtablissement de session, dinvocation de services et de taxation IMS. Les protocoles SIP et DIAMETER impliqus dans ces procdures sont dcrits dans le contexte IMS et leur usage prsent laide de traces.

Copyright EFORT 2010