Transcription of AUTHENTIFICATION IMS EFORT
1 Copyright EFORT 20101 IMS Avanc : Enregistrement et second tutoriel EFORT d di l IMS pr sente les proc dures d enregistrement etd AUTHENTIFICATION IMS. Avant de pouvoir utiliser les services du domaine IMS, tels qu' tablirune session multim dia ou recevoir une demande de session, un usager doit s'enregistrer aur seau IMS. Puisque l IMS supporte le roaming , l usager peut s enregistrer depuis sonr seau nominal o depuis n importe quel r seau visit qui dispose d un accord de roamingavec le r seau nominal.
2 Le premier chapitre d crit les identit s IMS n cessaires l enregistrement et l AUTHENTIFICATION , , identit priv et identit publique. Le secondchapitre introduit la proc dure d enregistrement IMS. Le troisi me chapitre d taille laproc dure d AUTHENTIFICATION Identit s pour l enregistrement IMSL enregistrement l IMS requiert une identit s priv e et une identit publique. Trois typesd enregistrement sont consid rer :1. Enregistrement d un client mobile depuis un acc s 3G ou 4G avec une carte USIMint grant un module ISIM (IMS SIM Module)2.
3 Enregistrement d un client mobile depuis un acc s 3G ou 4G avec une carte USIM sansmodule ISIM (IMS SIM Module)3. Enregistrement d un client fixe sans USIM et Enregistrement de l usager disposant d une USIM avecmodule ISIMLa r f rence une souscription IMS est d finie par un compte usager. La souscription IMSpeut tre utilis e depuis n importe quel quipement appel UE (User Equipment) , pour descommunications fixes ou usager doit avoir au moins une identit priv e et au moins une identit identit priv e IMS (IMSI Private User Identity, IMPI) est une donn e usager permanentedans le HSS (Home Subscriber Server).
4 Le format de l IMPI est de type username@realmde Network Address Identifier (NAI) tel que sp cifi dans le RFC IETF IMSI peut tre inclus dans la partie username si souhait par l op rateur; le format de lapartie realm tant alors : [MNC].mcc[MCC]. l IMSI suivant est utilis , 2080123456555 o MCC = 208, MNC = 01, et MSIN =43567656, alors IMPI = IMPI possible: Private User Identity n est pas une URI identit publique d usager (IMS Public User Identity, IMPU) est un nom de contact publi ou un num ro avec lequel adresser l IMPUs peuvent exister par souscription IMS par exemple, un num ro det l phone (tel : +33672112445) et une adresse SIP URI (sip.)
5 Op rateur de r seau IMS nominal assigne les identit s IDs sont des donn es permanentes de l usager stock es dans la base de donn IMPUs peuvent tre partag s par diff rents IMPIs avec la m me souscription IMS. Uneidentit IMPU donn e peut tre enregistr e simultan ment sur diff rents UEs qui utilisentdes IMPIs diff EFORT Enregistrement de l usager sans ISIM mais avec USIMUn usager mobile peut s enregistrer l IMS avec sa carte USIM sans que celle-ci poss dede module ISIM. Une adresse priv e temporaire et une adresse publique temporaire sontalors g n r es pour l enregistrement IMS et ont le format : IMSI doit tre inclus dans la partie username; le format de la partie realm est [MNC].
6 Mcc[MCC]. : IMSI = 2080143567656, o MCC = 208, MNC = 01, et MSIN = identit priv e est alors : identit publique temporaire est identique une adresse priv e temporaire mais pr fix epar sip: car il s agit d une URI notre exemple sa valeur est :sip : un terminal IMS disposant d une USIM sans ISIM doit construire le nom de domainede son r seau nominal qui est inclus dans le Request-URI de la requ te SIP REGISTER, leterminal supprime la partie user de l identit publique temporaire. L URI du nom dedomaine du r seau nominal est : sip: ce cas particulier, lorsque l usager s enregistre, l AUTHENTIFICATION sera bas e surl AKA 3G et non pas l AKA AUTHENTIFICATION IMS pour les clients mobiles est bas e sur une cl partag e K qui estuniquement pr sente dans le HSS et dans l application ISIM de la carte USIM sur l le HSS ne communique jamais directement avec l UE, le S-CSCF r alise lesproc dures d AUTHENTIFICATION .
7 Le vecteur d AUTHENTIFICATION (AV, Authentication Vector) estt l charg par le S-CSCF partir du HSS pendant l enregistrement. La proc dured AUTHENTIFICATION est similaire celle mise en uvre dans les r seaux mobiles 3G sur labase du protocole AKA (Authentication and Key Agreement). La partie authentication deAKA permet de v rifier l identit de l usager alors que la partie Key Agreement permetde g n rer des cl s qui sont ensuite utilis es pour le chiffrement du trafic de signalisationSIP entre l UE et le P-CSCF et pour la protection de l int grit de la signalisation SIPtoujours entre l UE et le le cas d un usager ne disposant pas de module ISIM, l AUTHENTIFICATION s appuiera surl AKA 3G et la cl K pr sents sur l USIM.
8 Si l AUTHENTIFICATION r ussit pendant la phased enregistrement l usager obtient du r seau son identit ou ses identit s publiques IMS(pr sent s dans le header P-Associated-URI de la r ponse SIP 200 OK) .Une fois la proc dure d enregistrement finalis e, le terminal IMS dispose donc d unensemble d identit s publiques d usager pour par exemple tablir des sessions Enregistrement de l usager sans USIM et sans ISIM ( ,enregistrement depuis un acc s large bande fixe)Dans ce cas pr cis, le nom d utilisateur et le mot de passe utilis s par le modem ( ,modem ADSL)
9 Pour l AUTHENTIFICATION sur l acc s large bande fixe peuvent tre r utilis s pourl authentificaiton l AUTHENTIFICATION d acc s HTTP avec la m thode Digest est la forme la plus simpled AUTHENTIFICATION dans le protocole SIP et concerne ce sc m canisme fait partie de la sp cification SIP (RFC 3261) et doit tre implant obligatoirement dans les clients et serveurs SIP. Il s agit d une adaptation du m mem canisme utilis pour l AUTHENTIFICATION au service m canisme requiert un nom d utilisateur et un mot de passe.
10 Le nom d utilisateur estconsid r comme la Private User Identity. L AUTHENTIFICATION est toujours mutuelle. Letransport est assur par TLS (Transport Layer Security).L AUTHENTIFICATION d acc s HTTP avec la m thode Digest est donc utilis e pour acc der l IMS travers des r seaux d acc s non d finis par EFORT 20103 Nous avons montr que si l acc s est 3 GPP ( , 3G, 3G+, LTE/4G), l usager disposed une USIM avec ou sans module ISIM. Alors le m canisme d AUTHENTIFICATION estl AUTHENTIFICATION d acc s HTTP avec la m thode Digest en utilisant AKA appel simplementHTTP Digest Enregistrement IMSA vant de pouvoir utiliser les services du domaine IMS, tels qu' tablir une session multim diaou recevoir une demande de session, un usager doit s'enregistrer l IMS.
