[特集]

NGNの核となるIMS(4):IMSアクセス・セキュリティ(その2)IMS-AKAによるIMS登録

2006/10/13
(金)
SmartGridニューズレター編集部

この連載では、NGN(Next Generation Network、次世代ネットワーク)を実現する中核的な技術であるIMS(IP Multimedia Subsystem、IPマルチメディア・サブシステム)について、そのアーキテクチャからセキュリティ、QoS、IPTV応用などに至るまで、やさしく解説していきます。
第4回目は、第3回に引き続き、IMSアクセス・セキュリティについて説明していきます。今回は、IMS-AKA(認証/暗号鍵方式)によるIMS登録の仕方について説明します。

IMSへの登録の仕方

【1】IMS登録の基本手順を見てみる

IMS加入ユーザーがIMSサービスを利用できるようにするには、図1に示すように、利用するIMS端末(当該加入ユーザーのISIMを含む)が、IPネットワークにアクセスしている状態になった後、IMSネットワークに登録します。

図1 ネットワークへの登録とIMS登録
図1 ネットワークへの登録とIMS登録(クリックで拡大)

この状態とは、例えば、3GPP移動通信ネットワークの場合、当該移動端末が移動通信ネットワークに接続されている状態のことをいいます。なお、これらの登録処理は、端末が電源ON時に実行されるように設定することが可能です。

IMSの登録は、IMS加入ユーザー情報を基にユーザーとIMSネットワークで相互に認証し、当該加入ユーザーの端末でIMSサービスを利用できる状態にする機能です。IMS加入ユーザー情報には加入契約時に設定される長期共有キー(Ki)が含まれ、ISIMとHSSにそれぞれ格納されます。

図2に、IMSの登録手順を示します。相互認証はSIP登録手順により、HTTP Digest AKA (Authentication and Key Agreement、認証/暗号鍵配送方式)手順(IETF RFC 3310)を実行することで、行われます。

図2 IMS登録の手順
図2 IMS登録の手順(クリックで拡大:別ウィンドウで開きます)

IMS端末は、まずIMPIや自ホームIMSドメインを示すURIをを含む「SIP Registerメッセージ」をP-CSCFに送信します(1)。CSCFは、第2回目の連載で解説しましたが、Call Session Control Functionの略語で、SIPに基づいてユーザーの登録やセッション設定の制御を行います。CSCFには、P-CSCF、I-CSCF、S-CSCF(※1 欄外の用語解説参照)の3種類があります。

さて、「SIP Registerメッセージ」を受け取ったP-CSCFは、ホームIMSドメインのI-CSCFに「Registerメッセージ」を送信します(2)。I-CSCFはHSSにアクセスし(3)、HSS(Home Subscriber Server、ホーム加入者サーバ)から返信されるS-CSCF候補の情報をもとに当該端末に適するS-CSCFを選択して(4)、I-CSCFは「Registerメッセージ」をS-CSCFに送信します(5)

S-CSCFは、HSSに端末のIMPI、IMPU、自S-CSCF名などを通知し、HSSに認証ベクトルの計算と通知を依頼します(6)。HSSは認証ベクトル(RAND、AUTN、Ck、Ik)(※2 用語解説)を計算し(7)、S-CSCFに転送します(8)。ここでS-CSCFは、認証ベクトルの中のXRES(Expected Response、想定される認証応答)を保持しておきます(9)

S-CSCFからの「401Unauthorizedメッセージ」は、I-CSCF、P-CSCFへと送信され(10、11)、P-CSCFではCk、Ikを端末UEとの間に設定するIPsecのための共有キーとして保持します(12)。端末UEにはRANDとAUTNの値が伝えられ(13)、端末はAUTNを用いてネットワークを認証するとともに、RES(Response、認証応答)、Ck、Ikを計算します(14)

Ck、IkはIPsec用のキーとされ(15)、RESは認証要求に対する応答値として、2回目の「SIP Registerメッセージ」でS-CSCFまで送信されます(16〜19)。S-CSCFでは、XRESとRESを比較することで、正当な加入ユーザーであることを認証します(20)

S-CSCFでのユーザー認証が成功すると、HSSに当該ユーザーが登録されたことを通知し(21)、当該ユーザーのユーザー・プロファイル〔加入ユーザーに割り当てられているすべてのIMPU、登録されたIMPU、IFC(Initial Filter Criteria〕など〕のダウンロードを要求します。

HSSは、ユーザー・プロファイルをS-CSCFに転送し(22)、S-CSCFは「200 OKメッセージ」を端末へ送信して、IMS登録が完了します(23〜25)。なお詳細は省略しますが、端末UE(User Equipment)やP-CSCFはS-CSCFの登録イベント通知サービスによりIMS登録状態情報を得ることができます。

Ck、Ikの値が得られると、それらをキーとするIPsecにより、端末とP-CSCF間のSIP信号メッセージが暗号化され保護されます。これによって、IMSアクセス部分でのセキュリティが保たれます。

ページ

関連記事
新刊情報
5G NR(新無線方式)と5Gコアを徹底解説! 本書は2018年9月に出版された『5G教科書』の続編です。5G NR(新無線方式)や5GC(コア・ネットワーク)などの5G技術とネットワークの進化、5...
攻撃者視点によるハッキング体験! 本書は、IoT機器の開発者や品質保証の担当者が、攻撃者の視点に立ってセキュリティ検証を実践するための手法を、事例とともに詳細に解説したものです。実際のサンプル機器に...
本書は、ブロックチェーン技術の電力・エネルギー分野での応用に焦点を当て、その基本的な概念から、世界と日本の応用事例(実証も含む)、法規制や標準化、ビジネスモデルまで、他書では解説されていないアプリケー...