IMS網絡安全策略分析

摘 要：IMS多媒體子系統作為新一代核心技術由于SIP協議的易擴展性和IP網絡的開放性，極易受到攻擊，網絡安全問題得到了很高的關注，本文對IMS網絡的安全風險進行了分析，并從多個維度對IMS網絡安全策略進行了研究。

關鍵詞：IMS；安全；策略

IMS（IP Multimedia Subsystem）IP多媒體子系統是一種與接入方式無關的基于SIP初始會話協議的全IP承載的可提供語音、視頻、文本等多媒體業務的通信系統，它可以實現固移業務的融合，被公認為下一代網絡的核心技術，得到了大量的應用。

由于SIP協議的易擴展性和IP網絡的開放性，以及IMS支持多種方式接入、業務平臺開放性的特點，使IMS產品容易受到來自病毒、惡意用戶、黑客的安全攻擊威脅。隨著終端的智能化和多業務的融合，IMS網絡安全面臨著越來越嚴峻的威脅和挑戰。同時，IMS網絡承載于IP網絡之上，信令和媒體采用UDP傳輸協議無連接，不再是傳統TDM網絡的端到端的固定通路，如何保證用戶安全的接入IMS網絡，保證IMS網絡的可靠性是運營商和設備商共同關注的問題。

一、IMS 網絡的安全威脅形式

（一）來自網絡的攻擊

（1）破壞：通過DoS/DDoS攻擊和畸形報文攻擊等手段，對IMS網絡進行攻擊，消耗帶寬、處理能力等資源，使IMS提供服務的能力降低或喪失。

（2）篡改：通過會話干擾和會話欺騙等手段，對IMS網絡信息（如信令中的用戶身份信息、頭域等）進行篡改，盜用資源或欺騙網絡。

（3）刪除：通過植入病毒、木馬等惡意軟件，竊取、刪除系統文件等手段，惡意刪除、竊取IMS網絡信息如操作日志、系統文件等。

（4）泄露：通過信息掃描、信息竊聽等手段，竊取IMS網絡信息（如網絡拓撲、用戶帳號密碼），導致設備暴露、業務被盜用等問題。

（5）中斷：通過DOS/DDOS攻擊和畸形報方等手段，攻擊IMS網絡設備導致服務中斷。

（二）IMS網絡的承載的可靠性

（1）網元布署未考慮容災，鏈路、通路設置未考慮可靠性。

（2）網絡承載故障的快速檢測、快速重選路由策略不合理。

二、IMS網絡安全實施策略

（一）網絡層面的安全策略

（1）對于用戶接入，在IMS網絡對外接口處部署SBC和防火墻，實現NAT功能（IP地址轉換和隱藏）、開啟IP/TCP層的IP防攻擊功能，進行ACL設置，過濾不需要報文。

（2）對于與NGN、不同運營商等其他網絡的互通，在IMS網絡對外接口部署MGCF、BGCF等邊界網關，實現不同網絡的信令、媒體互通。

（3）移動手機用戶，采用雙重鑒權的方式，先經過LTE網絡鑒權獲得PS域IP后，才能通過SBC注冊IMS網絡。

（4）將IMS網絡劃分多個安全區，不同的安全區間通過VLAN、VPN等進行劃分。媒體、信令、管理根據業務不同也劃分為不同的VPN＼＼VLAN，保證在安全事件發生時，將影響降到最低。

（二）核心層的安全策略

1.防止非法用戶接入

IMS通過網絡鑒權，來判斷用戶的合法性。只有通過鑒權的用戶才可注冊到網絡上。常用的鑒權方式有：

IMS AKA鑒權：常用于移動手機用戶，雙向鑒權。

Early IMS鑒權：適用于早期IMS網絡不支持IMS AKA鑒權的用戶。

HTTP Digest/ SIP D igest鑒權：用于固網用戶的鑒權，通過驗證用戶名和密碼的方式。

2.防賬號暴力破解

為了防止非法注冊惡意攻擊，IMS網絡提供了鑒權黑名單功能，三次鑒權失敗，24小時內不可以重新注冊。

3.防網絡網絡拓撲泄露

SBC提供信令和媒體的代理功能。提供對信令報文流量、信令合法性進行檢查控制，對信令內容、網絡拓撲結構、業務邏輯進行保護。

核心網元I.CSCF、IBCF支持拓撲隱藏功能，能將SIP信令流中VIA、PATH、ROUTE等記錄網元地址和網元拓撲的參數加密、解密、刪除。

4.信令側防SIP畸形報文

通過對呼叫進行控制，提供接入認證、流控、畸形報文控制等功能對信令報文進一步進行控制。

5.防RTP會話注入及RTP畸形報文攻擊

通過媒體針孔式防火墻，在SBC網元進行嚴格的端口號＼＼IP地址等信息匹配，防止攻擊者利用已結束的通話插入會話，非法接入。

（三）IMS承載安全策略

（1）承載網CE、AR等網元冗余雙平面異機房布署、口字型連接。IMS核心及接入網元雙出線連接不同平面，信令面啟用虛擬路由器冗余VRRP協議提高可靠性。

（2）IMS信令層面。信令鏈路采用 SCTP多歸屬協議冗余配置，實現信令端到端的實時檢測，快速收斂。

（3）IMS媒體層面。設備上聯口、互聯口設置BFD快速檢測功能，LACP檢測，并設置快速收斂策略。

（4）IMS核心和接入網元采用主備、互備、負荷分擔等冗余容災配置。

（5）IMS大區制組網時，保證地市接入設備與有主控關系的大區中心的核心設備在承載網上處于同一個平面，避免平面交叉帶來的網絡動蕩和業務全阻隱患。

三、結語

隨著IMS網絡的更多布署，更多業務、功能的開發，IMS網絡安全還會遇到新問題、關于IMS網絡安全策略的分析研究將是一個持續的工作，保障網絡安全、優化網絡、提升網絡能力，打造精品網絡是我們不變的目標。

參考文獻：

[1]中國聯通IMS網絡安全技術規范.

[2]李延斌.IMS網絡安全部署策略研究.郵電設計技術.

[3]董代勇.IMS網絡安全解決方案.通信技術.

[4]華為公司IMS產品手冊.

作者簡介：王婧，高級工程師，主要從事工作：移動核心網＼＼IMS網絡的設備維護和網絡優化。