IP多媒體子系統網絡安全問題及解決對策

馮斐斐，盧根富

（1.國網寧夏電力有限公司信息通信公司，寧夏 銀川 750001；2.國網中衛供電公司，寧夏 銀川 755000）

1 IMS的系統構成

IMS可實現多種不同的功能，最常應用的功能包括以下幾種：多媒體資源功能（MRF）、呼叫控制服務器（CSCF）、出口網關控制功能（BGCF）等[1]。其中，CSCF主要是為了實現呼叫網關，同時還包括路由選擇功能等；MGCF則可按照被叫號碼和具體的通話情況選取適合的CSCF，從而實現PSTN和MS二者間的呼叫轉換，并對IM-MGW進行有效的控制；MRF可以劃分為MRFC和MRFP兩種不同的功能，MRFC主要是為了實現對媒體流的有效控制，而MRFP則具有一定的承載功能。

手機用戶可以利用GGSN完成IMS的網絡連接。針對IMS網絡而言，該設備主要是為了實現IP路由器的功能，將不同的用戶利用PS域進行聯系。用戶設備介入有兩種不同的接入方式可供選擇，分別為WiFi和蜂窩技術，也可以選擇同時應用這兩種接入方式。同樣也可以利用無線IP設備進行操作。傳統PSTN網絡如果想要實現相互到達，一般需要利用不同的電路交換網關實現。

在IMS的系統框架中，需要通過SIP-AS來完成新服務器的部署。為了到達服務器，最開始應用SIP來傳遞消息，然后通過S-CSCF對消息進行識別同時判斷出具體的各項應用需求，在應用觸發機制的基礎上，通過對IFC進行配置再將消息轉換至SIP-AS來完成操作。

2 IMS系統特點

2.1 網絡控制核心具有統一性

IMS通過CSCF統一實現不同用戶的會話處理、認證鑒權等各項服務功能。和選取的接入方式沒有任何關聯，該技術對網絡組織進行了精簡，減少了運營管理的經濟成本，同時為建立融合性的網絡架構提供了良好的前提基礎，并且在一定程度上促進了業務功能的提升[2]。

2.2 將客戶作為核心

在IMS系統中，HSS服務器是最關鍵的功能實體，該服務器可以對用戶服務的各種關聯性數據進行有效存儲，包括用戶的真實身份信息、接入參數等。通過HSS可實現對用戶相關信息數據的統一管理，提高業務信息提供的有效性和靈活性，并且促進了傳統以網絡作為核心基礎轉換為以客戶作為核心的技術手段的發展。

2.3 具有良好的安全性和可靠性

QoS、計費等基于IP環境下，各種網絡運營中存在的技術難題得到了不斷的調整和完善，可以提高運營商對不同多媒體業務的有效控制能力。

3 IMS的主要應用

3.1 移動網絡

此類應用主要是運營商為了豐富和擴展網絡業務而設立的，根本目的是基于對移動網絡有效應用的前提下通過IMS為用戶提供服務，如POC、視頻共享等。該應用服務的重點在于為一些企業中的客戶提供IP CENTREX的系統性服務。

3.2 網絡演進及業務服務

除了提供IP CENTREX服務，還包括針對固定寬帶用戶所提供的網絡電話服務。

3.3 通信網絡融合

通信網絡融合主要表現為WLAN與4G網絡的有機結合，完成連續性的用戶語音服務。應用此種方式，用戶可以利用雙模終端實現網絡應用，包括WLAN和WCDMA。在WLAN覆蓋范圍內，主要是應用WLAN接入為主，因為WLAN的資費較低，且各項數據業務比較完備。如果沒有處于WLAN覆蓋范圍內，終端會自動接入至WCDMA中，從而確保語音業務的連續性。

4 IP多媒體子系統網絡安全問題分析

4.1 接入層

在接入層中，子系統終端出現的病毒感染極易產生蠕蟲擴散等問題，情況嚴重時甚至會使子系統終端完全被病毒掌控，進而導致客戶信息被竊取。另外，畸形報文同樣會造成系統業務能力無法正常開展。

4.2 核心網

核心網絡將SBC作為接入點，不同的接入點和網絡的拒絕接受服務都將會對SBC造成嚴重威脅，同時“雪崩”效應會直接致使SBC的功能喪失。攻擊者一般會通過已完成的通話，將其制造的仿制會話插入到通話中，然后利用仿冒授權等方法實現各種業務的盜用。

4.3 承載網

用戶一般需用應用CMnet來接入到子系統中，易導致鏈路資源耗盡，從而對系統的總體服務質量產生不良影響。攻擊者一般會通過路由獲取拓撲結構，從而對系統進行精準攻擊。

5 IMS安全問題的解決對策

5.1 用戶接入的相關安全要求

為了確保用戶接入安全，一般需要從以下內容進行安全操作：首先，用戶在接入時需要進行認證，用戶名通過IMPI確定，同時需要對invite、message等消息進行digest鑒權。未來主要向AKA認證方向發展，但是在過渡時期則以無卡方式為客戶提供相應的服務，利用此種方式進行終端密碼配置需要按照以下內容進行操作：針對SIP硬終端，通過軟key完成IMS的注冊，密碼需要以人工輸入的形式設置進SIP話機。為了確保密碼的安全，需要和負責開通的工作人員簽署保密協議。密碼則存儲于SIP中并進行加密，其硬終端系統可以對密碼訪問進行有效的控制，避免密碼泄露。

POTS話機的接入設備通過軟key完成IMS的注冊，同時將密碼有效存儲于接入設備當中。在開通密碼時需要利用支撐系統進行遠程操作，在修改密碼時應通過加密模式完成傳輸，對于接入設備也需要進行訪問設置，避免密碼泄露。PC客戶端的密碼主要分為：軟key和注冊密碼。一般PC客戶端會應用軟key，在進行登錄時需要通過portal認證，但是該密碼保密程度較低，僅適用于保護免費業務。IMS用戶在注冊時也會應用軟key進行鑒權，該密碼的保密程度較高，可以對PC客戶端的不同業務進行鑒權。軟key可對客戶端指定的存儲區進行嚴格加密和存儲，該存儲區需要對訪問進行有效的控制和保護，在軟key開始運算時，需要將干擾數據和進程插入至內存中，避免軟key泄密。完成注冊后，可以短信形式為用戶提供相應的登錄信息和具體狀態。

一般建議在PC接入時，對相關信息需要進行有效隔離的用戶通過VLAN完成信息的隔離。在SBC信令面和P-CSCF沒有進行合設的條件下，IMS從傳輸至P-CSCF的難度較大，為了確保IMS在傳輸過程中的安全性，一般直接從終端將其傳輸至SBC安全區域。

5.2 接入層

IMS在應用到PC客戶端之前需要安裝終端防毒軟件，同時對可能存在的病毒進行全面查殺，可以在開機期間和客戶端軟件開啟時進行協同操作。更新終端防毒軟件和后續的維護工作一般需要由用戶進行自主操作和管理。集團客戶如果需要接入鏈路，必須要安裝相應的安全防護設備，包括IPS、防火墻等，此類設備可以實現攻擊檢測、數據過濾等，且支持畸形報文等。

5.3 核心網

SBC需要支持以下功能：信令防護、拓撲隱藏以及流量防護等。其中，信令防護主要是完成非法SIP信令的有效控制和過濾。拓撲隱藏則可以對via、route頭域中的IMS網元地址進行刪除。流量防護可以對突然爆發的流量過載和拒絕服務攻擊等問題進行有效防護，針對首次連接、已完成設置的連接等各種連接狀態提供對應的服務。

5.4 承載網

在解決承載網中出現的安全問題時，一般需要通過以下內容來完成。首先，將不同地區的IMS應用IP專網來建立起MPLS VPN，IP專網需要對具體的安全策略進行有效配置和落實。其次，在SBC和CMnet中設立防火墻，同時加強安全控制，從而對流量安全進行有效監管。在自建流控、惡意代碼檢測等系統中對IMS應用進行有效識別，同時通過白名單方式確保為用戶提供相關服務的總體質量。最后，可在不同的SBC設備中利用包分析模式對比分析流量特征和內容等，應用安全清洗設備過濾病毒及攻擊。

6 結 論

近年來，人們對網絡信息安全的重視程度不斷提高。網絡融合程度的不斷提升和開放程度的加大，使得IP多媒體子系統承擔更大的安全風險問題。因此，主要從接入層、承載網等不同范圍的安全風險內容進行探討和分析，同時提出了有效的解決對策，希望為相關領域提供一定的參考。