IMS網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及策略分析

馬文學(xué) 敦科翔 王龍龍 曹貝貝

摘要：IMS網(wǎng)絡(luò)由于其架構(gòu)的擴(kuò)展性和靈活性可以為通信用戶帶來(lái)多種多樣的多媒體會(huì)話業(yè)務(wù)，但是IMS的開放、互聯(lián)和網(wǎng)元眾多的特點(diǎn)也給通信網(wǎng)絡(luò)帶來(lái)了更多的安全威脅。分析了IMS網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)，重點(diǎn)闡述了IMS的安全體系架構(gòu)和安全機(jī)制，從接入域、網(wǎng)絡(luò)域、業(yè)務(wù)域、承載域和支撐域5個(gè)方面對(duì)IMS網(wǎng)絡(luò)安全問(wèn)題進(jìn)行了分析并給出了相應(yīng)的安全防護(hù)策略，旨在進(jìn)一步提高IMS網(wǎng)絡(luò)的安全性，為用戶帶來(lái)優(yōu)質(zhì)的業(yè)務(wù)體驗(yàn)。

關(guān)鍵詞：IMS網(wǎng)絡(luò)；安全風(fēng)險(xiǎn)；安全體系；防護(hù)策略

中圖分類號(hào)：TN915文獻(xiàn)標(biāo)志碼：A文章編號(hào)：1008-1739（2019）16-65-4

0引言

IP多媒體子系統(tǒng)（IP Multimedia Subsystem，IMS）作為下一代通信網(wǎng)絡(luò)的核心架構(gòu)，能為各類終端用戶提供全新的、多樣化的多媒體業(yè)務(wù)。IMS具有業(yè)務(wù)接口標(biāo)準(zhǔn)開放、與接入無(wú)關(guān)以及分布式部署等特點(diǎn)，是應(yīng)對(duì)有線與無(wú)線、移動(dòng)與固網(wǎng)、音視頻與數(shù)據(jù)等差異化業(yè)務(wù)融合的重要方式。但相較于電路交換系統(tǒng)，基于IP網(wǎng)絡(luò)IMS系統(tǒng)面臨著惡意攻擊、數(shù)據(jù)篡改、信息泄漏、病毒和中斷等各種IP網(wǎng)絡(luò)常見(jiàn)的安全問(wèn)題，因此，非常有必要對(duì)IMS系統(tǒng)的安全架構(gòu)和安全防護(hù)策略進(jìn)行研究，并就相關(guān)問(wèn)題給出針對(duì)性的解決方案。

1 IMS網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

1.1安全問(wèn)題的根源

①網(wǎng)絡(luò)開放：IMS網(wǎng)絡(luò)在形態(tài)上具有天生的開放性，互聯(lián)的網(wǎng)絡(luò)、設(shè)備以及各種技術(shù)標(biāo)準(zhǔn)的差異性[1]，必然會(huì)帶來(lái)多元復(fù)雜的潛在威脅。

②業(yè)務(wù)融合：IMS具備業(yè)務(wù)繼承的特點(diǎn)，并且是在IP網(wǎng)絡(luò)上開放業(yè)務(wù)能力，這種業(yè)務(wù)提供方式使其在面臨著繁雜的業(yè)務(wù)邏輯的同時(shí)必然要考慮相應(yīng)的安全壓力。

1.2安全威脅的主要類型

①拒絕服務(wù)：IMS網(wǎng)絡(luò)中的主要資源遭受到攻擊和破壞，造成服務(wù)異常甚至中斷。比如，通過(guò)DoS/DDoS或者畸形報(bào)文等攻擊手段，發(fā)起網(wǎng)絡(luò)攻擊，消耗IMS網(wǎng)絡(luò)的處理能力、帶寬等資源。

②偽造篡改[2]：主要表現(xiàn)在攻擊者偽裝成合法用戶或者網(wǎng)元，對(duì)IMS網(wǎng)絡(luò)中的數(shù)據(jù)信息進(jìn)行篡改或者重定向。例如，截獲用戶請(qǐng)求，篡改信令中的關(guān)鍵信息，進(jìn)而引發(fā)計(jì)費(fèi)異常。

③泄露竊取：IMS網(wǎng)絡(luò)中不同的終端和網(wǎng)元之間的控制和業(yè)務(wù)數(shù)據(jù)未經(jīng)授權(quán)被非法竊取和泄露，造成敏感數(shù)據(jù)機(jī)密性和完整性的破環(huán)。

④入侵抵賴[3]：弱認(rèn)證能力引發(fā)的非法注冊(cè)和入侵，攻擊者非法操作后，行為不可取證。

2 IMS網(wǎng)絡(luò)安全體系架構(gòu)

IMS網(wǎng)絡(luò)有著相對(duì)獨(dú)立、完整的安全體系，要求IMS用戶在使用服務(wù)之前必須要通過(guò)認(rèn)證和授權(quán)，網(wǎng)絡(luò)實(shí)體之間的通信也需要安全關(guān)聯(lián)（Security Association，SA）來(lái)提供保護(hù)。

整個(gè)IMS安全體系架構(gòu)如圖1所示，架構(gòu)的核心是3GPP2提出的7個(gè)SA（3GPP為SA1-SA5）。

按照國(guó)際3GPP和3GPP2組織制定的相關(guān)標(biāo)準(zhǔn)，IMS網(wǎng)絡(luò)安全體系可以劃分為接入層安全[4]和網(wǎng)絡(luò)層安全[5]兩部分。其中，接入層安全主要涉及接入終端和接入網(wǎng)絡(luò)的認(rèn)證和鑒權(quán)，以及IMS網(wǎng)絡(luò)下終端與網(wǎng)絡(luò)、終端與終端之間的信息傳輸安全；網(wǎng)絡(luò)層安全包含各網(wǎng)絡(luò)設(shè)備和系統(tǒng)之間媒體流的安全防護(hù)和加密處理。

2.1接入層安全

用戶和網(wǎng)絡(luò)間的SA屬于接入層安全范疇，包括SA1和SA2。SA1涉及彼此鑒權(quán)，HSS和用戶設(shè)備中保存相同的永久性密鑰，用于網(wǎng)絡(luò)與用戶之間的認(rèn)證；SA2用于建立和維護(hù)P-CSCF與用戶設(shè)備之間的安全連接，用于承載Gm接口，并對(duì)數(shù)據(jù)源進(jìn)行認(rèn)證。

2.2網(wǎng)絡(luò)層安全

網(wǎng)絡(luò)實(shí)體之間的SA屬于網(wǎng)絡(luò)層安全的范疇，包括SA3-SA7。

SA3用于保證網(wǎng)絡(luò)域內(nèi)Cx接口（包含HSS和歸屬網(wǎng)絡(luò)SIP AS之間接口）的安全。

SA4針對(duì)不同網(wǎng)絡(luò)（當(dāng)P-SCSF在拜訪網(wǎng)絡(luò)時(shí)）SIP節(jié)點(diǎn)間的安全。

SA5提供網(wǎng)絡(luò)內(nèi)部（例如P-SCSF在歸屬網(wǎng)絡(luò)時(shí)，歸屬網(wǎng)絡(luò)SIP AS之間）SIP節(jié)點(diǎn)之間的安全。

SA6實(shí)現(xiàn)外部IP網(wǎng)絡(luò)SIP AS與HSS間的安全。

SA7實(shí)現(xiàn)外部IP網(wǎng)絡(luò)SIP AS與SIP節(jié)點(diǎn)間的安全。

網(wǎng)絡(luò)層安全遵循網(wǎng)絡(luò)安全域（NDS）的概念來(lái)設(shè)計(jì)部署。一個(gè)NDS可以由某個(gè)運(yùn)營(yíng)商的所有網(wǎng)絡(luò)實(shí)體組成，Za，Zb分別表示同一NDS內(nèi)網(wǎng)絡(luò)實(shí)體間和不同NDS間的網(wǎng)絡(luò)實(shí)體間的SA接口，如圖2所示[6]。

3GPP網(wǎng)域安全（NDS）標(biāo)準(zhǔn)中同時(shí)明確了網(wǎng)元之間安全連接的要求，建議采用IPsec ESP的隧道模式來(lái)提供安全服務(wù)（建議機(jī)密性保護(hù)）。Za接口可同時(shí)支持IKEv1，IKEv2，Zb接口是可選的。

3 IMS網(wǎng)絡(luò)安全策略

安全域是網(wǎng)絡(luò)域安全/IP協(xié)議（NDS/IP）中的一個(gè)核心概念，同一安全域內(nèi)的子網(wǎng)或設(shè)備有相同或者相近的安全保護(hù)需求，相互信任，并具有相同或者相近邊界控制和安全訪問(wèn)策略。

在IMS系統(tǒng)中，按照不同的安全需求，可以將安全域分為接入域、核心網(wǎng)絡(luò)域、承載網(wǎng)絡(luò)域、業(yè)務(wù)應(yīng)用域和運(yùn)行支撐域5個(gè)部分，如圖3所示。

3.1接入域安全

接入域主要涉及各類終端和網(wǎng)絡(luò)的接入，包括終端設(shè)備和AGCF，MGCF，SBC等網(wǎng)元。主要威脅是用戶和終端從WLAN，PSTN，其他網(wǎng)絡(luò)接口接入帶來(lái)的風(fēng)險(xiǎn)，涉及實(shí)體間的信令機(jī)密性、完整性和可用性等防護(hù)[3]。

常見(jiàn)的安全策略如下：①針對(duì)不同數(shù)據(jù)流向和接入方式進(jìn)行雙向認(rèn)證，可采取IBC，PKI/CA等認(rèn)證技術(shù)；②在接入域接入核心網(wǎng)的入口點(diǎn)部署信令、媒體安全網(wǎng)關(guān)SEG或者SIP防火墻；③終端通過(guò)VPN專網(wǎng)或者基于SSL/TLS等安全方式接入，保證業(yè)務(wù)數(shù)據(jù)和控制信令的安全傳輸。

3.2核心網(wǎng)絡(luò)域安全

核心網(wǎng)域包含了實(shí)現(xiàn)會(huì)話控制、信令路由和用戶信息管理等功能的多個(gè)IMS核心網(wǎng)元，比如：S-CSCF，I-CSCF，P-CSCF MRFC，HSS，IBCF，DNS Server，ENUM Server等。

該域的安全要求包括：保障域內(nèi)設(shè)備的安全，避免域內(nèi)實(shí)體受到來(lái)自應(yīng)用層和網(wǎng)絡(luò)層的攻擊，保證實(shí)體之間信息的機(jī)密性和完整性；保證網(wǎng)絡(luò)域和接入域之間的安全，防止接入域?qū)W(wǎng)絡(luò)域網(wǎng)元設(shè)備的攻擊。

主要的安全措施如下：

①邊界部署安全網(wǎng)關(guān)，通過(guò)SEG對(duì)出入安全域的業(yè)務(wù)流進(jìn)行控制，采用輪軸-輻條（Hubspoke）模型實(shí)施逐跳保護(hù)；

②對(duì)域內(nèi)各關(guān)鍵模塊和數(shù)據(jù)庫(kù)訪問(wèn)進(jìn)行強(qiáng)鑒權(quán)，明確域內(nèi)核心資源訪問(wèn)權(quán)限和管理角色；

③對(duì)接口上信令節(jié)點(diǎn)和數(shù)據(jù)信息的安全性和可信性進(jìn)行審查，尤其是對(duì)同源信令請(qǐng)求的會(huì)話數(shù)目進(jìn)行嚴(yán)格限制；

④部署病毒入侵檢測(cè)系統(tǒng)，并及時(shí)升級(jí)更新病毒庫(kù)和規(guī)則庫(kù)。

3.3承載網(wǎng)絡(luò)域安全

承載網(wǎng)絡(luò)域主要完成媒體信息的承載、處理和控制等功能，涵蓋MRFP，MGW等設(shè)備。要求采用包括邏輯隔離和物理隔離在內(nèi)的多種隔離技術(shù)，實(shí)現(xiàn)和其他承載網(wǎng)的隔離。

主要采取以下安全對(duì)策：①承載網(wǎng)絡(luò)采用VPN專網(wǎng)，確保業(yè)務(wù)控制和媒體數(shù)據(jù)的分離；②采用高強(qiáng)度的路由驗(yàn)證算法，實(shí)現(xiàn)可信路由的驗(yàn)證、過(guò)濾和加密，減少路由處理的工作量，來(lái)保證網(wǎng)絡(luò)穩(wěn)定性[3]；③在基礎(chǔ)網(wǎng)元上部署完善的安全防護(hù)策略，并在傳輸層為業(yè)務(wù)數(shù)據(jù)流提供多重加密；④對(duì)控制信息進(jìn)行流量監(jiān)測(cè)和速率控制，從而有效地避免惡意流量的沖擊；⑤部署病毒防護(hù)系統(tǒng)和多重異構(gòu)防火墻，為相關(guān)業(yè)務(wù)實(shí)體和系統(tǒng)提供安全防護(hù)。

3.4業(yè)務(wù)應(yīng)用域安全

業(yè)務(wù)應(yīng)用域中要求保證其域內(nèi)業(yè)務(wù)層信息的安全性，抵御來(lái)自網(wǎng)絡(luò)上的非法報(bào)文和木馬病毒的攻擊。針對(duì)不同業(yè)務(wù)的需求，可以使用不同的安全措施，包括業(yè)務(wù)層對(duì)用戶和第三方應(yīng)用服務(wù)器的認(rèn)證、鑒權(quán)和拓?fù)潆[藏；報(bào)文的鑒別以及防抵賴；業(yè)務(wù)層敏感信息的加密等。

具體的安全策略如下：

①IMS安全域之間可以通過(guò)采用專網(wǎng)VPN設(shè)計(jì)，引入拓?fù)潆[藏技術(shù)來(lái)保證網(wǎng)絡(luò)的私密性；遵循業(yè)務(wù)控制與網(wǎng)絡(luò)承載分離的思想，同時(shí)針對(duì)控制信令和業(yè)務(wù)數(shù)據(jù)傳輸，使用IPSec ESP等加密方式進(jìn)行保護(hù)。

②如果系統(tǒng)內(nèi)有多個(gè)應(yīng)用服務(wù)器，可以引入聚合代理和用戶組的概念，某個(gè)用戶組只能與某些特定的應(yīng)用服務(wù)器發(fā)生消息傳遞，可以有效降低在所有應(yīng)用服務(wù)器上配置安全功能的需要。

③關(guān)鍵設(shè)備上采用RAID系統(tǒng)存儲(chǔ)加密技術(shù)，保證數(shù)據(jù)的存儲(chǔ)安全。

3.5運(yùn)行支撐域安全

運(yùn)行支撐域主要涉及網(wǎng)管和計(jì)費(fèi)等系統(tǒng)，相關(guān)的設(shè)備要和IMS網(wǎng)絡(luò)中的其他設(shè)備相互隔離，避免遭受病毒入侵和網(wǎng)絡(luò)攻擊，要保證計(jì)費(fèi)信息和用戶敏感信息的安全可靠。

①網(wǎng)管計(jì)費(fèi)等系統(tǒng)要支持管理用戶的賬戶和口令的分級(jí)管理，能夠保存操作日志并對(duì)其進(jìn)行必要的審計(jì)。

②要求管理網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)分離，保證帶外網(wǎng)管的安全性不受業(yè)務(wù)網(wǎng)絡(luò)的安全威脅影響。

③終端準(zhǔn)入系統(tǒng)利用用戶身份認(rèn)證、報(bào)文的加密和鑒別等措施實(shí)現(xiàn)對(duì)網(wǎng)管報(bào)文的源認(rèn)證、機(jī)密性和完整性等安全保障。

④適當(dāng)劃分安全子域，以電信運(yùn)營(yíng)商網(wǎng)管系統(tǒng)為例，集團(tuán)網(wǎng)管和省網(wǎng)管可以根據(jù)安全域內(nèi)部的不同安全需求，將各網(wǎng)管系統(tǒng)劃分多個(gè)安全子域：核心生產(chǎn)區(qū)、互聯(lián)接口區(qū)、內(nèi)部系統(tǒng)互聯(lián)區(qū)、第三方接入?yún)^(qū)、外聯(lián)DMZ（停火區(qū)）、內(nèi)聯(lián)DMZ、日常操作區(qū)和管理服務(wù)區(qū)。不同的安全子域覆蓋不同的設(shè)備和功能，實(shí)時(shí)差異化的安全策略。比如核心生產(chǎn)區(qū)可以包括話務(wù)網(wǎng)管、傳輸網(wǎng)管和信令監(jiān)測(cè)等核心主機(jī)設(shè)備，包括核心應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器和存儲(chǔ)設(shè)備等，一般采用最嚴(yán)格的安全保護(hù)措施。

4結(jié)束語(yǔ)

簡(jiǎn)要分析了IMS網(wǎng)絡(luò)安全問(wèn)題的來(lái)源，梳理了IMS網(wǎng)絡(luò)主要的安全威脅形態(tài)，并闡述了IMS網(wǎng)絡(luò)安全體系架構(gòu)，最后針對(duì)每個(gè)安全域提出了具體可行的安全策略，對(duì)IMS網(wǎng)絡(luò)安全體系建設(shè)具有一定的指導(dǎo)意義。IMS網(wǎng)絡(luò)安全體系的標(biāo)準(zhǔn)有待進(jìn)一步地統(tǒng)一和規(guī)范，IMS網(wǎng)絡(luò)安全防護(hù)策略也將會(huì)作為一個(gè)重要課題被持續(xù)深入地研究。

參考文獻(xiàn)

[1]李延斌.IMS網(wǎng)絡(luò)安全部署策略研究[J].郵電設(shè)計(jì)技術(shù)， 2016（1）：10-15.

[2]張殿勇.IMS核心網(wǎng)網(wǎng)絡(luò)安全指標(biāo)體系研究[J].中國(guó)新技術(shù)新產(chǎn)品，2015（11）：181.

[3]彭瑜，魏昆娟.IMS網(wǎng)絡(luò)安全分析和策略部署[J].信息安全與通信保密，2016（8）：105-107，110.

[4] 3GPP.TS 33.203（ V7.4.0 2006.12），3G Security： Access Security for IP-based Service（ SA3）[S].France：3rd Generation Partnership Project：14-21.

[5] 3GPP.TS 33.210（ V7.6.0 2006.9），3G Seccurity： Nerwork Domain Security，IP network Layer Security[S].France：3rd Generation Partnership Project：7-13.

[6]張毅.一種基于IMS的集成式安全架構(gòu)[J].通信技術(shù)， 2013，46（7）：67-68，72.