IMS通信系統安全防護技術探究

朱彩虹

（國網湖南省電力有限公司 婁底供電分公司，湖南 婁底 417000）

0 引 言

IMS通信系統的最主要作用在于形成統一的業務呼叫控制和網絡融合業務。為了確保該系統的安全性，需采取不同類型的安全措施。但是，IMS通信系統在實際應用時會面臨一些問題，如非法竊聽問題、業務盜用問題以及計費欺騙安全等[1]。此外，對于終端客戶來說，該系統并沒有形成較為明確和嚴謹的通信數據安全防護機制。因此，為了進一步確保IMS通信系統的安全性，本文主要研究有關IMS通信系統安全方面的相應內容，希望能夠為IMS通信系統防護提供參考。

1 IMS通信系統防護總體框架

1.1 基本設計思路和原則

第一，IMS系統安全防護需要在原有架構和協議基礎上，可以兼容標準IMS機制和流程，即通用型IMS終端和專用型IMS終端可以接入系統。第二，IMS系統主要是利用算法強度和增加協議字段等方式進行安全認證，實施中可以按照原有標準安全認證流程進行。第三，可以利用集成方式分發端通信安全保護參數，集中處理IMS系統中用戶端通信的安全防護問題，從而進一步增強媒體通信安全防護時效性。第四，系統主要利用安全防護參數管理設備和IMS系統標準化業務來進行系統控制，其中安全防護參數管理設備和IMS系統呼叫控制實體相互配合來工作，能夠管理和分發每個終端的安全防護參數。

1.2 IMS通信系統安全防護框架

IMS通信系統的安全防護框架，如圖1所示。第一，保證用戶和網絡間的相互鑒權，確保用戶在接入網絡過程中的基本安全防護，包括身份和鑒權等。第二，要確保終端和P-CSCF之間的有效安全連接，以實現終端和CSCF設備之間的協議安全防護。第三，能夠確保IMS通信系統中各實體通信的有效防護和安全性。第四，確保IMS通信系統管理域邊界防護的有效性和安全性。第五，確保安全防護參數管理設備和IMS通信控制系統的有效銜接和安全控制。第六，確保UE間端到媒體流的安全性。

圖1 IMS系統安全防護框架

2 IMS通信系統安全防護技術分析

2.1 設備層的安全防護

2.1.1 操作系統方面的安全性

安裝操作系統時會默認安裝大量相關服務和組件，但是其中某些服務和組件都是實際業務不需要的。為了進一步提升整個系統的安全性，需要對操作系統實施必要的減量，即在滿足基本業務的基礎上去掉不必要的服務和組件。

操作系統在安裝相應單板過程中需要按照不同的類型去掉不同的內容，其中OMU單板安裝時可以將非必要服務和組件（如bootcycle、bootsplash以及yast2等）去掉。對于其他處理器單板來說，需要在OMU單板安裝的基礎上將dhcp-server和expect服務等業務去掉。為了防止非法訪問，操作系統要實施較為嚴格的權限防控，重點針對用戶分組管理、賬戶分權分域管理、賬號密碼安全策略、目錄和文件權限管理以及鑒權認證等來進行防控[2]。為了控制具體的訪問進程，系統需要采取進程權能控制機制來去除相關進程的非必要權限（如系統默認給snmp_mgr進程賦予了綁定小于1 024的端口權限）。為了進一步確保操作系統安全性，工作人員需要加強日志方面的管理，建立更加完善的管理策略，如逐漸完善日志集中管理機制，通過中央日志服務器集中性管理日志，從而降低日志查詢繁復性，確保一旦某臺計算機受到攻擊能夠及時、快速地對攻擊信息進行追蹤。同時，系統會定期（一般每天進行）備份操作日志，為后續應用做好儲備。

2.1.2 數據庫的安全性

數據庫對于IMS通信系統的安全性至關重要。為了進一步增強數據庫的工作性能和保證數據庫安全性，要按照具體應用情況對數據庫實施相應裁剪，即在數據庫安裝過程中最大程度縮減非必要業務需要，提升數據庫的安全性，確保數據庫能夠滿足IMS通信的需要。數據庫安裝時要盡可能減少非必要插件的安裝量，避免非必要組件可能存在的安全性漏洞。為了確保數據庫系統的正常運行，保證數據的安全性和可靠性，避免數據被修改，可以采取數據加密策略。一方面，可以通過不可逆安全散列算法對系統賬號和密碼等實施加密性存儲。另一方面，可以通過高級加密標準算法對網元數據導出文件實施加密性存儲，避免這些文件外泄造成業務數據發生泄露。

2.2 網絡層安全防護

IMS通信系統可以通過縱深防御的方式來確保網絡層的安全性。具體實施時，可以在IMS網絡對外接口位置設置智能比特率控制（Smart Bitrate Control，SBC）和防火墻，將其當作IMS網絡的首道防線。另外，ACL配置能夠過濾不相關報文，有效避免外部網絡的不同攻擊，包括畸形報文、網絡偵探攻擊以及DoS/DDoS攻擊等[3]。因為IMS網絡結構相對復雜，所有遵照ITU E.408通信安全區劃分的基本原則，以安全目標和安全需求作為基本依據對IMS網絡進行區域劃分。每一個安全區域內部的網元具有同樣的安全等級。

對于IMS通信系統來說，為了能夠最大程度控制安全問題的影響范圍，可以通過數據通信網來承載IMS的相關業務。在已有數據通信網基礎上設置IMS VPN業務類型，不僅能夠實現當地和跨區域IMS信令和相關業務，還可以利用VPN和VLAN來分割不同的安全區業務。按照每個地區PE上聯骨干網出口總帶寬利用率的具體情況，在PE接入端口實施隊列調度，能夠確保IMS VPN數據流實施較高的等級隊列，從而得到更具針對性的相關指標，包括時延和抖動保障等。另外，需要對安全性無法保障的傳輸網絡IPSec隧道進行加密?，F階段來看，防火墻和SBC等都可以實現IPSec隧道加密，所實現的傳輸加密情況如圖2所示。

圖2 IP傳輸加密

2.3 安全區劃分

參照ITU E.408通信安全區劃分基本原則、IMS網絡不同網元主體以及安全目標等劃分IMS網絡，以形成不同的邏輯區域。每一個區域的網絡都具有同樣的安全防護屬性，同時具有較高等級的信任關聯和相同的邊界安全控制策略?？偟膩碚f，按照信任程度差異可以將邏輯區域分成信任區、非信任區以及半信任區等不同類型[4]。

第一，信任區。處在該區域的設備具有較高信任度，設備數據無需實施審核。若是IMS承載網采用專網或者專用VPN，可以將IMS系統的核心區域作為信任區。此區域并不用通過攻擊防護設備對其實施控制。

第二，非信任區。處在該區域的設備完全不具有信任度。為了保證安全性，這些設備的進出數據流都要實施必要的控制和過濾。對于IMS核心區域來說，全部外部網絡都要作為非信任區進行設置。若是IMS核心區域要和此區域連通，要在互通邊界設置相應的防護設備來保證安全性。

第三，半信任區。該區域設置的主要目的是有效處理防火墻設置后外網無法訪問IMS內網的相應問題。此區域主要處在信任區和非信任區之間，處在IMS內部網絡和外部網絡范圍之內。為了確保安全性，可以在這些區域設置相應的服務器等設施，然后通過這些設施的前部接口和公用網絡、IMS核心域網絡內網元連接。另外，雖然處在該區域的設備設置在IMS內部網絡，但是也要連接IMS外部網絡，容易產生安全問題。為了提升安全性，需要在IMS核心域網絡相關聯位置設置攻擊防護設備。

按照相應準則，將IMS核心區域網絡分成不同安全區，并且利用VLAN或者防火墻等對相應安全區實施隔離。通過此種設置方式能夠在出現安全問題時最大程度降低損失。IMS核心區域安全劃分情況。網絡設置一定要充分考量IMS核心域網絡安全區分割的具體情況，在每兩個區之間設置SBC和防火墻來實現安全防護，同時設置防TCP/IP攻擊和開啟ACL等功能避免IMS核心區域受到外部網絡影響。

3 結 論

隨著IMS通信系統應用的日益廣泛，該系統的安全性得到了人們的普遍關注。本文主要從設備層防護、網絡層防護以及安全區劃分等方面闡述IMS通信系統安全防護技術內容，能夠為該系統的現實應用提供參考和幫助，促進IMS系統的進一步發展。