馬文學 敦科翔 王龍龍 曹貝貝

摘要：IMS網(wǎng)絡由于其架構(gòu)的擴展性和靈活性可以為通信用戶帶來多種多樣的多媒體會話業(yè)務，但是IMS的開放、互聯(lián)和網(wǎng)元眾多的特點也給通信網(wǎng)絡帶來了更多的安全威脅。分析了IMS網(wǎng)絡存在的安全風險，重點闡述了IMS的安全體系架構(gòu)和安全機制，從接入域、網(wǎng)絡域、業(yè)務域、承載域和支撐域5個方面對IMS網(wǎng)絡安全問題進行了分析并給出了相應的安全防護策略，旨在進一步提高IMS網(wǎng)絡的安全性，為用戶帶來優(yōu)質(zhì)的業(yè)務體驗。

關(guān)鍵詞：IMS網(wǎng)絡；安全風險；安全體系；防護策略

中圖分類號：TN915文獻標志碼：A文章編號：1008-1739（2019）16-65-4

0引言

IP多媒體子系統(tǒng)（IP Multimedia Subsystem，IMS）作為下一代通信網(wǎng)絡的核心架構(gòu)，能為各類終端用戶提供全新的、多樣化的多媒體業(yè)務。IMS具有業(yè)務接口標準開放、與接入無關(guān)以及分布式部署等特點，是應對有線與無線、移動與固網(wǎng)、音視頻與數(shù)據(jù)等差異化業(yè)務融合的重要方式。但相較于電路交換系統(tǒng)，基于IP網(wǎng)絡IMS系統(tǒng)面臨著惡意攻擊、數(shù)據(jù)篡改、信息泄漏、病毒和中斷等各種IP網(wǎng)絡常見的安全問題，因此，非常有必要對IMS系統(tǒng)的安全架構(gòu)和安全防護策略進行研究，并就相關(guān)問題給出針對性的解決方案。

1 IMS網(wǎng)絡安全風險分析

1.1安全問題的根源

①網(wǎng)絡開放：IMS網(wǎng)絡在形態(tài)上具有天生的開放性，互聯(lián)的網(wǎng)絡、設備以及各種技術(shù)標準的差異性[1]，必然會帶來多元復雜的潛在威脅。

②業(yè)務融合：IMS具備業(yè)務繼承的特點，并且是在IP網(wǎng)絡上開放業(yè)務能力，這種業(yè)務提供方式使其在面臨著繁雜的業(yè)務邏輯的同時必然要考慮相應的安全壓力。

1.2安全威脅的主要類型

①拒絕服務：IMS網(wǎng)絡中的主要資源遭受到攻擊和破壞，造成服務異常甚至中斷。比如，通過DoS/DDoS或者畸形報文等攻擊手段，發(fā)起網(wǎng)絡攻擊，消耗IMS網(wǎng)絡的處理能力、帶寬等資源。

②偽造篡改[2]：主要表現(xiàn)在攻擊者偽裝成合法用戶或者網(wǎng)元，對IMS網(wǎng)絡中的數(shù)據(jù)信息進行篡改或者重定向。例如，截獲用戶請求，篡改信令中的關(guān)鍵信息，進而引發(fā)計費異常。

③泄露竊?。篒MS網(wǎng)絡中不同的終端和網(wǎng)元之間的控制和業(yè)務數(shù)據(jù)未經(jīng)授權(quán)被非法竊取和泄露，造成敏感數(shù)據(jù)機密性和完整性的破環(huán)。

④入侵抵賴[3]：弱認證能力引發(fā)的非法注冊和入侵，攻擊者非法操作后，行為不可取證。

2 IMS網(wǎng)絡安全體系架構(gòu)

IMS網(wǎng)絡有著相對獨立、完整的安全體系，要求IMS用戶在使用服務之前必須要通過認證和授權(quán)，網(wǎng)絡實體之間的通信也需要安全關(guān)聯(lián)（Security Association，SA）來提供保護。

整個IMS安全體系架構(gòu)如圖1所示，架構(gòu)的核心是3GPP2提出的7個SA（3GPP為SA1-SA5）。

按照國際3GPP和3GPP2組織制定的相關(guān)標準，IMS網(wǎng)絡安全體系可以劃分為接入層安全[4]和網(wǎng)絡層安全[5]兩部分。其中，接入層安全主要涉及接入終端和接入網(wǎng)絡的認證和鑒權(quán)，以及IMS網(wǎng)絡下終端與網(wǎng)絡、終端與終端之間的信息傳輸安全；網(wǎng)絡層安全包含各網(wǎng)絡設備和系統(tǒng)之間媒體流的安全防護和加密處理。

2.1接入層安全

用戶和網(wǎng)絡間的SA屬于接入層安全范疇，包括SA1和SA2。SA1涉及彼此鑒權(quán)，HSS和用戶設備中保存相同的永久性密鑰，用于網(wǎng)絡與用戶之間的認證；SA2用于建立和維護P-CSCF與用戶設備之間的安全連接，用于承載Gm接口，并對數(shù)據(jù)源進行認證。

2.2網(wǎng)絡層安全

網(wǎng)絡實體之間的SA屬于網(wǎng)絡層安全的范疇，包括SA3-SA7。

SA3用于保證網(wǎng)絡域內(nèi)Cx接口（包含HSS和歸屬網(wǎng)絡SIP AS之間接口）的安全。

SA4針對不同網(wǎng)絡（當P-SCSF在拜訪網(wǎng)絡時）SIP節(jié)點間的安全。

SA5提供網(wǎng)絡內(nèi)部（例如P-SCSF在歸屬網(wǎng)絡時，歸屬網(wǎng)絡SIP AS之間）SIP節(jié)點之間的安全。

SA6實現(xiàn)外部IP網(wǎng)絡SIP AS與HSS間的安全。

SA7實現(xiàn)外部IP網(wǎng)絡SIP AS與SIP節(jié)點間的安全。

網(wǎng)絡層安全遵循網(wǎng)絡安全域（NDS）的概念來設計部署。一個NDS可以由某個運營商的所有網(wǎng)絡實體組成，Za，Zb分別表示同一NDS內(nèi)網(wǎng)絡實體間和不同NDS間的網(wǎng)絡實體間的SA接口，如圖2所示[6]。

3GPP網(wǎng)域安全（NDS）標準中同時明確了網(wǎng)元之間安全連接的要求，建議采用IPsec ESP的隧道模式來提供安全服務（建議機密性保護）。Za接口可同時支持IKEv1，IKEv2，Zb接口是可選的。

3 IMS網(wǎng)絡安全策略

安全域是網(wǎng)絡域安全/IP協(xié)議（NDS/IP）中的一個核心概念，同一安全域內(nèi)的子網(wǎng)或設備有相同或者相近的安全保護需求，相互信任，并具有相同或者相近邊界控制和安全訪問策略。

在IMS系統(tǒng)中，按照不同的安全需求，可以將安全域分為接入域、核心網(wǎng)絡域、承載網(wǎng)絡域、業(yè)務應用域和運行支撐域5個部分，如圖3所示。

3.1接入域安全

接入域主要涉及各類終端和網(wǎng)絡的接入，包括終端設備和AGCF，MGCF，SBC等網(wǎng)元。主要威脅是用戶和終端從WLAN，PSTN，其他網(wǎng)絡接口接入帶來的風險，涉及實體間的信令機密性、完整性和可用性等防護[3]。

常見的安全策略如下：①針對不同數(shù)據(jù)流向和接入方式進行雙向認證，可采取IBC，PKI/CA等認證技術(shù)；②在接入域接入核心網(wǎng)的入口點部署信令、媒體安全網(wǎng)關(guān)SEG或者SIP防火墻；③終端通過VPN專網(wǎng)或者基于SSL/TLS等安全方式接入，保證業(yè)務數(shù)據(jù)和控制信令的安全傳輸。

3.2核心網(wǎng)絡域安全

核心網(wǎng)域包含了實現(xiàn)會話控制、信令路由和用戶信息管理等功能的多個IMS核心網(wǎng)元，比如：S-CSCF，I-CSCF，P-CSCF MRFC，HSS，IBCF，DNS Server，ENUM Server等。

該域的安全要求包括：保障域內(nèi)設備的安全，避免域內(nèi)實體受到來自應用層和網(wǎng)絡層的攻擊，保證實體之間信息的機密性和完整性；保證網(wǎng)絡域和接入域之間的安全，防止接入域?qū)W(wǎng)絡域網(wǎng)元設備的攻擊。

主要的安全措施如下：

①邊界部署安全網(wǎng)關(guān)，通過SEG對出入安全域的業(yè)務流進行控制，采用輪軸-輻條（Hubspoke）模型實施逐跳保護；

②對域內(nèi)各關(guān)鍵模塊和數(shù)據(jù)庫訪問進行強鑒權(quán)，明確域內(nèi)核心資源訪問權(quán)限和管理角色；

③對接口上信令節(jié)點和數(shù)據(jù)信息的安全性和可信性進行審查，尤其是對同源信令請求的會話數(shù)目進行嚴格限制；

④部署病毒入侵檢測系統(tǒng)，并及時升級更新病毒庫和規(guī)則庫。

3.3承載網(wǎng)絡域安全

承載網(wǎng)絡域主要完成媒體信息的承載、處理和控制等功能，涵蓋MRFP，MGW等設備。要求采用包括邏輯隔離和物理隔離在內(nèi)的多種隔離技術(shù)，實現(xiàn)和其他承載網(wǎng)的隔離。

主要采取以下安全對策：①承載網(wǎng)絡采用VPN專網(wǎng)，確保業(yè)務控制和媒體數(shù)據(jù)的分離；②采用高強度的路由驗證算法，實現(xiàn)可信路由的驗證、過濾和加密，減少路由處理的工作量，來保證網(wǎng)絡穩(wěn)定性[3]；③在基礎網(wǎng)元上部署完善的安全防護策略，并在傳輸層為業(yè)務數(shù)據(jù)流提供多重加密；④對控制信息進行流量監(jiān)測和速率控制，從而有效地避免惡意流量的沖擊；⑤部署病毒防護系統(tǒng)和多重異構(gòu)防火墻，為相關(guān)業(yè)務實體和系統(tǒng)提供安全防護。

3.4業(yè)務應用域安全

業(yè)務應用域中要求保證其域內(nèi)業(yè)務層信息的安全性，抵御來自網(wǎng)絡上的非法報文和木馬病毒的攻擊。針對不同業(yè)務的需求，可以使用不同的安全措施，包括業(yè)務層對用戶和第三方應用服務器的認證、鑒權(quán)和拓撲隱藏；報文的鑒別以及防抵賴；業(yè)務層敏感信息的加密等。

具體的安全策略如下：

①IMS安全域之間可以通過采用專網(wǎng)VPN設計，引入拓撲隱藏技術(shù)來保證網(wǎng)絡的私密性；遵循業(yè)務控制與網(wǎng)絡承載分離的思想，同時針對控制信令和業(yè)務數(shù)據(jù)傳輸，使用IPSec ESP等加密方式進行保護。

②如果系統(tǒng)內(nèi)有多個應用服務器，可以引入聚合代理和用戶組的概念，某個用戶組只能與某些特定的應用服務器發(fā)生消息傳遞，可以有效降低在所有應用服務器上配置安全功能的需要。

③關(guān)鍵設備上采用RAID系統(tǒng)存儲加密技術(shù)，保證數(shù)據(jù)的存儲安全。

3.5運行支撐域安全

運行支撐域主要涉及網(wǎng)管和計費等系統(tǒng)，相關(guān)的設備要和IMS網(wǎng)絡中的其他設備相互隔離，避免遭受病毒入侵和網(wǎng)絡攻擊，要保證計費信息和用戶敏感信息的安全可靠。

①網(wǎng)管計費等系統(tǒng)要支持管理用戶的賬戶和口令的分級管理，能夠保存操作日志并對其進行必要的審計。

②要求管理網(wǎng)絡和業(yè)務網(wǎng)絡分離，保證帶外網(wǎng)管的安全性不受業(yè)務網(wǎng)絡的安全威脅影響。

③終端準入系統(tǒng)利用用戶身份認證、報文的加密和鑒別等措施實現(xiàn)對網(wǎng)管報文的源認證、機密性和完整性等安全保障。

④適當劃分安全子域，以電信運營商網(wǎng)管系統(tǒng)為例，集團網(wǎng)管和省網(wǎng)管可以根據(jù)安全域內(nèi)部的不同安全需求，將各網(wǎng)管系統(tǒng)劃分多個安全子域：核心生產(chǎn)區(qū)、互聯(lián)接口區(qū)、內(nèi)部系統(tǒng)互聯(lián)區(qū)、第三方接入?yún)^(qū)、外聯(lián)DMZ（?；饏^(qū)）、內(nèi)聯(lián)DMZ、日常操作區(qū)和管理服務區(qū)。不同的安全子域覆蓋不同的設備和功能，實時差異化的安全策略。比如核心生產(chǎn)區(qū)可以包括話務網(wǎng)管、傳輸網(wǎng)管和信令監(jiān)測等核心主機設備，包括核心應用服務器、數(shù)據(jù)庫服務器和存儲設備等，一般采用最嚴格的安全保護措施。

4結(jié)束語

簡要分析了IMS網(wǎng)絡安全問題的來源，梳理了IMS網(wǎng)絡主要的安全威脅形態(tài)，并闡述了IMS網(wǎng)絡安全體系架構(gòu)，最后針對每個安全域提出了具體可行的安全策略，對IMS網(wǎng)絡安全體系建設具有一定的指導意義。IMS網(wǎng)絡安全體系的標準有待進一步地統(tǒng)一和規(guī)范，IMS網(wǎng)絡安全防護策略也將會作為一個重要課題被持續(xù)深入地研究。

參考文獻

[1]李延斌.IMS網(wǎng)絡安全部署策略研究[J].郵電設計技術(shù)， 2016（1）：10-15.

[2]張殿勇.IMS核心網(wǎng)網(wǎng)絡安全指標體系研究[J].中國新技術(shù)新產(chǎn)品，2015（11）：181.

[3]彭瑜，魏昆娟.IMS網(wǎng)絡安全分析和策略部署[J].信息安全與通信保密，2016（8）：105-107，110.

[4] 3GPP.TS 33.203（ V7.4.0 2006.12），3G Security： Access Security for IP-based Service（ SA3）[S].France：3rd Generation Partnership Project：14-21.

[5] 3GPP.TS 33.210（ V7.6.0 2006.9），3G Seccurity： Nerwork Domain Security，IP network Layer Security[S].France：3rd Generation Partnership Project：7-13.

[6]張毅.一種基于IMS的集成式安全架構(gòu)[J].通信技術(shù)， 2013，46（7）：67-68，72.