張 毅

（中國(guó)電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引言

近年來(lái)，隨著 IMS技術(shù)越來(lái)越廣泛地應(yīng)用到通信領(lǐng)域中，其安全方面也越來(lái)越受到人們的重視。針對(duì) IMS的安全，無(wú)論是從協(xié)議層面還是業(yè)務(wù)媒體流的層面人們都做了一系列的研究，但是目前這些研究理論層面的居多，所以如何將它們有效組織起來(lái)并投入到實(shí)際應(yīng)用中就成為需要研究的重點(diǎn)，為此針對(duì)IMS業(yè)務(wù)控制層面如何支撐實(shí)現(xiàn)對(duì)業(yè)務(wù)媒體流的安全問(wèn)題提出了一種集成式安全架構(gòu)的解決方法。

1 應(yīng)用服務(wù)器

在IMS網(wǎng)絡(luò)中有各種各樣的應(yīng)用服務(wù)器（AS，Application Server），主要提供增值IP多媒體業(yè)務(wù)，它們駐留在歸屬網(wǎng)絡(luò)或者第三方[1]位置上。

AS與服務(wù)呼叫會(huì)話控制功能（S-CSCF，Serving-Call Session Control Function）網(wǎng)元之間的接口是ISC接口，AS通過(guò)此接口與S-CSCF之間實(shí)現(xiàn)信息的交互，從而為用戶提供各種各樣的業(yè)務(wù)服務(wù)。

2 會(huì)話初始協(xié)議

會(huì)話初始協(xié)議（SIP，Session Initiation Protocol）是IMS網(wǎng)絡(luò)中用于多媒體會(huì)話控制的核心協(xié)議，此協(xié)議被應(yīng)用于AS與S-CSCF之間、S-CSCF與代理呼叫會(huì)話控制功能（P-CSCF，Proxy-Call Session Control Function）網(wǎng)元之間、S-CSCF與媒體網(wǎng)關(guān)控制功能（MGCF，Media Gateway Control Function）網(wǎng)元之間、S-CSCF與多媒體資源功能控制器（MRFC，Multimedia Resource Function Controller）之間的信息交互。

SIP協(xié)議采用文本形式[2]，由起始行、頭域和消息體三部分組成。

SIP消息分為兩大類:①請(qǐng)求消息，如REGISTER、INVITE、BYE消息等；②應(yīng)答響應(yīng)消息，如2XX、3XX消息等。

3 過(guò)濾規(guī)則及業(yè)務(wù)觸發(fā)

過(guò)濾規(guī)則是S-CSCF從AS或者歸屬用戶服務(wù)器（HSS，Home Subscriber Server）處獲取的業(yè)務(wù)服務(wù)專用的數(shù)據(jù)信息，屬于用戶配置信息的一部分。在通信過(guò)程中，當(dāng)SIP請(qǐng)求到達(dá)S-CSCF時(shí)，S-CSCF通過(guò)匹配過(guò)濾規(guī)則發(fā)現(xiàn)有無(wú)服務(wù)觸發(fā)點(diǎn)（服務(wù)觸發(fā)點(diǎn)可以是SIP方法、SIP消息頭、會(huì)話描述等），若有則進(jìn)行業(yè)務(wù)觸發(fā)[3]，將SIP請(qǐng)求發(fā)送到相應(yīng)的AS上進(jìn)行相應(yīng)的業(yè)務(wù)服務(wù)處理。

4 集成式安全架構(gòu)

4.1 實(shí)現(xiàn)思想

集成式安全架構(gòu)實(shí)現(xiàn)的主體思想是不破壞 IMS的整體架構(gòu)且能兼容IMS網(wǎng)絡(luò)中已有的呼叫控制類設(shè)備。

4.2 實(shí)現(xiàn)原理

集成式安全架構(gòu)最基本的實(shí)現(xiàn)原理是將安全管理類設(shè)備作為AS接入到IMS網(wǎng)絡(luò)中，并在S-CSCF處采用匹配過(guò)濾規(guī)則進(jìn)行業(yè)務(wù)觸發(fā)的方式到安全管理類設(shè)備上獲取用于業(yè)務(wù)媒體流安全保護(hù)的資源。其原理圖如圖1所示。

圖1 集成式安全架構(gòu)實(shí)現(xiàn)原理

在圖1中假設(shè)P-CSCF1為終端1服務(wù)，P-CSCF2為終端2服務(wù)，S-CSCF為終端1和終端2服務(wù)。當(dāng)終端1呼叫終端2時(shí)，SIP請(qǐng)求（INVITE消息）到達(dá)S-CSCF時(shí)（步驟②），S-CSCF匹配相應(yīng)的過(guò)濾規(guī)則，若發(fā)現(xiàn)此次呼叫需要對(duì)業(yè)務(wù)媒體流進(jìn)行安全保護(hù)（例如加密保護(hù)）則 S-CSCF根據(jù)過(guò)濾規(guī)則匹配所得到的AS（安全管理類設(shè)備）地址將INVITE消息發(fā)送到此設(shè)備上（步驟③），安全管理類設(shè)備收到 INVITE消息后進(jìn)入到相應(yīng)的業(yè)務(wù)處理邏輯中，即負(fù)責(zé)分發(fā)相應(yīng)的工作密鑰（假設(shè)先分發(fā)了終端 2在此次通信中所需要的工作密鑰），并將其攜帶在INVITE消息中，然后安全管理類設(shè)備將此INVITE消息發(fā)送回 S-CSCF（步驟④），S-CSCF再將此INVITE消息發(fā)送到 P-CSCF2上，P-CSCF2再將INVITE消息發(fā)送給終端2，終端2收到INVITE消息后，將消息中所攜帶的工作密鑰取出后發(fā)送后續(xù)的應(yīng)答消息給終端 1，后續(xù)應(yīng)答消息的路徑是沿著INVITE消息的路徑返回到終端1，當(dāng)安全管理類設(shè)備收到終端2發(fā)送的針對(duì)INVITE消息的200OK應(yīng)答時(shí)（步驟⑨），安全管理類設(shè)備將分發(fā)給終端1所使用的工作密鑰攜帶在此應(yīng)答中，然后安全管理類設(shè)備將此應(yīng)答消息發(fā)送回 S-CSCF（步驟⑩），S-CSCF再將此 200OK應(yīng)答發(fā)送到 P-CSCF1上，P-CSCF1再將200OK應(yīng)答發(fā)送給終端1，終端1收到200OK應(yīng)答后，將消息中所攜帶的工作密鑰取出。到此為止，終端1和終端2都擁有了用于業(yè)務(wù)媒體流加密保護(hù)的工作密鑰，在后續(xù)的通話中就可以使用此工作密鑰對(duì)業(yè)務(wù)媒體流進(jìn)行加密保護(hù)了。

4.3 集成式安全架構(gòu)的特點(diǎn)

在實(shí)際應(yīng)用過(guò)程中其通信的復(fù)雜度遠(yuǎn)遠(yuǎn)高于圖1所描述的情況，但是無(wú)論通信的情況如何變化，集成式安全架構(gòu)都可以很好的被應(yīng)用于這些環(huán)境之中，因?yàn)榧墒桨踩軜?gòu)遵循了IMS業(yè)務(wù)觸發(fā)的標(biāo)準(zhǔn)原理，所以此安全架構(gòu)具有以下特點(diǎn):

1）從實(shí)現(xiàn)原理來(lái)看此安全架構(gòu)不會(huì)破壞 IMS的整體架構(gòu)，并且對(duì)IMS網(wǎng)絡(luò)中已有的呼叫控制類設(shè)備不會(huì)提出任何設(shè)計(jì)上的特殊更改，兼容性好。

2）對(duì)所有的業(yè)務(wù)媒體流落地點(diǎn)都適用，即在某次通信過(guò)程中終端設(shè)備、媒體網(wǎng)關(guān)、多媒體資源功能處理器（MRFP，Multimedia Resource Function Processor）都有可能會(huì)處理業(yè)務(wù)媒體流（例如會(huì)議業(yè)務(wù)），當(dāng)需要對(duì)業(yè)務(wù)媒體流進(jìn)行安全保護(hù)時(shí)，則可以通過(guò)此架構(gòu)使業(yè)務(wù)媒體流落地點(diǎn)獲得此次通信所需的用于業(yè)務(wù)媒體流保護(hù)的安全資源。其中對(duì)于媒體網(wǎng)關(guān)而言安全資源是先通知到 MGCF上，再由MGCF通知給媒體網(wǎng)關(guān)；對(duì)于MRFP而言安全資源是先通知到MRFC上，再由MRFC通知給MRFP。

3）此安全架構(gòu)使用了IMS中業(yè)務(wù)觸發(fā)的概念，此業(yè)務(wù)觸發(fā)既可以在為主叫服務(wù)的S-CSCF上進(jìn)行，也可以在為被叫服務(wù)的S-CSCF上進(jìn)行,至于如何選擇則可以根據(jù)用戶所訂購(gòu)的各種業(yè)務(wù)需求下發(fā)合適的過(guò)濾規(guī)則到相應(yīng)的S-CSCF上即可，也就是說(shuō)可以把保護(hù)業(yè)務(wù)媒體流當(dāng)作是一種安全業(yè)務(wù)，此安全業(yè)務(wù)可以和其它通信業(yè)務(wù)（如會(huì)議、一號(hào)通等）組合起來(lái)使用。

4）此安全架構(gòu)將安全資源的攜帶融合在通信過(guò)程中，即使用通信本身需要交互的信令消息攜帶安全資源，不需要增加額外的開銷，所以對(duì)整個(gè)通信不會(huì)造成明顯的時(shí)延影響。

5）在此安全架構(gòu)中使用SIP協(xié)議攜帶安全資源，其攜帶方式有多種，可使用消息頭或者消息體或者兩者結(jié)合的方式進(jìn)行攜帶，設(shè)計(jì)者可以根據(jù)具體的應(yīng)用情況選擇合適的攜帶方式。

5 結(jié)語(yǔ)

通過(guò)對(duì)基于IMS的集成式安全架構(gòu)的介紹，此安全架構(gòu)能夠很好地解決如何使用IMS業(yè)務(wù)控制層來(lái)支撐實(shí)現(xiàn)業(yè)務(wù)媒體流安全保護(hù)的問(wèn)題，具有很強(qiáng)的實(shí)用性，可供在進(jìn)行IMS網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì)和實(shí)施建設(shè)時(shí)參考。

[1]王勇,王丹,陳強(qiáng),等.面向特殊領(lǐng)域的IMS網(wǎng)絡(luò)架構(gòu)模型研究[J].通信技術(shù),2011,44(12):62.

[2]周文,陳凱,張艷.SIP重定向攻擊實(shí)現(xiàn)及防范[J].信息安全與通信保密,2009(04):87.

[3]趙飛,趙化明.IMS網(wǎng)絡(luò)中多媒體彩鈴業(yè)務(wù)的研究與實(shí)現(xiàn)[J].通信技術(shù),2011,44(07):111.