彭瑜， 魏昆娟

IMS網(wǎng)絡安全分析和策略部署

彭瑜1， 魏昆娟2

(1.北京市網(wǎng)絡安全技術(shù)應用研究所，北京100031；2.航天科技集團第九研究院，北京100054)

為了降低和控制IMS網(wǎng)絡安全風險，必須采取合理有效的整體安全策略。在分析IMS網(wǎng)絡安全問題起因及安全威脅類型的基礎上，總結(jié)了IMS網(wǎng)絡存在的諸多風險，重點闡述了IMS安全體系框架和安全機制，并科學的劃分IMS網(wǎng)絡安全域，以實現(xiàn)強認證授權(quán)、機密性、完整性和可信性為目標，提出針對各個安全域的關(guān)鍵安全策略，主要從組網(wǎng)技術(shù)、認證鑒權(quán)、邊界防護和安全隔離等方面進行設計，對IMS網(wǎng)絡安全系統(tǒng)建設具有實踐意義。

IP多媒體子系統(tǒng)(IMS)；安全風險；安全機制；安全策略

0　引言

IMS(IP Multimedia Subsystem)IP多媒體系統(tǒng)，作為新一代IP業(yè)務融合網(wǎng)絡，它能為各類終端用戶提供全新的、多樣的多媒體業(yè)務。因此，IMS被業(yè)界認定為下一代通信網(wǎng)絡的關(guān)鍵核心技術(shù)，也是實現(xiàn)固定與移動，有線與無線的融合，整合視頻、數(shù)據(jù)、語音等IP業(yè)務差異化的重要模式。IMS具有分布式、與接入無關(guān)，以及業(yè)務端口標準、開放等特點。IMS的這些特性對未來網(wǎng)絡業(yè)務的發(fā)展指明了方向，是解決目前不同網(wǎng)絡、不同終端、不同業(yè)務融合統(tǒng)一的理想方案和運營模式。但IMS網(wǎng)絡的諸多安全問題和威脅，是IMS網(wǎng)絡發(fā)展普及的“軟肋”，IMS網(wǎng)絡的標準化安全機制，以及IMS網(wǎng)絡的系統(tǒng)和用戶安全防護亟待提出科學可行的解決辦法和策略。

1　IMS網(wǎng)絡安全風險

IMS網(wǎng)絡繼承了IP網(wǎng)絡的先天脆弱性，開放、互聯(lián)和網(wǎng)元眾多等特性增加了潛在的安全威脅。

1.1IMS安全問題由來

(1)開放網(wǎng)絡:IMS網(wǎng)絡在形態(tài)上具有開放性，互聯(lián)的網(wǎng)絡、設備和技術(shù)標準具有差異性，無論是基于SIP的會話控制協(xié)議存在的漏洞，還是基于IP的消息類型和內(nèi)容，都面臨安全隱患。

(2)業(yè)務融合:IMS具有業(yè)務繼承，在IP網(wǎng)絡上開展融合業(yè)務應用，面臨著繁雜的業(yè)務邏輯。

(3)接入方式:IMS網(wǎng)絡與接入無關(guān)，大量固定、移動終端接入IMS，對IMS網(wǎng)絡的用戶和業(yè)務造成威脅。

(4)弱認證鑒權(quán):IMS網(wǎng)絡接入、遠程登錄、數(shù)據(jù)庫訪問和信息處理等都可出現(xiàn)身份偽裝欺騙和非法操作。

(5)終端不可信:終端的智能化和不可信性，以及終端本身易受木馬、病毒等威脅，從而成為IMS網(wǎng)絡安全的“短板”。

1.2IMS安全威脅類型

IMS網(wǎng)絡安全風險可分為核心網(wǎng)安全風險和用戶安全風險，安全威脅類型有以下幾種:

(1)攻擊破壞:指對IMS網(wǎng)絡中信息和資源的攻擊和破壞。如蓄意發(fā)送大量錯誤導引路由指令，破壞路由尋址和交互信息，影響控制信令在路由器的正常轉(zhuǎn)發(fā)，以及對信令網(wǎng)關(guān)、媒體網(wǎng)關(guān)和控制網(wǎng)關(guān)的攻擊，造成網(wǎng)絡通信故障和擁堵癱瘓。

(2)偽裝篡改:偽裝合法用戶或服務器身份，對IMS網(wǎng)絡中信息和數(shù)據(jù)進行重定向、獲取和篡改。攻擊者截獲用戶請求消息，偽裝SIP服務器，篡改信令中的SDP部分和文本消息，造成計費和交易等系統(tǒng)非正常操作運行。

(3)干擾濫用:由于基于IP網(wǎng)絡，IMS較電信網(wǎng)絡更容易受到拒絕式服務干擾和攻擊，攻擊者利用虛假地址向SIP服務器發(fā)出大量請求，導致業(yè)務系統(tǒng)可用性降低。

(4)泄露竊取:IP網(wǎng)絡終端之間，IMS網(wǎng)絡各實體之間的控制和業(yè)務數(shù)據(jù)未經(jīng)授權(quán)或非法竊取和泄露，造成敏感數(shù)據(jù)機密性和完整性破環(huán)。攻擊者使用Ether Cap、VoMIT，以及MAC欺騙等手段盜取數(shù)據(jù)信息[1]。

(5)入侵抵賴:弱認證能力引起非法注冊和入侵，攻擊者非法操作后，行為不可取證。

2　IMS安全機制

IMS安全機制是IMS網(wǎng)絡的重要組成單元，國際3GPP和3GPPZ組織制定了IMS網(wǎng)絡的安全機制標準，IMS網(wǎng)絡安全體系定義劃分為接入層安全(3GPPTS33.203)及網(wǎng)絡層安全(3GPPTS33.210)[2]兩個部分。其中，網(wǎng)絡層安全包含各網(wǎng)絡設備和系統(tǒng)之間媒體流的防護和加密處理；接入層安全主要對接入的用戶和互聯(lián)網(wǎng)絡的認證和鑒權(quán)，以及IMS網(wǎng)絡終端與終端，終端與網(wǎng)絡之間的信息傳輸安全保護，IMS網(wǎng)絡在網(wǎng)元間信令和數(shù)據(jù)傳輸都采用IPSec協(xié)議。IMS終端在接入多媒體應用業(yè)務時，之間需要建立安全聯(lián)結(jié)SA(Security Association)，用來安全傳遞控制和數(shù)據(jù)信息。整個IMS安全體系[3-4]結(jié)構(gòu)如圖1所示，圖中對應標注了IMS網(wǎng)絡安全機制過程中的5個不同安全要求的安全聯(lián)結(jié)。

圖1　IMS安全體系

2.1IMS接入層安全

接入層安全用于加強接入用戶和終端的身份認證和訪問鑒權(quán)，以及接入層業(yè)務數(shù)據(jù)和控制信息的安全保護，建立以下兩個安全聯(lián)結(jié)[5]:

安全聯(lián)結(jié)①:表示IMS網(wǎng)絡和一個終端用戶UE或設備相互雙向認證鑒權(quán)的過程，完成用戶注冊和認證接入。

安全聯(lián)結(jié)②:為終端UE與P-CSCF間的控制信令和數(shù)據(jù)信息傳輸，提供完整性和機密性保護。

2.2IMS網(wǎng)絡層安全

網(wǎng)絡層安全是IMS安全體系的核心部分，主要解決網(wǎng)絡節(jié)點間業(yè)務安全。IMS網(wǎng)絡可劃分為不同安全域，不同的安全域之間部署SEG(安全網(wǎng)關(guān))，每個安全域部署保護邊界安全。圖1中展現(xiàn)了另外3個負責網(wǎng)絡層安全的聯(lián)結(jié)[6]:

安全聯(lián)結(jié)③:為網(wǎng)絡層安全域內(nèi)Cx接口提供了完整性、機密性的加密保護。

安全聯(lián)結(jié)④:當P-CSCF處于漫游網(wǎng)絡中，為不同網(wǎng)絡間具有SIP功能的節(jié)點提供保護，為不同網(wǎng)絡安全域之間的Za接口建立安全聯(lián)結(jié)。

安全聯(lián)結(jié)⑤:當P-CSCF處于歸屬網(wǎng)絡中時，為網(wǎng)絡內(nèi)部具有SIP功能的節(jié)點提供保護，即在同一個網(wǎng)絡安全域內(nèi)各實體間建立安全聯(lián)結(jié)。

安全聯(lián)結(jié)③至⑤的建立過程都與安全聯(lián)結(jié)②相同。

圖2描述了網(wǎng)絡域內(nèi)的安全。IMS網(wǎng)絡域安全采用hop-byhop(逐跳)的安全模式，對IMS網(wǎng)絡中的每一個網(wǎng)元的信息路徑進行逐條加密保護，不同安全域之間的業(yè)務由SEG進行路由，每個單獨信道進行數(shù)據(jù)信息和控制信息IPSec加密傳輸保護，安全聯(lián)結(jié)④為所有SEG之間的Za接口提供完整性和認證安全，之間的SA采用IPSec ESP的隧道模式，密鑰協(xié)商采取IKE(Internet Key Exchange)方法。

圖2　網(wǎng)絡域安全結(jié)構(gòu)

3　IMS網(wǎng)絡安全策略部署

IMS網(wǎng)絡應用拓撲結(jié)構(gòu)如圖3所示，參照網(wǎng)絡整體架構(gòu)、網(wǎng)絡實體和業(yè)務流程的劃分原則，可將IMS網(wǎng)絡安全系統(tǒng)分為IMS網(wǎng)絡業(yè)務系統(tǒng)、IMS網(wǎng)絡用戶系統(tǒng)、IMS網(wǎng)絡承載系統(tǒng)和IMS網(wǎng)絡管理系統(tǒng)[7]，安全體系設計必須遵循一系列的標準，構(gòu)造完整的安全防護體系。為了簡化IMS網(wǎng)絡安全策略的復雜度，根據(jù)系統(tǒng)架構(gòu)、網(wǎng)元，以及數(shù)據(jù)流向和業(yè)務系統(tǒng)的差異，分別針對各IMS子系統(tǒng)，從網(wǎng)絡設計、認證鑒權(quán)、安全隔離和可信設計和加密等多方面研究IMS網(wǎng)絡安全策略部署。

圖3　IMS網(wǎng)絡應用拓撲

3.1IMS網(wǎng)絡業(yè)務系統(tǒng)安全對策

IMS網(wǎng)絡業(yè)務系統(tǒng)是IMS網(wǎng)絡的核心部分，由IMS控制模塊、IMS AS模塊、IMS媒體模塊、IMS網(wǎng)間互聯(lián)模塊，以及IMS HSS數(shù)據(jù)模塊五個部分[7]，各個模塊可以看作是不同的安全域。模塊的資源實體、外部接口之間控制和數(shù)據(jù)消息在機密性、完整性、一致性等方面的安全策略。

(1)IMS業(yè)務系統(tǒng)各安全域采用專網(wǎng)VPN設計，保證網(wǎng)絡的專有性和保密性，制定相應安全策略，網(wǎng)絡承載業(yè)務邏輯隔離，明確安全域接口，采用網(wǎng)絡拓撲隱藏技術(shù)；控制信息和業(yè)務數(shù)據(jù)傳輸利用IPSec ESP加密隧道方式進行保護；

(2)邊界部署安全網(wǎng)關(guān)，業(yè)務流通過SEG處理后進出安全域，采用輪軸-輻條(hub-and-spoke)模型，逐跳保護；

(3)對各安全域模塊和數(shù)據(jù)庫訪問進行強鑒權(quán)，明確區(qū)域資源訪問權(quán)限和角色；

(4)接口的信令節(jié)點、內(nèi)容的安全和可信性審查，同源的信令請求會話數(shù)目要進行限制；

(5)網(wǎng)絡集中部署SIP防火墻，SBC(會話邊界控制器)等邊界安全防護措施；

(6)部署防病毒服務器和入侵檢測系統(tǒng)，并及時升級更新病毒和木馬庫；

(7)業(yè)務媒體數(shù)據(jù)庫本地存儲安全，采取服務器磁盤或陣列加密保護。

3.2IMS網(wǎng)絡用戶系統(tǒng)安全對策

IMS網(wǎng)絡用戶系統(tǒng)主要是用戶會話接入模塊(SIP)和業(yè)務終端接入模塊(HTTP等)，主要威脅是用戶和終端從PSTN、WLAN、其他網(wǎng)絡接口接入風險，及實體間的信令機密性、完整性、可用性等防護。

(1)業(yè)務數(shù)據(jù)流和信令、語音及媒體流通過設置DMZ區(qū)在邏輯上進行隔離，業(yè)務終端通過VPN等方式接入業(yè)務平臺，在DMZ區(qū)保持接入、會話和媒體的相對獨立。

(2)對不同接入方式和數(shù)據(jù)流向進行雙向認證，可采取PKI/CA和IBC(Identity-Based Cryptography)等認證技術(shù)。

(3)通過會話接入域接入核心網(wǎng)的唯一入口點為P-CSCF，部署信令和媒體安全網(wǎng)關(guān)SEG。

(4)部署SIP防火墻，對業(yè)務接入域的內(nèi)外接口防護，防止業(yè)務終端和P-CSCF遭到假冒攻擊。

(5)使用戶終端通過SSL或VPN專網(wǎng)等方式接入，對業(yè)務數(shù)據(jù)和消息流進行加密傳輸。

(6)應用層基于SSL采取安全防護設備，針對消息流的畸形數(shù)據(jù)和洪水攻擊[7]。

(7)用戶終端采取輕量級加密方案，或采用可信終端，解決本地存儲和傳輸加密問題。

3.3IMS網(wǎng)絡承載系統(tǒng)安全對策

IMS網(wǎng)絡承載系統(tǒng)存在基礎網(wǎng)絡的封閉性問題，不可信流量沖擊的威脅，邏輯網(wǎng)絡隔離的安全；路由信息的泄露篡改和仿冒攻擊，路由干擾和過載等安全威脅。主要采取以下安全對策:

(1)承載網(wǎng)絡采用VPN專網(wǎng)，隔離控制和媒體的流量。

(2)可信路由驗證、過濾和加密，采用高強度的路由驗證算法，減少路由處理的工作量。

(3)承載網(wǎng)的網(wǎng)管系統(tǒng)采用帶外管理，將其與基礎網(wǎng)絡隔離。

(4)基礎網(wǎng)絡設備部署完善的安全防護和控制，鏈路業(yè)務數(shù)據(jù)流傳輸提供加密保護。

(5)對控制信息流量監(jiān)測，并控制速率，防止流量沖擊。

(6)部署異構(gòu)防火墻和防病毒系統(tǒng)，對上層業(yè)務實體和系統(tǒng)進行安全防護。

3.4IMS網(wǎng)絡管理維護安全對策

IMS網(wǎng)管系統(tǒng)內(nèi)部風險可傳播，網(wǎng)管域基于通用操作系統(tǒng)(Windows、Unix等)存在固有風險，IMS網(wǎng)管系統(tǒng)對IMS網(wǎng)絡的越權(quán)訪問。

(1)高強度雙向身份認證和鑒權(quán)，對具有安全隱患和可疑設備拒絕連接并發(fā)出警告。

(2)授權(quán)用戶訪問和操作IMS網(wǎng)管系統(tǒng)和網(wǎng)管網(wǎng)絡內(nèi)資產(chǎn)，記錄安全日志，操作行為具有不可否認性。

(3)建立和管理黑名單，分析用戶可疑行為，并自動分析后添加入庫。

(4)IMS網(wǎng)管系統(tǒng)和設備具有入侵和安全缺陷實時檢測、分析和管理能力，并具有控制和降低危害能力，以及彌補措施。

(5)IMS網(wǎng)管系統(tǒng)和網(wǎng)絡保證其存儲和傳輸數(shù)據(jù)的機密性、完整性，采用加密技術(shù)保護。

(6)IMS網(wǎng)管系統(tǒng)設備劃分不同需求的安全域，不同域采取隔離機制和防病毒服務等，使可能的安全事件影響最小化。

4　結(jié) 語

本文深入分析了IMS網(wǎng)絡安全問題的起因，系統(tǒng)歸納了IMS網(wǎng)絡的安全威脅和漏洞，針對這些安全風險，合理劃分不同的IMS網(wǎng)絡系統(tǒng)和模塊，針對每個系統(tǒng)概括性地提出了具體可行的部分關(guān)鍵安全策略，對具體從事IMS網(wǎng)絡建設和網(wǎng)絡安全維護的工作人員具有一定實踐層面的指導意義。IMS網(wǎng)絡安全體系的設計必須制定和遵循嚴格統(tǒng)一的標準，研究IMS網(wǎng)絡安全防護策略和部署，將是一個重要課題，有待進一步深入探討和研究。

[1] 李延斌.IMS網(wǎng)絡安全部署策略研究[J].網(wǎng)絡安全架構(gòu)，2016(01):12-15.

[2] 3GPP TS 33.210(v6.6.0 2006.09)，3G security:Network Domain Security，IP network layer security[S].France:3rd Greration Partnership Project:7-13.

[3] GonzaloG，Miguel A.Garicia-Martin.The 3G IP.Multimedia Subsystem[M].Finland:John Wiley＆Sons.Inc，2005:182-188.

[4] 3GPP.TS 23.228(V6.7.1 2006.12)，IP Multimedia.Subsystem (IMS)[S].France:3rd Generation Partner ship Project:5-11.

[5] 3GPP.TS 33.203(V7.4.0 2006-12)，3G Security:Access Security for IP-based Service(SA3)[S].France:3rd Generation Partnership Project:14-21.

[6] 3GPP.TS 33.210(V7.6.0 2006.09)，3G Seccurity:Nerwork Domain Security，IP network Layer Security[S].France:3rd Generation Partnership Project:7-13.

[7] 黃椿亮.IMS網(wǎng)絡安全研究.[D].北京:北京郵電大學，2009.

Research on Security Risk Analysis and Security Policy Deployment of IMS

PENG Yu1，WEI Kun-juan2
(1.Beijing Application Institute of Network Security Technology，Beijing 100031，China；2.No.9thAcademy，China Aerospace Science and Technology Corporation，Beijing 100054，China)

In order to reduce and control the security risks，some reasonable and effective entirety security policys should be adopted.Based on the analysis of the reasons and threat types of IMS network security，summarize a lot of risks about IMS network are summerized，and the security architecture and security mechanism are emphasizedly described.And also，dividing the IMS network application system to many security zones，each sub-domain，aiming at strong certificate，confidentiality，integrity and creditability，some key security policies are proposed，mainly from the aspects of networking technology，boundary protection，security isolation，which is of some practical value of IMS security mechanism construction.

IP Multimedia Subsystem(IMS)；Security Risk；Security Mechanism；Security Policy

TN915

A

1009-8054(2016)08-0105-03

?2016-03-16

彭 瑜(1975—)，男，碩士，工程師，主要研究方向信息安全，密碼技術(shù)，模式識別；

魏昆娟(1977—)，女，碩士，高級工程師，主要研究方向為自動控制，通信技術(shù)?！?/p>