IMS網(wǎng)絡安全策略分析

摘 要：IMS多媒體子系統(tǒng)作為新一代核心技術由于SIP協(xié)議的易擴展性和IP網(wǎng)絡的開放性，極易受到攻擊，網(wǎng)絡安全問題得到了很高的關注，本文對IMS網(wǎng)絡的安全風險進行了分析，并從多個維度對IMS網(wǎng)絡安全策略進行了研究。

關鍵詞：IMS；安全；策略

IMS（IP Multimedia Subsystem）IP多媒體子系統(tǒng)是一種與接入方式無關的基于SIP初始會話協(xié)議的全IP承載的可提供語音、視頻、文本等多媒體業(yè)務的通信系統(tǒng)，它可以實現(xiàn)固移業(yè)務的融合，被公認為下一代網(wǎng)絡的核心技術，得到了大量的應用。

由于SIP協(xié)議的易擴展性和IP網(wǎng)絡的開放性，以及IMS支持多種方式接入、業(yè)務平臺開放性的特點，使IMS產(chǎn)品容易受到來自病毒、惡意用戶、黑客的安全攻擊威脅。隨著終端的智能化和多業(yè)務的融合，IMS網(wǎng)絡安全面臨著越來越嚴峻的威脅和挑戰(zhàn)。同時，IMS網(wǎng)絡承載于IP網(wǎng)絡之上，信令和媒體采用UDP傳輸協(xié)議無連接，不再是傳統(tǒng)TDM網(wǎng)絡的端到端的固定通路，如何保證用戶安全的接入IMS網(wǎng)絡，保證IMS網(wǎng)絡的可靠性是運營商和設備商共同關注的問題。

一、IMS 網(wǎng)絡的安全威脅形式

（一）來自網(wǎng)絡的攻擊

（1）破壞：通過DoS/DDoS攻擊和畸形報文攻擊等手段，對IMS網(wǎng)絡進行攻擊，消耗帶寬、處理能力等資源，使IMS提供服務的能力降低或喪失。

（2）篡改：通過會話干擾和會話欺騙等手段，對IMS網(wǎng)絡信息（如信令中的用戶身份信息、頭域等）進行篡改，盜用資源或欺騙網(wǎng)絡。

（3）刪除：通過植入病毒、木馬等惡意軟件，竊取、刪除系統(tǒng)文件等手段，惡意刪除、竊取IMS網(wǎng)絡信息如操作日志、系統(tǒng)文件等。

（4）泄露：通過信息掃描、信息竊聽等手段，竊取IMS網(wǎng)絡信息（如網(wǎng)絡拓撲、用戶帳號密碼），導致設備暴露、業(yè)務被盜用等問題。

（5）中斷：通過DOS/DDOS攻擊和畸形報方等手段，攻擊IMS網(wǎng)絡設備導致服務中斷。

（二）IMS網(wǎng)絡的承載的可靠性

（1）網(wǎng)元布署未考慮容災，鏈路、通路設置未考慮可靠性。

（2）網(wǎng)絡承載故障的快速檢測、快速重選路由策略不合理。

二、IMS網(wǎng)絡安全實施策略

（一）網(wǎng)絡層面的安全策略

（1）對于用戶接入，在IMS網(wǎng)絡對外接口處部署SBC和防火墻，實現(xiàn)NAT功能（IP地址轉換和隱藏）、開啟IP/TCP層的IP防攻擊功能，進行ACL設置，過濾不需要報文。

（2）對于與NGN、不同運營商等其他網(wǎng)絡的互通，在IMS網(wǎng)絡對外接口部署MGCF、BGCF等邊界網(wǎng)關，實現(xiàn)不同網(wǎng)絡的信令、媒體互通。

（3）移動手機用戶，采用雙重鑒權的方式，先經(jīng)過LTE網(wǎng)絡鑒權獲得PS域IP后，才能通過SBC注冊IMS網(wǎng)絡。

（4）將IMS網(wǎng)絡劃分多個安全區(qū)，不同的安全區(qū)間通過VLAN、VPN等進行劃分。媒體、信令、管理根據(jù)業(yè)務不同也劃分為不同的VPN＼＼VLAN，保證在安全事件發(fā)生時，將影響降到最低。

（二）核心層的安全策略

1.防止非法用戶接入

IMS通過網(wǎng)絡鑒權，來判斷用戶的合法性。只有通過鑒權的用戶才可注冊到網(wǎng)絡上。常用的鑒權方式有：

IMS AKA鑒權：常用于移動手機用戶，雙向鑒權。

Early IMS鑒權：適用于早期IMS網(wǎng)絡不支持IMS AKA鑒權的用戶。

HTTP Digest/ SIP D igest鑒權：用于固網(wǎng)用戶的鑒權，通過驗證用戶名和密碼的方式。

2.防賬號暴力破解

為了防止非法注冊惡意攻擊，IMS網(wǎng)絡提供了鑒權黑名單功能，三次鑒權失敗，24小時內(nèi)不可以重新注冊。

3.防網(wǎng)絡網(wǎng)絡拓撲泄露

SBC提供信令和媒體的代理功能。提供對信令報文流量、信令合法性進行檢查控制，對信令內(nèi)容、網(wǎng)絡拓撲結構、業(yè)務邏輯進行保護。

核心網(wǎng)元I.CSCF、IBCF支持拓撲隱藏功能，能將SIP信令流中VIA、PATH、ROUTE等記錄網(wǎng)元地址和網(wǎng)元拓撲的參數(shù)加密、解密、刪除。

4.信令側防SIP畸形報文

通過對呼叫進行控制，提供接入認證、流控、畸形報文控制等功能對信令報文進一步進行控制。

5.防RTP會話注入及RTP畸形報文攻擊

通過媒體針孔式防火墻，在SBC網(wǎng)元進行嚴格的端口號＼＼IP地址等信息匹配，防止攻擊者利用已結束的通話插入會話，非法接入。

（三）IMS承載安全策略

（1）承載網(wǎng)CE、AR等網(wǎng)元冗余雙平面異機房布署、口字型連接。IMS核心及接入網(wǎng)元雙出線連接不同平面，信令面啟用虛擬路由器冗余VRRP協(xié)議提高可靠性。

（2）IMS信令層面。信令鏈路采用 SCTP多歸屬協(xié)議冗余配置，實現(xiàn)信令端到端的實時檢測，快速收斂。

（3）IMS媒體層面。設備上聯(lián)口、互聯(lián)口設置BFD快速檢測功能，LACP檢測，并設置快速收斂策略。

（4）IMS核心和接入網(wǎng)元采用主備、互備、負荷分擔等冗余容災配置。

（5）IMS大區(qū)制組網(wǎng)時，保證地市接入設備與有主控關系的大區(qū)中心的核心設備在承載網(wǎng)上處于同一個平面，避免平面交叉帶來的網(wǎng)絡動蕩和業(yè)務全阻隱患。

三、結語

隨著IMS網(wǎng)絡的更多布署，更多業(yè)務、功能的開發(fā)，IMS網(wǎng)絡安全還會遇到新問題、關于IMS網(wǎng)絡安全策略的分析研究將是一個持續(xù)的工作，保障網(wǎng)絡安全、優(yōu)化網(wǎng)絡、提升網(wǎng)絡能力，打造精品網(wǎng)絡是我們不變的目標。

參考文獻：

[1]中國聯(lián)通IMS網(wǎng)絡安全技術規(guī)范.

[2]李延斌.IMS網(wǎng)絡安全部署策略研究.郵電設計技術.

[3]董代勇.IMS網(wǎng)絡安全解決方案.通信技術.

[4]華為公司IMS產(chǎn)品手冊.

作者簡介：王婧，高級工程師，主要從事工作：移動核心網(wǎng)＼＼IMS網(wǎng)絡的設備維護和網(wǎng)絡優(yōu)化。