楊 靜，季新生，劉彩霞

(信息工程大學(xué) 國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心,河南 鄭州 450002)

3GPP在R5版本中提出了IP多媒體子系統(tǒng)IMS(IP Multimedia Subsystem)的概念。IMS作為一個(gè)實(shí)際運(yùn)營的網(wǎng)絡(luò)，充分考慮了身份認(rèn)證，安全計(jì)費(fèi)等能力，為基于全I(xiàn)P網(wǎng)絡(luò)多媒體應(yīng)用提供了一個(gè)通用的業(yè)務(wù)職能平臺(tái)，也為網(wǎng)絡(luò)發(fā)展過程中的網(wǎng)絡(luò)融合提供了技術(shù)基礎(chǔ)，是未來網(wǎng)絡(luò)的發(fā)展方向之一。在IMS中，歸屬用戶服務(wù)器HSS(Home Subscriber Server)作為用戶簽約業(yè)務(wù)數(shù)據(jù)庫，存儲(chǔ)著用戶的安全數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)，I-CSCF（Interconnection-Call Session Control Function）與 S-CSCF（Serving-CSCF）通過Diameter協(xié)議與HSS進(jìn)行信息交互[1]。由于HSS與I/S-CSCF之間缺乏身份認(rèn)證機(jī)制，且攻擊者是以合法身份接入網(wǎng)絡(luò)，I/S-CSCF可以進(jìn)行越權(quán)訪問HSS，非法獲取或修改用戶的信息，因此需要建立新的HSS數(shù)據(jù)庫的訪問控制模型，對(duì) I/S-CSCF的非法行為進(jìn)行防護(hù)。由美國George Mason大學(xué)的Ravi Sandu教授提出的基于角色的訪問控制模型RBAC(Role-Based Access Control）[2-4]，提供了解決大量用戶、數(shù)據(jù)客體和訪問權(quán)限系統(tǒng)中的授權(quán)管理問題,是一種方便、安全、高效的訪問控制機(jī)制,適用于HSS數(shù)據(jù)庫訪問控制。

本文在HSS數(shù)據(jù)庫訪問控制中應(yīng)用基于角色訪問控制策略,并添加其約束模塊,建立I-CSCF—S-CSCF的關(guān)聯(lián)表，最后給出越權(quán)訪問行為防護(hù)的分析和仿真。

1 S-CSCF越權(quán)訪問行為分析

HSS是IMS網(wǎng)絡(luò)中存儲(chǔ)用戶信息的主要數(shù)據(jù)庫。存儲(chǔ)在HSS的IMS相關(guān)數(shù)據(jù)主要包括：IMS用戶標(biāo)識(shí)、號(hào)碼和地址信息以及用戶安全信息等。IMS網(wǎng)絡(luò)中的呼叫會(huì)話控制服務(wù)器I/S-CSCF和應(yīng)用服務(wù)器AS通過訪問HSS,獲取用戶注冊(cè)和業(yè)務(wù)邏輯執(zhí)行所需的用戶數(shù)據(jù)。

P-CSCF通過DNS域名解析獲得I-CSCF的地址，ICSCF根據(jù) UAA信息，選擇合適的 S-CSCF[1]，沒有機(jī)制通知HSS該S-CSCF地址。由于攻擊者是合法接入網(wǎng)絡(luò)，I/S-CSCF與HSS之間可以通過相互認(rèn)證，攻擊者可以通過篡改數(shù)據(jù)包，實(shí)現(xiàn)越權(quán)訪問。

由于I-CSCF數(shù)據(jù)庫越權(quán)訪問不涉及用戶核心信息，攻擊方式與S-CSCF相似，故本文重點(diǎn)分析S-CSCF越權(quán)訪問行為。其越權(quán)訪問流程如圖1所示。

(1)在 HSS側(cè)，攻擊者截獲 S-CSCF發(fā)送的 MAR(1)/SAR(1)請(qǐng)求，將 AVP Session id、AVP Origin Host等和攻擊目標(biāo)有關(guān)的字段改為自己的字段，將在數(shù)據(jù)包中SCSCF的路由信息刪除,僅保留攻擊者的地址，如：

圖1 S-CSCF越權(quán)訪問流程

攻擊者將修改后的MAR(2)/SAR(2)命令發(fā)送到HSS，由于攻擊者是合法 S-CSCF，所以可以通過HSS的認(rèn)證，使HSS認(rèn)為是攻擊者發(fā)出的合法的請(qǐng)求MAR(2)/SAR(2)，發(fā)送響應(yīng) MAA(2)/SAA(2)給攻擊者。

(2)攻擊者收到 MAA(2)/SAA(2)后，由于 S-CSCF知道HSS的地址，所以目的域地址仍置為HSS的地址，將AVP SessionId與AVP OriginHost等字段在MAR(2)/SAR(2)中修改過的字段改為原MAR(1)/SAR(1)的字段。將修改好的數(shù)據(jù)包MAA(1)/SAA(1)發(fā)送到S-CSCF。由于數(shù)據(jù)包中所有的信息均已修改，而S-CSCF并不溯源數(shù)據(jù)包的來源，所以會(huì)認(rèn)為是HSS發(fā)送的響應(yīng)消息。

通過以上兩個(gè)步驟,攻擊者可以越權(quán)訪問到S-CSCF存儲(chǔ)在HSS上的數(shù)據(jù)信息，從而實(shí)現(xiàn)了HSS數(shù)據(jù)庫的越權(quán)訪問。

2 基于角色的訪問控制模型

基于角色的訪問控制模型RBAC引入了角色的概念，目的是為了隔離主體與權(quán)限，其模型如圖2所示。RBAC模型的基本概念：

用戶（User）：可以獨(dú)立訪問計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)或其他系統(tǒng)資源的主體。用戶可以是人，也可以擴(kuò)展為機(jī)器、設(shè)備、進(jìn)程等，在此為 I/S-CSCF。

圖2 RBAC 模型

角色（Role）：角色指一個(gè)組織或任務(wù)中的工作或位置，它代表一種資格、權(quán)利和責(zé)任。

權(quán)限（Permission）：權(quán)限描述一個(gè)角色對(duì)一個(gè)訪問對(duì)象可以執(zhí)行某種操作的能力，它反映的是授權(quán)的結(jié)果。如查詢角色對(duì)資源B只有讀的權(quán)限，I-CSCF賦予查詢角色時(shí)，對(duì)資源B只能進(jìn)行讀取。

用戶角色分配（User-Role Assignment）：建立用戶與角色的多對(duì)多關(guān)系。

角色權(quán)限分配（Permission-Role Assignment）：建立角色與訪問權(quán)限的多對(duì)多關(guān)系。

會(huì)話（Session）：會(huì)話對(duì)應(yīng)于一個(gè)用戶和一組激活的角色,表示用戶進(jìn)行角色激活的過程。如I-CSCF發(fā)送UAR命令查詢用戶注冊(cè)狀態(tài)的流程[2-4]。

3 HSS數(shù)據(jù)庫訪問控制模型

IMS通信流程中，I/S-CSCF與HSS之間通過Diameter協(xié)議進(jìn)行信息交互。當(dāng)前IMS網(wǎng)絡(luò)缺乏在信令處理過程中對(duì)網(wǎng)絡(luò)實(shí)體的身份、權(quán)限的判斷，導(dǎo)致某些被非法利用的網(wǎng)絡(luò)實(shí)體針對(duì)用戶位置，狀態(tài)等重要信息發(fā)起各種攻擊行為。在IMS網(wǎng)絡(luò)中，網(wǎng)絡(luò)實(shí)體通過信令消息觸發(fā)消息處理機(jī)制來實(shí)現(xiàn)對(duì)用戶數(shù)據(jù)的訪問和操作，網(wǎng)絡(luò)實(shí)體擔(dān)任的角色及角色與權(quán)限的映射關(guān)系隨信令流程的改變而動(dòng)態(tài)變化。所以需要對(duì)基于角色的呼叫控制模型進(jìn)行一定的改進(jìn)。模型設(shè)計(jì)的核心思想就是在通信過程中，通過約束模塊，對(duì)角色、權(quán)限分配過程進(jìn)行控制，控制模型如圖3所示。

圖3 基于角色的HSS訪問控制模型圖

基于角色的HSS訪問控制模型定義如下：

主體（User）：可以訪問 HSS數(shù)據(jù)庫的網(wǎng)絡(luò)實(shí)體，即I/S-CSCF；

客體（Objects）：存儲(chǔ)在 HSS數(shù)據(jù)庫中的數(shù)據(jù)，如 SCSCF能力集，用戶認(rèn)證消息等；

角色（Roles）：I/S-CSCF所承擔(dān)的職責(zé)；

權(quán)限（Permissions）：可以對(duì)客體信息進(jìn)行的操作，如查詢，修改；

約束（Constrain）：在角色劃分，權(quán)限分配中需要滿足的限定性條件；

會(huì)話（Session）：用戶進(jìn)行激活的過程，如 I-CSCF發(fā)送UAR信令到HSS。

訪問過程中形成的映射關(guān)系：

UA?U×R×OB表示模型中從主體到角色的授權(quán)關(guān)系集,如果(u,r,ob)∈UA，含義是將主體 u分配給角色 r，此時(shí)主體訪問的客體是ob。在模型中，當(dāng)客體確定時(shí)，在符合相應(yīng)約束條件的前提下，一個(gè)主體只能分配一種角色，一種角色可以對(duì)應(yīng)一個(gè)主體或多個(gè)主體。

PA?P×R×S表示模型中從角色到權(quán)限的授權(quán)關(guān)系集，如果(p,r,s)∈PA，含義是在會(huì)話 Session的作用下，將權(quán)限p分配給角色r。角色與權(quán)限是多對(duì)多的關(guān)系。

I(U,OB,S,R,P)表示角色分配后的信息集，如果i(u,ob,s,r,p)∈I，含義是當(dāng)主體u訪問客體ob時(shí)，在會(huì)話Session的作用下，權(quán)限p分配給了角色r[5-7]。

3.1 約束模塊設(shè)計(jì)

在約束模塊添加關(guān)聯(lián)表，通過修改關(guān)聯(lián)表，對(duì)模型中的分配起到限制作用。在IMS網(wǎng)絡(luò)中，存在多個(gè)I-CSCF與S-CSCF，，它們之間是一對(duì)多映射的關(guān)系，如圖4所示。在HSS中建立I-CSCF—S-CSCF關(guān)聯(lián)表，如圖5所示。

3.1.1 約束模塊操作流程

在初始時(shí)，HSS將關(guān)聯(lián)表中I-CSCF能夠選擇的SCSCF的屬性值全部置為1。

圖4 I-CSCF與S-CSCF映射圖

圖5 I/S-CSCF關(guān)聯(lián)表

(1)當(dāng) I-CSCF選定一個(gè) S-CSCF后，向 HSS數(shù)據(jù)庫發(fā)送一個(gè)消息，將此信令消息命名為IER（I-CSCFElect-Require），告知 HSS其選定的 S-CSCF。

(2)HSS收到IER消息后，提取Session-id,User-Name,Server-Name字段,發(fā)送響應(yīng)消息IEA（I-CSCFElect-Answer）消息給 I-CSCF。

(3)HSS修改關(guān)聯(lián)表，將對(duì)應(yīng)的I/S-CSCF值設(shè)為Session-id，其他的值設(shè)為0，實(shí)現(xiàn)綁定約束，在后續(xù)為 SCSCF分配角色等操作時(shí)，只有被綁定的S-CSCF才能進(jìn)行相應(yīng)的用戶數(shù)據(jù)下載、更新等操作。

(4)當(dāng)會(huì)話結(jié)束后，將關(guān)聯(lián)表信息改為初始值，釋放各資源。

3.1.2 訪問控制模型應(yīng)用流程

(1)HSS根據(jù)I/S-CSCF的能力，建立用戶表；根據(jù)I/SCSCF進(jìn)行的操作，進(jìn)行角色分類，建立角色表；根據(jù)I/SCSCF的能力,在特定會(huì)話的條件下進(jìn)行的操作，為I/SCSCF分配角色，更新用戶-角色表；根據(jù)存儲(chǔ)在數(shù)據(jù)庫中的信息的性質(zhì),及對(duì)其進(jìn)行的操作，建立權(quán)限表；根據(jù)角色在特定會(huì)話條件下對(duì)客體進(jìn)行的操作，建立角色-權(quán)限表；建立I-CSCF—S-CSCF關(guān)聯(lián)表。

(2)當(dāng)I/S-CSCF發(fā)起會(huì)話時(shí)，HSS首先查找用戶表，判斷用戶身份是否合法。

(3)根據(jù)會(huì)話發(fā)起的信令，查找對(duì)應(yīng)的角色表，確定此次會(huì)話中主體所擔(dān)任的角色。

(4)根據(jù)主體及角色，為用戶分配角色，更新用戶-角色表。

(5)根據(jù)會(huì)話信令，查找角色-權(quán)限表，確定此次會(huì)話I/S-CSCF所能訪問的數(shù)據(jù)資源及其進(jìn)行的操作。

(6)當(dāng)會(huì)話建立時(shí)，啟動(dòng)約束模塊，HSS修改關(guān)聯(lián)表，綁定此次會(huì)話，只有發(fā)起會(huì)話的主體才能對(duì)數(shù)據(jù)庫進(jìn)行訪問。

3.2 數(shù)據(jù)庫設(shè)計(jì)

根據(jù)整個(gè)流程，HSS數(shù)據(jù)庫訪問控制系統(tǒng)被分為不同的功能模塊,主體分為不同的權(quán)限訪問不同的客體。根據(jù)模型設(shè)計(jì)方法，用戶及權(quán)限信息均被保存在HSS數(shù)據(jù)庫中，建立用戶表、角色表、權(quán)限表、約束表、用戶與角色表、角色與權(quán)限表的6個(gè)表格，各表詳細(xì)設(shè)計(jì)及關(guān)系如圖6所示。

圖6 HSS數(shù)據(jù)庫中相關(guān)表的設(shè)計(jì)

4 HSS數(shù)據(jù)庫訪問控制模型效果

在HSS訪問控制方式及數(shù)據(jù)庫的設(shè)計(jì)中，約束模塊對(duì)用戶角色表、角色權(quán)限表都有著制約作用，從而能夠比較有效地進(jìn)行數(shù)據(jù)庫訪問控制。效果分析如圖7所示。

圖7 HSS訪問控制效果圖

I-CSCF選定S-CSCF后，與HSS進(jìn)行 IER/IEA信令交互后，啟動(dòng)約束模塊，HSS數(shù)據(jù)庫修改關(guān)聯(lián)表，進(jìn)行綁定操作。當(dāng)攻擊者篡改MAR/SAR消息時(shí)，HSS查找關(guān)聯(lián)表，由于 I-CSCF—S-CSCF關(guān)聯(lián)表中，攻擊者的屬性值本不存在或被置為0，HSS拒絕攻擊者的請(qǐng)求，從而實(shí)現(xiàn)了HSS數(shù)據(jù)庫越權(quán)訪問的防護(hù)。

Open SAR由C語言實(shí)現(xiàn)，是一個(gè)成熟且靈活的開源SIP服務(wù)器棧軟件。可以用作注冊(cè)服務(wù)器、位置服務(wù)器、代理服務(wù)器等多種SIP服務(wù)器。通過對(duì)Open SAR進(jìn)行設(shè)置,可以實(shí)現(xiàn)IMS中各個(gè)CSCF的功能。依據(jù)課題的研究內(nèi)容，要求SIP終端具有可配置性。因此，選取SIP攻擊軟件SiVus用于SIP終端功能的實(shí)現(xiàn)。在仿真過程中將HSS數(shù)據(jù)庫設(shè)置為一般的數(shù)據(jù)庫，攻擊者截獲數(shù)據(jù)包并偽裝就可以立刻下載用戶的認(rèn)證信息。而在使用本文方法后，能夠有效地防護(hù)HSS數(shù)據(jù)庫越權(quán)訪問行為。

HSS數(shù)據(jù)庫防護(hù)在基于角色的訪問控制模型的基礎(chǔ)上添加了約束模塊，在其中設(shè)置了I-CSCF—S-CSCF關(guān)聯(lián)表。通過理論分析和仿真結(jié)果驗(yàn)證，該模型能夠較好地對(duì)HSS數(shù)據(jù)庫越權(quán)訪問行為進(jìn)行防護(hù)，同時(shí)該模型也可直接在系統(tǒng)中添加相應(yīng)模塊，實(shí)現(xiàn)簡單、通用性強(qiáng)。

[1]POIKSELKA M,MAYER G,KHARTABII H,et al.移動(dòng)領(lǐng)域的IP多媒體概念和服務(wù)[M].北京：機(jī)械工業(yè)出版社，2005.

[2]RAVIS E J,COYNE K.Role-based access control models[J].IEEE Computer,1996,29(2):38-47.

[3]FERRAIOLO D F.Proposed NIST standard for role-based access control[J].ACM Transactions on Information and System Security,1001,4(3):224-225.

[4]SANDHU R S.COYNE E J,FEINSTEIN H L,et al.Rolebased access control models[J].IEEE Computer,1996,29(3):38-39.

[5]周穎杰.移動(dòng)通信網(wǎng)位置信息安全防護(hù)關(guān)鍵技術(shù)研究[D].河南：解放軍信息工程大學(xué)，2008:45-54.

[6]LINA B R.The application of security policy to rolebased access control and common data security architecture[J].Computer Communications,2000,23(17):1584-1593.

[7]邢漢發(fā).基于角色和用戶組的擴(kuò)展訪問控制模型[J].計(jì)算機(jī)應(yīng)用研究,2009,26(3):1098-1100.