彭瑜， 魏昆娟

IMS網(wǎng)絡(luò)安全分析和策略部署

彭瑜1， 魏昆娟2

(1.北京市網(wǎng)絡(luò)安全技術(shù)應(yīng)用研究所，北京100031；2.航天科技集團(tuán)第九研究院，北京100054)

為了降低和控制IMS網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，必須采取合理有效的整體安全策略。在分析IMS網(wǎng)絡(luò)安全問題起因及安全威脅類型的基礎(chǔ)上，總結(jié)了IMS網(wǎng)絡(luò)存在的諸多風(fēng)險(xiǎn)，重點(diǎn)闡述了IMS安全體系框架和安全機(jī)制，并科學(xué)的劃分IMS網(wǎng)絡(luò)安全域，以實(shí)現(xiàn)強(qiáng)認(rèn)證授權(quán)、機(jī)密性、完整性和可信性為目標(biāo)，提出針對各個(gè)安全域的關(guān)鍵安全策略，主要從組網(wǎng)技術(shù)、認(rèn)證鑒權(quán)、邊界防護(hù)和安全隔離等方面進(jìn)行設(shè)計(jì)，對IMS網(wǎng)絡(luò)安全系統(tǒng)建設(shè)具有實(shí)踐意義。

IP多媒體子系統(tǒng)(IMS)；安全風(fēng)險(xiǎn)；安全機(jī)制；安全策略

0　引言

IMS(IP Multimedia Subsystem)IP多媒體系統(tǒng)，作為新一代IP業(yè)務(wù)融合網(wǎng)絡(luò)，它能為各類終端用戶提供全新的、多樣的多媒體業(yè)務(wù)。因此，IMS被業(yè)界認(rèn)定為下一代通信網(wǎng)絡(luò)的關(guān)鍵核心技術(shù)，也是實(shí)現(xiàn)固定與移動(dòng)，有線與無線的融合，整合視頻、數(shù)據(jù)、語音等IP業(yè)務(wù)差異化的重要模式。IMS具有分布式、與接入無關(guān)，以及業(yè)務(wù)端口標(biāo)準(zhǔn)、開放等特點(diǎn)。IMS的這些特性對未來網(wǎng)絡(luò)業(yè)務(wù)的發(fā)展指明了方向，是解決目前不同網(wǎng)絡(luò)、不同終端、不同業(yè)務(wù)融合統(tǒng)一的理想方案和運(yùn)營模式。但I(xiàn)MS網(wǎng)絡(luò)的諸多安全問題和威脅，是IMS網(wǎng)絡(luò)發(fā)展普及的“軟肋”，IMS網(wǎng)絡(luò)的標(biāo)準(zhǔn)化安全機(jī)制，以及IMS網(wǎng)絡(luò)的系統(tǒng)和用戶安全防護(hù)亟待提出科學(xué)可行的解決辦法和策略。

1　IMS網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

IMS網(wǎng)絡(luò)繼承了IP網(wǎng)絡(luò)的先天脆弱性，開放、互聯(lián)和網(wǎng)元眾多等特性增加了潛在的安全威脅。

1.1IMS安全問題由來

(1)開放網(wǎng)絡(luò):IMS網(wǎng)絡(luò)在形態(tài)上具有開放性，互聯(lián)的網(wǎng)絡(luò)、設(shè)備和技術(shù)標(biāo)準(zhǔn)具有差異性，無論是基于SIP的會(huì)話控制協(xié)議存在的漏洞，還是基于IP的消息類型和內(nèi)容，都面臨安全隱患。

(2)業(yè)務(wù)融合:IMS具有業(yè)務(wù)繼承，在IP網(wǎng)絡(luò)上開展融合業(yè)務(wù)應(yīng)用，面臨著繁雜的業(yè)務(wù)邏輯。

(3)接入方式:IMS網(wǎng)絡(luò)與接入無關(guān)，大量固定、移動(dòng)終端接入IMS，對IMS網(wǎng)絡(luò)的用戶和業(yè)務(wù)造成威脅。

(4)弱認(rèn)證鑒權(quán):IMS網(wǎng)絡(luò)接入、遠(yuǎn)程登錄、數(shù)據(jù)庫訪問和信息處理等都可出現(xiàn)身份偽裝欺騙和非法操作。

(5)終端不可信:終端的智能化和不可信性，以及終端本身易受木馬、病毒等威脅，從而成為IMS網(wǎng)絡(luò)安全的“短板”。

1.2IMS安全威脅類型

IMS網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可分為核心網(wǎng)安全風(fēng)險(xiǎn)和用戶安全風(fēng)險(xiǎn)，安全威脅類型有以下幾種:

(1)攻擊破壞:指對IMS網(wǎng)絡(luò)中信息和資源的攻擊和破壞。如蓄意發(fā)送大量錯(cuò)誤導(dǎo)引路由指令，破壞路由尋址和交互信息，影響控制信令在路由器的正常轉(zhuǎn)發(fā)，以及對信令網(wǎng)關(guān)、媒體網(wǎng)關(guān)和控制網(wǎng)關(guān)的攻擊，造成網(wǎng)絡(luò)通信故障和擁堵癱瘓。

(2)偽裝篡改:偽裝合法用戶或服務(wù)器身份，對IMS網(wǎng)絡(luò)中信息和數(shù)據(jù)進(jìn)行重定向、獲取和篡改。攻擊者截獲用戶請求消息，偽裝SIP服務(wù)器，篡改信令中的SDP部分和文本消息，造成計(jì)費(fèi)和交易等系統(tǒng)非正常操作運(yùn)行。

(3)干擾濫用:由于基于IP網(wǎng)絡(luò)，IMS較電信網(wǎng)絡(luò)更容易受到拒絕式服務(wù)干擾和攻擊，攻擊者利用虛假地址向SIP服務(wù)器發(fā)出大量請求，導(dǎo)致業(yè)務(wù)系統(tǒng)可用性降低。

(4)泄露竊取:IP網(wǎng)絡(luò)終端之間，IMS網(wǎng)絡(luò)各實(shí)體之間的控制和業(yè)務(wù)數(shù)據(jù)未經(jīng)授權(quán)或非法竊取和泄露，造成敏感數(shù)據(jù)機(jī)密性和完整性破環(huán)。攻擊者使用Ether Cap、VoMIT，以及MAC欺騙等手段盜取數(shù)據(jù)信息[1]。

(5)入侵抵賴:弱認(rèn)證能力引起非法注冊和入侵，攻擊者非法操作后，行為不可取證。

2　IMS安全機(jī)制

IMS安全機(jī)制是IMS網(wǎng)絡(luò)的重要組成單元，國際3GPP和3GPPZ組織制定了IMS網(wǎng)絡(luò)的安全機(jī)制標(biāo)準(zhǔn)，IMS網(wǎng)絡(luò)安全體系定義劃分為接入層安全(3GPPTS33.203)及網(wǎng)絡(luò)層安全(3GPPTS33.210)[2]兩個(gè)部分。其中，網(wǎng)絡(luò)層安全包含各網(wǎng)絡(luò)設(shè)備和系統(tǒng)之間媒體流的防護(hù)和加密處理；接入層安全主要對接入的用戶和互聯(lián)網(wǎng)絡(luò)的認(rèn)證和鑒權(quán)，以及IMS網(wǎng)絡(luò)終端與終端，終端與網(wǎng)絡(luò)之間的信息傳輸安全保護(hù)，IMS網(wǎng)絡(luò)在網(wǎng)元間信令和數(shù)據(jù)傳輸都采用IPSec協(xié)議。IMS終端在接入多媒體應(yīng)用業(yè)務(wù)時(shí)，之間需要建立安全聯(lián)結(jié)SA(Security Association)，用來安全傳遞控制和數(shù)據(jù)信息。整個(gè)IMS安全體系[3-4]結(jié)構(gòu)如圖1所示，圖中對應(yīng)標(biāo)注了IMS網(wǎng)絡(luò)安全機(jī)制過程中的5個(gè)不同安全要求的安全聯(lián)結(jié)。

圖1　IMS安全體系

2.1IMS接入層安全

接入層安全用于加強(qiáng)接入用戶和終端的身份認(rèn)證和訪問鑒權(quán)，以及接入層業(yè)務(wù)數(shù)據(jù)和控制信息的安全保護(hù)，建立以下兩個(gè)安全聯(lián)結(jié)[5]:

安全聯(lián)結(jié)①:表示IMS網(wǎng)絡(luò)和一個(gè)終端用戶UE或設(shè)備相互雙向認(rèn)證鑒權(quán)的過程，完成用戶注冊和認(rèn)證接入。

安全聯(lián)結(jié)②:為終端UE與P-CSCF間的控制信令和數(shù)據(jù)信息傳輸，提供完整性和機(jī)密性保護(hù)。

2.2IMS網(wǎng)絡(luò)層安全

網(wǎng)絡(luò)層安全是IMS安全體系的核心部分，主要解決網(wǎng)絡(luò)節(jié)點(diǎn)間業(yè)務(wù)安全。IMS網(wǎng)絡(luò)可劃分為不同安全域，不同的安全域之間部署SEG(安全網(wǎng)關(guān))，每個(gè)安全域部署保護(hù)邊界安全。圖1中展現(xiàn)了另外3個(gè)負(fù)責(zé)網(wǎng)絡(luò)層安全的聯(lián)結(jié)[6]:

安全聯(lián)結(jié)③:為網(wǎng)絡(luò)層安全域內(nèi)Cx接口提供了完整性、機(jī)密性的加密保護(hù)。

安全聯(lián)結(jié)④:當(dāng)P-CSCF處于漫游網(wǎng)絡(luò)中，為不同網(wǎng)絡(luò)間具有SIP功能的節(jié)點(diǎn)提供保護(hù)，為不同網(wǎng)絡(luò)安全域之間的Za接口建立安全聯(lián)結(jié)。

安全聯(lián)結(jié)⑤:當(dāng)P-CSCF處于歸屬網(wǎng)絡(luò)中時(shí)，為網(wǎng)絡(luò)內(nèi)部具有SIP功能的節(jié)點(diǎn)提供保護(hù)，即在同一個(gè)網(wǎng)絡(luò)安全域內(nèi)各實(shí)體間建立安全聯(lián)結(jié)。

安全聯(lián)結(jié)③至⑤的建立過程都與安全聯(lián)結(jié)②相同。

圖2描述了網(wǎng)絡(luò)域內(nèi)的安全。IMS網(wǎng)絡(luò)域安全采用hop-byhop(逐跳)的安全模式，對IMS網(wǎng)絡(luò)中的每一個(gè)網(wǎng)元的信息路徑進(jìn)行逐條加密保護(hù)，不同安全域之間的業(yè)務(wù)由SEG進(jìn)行路由，每個(gè)單獨(dú)信道進(jìn)行數(shù)據(jù)信息和控制信息IPSec加密傳輸保護(hù)，安全聯(lián)結(jié)④為所有SEG之間的Za接口提供完整性和認(rèn)證安全，之間的SA采用IPSec ESP的隧道模式，密鑰協(xié)商采取IKE(Internet Key Exchange)方法。

圖2　網(wǎng)絡(luò)域安全結(jié)構(gòu)

3　IMS網(wǎng)絡(luò)安全策略部署

IMS網(wǎng)絡(luò)應(yīng)用拓?fù)浣Y(jié)構(gòu)如圖3所示，參照網(wǎng)絡(luò)整體架構(gòu)、網(wǎng)絡(luò)實(shí)體和業(yè)務(wù)流程的劃分原則，可將IMS網(wǎng)絡(luò)安全系統(tǒng)分為IMS網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)、IMS網(wǎng)絡(luò)用戶系統(tǒng)、IMS網(wǎng)絡(luò)承載系統(tǒng)和IMS網(wǎng)絡(luò)管理系統(tǒng)[7]，安全體系設(shè)計(jì)必須遵循一系列的標(biāo)準(zhǔn)，構(gòu)造完整的安全防護(hù)體系。為了簡化IMS網(wǎng)絡(luò)安全策略的復(fù)雜度，根據(jù)系統(tǒng)架構(gòu)、網(wǎng)元，以及數(shù)據(jù)流向和業(yè)務(wù)系統(tǒng)的差異，分別針對各IMS子系統(tǒng)，從網(wǎng)絡(luò)設(shè)計(jì)、認(rèn)證鑒權(quán)、安全隔離和可信設(shè)計(jì)和加密等多方面研究IMS網(wǎng)絡(luò)安全策略部署。

圖3　IMS網(wǎng)絡(luò)應(yīng)用拓?fù)?/p>

3.1IMS網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)安全對策

IMS網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)是IMS網(wǎng)絡(luò)的核心部分，由IMS控制模塊、IMS AS模塊、IMS媒體模塊、IMS網(wǎng)間互聯(lián)模塊，以及IMS HSS數(shù)據(jù)模塊五個(gè)部分[7]，各個(gè)模塊可以看作是不同的安全域。模塊的資源實(shí)體、外部接口之間控制和數(shù)據(jù)消息在機(jī)密性、完整性、一致性等方面的安全策略。

(1)IMS業(yè)務(wù)系統(tǒng)各安全域采用專網(wǎng)VPN設(shè)計(jì)，保證網(wǎng)絡(luò)的專有性和保密性，制定相應(yīng)安全策略，網(wǎng)絡(luò)承載業(yè)務(wù)邏輯隔離，明確安全域接口，采用網(wǎng)絡(luò)拓?fù)潆[藏技術(shù)；控制信息和業(yè)務(wù)數(shù)據(jù)傳輸利用IPSec ESP加密隧道方式進(jìn)行保護(hù)；

(2)邊界部署安全網(wǎng)關(guān)，業(yè)務(wù)流通過SEG處理后進(jìn)出安全域，采用輪軸-輻條(hub-and-spoke)模型，逐跳保護(hù)；

(3)對各安全域模塊和數(shù)據(jù)庫訪問進(jìn)行強(qiáng)鑒權(quán)，明確區(qū)域資源訪問權(quán)限和角色；

(4)接口的信令節(jié)點(diǎn)、內(nèi)容的安全和可信性審查，同源的信令請求會(huì)話數(shù)目要進(jìn)行限制；

(5)網(wǎng)絡(luò)集中部署SIP防火墻，SBC(會(huì)話邊界控制器)等邊界安全防護(hù)措施；

(6)部署防病毒服務(wù)器和入侵檢測系統(tǒng)，并及時(shí)升級更新病毒和木馬庫；

(7)業(yè)務(wù)媒體數(shù)據(jù)庫本地存儲(chǔ)安全，采取服務(wù)器磁盤或陣列加密保護(hù)。

3.2IMS網(wǎng)絡(luò)用戶系統(tǒng)安全對策

IMS網(wǎng)絡(luò)用戶系統(tǒng)主要是用戶會(huì)話接入模塊(SIP)和業(yè)務(wù)終端接入模塊(HTTP等)，主要威脅是用戶和終端從PSTN、WLAN、其他網(wǎng)絡(luò)接口接入風(fēng)險(xiǎn)，及實(shí)體間的信令機(jī)密性、完整性、可用性等防護(hù)。

(1)業(yè)務(wù)數(shù)據(jù)流和信令、語音及媒體流通過設(shè)置DMZ區(qū)在邏輯上進(jìn)行隔離，業(yè)務(wù)終端通過VPN等方式接入業(yè)務(wù)平臺(tái)，在DMZ區(qū)保持接入、會(huì)話和媒體的相對獨(dú)立。

(2)對不同接入方式和數(shù)據(jù)流向進(jìn)行雙向認(rèn)證，可采取PKI/CA和IBC(Identity-Based Cryptography)等認(rèn)證技術(shù)。

(3)通過會(huì)話接入域接入核心網(wǎng)的唯一入口點(diǎn)為P-CSCF，部署信令和媒體安全網(wǎng)關(guān)SEG。

(4)部署SIP防火墻，對業(yè)務(wù)接入域的內(nèi)外接口防護(hù)，防止業(yè)務(wù)終端和P-CSCF遭到假冒攻擊。

(5)使用戶終端通過SSL或VPN專網(wǎng)等方式接入，對業(yè)務(wù)數(shù)據(jù)和消息流進(jìn)行加密傳輸。

(6)應(yīng)用層基于SSL采取安全防護(hù)設(shè)備，針對消息流的畸形數(shù)據(jù)和洪水攻擊[7]。

(7)用戶終端采取輕量級加密方案，或采用可信終端，解決本地存儲(chǔ)和傳輸加密問題。

3.3IMS網(wǎng)絡(luò)承載系統(tǒng)安全對策

IMS網(wǎng)絡(luò)承載系統(tǒng)存在基礎(chǔ)網(wǎng)絡(luò)的封閉性問題，不可信流量沖擊的威脅，邏輯網(wǎng)絡(luò)隔離的安全；路由信息的泄露篡改和仿冒攻擊，路由干擾和過載等安全威脅。主要采取以下安全對策:

(1)承載網(wǎng)絡(luò)采用VPN專網(wǎng)，隔離控制和媒體的流量。

(2)可信路由驗(yàn)證、過濾和加密，采用高強(qiáng)度的路由驗(yàn)證算法，減少路由處理的工作量。

(3)承載網(wǎng)的網(wǎng)管系統(tǒng)采用帶外管理，將其與基礎(chǔ)網(wǎng)絡(luò)隔離。

(4)基礎(chǔ)網(wǎng)絡(luò)設(shè)備部署完善的安全防護(hù)和控制，鏈路業(yè)務(wù)數(shù)據(jù)流傳輸提供加密保護(hù)。

(5)對控制信息流量監(jiān)測，并控制速率，防止流量沖擊。

(6)部署異構(gòu)防火墻和防病毒系統(tǒng)，對上層業(yè)務(wù)實(shí)體和系統(tǒng)進(jìn)行安全防護(hù)。

3.4IMS網(wǎng)絡(luò)管理維護(hù)安全對策

IMS網(wǎng)管系統(tǒng)內(nèi)部風(fēng)險(xiǎn)可傳播，網(wǎng)管域基于通用操作系統(tǒng)(Windows、Unix等)存在固有風(fēng)險(xiǎn)，IMS網(wǎng)管系統(tǒng)對IMS網(wǎng)絡(luò)的越權(quán)訪問。

(1)高強(qiáng)度雙向身份認(rèn)證和鑒權(quán)，對具有安全隱患和可疑設(shè)備拒絕連接并發(fā)出警告。

(2)授權(quán)用戶訪問和操作IMS網(wǎng)管系統(tǒng)和網(wǎng)管網(wǎng)絡(luò)內(nèi)資產(chǎn)，記錄安全日志，操作行為具有不可否認(rèn)性。

(3)建立和管理黑名單，分析用戶可疑行為，并自動(dòng)分析后添加入庫。

(4)IMS網(wǎng)管系統(tǒng)和設(shè)備具有入侵和安全缺陷實(shí)時(shí)檢測、分析和管理能力，并具有控制和降低危害能力，以及彌補(bǔ)措施。

(5)IMS網(wǎng)管系統(tǒng)和網(wǎng)絡(luò)保證其存儲(chǔ)和傳輸數(shù)據(jù)的機(jī)密性、完整性，采用加密技術(shù)保護(hù)。

(6)IMS網(wǎng)管系統(tǒng)設(shè)備劃分不同需求的安全域，不同域采取隔離機(jī)制和防病毒服務(wù)等，使可能的安全事件影響最小化。

4　結(jié) 語

本文深入分析了IMS網(wǎng)絡(luò)安全問題的起因，系統(tǒng)歸納了IMS網(wǎng)絡(luò)的安全威脅和漏洞，針對這些安全風(fēng)險(xiǎn)，合理劃分不同的IMS網(wǎng)絡(luò)系統(tǒng)和模塊，針對每個(gè)系統(tǒng)概括性地提出了具體可行的部分關(guān)鍵安全策略，對具體從事IMS網(wǎng)絡(luò)建設(shè)和網(wǎng)絡(luò)安全維護(hù)的工作人員具有一定實(shí)踐層面的指導(dǎo)意義。IMS網(wǎng)絡(luò)安全體系的設(shè)計(jì)必須制定和遵循嚴(yán)格統(tǒng)一的標(biāo)準(zhǔn)，研究IMS網(wǎng)絡(luò)安全防護(hù)策略和部署，將是一個(gè)重要課題，有待進(jìn)一步深入探討和研究。

[1] 李延斌.IMS網(wǎng)絡(luò)安全部署策略研究[J].網(wǎng)絡(luò)安全架構(gòu)，2016(01):12-15.

[2] 3GPP TS 33.210(v6.6.0 2006.09)，3G security:Network Domain Security，IP network layer security[S].France:3rd Greration Partnership Project:7-13.

[3] GonzaloG，Miguel A.Garicia-Martin.The 3G IP.Multimedia Subsystem[M].Finland:John Wiley＆Sons.Inc，2005:182-188.

[4] 3GPP.TS 23.228(V6.7.1 2006.12)，IP Multimedia.Subsystem (IMS)[S].France:3rd Generation Partner ship Project:5-11.

[5] 3GPP.TS 33.203(V7.4.0 2006-12)，3G Security:Access Security for IP-based Service(SA3)[S].France:3rd Generation Partnership Project:14-21.

[6] 3GPP.TS 33.210(V7.6.0 2006.09)，3G Seccurity:Nerwork Domain Security，IP network Layer Security[S].France:3rd Generation Partnership Project:7-13.

[7] 黃椿亮.IMS網(wǎng)絡(luò)安全研究.[D].北京:北京郵電大學(xué)，2009.

Research on Security Risk Analysis and Security Policy Deployment of IMS

PENG Yu1，WEI Kun-juan2
(1.Beijing Application Institute of Network Security Technology，Beijing 100031，China；2.No.9thAcademy，China Aerospace Science and Technology Corporation，Beijing 100054，China)

In order to reduce and control the security risks，some reasonable and effective entirety security policys should be adopted.Based on the analysis of the reasons and threat types of IMS network security，summarize a lot of risks about IMS network are summerized，and the security architecture and security mechanism are emphasizedly described.And also，dividing the IMS network application system to many security zones，each sub-domain，aiming at strong certificate，confidentiality，integrity and creditability，some key security policies are proposed，mainly from the aspects of networking technology，boundary protection，security isolation，which is of some practical value of IMS security mechanism construction.

IP Multimedia Subsystem(IMS)；Security Risk；Security Mechanism；Security Policy

TN915

A

1009-8054(2016)08-0105-03

?2016-03-16

彭 瑜(1975—)，男，碩士，工程師，主要研究方向信息安全，密碼技術(shù)，模式識別；

魏昆娟(1977—)，女，碩士，高級工程師，主要研究方向?yàn)樽詣?dòng)控制，通信技術(shù)?！?/p>