IMS网络安全机制探讨

相关专题: 中国联通

摘要 基于IP的IMS网络,面临着与互联网类似的各种安全威胁。本文介绍了目前备受关注的IMS在网络安全方面面临的威胁,分析了IMS的安全机制以及A-IMS对IMS网络安全的改进措施。

1、引言

IMS(IP多媒体子系统)是下一代融合通信系统的核心部分,它通过SIP提供的会话发起能力建立端到端的会话,并获得所需要的服务质量。IMS实现了控制与承载的分离,IMS终端可以通过不同的方式接入分组域核心网,由IMS的核心部分提供会话和业务的控制。

IMS作为一种可以实现网络全IP化的技术,简单、灵活、标准开放以及独立于接入网络是其主要特点。IMS为未来的多媒体数据业务提供了一个通用平台,能够使运营商专注于提供应用而不是接入技术,并具有集中式架构和可运营的商业模式等优点。

2、IMS网络面临的安全威胁

通信系统的安全威胁主要源自网络协议和系统的弱点,攻击者可以利用网络和系统的弱点未经授权地访问或操纵敏感数据,扰乱或滥用网络服务。IMS网络面临的威胁主要有以下几类。

●未授权访问或操纵服务:攻击者通过窃听、伪装、流量分析等手段获取或操纵敏感信息。

●完整性威胁:攻击者对系统接口上的信令或数据进行修改、插入、重放或者删除等操作,侵犯合法用户的权益。

●扰乱或滥用网络服务:人为干扰用户传输、信令数据或者控制数据,攻击系统,耗尽服务资源,使合法用户无法使用服务,滥用特权获取未授权的服务。

●服务否认:指用户或网络不承认曾经发生的操作。

3、IMS网络的安全机制

3.1 IMS安全标准体系

针对安全威胁,3GPP和3GPP2制定了一系列IMS网络安全标准。在IMS的安全体系中,从UE到网络的各个实体(P-CSCF、S-CSCF、HSS)都涉及了接入和核心网两个部分的安全机制。

对于接入部分,UE与P-CSCF之间涉及接入安全与身份认证,其安全机制在3GPP TS 33.203文档中定义。IMS以SIP和HTTP承载AKA安全机制的方式实现了UE与网络的双向认证功能;UE与P-CSCF之间协商SA(security association,安全联盟),通过IPSec提供了接入安全保护。

2G系统的主要安全缺陷之一就是核心网缺乏标准化的安全解决方案。3G系统开始着手对核心网中的所有IP业务流进行保护,IMS在核心网中引入了网络域安全(NDS)的概念。网络域安全是由某个单独机构所管理的网络,在同一安全域内的网元具有相同的安全级别并享有特定的安全服务,主要通过为服务提供机密性、数据完整性、认证和防止重放攻击,以及通过应用在IPSec中的密码安全机制和协议安全机制来实现。网络域内部的实体和网络域之间都可以使用IPSec来提供安全保护。

总的来看,现有IMS安全标准体系在以下方面提供了较完善的解决方案:客户和网络的双向身份认证;UE与P-CSCF之间的SIP信令消息的机密性保护;UE与P-CSCF之间SIP信令的完整性保护;IMS网络域的安全采用hop-by-hop(逐跳)安全模式,对在网络实体之间的每个通信进行单独的保护;支持隐藏运营商网络拓扑的能力等。

3.2 A-IMS弥补缺陷

IMS网络是基于IP的网络,IP网络的先天脆弱性,使得IMS网络在网络架构、协议实现以及管理等方面都存在潜在的安全问题。

●针对CSCF实体的攻击。目前,IP网络频繁发生拒绝服务(DoS)攻击和分布式拒绝服务(DDoS)攻击,这些攻击能使系统设备不堪重负。在IMS体系中,CSCF实体集中完成管理和呼叫控制,直接面对各种不同的用户,这在一定程度上是一个安全隐患,容易成为黑客的攻击目标。

●网络中通信协议本身存在的不安全因素和协议实现中可能存在漏洞。SIP等协议采用UDP承载,数据包不需要建立连接,容易受到泛洪攻击。

●没有强制实施完整性保护,无法防止攻击者篡改数据。攻击者可以通过修改用户数据使网络对用户的认证失败,从而导致用户无法正常接入IMS业务。

针对以上安全问题,需要对网络的关键实体如CSCF、进行物理和安全管理方面的安全保护。为此,美国的电信运营商Verizon联合思科、朗讯等设备供应商在2006年7月发布了改进的IP多媒体子系统——A-IMS。它基于3GPP2的多媒体域(MMD)架构,在SIP用户的合法性检验、数据的私密性和完整性等方面采用与IMS相同的方式,同时增加了对非SIP应用的支持。

A-IMS的主要网元包括IPGW(IP网关)、BM(承载管理)、AM(应用管理)、PM(策略管理)、SM(安全管理)、SB(业务代理)、SDM(业务数据管理)和AT(接入终端)等。其中,与安全相关的网元主要有SM、PM、BM、IPGW和AT。

相对于IMS,A-IMS在集成安全和统一安全管理、安全操作中心(SOC)、设备接纳控制、安全策略等方面对安全性进行了增强,使得IMS网络的安全性得到较大提高。

●新增了安全操作中心和安全管理,对网络进行多级安全管理,实现了系统安全的整体控制和集中控制。

●利用安全策略实现网络安全的自动控制。

●A-IMS将安全管理集成到每一个网元中,由SM收集并分析网络中各个网元的安全事件信息,并根据安全策略做出适当的处理。

●采用双向防火墙,利用入侵检测系统IDS/IPS等保护网络和终端都不受攻击。

●从网络运营的角度,针对IMS网络安全提出了姿态代理和移动安全代理(MSA)的概念,通过在智能终端(IAT)上设置姿态代理,对终端的操作系统、防火墙的版本和补丁状况进行检查,强制终端具备系统要求的安全等级。

4、结束语

基于IP的IMS网络与互联网一样面临着各种安全威胁,A-IMS切合网络运营的实际需求,为下一代融合通信系统的网络安全研究提供了新方向。

来源:中国联通网站


微信扫描分享本文到朋友圈
扫码关注5G通信官方公众号,免费领取以下5G精品资料
  • 1、回复“YD5GAI”免费领取《中国移动:5G网络AI应用典型场景技术解决方案白皮书
  • 2、回复“5G6G”免费领取《5G_6G毫米波测试技术白皮书-2022_03-21
  • 3、回复“YD6G”免费领取《中国移动:6G至简无线接入网白皮书
  • 4、回复“LTBPS”免费领取《《中国联通5G终端白皮书》
  • 5、回复“ZGDX”免费领取《中国电信5GNTN技术白皮书
  • 6、回复“TXSB”免费领取《通信设备安装工程施工工艺图解
  • 7、回复“YDSL”免费领取《中国移动算力并网白皮书
  • 8、回复“5GX3”免费领取《R1623501-g605G的系统架构1
  • 本周热点本月热点

     

      最热通信招聘

      最新招聘信息

    最新技术文章

    最新论坛贴子