论文部分内容阅读
摘 要:IMS多媒体子系统作为新一代核心技术由于SIP协议的易扩展性和IP网络的开放性,极易受到攻击,网络安全问题得到了很高的关注,本文对IMS网络的安全风险进行了分析,并从多个维度对IMS网络安全策略进行了研究。
关键词:IMS;安全;策略
IMS(IP Multimedia Subsystem)IP多媒体子系统是一种与接入方式无关的基于SIP初始会话协议的全IP承载的可提供语音、视频、文本等多媒体业务的通信系统,它可以实现固移业务的融合,被公认为下一代网络的核心技术,得到了大量的应用。
由于SIP协议的易扩展性和IP网络的开放性,以及IMS支持多种方式接入、业务平台开放性的特点,使IMS产品容易受到来自病毒、恶意用户、黑客的安全攻击威胁。随着终端的智能化和多业务的融合,IMS网络安全面临着越来越严峻的威胁和挑战。同时,IMS网络承载于IP网络之上,信令和媒体采用UDP传输协议无连接,不再是传统TDM网络的端到端的固定通路,如何保证用户安全的接入IMS网络,保证IMS网络的可靠性是运营商和设备商共同关注的问题。
一、IMS 网络的安全威胁形式
(一)来自网络的攻击
(1)破坏:通过DoS/DDoS攻击和畸形报文攻击等手段,对IMS网络进行攻击,消耗带宽、处理能力等资源,使IMS提供服务的能力降低或丧失。
(2)篡改:通过会话干扰和会话欺骗等手段,对IMS网络信息(如信令中的用户身份信息、头域等)进行篡改,盗用资源或欺骗网络。
(3)删除:通过植入病毒、木马等恶意软件,窃取、刪除系统文件等手段,恶意删除、窃取IMS网络信息如操作日志、系统文件等。
(4)泄露:通过信息扫描、信息窃听等手段,窃取IMS网络信息(如网络拓扑、用户帐号密码),导致设备暴露、业务被盗用等问题。
(5)中断:通过DOS/DDOS攻击和畸形报方等手段,攻击IMS网络设备导致服务中断。
(二)IMS网络的承载的可靠性
(1)网元布署未考虑容灾,链路、通路设置未考虑可靠性。
(2)网络承载故障的快速检测、快速重选路由策略不合理。
二、IMS网络安全实施策略
(一)网络层面的安全策略
(1)对于用户接入,在IMS网络对外接口处部署SBC和防火墙,实现NAT功能(IP地址转换和隐藏)、开启IP/TCP层的IP防攻击功能,进行ACL设置,过滤不需要报文。
(2)对于与NGN、不同运营商等其他网络的互通,在IMS网络对外接口部署MGCF、BGCF等边界网关,实现不同网络的信令、媒体互通。
(3)移动手机用户,采用双重鉴权的方式,先经过LTE网络鉴权获得PS域IP后,才能通过SBC注册IMS网络。
(4)将IMS网络划分多个安全区,不同的安全区间通过VLAN、VPN等进行划分。媒体、信令、管理根据业务不同也划分为不同的VPN\\VLAN,保证在安全事件发生时,将影响降到最低。
(二)核心层的安全策略
1.防止非法用户接入
IMS通过网络鉴权,来判断用户的合法性。只有通过鉴权的用户才可注册到网络上。常用的鉴权方式有:
IMS AKA鉴权:常用于移动手机用户,双向鉴权。
Early IMS鉴权:适用于早期IMS网络不支持IMS AKA鉴权的用户。
HTTP Digest/ SIP D igest鉴权:用于固网用户的鉴权,通过验证用户名和密码的方式。
2.防账号暴力破解
为了防止非法注册恶意攻击,IMS网络提供了鉴权黑名单功能,三次鉴权失败,24小时内不可以重新注册。
3.防网络网络拓扑泄露
SBC提供信令和媒体的代理功能。提供对信令报文流量、信令合法性进行检查控制,对信令内容、网络拓扑结构、业务逻辑进行保护。
核心网元I.CSCF、IBCF支持拓扑隐藏功能,能将SIP信令流中VIA、PATH、ROUTE等记录网元地址和网元拓扑的参数加密、解密、删除。
4.信令侧防SIP畸形报文
通过对呼叫进行控制,提供接入认证、流控、畸形报文控制等功能对信令报文进一步进行控制。
5.防RTP会话注入及RTP畸形报文攻击
通过媒体针孔式防火墙,在SBC网元进行严格的端口号\\IP地址等信息匹配,防止攻击者利用已结束的通话插入会话,非法接入。
(三)IMS承载安全策略
(1)承载网CE、AR等网元冗余双平面异机房布署、口字型连接。IMS核心及接入网元双出线连接不同平面,信令面启用虚拟路由器冗余VRRP协议提高可靠性。
(2)IMS信令层面。信令链路采用 SCTP多归属协议冗余配置,实现信令端到端的实时检测,快速收敛。
(3)IMS媒体层面。设备上联口、互联口设置BFD快速检测功能,LACP检测,并设置快速收敛策略。
(4)IMS核心和接入网元采用主备、互备、负荷分担等冗余容灾配置。
(5)IMS大区制组网时,保证地市接入设备与有主控关系的大区中心的核心设备在承载网上处于同一个平面,避免平面交叉带来的网络动荡和业务全阻隐患。
三、结语
随着IMS网络的更多布署,更多业务、功能的开发,IMS网络安全还会遇到新问题、关于IMS网络安全策略的分析研究将是一个持续的工作,保障网络安全、优化网络、提升网络能力,打造精品网络是我们不变的目标。
参考文献:
[1]中国联通IMS网络安全技术规范.
[2]李延斌.IMS网络安全部署策略研究.邮电设计技术.
[3]董代勇.IMS网络安全解决方案.通信技术.
[4]华为公司IMS产品手册.
作者简介:王婧,高级工程师,主要从事工作:移动核心网\\IMS网络的设备维护和网络优化。
关键词:IMS;安全;策略
IMS(IP Multimedia Subsystem)IP多媒体子系统是一种与接入方式无关的基于SIP初始会话协议的全IP承载的可提供语音、视频、文本等多媒体业务的通信系统,它可以实现固移业务的融合,被公认为下一代网络的核心技术,得到了大量的应用。
由于SIP协议的易扩展性和IP网络的开放性,以及IMS支持多种方式接入、业务平台开放性的特点,使IMS产品容易受到来自病毒、恶意用户、黑客的安全攻击威胁。随着终端的智能化和多业务的融合,IMS网络安全面临着越来越严峻的威胁和挑战。同时,IMS网络承载于IP网络之上,信令和媒体采用UDP传输协议无连接,不再是传统TDM网络的端到端的固定通路,如何保证用户安全的接入IMS网络,保证IMS网络的可靠性是运营商和设备商共同关注的问题。
一、IMS 网络的安全威胁形式
(一)来自网络的攻击
(1)破坏:通过DoS/DDoS攻击和畸形报文攻击等手段,对IMS网络进行攻击,消耗带宽、处理能力等资源,使IMS提供服务的能力降低或丧失。
(2)篡改:通过会话干扰和会话欺骗等手段,对IMS网络信息(如信令中的用户身份信息、头域等)进行篡改,盗用资源或欺骗网络。
(3)删除:通过植入病毒、木马等恶意软件,窃取、刪除系统文件等手段,恶意删除、窃取IMS网络信息如操作日志、系统文件等。
(4)泄露:通过信息扫描、信息窃听等手段,窃取IMS网络信息(如网络拓扑、用户帐号密码),导致设备暴露、业务被盗用等问题。
(5)中断:通过DOS/DDOS攻击和畸形报方等手段,攻击IMS网络设备导致服务中断。
(二)IMS网络的承载的可靠性
(1)网元布署未考虑容灾,链路、通路设置未考虑可靠性。
(2)网络承载故障的快速检测、快速重选路由策略不合理。
二、IMS网络安全实施策略
(一)网络层面的安全策略
(1)对于用户接入,在IMS网络对外接口处部署SBC和防火墙,实现NAT功能(IP地址转换和隐藏)、开启IP/TCP层的IP防攻击功能,进行ACL设置,过滤不需要报文。
(2)对于与NGN、不同运营商等其他网络的互通,在IMS网络对外接口部署MGCF、BGCF等边界网关,实现不同网络的信令、媒体互通。
(3)移动手机用户,采用双重鉴权的方式,先经过LTE网络鉴权获得PS域IP后,才能通过SBC注册IMS网络。
(4)将IMS网络划分多个安全区,不同的安全区间通过VLAN、VPN等进行划分。媒体、信令、管理根据业务不同也划分为不同的VPN\\VLAN,保证在安全事件发生时,将影响降到最低。
(二)核心层的安全策略
1.防止非法用户接入
IMS通过网络鉴权,来判断用户的合法性。只有通过鉴权的用户才可注册到网络上。常用的鉴权方式有:
IMS AKA鉴权:常用于移动手机用户,双向鉴权。
Early IMS鉴权:适用于早期IMS网络不支持IMS AKA鉴权的用户。
HTTP Digest/ SIP D igest鉴权:用于固网用户的鉴权,通过验证用户名和密码的方式。
2.防账号暴力破解
为了防止非法注册恶意攻击,IMS网络提供了鉴权黑名单功能,三次鉴权失败,24小时内不可以重新注册。
3.防网络网络拓扑泄露
SBC提供信令和媒体的代理功能。提供对信令报文流量、信令合法性进行检查控制,对信令内容、网络拓扑结构、业务逻辑进行保护。
核心网元I.CSCF、IBCF支持拓扑隐藏功能,能将SIP信令流中VIA、PATH、ROUTE等记录网元地址和网元拓扑的参数加密、解密、删除。
4.信令侧防SIP畸形报文
通过对呼叫进行控制,提供接入认证、流控、畸形报文控制等功能对信令报文进一步进行控制。
5.防RTP会话注入及RTP畸形报文攻击
通过媒体针孔式防火墙,在SBC网元进行严格的端口号\\IP地址等信息匹配,防止攻击者利用已结束的通话插入会话,非法接入。
(三)IMS承载安全策略
(1)承载网CE、AR等网元冗余双平面异机房布署、口字型连接。IMS核心及接入网元双出线连接不同平面,信令面启用虚拟路由器冗余VRRP协议提高可靠性。
(2)IMS信令层面。信令链路采用 SCTP多归属协议冗余配置,实现信令端到端的实时检测,快速收敛。
(3)IMS媒体层面。设备上联口、互联口设置BFD快速检测功能,LACP检测,并设置快速收敛策略。
(4)IMS核心和接入网元采用主备、互备、负荷分担等冗余容灾配置。
(5)IMS大区制组网时,保证地市接入设备与有主控关系的大区中心的核心设备在承载网上处于同一个平面,避免平面交叉带来的网络动荡和业务全阻隐患。
三、结语
随着IMS网络的更多布署,更多业务、功能的开发,IMS网络安全还会遇到新问题、关于IMS网络安全策略的分析研究将是一个持续的工作,保障网络安全、优化网络、提升网络能力,打造精品网络是我们不变的目标。
参考文献:
[1]中国联通IMS网络安全技术规范.
[2]李延斌.IMS网络安全部署策略研究.邮电设计技术.
[3]董代勇.IMS网络安全解决方案.通信技术.
[4]华为公司IMS产品手册.
作者简介:王婧,高级工程师,主要从事工作:移动核心网\\IMS网络的设备维护和网络优化。