关于IMS号码风险管控的解决方案.docVIP

关于IMS号码风险管控的解决方案 一、技术背景 IMS作为实现固话与手机融合类业务与应用的新产品，已越来越多地被移动企业接受作为全业务运营的平台，在市场竞争日益激烈的情况下是开拓市场的一把新钥匙和催进剂，发挥着举足轻重的作用。但是IMS作为一个协议高度开放的网络，随着集团业务的发展应用，其网络、业务以及用户账号等方面的安全问题也逐渐暴露出来，加上建网初期，一些规范、制度、流程、配套、不能象传统G网一样完善，极易被黑客钻各种漏洞，从而利用IMS账号进行恶意呼叫，使IMS用户遭受经济损失，也给公司的IMS业务发展带来了负面影响。 以上这些风险问题主要是来源于几个方面： (一)、现有技术及设备缺陷方面： 1、鉴权技术 目前各省IMS客户以集团专线为主，终端侧采用无卡的固话终端，典型的接入场景如下图： 对于此场景下的用户接入认证，根据集团规范，采用的是适用于无卡终端的SIP digest认证方式（账号、密码认证方式），有别于有卡终端的AKA认证方式（KI五元组鉴权方式），无卡接入和有卡接入认证方式在安全性上的差异如下表： 无卡接入 有卡接入 概述 用户在客户端界面上输入用户名/口令 采用SIP Digest机制接入CM-IMS 在终端中插入用户卡（SIM卡、USIM卡），基于卡中的密钥进行鉴权 采用GSM/UMTS AKA机制接入CM-IMS 对终端要求 无特殊硬件要求 应有硬件支持插卡 安全性 存在的问题： 包月用户可以将其用户名/口令告诉其它人，从而多人共享使用，影响包月业务的开展 若口令的强度较弱，存在猜测攻击风险 GSM/UMTS AKA机制安全性较高 密钥通过卡硬件存储，复制和猜测密钥的难度较高，安全性较高 用户体验 需要用户手工输入用户名/口令，用户体验较差 部分硬件设备无合适的输入/显示界面 无需用户手工输入用户名/口令，用户体验较好 适用终端 PC客户端 存量无卡SIP硬终端 存量无卡IAD设备等 有卡IMS机顶盒 有卡IMS手机终端等 由于目前商用IMS有卡终端很少，且价格很高，不适于推广，各省基本上均未采购，目前各省多采用IAD下挂普通话机的方式进行用户侧设备开通，无卡接入方式使得用户的安全性大打折扣。 2、未部署开通网关 以上鉴权方式使得IMS的密码显得尤为重要，密码的保密性直接影响着用户号码的安全。集团规范中有接入开通网关设备实现HSS和IAD等接入设备的数据同时自动修改，如下图： 具备业务开通网关场景下，IAD、IP PBX等用户侧接入设备可接收开通网关的开通指令，进行业务开通和项目配置，接入设备上行可传递设备信息、端口信息、设备状态、用户密码等给OMC，以完成接入侧设备资源管理。采用接入开通网关在提高开通自动化程度的基础上，将大大增强开通过程中的保密性，但很可惜IMS一期全国都没有配置该设备。 未部署接入开通网关时，密码设置首先由BOSS写入HSS，再由IAD厂家安装人员在用户侧安装设备时写入到IAD设备中，用户注册时，由IAD发起注册请求，与HSS中的密码比对，一致则通过予以注册。由于密码在此过程中已成为“公开的秘密”，毫无保密性而言，同时也增加了人为外泄密码的中间环节。 3、AS并发呼叫控制未作任何限制； 我们知道传统G网中，只有当用户具备三方通话功能时，才可以且最多同时呼出六路呼叫，这样最大限度地避免巨额话费的产生。但在IMS网络中，由于总机业务自身的需要，需具备支持多路呼叫的功能，因此在程序设计中并未对并发呼叫数做任何限制。 允许无限并发呼叫不仅会造成核心网资源占用的浪费，而且还存在着被恶意利用的可能，也就意味着一旦IMS号码被解密以后，将在业务上全面失控，造成巨大的话费损失。 (二)、配置规范标准方面 1、SBC安全策略不规范，使号码被盗和滥用风险增大；主要表现在以下几个方面： A、防口令嗅探策略未开启 密码的重要性已经不言而喻，如果网络无任何防密码嗅探功能，可以通过不断变更密码尝试注册的手段强势破解，当IMS账号密码破解后，不法份子就可以轻易使用软终端通过任意地址访问IMS网络进行业务盗用，造成直接的业务损失。因此网络应具备基本的口令防护功能，当单位时间内接收到一定数量级的注册消息且失败时应将其列入黑名单，不允许再发起新的注册。 B、信令防攻击未开启：问题形态类似口令嗅探，区别在于注册消息和其他信令报文，实现方式上需要确认是否合一。 C、SIP头域认证功能不具备 SBC/PCSCF要具备对非法用户进行拦截的功能，就需要对SIP域进认证，当判断为非注册用户即非法用户时，即拦截呼叫。 同时SBC要具备对用户历史注册信息的查询功能，这样便于对用户的注册信息进行全面关联分析。 D、终端直接设置IP地址不利于网络信息加密 终端上设置SBC的IP地址，或者设置域名通过DNS查询，都可以达