IMS安全风险与应对方案.docVIP

IMS安全风险与应对方案 　　摘要：IMS（IP Multimedia Subsystem）作为3GPP下一代网络构架核心，基于IP网络实现，很大程度上继承了Internet的安全风险与威胁，并且作为电信系统的一部分，IMS系统也存在其特有的安全问题。本文从安全风险和威胁出发，就全业务运营中IMS系统安全应对策略进行分析，希望能对全业务解决方案的安全运营起到帮助作用，并可供其他现代电信系统参考。 　　关键词：全业务IMS安全SIP 　　中图分类号：TN9 文献标识码：A 文章编号：1007-9416(2011)08-0164-02 　　 　　1、IMS简介 　　基于IP的多媒体子系统（IMS）已成为众多国际标准组织或机构如3GPP、3GPP2、ITU-T等定义认可的下一代网络核心，IMS是一个开放的系统架构，同时运营商的网络中，利用各种无线和有线的接入技术，提供最为广泛的基于IP的服务。 　　2、全业务IMS系统在安全方面的严峻考验 　　随着业务的进一步开放、终端智能化和电信IT化的发展，包括IMS在内的现代电信网络在安全方面面对日益严峻的考验，主要有：(1)全网IP化使传统黑客技术/方法直接适用于电信网络，黑客攻击成本降低。(2)随着融合网络的发展，在未来电信网络中，可能出现跨域/跨网络的攻击。(3)终端智能化：用户设备具备日益强大的计算能力和带宽，逐渐成为黑客手中的利器。(4)业务的日益丰富，使电信系统复杂度提升，存在更多的安全隐患。(5)传统电信系统中非法窃听、业务盗用、计费欺骗等常见业务安全问题在IMS网络中得以继承，针对IMS特别是涉及到基础语音业务（VOIP）的业务安全攻击技术已经出现[2]。(6)电信系统对于处理的实时性和可用性有着更高的要求，用户可以接受Internet服务短时间的不可访问或响应速度慢，但却无法容忍电信系统出现类似状况，只要能造成系统部分不可用或者QoS变差，就可以认为是一次成功的攻击。 　　通过上述分析可见：安全机制不健全的IMS系统可能造成机密性、完整性、可用性等安全要素的缺失，安全问题一旦出现将损害国家、运营商、产业链上下游和用户的共同利益。因此分析IMS系统安全威胁并提出针对性解决方案，通过规范制定、逐步完善和推行以及有效审计来确保全业务IMS系统的安全运营。 　　3、全业务IMS系统重要安全特性 　　为确保全业务IMS的顺利商用需要对安全进行一定程度的关注，系统建设初期安全方面的关注重点主要应当覆盖组网安全、防DoS/ DDoS攻击、SIP畸形报文攻击处理、业务逻辑安全、信令/媒体流安全等，下面就业内相关研究成果及实现技术进行介绍。 　　3.1全业务IMS系统组网安全要求 　　文献[3]指出，要求“IMS组网应满足安全域划分要求，做到网络边界清晰”，基于全业务组网安全相关实践，可从如下方面细化考虑组网安全策略：(1)网络整体支持控制平面、数据平面、管理平面的划分，承载上考虑使用专用MPLS或IPSEC VPN技术提供隔离和保护。(2)精细化网络安全区间划分，提升网络安全能力：基于IMS业务流特征将全业务IMS网络划分为接入控制域、核心控制域、互联互通域、增值业务域、网管域、计费域等安全区间，并且要求针对不同的组网情况，要求特定网元支持基于配置实现灵活的区域划分能力。(3)针对跨区间通信的网元设备，要求设备能够使用不同的物理网口与不同的安全区间进行通信，例如要求SBC用户侧/网络侧使用不同的物理网口。(4)在合适的网络接入场景中，考虑对同一用户上网业务和电信业务实施隔离，考虑对不同用户电信业务实现隔离，降低用户间攻击和业务盗用的可能。通过上述细化要求，实现充分的网络隔离、安全区间划分能力，并规范上线系统的网络通信配置和网络服务的使用，提高整体组网安全性。 　　3.2全业务IMS系统防DoS/ DDoS攻击要求 　　业内关于IMS特别是语音服务安全的多数研究成果均将DoS/ DDoS攻击视为现代电信解决方案的重大威胁。DoS/ DDoS攻击技术范围较广、变化较多，但主要可以分为如下两类： 　　基于网络处理能力、计算能力、存储能力耗尽的资源消耗型DoS攻击，相关技术可以参考[2]和[4]，对于电信网络而言，此类主要以各种链路层/网络传输层/应用层flooding攻击为主；基于消息处理异常实现的畸形报文注入型DoS攻击，以死亡之ping、SIP畸形报文攻击为代表。由于DoS/ DDoS攻击技术具备多样化特征，需要考虑系统化解决方案，在全业务IMS系统中建议采用层次化防护技术： 　　(1)充分实现组网安全区间划分和平面隔离，将特定攻击事件限制在小范围内，防止发生跨安全区间、跨网络平面的大规模DoS/ DDoS攻击。(2)用户侧三层网络交换机/路由器启用防ARP