IP多媒体子系统网络安全问题及解决对策

2019-01-14冯斐斐卢根富

通信电源技术 2019年4期

冯斐斐，卢根富

（1.国网宁夏电力有限公司信息通信公司，宁夏银川 750001；2.国网中卫供电公司，宁夏银川 755000）

1 IMS的系统构成

IMS可实现多种不同的功能，最常应用的功能包括以下几种：多媒体资源功能（MRF）、呼叫控制服务器（CSCF）、出口网关控制功能（BGCF）等[1]。其中，CSCF主要是为了实现呼叫网关，同时还包括路由选择功能等；MGCF则可按照被叫号码和具体的通话情况选取适合的CSCF，从而实现PSTN和MS二者间的呼叫转换，并对IM-MGW进行有效的控制；MRF可以划分为MRFC和MRFP两种不同的功能，MRFC主要是为了实现对媒体流的有效控制，而MRFP则具有一定的承载功能。

手机用户可以利用GGSN完成IMS的网络连接。针对IMS网络而言，该设备主要是为了实现IP路由器的功能，将不同的用户利用PS域进行联系。用户设备介入有两种不同的接入方式可供选择，分别为WiFi和蜂窝技术，也可以选择同时应用这两种接入方式。同样也可以利用无线IP设备进行操作。传统PSTN网络如果想要实现相互到达，一般需要利用不同的电路交换网关实现。

在IMS的系统框架中，需要通过SIP-AS来完成新服务器的部署。为了到达服务器，最开始应用SIP来传递消息，然后通过S-CSCF对消息进行识别同时判断出具体的各项应用需求，在应用触发机制的基础上，通过对IFC进行配置再将消息转换至SIP-AS来完成操作。

2 IMS系统特点

2.1 网络控制核心具有统一性

IMS通过CSCF统一实现不同用户的会话处理、认证鉴权等各项服务功能。和选取的接入方式没有任何关联，该技术对网络组织进行了精简，减少了运营管理的经济成本，同时为建立融合性的网络架构提供了良好的前提基础，并且在一定程度上促进了业务功能的提升[2]。

2.2 将客户作为核心

在IMS系统中，HSS服务器是最关键的功能实体，该服务器可以对用户服务的各种关联性数据进行有效存储，包括用户的真实身份信息、接入参数等。通过HSS可实现对用户相关信息数据的统一管理，提高业务信息提供的有效性和灵活性，并且促进了传统以网络作为核心基础转换为以客户作为核心的技术手段的发展。

2.3 具有良好的安全性和可靠性

QoS、计费等基于IP环境下，各种网络运营中存在的技术难题得到了不断的调整和完善，可以提高运营商对不同多媒体业务的有效控制能力。

3 IMS的主要应用

3.1 移动网络

此类应用主要是运营商为了丰富和扩展网络业务而设立的，根本目的是基于对移动网络有效应用的前提下通过IMS为用户提供服务，如POC、视频共享等。该应用服务的重点在于为一些企业中的客户提供IP CENTREX的系统性服务。

3.2 网络演进及业务服务

除了提供IP CENTREX服务，还包括针对固定宽带用户所提供的网络电话服务。

3.3 通信网络融合

通信网络融合主要表现为WLAN与4G网络的有机结合，完成连续性的用户语音服务。应用此种方式，用户可以利用双模终端实现网络应用，包括WLAN和WCDMA。在WLAN覆盖范围内，主要是应用WLAN接入为主，因为WLAN的资费较低，且各项数据业务比较完备。如果没有处于WLAN覆盖范围内，终端会自动接入至WCDMA中，从而确保语音业务的连续性。

4 IP多媒体子系统网络安全问题分析

4.1 接入层

在接入层中，子系统终端出现的病毒感染极易产生蠕虫扩散等问题，情况严重时甚至会使子系统终端完全被病毒掌控，进而导致客户信息被窃取。另外，畸形报文同样会造成系统业务能力无法正常开展。

4.2 核心网

核心网络将SBC作为接入点，不同的接入点和网络的拒绝接受服务都将会对SBC造成严重威胁，同时“雪崩”效应会直接致使SBC的功能丧失。攻击者一般会通过已完成的通话，将其制造的仿制会话插入到通话中，然后利用仿冒授权等方法实现各种业务的盗用。

4.3 承载网

用户一般需用应用CMnet来接入到子系统中，易导致链路资源耗尽，从而对系统的总体服务质量产生不良影响。攻击者一般会通过路由获取拓扑结构，从而对系统进行精准攻击。

5 IMS安全问题的解决对策

5.1 用户接入的相关安全要求

为了确保用户接入安全，一般需要从以下内容进行安全操作：首先，用户在接入时需要进行认证，用户名通过IMPI确定，同时需要对invite、message等消息进行digest鉴权。未来主要向AKA认证方向发展，但是在过渡时期则以无卡方式为客户提供相应的服务，利用此种方式进行终端密码配置需要按照以下内容进行操作：针对SIP硬终端，通过软key完成IMS的注册，密码需要以人工输入的形式设置进SIP话机。为了确保密码的安全，需要和负责开通的工作人员签署保密协议。密码则存储于SIP中并进行加密，其硬终端系统可以对密码访问进行有效的控制，避免密码泄露。

POTS话机的接入设备通过软key完成IMS的注册，同时将密码有效存储于接入设备当中。在开通密码时需要利用支撑系统进行远程操作，在修改密码时应通过加密模式完成传输，对于接入设备也需要进行访问设置，避免密码泄露。PC客户端的密码主要分为：软key和注册密码。一般PC客户端会应用软key，在进行登录时需要通过portal认证，但是该密码保密程度较低，仅适用于保护免费业务。IMS用户在注册时也会应用软key进行鉴权，该密码的保密程度较高，可以对PC客户端的不同业务进行鉴权。软key可对客户端指定的存储区进行严格加密和存储，该存储区需要对访问进行有效的控制和保护，在软key开始运算时，需要将干扰数据和进程插入至内存中，避免软key泄密。完成注册后，可以短信形式为用户提供相应的登录信息和具体状态。

一般建议在PC接入时，对相关信息需要进行有效隔离的用户通过VLAN完成信息的隔离。在SBC信令面和P-CSCF没有进行合设的条件下，IMS从传输至P-CSCF的难度较大，为了确保IMS在传输过程中的安全性，一般直接从终端将其传输至SBC安全区域。

5.2 接入层

IMS在应用到PC客户端之前需要安装终端防毒软件，同时对可能存在的病毒进行全面查杀，可以在开机期间和客户端软件开启时进行协同操作。更新终端防毒软件和后续的维护工作一般需要由用户进行自主操作和管理。集团客户如果需要接入链路，必须要安装相应的安全防护设备，包括IPS、防火墙等，此类设备可以实现攻击检测、数据过滤等，且支持畸形报文等。

5.3 核心网

SBC需要支持以下功能：信令防护、拓扑隐藏以及流量防护等。其中，信令防护主要是完成非法SIP信令的有效控制和过滤。拓扑隐藏则可以对via、route头域中的IMS网元地址进行删除。流量防护可以对突然爆发的流量过载和拒绝服务攻击等问题进行有效防护，针对首次连接、已完成设置的连接等各种连接状态提供对应的服务。

5.4 承载网

在解决承载网中出现的安全问题时，一般需要通过以下内容来完成。首先，将不同地区的IMS应用IP专网来建立起MPLS VPN，IP专网需要对具体的安全策略进行有效配置和落实。其次，在SBC和CMnet中设立防火墙，同时加强安全控制，从而对流量安全进行有效监管。在自建流控、恶意代码检测等系统中对IMS应用进行有效识别，同时通过白名单方式确保为用户提供相关服务的总体质量。最后，可在不同的SBC设备中利用包分析模式对比分析流量特征和内容等，应用安全清洗设备过滤病毒及攻击。