CNETNews 政府采购 网站联盟
ZDNet安全频道

网络频道首页>网络综合专题>IMS网络安全机制探讨

网络安全产品页

IMS网络安全机制探讨

ZDNet 网络频道频道 更新时间:2008-06-24 作者:佚名 来源:SohuIT

本文关键词:机制探讨 接纳控制 重放攻击

  作者: 佚名,  出处:中国联通网站 , 责任编辑: 张琰珺,  2008-06-24 07:00

  目前备受关注的IMS网络在网络安全方面面临着与互联网类似的各种安全威胁。

  1. 引言

  IMS(IP多媒体子系统)是下一代融合通信系统的核心部分,它通过SIP提供的会话发起能力建立端到端的会话,并获得所需要的服务质量。IMS实现了控制与承载的分离,IMS终端可以通过不同的方式接入分组域核心网,由IMS的核心部分提供会话和业务的控制。

  IMS作为一种可以实现网络全IP化的技术,简单、灵活、标准开放以及独立于接入网络是其主要特点。IMS为未来的多媒体数据业务提供了一个通用平台,能够使运营商专注于提供应用而不是接入技术,并具有集中式架构和可运营的商业模式等优点。

  2. IMS网络面临的安全威胁

  通信系统的安全威胁主要源自网络协议和系统的弱点,攻击者可以利用网络和系统的弱点未经授权地访问或操纵敏感数据,扰乱或滥用网络服务。IMS网络面临的威胁主要有以下几类。

  ●未授权访问或操纵服务:攻击者通过窃听、伪装、流量分析等手段获取或操纵敏感信息。

  ●完整性威胁:攻击者对系统接口上的信令或数据进行修改、插入、重放或者删除等操作,侵犯合法用户的权益。

  ●扰乱或滥用网络服务:人为干扰用户传输、信令数据或者控制数据,攻击系统,耗尽服务资源,使合法用户无法使用服务,滥用特权获取未授权的服务。

  ●服务否认:指用户或网络不承认曾经发生的操作。

  3. IMS网络的安全机制

  3.1 IMS安全标准体系

  针对安全威胁,3GPP和3GPP2制定了一系列IMS网络安全标准。在IMS的安全体系中,从UE到网络的各个实体(P-CSCF、S-CSCF、HSS)都涉及了接入和核心网两个部分的安全机制。

  对于接入部分,UE与P-CSCF之间涉及接入安全与身份认证,其安全机制在3GPP TS 33.203文档中定义。IMS以SIP和HTTP承载AKA安全机制的方式实现了UE与网络的双向认证功能;UE与P-CSCF之间协商SA(security association,安全联盟),通过IPSec提供了接入安全保护。

  2G系统的主要安全缺陷之一就是核心网缺乏标准化的安全解决方案。3G系统开始着手对核心网中的所有IP业务流进行保护,IMS在核心网中引入了网络域安全(NDS)的概念。网络域安全是由某个单独机构所管理的网络,在同一安全域内的网元具有相同的安全级别并享有特定的安全服务,主要通过为服务提供机密性、数据完整性、认证和防止重放攻击,以及通过应用在IPSec中的密码安全机制和协议安全机制来实现。网络域内部的实体和网络域之间都可以使用IPSec来提供安全保护。

  总的来看,现有IMS安全标准体系在以下方面提供了较完善的解决方案:客户和网络的双向身份认证;UE与P-CSCF之间的SIP信令消息的机密性保护;UE与P-CSCF之间SIP信令的完整性保护;IMS网络域的安全采用hop-by-hop(逐跳)安全模式,对在网络实体之间的每个通信进行单独的保护;支持隐藏运营商网络拓扑的能力等。

  3.2 A-IMS弥补缺陷

  IMS网络是基于IP的网络,IP网络的先天脆弱性,使得IMS网络在网络架构、协议实现以及管理等方面都存在潜在的安全问题。

  ●针对CSCF实体的攻击。目前,IP网络频繁发生拒绝服务(DoS)攻击和分布式拒绝服务(DDoS)攻击,这些攻击能使系统设备不堪重负。在IMS体系中,CSCF实体集中完成管理和呼叫控制,直接面对各种不同的用户,这在一定程度上是一个安全隐患,容易成为黑客的攻击目标。

  ●网络中通信协议本身存在的不安全因素和协议实现中可能存在漏洞。SIP等协议采用UDP承载,数据包不需要建立连接,容易受到泛洪攻击。

  ●没有强制实施完整性保护,无法防止攻击者篡改数据。攻击者可以通过修改用户数据使网络对用户的认证失败,从而导致用户无法正常接入IMS业务。

  针对以上安全问题,需要对网络的关键实体如CSCF、进行物理和安全管理方面的安全保护。为此,美国的电信运营商Verizon联合思科、朗讯等设备供应商在2006年7月发布了改进的IP多媒体子系统——A-IMS。它基于3GPP2的多媒体域(MMD)架构,在SIP用户的合法性检验、数据的私密性和完整性等方面采用与IMS相同的方式,同时增加了对非SIP应用的支持。

  A-IMS的主要网元包括IPGW(IP网关)、BM(承载管理)、AM(应用管理)、PM(策略管理)、SM(安全管理)、SB(业务代理)、SDM(业务数据管理)和AT(接入终端)等。其中,与安全相关的网元主要有SM、PM、BM、IPGW和AT。

  相对于IMS,A-IMS在集成安全和统一安全管理、安全操作中心(SOC)、设备接纳控制、安全策略等方面对安全性进行了增强,使得IMS网络的安全性得到较大提高。

  ●新增了安全操作中心和安全管理,对网络进行多级安全管理,实现了系统安全的整体控制和集中控制。

  ●利用安全策略实现网络安全的自动控制。

  ●A-IMS将安全管理集成到每一个网元中,由SM收集并分析网络中各个网元的安全事件信息,并根据安全策略做出适当的处理。

  ●采用双向防火墙,利用入侵检测系统IDS/IPS等保护网络和终端都不受攻击。

  ●从网络运营的角度,针对IMS网络安全提出了姿态代理和移动安全代理(MSA)的概念,通过在智能终端(IAT)上设置姿态代理,对终端的操作系统、防火墙的版本和补丁状况进行检查,强制终端具备系统要求的安全等级。

  4. 结束语

  基于IP的IMS网络与互联网一样面临着各种安全威胁,A-IMS切合网络运营的实际需求,为下一代融合通信系统的网络安全研究提供了新方向。

网络频道 重放攻击 最新报道

[an error occurred while processing this directive]