一種基于IMS的集成式安全架構

張 毅

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引言

近年來，隨著 IMS技術越來越廣泛地應用到通信領域中，其安全方面也越來越受到人們的重視。針對 IMS的安全，無論是從協議層面還是業務媒體流的層面人們都做了一系列的研究，但是目前這些研究理論層面的居多，所以如何將它們有效組織起來并投入到實際應用中就成為需要研究的重點，為此針對IMS業務控制層面如何支撐實現對業務媒體流的安全問題提出了一種集成式安全架構的解決方法。

1 應用服務器

在IMS網絡中有各種各樣的應用服務器（AS，Application Server），主要提供增值IP多媒體業務，它們駐留在歸屬網絡或者第三方[1]位置上。

AS與服務呼叫會話控制功能（S-CSCF，Serving-Call Session Control Function）網元之間的接口是ISC接口，AS通過此接口與S-CSCF之間實現信息的交互，從而為用戶提供各種各樣的業務服務。

2 會話初始協議

會話初始協議（SIP，Session Initiation Protocol）是IMS網絡中用于多媒體會話控制的核心協議，此協議被應用于AS與S-CSCF之間、S-CSCF與代理呼叫會話控制功能（P-CSCF，Proxy-Call Session Control Function）網元之間、S-CSCF與媒體網關控制功能（MGCF，Media Gateway Control Function）網元之間、S-CSCF與多媒體資源功能控制器（MRFC，Multimedia Resource Function Controller）之間的信息交互。

SIP協議采用文本形式[2]，由起始行、頭域和消息體三部分組成。

SIP消息分為兩大類:①請求消息，如REGISTER、INVITE、BYE消息等；②應答響應消息，如2XX、3XX消息等。

3 過濾規則及業務觸發

過濾規則是S-CSCF從AS或者歸屬用戶服務器（HSS，Home Subscriber Server）處獲取的業務服務專用的數據信息，屬于用戶配置信息的一部分。在通信過程中，當SIP請求到達S-CSCF時，S-CSCF通過匹配過濾規則發現有無服務觸發點（服務觸發點可以是SIP方法、SIP消息頭、會話描述等），若有則進行業務觸發[3]，將SIP請求發送到相應的AS上進行相應的業務服務處理。

4 集成式安全架構

4.1 實現思想

集成式安全架構實現的主體思想是不破壞 IMS的整體架構且能兼容IMS網絡中已有的呼叫控制類設備。

4.2 實現原理

集成式安全架構最基本的實現原理是將安全管理類設備作為AS接入到IMS網絡中，并在S-CSCF處采用匹配過濾規則進行業務觸發的方式到安全管理類設備上獲取用于業務媒體流安全保護的資源。其原理圖如圖1所示。

圖1 集成式安全架構實現原理

在圖1中假設P-CSCF1為終端1服務，P-CSCF2為終端2服務，S-CSCF為終端1和終端2服務。當終端1呼叫終端2時，SIP請求（INVITE消息）到達S-CSCF時（步驟②），S-CSCF匹配相應的過濾規則，若發現此次呼叫需要對業務媒體流進行安全保護（例如加密保護）則 S-CSCF根據過濾規則匹配所得到的AS（安全管理類設備）地址將INVITE消息發送到此設備上（步驟③），安全管理類設備收到 INVITE消息后進入到相應的業務處理邏輯中，即負責分發相應的工作密鑰（假設先分發了終端 2在此次通信中所需要的工作密鑰），并將其攜帶在INVITE消息中，然后安全管理類設備將此INVITE消息發送回 S-CSCF（步驟④），S-CSCF再將此INVITE消息發送到 P-CSCF2上，P-CSCF2再將INVITE消息發送給終端2，終端2收到INVITE消息后，將消息中所攜帶的工作密鑰取出后發送后續的應答消息給終端 1，后續應答消息的路徑是沿著INVITE消息的路徑返回到終端1，當安全管理類設備收到終端2發送的針對INVITE消息的200OK應答時（步驟⑨），安全管理類設備將分發給終端1所使用的工作密鑰攜帶在此應答中，然后安全管理類設備將此應答消息發送回 S-CSCF（步驟⑩），S-CSCF再將此 200OK應答發送到 P-CSCF1上，P-CSCF1再將200OK應答發送給終端1，終端1收到200OK應答后，將消息中所攜帶的工作密鑰取出。到此為止，終端1和終端2都擁有了用于業務媒體流加密保護的工作密鑰，在后續的通話中就可以使用此工作密鑰對業務媒體流進行加密保護了。

4.3 集成式安全架構的特點

在實際應用過程中其通信的復雜度遠遠高于圖1所描述的情況，但是無論通信的情況如何變化，集成式安全架構都可以很好的被應用于這些環境之中，因為集成式安全架構遵循了IMS業務觸發的標準原理，所以此安全架構具有以下特點:

1）從實現原理來看此安全架構不會破壞 IMS的整體架構，并且對IMS網絡中已有的呼叫控制類設備不會提出任何設計上的特殊更改，兼容性好。

2）對所有的業務媒體流落地點都適用，即在某次通信過程中終端設備、媒體網關、多媒體資源功能處理器（MRFP，Multimedia Resource Function Processor）都有可能會處理業務媒體流（例如會議業務），當需要對業務媒體流進行安全保護時，則可以通過此架構使業務媒體流落地點獲得此次通信所需的用于業務媒體流保護的安全資源。其中對于媒體網關而言安全資源是先通知到 MGCF上，再由MGCF通知給媒體網關；對于MRFP而言安全資源是先通知到MRFC上，再由MRFC通知給MRFP。

3）此安全架構使用了IMS中業務觸發的概念，此業務觸發既可以在為主叫服務的S-CSCF上進行，也可以在為被叫服務的S-CSCF上進行,至于如何選擇則可以根據用戶所訂購的各種業務需求下發合適的過濾規則到相應的S-CSCF上即可，也就是說可以把保護業務媒體流當作是一種安全業務，此安全業務可以和其它通信業務（如會議、一號通等）組合起來使用。

4）此安全架構將安全資源的攜帶融合在通信過程中，即使用通信本身需要交互的信令消息攜帶安全資源，不需要增加額外的開銷，所以對整個通信不會造成明顯的時延影響。

5）在此安全架構中使用SIP協議攜帶安全資源，其攜帶方式有多種，可使用消息頭或者消息體或者兩者結合的方式進行攜帶，設計者可以根據具體的應用情況選擇合適的攜帶方式。

5 結語

通過對基于IMS的集成式安全架構的介紹，此安全架構能夠很好地解決如何使用IMS業務控制層來支撐實現業務媒體流安全保護的問題，具有很強的實用性，可供在進行IMS網絡安全規劃設計和實施建設時參考。

[1]王勇,王丹,陳強,等.面向特殊領域的IMS網絡架構模型研究[J].通信技術,2011,44(12):62.

[2]周文,陳凱,張艷.SIP重定向攻擊實現及防范[J].信息安全與通信保密,2009(04):87.

[3]趙飛,趙化明.IMS網絡中多媒體彩鈴業務的研究與實現[J].通信技術,2011,44(07):111.