淺談IP多媒體子系統網絡安全問題及解決對策

張健

【摘要】 本文主要介紹了IP多媒體子系統（IMS）網絡在接入層、核心網、承載網、用戶信息這四個方面所存在的安全風險，并針對這些安全問題提出了具體的解決對策以避免安全產品對IP多媒體子系統的業務造成影響。

【關鍵詞】 多媒體子系統 網絡 安全

一、IP多媒體子系統（IMS）網絡安全問題

1、接入層安全問題。存在于IP多媒體子系統終端的病毒感染會造成蠕蟲擴散和木馬感染，甚至會使得IP多媒體子系統終端在病毒控制下變為“僵尸”，客戶存儲于終端上的敏感信息也會有很大的可能被竊取?；螆笪膶K端的攻擊也會使得其業務能力逐漸喪失。以明文傳輸的SIP信令和媒體，在一定情況下也會遭受到竊取、篡改和刪除。

2、核心網安全問題。IP多媒體子系統的核心網絡是以會話邊緣控制器（SBC）為接入點的，各種接入和各種網絡的拒絕服務攻擊、畸形報文等都將對會話邊緣控制器造成威脅，“雪崩”效應也會導致會話邊緣控制器的失效。攻擊者可以利用已經結束的通化，將自己制造的會話插入已建立的會話中，以仿冒授權通信、繞開認證檢查的方式實現盜用業務的目的。劃分不嚴格的安全域也將會引起不同安全服務等級的服務訪問控制出現疏漏。

3、承載網安全問題。用戶接入IP多媒體子系統是通過CMnet接入的，這也導致了外部對鏈路資源耗盡的攻擊或鏈路資源被耗盡等情況極其容易引起IP多媒體子系統服務質量的下降。攻擊者會利用路由和應用層面的拓撲泄露獲得網絡的拓撲結構，進而向IP多媒體子系統發起準確的攻擊。

4、用戶信息安全問題。IP多媒體子系統涉及到眾多核心網元和提供各種業務的業務平臺，因此其涉及到十分復雜的安全管理問題，而安全管理過程中的任何疏漏都會引起非預期的安全問題。由于用戶信息在產生、流轉、使用和存儲等環節都比較復雜，因此用戶信息泄露存在著較多的薄弱點。用戶在使用IP多媒體子系統時還可能出現被欺騙和欺詐的風險。

二、IP多媒體子系統網絡安全問題解決對策

2.1接入層安全問題的解決對策

能夠及時查殺PC病毒的終端防毒軟件必須預置于IP多媒體子系統的PC客戶端中，例如，開機過程中和客戶端軟件啟動的過程中，終端防毒軟件可以與網絡側防病毒方案協同合作展開工作。至于終端病毒軟件的特征庫更新等維護工作，在原則上則由用戶自主進行管理。諸如防火墻、入侵防護系統之類的串入式安全防護設備也應部署于集團客戶接入鏈路，這類安全防護設備對于控制用戶訪問、過濾數據包內容特征、檢測攻擊等方面都有著重要作用，加載突發性病毒特征與畸形報文特征也在其支持范圍內。

2.2核心網安全問題的解決對策

會話邊緣控制器需支持以下功能：1）信令防護：提供SIP信令防火墻功能，并過濾包括畸形報文、關鍵字段、字段欺騙以及異常信令流程等形式的非法SIP信令。2）拓撲隱藏：會話邊緣控制器拓撲隱藏核心網時是面向用戶端的，SIP中的經由、記錄路由、路由、路徑、頭域中的IP多媒體子系統核心網元地址都能夠被刪除。3）流量防護：會話邊緣控制器能夠針對拒絕服務攻擊和突發流量過載現象進行防護，不同的QoS隊列通道也能夠被設置，為鏈接已經建立、鏈接重傳、首次連接等不同的連接狀態提供對應的服務質量保證。

2.3承載網安全問題的解決對策

1）專網承載：各地的IP多媒體子系統的核心控制層子網通過IP專網組成多協議標簽交換虛擬專用網絡之后，相關安全策略需在IP專網上進行配置和實施。2）承載層大流量監控。防火墻設備需在會話邊緣控制器與CMnet之間部署，此外，還需配置一定的安全控制策略以保證對流量的安全監控。3）自建流控系統、流量清洗系統、惡意代碼檢測系統及不良信息控制系統。正常IP多媒體子系統應用需在這些系統中被識別出來，QoS保證也應由這些系統以白名單的方式向重點用戶提供。4）通過包分析手段比對分析各會話邊緣控制器的設備，同時還要采用專業的安全清洗設備過濾業務流量中的病毒和攻擊。

2.4用戶信息安全問題的解決對策

1）采用TLS、IPSec等加密手段，對用戶接入鏈路上的信令進行加密操作，進而保證用戶信令安全。初期由于SBC與P-CSCF未合設，暫時無法啟動用戶端到SBC的加密手段。2）有針對性地保護用戶存儲在運營商的敏感信息，如通信和通話記錄、計費信息、客戶資料、電話簿等。對于信息的建立、儲存、流轉和操作，具備加密功能和嚴格的信息審計。3）所有IP多媒體子系統網元、業務系統都須納入安全管控平臺進行管理。

結束語：近些年，網絡與信息安全已經成為了國家、運營商、用戶三方都共同關注的問題。有效促進網絡融合能力和開放性大大提高的IP多媒體子系統目前也面臨著更加復雜的安全風險，對此，本文從接入層、核心網、承載網、用戶信息安全這四個方面的安全風險進行分析，提出了相應的解決策略，以期引起相關部門及運營商的關注。

參 考 文 獻

[1]李鴻彬.SIP網絡中入侵檢測與防御系統關鍵技術的研究[D].中國科學院研究生院（沈陽計算技術研究所），2012.

[2]才大壯.IMS接入側安全機制的研究與設計[D].中國科學院研究生院（沈陽計算技術研究所），2015.