IMS通信系統(tǒng)安全防護(hù)技術(shù)探究

朱彩虹

（國(guó)網(wǎng)湖南省電力有限公司 婁底供電分公司，湖南 婁底 417000）

0 引 言

IMS通信系統(tǒng)的最主要作用在于形成統(tǒng)一的業(yè)務(wù)呼叫控制和網(wǎng)絡(luò)融合業(yè)務(wù)。為了確保該系統(tǒng)的安全性，需采取不同類(lèi)型的安全措施。但是，IMS通信系統(tǒng)在實(shí)際應(yīng)用時(shí)會(huì)面臨一些問(wèn)題，如非法竊聽(tīng)問(wèn)題、業(yè)務(wù)盜用問(wèn)題以及計(jì)費(fèi)欺騙安全等[1]。此外，對(duì)于終端客戶(hù)來(lái)說(shuō)，該系統(tǒng)并沒(méi)有形成較為明確和嚴(yán)謹(jǐn)?shù)耐ㄐ艛?shù)據(jù)安全防護(hù)機(jī)制。因此，為了進(jìn)一步確保IMS通信系統(tǒng)的安全性，本文主要研究有關(guān)IMS通信系統(tǒng)安全方面的相應(yīng)內(nèi)容，希望能夠?yàn)镮MS通信系統(tǒng)防護(hù)提供參考。

1 IMS通信系統(tǒng)防護(hù)總體框架

1.1 基本設(shè)計(jì)思路和原則

第一，IMS系統(tǒng)安全防護(hù)需要在原有架構(gòu)和協(xié)議基礎(chǔ)上，可以兼容標(biāo)準(zhǔn)IMS機(jī)制和流程，即通用型IMS終端和專(zhuān)用型IMS終端可以接入系統(tǒng)。第二，IMS系統(tǒng)主要是利用算法強(qiáng)度和增加協(xié)議字段等方式進(jìn)行安全認(rèn)證，實(shí)施中可以按照原有標(biāo)準(zhǔn)安全認(rèn)證流程進(jìn)行。第三，可以利用集成方式分發(fā)端通信安全保護(hù)參數(shù)，集中處理IMS系統(tǒng)中用戶(hù)端通信的安全防護(hù)問(wèn)題，從而進(jìn)一步增強(qiáng)媒體通信安全防護(hù)時(shí)效性。第四，系統(tǒng)主要利用安全防護(hù)參數(shù)管理設(shè)備和IMS系統(tǒng)標(biāo)準(zhǔn)化業(yè)務(wù)來(lái)進(jìn)行系統(tǒng)控制，其中安全防護(hù)參數(shù)管理設(shè)備和IMS系統(tǒng)呼叫控制實(shí)體相互配合來(lái)工作，能夠管理和分發(fā)每個(gè)終端的安全防護(hù)參數(shù)。

1.2 IMS通信系統(tǒng)安全防護(hù)框架

IMS通信系統(tǒng)的安全防護(hù)框架，如圖1所示。第一，保證用戶(hù)和網(wǎng)絡(luò)間的相互鑒權(quán)，確保用戶(hù)在接入網(wǎng)絡(luò)過(guò)程中的基本安全防護(hù)，包括身份和鑒權(quán)等。第二，要確保終端和P-CSCF之間的有效安全連接，以實(shí)現(xiàn)終端和CSCF設(shè)備之間的協(xié)議安全防護(hù)。第三，能夠確保IMS通信系統(tǒng)中各實(shí)體通信的有效防護(hù)和安全性。第四，確保IMS通信系統(tǒng)管理域邊界防護(hù)的有效性和安全性。第五，確保安全防護(hù)參數(shù)管理設(shè)備和IMS通信控制系統(tǒng)的有效銜接和安全控制。第六，確保UE間端到媒體流的安全性。

圖1 IMS系統(tǒng)安全防護(hù)框架

2 IMS通信系統(tǒng)安全防護(hù)技術(shù)分析

2.1 設(shè)備層的安全防護(hù)

2.1.1 操作系統(tǒng)方面的安全性

安裝操作系統(tǒng)時(shí)會(huì)默認(rèn)安裝大量相關(guān)服務(wù)和組件，但是其中某些服務(wù)和組件都是實(shí)際業(yè)務(wù)不需要的。為了進(jìn)一步提升整個(gè)系統(tǒng)的安全性，需要對(duì)操作系統(tǒng)實(shí)施必要的減量，即在滿(mǎn)足基本業(yè)務(wù)的基礎(chǔ)上去掉不必要的服務(wù)和組件。

操作系統(tǒng)在安裝相應(yīng)單板過(guò)程中需要按照不同的類(lèi)型去掉不同的內(nèi)容，其中OMU單板安裝時(shí)可以將非必要服務(wù)和組件（如bootcycle、bootsplash以及yast2等）去掉。對(duì)于其他處理器單板來(lái)說(shuō)，需要在OMU單板安裝的基礎(chǔ)上將dhcp-server和expect服務(wù)等業(yè)務(wù)去掉。為了防止非法訪(fǎng)問(wèn)，操作系統(tǒng)要實(shí)施較為嚴(yán)格的權(quán)限防控，重點(diǎn)針對(duì)用戶(hù)分組管理、賬戶(hù)分權(quán)分域管理、賬號(hào)密碼安全策略、目錄和文件權(quán)限管理以及鑒權(quán)認(rèn)證等來(lái)進(jìn)行防控[2]。為了控制具體的訪(fǎng)問(wèn)進(jìn)程，系統(tǒng)需要采取進(jìn)程權(quán)能控制機(jī)制來(lái)去除相關(guān)進(jìn)程的非必要權(quán)限（如系統(tǒng)默認(rèn)給snmp_mgr進(jìn)程賦予了綁定小于1 024的端口權(quán)限）。為了進(jìn)一步確保操作系統(tǒng)安全性，工作人員需要加強(qiáng)日志方面的管理，建立更加完善的管理策略，如逐漸完善日志集中管理機(jī)制，通過(guò)中央日志服務(wù)器集中性管理日志，從而降低日志查詢(xún)繁復(fù)性，確保一旦某臺(tái)計(jì)算機(jī)受到攻擊能夠及時(shí)、快速地對(duì)攻擊信息進(jìn)行追蹤。同時(shí)，系統(tǒng)會(huì)定期（一般每天進(jìn)行）備份操作日志，為后續(xù)應(yīng)用做好儲(chǔ)備。

2.1.2 數(shù)據(jù)庫(kù)的安全性

數(shù)據(jù)庫(kù)對(duì)于IMS通信系統(tǒng)的安全性至關(guān)重要。為了進(jìn)一步增強(qiáng)數(shù)據(jù)庫(kù)的工作性能和保證數(shù)據(jù)庫(kù)安全性，要按照具體應(yīng)用情況對(duì)數(shù)據(jù)庫(kù)實(shí)施相應(yīng)裁剪，即在數(shù)據(jù)庫(kù)安裝過(guò)程中最大程度縮減非必要業(yè)務(wù)需要，提升數(shù)據(jù)庫(kù)的安全性，確保數(shù)據(jù)庫(kù)能夠滿(mǎn)足IMS通信的需要。數(shù)據(jù)庫(kù)安裝時(shí)要盡可能減少非必要插件的安裝量，避免非必要組件可能存在的安全性漏洞。為了確保數(shù)據(jù)庫(kù)系統(tǒng)的正常運(yùn)行，保證數(shù)據(jù)的安全性和可靠性，避免數(shù)據(jù)被修改，可以采取數(shù)據(jù)加密策略。一方面，可以通過(guò)不可逆安全散列算法對(duì)系統(tǒng)賬號(hào)和密碼等實(shí)施加密性存儲(chǔ)。另一方面，可以通過(guò)高級(jí)加密標(biāo)準(zhǔn)算法對(duì)網(wǎng)元數(shù)據(jù)導(dǎo)出文件實(shí)施加密性存儲(chǔ)，避免這些文件外泄造成業(yè)務(wù)數(shù)據(jù)發(fā)生泄露。

2.2 網(wǎng)絡(luò)層安全防護(hù)

IMS通信系統(tǒng)可以通過(guò)縱深防御的方式來(lái)確保網(wǎng)絡(luò)層的安全性。具體實(shí)施時(shí)，可以在IMS網(wǎng)絡(luò)對(duì)外接口位置設(shè)置智能比特率控制（Smart Bitrate Control，SBC）和防火墻，將其當(dāng)作IMS網(wǎng)絡(luò)的首道防線(xiàn)。另外，ACL配置能夠過(guò)濾不相關(guān)報(bào)文，有效避免外部網(wǎng)絡(luò)的不同攻擊，包括畸形報(bào)文、網(wǎng)絡(luò)偵探攻擊以及DoS/DDoS攻擊等[3]。因?yàn)镮MS網(wǎng)絡(luò)結(jié)構(gòu)相對(duì)復(fù)雜，所有遵照ITU E.408通信安全區(qū)劃分的基本原則，以安全目標(biāo)和安全需求作為基本依據(jù)對(duì)IMS網(wǎng)絡(luò)進(jìn)行區(qū)域劃分。每一個(gè)安全區(qū)域內(nèi)部的網(wǎng)元具有同樣的安全等級(jí)。

對(duì)于IMS通信系統(tǒng)來(lái)說(shuō)，為了能夠最大程度控制安全問(wèn)題的影響范圍，可以通過(guò)數(shù)據(jù)通信網(wǎng)來(lái)承載IMS的相關(guān)業(yè)務(wù)。在已有數(shù)據(jù)通信網(wǎng)基礎(chǔ)上設(shè)置IMS VPN業(yè)務(wù)類(lèi)型，不僅能夠?qū)崿F(xiàn)當(dāng)?shù)睾涂鐓^(qū)域IMS信令和相關(guān)業(yè)務(wù)，還可以利用VPN和VLAN來(lái)分割不同的安全區(qū)業(yè)務(wù)。按照每個(gè)地區(qū)PE上聯(lián)骨干網(wǎng)出口總帶寬利用率的具體情況，在PE接入端口實(shí)施隊(duì)列調(diào)度，能夠確保IMS VPN數(shù)據(jù)流實(shí)施較高的等級(jí)隊(duì)列，從而得到更具針對(duì)性的相關(guān)指標(biāo)，包括時(shí)延和抖動(dòng)保障等。另外，需要對(duì)安全性無(wú)法保障的傳輸網(wǎng)絡(luò)IPSec隧道進(jìn)行加密。現(xiàn)階段來(lái)看，防火墻和SBC等都可以實(shí)現(xiàn)IPSec隧道加密，所實(shí)現(xiàn)的傳輸加密情況如圖2所示。

圖2 IP傳輸加密

2.3 安全區(qū)劃分

參照ITU E.408通信安全區(qū)劃分基本原則、IMS網(wǎng)絡(luò)不同網(wǎng)元主體以及安全目標(biāo)等劃分IMS網(wǎng)絡(luò)，以形成不同的邏輯區(qū)域。每一個(gè)區(qū)域的網(wǎng)絡(luò)都具有同樣的安全防護(hù)屬性，同時(shí)具有較高等級(jí)的信任關(guān)聯(lián)和相同的邊界安全控制策略。總的來(lái)說(shuō)，按照信任程度差異可以將邏輯區(qū)域分成信任區(qū)、非信任區(qū)以及半信任區(qū)等不同類(lèi)型[4]。

第一，信任區(qū)。處在該區(qū)域的設(shè)備具有較高信任度，設(shè)備數(shù)據(jù)無(wú)需實(shí)施審核。若是IMS承載網(wǎng)采用專(zhuān)網(wǎng)或者專(zhuān)用VPN，可以將IMS系統(tǒng)的核心區(qū)域作為信任區(qū)。此區(qū)域并不用通過(guò)攻擊防護(hù)設(shè)備對(duì)其實(shí)施控制。

第二，非信任區(qū)。處在該區(qū)域的設(shè)備完全不具有信任度。為了保證安全性，這些設(shè)備的進(jìn)出數(shù)據(jù)流都要實(shí)施必要的控制和過(guò)濾。對(duì)于IMS核心區(qū)域來(lái)說(shuō)，全部外部網(wǎng)絡(luò)都要作為非信任區(qū)進(jìn)行設(shè)置。若是IMS核心區(qū)域要和此區(qū)域連通，要在互通邊界設(shè)置相應(yīng)的防護(hù)設(shè)備來(lái)保證安全性。

第三，半信任區(qū)。該區(qū)域設(shè)置的主要目的是有效處理防火墻設(shè)置后外網(wǎng)無(wú)法訪(fǎng)問(wèn)IMS內(nèi)網(wǎng)的相應(yīng)問(wèn)題。此區(qū)域主要處在信任區(qū)和非信任區(qū)之間，處在IMS內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)范圍之內(nèi)。為了確保安全性，可以在這些區(qū)域設(shè)置相應(yīng)的服務(wù)器等設(shè)施，然后通過(guò)這些設(shè)施的前部接口和公用網(wǎng)絡(luò)、IMS核心域網(wǎng)絡(luò)內(nèi)網(wǎng)元連接。另外，雖然處在該區(qū)域的設(shè)備設(shè)置在IMS內(nèi)部網(wǎng)絡(luò)，但是也要連接IMS外部網(wǎng)絡(luò)，容易產(chǎn)生安全問(wèn)題。為了提升安全性，需要在IMS核心域網(wǎng)絡(luò)相關(guān)聯(lián)位置設(shè)置攻擊防護(hù)設(shè)備。

按照相應(yīng)準(zhǔn)則，將IMS核心區(qū)域網(wǎng)絡(luò)分成不同安全區(qū)，并且利用VLAN或者防火墻等對(duì)相應(yīng)安全區(qū)實(shí)施隔離。通過(guò)此種設(shè)置方式能夠在出現(xiàn)安全問(wèn)題時(shí)最大程度降低損失。IMS核心區(qū)域安全劃分情況。網(wǎng)絡(luò)設(shè)置一定要充分考量IMS核心域網(wǎng)絡(luò)安全區(qū)分割的具體情況，在每?jī)蓚€(gè)區(qū)之間設(shè)置SBC和防火墻來(lái)實(shí)現(xiàn)安全防護(hù)，同時(shí)設(shè)置防TCP/IP攻擊和開(kāi)啟ACL等功能避免IMS核心區(qū)域受到外部網(wǎng)絡(luò)影響。

3 結(jié) 論

隨著IMS通信系統(tǒng)應(yīng)用的日益廣泛，該系統(tǒng)的安全性得到了人們的普遍關(guān)注。本文主要從設(shè)備層防護(hù)、網(wǎng)絡(luò)層防護(hù)以及安全區(qū)劃分等方面闡述IMS通信系統(tǒng)安全防護(hù)技術(shù)內(nèi)容，能夠?yàn)樵撓到y(tǒng)的現(xiàn)實(shí)應(yīng)用提供參考和幫助，促進(jìn)IMS系統(tǒng)的進(jìn)一步發(fā)展。