淺談IP多媒體子系統(tǒng)網(wǎng)絡(luò)安全問題及解決對策

張健

【摘要】 本文主要介紹了IP多媒體子系統(tǒng)（IMS）網(wǎng)絡(luò)在接入層、核心網(wǎng)、承載網(wǎng)、用戶信息這四個方面所存在的安全風(fēng)險，并針對這些安全問題提出了具體的解決對策以避免安全產(chǎn)品對IP多媒體子系統(tǒng)的業(yè)務(wù)造成影響。

【關(guān)鍵詞】 多媒體子系統(tǒng) 網(wǎng)絡(luò) 安全

一、IP多媒體子系統(tǒng)（IMS）網(wǎng)絡(luò)安全問題

1、接入層安全問題。存在于IP多媒體子系統(tǒng)終端的病毒感染會造成蠕蟲擴散和木馬感染，甚至?xí)沟肐P多媒體子系統(tǒng)終端在病毒控制下變?yōu)椤敖┦?，客戶存儲于終端上的敏感信息也會有很大的可能被竊取?；螆笪膶K端的攻擊也會使得其業(yè)務(wù)能力逐漸喪失。以明文傳輸?shù)腟IP信令和媒體，在一定情況下也會遭受到竊取、篡改和刪除。

2、核心網(wǎng)安全問題。IP多媒體子系統(tǒng)的核心網(wǎng)絡(luò)是以會話邊緣控制器（SBC）為接入點的，各種接入和各種網(wǎng)絡(luò)的拒絕服務(wù)攻擊、畸形報文等都將對會話邊緣控制器造成威脅，“雪崩”效應(yīng)也會導(dǎo)致會話邊緣控制器的失效。攻擊者可以利用已經(jīng)結(jié)束的通化，將自己制造的會話插入已建立的會話中，以仿冒授權(quán)通信、繞開認(rèn)證檢查的方式實現(xiàn)盜用業(yè)務(wù)的目的。劃分不嚴(yán)格的安全域也將會引起不同安全服務(wù)等級的服務(wù)訪問控制出現(xiàn)疏漏。

3、承載網(wǎng)安全問題。用戶接入IP多媒體子系統(tǒng)是通過CMnet接入的，這也導(dǎo)致了外部對鏈路資源耗盡的攻擊或鏈路資源被耗盡等情況極其容易引起IP多媒體子系統(tǒng)服務(wù)質(zhì)量的下降。攻擊者會利用路由和應(yīng)用層面的拓?fù)湫孤东@得網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，進而向IP多媒體子系統(tǒng)發(fā)起準(zhǔn)確的攻擊。

4、用戶信息安全問題。IP多媒體子系統(tǒng)涉及到眾多核心網(wǎng)元和提供各種業(yè)務(wù)的業(yè)務(wù)平臺，因此其涉及到十分復(fù)雜的安全管理問題，而安全管理過程中的任何疏漏都會引起非預(yù)期的安全問題。由于用戶信息在產(chǎn)生、流轉(zhuǎn)、使用和存儲等環(huán)節(jié)都比較復(fù)雜，因此用戶信息泄露存在著較多的薄弱點。用戶在使用IP多媒體子系統(tǒng)時還可能出現(xiàn)被欺騙和欺詐的風(fēng)險。

二、IP多媒體子系統(tǒng)網(wǎng)絡(luò)安全問題解決對策

2.1接入層安全問題的解決對策

能夠及時查殺PC病毒的終端防毒軟件必須預(yù)置于IP多媒體子系統(tǒng)的PC客戶端中，例如，開機過程中和客戶端軟件啟動的過程中，終端防毒軟件可以與網(wǎng)絡(luò)側(cè)防病毒方案協(xié)同合作展開工作。至于終端病毒軟件的特征庫更新等維護工作，在原則上則由用戶自主進行管理。諸如防火墻、入侵防護系統(tǒng)之類的串入式安全防護設(shè)備也應(yīng)部署于集團客戶接入鏈路，這類安全防護設(shè)備對于控制用戶訪問、過濾數(shù)據(jù)包內(nèi)容特征、檢測攻擊等方面都有著重要作用，加載突發(fā)性病毒特征與畸形報文特征也在其支持范圍內(nèi)。

2.2核心網(wǎng)安全問題的解決對策

會話邊緣控制器需支持以下功能：1）信令防護：提供SIP信令防火墻功能，并過濾包括畸形報文、關(guān)鍵字段、字段欺騙以及異常信令流程等形式的非法SIP信令。2）拓?fù)潆[藏：會話邊緣控制器拓?fù)潆[藏核心網(wǎng)時是面向用戶端的，SIP中的經(jīng)由、記錄路由、路由、路徑、頭域中的IP多媒體子系統(tǒng)核心網(wǎng)元地址都能夠被刪除。3）流量防護：會話邊緣控制器能夠針對拒絕服務(wù)攻擊和突發(fā)流量過載現(xiàn)象進行防護，不同的QoS隊列通道也能夠被設(shè)置，為鏈接已經(jīng)建立、鏈接重傳、首次連接等不同的連接狀態(tài)提供對應(yīng)的服務(wù)質(zhì)量保證。

2.3承載網(wǎng)安全問題的解決對策

1）專網(wǎng)承載：各地的IP多媒體子系統(tǒng)的核心控制層子網(wǎng)通過IP專網(wǎng)組成多協(xié)議標(biāo)簽交換虛擬專用網(wǎng)絡(luò)之后，相關(guān)安全策略需在IP專網(wǎng)上進行配置和實施。2）承載層大流量監(jiān)控。防火墻設(shè)備需在會話邊緣控制器與CMnet之間部署，此外，還需配置一定的安全控制策略以保證對流量的安全監(jiān)控。3）自建流控系統(tǒng)、流量清洗系統(tǒng)、惡意代碼檢測系統(tǒng)及不良信息控制系統(tǒng)。正常IP多媒體子系統(tǒng)應(yīng)用需在這些系統(tǒng)中被識別出來，QoS保證也應(yīng)由這些系統(tǒng)以白名單的方式向重點用戶提供。4）通過包分析手段比對分析各會話邊緣控制器的設(shè)備，同時還要采用專業(yè)的安全清洗設(shè)備過濾業(yè)務(wù)流量中的病毒和攻擊。

2.4用戶信息安全問題的解決對策

1）采用TLS、IPSec等加密手段，對用戶接入鏈路上的信令進行加密操作，進而保證用戶信令安全。初期由于SBC與P-CSCF未合設(shè)，暫時無法啟動用戶端到SBC的加密手段。2）有針對性地保護用戶存儲在運營商的敏感信息，如通信和通話記錄、計費信息、客戶資料、電話簿等。對于信息的建立、儲存、流轉(zhuǎn)和操作，具備加密功能和嚴(yán)格的信息審計。3）所有IP多媒體子系統(tǒng)網(wǎng)元、業(yè)務(wù)系統(tǒng)都須納入安全管控平臺進行管理。

結(jié)束語：近些年，網(wǎng)絡(luò)與信息安全已經(jīng)成為了國家、運營商、用戶三方都共同關(guān)注的問題。有效促進網(wǎng)絡(luò)融合能力和開放性大大提高的IP多媒體子系統(tǒng)目前也面臨著更加復(fù)雜的安全風(fēng)險，對此，本文從接入層、核心網(wǎng)、承載網(wǎng)、用戶信息安全這四個方面的安全風(fēng)險進行分析，提出了相應(yīng)的解決策略，以期引起相關(guān)部門及運營商的關(guān)注。

參 考 文 獻

[1]李鴻彬.SIP網(wǎng)絡(luò)中入侵檢測與防御系統(tǒng)關(guān)鍵技術(shù)的研究[D].中國科學(xué)院研究生院（沈陽計算技術(shù)研究所），2012.

[2]才大壯.IMS接入側(cè)安全機制的研究與設(shè)計[D].中國科學(xué)院研究生院（沈陽計算技術(shù)研究所），2015.