馮斐斐，盧根富

（1.國網(wǎng)寧夏電力有限公司信息通信公司，寧夏 銀川 750001；2.國網(wǎng)中衛(wèi)供電公司，寧夏 銀川 755000）

1 IMS的系統(tǒng)構(gòu)成

IMS可實(shí)現(xiàn)多種不同的功能，最常應(yīng)用的功能包括以下幾種：多媒體資源功能（MRF）、呼叫控制服務(wù)器（CSCF）、出口網(wǎng)關(guān)控制功能（BGCF）等[1]。其中，CSCF主要是為了實(shí)現(xiàn)呼叫網(wǎng)關(guān)，同時(shí)還包括路由選擇功能等；MGCF則可按照被叫號碼和具體的通話情況選取適合的CSCF，從而實(shí)現(xiàn)PSTN和MS二者間的呼叫轉(zhuǎn)換，并對IM-MGW進(jìn)行有效的控制；MRF可以劃分為MRFC和MRFP兩種不同的功能，MRFC主要是為了實(shí)現(xiàn)對媒體流的有效控制，而MRFP則具有一定的承載功能。

手機(jī)用戶可以利用GGSN完成IMS的網(wǎng)絡(luò)連接。針對IMS網(wǎng)絡(luò)而言，該設(shè)備主要是為了實(shí)現(xiàn)IP路由器的功能，將不同的用戶利用PS域進(jìn)行聯(lián)系。用戶設(shè)備介入有兩種不同的接入方式可供選擇，分別為WiFi和蜂窩技術(shù)，也可以選擇同時(shí)應(yīng)用這兩種接入方式。同樣也可以利用無線IP設(shè)備進(jìn)行操作。傳統(tǒng)PSTN網(wǎng)絡(luò)如果想要實(shí)現(xiàn)相互到達(dá)，一般需要利用不同的電路交換網(wǎng)關(guān)實(shí)現(xiàn)。

在IMS的系統(tǒng)框架中，需要通過SIP-AS來完成新服務(wù)器的部署。為了到達(dá)服務(wù)器，最開始應(yīng)用SIP來傳遞消息，然后通過S-CSCF對消息進(jìn)行識別同時(shí)判斷出具體的各項(xiàng)應(yīng)用需求，在應(yīng)用觸發(fā)機(jī)制的基礎(chǔ)上，通過對IFC進(jìn)行配置再將消息轉(zhuǎn)換至SIP-AS來完成操作。

2 IMS系統(tǒng)特點(diǎn)

2.1 網(wǎng)絡(luò)控制核心具有統(tǒng)一性

IMS通過CSCF統(tǒng)一實(shí)現(xiàn)不同用戶的會話處理、認(rèn)證鑒權(quán)等各項(xiàng)服務(wù)功能。和選取的接入方式?jīng)]有任何關(guān)聯(lián)，該技術(shù)對網(wǎng)絡(luò)組織進(jìn)行了精簡，減少了運(yùn)營管理的經(jīng)濟(jì)成本，同時(shí)為建立融合性的網(wǎng)絡(luò)架構(gòu)提供了良好的前提基礎(chǔ)，并且在一定程度上促進(jìn)了業(yè)務(wù)功能的提升[2]。

2.2 將客戶作為核心

在IMS系統(tǒng)中，HSS服務(wù)器是最關(guān)鍵的功能實(shí)體，該服務(wù)器可以對用戶服務(wù)的各種關(guān)聯(lián)性數(shù)據(jù)進(jìn)行有效存儲，包括用戶的真實(shí)身份信息、接入?yún)?shù)等。通過HSS可實(shí)現(xiàn)對用戶相關(guān)信息數(shù)據(jù)的統(tǒng)一管理，提高業(yè)務(wù)信息提供的有效性和靈活性，并且促進(jìn)了傳統(tǒng)以網(wǎng)絡(luò)作為核心基礎(chǔ)轉(zhuǎn)換為以客戶作為核心的技術(shù)手段的發(fā)展。

2.3 具有良好的安全性和可靠性

QoS、計(jì)費(fèi)等基于IP環(huán)境下，各種網(wǎng)絡(luò)運(yùn)營中存在的技術(shù)難題得到了不斷的調(diào)整和完善，可以提高運(yùn)營商對不同多媒體業(yè)務(wù)的有效控制能力。

3 IMS的主要應(yīng)用

3.1 移動網(wǎng)絡(luò)

此類應(yīng)用主要是運(yùn)營商為了豐富和擴(kuò)展網(wǎng)絡(luò)業(yè)務(wù)而設(shè)立的，根本目的是基于對移動網(wǎng)絡(luò)有效應(yīng)用的前提下通過IMS為用戶提供服務(wù)，如POC、視頻共享等。該應(yīng)用服務(wù)的重點(diǎn)在于為一些企業(yè)中的客戶提供IP CENTREX的系統(tǒng)性服務(wù)。

3.2 網(wǎng)絡(luò)演進(jìn)及業(yè)務(wù)服務(wù)

除了提供IP CENTREX服務(wù)，還包括針對固定寬帶用戶所提供的網(wǎng)絡(luò)電話服務(wù)。

3.3 通信網(wǎng)絡(luò)融合

通信網(wǎng)絡(luò)融合主要表現(xiàn)為WLAN與4G網(wǎng)絡(luò)的有機(jī)結(jié)合，完成連續(xù)性的用戶語音服務(wù)。應(yīng)用此種方式，用戶可以利用雙模終端實(shí)現(xiàn)網(wǎng)絡(luò)應(yīng)用，包括WLAN和WCDMA。在WLAN覆蓋范圍內(nèi)，主要是應(yīng)用WLAN接入為主，因?yàn)閃LAN的資費(fèi)較低，且各項(xiàng)數(shù)據(jù)業(yè)務(wù)比較完備。如果沒有處于WLAN覆蓋范圍內(nèi)，終端會自動接入至WCDMA中，從而確保語音業(yè)務(wù)的連續(xù)性。

4 IP多媒體子系統(tǒng)網(wǎng)絡(luò)安全問題分析

4.1 接入層

在接入層中，子系統(tǒng)終端出現(xiàn)的病毒感染極易產(chǎn)生蠕蟲擴(kuò)散等問題，情況嚴(yán)重時(shí)甚至?xí)棺酉到y(tǒng)終端完全被病毒掌控，進(jìn)而導(dǎo)致客戶信息被竊取。另外，畸形報(bào)文同樣會造成系統(tǒng)業(yè)務(wù)能力無法正常開展。

4.2 核心網(wǎng)

核心網(wǎng)絡(luò)將SBC作為接入點(diǎn)，不同的接入點(diǎn)和網(wǎng)絡(luò)的拒絕接受服務(wù)都將會對SBC造成嚴(yán)重威脅，同時(shí)“雪崩”效應(yīng)會直接致使SBC的功能喪失。攻擊者一般會通過已完成的通話，將其制造的仿制會話插入到通話中，然后利用仿冒授權(quán)等方法實(shí)現(xiàn)各種業(yè)務(wù)的盜用。

4.3 承載網(wǎng)

用戶一般需用應(yīng)用CMnet來接入到子系統(tǒng)中，易導(dǎo)致鏈路資源耗盡，從而對系統(tǒng)的總體服務(wù)質(zhì)量產(chǎn)生不良影響。攻擊者一般會通過路由獲取拓?fù)浣Y(jié)構(gòu)，從而對系統(tǒng)進(jìn)行精準(zhǔn)攻擊。

5 IMS安全問題的解決對策

5.1 用戶接入的相關(guān)安全要求

為了確保用戶接入安全，一般需要從以下內(nèi)容進(jìn)行安全操作：首先，用戶在接入時(shí)需要進(jìn)行認(rèn)證，用戶名通過IMPI確定，同時(shí)需要對invite、message等消息進(jìn)行digest鑒權(quán)。未來主要向AKA認(rèn)證方向發(fā)展，但是在過渡時(shí)期則以無卡方式為客戶提供相應(yīng)的服務(wù)，利用此種方式進(jìn)行終端密碼配置需要按照以下內(nèi)容進(jìn)行操作：針對SIP硬終端，通過軟key完成IMS的注冊，密碼需要以人工輸入的形式設(shè)置進(jìn)SIP話機(jī)。為了確保密碼的安全，需要和負(fù)責(zé)開通的工作人員簽署保密協(xié)議。密碼則存儲于SIP中并進(jìn)行加密，其硬終端系統(tǒng)可以對密碼訪問進(jìn)行有效的控制，避免密碼泄露。

POTS話機(jī)的接入設(shè)備通過軟key完成IMS的注冊，同時(shí)將密碼有效存儲于接入設(shè)備當(dāng)中。在開通密碼時(shí)需要利用支撐系統(tǒng)進(jìn)行遠(yuǎn)程操作，在修改密碼時(shí)應(yīng)通過加密模式完成傳輸，對于接入設(shè)備也需要進(jìn)行訪問設(shè)置，避免密碼泄露。PC客戶端的密碼主要分為：軟key和注冊密碼。一般PC客戶端會應(yīng)用軟key，在進(jìn)行登錄時(shí)需要通過portal認(rèn)證，但是該密碼保密程度較低，僅適用于保護(hù)免費(fèi)業(yè)務(wù)。IMS用戶在注冊時(shí)也會應(yīng)用軟key進(jìn)行鑒權(quán)，該密碼的保密程度較高，可以對PC客戶端的不同業(yè)務(wù)進(jìn)行鑒權(quán)。軟key可對客戶端指定的存儲區(qū)進(jìn)行嚴(yán)格加密和存儲，該存儲區(qū)需要對訪問進(jìn)行有效的控制和保護(hù)，在軟key開始運(yùn)算時(shí)，需要將干擾數(shù)據(jù)和進(jìn)程插入至內(nèi)存中，避免軟key泄密。完成注冊后，可以短信形式為用戶提供相應(yīng)的登錄信息和具體狀態(tài)。

一般建議在PC接入時(shí)，對相關(guān)信息需要進(jìn)行有效隔離的用戶通過VLAN完成信息的隔離。在SBC信令面和P-CSCF沒有進(jìn)行合設(shè)的條件下，IMS從傳輸至P-CSCF的難度較大，為了確保IMS在傳輸過程中的安全性，一般直接從終端將其傳輸至SBC安全區(qū)域。

5.2 接入層

IMS在應(yīng)用到PC客戶端之前需要安裝終端防毒軟件，同時(shí)對可能存在的病毒進(jìn)行全面查殺，可以在開機(jī)期間和客戶端軟件開啟時(shí)進(jìn)行協(xié)同操作。更新終端防毒軟件和后續(xù)的維護(hù)工作一般需要由用戶進(jìn)行自主操作和管理。集團(tuán)客戶如果需要接入鏈路，必須要安裝相應(yīng)的安全防護(hù)設(shè)備，包括IPS、防火墻等，此類設(shè)備可以實(shí)現(xiàn)攻擊檢測、數(shù)據(jù)過濾等，且支持畸形報(bào)文等。

5.3 核心網(wǎng)

SBC需要支持以下功能：信令防護(hù)、拓?fù)潆[藏以及流量防護(hù)等。其中，信令防護(hù)主要是完成非法SIP信令的有效控制和過濾。拓?fù)潆[藏則可以對via、route頭域中的IMS網(wǎng)元地址進(jìn)行刪除。流量防護(hù)可以對突然爆發(fā)的流量過載和拒絕服務(wù)攻擊等問題進(jìn)行有效防護(hù)，針對首次連接、已完成設(shè)置的連接等各種連接狀態(tài)提供對應(yīng)的服務(wù)。

5.4 承載網(wǎng)

在解決承載網(wǎng)中出現(xiàn)的安全問題時(shí)，一般需要通過以下內(nèi)容來完成。首先，將不同地區(qū)的IMS應(yīng)用IP專網(wǎng)來建立起MPLS VPN，IP專網(wǎng)需要對具體的安全策略進(jìn)行有效配置和落實(shí)。其次，在SBC和CMnet中設(shè)立防火墻，同時(shí)加強(qiáng)安全控制，從而對流量安全進(jìn)行有效監(jiān)管。在自建流控、惡意代碼檢測等系統(tǒng)中對IMS應(yīng)用進(jìn)行有效識別，同時(shí)通過白名單方式確保為用戶提供相關(guān)服務(wù)的總體質(zhì)量。最后，可在不同的SBC設(shè)備中利用包分析模式對比分析流量特征和內(nèi)容等，應(yīng)用安全清洗設(shè)備過濾病毒及攻擊。

6 結(jié) 論

近年來，人們對網(wǎng)絡(luò)信息安全的重視程度不斷提高。網(wǎng)絡(luò)融合程度的不斷提升和開放程度的加大，使得IP多媒體子系統(tǒng)承擔(dān)更大的安全風(fēng)險(xiǎn)問題。因此，主要從接入層、承載網(wǎng)等不同范圍的安全風(fēng)險(xiǎn)內(nèi)容進(jìn)行探討和分析，同時(shí)提出了有效的解決對策，希望為相關(guān)領(lǐng)域提供一定的參考。