淺析IMS網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及策略部署

淺析IMS網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及策略部署IMS(IPMultimediaSubsystem)是IP多媒體子系統(tǒng)，主要基于IP協(xié)議和開放的網(wǎng)絡(luò)架構(gòu)，將語音、數(shù)據(jù)和多媒體等不同業(yè)務(wù)，通過不同的接入方式來實(shí)現(xiàn)共享的業(yè)務(wù)平臺，從而有效的增加網(wǎng)絡(luò)和終端之間的互通性。也使得運(yùn)營商對IMS網(wǎng)絡(luò)的安全性有了更高的要求。IMS被認(rèn)為是下一代網(wǎng)絡(luò)的核心技術(shù)，也是解決移動(dòng)網(wǎng)絡(luò)與固網(wǎng)融合，并引入差異化通信業(yè)務(wù)的重要方式。IMS網(wǎng)絡(luò)的體系結(jié)構(gòu)分為業(yè)務(wù)層、控制層和鏈接層。業(yè)務(wù)層由內(nèi)容和應(yīng)用服務(wù)器組成；控制層由網(wǎng)絡(luò)控制SIP服務(wù)器組成；連接層由用于骨干網(wǎng)和接入網(wǎng)的路由器及交換機(jī)組成。由于IMS網(wǎng)絡(luò)架構(gòu)的網(wǎng)元都是基于IP網(wǎng)絡(luò)的，繼承IP網(wǎng)絡(luò)的脆弱性，在一定程度上增加網(wǎng)絡(luò)的潛在威脅。1.1IMS安全問題的由來1.開放網(wǎng)絡(luò)：因IMS網(wǎng)絡(luò)在實(shí)際形態(tài)上具有一定的開放性，而互聯(lián)中的網(wǎng)絡(luò)、設(shè)備以及相關(guān)技術(shù)在標(biāo)準(zhǔn)上存在明顯的差異[1]。這就造成基于SIP的會話控制協(xié)議所存在的漏洞和基于IP的相關(guān)信息類型都會面臨不同程度的安全隱患。2.業(yè)務(wù)融合：眾所周知，IMS是具有相關(guān)業(yè)務(wù)的繼承。特別是在IP網(wǎng)絡(luò)中開展相關(guān)的融合業(yè)務(wù)應(yīng)用，使其面臨較為復(fù)雜的業(yè)務(wù)邏輯。1.2IMS安全威脅類型1.攻擊破壞：主要是指IMS網(wǎng)絡(luò)中相關(guān)信息和資源遭受到攻擊和破壞。比如，以蓄意行為而發(fā)送錯(cuò)誤來破壞路由尋址和相關(guān)交互信息。這種情況，在一定程度上影響相關(guān)控制信令在路由器中運(yùn)轉(zhuǎn)的穩(wěn)定性。2.偽裝篡改：主要表現(xiàn)在一些偽裝合法用戶和服務(wù)器身份，來對IMS網(wǎng)絡(luò)中的相關(guān)信息和數(shù)據(jù)進(jìn)行重定向和篡改[2]。這直接導(dǎo)致有關(guān)計(jì)算和交易等系統(tǒng)處于非正常操作運(yùn)行狀態(tài)。3.干擾濫用：由于IMS網(wǎng)絡(luò)是基于IP網(wǎng)絡(luò)，與電信網(wǎng)絡(luò)相比，更容易受到拒絕式服務(wù)的干擾和攻擊。在這其中，一些攻擊者會通過虛假地址來向SIP服務(wù)器發(fā)出大量的請求。進(jìn)而使得相關(guān)業(yè)務(wù)系統(tǒng)所具有的可用性急劇下降。由于IMS網(wǎng)絡(luò)系統(tǒng)在安全策略上比較復(fù)雜。專業(yè)人員需根據(jù)各個(gè)系統(tǒng)的差異，以針對性的形式研究IMS網(wǎng)絡(luò)安全策略部署。2.1IMS網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)的安全對策IMS網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)包括四個(gè)模塊，分別是IMS控制模塊、IMSAS模塊、IMS媒體模塊和IMSHSS數(shù)據(jù)模塊?？梢圆捎靡韵掳踩珜Σ撸?.在IMS網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)中，采用專網(wǎng)VPN設(shè)計(jì)。從而有效保證網(wǎng)絡(luò)的保密性[3]。同時(shí)，專業(yè)人員根據(jù)保密等級不同設(shè)置不同的安全策略。2.對系統(tǒng)四個(gè)模塊的安全域和數(shù)據(jù)庫的訪問按照相關(guān)安全要求進(jìn)行用戶信息鑒權(quán)，必須對高保密區(qū)域中的資源訪問權(quán)限和角色予以嚴(yán)格的鑒定。3.在整個(gè)業(yè)務(wù)系統(tǒng)中全面部署相關(guān)的防病毒服務(wù)器和入侵檢測系統(tǒng)，與此同時(shí)，專業(yè)人員還要及時(shí)對病毒和木馬庫進(jìn)行更新。2.2IMS網(wǎng)絡(luò)用戶系統(tǒng)的安全對策IMS網(wǎng)絡(luò)用戶系統(tǒng)涉及到不同的業(yè)務(wù)流，是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的入口?？梢圆捎靡韵掳踩珜Σ撸?.在語音、數(shù)據(jù)、多媒體等業(yè)務(wù)數(shù)據(jù)流方面，通過對DMZ的設(shè)置來分離安全域。同時(shí)，借助業(yè)務(wù)終端以專用VPN的方式將其接入業(yè)務(wù)平臺。2.對不同接入方式和數(shù)據(jù)流向的業(yè)務(wù)需予以雙向認(rèn)證。在認(rèn)證技術(shù)上，專業(yè)人員可選擇PKI/CA或IBC等相關(guān)認(rèn)證技術(shù)。3.對用戶終端可借助SSL和VPN融合的方式予以接入。同時(shí)，專業(yè)人員需對相關(guān)業(yè)務(wù)數(shù)據(jù)和消息進(jìn)行加密2.3IMS網(wǎng)絡(luò)承載系統(tǒng)的安全對策IMS網(wǎng)絡(luò)承載系統(tǒng)存在網(wǎng)絡(luò)封閉性等問題，專業(yè)人員可采用以下安全對策：1.在承載網(wǎng)絡(luò)上可采用VPN專網(wǎng)通道，一定程度上隔離控制和媒體的流量。2.按照安全策略標(biāo)準(zhǔn)對可信路這個(gè)部分，經(jīng)過驗(yàn)證、過濾和加密等步驟來保證網(wǎng)絡(luò)穩(wěn)定性。3.加強(qiáng)對控制信息流量的監(jiān)測，并設(shè)置策略進(jìn)行合理的速率控制。從而有效避免惡意流量的沖擊。4.積極部署異構(gòu)防火墻和防病毒系統(tǒng)，以此來對相關(guān)業(yè)務(wù)實(shí)體和系統(tǒng)的安全進(jìn)行防護(hù)。5.在IP承載網(wǎng)的網(wǎng)管系統(tǒng)中，專業(yè)人員可通過帶外管理的方式，來將該網(wǎng)絡(luò)與基礎(chǔ)網(wǎng)絡(luò)進(jìn)行有效