论文部分内容阅读
【摘要】 本文主要介绍了IP多媒体子系统(IMS)网络在接入层、核心网、承载网、用户信息这四个方面所存在的安全风险,并针对这些安全问题提出了具体的解决对策以避免安全产品对IP多媒体子系统的业务造成影响。
【关键词】 多媒体子系统 网络 安全
一、IP多媒体子系统(IMS)网络安全问题
1、接入层安全问题。存在于IP多媒体子系统终端的病毒感染会造成蠕虫扩散和木马感染,甚至会使得IP多媒体子系统终端在病毒控制下变为“僵尸”,客户存储于终端上的敏感信息也会有很大的可能被窃取。畸形报文对终端的攻击也会使得其业务能力逐渐丧失。以明文传输的SIP信令和媒体,在一定情况下也会遭受到窃取、篡改和删除。
2、核心网安全问题。IP多媒体子系统的核心网络是以会话边缘控制器(SBC)为接入点的,各种接入和各种网络的拒绝服务攻击、畸形报文等都将对会话边缘控制器造成威胁,“雪崩”效应也会导致会话边缘控制器的失效。攻击者可以利用已经结束的通化,将自己制造的会话插入已建立的会话中,以仿冒授权通信、绕开认证检查的方式实现盗用业务的目的。划分不严格的安全域也将会引起不同安全服务等级的服务访问控制出现疏漏。
3、承载网安全问题。用户接入IP多媒体子系统是通过CMnet接入的,这也导致了外部对链路资源耗尽的攻击或链路资源被耗尽等情况极其容易引起IP多媒体子系统服务质量的下降。攻击者会利用路由和应用层面的拓扑泄露获得网络的拓扑结构,进而向IP多媒体子系统发起准确的攻击。
4、用户信息安全问题。IP多媒体子系统涉及到众多核心网元和提供各种业务的业务平台,因此其涉及到十分复杂的安全管理问题,而安全管理过程中的任何疏漏都会引起非预期的安全问题。由于用户信息在产生、流转、使用和存储等环节都比较复杂,因此用户信息泄露存在着较多的薄弱点。用户在使用IP多媒体子系统时还可能出现被欺骗和欺诈的风险。
二、IP多媒体子系统网络安全问题解决对策
2.1接入层安全问题的解决对策
能够及时查杀PC病毒的终端防毒软件必须预置于IP多媒体子系统的PC客户端中,例如,开机过程中和客户端软件启动的过程中,终端防毒软件可以与网络侧防病毒方案协同合作展开工作。至于终端病毒软件的特征库更新等维护工作,在原则上则由用户自主进行管理。诸如防火墙、入侵防护系统之类的串入式安全防护设备也应部署于集团客户接入链路,这类安全防护设备对于控制用户访问、过滤数据包内容特征、检测攻击等方面都有着重要作用,加载突发性病毒特征与畸形报文特征也在其支持范围内。
2.2核心网安全问题的解决对策
会话边缘控制器需支持以下功能:1)信令防护:提供SIP信令防火墙功能,并过滤包括畸形报文、关键字段、字段欺骗以及异常信令流程等形式的非法SIP信令。2)拓扑隐藏:会话边缘控制器拓扑隐藏核心网时是面向用户端的,SIP中的经由、记录路由、路由、路径、头域中的IP多媒体子系统核心网元地址都能够被删除。3)流量防护:会话边缘控制器能够针对拒绝服务攻击和突发流量过载现象进行防护,不同的QoS队列通道也能够被设置,为链接已经建立、链接重传、首次连接等不同的连接状态提供对应的服务质量保证。
2.3承载网安全问题的解决对策
1)专网承载:各地的IP多媒体子系统的核心控制层子网通过IP专网组成多协议标签交换虚拟专用网络之后,相关安全策略需在IP专网上进行配置和实施。2)承载层大流量监控。防火墙设备需在会话边缘控制器与CMnet之间部署,此外,还需配置一定的安全控制策略以保证对流量的安全监控。3)自建流控系统、流量清洗系统、恶意代码检测系统及不良信息控制系统。正常IP多媒体子系统应用需在这些系统中被识别出来,QoS保证也应由这些系统以白名单的方式向重点用户提供。4)通过包分析手段比对分析各会话边缘控制器的设备,同时还要采用专业的安全清洗设备过滤业务流量中的病毒和攻击。
2.4用户信息安全问题的解决对策
1)采用TLS、IPSec等加密手段,对用户接入链路上的信令进行加密操作,进而保证用户信令安全。初期由于SBC与P-CSCF未合设,暂时无法启动用户端到SBC的加密手段。2)有针对性地保护用户存储在运营商的敏感信息,如通信和通话记录、计费信息、客户资料、电话簿等。对于信息的建立、储存、流转和操作,具备加密功能和严格的信息审计。3)所有IP多媒体子系统网元、业务系统都须纳入安全管控平台进行管理。
结束语:近些年,网络与信息安全已经成为了国家、运营商、用户三方都共同关注的问题。有效促进网络融合能力和开放性大大提高的IP多媒体子系统目前也面临着更加复杂的安全风险,对此,本文从接入层、核心网、承载网、用户信息安全这四个方面的安全风险进行分析,提出了相应的解决策略,以期引起相关部门及运营商的关注。
参 考 文 献
[1]李鸿彬.SIP网络中入侵检测与防御系统关键技术的研究[D].中国科学院研究生院(沈阳计算技术研究所),2012.
[2]才大壮.IMS接入侧安全机制的研究与设计[D].中国科学院研究生院(沈阳计算技术研究所),2015.
【关键词】 多媒体子系统 网络 安全
一、IP多媒体子系统(IMS)网络安全问题
1、接入层安全问题。存在于IP多媒体子系统终端的病毒感染会造成蠕虫扩散和木马感染,甚至会使得IP多媒体子系统终端在病毒控制下变为“僵尸”,客户存储于终端上的敏感信息也会有很大的可能被窃取。畸形报文对终端的攻击也会使得其业务能力逐渐丧失。以明文传输的SIP信令和媒体,在一定情况下也会遭受到窃取、篡改和删除。
2、核心网安全问题。IP多媒体子系统的核心网络是以会话边缘控制器(SBC)为接入点的,各种接入和各种网络的拒绝服务攻击、畸形报文等都将对会话边缘控制器造成威胁,“雪崩”效应也会导致会话边缘控制器的失效。攻击者可以利用已经结束的通化,将自己制造的会话插入已建立的会话中,以仿冒授权通信、绕开认证检查的方式实现盗用业务的目的。划分不严格的安全域也将会引起不同安全服务等级的服务访问控制出现疏漏。
3、承载网安全问题。用户接入IP多媒体子系统是通过CMnet接入的,这也导致了外部对链路资源耗尽的攻击或链路资源被耗尽等情况极其容易引起IP多媒体子系统服务质量的下降。攻击者会利用路由和应用层面的拓扑泄露获得网络的拓扑结构,进而向IP多媒体子系统发起准确的攻击。
4、用户信息安全问题。IP多媒体子系统涉及到众多核心网元和提供各种业务的业务平台,因此其涉及到十分复杂的安全管理问题,而安全管理过程中的任何疏漏都会引起非预期的安全问题。由于用户信息在产生、流转、使用和存储等环节都比较复杂,因此用户信息泄露存在着较多的薄弱点。用户在使用IP多媒体子系统时还可能出现被欺骗和欺诈的风险。
二、IP多媒体子系统网络安全问题解决对策
2.1接入层安全问题的解决对策
能够及时查杀PC病毒的终端防毒软件必须预置于IP多媒体子系统的PC客户端中,例如,开机过程中和客户端软件启动的过程中,终端防毒软件可以与网络侧防病毒方案协同合作展开工作。至于终端病毒软件的特征库更新等维护工作,在原则上则由用户自主进行管理。诸如防火墙、入侵防护系统之类的串入式安全防护设备也应部署于集团客户接入链路,这类安全防护设备对于控制用户访问、过滤数据包内容特征、检测攻击等方面都有着重要作用,加载突发性病毒特征与畸形报文特征也在其支持范围内。
2.2核心网安全问题的解决对策
会话边缘控制器需支持以下功能:1)信令防护:提供SIP信令防火墙功能,并过滤包括畸形报文、关键字段、字段欺骗以及异常信令流程等形式的非法SIP信令。2)拓扑隐藏:会话边缘控制器拓扑隐藏核心网时是面向用户端的,SIP中的经由、记录路由、路由、路径、头域中的IP多媒体子系统核心网元地址都能够被删除。3)流量防护:会话边缘控制器能够针对拒绝服务攻击和突发流量过载现象进行防护,不同的QoS队列通道也能够被设置,为链接已经建立、链接重传、首次连接等不同的连接状态提供对应的服务质量保证。
2.3承载网安全问题的解决对策
1)专网承载:各地的IP多媒体子系统的核心控制层子网通过IP专网组成多协议标签交换虚拟专用网络之后,相关安全策略需在IP专网上进行配置和实施。2)承载层大流量监控。防火墙设备需在会话边缘控制器与CMnet之间部署,此外,还需配置一定的安全控制策略以保证对流量的安全监控。3)自建流控系统、流量清洗系统、恶意代码检测系统及不良信息控制系统。正常IP多媒体子系统应用需在这些系统中被识别出来,QoS保证也应由这些系统以白名单的方式向重点用户提供。4)通过包分析手段比对分析各会话边缘控制器的设备,同时还要采用专业的安全清洗设备过滤业务流量中的病毒和攻击。
2.4用户信息安全问题的解决对策
1)采用TLS、IPSec等加密手段,对用户接入链路上的信令进行加密操作,进而保证用户信令安全。初期由于SBC与P-CSCF未合设,暂时无法启动用户端到SBC的加密手段。2)有针对性地保护用户存储在运营商的敏感信息,如通信和通话记录、计费信息、客户资料、电话簿等。对于信息的建立、储存、流转和操作,具备加密功能和严格的信息审计。3)所有IP多媒体子系统网元、业务系统都须纳入安全管控平台进行管理。
结束语:近些年,网络与信息安全已经成为了国家、运营商、用户三方都共同关注的问题。有效促进网络融合能力和开放性大大提高的IP多媒体子系统目前也面临着更加复杂的安全风险,对此,本文从接入层、核心网、承载网、用户信息安全这四个方面的安全风险进行分析,提出了相应的解决策略,以期引起相关部门及运营商的关注。
参 考 文 献
[1]李鸿彬.SIP网络中入侵检测与防御系统关键技术的研究[D].中国科学院研究生院(沈阳计算技术研究所),2012.
[2]才大壮.IMS接入侧安全机制的研究与设计[D].中国科学院研究生院(沈阳计算技术研究所),2015.