论坛 » IMS·软交换 » IMS网络安全机制的探讨
 IMS网络安全机制的探讨  发表于 2008-08-07 15:10:46
呢称:libby521
加我为好友
基于IP的IMS网络,面临着与互联网类似的各种安全威胁。本文介绍了目前备受关注的IMS在网络安全方面面临的威胁,分析了IMS的安全机制以及A-IMS对IMS网络安全的改进措施。

    1、引言

    IMS(IP多媒体子系统)是下一代融合通信系统的核心部分,它通过SIP提供的会话发起能力建立端到端的会话,并获得所需要的服务质量。IMS实现了控制与承载的分离,IMS终端可以通过不同的方式接入分组域核心网,由IMS的核心部分提供会话和业务的控制。

    IMS作为一种可以实现网络全IP化的技术,简单、灵活、标准开放以及独立于接入网络是其主要特点。IMS为未来的多媒体数据业务提供了一个通用平台,能够使运营商专注于提供应用而不是接入技术,并具有集中式架构和可运营的商业模式等优点。

    2、IMS网络面临的安全威胁

    通信系统的安全威胁主要源自网络协议和系统的弱点,攻击者可以利用网络和系统的弱点未经授权地访问或操纵敏感数据,扰乱或滥用网络服务。IMS网络面临的威胁主要有以下几类。

    ●未授权访问或操纵服务:攻击者通过窃听、伪装、流量分析等手段获取或操纵敏感信息。

    ●完整性威胁:攻击者对系统接口上的信令或数据进行修改、插入、重放或者删除等操作,侵犯合法用户的权益。

    ●扰乱或滥用网络服务:人为干扰用户传输、信令数据或者控制数据,攻击系统,耗尽服务资源,使合法用户无法使用服务,滥用特权获取未授权的服务。

    ●服务否认:指用户或网络不承认曾经发生的操作。

    3、IMS网络的安全机制

    3.1IMS安全标准体系

    针对安全威胁,3GPP和3GPP2制定了一系列IMS网络安全标准。在IMS的安全体系中,从UE到网络的各个实体(P-CSCF、S-CSCF、HSS)都涉及了接入和核心网两个部分的安全机制。

    对于接入部分,UE与P-CSCF之间涉及接入安全与身份认证,其安全机制在3GPPTS33.203文档中定义。IMS以SIP和HTTP承载AKA安全机制的方式实现了UE与网络的双向认证功能;UE与P-CSCF之间协商SA(securityassociation,安全联盟),通过IPSec提供了接入安全保护。

    2G系统的主要安全缺陷之一就是核心网缺乏标准化的安全解决方案。3G系统开始着手对核心网中的所有IP业务流进行保护,IMS在核心网中引入了网络域安全(NDS)的概念。网络域安全是由某个单独机构所管理的网络,在同一安全域内的网元具有相同的安全级别并享有特定的安全服务,主要通过为服务提供机密性、数据完整性、认证和防止重放攻击,以及通过应用在IPSec中的密码安全机制和协议安全机制来实现。网络域内部的实体和网络域之间都可以使用IPSec来提供安全保护。

    总的来看,现有IMS安全标准体系在以下方面提供了较完善的解决方案:客户和网络的双向身份认证;UE与P-CSCF之间的SIP信令消息的机密性保护;UE与P-CSCF之间SIP信令的完整性保护;IMS网络域的安全采用hop-by-hop(逐跳)安全模式,对在网络实体之间的每个通信进行单独的保护;支持隐藏运营商网络拓扑的能力等。


关于我们|联系方式|编辑特色|广告报价|市场活动|增值服务|投稿须知
Copyright 2002-04 All Rights Reserved 《通讯世界》
E-mail: xucuiping@tele.com.cn 电话:010-58882983
京ICP备05021377号