IMS网络安全机制探讨

摘要　基于IP的IMS网络，面临着与互联网类似的各种安全威胁。本文介绍了目前备受关注的IMS在网络安全方面面临的威胁，分析了IMS的安全机制以及A-IMS对IMS网络安全的改进措施。

1、引言

IMS（IP多媒体子系统）是下一代融合通信系统的核心部分，它通过SIP提供的会话发起能力建立端到端的会话，并获得所需要的服务质量。IMS实现了控制与承载的分离，IMS终端可以通过不同的方式接入分组域核心网，由IMS的核心部分提供会话和业务的控制。

IMS作为一种可以实现网络全IP化的技术，简单、灵活、标准开放以及独立于接入网络是其主要特点。IMS为未来的多媒体数据业务提供了一个通用平台，能够使运营商专注于提供应用而不是接入技术，并具有集中式架构和可运营的商业模式等优点。

2、IMS网络面临的安全威胁

通信系统的安全威胁主要源自网络协议和系统的弱点，攻击者可以利用网络和系统的弱点未经授权地访问或操纵敏感数据，扰乱或滥用网络服务。IMS网络面临的威胁主要有以下几类。

●未授权访问或操纵服务：攻击者通过窃听、伪装、流量分析等手段获取或操纵敏感信息。

●完整性威胁：攻击者对系统接口上的信令或数据进行修改、插入、重放或者删除等操作，侵犯合法用户的权益。

●扰乱或滥用网络服务：人为干扰用户传输、信令数据或者控制数据，攻击系统，耗尽服务资源，使合法用户无法使用服务，滥用特权获取未授权的服务。

●服务否认：指用户或网络不承认曾经发生的操作。

3、IMS网络的安全机制

3.1　IMS安全标准体系

针对安全威胁，3GPP和3GPP2制定了一系列IMS网络安全标准。在IMS的安全体系中，从UE到网络的各个实体（P-CSCF、S-CSCF、HSS）都涉及了接入和核心网两个部分的安全机制。

对于接入部分，UE与P-CSCF之间涉及接入安全与身份认证，其安全机制在3GPP TS 33.203文档中定义。IMS以SIP和HTTP承载AKA安全机制的方式实现了UE与网络的双向认证功能；UE与P-CSCF之间协商SA（security association，安全联盟），通过IPSec提供了接入安全保护。

2G系统的主要安全缺陷之一就是核心网缺乏标准化的安全解决方案。3G系统开始着手对核心网中的所有IP业务流进行保护，IMS在核心网中引入了网络域安全（NDS）的概念。网络域安全是由某个单独机构所管理的网络，在同一安全域内的网元具有相同的安全级别并享有特定的安全服务，主要通过为服务提供机密性、数据完整性、认证和防止重放攻击，以及通过应用在IPSec中的密码安全机制和协议安全机制来实现。网络域内部的实体和网络域之间都可以使用IPSec来提供安全保护。

总的来看，现有IMS安全标准体系在以下方面提供了较完善的解决方案：客户和网络的双向身份认证；UE与P-CSCF之间的SIP信令消息的机密性保护；UE与P-CSCF之间SIP信令的完整性保护；IMS网络域的安全采用hop-by-hop（逐跳）安全模式，对在网络实体之间的每个通信进行单独的保护；支持隐藏运营商网络拓扑的能力等。

3.2　A-IMS弥补缺陷

IMS网络是基于IP的网络，IP网络的先天脆弱性，使得IMS网络在网络架构、协议实现以及管理等方面都存在潜在的安全问题。

●针对CSCF实体的攻击。目前，IP网络频繁发生拒绝服务（DoS）攻击和分布式拒绝服务（DDoS）攻击，这些攻击能使系统设备不堪重负。在IMS体系中，CSCF实体集中完成管理和呼叫控制，直接面对各种不同的用户，这在一定程度上是一个安全隐患，容易成为黑客的攻击目标。

●网络中通信协议本身存在的不安全因素和协议实现中可能存在漏洞。SIP等协议采用UDP承载，数据包不需要建立连接，容易受到泛洪攻击。

●没有强制实施完整性保护，无法防止攻击者篡改数据。攻击者可以通过修改用户数据使网络对用户的认证失败，从而导致用户无法正常接入IMS业务。

针对以上安全问题，需要对网络的关键实体如CSCF、进行物理和安全管理方面的安全保护。为此，美国的电信运营商Verizon联合思科、朗讯等设备供应商在2006年7月发布了改进的IP多媒体子系统——A-IMS。它基于3GPP2的多媒体域（MMD）架构，在SIP用户的合法性检验、数据的私密性和完整性等方面采用与IMS相同的方式，同时增加了对非SIP应用的支持。

A-IMS的主要网元包括IPGW（IP网关）、BM（承载管理）、AM（应用管理）、PM（策略管理）、SM（安全管理）、SB（业务代理）、SDM（业务数据管理）和AT（接入终端）等。其中，与安全相关的网元主要有SM、PM、BM、IPGW和AT。

相对于IMS，A-IMS在集成安全和统一安全管理、安全操作中心（SOC）、设备接纳控制、安全策略等方面对安全性进行了增强，使得IMS网络的安全性得到较大提高。

●新增了安全操作中心和安全管理，对网络进行多级安全管理，实现了系统安全的整体控制和集中控制。

●利用安全策略实现网络安全的自动控制。

●A-IMS将安全管理集成到每一个网元中，由SM收集并分析网络中各个网元的安全事件信息，并根据安全策略做出适当的处理。

●采用双向防火墙，利用入侵检测系统IDS/IPS等保护网络和终端都不受攻击。

●从网络运营的角度，针对IMS网络安全提出了姿态代理和移动安全代理（MSA）的概念，通过在智能终端（IAT）上设置姿态代理，对终端的操作系统、防火墙的版本和补丁状况进行检查，强制终端具备系统要求的安全等级。

4、结束语

基于IP的IMS网络与互联网一样面临着各种安全威胁，A-IMS切合网络运营的实际需求，为下一代融合通信系统的网络安全研究提供了新方向。

来源：中国联通网站

1、回复“YD5GAI”免费领取《中国移动：5G网络AI应用典型场景技术解决方案白皮书》

2、回复“5G6G”免费领取《5G_6G毫米波测试技术白皮书-2022_03-21》

3、回复“YD6G”免费领取《中国移动：6G至简无线接入网白皮书》

4、回复“LTBPS”免费领取《《中国联通5G终端白皮书》》

5、回复“ZGDX”免费领取《中国电信5GNTN技术白皮书》

6、回复“TXSB”免费领取《通信设备安装工程施工工艺图解》

7、回复“YDSL”免费领取《中国移动算力并网白皮书》

8、回复“5GX3”免费领取《R1623501-g605G的系统架构1》