文章首先回顧了3GPP提出IP多媒體子系統(tǒng)(IMS)系統(tǒng)概念的背景和宗旨,通過與傳統(tǒng)電信網(wǎng)絡(luò)技術(shù)的比較,分析了IMS系統(tǒng)中存在的諸多安全問題,接著重點闡述IMS安全體系的框架、IMS的接入安全和網(wǎng)絡(luò)安全,并對其相應(yīng)的安全措施、關(guān)鍵技術(shù)進行了詳細論述,最后對IMS安全問題的解決做出總結(jié)。
IP多媒體子系統(tǒng)(IMS)是3GPP在R5規(guī)范中提出的,旨在建立一個與接入無關(guān)、基于開放的SIP/IP協(xié)議及支持多種多媒體業(yè)務(wù)類型的平臺來提供豐富的業(yè)務(wù)。它將蜂窩移動通信網(wǎng)絡(luò)技術(shù)、傳統(tǒng)固定網(wǎng)絡(luò)技術(shù)和互聯(lián)網(wǎng)技術(shù)有機結(jié)合起來,為未來的基于全IP網(wǎng)絡(luò)多媒體應(yīng)用提供了一個通用的業(yè)務(wù)智能平臺,也為未來網(wǎng)絡(luò)發(fā)展過程中的網(wǎng)絡(luò)融合提供了技術(shù)基礎(chǔ)。IMS的諸多特點使得其一經(jīng)提出就成為業(yè)界的研究熱點,是業(yè)界普遍認同的解決未來網(wǎng)絡(luò)融合的理想方案和發(fā)展方向,但對于IMS將來如何提供統(tǒng)一的業(yè)務(wù)平臺實現(xiàn)全業(yè)務(wù)運營,IMS的標(biāo)準(zhǔn)化及安全等問題仍需要進一步的研究和探討。
1. IMS存在的安全問題分析
傳統(tǒng)的電信網(wǎng)絡(luò)采用獨立的信令網(wǎng)來完成呼叫的建立、路由和控制等過程,信令網(wǎng)的安全能夠保證網(wǎng)絡(luò)的安全。而且傳輸采用時分復(fù)用(TDM)的專線,用戶之間采用面向連接的通道進行通信,避免了來自其他終端用戶的各種竊聽和攻擊。
而IMS網(wǎng)絡(luò)與互聯(lián)網(wǎng)相連接,基于IP協(xié)議和開放的網(wǎng)絡(luò)架構(gòu)可以將語音、數(shù)據(jù)、多媒體等多種不同業(yè)務(wù),通過采用多種不同的接入方式來共享業(yè)務(wù)平臺,增加了網(wǎng)絡(luò)的靈活性和終端之間的互通性,不同的運營商可以有效快速地開展和提供各種業(yè)務(wù)。由于IMS是建立在IP基礎(chǔ)上,使得IMS的安全性要求比傳統(tǒng)運營商在獨立網(wǎng)絡(luò)上運營要高的多,不管是由移動接入還是固定接入,IMS的安全問題都不容忽視。
IMS的安全威脅主要來自于幾個方面:未經(jīng)授權(quán)地訪問敏感數(shù)據(jù)以破壞機密性;未經(jīng)授權(quán)地篡改敏感數(shù)據(jù)以破壞完整性;干擾或濫用網(wǎng)絡(luò)業(yè)務(wù)導(dǎo)致拒絕服務(wù)或降低系統(tǒng)可用性;用戶或網(wǎng)絡(luò)否認已完成的操作;未經(jīng)授權(quán)地接入業(yè)務(wù)等。主要涉及到IMS的接入安全(3GPP TS33.203),包括用戶和網(wǎng)絡(luò)認證及保護IMS終端和網(wǎng)絡(luò)間的業(yè)務(wù);以及IMS的網(wǎng)絡(luò)安全(3GPP TS33.210),處理屬于同一運營商或不同運營商網(wǎng)絡(luò)節(jié)點之間的業(yè)務(wù)保護。除此之外,還對用戶終端設(shè)備和通用集成電路卡/IP多媒體業(yè)務(wù)身份識別模塊(UICC/ISIM)安全構(gòu)成威脅。
2. IMS安全體系
IMS系統(tǒng)安全的主要應(yīng)對措施是IP安全協(xié)議(IPSec),通過IPSec提供了接入安全保護,使用IPSec來完成網(wǎng)絡(luò)域內(nèi)部的實體和網(wǎng)絡(luò)域之間的安全保護。3GPP IMS實質(zhì)上是疊加在原有核心網(wǎng)分組域上的網(wǎng)絡(luò),對PS域沒有太大的依賴性,在PS域中,業(yè)務(wù)的提供需要移動設(shè)備和移動網(wǎng)絡(luò)之間建立一個安全聯(lián)盟(SA)后才能完成。對于IMS系統(tǒng),多媒體用戶也需要與IMS網(wǎng)絡(luò)之間先建立一個獨立的SA之后才能接入多媒體業(yè)務(wù)。
3GPP終端的核心是通用集成電路卡(UICC),它包含多個邏輯應(yīng)用,主要有用戶識別模塊(SIM)、UMTS用戶業(yè)務(wù)識別模塊(USIM)和ISIM。ISIM中包含了IMS系統(tǒng)用戶終端在系統(tǒng)中進行操作的一系列參數(shù)(如身份識別、用戶授權(quán)和終端設(shè)置數(shù)據(jù)等),而且存儲了共享密鑰和相應(yīng)的AKA(Authentication and Key Agreement)算法。其中,保存在UICC上的用戶側(cè)的IMS認證密鑰和認證功能可以獨立于PS域的認證密鑰和認證功能,也可和PS使用相同的認證密鑰和認證功能。IMS的安全體系如圖1所示。
圖1 5個不同的安全聯(lián)盟用以滿足IMS系統(tǒng)中不同的需求
圖1分別用①、②、③、④、⑤來加以標(biāo)識:
①提供終端用戶和IMS網(wǎng)絡(luò)之間的相互認證。
②在UE和P-CSCF之間提供一個安全鏈接(Link)和一個安全聯(lián)盟(SA),用以保護Gm接口,同時提供數(shù)據(jù)源認證。
③在網(wǎng)絡(luò)域內(nèi)為Cx接口提供安全。
④為不同網(wǎng)絡(luò)之間的SIP節(jié)點提供安全,并且這個安全聯(lián)盟只適用于代理呼叫會話控制功能(P-CSCF)位于拜訪網(wǎng)絡(luò)(VN)時。
⑤為同一網(wǎng)絡(luò)內(nèi)部的SIP節(jié)點提供安全,并且這個安全聯(lián)盟同樣適用于P-CSCF位于歸屬網(wǎng)絡(luò)(HN)時。
除上述接口之外,IMS中還存在其他的接口,在圖1中未完整標(biāo)識出來,這些接口位于安全域內(nèi)或是位于不同的安全域之間。這些接口(除了Gm接口之外)的保護都受IMS網(wǎng)絡(luò)安全保護。
SIP信令的保密性和完整性是以逐跳的方式提供的,它包括一個復(fù)雜的安全體系,要求每個代理對消息進行解密。SIP現(xiàn)在使用兩種安全協(xié)議:傳輸層安全協(xié)議(TLS)和IPSec,TLS可以實現(xiàn)認證、完整性和機密性,用TLS來保證安全的請求必須使用可靠的傳輸層協(xié)議,如傳輸控制協(xié)議(TCP)或流控制傳輸協(xié)議(SCTP);IPSec通過在IP層對SIP消息提供安全來實現(xiàn)認證、完整性和機密性,它同時支持TCP和用戶數(shù)據(jù)報協(xié)議(UDP)。在IMS核心網(wǎng)中,可通過NDS/IP來完成對網(wǎng)絡(luò)中SIP信令的保護;而第一跳,即UE和P-CSCF間的信令保護則需要附加的測量,在3GPP TS 33.203中有具體描述。
3. IMS的接入安全
IMS用戶終端(UE)接入到IMS核心網(wǎng)需經(jīng)一系列認證和密鑰協(xié)商過程,具體而言,UE用戶簽約信息存儲在歸屬網(wǎng)絡(luò)的HSS中,且對外部實體保密。當(dāng)用戶發(fā)起注冊請求時,查詢呼叫會話控制功能(I-CSCF)將為請求用戶分配一個服務(wù)呼叫會話控制功能(S-CSCF),用戶的簽約信息將通過Cx接口從HSS下載到S-CSCF中。當(dāng)用戶發(fā)起接入IMS請求時,該S-CSCF將通過對請求內(nèi)容與用戶簽約信息進行比較,以決定用戶是否被允許繼續(xù)請求。
在IMS接入安全中,IPSec封裝安全凈荷(ESP)將在IP層為UE和P-CSCF間所有SIP信令提供機密性保護,對于呼叫會話控制功能(CSCF)之間和CSCF和HSS之間的加密可以通過安全網(wǎng)關(guān)(SEG)來實現(xiàn)。同時,IMS還采用IPSec ESP為UE和P-CSCF間所有SIP信令提供完整性保護,保護IP層的所有SIP信令,以傳輸模式提供完整性保護機制。
在完成注冊鑒權(quán)之后,UE和P-CSCF之間同時建立兩對單向的SA,這些SA由TCP和UDP共享。其中一對用于UE端口為客戶端、P-CSCF端口作為服務(wù)器端的業(yè)務(wù)流,另一對用于UE端口為服務(wù)器、P-CSCF端口作為客戶端的業(yè)務(wù)流。用兩對SA可以允許終端和P-CSCF使用UDP在另一個端口上接收某個請求的響應(yīng),而不是使用發(fā)送請求的那個端口。同時,終端和P-CSCF之間使用TCP連接,在收到請求的同一個TCP連接上發(fā)送響應(yīng);而且通過建立SA實現(xiàn)在IMS AKA提供的共享密鑰以及指明在保護方法的一系列參數(shù)上達成一致。SA的管理涉及到兩個數(shù)據(jù)庫,即內(nèi)部和外部數(shù)據(jù)庫(SPD和SAD)。SPD包含所有入站和出站業(yè)務(wù)流在主機或安全網(wǎng)關(guān)上進行分類的策略。SAD是所有激活SA與相關(guān)參數(shù)的容器。SPD使用一系列選擇器將業(yè)務(wù)流映射到特定的SA,這些選擇器包括IP層和上層(如TCP和UDP)協(xié)議的字段值。
來源:中國聯(lián)通網(wǎng)站