浅析IMS网络安全风险及策略部署

浅析IMS网络安全风险及策略部署IMS(IPMultimediaSubsystem)是IP多媒体子系统，主要基于IP协议和开放的网络架构，将语音、数据和多媒体等不同业务，通过不同的接入方式来实现共享的业务平台，从而有效的增加网络和终端之间的互通性。也使得运营商对IMS网络的安全性有了更高的要求。IMS被认为是下一代网络的核心技术，也是解决移动网络与固网融合，并引入差异化通信业务的重要方式。IMS网络的体系结构分为业务层、控制层和链接层。业务层由内容和应用服务器组成；控制层由网络控制SIP服务器组成；连接层由用于骨干网和接入网的路由器及交换机组成。由于IMS网络架构的网元都是基于IP网络的，继承IP网络的脆弱性，在一定程度上增加网络的潜在威胁。1.1IMS安全问题的由来1.开放网络：因IMS网络在实际形态上具有一定的开放性，而互联中的网络、设备以及相关技术在标准上存在明显的差异[1]。这就造成基于SIP的会话控制协议所存在的漏洞和基于IP的相关信息类型都会面临不同程度的安全隐患。2.业务融合：众所周知，IMS是具有相关业务的继承。特别是在IP网络中开展相关的融合业务应用，使其面临较为复杂的业务逻辑。1.2IMS安全威胁类型1.攻击破坏：主要是指IMS网络中相关信息和资源遭受到攻击和破坏。比如，以蓄意行为而发送错误来破坏路由寻址和相关交互信息。这种情况，在一定程度上影响相关控制信令在路由器中运转的稳定性。2.伪装篡改：主要表现在一些伪装合法用户和服务器身份，来对IMS网络中的相关信息和数据进行重定向和篡改[2]。这直接导致有关计算和交易等系统处于非正常操作运行状态。3.干扰滥用：由于IMS网络是基于IP网络，与电信网络相比，更容易受到拒绝式服务的干扰和攻击。在这其中，一些攻击者会通过虚假地址来向SIP服务器发出大量的请求。进而使得相关业务系统所具有的可用性急剧下降。由于IMS网络系统在安全策略上比较复杂。专业人员需根据各个系统的差异，以针对性的形式研究IMS网络安全策略部署。2.1IMS网络业务系统的安全对策IMS网络业务系统包括四个模块，分别是IMS控制模块、IMSAS模块、IMS媒体模块和IMSHSS数据模块。可以采用以下安全对策：1.在IMS网络业务系统中，采用专网VPN设计。从而有效保证网络的保密性[3]。同时，专业人员根据保密等级不同设置不同的安全策略。2.对系统四个模块的安全域和数据库的访问按照相关安全要求进行用户信息鉴权，必须对高保密区域中的资源访问权限和角色予以严格的鉴定。3.在整个业务系统中全面部署相关的防病毒服务器和入侵检测系统，与此同时，专业人员还要及时对病毒和木马库进行更新。2.2IMS网络用户系统的安全对策IMS网络用户系统涉及到不同的业务流，是网络安全风险的入口。可以采用以下安全对策：1.在语音、数据、多媒体等业务数据流方面，通过对DMZ的设置来分离安全域。同时，借助业务终端以专用VPN的方式将其接入业务平台。2.对不同接入方式和数据流向的业务需予以双向认证。在认证技术上，专业人员可选择PKI/CA或IBC等相关认证技术。3.对用户终端可借助SSL和VPN融合的方式予以接入。同时，专业人员需对相关业务数据和消息进行加密2.3IMS网络承载系统的安全对策IMS网络承载系统存在网络封闭性等问题，专业人员可采用以下安全对策：1.在承载网络上可采用VPN专网通道，一定程度上隔离控制和媒体的流量。2.按照安全策略标准对可信路这个部分，经过验证、过滤和加密等步骤来保证网络稳定性。3.加强对控制信息流量的监测，并设置策略进行合理的速率控制。从而有效避免恶意流量的冲击。4.积极部署异构防火墙和防病毒系统，以此来对相关业务实体和系统的安全进行防护。5.在IP承载网的网管系统中，专业人员可通过带外管理的方式，来将该网络与基础网络进行有效