IMS网络安全关键技术策略研究和设计

佟 鹏

（吉林省体育彩票管理中心 吉林 130000）

1 IMS网络安全的要求分析

1.1 IMS接入网的边界安全需求分析

IMS接入网的安全性要求相对严格，要确保网络的灵活、规模以及效率的同时还要具备安全属性，其目的就是为了防止没有授权的用户或者数据渗入到网络中。IMS框架内的安全需要要确保只能够被允许的用户业务才能够进入到IMS核心网络单元，每个用户在接入到IMS网络中需要经过严格的认证。网络认证的过程主要决定于其业务的应用程序，在移动网络的应用中用户和网络之间的信令传播必须要经过加密，这一点是3GPP标准协议的规定，相对于有线网络而言，这个过程可不必要加密。但是由于信息技术的发展，固网和无线渐渐融合，于是认证在这个背景下也会渐渐变得模糊，最终会引起新的网络认证协议和方法。另外为了提升网络业务的质量，经过网络认证的用户业务数据流量也要被监控。

1.2 IMS核心网的边界安全需求分析

IMS核心网络的安全需求则指的是保护网络远端的对等设备的接入网以及IMS所有网元及通信协议都不能够被攻击和入侵，IMS核心网的安全防护主要从网络融合的角度来着手，因此复杂性要比接入网的要求更高。网络边界相互之间的网络安全要防范没有授权的用户但是能够通过企业网络编辑接入到本网络从而实现IMS安全的作用，特别是基于IP网络，移动漫游的用户也需要接入这个网络，于是不同网络业务运营商之间的IP网在对等连接的条件下就会将IMS基础核心网络暴露出来，形成安全威胁问题，因此全方位的控制各个网络边界的网络安全问题，就要综合现有的网络安全技术，比如防火墙、网络地址翻译转换以及数据流过滤和加密功能等。而实现不同边界的网络安全，则需要从分区着手。

2 IMS网络安全分区分析

2.1 公共网络区

公共网络区属于 IMS网络中的暴露范围和深度最高的区域，一般而言是IMS接入网和IP对等的边界设备组成这个公共网络安全区域，主要包括用户接入设备 UE、P-CSCF以及INTERNET等，由于公共安全区需要更加开放网络接口，因此能够协调更大的参考点以及安全协议及接口和网络单元等，因为这个区域的安全对策需要全面整合所有的有关IMS的安全策略，比如全面引入防火墙、数据加密和网络地址翻译转换、防范Dos攻击安全策略、防范Qos安全策略等。

2.2 高级安全区

高级安全区顾名思义就是指的是能够控制或者存贮高度敏感信息的网络单元构成，这些区域的安全需求要求相对较高，主要应用比如用户档案以及流量的计费信息等，因此是严格控制的，基本控制方法和公共网络安全具有一定的相同之处。

2.3 应用安全区

应用安全区主要集合了能够提供应用服务的 IMS网络单元，主要包括各种软件应用的服务器以及媒体资源功能和媒体网络功能等，这个区域的网络安全和高级网络安全区存在着一定的区别，没有受到严格的安全控制，能够允许多种类型的数据信息的交互，比如HTTP超文本和RTP媒体流能够在这个区域得到分配和处理。可以根据网络运营商的具体需求设置不同的应用，比如还可以增加媒体资源功能以及媒体网关功能等。

2.4 网络管理安全区分析

所谓的网络管理安全区总体上来说就是一个类似于IMS接入网，网络管理人员需要接入到IMS网络进行相应的管理操作，但是该网络单元需要确认管理人员只能够拥有相应的权限进入到相应的操作网络单元中并要求使用加密会话方式，因为有关网络管理的信令以及数据流是高度敏感的，另外网络管理人员的操作权限是根据这些人员的具体工作属性进行划分，比如诊断网络故障的管理人员只能够接入到相应的网络检测模块中，不能够接入到有关HSS和CSCF服务器入口等。

3 IMS网络安全策略的实现

3.1 建立安全平台的虚拟化结构

IMS网络边界的安全管理就是要将多个网络单元融合到一起进行统一管理，并组织和隔断来自IMS网络以外的攻击，要将网络安全防范措施比如防火墙、NAT和VPN以及加密等方式整合到IMS网络中，因此为了应对这个复杂的安全需求，要将各种IMS网络安全需求设计到统一的平台上，这个平台能够结合IMS网络安全边界的需求进行灵活配置，因此还应具备下面这些功能，比如将IMS网络安全策略虚拟的划分成逻辑进程，进而简化网络管理人员针对这个平台的操作，实现快捷方便的对整个IMS网络进行调整和控制。该平台的设计思想就是要让这个虚拟化的平台能够跨越整个 IMS网络并保护所有网络区域，每一个区域有相应的功能模块配套，这样就能够尽可能的简化安全配置，从而实现对整个IMS网络平台的安全防护。

3.2 IMS网络安全策略的实现

在IMS网络系统中，用户接入网络的初始点就是P-CSCF服务器，这个网络单元向IMS网络转发用户的注册信息，并向I-CSCF以及S-CSCF等服务器提供驱动，从而向每个用户提供接入IMS的服务，要知道3GPP标准中，IMS接入网络安全功能是和P-CSCF的安全功能相互融合，并在TISPAN标准中，这个安全管理功能被话发呢在 P-CSCF和边界网关的 BFG之间。由于IMS标准将接入网络的认证绑定在P-CSCF服务器重，也就意味着IMS结构是将网络安全和SIP协议融合在一起的。

在实际应用中IMS网络安全策略应该采用分布式结构和集中控制结构相互整合到统一的单一平台上，也就是IMS网络安全平台，能够实现灵活的分布式BGF功能和集中式的BGF操作，在这两种模式下，IMS网络能够将信令流和媒体流分开处理，从而达到电信级的工作效率。

图1 用户注册时的信息流

图1给出的是一个用户注册的信息流，当用户试图向IMS网络注册时，S-CSCF功能对于第一个注册信息会返回一个SIP 401的信息吗，然后IMS的P-CSCF功能模块就会使用这个401信息码作为一个触发消息，这个触发消息是下载密钥的基础，该密钥通过加密通道被下载到BGF模块中，并被用户的UE和BGF建立一条高度安全的且经过加密的交互。当用户UE在成功的完成和P-CSCF建立高度安全的加密通道之后，才能够说明这个信息流被注册到IMS网络中，用户的注册信息以及后续的信令码都是经过加密并受到IMS安全平台保护的。而媒体流的安全策略处理和信令流的处理具有一定的相通性。

4 结语

IMS网络结构特点有一个巨大的创新之处，就是将原先电信网络运营商极力隐藏的漏洞尽可能的暴露出来，然后再根据这些漏洞制定统一的安全策略，从而提升网络的安全属性，这种化被动为主动的方式显然有助于提升网络安全性，但是如果安全策略使用不完善，那么就可能会出现副作用，本文通过提出有效的保护整个IMS网络的安全策略模型，比如包括对IMS结构进行分区，并根据每一个分区的特点设置相应的安全策略，从而构建同一个的安全策略平台，通过灵活的配置完善了整个IMS网络平台，从而提升了网络安全管理的效率和效果。

[1]M.Sher，T.M agedanz.Development of IMS Privacy & Security management Framework for FOKUS Open IMS Testbed.Journal of Mobile Media.2006：42-43

[2]宋建标.IMS固定接入网相关安全问题分析与研究[D].北京邮电大学 2011（03）：19-21

[3]企业用户接入 IMS关键技术研究[D].北京邮电大学 2010（05）：15-17