DIY编程器网

 找回密码
 注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

查看: 883|回复: 0
打印 上一主题 下一主题

[待整理] A-IMS安全性分析与探讨

[复制链接]
跳转到指定楼层
楼主
发表于 2014-10-13 16:03:36 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
改进的IP多媒体子系统(A-IMS)[1]是美国第二大移动电话公司威瑞森(Verizon Wireless)联合其5个主要的设备供应商思科、朗讯、摩托罗拉、北电和高通公司在2006年7月发布的一种移动多媒体业务体系,它基于3GPP2的多媒体域(MMD)架构,在融入了IP多媒体子系统/多媒体域(IMS/MMD)所有会话发起协议(SIP)业务功能的基础上,增加了对非SIP应用的支持。另外还从网络运营的角度,针对IMS/MMD网络安全提出了一些扩展和补充,如增加了安全操作中心(SOC)和姿态代理等,使IMS/MMD网络的安全性得到较大改进。1 A-IMS业务范围
  A-IMS继承了IMS/MMD的所有业务功能,并在安全性、移动性、策略、服务质量(QoS)、对等互联、计费、合法监听、紧急呼叫、呈现业务等方面,进行了增强和扩充。
2 A-IMS的网络结构
  A-IMS的系统结构如图1所示。

  A-IMS的主要网元包括IP网关(IPGW)、承载管理(BM)、应用管理(AM)、策略管理(PM)、安全管理(SM)、业务代理(SB)、业务数据管理(SDM)和接入终端(AT)等,与安全相关的网元主要包括SM、PM、BM、IPGW、AT。
  虽然从网元名称上看,A-IMS和3GPP的IMS[2]及3GPP2的MMD[3]有一些差异,但除了新增的SM网元外,其他几个网元在功能上和3GPP、3GPP2乃至TISPAN[4]中的IMS网元都有一定的对应关系,如AM、SDM和PM分别对应于IMS/MMD的呼叫会话控制功能(CSCF)、归属用户服务器(HSS)和策略决策功能(PDF)等。
  SM作为SOC的核心,主要负责收集A-IMS系统中各网元的安全事件信息,完成入侵探测、控制设备操作、分发安全策略,另外还负责对移动设备的姿态(Posture)评估,根据终端对网络设备的兼容程度(如操作系统版本、反病毒软件版本等),决定他们是否被允许接入网络,以及允许接入什么服务等。
3 IMS面临的安全威胁
  基于IP的IMS系统面临如下安全威胁:
  (1)侦测威胁
  黑客采用扫描网络拓扑的手段,识别易于攻击的设备,进行攻击。
  (2)DDoS攻击
  分布式拒绝服务攻击(DDoS)是当前IP网络上最危险的攻击,能使任何高性能的系统设备不堪重负。A-IMS特别提出要对此类攻击给出检测和阻止办法。
  (3)中断和接管设备
  此类攻击属于中间人攻击,往往伴随着侦测进行,非法接入特定设备进行攻击(如向路由表中非法增加路由等)。
  (4)服务窃取和欺诈
  指非授权使用网络资源的行为。
  (5)Zero Day攻击
  在某一特定的攻击日对网络进行攻击。
  (6)窃取主机或AT私有信息
  指通过间谍软件或恶意程序窃取AT私有信息的行为,包括转发个人信息、窃听SIP呼叫、记录和报告业务使用率等。
  针对这些攻击,A-IMS对IMS/MMD固有的安全机制进行了改进,增加了SM等网元,建立了一个新的安全体系,实现了对攻击的预防、监视和控制。
4 A-IMS对IMS安全体系的继承
  A-IMS继承了IMS/MMD的所有安全特征,如鉴权、加密以及数据完整性保护算法等,因此A-IMS在SIP用户的合法性检验、数据的私密性和完整性等方面采取的算法和IMS/MMD是相同的[5-7]。但由于A-IMS增加了对非SIP应用的支持,相应地,这些算法也考虑了对非SIP应用的支持(本文中提及的A-IMS对IMS的继承,是指对鉴权加密机制的继承,但对于具体的细节A-IMS有一些细微改进)。
  (1)鉴权算法
  A-IMS和IMS一样,鉴权被用于二层初始接入鉴权、IP移动业务鉴权及SIP应用鉴权,另外在需要安全通信的网元间,鉴权也是必要的。针对集成设备和非集成设备,A-IMS使用的鉴权算法有所不同。
  在集成设备中,对于SIP应用,采用3GPP2认证与密钥协商/IP安全协议(AKA/IPSec);对于非SIP应用,采用应用特定的鉴权协议,如传输层安全协议(TLS)。
  在非集成设备中,对于SIP应用,采用3GPP2 AKA/IPSec或TLS;对于非SIP应用,采用应用特定的鉴权协议,如TLS。
  (2)加密和数据保护
  A-IMS也采用了加密和数据完整性算法,如表1所示。

5 A-IMS对IMS安全体系的增强
  A-IMS除了继承上述鉴权、加密机制外,还提出了一些新的安全措施。相对于IMS,A-IMS主要在集成安全和统一安全管理、安全操作中心、设备接纳控制、安全策略等方面对安全性进行了增强。
  5.1集成安全和统一安全管理
  由于A-IMS需要处理吉比特速率的承载流量,为避免网络“瓶颈”,A-IMS将安全机制集成到系统的各个网元中,通过SOC下发策略和SM对安全事件的检测,使分散于各地的网元,都按照统一的安全策略工作,实现了整个网络统一的安全管理。例如:利用集成安全机制,SOC可以分发流量标准等安全策略到各地网元,通过本端测量或远程测量,标识、区分和追踪反常行为,快速阻断病毒的传播,这种统一的集成安全机制,使系统整体安全性相对于IMS/MMD网络有较大提高。
  5.2安全操作中心
  SOC主要应用于集中监视、报告和处理,是A-IMS最主要的新增实体,也是整个系统安全管理的核心。SOC通过策略的制定和分发,从AM等网元中收集安全信息,检查业务状态,对外部入侵进行识别、分析和处理,为A-IMS提供成熟而健壮的保护。另外SOC还具备突发事件管理和配合司法调查等能力,可以协助进行危机处理。
  由于SOC关系到整个网络的安全,通常应使用冗余设备及UPS来保证其硬件可靠性,并应严格限定操作员的操作权限,只允许有确切必要的雇员登录入SOC,并对登录SOC的操作员的操作进行后台监测。除此之外,还要经常对SOC进行严格的内部信息安全规则审计,以保证SOC的正常运行。
  5.3设备接纳控制
  设备接纳控制是一种网络对终端设备接入网络的决策行为。当终端接入网络时,网络可决定设备是否被允许连入网络,如果得到允许,网络基于其安全姿态,决定能够得到的服务等级。
  A-IMS将终端分为3种类型:只支持语音的闭合设备、同时支持语音和数据的高级终端和具备EV-DO能力的个人计算机。后两种终端属于智能终端(IAT),A-IMS设备接纳控制主要是针对IAT进行控制。
  设备接纳控制也是A-IMS主要的安全增强点。在IMS/MMD网络中,对设备接纳控制主要通过鉴权、加密等接入控制措施实现。而A-IMS则新增了安全代理功能,利用安全代理,可以验证设备的健康状况,确定设备可以接入的安全等级。如这个代理运行在IAT上,则被称为姿态代理,运行在AM和BM等网络设备上,被称为移动安全代理(MSA)。
  5.3.1姿态代理
  姿态代理在IAT上运行,是设备接纳控制的重要部分,它收集设备的姿态信息(包括操作系统是否运行于授权的版本,以及是否正确打过补丁等),并将结果通过IPGW发送给SM。
  IAT在初始接入时,SM将根据PA送过来的设备姿态信息报告,对照相关的安全策略,决定向IPGW发送的初始策略响应:是受限接入还是完全接入,如果是受限接入,相关安全策略将被下载到BM,使设备只能通过BM连接到特定AM上处理紧急呼叫的SIP业务端口,同时转移Web流量到更新服务器,要求用户下载更新软件。
  采用基于姿态代理的设备接纳控制有以下好处:
  保证所有用户设备和网络安全策略一致,提前防范蠕虫、病毒、间谍和恶意软件,使运营商更关注于提前预防而不是事后处理,有效提高A-IMS网络的安全性。
  提供一种措施,检查和控制连接到网络的设备,而不考虑其具体的接入方式,从而增加了网络的自适应能力和扩展性。
  阻止不兼容或不可控的终端设备,以免影响网络的可用性。
  减少因识别和修复非兼容、不可管理、受感染的系统造成的运营性支出。
  阻止易于攻击、非兼容和不可控的端点设备成为攻击对象,提高网络的可用性。
  5.3.2移动安全代理
  MSA位于AM和BM等网元上,和PA配合,完成设备接纳控制功能。MSA还可以根据SM的要求监视设备状态,协助SM检测和消除“Zero Day”威胁,降低系统因修复攻击破坏而带来的维护成本(OPEX),这在网络有多种接入方式时非常重要(如WiFi和宽带接入时)。MSA还具有反向防火墙能力,它在检测时将分析行为而不仅仅依靠用户签名,这对防止“Zero Day”类攻击非常重要。
  MSA除了具备姿态代理的全部功能外,还具备有如下功能:
  预防主机被入侵
  防止间谍软件
  防止内存溢出攻击
  提供分布式反向防火墙能力
  防止恶意移动代码入侵
  保证操作系统完整性
  审计日志
  增强QoS
  5.4安全策略
  安全策略是在网络出现安全事件时,SOC让系统自动执行的策略。
  5.4.1设备安全代理的层次
  在A-IMS中,安全策略扮演了很重要的角色。A-IMS网络架构的安全管理、DDoS防范、接入控制、入侵防护、鉴权、设备接纳控制等都是SM通过安全策略实现的,SM通过内置的移动安全代理主控制器(MSA-MC),实现对网络中其他各网元的MSA的控制。
  IAT中的MSA收集主机的信息,然后发送到MSA-MC中,MSA-MC负责根据相关的策略,对相关信息进行预处理,然后将处理结果送到归属地SM(H-SM)中,由SM进行姿态评估和异常行为检测,并决定用户可接入的安全等级。
  5.4.2SOC的多级管理模式
  通过SOC,A-IMS的策略控制实现了多级控制。SOC为国家安全操作中心,向地方SM分发安全策略,实现整个网络的统一安全管理。
  5.5DDoS防护
  A-IMS采用自学习算法阻止DDoS攻击,它能够学习流量模式,以适应特定的网络状况,如学习SIP行为以确定合适的流量门限等。A-IMS能够区分合法流量、嫌疑流量和恶意流量,只有合法流量才被允许通过A-IMS网元。
  DDoS攻击防范功能通常运行于不被注目的后台模式,当系统被怀疑遭到攻击时,转发机制被激活,流量被重定向到保护系统,进行分析和控制,然后将合法流量返回到网络。
  5.6安全日志和报告
  A-IMS的各网元:AM、BM、IPGW、AP、SDM等均支持标准的安全事件登记和报告,所有的安全事件告警将被传送到安全事件管理子系统,进行连续存储、分析和审计。系统作为日志收集点,采用接近实时的传输,以便对安全操作进行实时监视。A-IMS日志传输基于下列协议:IPFIX、SDEE、SNMPV3、Syslog。
6 结束语
  IMS/MMD将网络安全分为域内安全和域间安全[8],域内安全又可以分为接入安全和核心网安全。A-IMS提供了PA、MSA、双向防火墙及IDS/IPS等机制,对接入安全性有显著增强,并采用基于策略的集中安全管理机制,使各个网元都受中心SOC控制,使核心网的安全性也得到较大增强。因此从整体看,A-IMS的域内安全相对于IMS/MMD得到了全面提升。而在域间安全方面,A-IMS继承了IMS/MMD原有机制,采用IPSec实现域间通信加密,没有很明显的变化。
  总的来说,A-IMS安全机制相对于IMS/MMD有所增强。
  A-IMS增强的安全性包括:
  新增了SOC/SM以对网络进行多级安全管理,实现了系统安全的整体控制和集中控制。
  提出了安全策略概念。利用安全策略,实现网络安全的自动控制。
  强调整个系统统一的安全管理。A-IMS将安全管理集成到每一个网元中,由SM收集并分析A-IMS各元素(如IPGW、BM、AM、SM、AT等)的安全事件信息,并根据安全策略作出适当的处理。
  采用双向防火墙,利用IDS/IPS等措施,同时保护网络和终端都不受攻击。
  提出了姿态代理和MSA的概念,通过在IAT中设置姿态代理,对终端的操作系统、防火墙的版本和补丁状况进行检查,强制终端具备系统要求的安全等级。
  虽然A-IMS具有一定的先进性,代表了IMS网络的安全研究方向,但从规范本身看,目前A-IMS仍处于框架性描述阶段,还有很多细节尚不明确或统一,如终端对姿态代理的支持(兼容)能力、安全信息交换的内容、安全策略的具体定义等,都有待于进一步研究。特别是终端兼容能力,需要世界上各个手机厂家的共同支持,如果不纳入3GPP/3GPP2等广泛认可的规范,在短期内是很难实现的。另外,A-IMS的安全体系比较复杂,增加了系统实现的难度,如果设计不当,甚至会影响系统的稳定性,在推广应用时会带来一些阻力。但A-IMS的安全理念还是非常先进的,同时它也切合运营商的实际需求,随着相关问题的解决,很有希望成为下一代融合网络的安全标准。
7 参考文献
  [1]VerizonWireless.Advances to IP Multimedia Subsystem(A-IMS)Architecture [S]. 2006.
  [2]3GPPTS23.228. IP Multimedia Subsystem(IMS): Stage 2. [S]. 2006.
  [3]3GPP2:X.S0013-002.IPMultimedia Subsystem(IMS): Stage 2. [S]. 2006.
  [4]ETSIES282 007. IP Multimedia Subsystem (IMS) Functional Architecture [S]. 2006.
  [5]3GPP2:S.S0086-9.3GPP2IMS Security Framework. [S]. 2006.
  [6]3GPPTS33.203. 3G Security; Access Security for IP-based Service(SA3). [S]. 2006.
  [7]3GPPTS33.210. 3G Security, Network Domain Security, IP Network Layer Security [S]. 2006.
  [8]3GPPTS33.310. Network Domain Security (NDS), Authentication Framework (AF) [S]. 2006.
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友 微信微信
收藏收藏 分享分享 支持支持 反对反对
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|文字版|手机版|DIY编程器网 ( 桂ICP备14005565号-1 )

GMT+8, 2024-11-15 05:42 , 耗时 0.085352 秒, 18 个查询请求 , Gzip 开启.

各位嘉宾言论仅代表个人观点,非属DIY编程器网立场。

桂公网安备 45031202000115号

DIY编程器群(超员):41210778 DIY编程器

DIY编程器群1(满员):3044634 DIY编程器1

diy编程器群2:551025008 diy编程器群2

QQ:28000622;Email:libyoufer@sina.com

本站由桂林市临桂区技兴电子商务经营部独家赞助。旨在技术交流,请自觉遵守国家法律法规,一旦发现将做封号删号处理。

快速回复 返回顶部 返回列表