IMS安全问题分析
企业网IMS安全风险与应对措施研究
企业网IMS安全风险与应对措施研究一、企业网IMS安全风险分析1. 数据泄露风险企业网IMS作为企业内部通信和业务数据交换的重要平台,承载了大量敏感信息和业务数据。
一旦企业网IMS遭受攻击,造成数据泄露,将给企业带来重大损失,不仅可能导致业务中断和服务质量下降,还可能引起用户信任危机,影响企业形象和品牌价值。
2. 网络攻击风险企业网IMS承载了企业重要的通信和业务流程,一旦遭受网络攻击,可能导致通信服务中断、网络拥塞、安全漏洞等问题,严重影响企业运营和业务稳定性。
而且,由于IMS系统的复杂性,攻击者可能利用漏洞进行网络侵入和控制,危害企业网络安全。
3. 身份认证风险企业网IMS的用户包括企业员工、合作伙伴和客户,不同身份的用户可能具有不同的权限和访问控制需求。
身份认证风险主要包括用户身份伪造、非法访问和权限滥用等问题,可能导致企业数据泄露和系统被入侵。
4. 通信加密风险企业网IMS是一个多媒体通信平台,包括语音、视频等多种通信方式,通信内容的加密是保障通信安全的关键环节。
如果企业网IMS通信加密不严密或者被攻击破解,将对企业通信内容的保密性和完整性构成威胁。
1. 加强网络安全意识企业应加强员工网络安全意识培训,提高员工对安全风险的认识和防范意识。
通过定期的网络安全知识培训和技能培训,使员工了解网络安全的基本知识、企业网IMS的安全政策和规范,提高员工处理网络安全问题的应变能力。
2. 完善安全管理机制企业应建立完善的安全管理机制,包括安全策略、安全流程、安全规范和安全制度。
企业网IMS安全管理应形成由高层领导承担责任、各部门配合协作、信息技术团队负责实施的安全管理体系,强化对安全管理的重视和督导力度。
3. 加强身份认证和访问控制企业应建立健全的身份认证和访问控制机制,根据用户身份、角色和权限,建立完整的用户身份认证和访问控制策略。
通过采用多因素身份认证、访问控制列表、权限管控等措施,有效防范身份伪造和非法访问行为。
IMS网络安全机制探讨
・
未授权访问或操纵服务: 攻击者通过窃听、 伪装 、 流 量分析等手段获取或操纵敏感信息。 完整性威胁 : 攻击者对系统接口上的信令或数据进
针对 C C 实体的攻击。 SF 目前, I P网络频繁发生拒绝
.
服务(o ) DS 攻击和分布式拒绝服务( D S 攻击 , D o) 这
服务否认: 指用户或网络不承认曾经发生的操作。
・ ・
容易成为黑客的攻击 目 标。 网络中通信协议本身存在的不安全因素和协议实 现中可能存在漏洞。S I P等协议采用 U P承载, D 数 据包不需要建立连接 , 容易受到泛洪攻击。
i e r to lr e t c r ce si s t e e e t r s o s th n t r t fc m oe s c rt t r a . Ba e s fs t h wn ntg ai n a g e c ha a t r tc , h s f a u e s f wi i l c e wo k o a e r e u y h e t i s d o wic o l c a a trsis a d o e a o s o p r tng e e e e hi ril a lz s a d ic s s o s t h n t r e urt e a e a h r ce tc i n p r t r fo e ai xp r nc ,t s a tc e nay e n d s use s f wic e wo k s c i y m n c nd i l
・
些攻击能使系统设备不堪重负。在 I S体系中. M
CC SF实体集中完成管理和呼叫控制 .直接面对各 种不同的用户 ,这在一定程度上是一个安全隐患 ,
气相色谱离子迁移谱安全操作及保养规程
气相色谱离子迁移谱安全操作及保养规程1. 引言气相色谱(Gas Chromatography,GC)是一种广泛应用于化学分析的技术。
离子迁移谱(Ion Mobility Spectrometry,IMS)则是一种与气相色谱相结合的高效分离技术。
本文将介绍气相色谱离子迁移谱的安全操作和保养规程。
2. 实验操作安全措施在进行气相色谱离子迁移谱实验时,需要遵守以下安全操作措施:2.1 实验室安全•在实验室内使用离子迁移谱仪时,应保持实验室的整洁和干净,避免杂物堆积和过度拥挤。
•确保实验室内有适当的通风系统,以保持良好的空气质量。
•在实验室内使用仪器时,应穿戴适当的个人防护装备,包括实验手套、实验眼镜等。
2.2 仪器操作安全•在进行离子迁移谱实验之前,需要对仪器进行检查和保养,确保仪器的正常运行。
•操作人员应事先熟悉离子迁移谱仪的使用方法,并按照操作手册进行操作。
•在操作过程中,应严格按照操作要求进行,避免不必要的操作错误。
•在更换样品或试剂时,应注意防止与皮肤、眼睛等接触,并及时清洁工作区域。
2.3 危险化学品处理•在使用危险化学品时,需要遵循相关安全操作规程,并按照操作手册中的要求正确使用。
•危险化学品应储存在专用柜内,远离热源和火源,避免与其他化学品混放。
•使用危险化学品时,应佩戴适当的个人防护装备,如实验手套、实验眼镜等。
2.4 废物处理•在实验结束后,需要将废弃物和实验残渣正确分类,并按照相关规定进行处理。
•废弃物和实验残渣应储存在指定的储存容器内,避免与环境接触。
3. 仪器保养规程为了保证离子迁移谱仪的正常运行和延长仪器的使用寿命,需要进行定期的保养和维护。
以下是一些常见的仪器保养规程:3.1 日常清洁•每日使用结束后,应及时清洁离子迁移谱仪及其附件,避免样品残留和污染。
•使用软布等柔软的材料擦拭仪器表面,避免使用粗糙的材料划伤仪器。
3.2 气源净化•定期检查仪器的气源净化系统,保证其正常运行。
IMS网络安全技术初探
1 I 网络 面 临 的安 全 威 胁 概 述 Ms
2 I 安 全体 系及 分 析 Ms
有 鉴 于 上述 威 胁 . I MS安 全 体 系 规 范 应 运 而 生 。 在 I MS的安 全 体 由于 I MS网 络是 一 种 融 合 了传 统 固 网 、 移动 网及 互 联 网的 全 网 络 系 中, I MS网 络 被 分 为 接 入 网 和 网 络 域 两 部 分 ,整 个 I 网络 使 用 MS 技 术 . 它 就 可 能 面 临 着上 述 三 种 网络 原 本 就 各 自存 在 以及 互 相 融 因此 IS c的安全特性提供安全保护, Pe 此外提供 5个类型的安全联盟 (A) S 。 合 中产 生 的各 类 安 全威 胁 。根 据 O I 层模 型 划分 , 致 可 以 归 纳 为 S七 大 图 1示 出 I MS安 全 体 系 的 整体 结 构 , 类 型 的安 全 联 盟 分 别 用 数 字 5个 以 这 个 层 面 发起 攻 击 。 常见 的攻 击 手 段 如 : 洪泛 攻 击 : 用 使
某 种 终端 发 送 大 量 未 经 授 权 的 SP信 息 。如 通 过 V l 网络 软 终 端 电 I oP 随着 国内移动通信 3 G网络建设的不断深入 ,整合后的三家拥有 话 发送 大 量 的 IVIE。 而 大量 消 耗 核 心 网 资 源 。 册攻 击 :I N T 从 注 SP电话 3 牌 照 的 电信 运 营 商 间 的 竞 争 态 势 日趋 激 烈 ,作 为 未来 全业 务 电信 G 在I MS网络 上 通 常需 要 注 册 后 才 可 以 使 用 。 用 户 注 册 过 程 中 , 击 在 攻 网 络发 展 方 向 的 I MS网 络 建 设 日益 成 为 各 运 营 商 竞 争 中 的主 要 争 夺 者截 获注 册 消 息 , 向 一个 U d 的所 有 C nat 并 P o tc 发送 注 册 注 销 消 息 , 然 点 , 各 方 所 重视 。 被 后 注 册 自己 的设 备 为 cnat 址 ,这 样 就 将 所 有 到 用 户 的 呼 叫 全 部 otc 地 I 媒 体 子 系 统 ( ) 术 旨在 建 立 一 个 与 接 入 无 关 、 于 开放 P多 I 技 MS 基 转 向攻 击 者 的设 备 。 的 SPI 议 及 支持 多 种 多 媒 体 业 务类 型 的平 台来 提 供 丰 富 的业 务 。 I/ P协 1 应 用 层 风 险 . 5 它 有 机 融 合 了蜂 窝 移 动 通信 网 、 统 固 网和 互 联 网 技 术 , 未 来 的全 传 为 应 用 层 面 的 风 险 主要 包 括 核 心 侧 及 接 入 侧 两 方 面 。 在 核 心 侧 , 由 I P网络 的 多媒 体 应 用 提 供 了 一 个通 用 的业 务 智 能 平 台 , 为未 来 网络 也 于多数的 I MS核 心 网应 用 软 件 运行 于 常 规 操 作 系 统 的 网 络 服 务 器 之 发 展 中 的 网络 融合 提 供 了技 术 基 础 , 目前 业 界 普 遍 认 同 的解 决 未 来 是 上 , 会 面 临 与 之 相 同类 型 的风 险 威 胁 。例 如 , 于 LN X 操 作 系 统 将 基 IU 网络 融 合 的理 想 方 案 和 发 展 方 向 。 服 务 器 运 行 的 “uh t— ak 类 软 件 , 是 基 于 wn o s操 作 系 统 服 P s—o T l” 或 idw 然 而 , 为一 种 完 全 基 于 I 作 P的 技 术 , 必 然 会 面 I 其 临着 I 络 原 P网 务 器 的 I 即 时 消 息 类 软 件 都 可 能 面对 同样 的 如 D S侵 入 、 虫 病 毒 M o 蠕 有 的各 种 安全 隐 患 , 之 SP作 为 一 种 基 于文 本 的 信 令 协 议 。 设 计 加 I 在 等 常见 传 统 威 胁 , 此 类 I 击 由 于 不 面 向连 接 , 难 被 追 溯 跟 踪 , 且 P攻 很 之 初 充 分 考 虑 了协 议 的 易 用 性 和 灵 活 性 ,却 并 没 有 将 安 全 性 作 为 重 由此 将 会 大 大影 响 网络 运 行 稳 定 性 、 务 成 本 及 运 营 收 益 。 而 在 接 人 服 点 . 此其 在具 有 实 现 简 单 、 因 扩展 性 好 、 媒 体 会 话 提 供 和 业 务 扩 展 能 多 侧。 个人电脑或智能手机是 网络威胁的人 口。这些入侵威胁包括通过 力 强 等 特 点 的 同 时 , 存 在 着词 法 和 语 法 分 析 较 简 单 、 对 复 杂 网 络 又 面 I MS接 入 网 络 将 病 毒 、 虫 、 洛 伊 木 马 、 圾 邮 件 、 蠕 特 垃 间谍 软 件 等 向其 环 境 缺少 有 力 安 全 机 制 的 弱点 , 易 被 攻 击 者 模 仿 、 改 , 以 非 法 利 容 篡 加 他 用 户终 端传 播 。
IMS网络安全风险及策略分析
IMS网络安全风险及策略分析摘要:针对当前的 IMS 网络安全风险,专业人员必须采取合理有效的整体安全对策,降低和控制 IMS 网络安全风险。
本文深入浅出的探讨 IMS 网络安全风险和策略部署,更好的保障 IMS 网络安全系统的建设。
关键词:IMS 网络;安全风险;策略部署IMS(IP Multimedia Subsystem)是一种新型的基于 IP 的业务融合网络多媒体系统,它能够为各类终端用户提供更加优质的多媒体服务。
所以,IMS 被业内誉为是促进通信网络发展的关键因素,是一种核心的多媒体信息技术,也是实现固定与移动、视频与语音以及有线与无线相结合的重要 IP 业务模式。
IMS 的特点主要有分布式、非接入式以及开放性等。
IMS 这些特点为今后的网络通信发展奠定了良好的基础,是解决当下网络系统中所存在的网络不同、终端不同以及业务不同等问题的重要手段。
但是就目前来看,IMS 网络中还存在着一些安全问题,IMS 网络标准化的安全机制还有待完善。
本文就对 IMS 网络安全风险进行分析与研究,并提出相应的解决措施。
1 网络安全基本概念网络安全是指网络信息的机密性、完整性以及可靠性,是防止非正规途径的获取及使用网络信息,避免有人采用恶意手段对网络信息进行非法修改与破坏,以确保网络信息的安全性以及可靠性,使网络信息使用人员能够更加放心的使用网络。
在整个网络系统的软件以及硬件中,脆弱性是非常大的一种缺陷,这一缺陷的存在给非法攻击人员提供了便利条件,非法攻击人员可以通过这一缺陷来对网络或者网络设备进行非法攻击,从而达到未经授权即可访问的目的,很大程度的影响了网络安全。
网络安全的目标就是实现网络信息的机密性、完整性以及可靠性,可以通过对计算机软件技术、硬件技术、网络技术以及密钥技术等一系列安全技术的应用,来实现网络安全。
以确保网络信息在特定时间内的传输、保存以及处理不会受到外界不法行为的侵犯与破坏,为网络信息的保密性、完整性以及可靠性提供有效的保障。
IMS概述与安全简析
IMS概述与安全简析作者:薄静华来源:《科技资讯》2014年第14期摘要:IP多媒体子系统(IMS)是3GPP在R5规范中提出的,旨在建立一个与接入无关、基于开放的SIP/IP协议及支持多种多媒体业务类型的平台来提供丰富的业务。
它将蜂窝移动通信网络技术、传统固定网络技术和互联网技术有机结合起来,为未来的基于全IP网络多媒体应用提供了一个通用的业务智能平台,也为未来网络发展过程中的网络融合提供了技术基础。
关键词:IMS 应用安全中图分类号:TP393 文献标识码:A 文章编号:1672-3791(2014)05(b)-0014-02IMS:IP Multimedia Subsystem,IMS是在3GPP R5阶段提出的一个新的域,它基于IP承载,叠加在PS(分组域)之上,为用户提供文本、语音、视频、图片等不同的IP多媒体信息。
IP:基于IP的传输,基于IP的会话控制,基于IP的业务实现。
Multimedia:语音、视频、图片、文本等多种文字的组合,在多种接入基础之上具有不同能力的终端组合。
Subsystem:依赖于现有网络技术和网络设备发展的系统,最大程度重用现有网络系统,无线网络把PS/GPRS网络作为承载网络,固定网络把基于固定接入IP系统作为承载网络。
IMS作为一种全新的多媒体业务形式,它能够满足现在的终端客户更新颖、更多样化多媒体业务的需求。
目前,IMS被认为是3G乃至4G时代网络的核心技术,也是解决移动与固网融合,引入语音、数据、视频三重融合等差异化业务的重要方式。
而且IMS已经被全世界的运营商所接受,基于IMS的网络及业务应用将为广大用户提供全方位、一体化、一站式的服务。
1 IMS的主要特点1.1 归属控制方式IMS终端无论用户身在何处,采用何种方式接入方式,网络均能够提供始终如一的归属地服务。
1.2 网络的融合共享公共共享组件架构使得网络业务控制层与具体业务和底层网络无关,提供了一个公共共享的业务控制层,使得网络融合和业务融合成为可能。
ims面试题目(3篇)
第1篇一、引言随着信息技术的飞速发展,物联网、大数据、云计算等新兴技术逐渐融入城市建设,为智慧城市的建设提供了强有力的技术支撑。
其中,IP多媒体子系统(IP Multimedia Subsystem,简称IMS)作为新一代网络架构,具有强大的融合能力,能够有效整合语音、视频、数据等多种业务,为智慧城市建设提供全面的服务。
本文将从IMS系统的定义、特点、在智慧城市建设中的应用以及创新等方面进行探讨。
二、IMS系统概述1. IMS系统的定义IMS系统是一种基于IP网络的多媒体通信系统,它通过融合固定和移动网络,实现语音、视频、数据等多种业务的统一承载。
IMS系统主要由接入网、核心网、应用网和用户终端组成,通过统一的控制平面实现业务控制和资源分配。
2. IMS系统的特点(1)融合性:IMS系统融合了固定和移动网络,实现语音、视频、数据等多种业务的统一承载。
(2)开放性:IMS系统采用标准化的接口,便于第三方应用的开发和部署。
(3)灵活性:IMS系统可根据业务需求灵活调整网络架构和业务流程。
(4)安全性:IMS系统具备完善的安全机制,保障用户隐私和数据安全。
三、IMS系统在智慧城市建设中的应用1. 智慧交通(1)交通信号控制:通过IMS系统,实现对交通信号的远程控制,提高交通效率。
(2)智能停车:利用IMS系统,实现停车场信息的实时查询、预约停车等功能。
(3)公共交通调度:通过IMS系统,实现对公共交通车辆的实时调度和监控。
2. 智慧医疗(1)远程医疗:利用IMS系统,实现医生与患者之间的远程会诊、诊断和治疗。
(2)健康管理:通过IMS系统,为用户提供个性化的健康管理方案。
(3)医疗资源共享:利用IMS系统,实现医疗资源的优化配置和共享。
3. 智慧能源(1)智能电网:通过IMS系统,实现电网的实时监控、故障诊断和远程控制。
(2)智能充电桩:利用IMS系统,实现充电桩的远程控制和监控。
(3)能源管理:通过IMS系统,实现能源的智能调度和优化配置。
IMS安全问题分析
⑤为 同一 网络 内部 的 SP节点 提供 安 全 .并且 I 这 个 安 全 联 盟 同 样 适 用 于 PC C — S F位 于 归 属 网络
( N) 。 H 时
口上 接收 某个 请 求 的响 应 , 不是 使 用 发送 请 求 的 而 那 个端 口。 同时 , 端 和 P C C 终 S F之 间使 用 T P连 C
图 1中显 示 了 5个 不 同 的 安 全 联 盟 用 以满 足
I MS系统 中不 同的需 求 , 别用 ① 、 、 、 、 来 分 ② ③ ④ ⑤
加 以标 识
① 提供 终端 用户 和 I MS网络之 间的相互 认 证 。
② 在 UE和 PC C — S F之 间 提 供 一 个 安 全 链 接 ( ik 和 一个 安 全 联 盟 (A) 用 以保 护 G 接 口 , Ln ) S , m
接 ,在收 到请 求 的 同一个 T P连 接上 发送 响应 : C 而
且 通 过建 立 S 实现 在 I K 提 供 的共 享 密 钥 A MSA A 以及 指 明在保 护方法 的 一 系列 参数 上达 成一 致 。 A S 的 管 理 涉及 到 两个 数 据库 ,即 内部 和 外 部 数 据 库 ( P 和 S D) S D 包含 所有 入站 和 出站业 务流 在 SD A 。P 主机 或安全 网关 上进行 分类 的策略 S D 是所有 激 A
, ,
HS S
一 一 … ~ … ~一 一… … 一 一 一r
( 3
r .一 一
f 3}
、
± 一
一
…
一 一
…一 ~ 一 一 ±
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
IMS安全问题分析发布:2012-07-20 | 作者:——| 来源: C114中国通信网 | 查看:76次 | 用户关注:摘要文章首先回顾了3GPP提出IP多媒体子系统(IMS)系统概念的背景和宗旨,通过与传统电信网络技术的比较,分析了IMS系统中存在的诸多安全问题,接着重点阐述IMS安全体系的框架、IMS的接入安全和网络安全,并对其相应的安全措施、关键技术进行了详细论述,最后对IMS安全问题的解决做出总结。
IP 多媒体子系统(IMS)是3GPP在R5规范中提出的,旨在建立一个与接入无关、基于开放的SIP/IP协议摘要文章首先回顾了3GPP提出IP多媒体子系统(I MS)系统概念的背景和宗旨,通过与传统电信网络技术的比较,分析了IMS系统中存在的诸多安全问题,接着重点阐述IMS安全体系的框架、IMS的接入安全和网络安全,并对其相应的安全措施、关键技术进行了详细论述,最后对IMS安全问题的解决做出总结。
IP多媒体子系统(IMS)是3GPP在R5规范中提出的,旨在建立一个与接入无关、基于开放的SIP/IP协议及支持多种多媒体业务类型的平台来提供丰富的业务。
它将蜂窝移动通信网络技术、传统固定网络技术和互联网技术有机结合起来,为未来的基于全IP网络多媒体应用提供了一个通用的业务智能平台,也为未来网络发展过程中的网络融合提供了技术基础。
IMS的诸多特点使得其一经提出就成为业界的研究热点,是业界普遍认同的解决未来网络融合的理想方案和发展方向,但对于IMS将来如何提供统一的业务平台实现全业务运营,IMS的标准化及安全等问题仍需要进一步的研究和探讨。
1、IMS存在的安全问题分析传统的电信网络采用独立的信令网来完成呼叫的建立、路由和控制等过程,信令网的安全能够保证网络的安全。
而且传输采用时分复用(TDM)的专线,用户之间采用面向连接的通道进行通信,避免了来自其他终端用户的各种窃听和攻击。
而IMS网络与互联网相连接,基于IP协议和开放的网络架构可以将语音、数据、多媒体等多种不同业务,通过采用多种不同的接入方式来共享业务平台,增加了网络的灵活性和终端之间的互通性,不同的运营商可以有效快速地开展和提供各种业务。
由于IMS是建立在IP基础上,使得IMS的安全性要求比传统运营商在独立网络上运营要高的多,不管是由移动接入还是固定接入,IMS的安全问题都不容忽视。
IMS的安全威胁主要来自于几个方面:未经授权地访问敏感数据以破坏机密性;未经授权地篡改敏感数据以破坏完整性;干扰或滥用网络业务导致拒绝服务或降低系统可用性;用户或网络否认已完成的操作;未经授权地接入业务等[1]。
主要涉及到IMS的接入安全(3GPP TS33.203),包括用户和网络认证及保护IMS终端和网络间的业务;以及IMS的网络安全(3GPP TS33.210)[2],处理属于同一运营商或不同运营商网络节点之间的业务保护。
除此之外,还对用户终端设备和通用集成电路卡/IP多媒体业务身份识别模块(UICC/I SIM)安全构成威胁。
2、IMS安全体系IMS系统安全的主要应对措施是IP安全协议(IPSec),通过IPSec提供了接入安全保护,使用IPSec来完成网络域内部的实体和网络域之间的安全保护。
3GPP IMS实质上是叠加在原有核心网分组域上的网络,对PS域没有太大的依赖性,在PS域中,业务的提供需要移动设备和移动网络之间建立一个安全联盟(SA)后才能完成。
对于IMS系统,多媒体用户也需要与IMS网络之间先建立一个独立的SA之后才能接入多媒体业务。
3GPP终端的核心是通用集成电路卡(UICC),它包含多个逻辑应用,主要有用户识别模块(SIM)、UMT S用户业务识别模块(USIM)和ISIM。
ISIM中包含了IMS系统用户终端在系统中进行操作的一系列参数(如身份识别、用户授权和终端设置数据等),而且存储了共享密钥和相应的AKA(Authentication and Key Agreement)算法。
其中,保存在UICC上的用户侧的IMS认证密钥和认证功能可以独立于PS域的认证密钥和认证功能,也可和PS使用相同的认证密钥和认证功能。
IMS的安全体系如图1所示。
图1 IMS安全体系结构图图1中显示了5个不同的安全联盟用以满足IMS系统中不同的需求,分别用①、②、③、④、⑤来加以标识。
①提供终端用户和IMS网络之间的相互认证。
②在UE和P-CSCF之间提供一个安全链接(Link)和一个安全联盟(SA),用以保护Gm接口,同时提供数据源认证。
③在网络域内为Cx接口提供安全。
④为不同网络之间的SIP节点提供安全,并且这个安全联盟只适用于代理呼叫会话控制功能(P-CSCF)位于拜访网络(VN)时。
⑤为同一网络内部的SIP节点提供安全,并且这个安全联盟同样适用于P-CSCF 位于归属网络(HN)时。
除上述接口之外,IMS中还存在其他的接口,在上图中未完整标识出来,这些接口位于安全域内或是位于不同的安全域之间。
这些接口(除了Gm接口之外)的保护都受IMS网络安全保护。
SIP信令的保密性和完整性是以逐跳的方式提供的,它包括一个复杂的安全体系,要求每个代理对消息进行解密。
SIP现在使用两种安全协议:传输层安全协议(TLS)和IPSec,TLS可以实现认证、完整性和机密性,用TLS来保证安全的请求必须使用可靠的传输层协议,如传输控制协议(TCP)或流控制传输协议(SCTP);IPSec通过在IP层对SIP消息提供安全来实现认证、完整性和机密性,它同时支持TCP和用户数据报协议(UDP)。
在IMS核心网中,可通过NDS/IP来完成对网络中SIP信令的保护;而第一跳,即UE和P-CSCF间的信令保护则需要附加的测量,在3GPP TS 33.203中有具体描述。
3、IMS的接入安全IMS用户终端(UE)接入到IMS核心网需经一系列认证和密钥协商过程,具体而言,UE用户签约信息存储在归属网络的HSS中,且对外部实体保密。
当用户发起注册请求时,查询呼叫会话控制功能(I-CSCF)将为请求用户分配一个服务呼叫会话控制功能(S-CSCF),用户的签约信息将通过Cx接口从HSS下载到S-CSCF 中。
当用户发起接入IMS请求时,该S-CSCF将通过对请求内容与用户签约信息进行比较,以决定用户是否被允许继续请求。
在IMS接入安全中,IPSec封装安全净荷(ESP)将在IP层为UE和P-CSCF间所有SIP信令提供机密性保护,对于呼叫会话控制功能(CSCF)之间和CSCF和HSS 之间的加密可以通过安全网关(SEG)来实现。
同时,IMS还采用IPSec ESP为UE和P-CSCF间所有SIP信令提供完整性保护,保护IP层的所有SIP信令,以传输模式提供完整性保护机制。
在完成注册鉴权之后,UE和P-CSCF之间同时建立两对单向的SA,这些SA由TCP 和UDP共享。
其中一对用于UE端口为客户端、P-CSCF端口作为服务器端的业务流,另一对用于UE端口为服务器、P-CSCF端口作为客户端的业务流。
用两对SA 可以允许终端和P-CSCF使用UDP在另一个端口上接收某个请求的响应,而不是使用发送请求的那个端口。
同时,终端和P-CSCF之间使用TCP连接,在收到请求的同一个TCP连接上发送响应;而且通过建立SA实现在IMS AKA提供的共享密钥以及指明在保护方法的一系列参数上达成一致。
SA的管理涉及到两个数据库,即内部和外部数据库(SPD和SAD)。
SPD包含所有入站和出站业务流在主机或安全网关上进行分类的策略。
SAD是所有激活SA与相关参数的容器。
SPD使用一系列选择器将业务流映射到特定的SA,这些选择器包括IP层和上层(如TCP和UDP)协议的字段值。
与此同时,为了保护SIP代理的身份和网络运营商的网络运作内部细节,可通过选择网络隐藏机制来隐藏其网络内部拓扑,归属网络中的所有I-CSCF将共享一个加密和解密密钥。
在通用移动通信系统(UMTS)中相互认证机制称为UMTS AKA,在AKA过程中采用双向鉴权以防止未经授权的“非法”用户接入网络,以及未经授权的“非法”网络为用户提供服务。
AKA协议是一种挑战响应协议,包含用户鉴权五元参数组的挑战由AUC在归属层发起而发送到服务网络。
UMTS系统中AKA协议,其相同的概念和原理被IMS系统重用,我们称之为IMS AKA。
AKA实现了ISIM和AUC之间的相互认证,并建设了一对加密和完整性密钥。
用来认证用户的身份是私有的身份(IMPI),HSS和ISIM共享一个与IMPI相关联的长期密钥。
当网络发起一个包含RAND和AUTN的认证请求时,ISIM对AUTN进行验证,从而对网络本身的真实性进行验证。
每个终端也为每一轮认证过程维护一个序列号,如果ISIM检测到超出了序列号码范围之外的认证请求,那么它就放弃该认证并向网络返回一个同步失败消息,其中包含了正确的序列号码。
为了响应网络的认证请求,ISIM将密钥应用于随机挑战(RAND),从而产生一个认证响应(RES)。
网络对RES进行验证以认证ISIM。
此时,UE和网络已经成功地完成了相互认证,并且生成了一对会话密钥:加密密钥(CK)和完整性密钥(IK)用以两个实体之间通信的安全保护。
4、IMS的网络安全在第二代移动通信系统中,由于在核心网中缺乏标准的安全解决方案,使得安全问题尤为突出。
虽然在无线接入过程中,移动用户终端和基站之间通常可由加密来保护,但是在核心网时,系统的节点之间却是以明文来传送业务流,这就让攻击者有机可乘,接入到这些媒体的攻击者可以轻而易举对整个通信过程进行窃听。
针对2G系统中的安全缺陷,第三代移动通信系统中采用NDS对核心网中的所有IP数据业务流进行保护。
可以为通信服务提供保密性、数据完整性、认证和防止重放攻击,同时通过应用在IPSec中的密码安全机制和协议安全机制来解决安全问题。
在NDS中有几个重要的概念,它们分别是安全域(Security Domains)、安全网关(SEG)。
4.1 安全域NDS中最核心的概念是安全域,安全域是一个由单独的管理机构管理运营的网络。
在同一安全域内采用统一的安全策略来管理,因此同一安全域内部的安全等级和安全服务通常是相同的。
大多情况下,一个安全域直接对应着一个运营商的核心网,不过,一个运营商也可以运营多个安全域,每个安全域都是该运营商整个核心网络中的一个子集。
在NDS/IP中,不同的安全域之间的接口定义为Za接口,同一个安全域内部的不同实体之间的安全接口则定义为Zb接口。
其中Za接口为必选接口,Zb接口为可选接口。
两种接口主要完成的功能是提供数据的认证和完整性、机密性保护。
4.2 安全网关SEG位于IP安全域的边界处,是保护安全域之间的边界。