安全：IMS的死穴？

　IMS承诺可以帮助电信运营商实现网络结构的全IP化，但引入IMS同时意味着电信运营商将会面对同ISP们一样的烦恼，这就是网络安全问题。原来，集千宠万爱于一身的IMS也有死穴!

　　互联网的安全问题是一个永恒的话题。在过去的12年中，自从美国国际科学基金会交出互联网的控制权，破坏与反破坏的较量便从来没有休止过。虽然在这场较量中，互联网的卫士们积累了大量的经验，但由于互联网无所不在和无所不能的本性使得其安全问题也千变万化，防不胜防。

　　IMS的“互联网”本性

　　IMS，一种承诺可以帮助电信运营商实现网络全IP化的技术，简单、灵活、支持所有开放标准以及独立于接入网络是其主要特点和优势。近来，IMS被一些设备厂商宣传得神乎其神，无所不能。诸如，IMS平台能够使运营商专注于提供应用而不是访问技术、IMS 有助于确保SIP在包括3G设备在内的许多系统上的可用性以及IMS 平台支持各种的基于IP的应用等。

　　也许设备厂商们已经习惯了报喜不报忧。不管我们以何种方式来描述和渲染IMS，有一点是肯定的，那就是IMS是基于TCP/IP协议的，它通过包交换的方式替代传统电信的电路交换。所以可以说，IMS的引入将使电信领域进入“类互联网”时代，安全问题将成为电信运营商的头号大敌。

　　业界对IMS品头论足多是基于“IMS不是互联网”这一前提。诸如，IMS具有集中式架构、智能核心网络以及可运营的商业模式等，这都与互联网有着非常大的不同。但是，回到安全这一网络运营所无法回避的问题上来，IMS比互联网好不到哪里去。

　　互联网的安全问题是由于其“傻瓜网络”的本性所致，它没有集中式的控制认证，而且更要命的是任何一台连接到它上面的电脑都可以使用它。所以，更高层次的安全并不是对用户接入端和网络接入端进行控制认证，而是如何保证合法用户所获取内容的安全可靠，这才是最关键的。网络一旦开放，威胁便可能随时随地爆发。

　　IMS受累于DNS

　　其实，本质上讲，安全的实现就是在IMS和公众互联网之间所设立的一道墙，以防止一切可疑内容的通过。3GPP /3GPP2在IMS安全问题上进行了详细的定义，包括SIM应用和认证程序。但很遗憾，3GPP /3GPP2并没有对如何防止拒绝服务对DNS的攻击作相关定义，这给IMS留下了巨大的安全隐患。3GPP /3GPP2在IMS安全规范中也提到了“应该”防范虚假地址欺骗，但并没有说明“如何”进行防范。除了安全缺陷之外，这还形成另一个问题，就是不同IMS网络或者IMS网络与互联网SIP用户之间是否能够协同工作的问题。

　　在互联网上，DNS是黑客们经常攻击的对象。这主要是因为，在互联网的世界里存在大量的、相互独立的DNS服务器，不管你是增加、删除还是重新配置一台DNS服务器都是非常简单的事情，当然也包括恶意攻击。可以说，在开发使用DNS技术的同时，我们也为自己铺设了一个安全陷阱，虽然DNS技术给我们解决了许多问题，而且使用起来也非常简单。

　　在DNS系统中，缓存中毒是非常普遍的现象。以前通常通过限制递归式DNS的使用来进行防范，这是不对的，因为这将大大降低整个DNS系统的弹性。另一种防范方式是“以毒攻毒”，即以同样的虚假地址向将要受到攻击的DNS服务器“海量”请求，从而将恶意攻击淹没。这样做的后果很明显，在防范了恶意攻击的同时也拖垮了目标服务器。

　　同互联网一样，IMS通过使用DNS来实现不同语言的URL链接和传统电话号码与IP地址之间的解析，而且IMS对DNS的依赖相比互联网有过之而无不及。

　　如IMS安全规范所描述的那样，数据包在通过PCSCF时需要进行加密，而且这一行为与有没有恶意攻击无关。这样一来，会使PCSCF实体中的防火墙功能大打折扣。(编者注:CSCF——会话服务控制，是IMS的功能实体之一，它包括PCSCF——代理CSCF、ICSCF——查询CSCF以及SCSCF——服务CSCF等类型，在物理上可以是合一的，也可以分别设置。)而且，为了满足电信级应用的要求，IMS使用的是私有DNS服务器，还增加了ENUM(电话号码映射)设备。专家认为，这样做的危险性其实更大，因为一旦运营商的DNS出现问题，整个网络的正常工作都将受到影响。


　　另外一个相关的问题就是就是IMS网络与互联网SIP用户的协同工作问题。IMS利用ENUM功能进行SIP URL的查询。但此类查询可以“由内往外”进行，却无法“由外往内”。即查询可以从运营商的内网透传到互联网，却无法从互联网透传到电信运营商的私有DNS，除非运营商的网络与公共互联网之间没有防火墙，这种情况令人费解。而且，向外查询也十分的费劲，或者需要运营商在其网络和公共互联网之间设置防火墙，或者IMS的安全模式需要重新定义。对于这个问题，3GPP和IETF已经开始着手对SIP标准进行派生以实现在IMS的环境下进行SIP URL的真正跨网查询。

 

　　如何应对终端智能化

　　虽然IMS通过严格的中央节点结构以及融合电信网络的计费机制确保了IP在更广范围内连接的可能性。但当前终端设备的智能化程度越来越高，终端设备之间的通信也日趋多样化。在TCP/IP的环境下，一个终端可以很容易地向另一个终端发起攻击。虽然针对智能手机的攻击和病毒没有造成大的危害和损失，但这的的确确是一个潜在的巨大威胁。从某种意义上讲，设备厂商对IMS宣传得越疯狂，针对它的威胁就会越多。

　　所以，在IMS的部署上，运营商会非常谨慎，谁会冒风险去作一只“出头鸟”。更何况IMS是一次对传统电信网络架构的革命，如若伤一发，必然动全身。

　　那么电信运营商到底该怎么办呢?在安全防护的问题上，IMS网络与DSL等宽带接入网络没有本质的区别，面临的安全问题也非常类似，所以IMS运营商可以从ISP那取取经。ISP们通过监控接入路由来跟踪并绘制恶意信息到物理MAC地址的路径图，IMS运营商们也可以利用同样的方式在RNC上实现层2到层3的跟踪监控从而有效阻止恶意攻击和欺骗。从这点来看，安全问题并不仅仅是确保用户终端设备不受攻击和病毒感染，而是整个网络系统对威胁的免疫性。

　　当然，随着网络附加设备智能化程度的日益提高，外围防护的方式会显得力不从心。其中的一些设备，比如Wi-Fi功能的笔记本电脑，在登陆互联网的时候将会形成新的网络接入点。这意味着什么呢?答案是，在这种情况下，媒体网关这一所谓的马其诺防线同样可以被突破。因此，TCP/IP协议端到端的机制最终需要端到端的安全防护。

　　一些厂商已经能够在其IMS解决方案中提供端到端的安全防护，但真正行之有效的解决方案和产品少之又少，多数解决方案对相关安全规范只进行了泛泛的描述。缺少正式的最优编码方式，各个利益集团之间缺乏合作，不管是IETF，ICANN，还是地方电信运营商。

　　业界对于Malcode(有害代码)已经讨论很多了，然而在移动通信领域我们却看不到类似的讨论和研究。对于IMS安全规范，有分析人士指出，网络层以上的安全问题应得到更广泛的关注。因为，在纯IP的世界，单一的外围防护模式是注定要失败的，端到端安全的实现才是正道。

　　可以这么说，在IMS上，没有真正的安全，虽然也有安全领域的专家认为，IMS的安全问题并不像“传说”中那样可怕，只要电信运营商在部署IMS时采取行之有效的安全模式，大部分威胁是可以杜绝的。电信领域会因IMS安全问题而付出同互联网领域一样的痛苦和代价，所以要想电信运营商完全接受IMS不是件容易的事。毕竟，越完美的东西往往越脆弱。