迈向IMS, IP承载网如何应对?

    IMS网络实现了各种会话式IP业务终端与骨干网络的直接互通，从而进一步加重了IP网络在安全性方面的风险。SIP协议天生就不是一种安全机制，各种终端（如UE等）没有安全保护措施，IMS终端用户可攻击IMS核心网络或IP承载网，而且Internet也是一个不安全的环节。如果IP承载网是多业务承载网，那么各种业务之间还会存在潜在的安全隐患。

    为了解决上述安全问题，可从以下几个方面着手。

    首先，网络安全边缘、骨干网边缘设备是解决安全问题的最重要屏障，包括IMS用户的认证、SIP信令的安全接入、非法流量的屏蔽以及对DDOS攻击的处理。其次是IMS核心控制设备的安全，它将直接影响到整个网络的业务运营，例如可要求从Internet来的呼叫必须经过状态防火墙。第三是核心网内部安全，可采用MPLS VPN进行安全隔离，将IP承载网上的不同业务或不同设备从控制和转发平面隔离，消除它们之间的影响，例如避免媒体对SIP信令的影响。

    一些领先的厂商已经在多业务控制网关产品内集成了用户的安全认证功能，即SBC代理功能，实现对SIP信令和媒体的代理，屏蔽非法的SIP呼叫，并具有对SIP信令的防攻击功能，防止非法SIP呼叫。有的还实现了防火墙功能，使用户之间、用户与IP承载网之间形成安全屏障，不相互直接暴露，而且在IMS的会话控制设备和Internet网关可部署防火墙设备。

    ITU-T Y.RACF架构中的资源管理器，可直接控制多业务控制网关上会话表象的创建和删除，没有会话表象匹配的会话流量将被认为是非法的，并被直接丢弃。如果网络管理员或安全部门发现某会话存在安全问题，可通过承载控制层面直接通知骨干网边缘设备直接拆除会话。

    目前，网络转型正站在突破的前夜，困难正一个个被克服。ITU-T Y.RACF架构给我们带来了一缕曙光，相信未来的IP之路会越走越光明。

上一页  [1] [2]