首 页 | 论 坛 | 黄 页 | 博 客 | 周 刊 | 咨 询 | 报 告 | 广 告 | 新 闻 | 技 术 | 方 案 | 采 购 | 供 求 | 市 场 | 入 门 | 会 展 | 访 谈 | English
VoIP联盟
| VoIP | 统一通信 | 视频通信 | 呼叫中心 | NGN/IMS/FMC | 无线通信/WiMAX/3G/WiFi | 即时通信 | IPTV |
您现在的位置: 全球IP通信联盟 >> IMS-FMC频道 >> 技术文摘 >> IMS技术 >> 正文

IMS安全问题分析

[2008-4-24 9:59:00] 关键字:IMS,IP

欢迎订阅周刊:    周刊回顾         【繁體中文】【字体:


  •     IP多媒体子系统(IMS)是3GPP在R5规范中提出的,旨在建立一个与接入无关、基于开放的SIP/IP协议及支持多种多媒体业务类型的平台来提供丰富的业务。它将蜂窝移动通信网络技术、传统固定网络技术和互联网技术有机结合起来,为未来的基于全IP网络多媒体应用提供了一个通用的业务智能平台,也为未来网络发展过程中的网络融合提供了技术基础。IMS的诸多特点使得其一经提出就成为业界的研究热点,是业界普遍认同的解决未来网络融合的理想方案和发展方向,但对于IMS将来如何提供统一的业务平台实现全业务运营,IMS的标准化及安全等问题仍需要进一步的研究和探讨。

      1. IMS存在的安全问题分析

      传统的电信网络采用独立的信令网来完成呼叫的建立、路由和控制等过程,信令网的安全能够保证网络的安全。而且传输采用时分复用(TDM)的专线,用户之间采用面向连接的通道进行通信,避免了来自其他终端用户的各种窃听和攻击。

      而IMS网络与互联网相连接,基于IP协议和开放的网络架构可以将语音、数据、多媒体等多种不同业务,通过采用多种不同的接入方式来共享业务平台,增加了网络的灵活性和终端之间的互通性,不同的运营商可以有效快速地开展和提供各种业务。由于IMS是建立在IP基础上,使得IMS的安全性要求比传统运营商在独立网络上运营要高的多,不管是由移动接入还是固定接入,IMS的安全问题都不容忽视。

      IMS的安全威胁主要来自于几个方面:未经授权地访问敏感数据以破坏机密性;未经授权地篡改敏感数据以破坏完整性;干扰或滥用网络业务导致拒绝服务或降低系统可用性;用户或网络否认已完成的操作;未经授权地接入业务等。主要涉及到IMS的接入安全(3GPP TS33.203),包括用户和网络认证及保护IMS终端和网络间的业务;以及IMS的网络安全(3GPP TS33.210),处理属于同一运营商或不同运营商网络节点之间的业务保护。除此之外,还对用户终端设备和通用集成电路卡/IP多媒体业务身份识别模块(UICC/ISIM)安全构成威胁。

      2. IMS安全体系

      IMS系统安全的主要应对措施是IP安全协议(IPSec),通过IPSec提供了接入安全保护,使用IPSec来完成网络域内部的实体和网络域之间的安全保护。3GPP IMS实质上是叠加在原有核心网分组域上的网络,对PS域没有太大的依赖性,在PS域中,业务的提供需要移动设备和移动网络之间建立一个安全联盟(SA)后才能完成。对于IMS系统,多媒体用户也需要与IMS网络之间先建立一个独立的SA之后才能接入多媒体业务。

      3GPP终端的核心是通用集成电路卡(UICC),它包含多个逻辑应用,主要有用户识别模块(SIM)、UMTS用户业务识别模块(USIM)和ISIM。ISIM中包含了IMS系统用户终端在系统中进行操作的一系列参数(如身份识别、用户授权和终端设置数据等),而且存储了共享密钥和相应的AKA(Authentication and Key Agreement)算法。其中,保存在UICC上的用户侧的IMS认证密钥和认证功能可以独立于PS域的认证密钥和认证功能,也可和PS使用相同的认证密钥和认证功能。IMS的安全体系如图1所示。

       

        图1 5个不同的安全联盟用以满足IMS系统中不同的需求

        图1分别用①、②、③、④、⑤来加以标识:

      ①提供终端用户和IMS网络之间的相互认证。

      ②在UE和P-CSCF之间提供一个安全链接(Link)和一个安全联盟(SA),用以保护Gm接口,同时提供数据源认证。

      ③在网络域内为Cx接口提供安全。

      ④为不同网络之间的SIP节点提供安全,并且这个安全联盟只适用于代理呼叫会话控制功能(P-CSCF)位于拜访网络(VN)时。

      ⑤为同一网络内部的SIP节点提供安全,并且这个安全联盟同样适用于P-CSCF位于归属网络(HN)时。

      除上述接口之外,IMS中还存在其他的接口,在图1中未完整标识出来,这些接口位于安全域内或是位于不同的安全域之间。这些接口(除了Gm接口之外)的保护都受IMS网络安全保护。

      SIP信令的保密性和完整性是以逐跳的方式提供的,它包括一个复杂的安全体系,要求每个代理对消息进行解密。SIP现在使用两种安全协议:传输层安全协议(TLS)和IPSec,TLS可以实现认证、完整性和机密性,用TLS来保证安全的请求必须使用可靠的传输层协议,如传输控制协议(TCP)或流控制传输协议(SCTP);IPSec通过在IP层对SIP消息提供安全来实现认证、完整性和机密性,它同时支持TCP和用户数据报协议(UDP)。在IMS核心网中,可通过NDS/IP来完成对网络中SIP信令的保护;而第一跳,即UE和P-CSCF间的信令保护则需要附加的测量,在3GPP TS 33.203中有具体描述。

    [1] [2] [3] 下一页

我对该产品/资料感兴趣 请安排负责人员与我联系
姓  名:
*
电子邮件:
*
联系电话:
*

用户类型:
行业用户 企业用户 代理集成商 其他 *

公司名称:

城  市:

手  机:

留言内容:
验证码:
*
责任编辑:北极星 文章来源:中国联通网站

 
  • 上一文章文章:

    •  
  • 下一文章文章:



    • VoIP|VoIP论坛|什么是VoIP|voip网络电话|voip电话|voip技术|voip网关|voip设备|免费voip| 网友评论: (只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
          VoIP|VoIP论坛|什么是VoIP|voip网络电话|voip电话|voip技术|voip网关|voip设备|免费voip| 发表评论:
     评 分:
    1分 2分 3分 4分 5分
     评论内容:
  • ·严禁发表危害国家安全、政治、黄色淫秽等内容的评论。
  • ·用户需对自己在使用全球IP通信联盟网服务过程中的行为承担法律责任。
  • ·本站管理员有权保留或删除评论内容。
  • ·评论内容只代表网友个人观点,与本网站立场无关。
    • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口

    相关阅读 最新动态
    中国备战3G融合,全球60%运营商部署IMS
    基于IMS实现网络融合
    2008中国IMS技术发展展望
    IP多媒体子系统柜架结构研究
    爱立信为爱尔兰运营商集成扩容计费IMS系


    文章搜索
    ◆ 此文章读者还阅读以下文章
    ◆ 每周点击新闻排行
    ◆ 图片新闻
    更多>>
    ◆ 论坛精华帖
    进入论坛>>
    ◆ 精华博文
    进入博客>>
    Google Advertisement
    全球IP通信联盟,解放您的沟通,关注VoIP发展 www.microvoip.com
    | 设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明 | 联系我们 | 投稿中心 | 关于我们 | 站点地图 |

    Copyright©2003-2008 全球IP通信联盟(原全球VoIP联盟) 版权所有
    联系电话:010-82212911/12/13
    021-51701588/85/89/86
    沪ICP备05005909号