IP多媒体子系统（IMS）安全问题分析

文章首先回顾了3GPP提出IP多媒体子系统（IMS）系统概念的背景和宗旨，通过与传统电信网络技术的比较，分析了IMS系统中存在的诸多安全问题，接着重点阐述IMS安全体系的框架、IMS的接入安全和网络安全，并对其相应的安全措施、关键技术进行了详细论述，最后对IMS安全问题的解决做出总结。

IP多媒体子系统(IMS)是3GPP在R5规范中提出的，旨在建立一个与接入无关、基于开放的SIP/IP协议及支持多种多媒体业务类型的平台来提供丰富的业务。它将蜂窝移动通信网络技术、传统固定网络技术和互联网技术有机结合起来，为未来的基于全IP网络多媒体应用提供了一个通用的业务智能平台，也为未来网络发展过程中的网络融合提供了技术基础。IMS的诸多特点使得其一经提出就成为业界的研究热点，是业界普遍认同的解决未来网络融合的理想方案和发展方向，但对于IMS将来如何提供统一的业务平台实现全业务运营，IMS的标准化及安全等问题仍需要进一步的研究和探讨。

1. IMS存在的安全问题分析

传统的电信网络采用独立的信令网来完成呼叫的建立、路由和控制等过程，信令网的安全能够保证网络的安全。而且传输采用时分复用(TDM)的专线，用户之间采用面向连接的通道进行通信，避免了来自其他终端用户的各种窃听和攻击。

而IMS网络与互联网相连接，基于IP协议和开放的网络架构可以将语音、数据、多媒体等多种不同业务，通过采用多种不同的接入方式来共享业务平台，增加了网络的灵活性和终端之间的互通性，不同的运营商可以有效快速地开展和提供各种业务。由于IMS是建立在IP基础上，使得IMS的安全性要求比传统运营商在独立网络上运营要高的多，不管是由移动接入还是固定接入，IMS的安全问题都不容忽视。

IMS的安全威胁主要来自于几个方面：未经授权地访问敏感数据以破坏机密性;未经授权地篡改敏感数据以破坏完整性;干扰或滥用网络业务导致拒绝服务或降低系统可用性;用户或网络否认已完成的操作;未经授权地接入业务等。主要涉及到IMS的接入安全(3GPP TS33.203)，包括用户和网络认证及保护IMS终端和网络间的业务;以及IMS的网络安全(3GPP TS33.210)，处理属于同一运营商或不同运营商网络节点之间的业务保护。除此之外，还对用户终端设备和通用集成电路卡/IP多媒体业务身份识别模块(UICC/ISIM)安全构成威胁。

2. IMS安全体系

IMS系统安全的主要应对措施是IP安全协议(IPSec)，通过IPSec提供了接入安全保护，使用IPSec来完成网络域内部的实体和网络域之间的安全保护。3GPP IMS实质上是叠加在原有核心网分组域上的网络，对PS域没有太大的依赖性，在PS域中，业务的提供需要移动设备和移动网络之间建立一个安全联盟(SA)后才能完成。对于IMS系统，多媒体用户也需要与IMS网络之间先建立一个独立的SA之后才能接入多媒体业务。

3GPP终端的核心是通用集成电路卡(UICC)，它包含多个逻辑应用，主要有用户识别模块(SIM)、UMTS用户业务识别模块(USIM)和ISIM。ISIM中包含了IMS系统用户终端在系统中进行操作的一系列参数(如身份识别、用户授权和终端设置数据等)，而且存储了共享密钥和相应的AKA(Authentication and Key Agreement)算法。其中，保存在UICC上的用户侧的IMS认证密钥和认证功能可以独立于PS域的认证密钥和认证功能，也可和PS使用相同的认证密钥和认证功能。IMS的安全体系如图1所示。　　

图1 5个不同的安全联盟用以满足IMS系统中不同的需求

图1分别用①、②、③、④、⑤来加以标识：

①提供终端用户和IMS网络之间的相互认证。

②在UE和P-CSCF之间提供一个安全链接(Link)和一个安全联盟(SA)，用以保护Gm接口，同时提供数据源认证。

③在网络域内为Cx接口提供安全。

④为不同网络之间的SIP节点提供安全，并且这个安全联盟只适用于代理呼叫会话控制功能(P-CSCF)位于拜访网络(VN)时。

⑤为同一网络内部的SIP节点提供安全，并且这个安全联盟同样适用于P-CSCF位于归属网络(HN)时。

除上述接口之外，IMS中还存在其他的接口，在图1中未完整标识出来，这些接口位于安全域内或是位于不同的安全域之间。这些接口(除了Gm接口之外)的保护都受IMS网络安全保护。

SIP信令的保密性和完整性是以逐跳的方式提供的，它包括一个复杂的安全体系，要求每个代理对消息进行解密。SIP现在使用两种安全协议：传输层安全协议(TLS)和IPSec，TLS可以实现认证、完整性和机密性，用TLS来保证安全的请求必须使用可靠的传输层协议，如传输控制协议(TCP)或流控制传输协议(SCTP);IPSec通过在IP层对SIP消息提供安全来实现认证、完整性和机密性，它同时支持TCP和用户数据报协议(UDP)。在IMS核心网中，可通过NDS/IP来完成对网络中SIP信令的保护;而第一跳，即UE和P-CSCF间的信令保护则需要附加的测量，在3GPP TS 33.203中有具体描述。

3. IMS的接入安全

IMS用户终端(UE)接入到IMS核心网需经一系列认证和密钥协商过程，具体而言，UE用户签约信息存储在归属网络的HSS中，且对外部实体保密。当用户发起注册请求时，查询呼叫会话控制功能(I-CSCF)将为请求用户分配一个服务呼叫会话控制功能(S-CSCF)，用户的签约信息将通过Cx接口从HSS下载到S-CSCF中。当用户发起接入IMS请求时，该S-CSCF将通过对请求内容与用户签约信息进行比较，以决定用户是否被允许继续请求。

在IMS接入安全中，IPSec封装安全净荷(ESP)将在IP层为UE和P-CSCF间所有SIP信令提供机密性保护，对于呼叫会话控制功能(CSCF)之间和CSCF和HSS之间的加密可以通过安全网关(SEG)来实现。同时，IMS还采用IPSec ESP为UE和P-CSCF间所有SIP信令提供完整性保护，保护IP层的所有SIP信令，以传输模式提供完整性保护机制。

在完成注册鉴权之后，UE和P-CSCF之间同时建立两对单向的SA，这些SA由TCP和UDP共享。其中一对用于UE端口为客户端、P-CSCF端口作为服务器端的业务流，另一对用于UE端口为服务器、P-CSCF端口作为客户端的业务流。用两对SA可以允许终端和P-CSCF使用UDP在另一个端口上接收某个请求的响应，而不是使用发送请求的那个端口。同时，终端和P-CSCF之间使用TCP连接，在收到请求的同一个TCP连接上发送响应;而且通过建立SA实现在IMS AKA提供的共享密钥以及指明在保护方法的一系列参数上达成一致。SA的管理涉及到两个数据库，即内部和外部数据库(SPD和SAD)。SPD包含所有入站和出站业务流在主机或安全网关上进行分类的策略。SAD是所有激活SA与相关参数的容器。SPD使用一系列选择器将业务流映射到特定的SA，这些选择器包括IP层和上层(如TCP和UDP)协议的字段值。

来源：中国联通网站