淺析IMS網(wǎng)絡(luò)安全風(fēng)險及策略部署_第1頁
淺析IMS網(wǎng)絡(luò)安全風(fēng)險及策略部署_第2頁
淺析IMS網(wǎng)絡(luò)安全風(fēng)險及策略部署_第3頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

淺析IMS網(wǎng)絡(luò)安全風(fēng)險及策略部署IMS(IPMultimediaSubsystem)是IP多媒體子系統(tǒng),主要基于IP協(xié)議和開放的網(wǎng)絡(luò)架構(gòu),將語音、數(shù)據(jù)和多媒體等不同業(yè)務(wù),通過不同的接入方式來實(shí)現(xiàn)共享的業(yè)務(wù)平臺,從而有效的增加網(wǎng)絡(luò)和終端之間的互通性。也使得運(yùn)營商對IMS網(wǎng)絡(luò)的安全性有了更高的要求。IMS被認(rèn)為是下一代網(wǎng)絡(luò)的核心技術(shù),也是解決移動網(wǎng)絡(luò)與固網(wǎng)融合,并引入差異化通信業(yè)務(wù)的重要方式。IMS網(wǎng)絡(luò)的體系結(jié)構(gòu)分為業(yè)務(wù)層、控制層和鏈接層。業(yè)務(wù)層由內(nèi)容和應(yīng)用服務(wù)器組成;控制層由網(wǎng)絡(luò)控制SIP服務(wù)器組成;連接層由用于骨干網(wǎng)和接入網(wǎng)的路由器及交換機(jī)組成。由于IMS網(wǎng)絡(luò)架構(gòu)的網(wǎng)元都是基于IP網(wǎng)絡(luò)的,繼承IP網(wǎng)絡(luò)的脆弱性,在一定程度上增加網(wǎng)絡(luò)的潛在威脅。1.1IMS安全問題的由來1.開放網(wǎng)絡(luò):因IMS網(wǎng)絡(luò)在實(shí)際形態(tài)上具有一定的開放性,而互聯(lián)中的網(wǎng)絡(luò)、設(shè)備以及相關(guān)技術(shù)在標(biāo)準(zhǔn)上存在明顯的差異[1]。這就造成基于SIP的會話控制協(xié)議所存在的漏洞和基于IP的相關(guān)信息類型都會面臨不同程度的安全隱患。2.業(yè)務(wù)融合:眾所周知,IMS是具有相關(guān)業(yè)務(wù)的繼承。特別是在IP網(wǎng)絡(luò)中開展相關(guān)的融合業(yè)務(wù)應(yīng)用,使其面臨較為復(fù)雜的業(yè)務(wù)邏輯。1.2IMS安全威脅類型1.攻擊破壞:主要是指IMS網(wǎng)絡(luò)中相關(guān)信息和資源遭受到攻擊和破壞。比如,以蓄意行為而發(fā)送錯誤來破壞路由尋址和相關(guān)交互信息。這種情況,在一定程度上影響相關(guān)控制信令在路由器中運(yùn)轉(zhuǎn)的穩(wěn)定性。2.偽裝篡改:主要表現(xiàn)在一些偽裝合法用戶和服務(wù)器身份,來對IMS網(wǎng)絡(luò)中的相關(guān)信息和數(shù)據(jù)進(jìn)行重定向和篡改[2]。這直接導(dǎo)致有關(guān)計(jì)算和交易等系統(tǒng)處于非正常操作運(yùn)行狀態(tài)。3.干擾濫用:由于IMS網(wǎng)絡(luò)是基于IP網(wǎng)絡(luò),與電信網(wǎng)絡(luò)相比,更容易受到拒絕式服務(wù)的干擾和攻擊。在這其中,一些攻擊者會通過虛假地址來向SIP服務(wù)器發(fā)出大量的請求。進(jìn)而使得相關(guān)業(yè)務(wù)系統(tǒng)所具有的可用性急劇下降。由于IMS網(wǎng)絡(luò)系統(tǒng)在安全策略上比較復(fù)雜。專業(yè)人員需根據(jù)各個系統(tǒng)的差異,以針對性的形式研究IMS網(wǎng)絡(luò)安全策略部署。2.1IMS網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)的安全對策IMS網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)包括四個模塊,分別是IMS控制模塊、IMSAS模塊、IMS媒體模塊和IMSHSS數(shù)據(jù)模塊??梢圆捎靡韵掳踩珜Σ撸?.在IMS網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)中,采用專網(wǎng)VPN設(shè)計(jì)。從而有效保證網(wǎng)絡(luò)的保密性[3]。同時,專業(yè)人員根據(jù)保密等級不同設(shè)置不同的安全策略。2.對系統(tǒng)四個模塊的安全域和數(shù)據(jù)庫的訪問按照相關(guān)安全要求進(jìn)行用戶信息鑒權(quán),必須對高保密區(qū)域中的資源訪問權(quán)限和角色予以嚴(yán)格的鑒定。3.在整個業(yè)務(wù)系統(tǒng)中全面部署相關(guān)的防病毒服務(wù)器和入侵檢測系統(tǒng),與此同時,專業(yè)人員還要及時對病毒和木馬庫進(jìn)行更新。2.2IMS網(wǎng)絡(luò)用戶系統(tǒng)的安全對策IMS網(wǎng)絡(luò)用戶系統(tǒng)涉及到不同的業(yè)務(wù)流,是網(wǎng)絡(luò)安全風(fēng)險的入口??梢圆捎靡韵掳踩珜Σ撸?.在語音、數(shù)據(jù)、多媒體等業(yè)務(wù)數(shù)據(jù)流方面,通過對DMZ的設(shè)置來分離安全域。同時,借助業(yè)務(wù)終端以專用VPN的方式將其接入業(yè)務(wù)平臺。2.對不同接入方式和數(shù)據(jù)流向的業(yè)務(wù)需予以雙向認(rèn)證。在認(rèn)證技術(shù)上,專業(yè)人員可選擇PKI/CA或IBC等相關(guān)認(rèn)證技術(shù)。3.對用戶終端可借助SSL和VPN融合的方式予以接入。同時,專業(yè)人員需對相關(guān)業(yè)務(wù)數(shù)據(jù)和消息進(jìn)行加密2.3IMS網(wǎng)絡(luò)承載系統(tǒng)的安全對策IMS網(wǎng)絡(luò)承載系統(tǒng)存在網(wǎng)絡(luò)封閉性等問題,專業(yè)人員可采用以下安全對策:1.在承載網(wǎng)絡(luò)上可采用VPN專網(wǎng)通道,一定程度上隔離控制和媒體的流量。2.按照安全策略標(biāo)準(zhǔn)對可信路這個部分,經(jīng)過驗(yàn)證、過濾和加密等步驟來保證網(wǎng)絡(luò)穩(wěn)定性。3.加強(qiáng)對控制信息流量的監(jiān)測,并設(shè)置策略進(jìn)行合理的速率控制。從而有效避免惡意流量的沖擊。4.積極部署異構(gòu)防火墻和防病毒系統(tǒng),以此來對相關(guān)業(yè)務(wù)實(shí)體和系統(tǒng)的安全進(jìn)行防護(hù)。5.在IP承載網(wǎng)的網(wǎng)管系統(tǒng)中,專業(yè)人員可通過帶外管理的方式,來將該網(wǎng)絡(luò)與基礎(chǔ)網(wǎng)絡(luò)進(jìn)行有效

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論