IMS固定接入网安全问题分析

宋建标1,马跃1,刘昶2**|1|宋建标|SongJianBiao|北京邮电大学计算机学院,北京市海淀区100876|Computerscienceandtechnology,BeijingUniversityofPosts&Telecommunications,HaidianDistrict,Beijing,China100876|宋建标,男,硕士,计算机网络、多媒体通信、VOIP|北京市海淀区北京邮电大学学29楼902室|100876|jb_song@163.
com|15011487991|15011487991|2|马跃|MaYue|北京邮电大学计算机学院,北京市海淀区100876|Computerscienceandtechnology,BeijingUniversityofPosts&Telecommunications,HaidianDistrict,Beijing,China100876|||||||3|刘昶|LiuChang|中国移动研究院网络技术所,北京市宣武区1000053|DepartmentofNetworkTechnology,ResearchInstituteofChinaMobile,XuanwuDistrict,Beijing,China100053||||||IMS固定接入网安全问题分析|IMSfixedaccessnetworksecurityissues|(1.
北京邮电大学计算机学院,北京市海淀区100876;2.
中国移动研究院网络技术所,北京市宣武区100053)摘要:IP多媒体子系统(IMS)采用会话启动协议(SIP)协议作为呼叫控制协议,以IP网络为承载,是下一代融合网络的核心技术.
IMS固定宽带接入是3GPP在R7版本中提出来的,主要解决固定移动融合的问题.
本文介绍了IMS的基本概念和网络架构,通过与传统电信网络技术的比较,分析了IMS网络的安全威胁.
IMS的安全体系分为接入网安全和核心网安全,结合实验室的测试结果,从畸形报文、拒绝服务、消息篡改、病毒和木马入侵等方面详细分析了IMS固定接入网的安全问题.

关键词:IP多媒体子系统;安全;畸形报文攻击;拒绝服务攻击;消息篡改中图分类号:TNIMSfixedaccessnetworksecurityissuesSongJianBiao1,MaYue1,LiuChang2(1.
Computerscienceandtechnology,BeijingUniversityofPosts&Telecommunications,HaidianDistrict,Beijing,China100876;2.
DepartmentofNetworkTechnology,ResearchInstituteofChinaMobile,XuanwuDistrict,Beijing,China100053)Abstract:IPMultimediaSubsystem(IMS)usesSessionInitiationProtocol(SIP)asCallControlProtocol.
BasedonIPnetwork,itisthecoretechnologyofthenextgenerationFixedandMobileConvergence(FMC)networks.
InordertosolvetheproblemofFMC,3GPPR7addsthepartofIMSfixedaccess.
ThispaperdescribestheconceptandstructureofIPMultimediaSubsystem,andcompareswiththetraditionaltelecomnetwork,analysesthesecuritythreatsofIMSnetwork.
IMSSecurityArchitecturecontainsaccessnetworksecurityandnetworkdomainsecurity,combiningwithtestingexperience,thispaperanalysessomesecurityissueofIMSfixedaccessnetwork,suchas,abnormalofpackets,denialofservice,tamperingofmessage,invadingofvirusandtrojan,etc.
Keywords:IMS;security;abnormalofpackets;DoS;tamperingofmessage引言IP多媒体子系统(IPMultimediaSubsystem,简称IMS)是3GPP从Release5版本开始提出的除电路域和分组域以外的新的子系统[1],旨在建立一个与接入无关、基于开放的SIP/IP及支持多种多媒体业务类型的平台来提供丰富的业务.
IMS实现了业务、控制和承载的完全分离,解决了目前软交换技术还无法解决的问题,如用户移动性支持、标准开放的业务接口、灵活的IP多媒体业务提供等.
由于其接入无关性,使得IMS可以将蜂窝移动通信网络技术、传统固定网络技术和互联网技术有机结合起来,是实现固定移动融合(MFC)及下一代网络(NGN)的基础.

IMS网络采用分层的网络架构[2],主要包括:应用层、会话控制层和接入层.
应用层是向用户提供交互访问和增值业务的一组特定业务逻辑,为用户提供基本的语音业务、补充业务以及向第三方开放API接口.
会话控制层主要负责用户注册鉴权、会话控制、会话路由控制、漫游控制、数据管理、以及网络拓扑隐藏等.
接入层主要用于业务能力开放调用、策略控制与执行、路由疏导、会话及业务承载、流量控制、协议转换等.

IMS采用会话发起协议(SessionInitiationProtocol,简称SIP)作为呼叫控制协议[3],并且管理多种类型的多媒体会话.
基于TCP/IP网络的传输机制,不仅增大了网络带宽,而且还提高了数据的传输速率.
IMS与传统的电信网相比具有相当大的优势,但是在网络安全方面,也有一定的缺陷.

传统电信网与IMS网络安全比较传统电信网是一个安全的、可信赖的网络,在安全方面具有一定的优点.
传统电信网强调网络的可用性与可靠性,不强调网络应用安全;传统电信网使用独立的信令网完成呼叫的建立、会话、路由和控制等过程,信令网的安全可靠保证了网络的安全;传统电信网采用TDM专线,用户之间采用面向连接的通道进行通信,有效地避免了来自其他终端用户的各种窃听和攻击;传统电信网的TDM用户速率有一定的限制,具有按照物理端口进行追溯跟踪的特性,攻击者很难对电信网络进行拒绝服务攻击(DenialofService,简称DoS攻击).
IMS不仅要保障业务的可用性和可靠性,而且要保证承载网络的可用性和可靠性;IMS不仅要保证用户信息的完整性、机密性与真实性,而且要保证SIP信令消息的完整性、机密性与真实性,在安全方面有一定的不足.
IMS实现了业务、控制、承载的完全分离,在业务层、控制层和接入层的相关设备采用的是国际标准协议,承载层是基于TCP/IP协议,采用SIP作为呼叫控制协议,这种开放性、公用性、标准化、模块化的技术在一定程度上增加了攻击者攻击的简易程度,如用户假冒、消息篡改、服务器伪装等;IMS强调的是网络融合,信令网和传输网共同使用承载网,这样就增加了信令网的安全风险;IMS是基于TCP/IP技术向用户提供端到端的面向无连接的服务,不需要对源地址进行认证,很容易受到攻击者的攻击,如密码和账户的盗用、消息窃听、DoS攻击等[6-8].

IMS的安全威胁主要包括以下几个方面:机密性:未经授权地访问敏感数据以破坏机密性;完整性:未经授权地篡改敏感数据以破坏完整性;可用性:干扰或滥用网络业务导致服务器拒绝服务以及降低系统的可用性;真实性:未经授权地接入业务以及用户或网络否认已完成的操作等.
在(3GPPTS33.
210)和(3GPPTS33.
203)中对IMS网络安全和接入安全进行了定义[4-5],主要通过以下几个方面保护IMS网络和接入网的安全:通过IP安全协议(IPSec)封装安全净荷(ESP),在IP层为用户终端(UE)和代理呼叫会话控制功能(P-CSCF)之间、网络域各实体之间的所有SIP信令提供机密性保护;通过建立安全联盟(SA),在IP层为UE和P-CSCF之间、不同网络域之间的所有SIP信令提供完整性保护;通过IMS网络和UE之间的双向认证,保证UE和IMS网络以及IMS网络之间的所有SIP信令、UE和IMS网络的所有操作、IMS网络的所有业务的可用性和真实性.

IMS安全体系IMS安全的主要应对措施是IPSec[4-5],用户在被允许接入多媒体业务前,通过IPSecESP和建立起来的SA可以保护UE和P-CSCF之间、IMS网络域内部各实体之间以及IMS网络之间的安全.
IMS安全体系如图1所示,图1中的数字分别代表了对应于IMS不同安全需求的5个安全联盟.

图1IMS网络安全体系①提供UE和IMS网络之间的双向认证.
HSS负责产生密钥和挑战,委托服务呼叫会话控制功能(S-CSCF)执行用户认证的操作,认证基于由ISIM和HSS共享的密钥和算法;②通过IPSec提供P-CSCF和UE间的安全链接,包括加密和完整性保护,在用户的注册过程中建立;③为网络域内的CSCF和HSS之间提供机密性和完整性保护;④当P-CSCF位于漫游网络时,为不同网络间具有SIP能力的结点提供安全,对所有经过Za接口的数据提供认证和完整性保护;⑤当P-CSCF位于归属网络时,为网络内部具有SIP能力的结点提供安全,即在同一个安全域内各个实体之间建立安全联盟.
SEG之间的SA采用IPSecESP的隧道模式,所有来自不同安全域的业务都由SEG进行路由.
UE的用户签约信息存储在归属网络的HSS中,用于UE接入到IMS核心网时进行认证和密钥协商,且对外部实体保密.
接入安全包括用户和网络认证的双向认证以及保护IMS终端和网络间的业务,主要由①和②两个安全联盟负责.

在网络域安全中,提出了安全域的概念,如图2所示.
安全域是某个独立的管理者运营的网络,管理者对安全域的安全进行统一管理,安全域中的各个网元的安全等级和安全服务是相等的.
多数情况下,一个安全域或者多个安全域的集合体对应的是某个运营商的核心网,Za是不同的安全域之间的网络接口,Zb是同一安全域中不同网络实体之间的网络接口.
网络域安全主要由③、④、⑤三个安全联盟负责[4-5].

图2IMS网络下的安全域IMS固定接入网安全分析3GPPR7版本加强了对固定、移动融合的标准化制定[2],要求IMS支持xDSL、cable等固定接入方式.
基于SIP/IP技术开发的接入设备或者IMS终端可以通过会话边界控制器(SBC)接入到P-CSCF,进而享受IMS的各种多媒体业务.
首先,接入设备和IMS终端和互联网直接互联,而互联网是不安全的网络,使得接入设备和IMS终端很容易地受到黑客的攻击;其次,IMS是以IP为承载的网络,只要基于IP技术,SIP信令就可以很容易的传送到核心控制层,这样IMS核心控制层就会很容易的受到来自互联网安全威胁.
利用先进的互联网络技术,可以将安全威胁深入到IMS的各个层面.

IMS固定宽带接入IMS固定宽带接入主要包括以下几个方面(如图3所示):通过IMS综合接入网关(AG)为用户提供基本语音业务和传真,AG支持传真机和普通POTS话机的接入;通过综合接入设备(IAD)为用户提供基本语音业务和传真,部分IAD可以为用户提供数据业务,IAD支持传真机、普通POTS话机、SIP硬终端和PC客户端的接入;通过IP专用交换机(IPPBX)为用户提供基本语音业务、数据业务和传真,IPPBX支持传真机、普通POTS话机、SIP硬终端和PC客户端的接入;通过SIP网关(SIPGW)为TDM中继接入用户提供基本语音业务和传真,SIPGW支持接入中国一号PBX、中国七号PBX以及PRIPBX的接入.
图3IMS固定接入基本组网图IMS固定接入网安全问题分析由于IMS接入设备和终端种类繁多、功能不一等特点,使得固定IMS接入网的网络结构复杂且不易于管理,很容易受到黑客的攻击.
IMS固定接入网的安全威胁主要源自于互联网的传统安全隐患、SIP协议的简单易扩展性、防火墙穿越等,常见的威胁有:密码破解、病毒入侵、信息窃听、畸形报文攻击、消息截获、消息篡改、业务盗用、拒绝服务等.

畸形报文攻击畸形报文攻击是IMS固定接入网常见的安全威胁,SIP协议具有简单性和易扩展性以及TCP/IP协议的开放性和互联性等特点,这些都给攻击者进行畸形报文攻击创造了有利地条件.
畸形报文攻击是指攻击者通过向目标主机发送畸形报文消息,目标主机如果对突如其来的异常报文不能即时处理或者处理不当,就会产生内存溢出、内部处理逻辑混乱、内部程序的自循环等,严重时会造成系统崩溃死机或者重启等问题.
畸形报文的攻击形式比较多,IMS终端设备、接入设备以及SBC都是攻击者畸形报文攻击的目标.

IMS终端设备和IMS接入设备作为用户SIP代理,帮助用户完成SIP会话或者SIP业务,其系统设计相对简单,缺少对畸形报文消息的检测和过滤功能,很容易遭受畸形报文攻击,SIP话机、PC客户端和IPPBX是是畸形报文攻击的主要目标.
攻击者通常在三层、四层和应用层分别使用地址欺骗、洪泛、字段异常、字段超长、字段溢出、逻辑错误等畸形报文消息对SIP代理进行攻击,由于无法对畸形报文消息进行有效地检测和过滤,SIP代理通常会产生内存溢出、内部处理逻辑混乱、内部程序的自循环等,严重时会造成系统崩溃死机或者重启等问题,使用户中断当前的IMS业务或者无法使用IMS业务.
此外,IPPBX功能比较强大,通常部署在企业网或集团内部,作为企业网或集团的核心通信设备,如果IPPBX的系统瘫痪,会造成整个企业网或集团的通信中断和服务中断等,严重时可能会导致整个企业网或集团的系统崩溃.

SBC是IMS核心网和IMS接入网之间安全网关和防火墙,是预防攻击者攻击IMS核心网的主要安全屏障,SBC的性能和安全一般比较高,对其直接攻击非常困难.
攻击者通常事先了解SBC的安全配置参数,制造一些比较特殊的畸形报文消息,绕过SBC的过滤和检测功能,进而对SBC和核心网内部实体进行攻击.

通过测试发现,如果模拟终端向SBC发送From域字符异常INVITE消息,SBC和核心网之间就会进行畸形消息交互,如图4所示.

图4SBC与IMS核心网的畸形消息交互流程终端向SBC发送From域字符异常的INVITE消息;SBC对INVITE消息不做过滤和检测,修改Call-ID转发到IMS核心网;IMS核心网处理INVITE异常消息,向SBC发送400BadRequest异常响应消息,400BadRequest消息和收到的INVITE消息的From域字符不同;SBC收到400BadRequest消息后,认为此400BadRequest消息不是对自己发的INVITE消息的响应,继续重传INVITE异常消息;IMS核心网重新处理INVITE异常消息.
如果攻击终端数量足够,攻击者可以通过畸形报文攻击,绕过SBC的过滤和检测,达到对SBC和IMS的洪泛攻击.

拒绝服务攻击拒绝服务攻击即DoS攻击,是指攻击者通过消耗受害网络的带宽,消耗受害主机的系统资源,发掘编程缺陷,提供虚假路由或DNS信息,使被攻击目标不能正常工作.
IMS是基于SIP/IP技术,首先,3GPP/3GPP2对IMS进行了详细的定义,并没有对如何防止服务拒绝攻击进行定义,其次,黑客对互联网长期的DoS攻击,总结了不少经验和方法,这些都增加了IMS预防DoS攻击的难度.
DoS攻击主要分为传统的互联网DoS攻击和基于SIP的DoS攻击.

传统的互联网DoS攻击主要针对服务器(如DNS/ENUM服务器),以破坏服务器为目的,如试图FLOOD服务器,阻止合法的网络通讯、破坏两个机器间的连接,阻止访问服务、阻止特殊用户访问服务、破坏服务器的服务或者导致服务器死机等,其中最为常见的攻击方法有包洪水攻击、Smurf攻击、Land攻击等.
包洪水攻击是指攻击者通过向目标主机发送大量的请求或者查询消息,是目标主机忙于处理这些消息,资源被大量消耗,从而不能够处理合法用户的消息.
Smurf攻击主要在企业网内目标主机的攻击,通过相统一子网的广播地址发送一个带有特定请求的包(如ICMP回应请求),并且将源地址伪装成目标主机的主机地址,子网上所有主机都回应广播包请求二项被攻击主机发包,降低目标主机的网络带宽.
Land攻击是指攻击者通过IP地址欺骗技术向目标主机发送特殊的包(源地址和目的地址都为攻击的目标主机地址),使目标主机陷入死循环,从而降低目标主机的计算资源.

基于SIP的DoS攻击是新型的DoS攻击,具有连锁放大效应,能够迅速消耗网络带宽、IP资源、系统计算资源等.
通过测试发现,如果冒用IMS网络或者其他的用户身份向目标IMS终端发起INVITE呼叫,而不再进行后续信令处理,目标IMS终端的协议状态机会重发10次响应信息,在这期间对此用户的任何呼叫都显示用户忙,并且会持续2分钟.
如果攻击者利用这一特性,每隔2分钟对目标用户发一个INVITE信息,导致该用户不能接收任何呼叫,从而达到目标IMS终端的DoS攻击.
如果攻击者不间断地对大量的终端发送INVITE信息,导致这些终端不间断地重发海量的响应消息,这些海量的SIP消息将会整个IMS网络造成DDoS攻击.
DDoS攻击可以使SBC的系统资源和网络资源耗尽甚至系统瘫痪,导致SBC无法为合法的用户转发SIP消息,此外,这么巨大的SIP消息也会冲击IMS核心网络,使IMS网络的资源耗尽甚至瘫痪,导致IMS核心网无法在为用户提供服务.

信息窃听和篡改IMS是实现下一网络融合的关键,将蜂窝移动通信网络技术、传统固定网络技术和互联网技术有机结合起来,在承载网上同时传输信令、媒体和数据信息.
IMS承载网是基于SIP/IP技术,攻击者利用SIP/IP技术的开放性和公知性等特点,截获IMS的网络数据报文,通过反向解析和还原,实现对用户信息的窃听和篡改.

攻击者信息窃听和篡改的主要目标是用户的媒体信息,用户媒体信息包括语音信息和视频信息.
语音信息和视频信息在承载网上都是以实时传送协议(Real-timeTransportProtocol,简称RTP)进行传输的,使用G.
711语音编解码和H.
263/H.
264视频编解码进行通信.
攻击者在承载网上截获用户通信的RTP流,使用RTP分析工具对用户的语音或者视频信息进行处理.
攻击者通过RTP分析工具的回放和录音功能实现对用户的侦听;通过RTP分析工具的插入、删除和篡改等功能实现对用户会话的干扰和破坏.
此外,用户的短消息和即时消息采用的编码方式和明文差别不大,直接添加在Message消息的消息体(MessageBody)中,而且传输时没有使用加密措施.
攻击者只要截获用户通信的Message信令消息,就能够得到用户的短消息和即时消息内容;对截获的信令消息体进行插入、删除、篡改等操作,破坏和干扰用户的即时通信.

其他相关安全威胁由于IMS是覆盖在IP网络之上的新的网络,所以不可避免的继承了IP网络固有的安全威胁,如病毒入侵、密码破解等.
首先,病毒是IP网络最为常见的安全威胁,可以以各种方式进行传播,PC客户端或者SIP话机系统比较简单,一旦被病毒入侵,系统就会迅速瘫痪.
其次,黑客向IMS终端植入木马等恶意程序,盗取用户的用户信息,如密码、用户名等.
再次,利用恶意程序对用户的登录密码进行暴力破解,从而盗取用户信息和SIP业务.

虽然IMS制定了比较健全的鉴权机制和认证机制,但是在IMS固定宽带接入方面,UE和IMS网络之间的认证体系并不鉴权,只是IMS网络对UE的单向认证,非法用户很容易绕开IMS网络直接建立连接,从而免费使用承载网络.

结论IMS为传统电信网向NGN演进提供了一种强有力的解决方案,为网络融合提供了一种架构,可以灵活快速的提供各种业务.
本文主要介绍了IMS固定宽带接入网的安全问题,并且详细分析了IMS固定接入网的安全威胁.
与传统的电信网相比,IMS在安全方面存在一定的不足.
3GPP/3GPP2还在继续研究IMS网络体系,IMS安全机制也在不断完善,我们相信IMS网络能够取代传统电信网并且得到广泛的应用.