首页 > 互联网的安全问题是一个永恒的话题。
IMS的“互联网”本性
IMS,一种承诺可以帮助电信运营商实现网络全IP化的技术,简单、灵活、支持所有开放标准以及独立于接入网络是其主要特点和优势。近来,IMS被一些设备厂商宣传得神乎其神,无所不能。诸如,IMS平台能够使运营商专注于提供应用而不是访问技术、IMS 有助于确保SIP在包括3G设备在内的许多系统上的可用性以及IMS 平台支持各种的基于IP的应用等。
也许设备厂商们已经习惯了报喜不报忧。不管我们以何种方式来描述和渲染IMS,有一点是肯定的,那就是IMS是基于TCP/IP协议的,它通过包交换的方式替代传统电信的电路交换。所以可以说,IMS的引入将使电信领域进入“类互联网”时代,安全问题将成为电信运营商的头号大敌。
业界对IMS品头论足多是基于“IMS不是互联网”这一前提。诸如,IMS具有集中式架构、智能核心网络以及可运营的商业模式等,这都与互联网有着非常大的不同。但是,回到安全这一网络运营所无法回避的问题上来,IMS比互联网好不到哪里去。
互联网的安全问题是由于其“傻瓜网络”的本性所致,它没有集中式的控制认证,而且更要命的是任何一台连接到它上面的电脑都可以使用它。所以,更高层次的安全并不是对用户接入端和网络接入端进行控制认证,而是如何保证合法用户所获取内容的安全可靠,这才是最关键的。网络一旦开放,威胁便可能随时随地爆发。
IMS受累于DNS
其实,本质上讲,安全的实现就是在IMS和公众互联网之间所设立的一道墙,以防止一切可疑内容的通过。3GPP /3GPP2在IMS安全问题上进行了详细的定义,包括SIM应用和认证程序。但很遗憾,3GPP /3GPP2并没有对如何防止拒绝服务对DNS的攻击作相关定义,这给IMS留下了巨大的安全隐患。3GPP /3GPP2在IMS安全规范中也提到了“应该”防范虚假地址欺骗,但并没有说明“如何”进行防范。除了安全缺陷之外,这还形成另一个问题,就是不同IMS网络或者IMS网络与互联网SIP用户之间是否能够协同工作的问题。
在互联网上,DNS是黑客们经常攻击的对象。这主要是因为,在互联网的世界里存在大量的、相互独立的DNS服务器,不管你是增加、删除还是重新配置一台DNS服务器都是非常简单的事情,当然也包括恶意攻击。可以说,在开发使用DNS技术的同时,我们也为自己铺设了一个安全陷阱,虽然DNS技术给我们解决了许多问题,而且使用起来也非常简单。
在DNS系统中,缓存中毒是非常普遍的现象。以前通常通过限制递归式DNS的使用来进行防范,这是不对的,因为这将大大降低整个DNS系统的弹性。另一种防范方式是“以毒攻毒”,即以同样的虚假地址向将要受到攻击的DNS服务器“海量”请求,从而将恶意攻击淹没。这样做的后果很明显,在防范了恶意攻击的同时也拖垮了目标服务器。
同互联网一样,IMS通过使用DNS来实现不同语言的URL链接和传统电话号码与IP地址之间的解析,而且IMS对DNS的依赖相比互联网有过之而无不及。
如IMS安全规范所描述的那样,数据包在通过PCSCF时需要进行加密,而且这一行为与有没有恶意攻击无关。这样一来,会使PCSCF实体中的防火墙功能大打折扣。(编者注:CSCF——会话服务控制,是IMS的功能实体之一,它包括PCSCF——代理CSCF、ICSCF——查询CSCF以及SCSCF——服务CSCF等类型,在物理上可以是合一的,也可以分别设置。)而且,为了满足电信级应用的要求,IMS使用的是私有DNS服务器,还增加了ENUM(电话号码映射)设备。专家认为,这样做的危险性其实更大,因为一旦运营商的DNS出现问题,整个网络的正常工作都将受到影响。
另外一个相关的问题就是就是IMS网络与互联网SIP用户的协同工作问题。IMS利用ENUM功能进行SIP URL的查询。但此类查询可以“由内往外”进行,却无法“由外往内”。即查询可以从运营商的内网透传到互联网,却无法从互联网透传到电信运营商的私有DNS,除非运营商的网络与公共互联网之间没有防火墙,这种情况令人费解。而且,向外查询也十分的费劲,或者需要运营商在其网络和公共互联网之间设置防火墙,或者IMS的安全模式需要重新定义。对于这个问题,3GPP和IETF已经开始着手对SIP标准进行派生以实现在IMS的环境下进行SIP URL的真正跨网查询。
如何应对终端智能化
虽然IMS通过严格的中央节点结构以及融合电信网络的计费机制确保了IP在更广范围内连接的可能性。但当前终端设备的智能化程度越来越高,终端设备之间的通信也日趋多样化。在TCP/IP的环境下,一个终端可以很容易地向另一个终端发起攻击。虽然针对智能手机的攻击和病毒没有造成大的危害和损失,但这的的确确是一个潜在的巨大威胁。从某种意义上讲,设备厂商对IMS宣传得越疯狂,针对它的威胁就会越多。
所以,在IMS的部署上,运营商会非常谨慎,谁会冒风险去作一只“出头鸟”。更何况IMS是一次对传统电信网络架构的革命,如若伤一发,必然动全身。
那么电信运营商到底该怎么办呢?在安全防护的问题上,IMS网络与DSL等宽带接入网络没有本质的区别,面临的安全问题也非常类似,所以IMS运营商可以从ISP那取取经。ISP们通过监控接入路由来跟踪并绘制恶意信息到物理MAC地址的路径图,IMS运营商们也可以利用同样的方式在RNC上实现层2到层3的跟踪监控从而有效阻止恶意攻击和欺骗。从这点来看,安全问题并不仅仅是确保用户终端设备不受攻击和病毒感染,而是整个网络系统对威胁的免疫性。
当然,随着网络附加设备智能化程度的日益提高,外围防护的方式会显得力不从心。其中的一些设备,比如Wi-Fi功能的笔记本电脑,在登陆互联网的时候将会形成新的网络接入点。这意味着什么呢?答案是,在这种情况下,媒体网关这一所谓的马其诺防线同样可以被突破。因此,TCP/IP协议端到端的机制最终需要端到端的安全防护。
一些厂商已经能够在其IMS解决方案中提供端到端的安全防护,但真正行之有效的解决方案和产品少之又少,多数解决方案对相关安全规范只进行了泛泛的描述。缺少正式的最优编码方式,各个利益集团之间缺乏合作,不管是IETF,ICANN,还是地方电信运营商。
业界对于Malcode(有害代码)已经讨论很多了,然而在移动通信领域我们却看不到类似的讨论和研究。对于IMS安全规范,有分析人士指出,网络层以上的安全问题应得到更广泛的关注。因为,在纯IP的世界,单一的外围防护模式是注定要失败的,端到端安全的实现才是正道。
可以这么说,在IMS上,没有真正的安全,虽然也有安全领域的专家认为,IMS的安全问题并不像“传说”中那样可怕,只要电信运营商在部署IMS时采取行之有效的安全模式,大部分威胁是可以杜绝的。电信领域会因IMS安全问题而付出同互联网领域一样的痛苦和代价,所以要想电信运营商完全接受IMS不是件容易的事。毕竟,越完美的东西往往越脆弱。
搜狐IT
