改进的IP多媒体子系统(A-IMS)[1]是美国第二大移动电话公司威瑞森(Verizon Wireless)联合其5个主要的设备供应商思科、朗讯、摩托罗拉、北电和高通公司在2006年7月发布的一种移动多媒体业务体系,它基于3GPP2的多媒体域(MMD)架构,在融入了IP多媒体子系统/多媒体域(IMS/MMD)所有会话发起协议(SIP)业务功能的基础上,增加了对非SIP应用的支持。另外还从网络运营的角度,针对IMS/MMD网络安全提出了一些扩展和补充,如增加了安全操作中心(SOC)和姿态代理等,使IMS/MMD网络的安全性得到较大改进。
1 A-IMS业务范围
A-IMS继承了IMS/MMD的所有业务功能,并在安全性、移动性、策略、服务质量(QoS)、对等互联、计费、合法监听、紧急呼叫、呈现业务等方面,进行了增强和扩充。
2 A-IMS的网络结构
A-IMS的系统结构如图1所示。
A-IMS的主要网元包括IP网关(IPGW)、承载管理(BM)、应用管理(AM)、策略管理(PM)、安全管理(SM)、业务代理(SB)、业务数据管理(SDM)和接入终端(AT)等,与安全相关的网元主要包括SM、PM、BM、IPGW、AT。
虽然从网元名称上看,A-IMS和3GPP的IMS[2]及3GPP2的MMD[3]有一些差异,但除了新增的SM网元外,其他几个网元在功能上和3GPP、3GPP2乃至TISPAN[4]中的IMS网元都有一定的对应关系,如AM、SDM和PM分别对应于IMS/MMD的呼叫会话控制功能(CSCF)、归属用户服务器(HSS)和策略决策功能(PDF)等。
SM作为SOC的核心,主要负责收集A-IMS系统中各网元的安全事件信息,完成入侵探测、控制设备操作、分发安全策略,另外还负责对移动设备的姿态(Posture)评估,根据终端对网络设备的兼容程度(如操作系统版本、反病毒软件版本等),决定他们是否被允许接入网络,以及允许接入什么服务等。
3 IMS面临的安全威胁
基于IP的IMS系统面临如下安全威胁:
(1)侦测威胁
黑客采用扫描网络拓扑的手段,识别易于攻击的设备,进行攻击。
(2)DDoS攻击
分布式拒绝服务攻击(DDoS)是当前IP网络上最危险的攻击,能使任何高性能的系统设备不堪重负。A-IMS特别提出要对此类攻击给出检测和阻止办法。
