首页 >> 安全 >> 技术交流 >> 正文
 
A-IMS安全性及对应实施方法
----Security in A-IMS
http://www.cww.net.cn   2007年8月3日 09:43    通信世界网    
作 者:张世伟 丽娜

    由于SOC关系到整个网络的安全,通常应使用冗余设备及UPS来保证其硬件可靠性,并应严格限定操作员的操作权限,只允许有确切必要的雇员登录入SOC,并对登录SOC的操作员的操作进行后台监测。除此之外,还要经常对SOC进行严格的内部信息安全规则审计,以保证SOC的正常运行。

    5.3设备接纳控制

    设备接纳控制是一种网络对终端设备接入网络的决策行为。当终端接入网络时,网络可决定设备是否被允许连入网络,如果得到允许,网络基于其安全姿态,决定能够得到的服务等级。

    A-IMS将终端分为3种类型:只支持语音的闭合设备、同时支持语音和数据的高级终端和具备EV-DO能力的个人计算机。后两种终端属于智能终端(IAT),A-IMS设备接纳控制主要是针对IAT进行控制。

    设备接纳控制也是A-IMS主要的安全增强点。在IMS/MMD网络中,对设备接纳控制主要通过鉴权、加密等接入控制措施实现。而A-IMS则新增了安全代理功能,利用安全代理,可以验证设备的健康状况,确定设备可以接入的安全等级。如这个代理运行在IAT上,则被称为姿态代理,运行在AM和BM等网络设备上,被称为移动安全代理(MSA)。

    5.3.1姿态代理

    姿态代理在IAT上运行,是设备接纳控制的重要部分,它收集设备的姿态信息(包括操作系统是否运行于授权的版本,以及是否正确打过补丁等),并将结果通过IPGW发送给SM。

    IAT在初始接入时,SM将根据PA送过来的设备姿态信息报告,对照相关的安全策略,决定向IPGW发送的初始策略响应:是受限接入还是完全接入,如果是受限接入,相关安全策略将被下载到BM,使设备只能通过BM连接到特定AM上处理紧急呼叫的SIP业务端口,同时转移Web流量到更新服务器,要求用户下载更新软件。

    采用基于姿态代理的设备接纳控制有以下好处:

    保证所有用户设备和网络安全策略一致,提前防范蠕虫、病毒、间谍和恶意软件,使运营商更关注于提前预防而不是事后处理,有效提高A-IMS网络的安全性。

    提供一种措施,检查和控制连接到网络的设备,而不考虑其具体的接入方式,从而增加了网络的自适应能力和扩展性。

    阻止不兼容或不可控的终端设备,以免影响网络的可用性。

    减少因识别和修复非兼容、不可管理、受感染的系统造成的运营性支出。

    阻止易于攻击、非兼容和不可控的端点设备成为攻击对象,提高网络的可用性。

    5.3.2移动安全代理

    MSA位于AM和BM等网元上,和PA配合,完成设备接纳控制功能。MSA还可以根据SM的要求监视设备状态,协助SM检测和消除“Zero Day”威胁,降低系统因修复攻击破坏而带来的维护成本(OPEX),这在网络有多种接入方式时非常重要(如WiFi和宽带接入时)。MSA还具有反向防火墙能力,它在检测时将分析行为而不仅仅依靠用户签名,这对防止“Zero Day”类攻击非常重要。

    MSA除了具备姿态代理的全部功能外,还具备有如下功能:

    预防主机被入侵

    防止间谍软件

    防止内存溢出攻击

    提供分布式反向防火墙能力

    防止恶意移动代码入侵

    保证操作系统完整性

    审计日志

    增强QoS

[1]  [2]  [3]  [4]  
相关新闻
编 辑:张翀    联系电话:010-67110006-884
[收藏] [打印] [进入论坛] [推荐给朋友]
文章评论评论()】
昵称:  验证码:
 
重要新闻推荐
每日新闻排行
企业黄页
会议活动