5.4安全策略
安全策略是在网络出现安全事件时,SOC让系统自动执行的策略。
5.4.1设备安全代理的层次
在A-IMS中,安全策略扮演了很重要的角色。A-IMS网络架构的安全管理、DDoS防范、接入控制、入侵防护、鉴权、设备接纳控制等都是SM通过安全策略实现的,SM通过内置的移动安全代理主控制器(MSA-MC),实现对网络中其他各网元的MSA的控制。
IAT中的MSA收集主机的信息,然后发送到MSA-MC中,MSA-MC负责根据相关的策略,对相关信息进行预处理,然后将处理结果送到归属地SM(H-SM)中,由SM进行姿态评估和异常行为检测,并决定用户可接入的安全等级。
5.4.2SOC的多级管理模式
通过SOC,A-IMS的策略控制实现了多级控制。SOC为国家安全操作中心,向地方SM分发安全策略,实现整个网络的统一安全管理。
5.5DDoS防护
A-IMS采用自学习算法阻止DDoS攻击,它能够学习流量模式,以适应特定的网络状况,如学习SIP行为以确定合适的流量门限等。A-IMS能够区分合法流量、嫌疑流量和恶意流量,只有合法流量才被允许通过A-IMS网元。
DDoS攻击防范功能通常运行于不被注目的后台模式,当系统被怀疑遭到攻击时,转发机制被激活,流量被重定向到保护系统,进行分析和控制,然后将合法流量返回到网络。
5.6安全日志和报告
A-IMS的各网元:AM、BM、IPGW、AP、SDM等均支持标准的安全事件登记和报告,所有的安全事件告警将被传送到安全事件管理子系统,进行连续存储、分析和审计。系统作为日志收集点,采用接近实时的传输,以便对安全操作进行实时监视。A-IMS日志传输基于下列协议:IPFIX、SDEE、SNMPV3、Syslog。
6 结束语
IMS/MMD将网络安全分为域内安全和域间安全[8],域内安全又可以分为接入安全和核心网安全。A-IMS提供了PA、MSA、双向防火墙及IDS/IPS等机制,对接入安全性有显著增强,并采用基于策略的集中安全管理机制,使各个网元都受中心SOC控制,使核心网的安全性也得到较大增强。因此从整体看,A-IMS的域内安全相对于IMS/MMD得到了全面提升。而在域间安全方面,A-IMS继承了IMS/MMD原有机制,采用IPSec实现域间通信加密,没有很明显的变化。
总的来说,A-IMS安全机制相对于IMS/MMD有所增强。
A-IMS增强的安全性包括:
新增了SOC/SM以对网络进行多级安全管理,实现了系统安全的整体控制和集中控制。
提出了安全策略概念。利用安全策略,实现网络安全的自动控制。
强调整个系统统一的安全管理。A-IMS将安全管理集成到每一个网元中,由SM收集并分析A-IMS各元素(如IPGW、BM、AM、SM、AT等)的安全事件信息,并根据安全策略作出适当的处理。
采用双向防火墙,利用IDS/IPS等措施,同时保护网络和终端都不受攻击。
提出了姿态代理和MSA的概念,通过在IAT中设置姿态代理,对终端的操作系统、防火墙的版本和补丁状况进行检查,强制终端具备系统要求的安全等级。
虽然A-IMS具有一定的先进性,代表了IMS网络的安全研究方向,但从规范本身看,目前A-IMS仍处于框架性描述阶段,还有很多细节尚不明确或统一,如终端对姿态代理的支持(兼容)能力、安全信息交换的内容、安全策略的具体定义等,都有待于进一步研究。特别是终端兼容能力,需要世界上各个手机厂家的共同支持,如果不纳入3GPP/3GPP2等广泛认可的规范,在短期内是很难实现的。另外,A-IMS的安全体系比较复杂,增加了系统实现的难度,如果设计不当,甚至会影响系统的稳定性,在推广应用时会带来一些阻力。但A-IMS的安全理念还是非常先进的,同时它也切合运营商的实际需求,随着相关问题的解决,很有希望成为下一代融合网络的安全标准。
