安全：IMS的死穴

　　互聯(lián)網(wǎng)的安全問題是一個(gè)永恒的話題。
　　IMS的“互聯(lián)網(wǎng)”本性
　　IMS，一種承諾可以幫助電信運(yùn)營商實(shí)現(xiàn)網(wǎng)絡(luò)全I(xiàn)P化的技術(shù)，簡(jiǎn)單、靈活、支持所有開放標(biāo)準(zhǔn)以及獨(dú)立于接入網(wǎng)絡(luò)是其主要特點(diǎn)和優(yōu)勢(shì)。近來，IMS被一些設(shè)備廠商宣傳得神乎其神，無所不能。諸如，IMS平臺(tái)能夠使運(yùn)營商專注于提供應(yīng)用而不是訪問技術(shù)、IMS 有助于確保SIP在包括3G設(shè)備在內(nèi)的許多系統(tǒng)上的可用性以及IMS 平臺(tái)支持各種的基于IP的應(yīng)用等。
　　也許設(shè)備廠商們已經(jīng)習(xí)慣了報(bào)喜不報(bào)憂。不管我們以何種方式來描述和渲染IMS，有一點(diǎn)是肯定的，那就是IMS是基于TCP/IP協(xié)議的，它通過包交換的方式替代傳統(tǒng)電信的電路交換。所以可以說，IMS的引入將使電信領(lǐng)域進(jìn)入“類互聯(lián)網(wǎng)”時(shí)代，安全問題將成為電信運(yùn)營商的頭號(hào)大敵。
　　業(yè)界對(duì)IMS品頭論足多是基于“IMS不是互聯(lián)網(wǎng)”這一前提。諸如，IMS具有集中式架構(gòu)、智能核心網(wǎng)絡(luò)以及可運(yùn)營的商業(yè)模式等，這都與互聯(lián)網(wǎng)有著非常大的不同。但是，回到安全這一網(wǎng)絡(luò)運(yùn)營所無法回避的問題上來，IMS比互聯(lián)網(wǎng)好不到哪里去。
　　互聯(lián)網(wǎng)的安全問題是由于其“傻瓜網(wǎng)絡(luò)”的本性所致，它沒有集中式的控制認(rèn)證，而且更要命的是任何一臺(tái)連接到它上面的電腦都可以使用它。所以，更高層次的安全并不是對(duì)用戶接入端和網(wǎng)絡(luò)接入端進(jìn)行控制認(rèn)證，而是如何保證合法用戶所獲取內(nèi)容的安全可靠，這才是最關(guān)鍵的。網(wǎng)絡(luò)一旦開放，威脅便可能隨時(shí)隨地爆發(fā)。
　　IMS受累于DNS
　　其實(shí)，本質(zhì)上講，安全的實(shí)現(xiàn)就是在IMS和公眾互聯(lián)網(wǎng)之間所設(shè)立的一道墻，以防止一切可疑內(nèi)容的通過。3GPP /3GPP2在IMS安全問題上進(jìn)行了詳細(xì)的定義，包括SIM應(yīng)用和認(rèn)證程序。但很遺憾，3GPP /3GPP2并沒有對(duì)如何防止拒絕服務(wù)對(duì)DNS的攻擊作相關(guān)定義，這給IMS留下了巨大的安全隱患。3GPP /3GPP2在IMS安全規(guī)范中也提到了“應(yīng)該”防范虛假地址欺騙，但并沒有說明“如何”進(jìn)行防范。除了安全缺陷之外，這還形成另一個(gè)問題，就是不同IMS網(wǎng)絡(luò)或者IMS網(wǎng)絡(luò)與互聯(lián)網(wǎng)SIP用戶之間是否能夠協(xié)同工作的問題。
　　在互聯(lián)網(wǎng)上，DNS是黑客們經(jīng)常攻擊的對(duì)象。這主要是因?yàn)椋�在互�?lián)網(wǎng)的世界里存在大量的、相互獨(dú)立的DNS服務(wù)器，不管你是增加、刪除還是重新配置一臺(tái)DNS服務(wù)器都是非常簡(jiǎn)單的事情，當(dāng)然也包括惡意攻擊。可以說，在開發(fā)使用DNS技術(shù)的同時(shí)，我們也為自己鋪設(shè)了一個(gè)安全陷阱，雖然DNS技術(shù)給我們解決了許多問題，而且使用起來也非常簡(jiǎn)單。
　　在DNS系統(tǒng)中，緩存中毒是非常普遍的現(xiàn)象。以前通常通過限制遞歸式DNS的使用來進(jìn)行防范，這是不對(duì)的，因?yàn)檫@將大大降低整個(gè)DNS系統(tǒng)的彈性。另一種防范方式是“以毒攻毒”，即以同樣的虛假地址向?qū)⒁�受到攻擊的DNS服務(wù)器“海量”請(qǐng)求，從而將惡意攻擊淹沒。這樣做的后果很明顯，在防范了惡意攻擊的同時(shí)也拖垮了目標(biāo)服務(wù)器。
　　同互聯(lián)網(wǎng)一樣，IMS通過使用DNS來實(shí)現(xiàn)不同語言的URL鏈接和傳統(tǒng)電話號(hào)碼與IP地址之間的解析，而且IMS對(duì)DNS的依賴相比互聯(lián)網(wǎng)有過之而無不及。
　　如IMS安全規(guī)范所描述的那樣，數(shù)據(jù)包在通過PCSCF時(shí)需要進(jìn)行加密，而且這一行為與有沒有惡意攻擊無關(guān)。這樣一來，會(huì)使PCSCF實(shí)體中的防火墻功能大打折扣。（編者注：CSCF——會(huì)話服務(wù)控制，是IMS的功能實(shí)體之一，它包括PCSCF——代理CSCF、ICSCF——查詢CSCF以及SCSCF——服務(wù)CSCF等類型，在物理上可以是合一的，也可以分別設(shè)置。）而且，為了滿足電信級(jí)應(yīng)用的要求，IMS使用的是私有DNS服務(wù)器，還增加了ENUM（電話號(hào)碼映射）設(shè)備。專家認(rèn)為，這樣做的危險(xiǎn)性其實(shí)更大，因?yàn)橐坏┻\(yùn)營商的DNS出現(xiàn)問題，整個(gè)網(wǎng)絡(luò)的正常工作都將受到影響。
　　另外一個(gè)相關(guān)的問題就是就是IMS網(wǎng)絡(luò)與互聯(lián)網(wǎng)SIP用戶的協(xié)同工作問題。IMS利用ENUM功能進(jìn)行SIP URL的查詢。但此類查詢可以“由內(nèi)往外”進(jìn)行，卻無法“由外往內(nèi)”。即查詢可以從運(yùn)營商的內(nèi)網(wǎng)透?jìng)鞯交ヂ?lián)網(wǎng)，卻無法從互聯(lián)網(wǎng)透?jìng)鞯诫娦胚\(yùn)營商的私有DNS，除非運(yùn)營商的網(wǎng)絡(luò)與公共互聯(lián)網(wǎng)之間沒有防火墻，這種情況令人費(fèi)解。而且，向外查詢也十分的費(fèi)勁，或者需要運(yùn)營商在其網(wǎng)絡(luò)和公共互聯(lián)網(wǎng)之間設(shè)置防火墻，或者IMS的安全模式需要重新定義。對(duì)于這個(gè)問題，3GPP和IETF已經(jīng)開始著手對(duì)SIP標(biāo)準(zhǔn)進(jìn)行派生以實(shí)現(xiàn)在IMS的環(huán)境下進(jìn)行SIP URL的真正跨網(wǎng)查詢。
　　如何應(yīng)對(duì)終端智能化
　　雖然IMS通過嚴(yán)格的中央節(jié)點(diǎn)結(jié)構(gòu)以及融合電信網(wǎng)絡(luò)的計(jì)費(fèi)機(jī)制確保了IP在更廣范圍內(nèi)連接的可能性。但當(dāng)前終端設(shè)備的智能化程度越來越高，終端設(shè)備之間的通信也日趨多樣化。在TCP/IP的環(huán)境下，一個(gè)終端可以很容易地向另一個(gè)終端發(fā)起攻擊。雖然針對(duì)智能手機(jī)的攻擊和病毒沒有造成大的危害和損失，但這的的確確是一個(gè)潛在的巨大威脅。從某種意義上講，設(shè)備廠商對(duì)IMS宣傳得越瘋狂，針對(duì)它的威脅就會(huì)越多。
　　所以，在IMS的部署上，運(yùn)營商會(huì)非常謹(jǐn)慎，誰會(huì)冒風(fēng)險(xiǎn)去作一只“出頭鳥”。更何況IMS是一次對(duì)傳統(tǒng)電信網(wǎng)絡(luò)架構(gòu)的革命，如若傷一發(fā)，必然動(dòng)全身。
　　那么電信運(yùn)營商到底該怎么辦呢？在安全防護(hù)的問題上，IMS網(wǎng)絡(luò)與DSL等寬帶接入網(wǎng)絡(luò)沒有本質(zhì)的區(qū)別，面臨的安全問題也非常類似，所以IMS運(yùn)營商可以從ISP那取取經(jīng)。ISP們通過監(jiān)控接入路由來跟蹤并繪制惡意信息到物理MAC地址的路徑圖，IMS運(yùn)營商們也可以利用同樣的方式在RNC上實(shí)現(xiàn)層2到層3的跟蹤監(jiān)控從而有效阻止惡意攻擊和欺騙。從這點(diǎn)來看，安全問題并不僅僅是確保用戶終端設(shè)備不受攻擊和病毒感染，而是整個(gè)網(wǎng)絡(luò)系統(tǒng)對(duì)威脅的免疫性。
　　當(dāng)然，隨著網(wǎng)絡(luò)附加設(shè)備智能化程度的日益提高，外圍防護(hù)的方式會(huì)顯得力不從心。其中的一些設(shè)備，比如Wi-Fi功能的筆記本電腦，在登陸互聯(lián)網(wǎng)的時(shí)候?qū)��?huì)形成新的網(wǎng)絡(luò)接入點(diǎn)。這意味著什么呢？答案是，在這種情況下，媒體網(wǎng)關(guān)這一所謂的馬其諾防線同樣可以被突破。因此，TCP/IP協(xié)議端到端的機(jī)制最終需要端到端的安全防護(hù)。
　　一些廠商已經(jīng)能夠在其IMS解決方案中提供端到端的安全防護(hù)，但真正行之有效的解決方案和產(chǎn)品少之又少，多數(shù)解決方案對(duì)相關(guān)安全規(guī)范只進(jìn)行了泛泛的描述。缺少正式的最優(yōu)編碼方式，各個(gè)利益集團(tuán)之間缺乏合作，不管是IETF，ICANN，還是地方電信運(yùn)營商。
　　業(yè)界對(duì)于Malcode(有害代碼)已經(jīng)討論很多了，然而在移動(dòng)通信領(lǐng)域我們卻看不到類似的討論和研究。對(duì)于IMS安全規(guī)范，有分析人士指出，網(wǎng)絡(luò)層以上的安全問題應(yīng)得到更廣泛的關(guān)注。因?yàn)椋�在純IP的世界，單一的外圍防護(hù)模式是注定要失敗的，端到端安全的實(shí)現(xiàn)才是正道。
　　可以這么說，在IMS上，沒有真正的安全，雖然也有安全領(lǐng)域的專家認(rèn)為，IMS的安全問題并不像“傳說”中那樣可怕，只要電信運(yùn)營商在部署IMS時(shí)采取行之有效的安全模式，大部分威脅是可以杜絕的。電信領(lǐng)域會(huì)因IMS安全問題而付出同互聯(lián)網(wǎng)領(lǐng)域一樣的痛苦和代價(jià)，所以要想電信運(yùn)營商完全接受IMS不是件容易的事。畢竟，越完美的東西往往越脆弱。

搜狐IT