A-IMS对IMS安全体系的增强
A-IMS除了继承上述鉴权、加密机制外,还提出了一些新的安全措施。相对于IMS,A-IMS主要在集成安全和统一安全管理、安全操作中心、设备接纳控制、安全策略等方面对安全性进行了增强。
1 集成安全和统一安全管理
由于A-IMS需要处理吉比特速率的承载流量,为避免网络“瓶颈”,A-IMS将安全机制集成到系统的各个网元中,通过SOC下发策略和SM对安全事件的检测,使分散于各地的网元,都按照统一的安全策略工作,实现了整个网络统一的安全管理。例如:利用集成安全机制,SOC可以分发流量标准等安全策略到各地网元,通过本端测量或远程测量,标识、区分和追踪反常行为,快速阻断病毒的传播,这种统一的集成安全机制,使系统整体安全性相对于IMS/MMD网络有较大提高。
2 安全操作中心
SOC主要应用于集中监视、报告和处理,是A-IMS最主要的新增实体,也是整个系统安全管理的核心。SOC通过策略的制定和分发,从AM等网元中收集安全信息,检查业务状态,对外部入侵进行识别、分析和处理,为A-IMS提供成熟而健壮的保护。另外SOC还具备突发事件管理和配合司法调查等能力,可以协助进行危机处理。
由于SOC关系到整个网络的安全,通常应使用冗余设备及UPS来保证其硬件可靠性,并应严格限定操作员的操作权限,只允许有确切必要的雇员登录入SOC,并对登录SOC的操作员的操作进行后台监测。除此之外,还要经常对SOC进行严格的内部信息安全规则审计,以保证SOC的正常运行。
3 设备接纳控制
设备接纳控制是一种网络对终端设备接入网络的决策行为。当终端接入网络时,网络可决定设备是否被允许连入网络,如果得到允许,网络基于其安全姿态,决定能够得到的服务等级。
A-IMS将终端分为3种类型:只支持语音的闭合设备、同时支持语音和数据的高级终端和具备EV-DO能力的个人计算机。后两种终端属于智能终端(IAT),A-IMS设备接纳控制主要是针对IAT进行控制。
设备接纳控制也是A-IMS主要的安全增强点。在IMS/MMD网络中,对设备接纳控制主要通过鉴权、加密等接入控制措施实现。而A-IMS则新增了安全代理功能,利用安全代理,可以验证设备的健康状况,确定设备可以接入的安全等级。如这个代理运行在IAT上,则被称为姿态代理,运行在AM和BM等网络设备上,被称为移动安全代理(MSA)。
3.1 姿态代理
姿态代理在IAT上运行,是设备接纳控制的重要部分,它收集设备的姿态信息(包括操作系统是否运行于授权的版本,以及是否正确打过补丁等),并将结果通过IPGW发送给SM。
IAT在初始接入时,SM将根据PA送过来的设备姿态信息报告,对照相关的安全策略,决定向IPGW发送的初始策略响应:是受限接入还是完全接入,如果是受限接入,相关安全策略将被下载到BM,使设备只能通过BM连接到特定AM上处理紧急呼叫的SIP业务端口,同时转移Web流量到更新服务器,要求用户下载更新软件。
采用基于姿态代理的设备接纳控制有以下好处:
保证所有用户设备和网络安全策略一致,提前防范蠕虫、病毒、间谍和恶意软件,使运营商更关注于提前预防而不是事后处理,有效提高A-IMS网络的安全性。
提供一种措施,检查和控制连接到网络的设备,而不考虑其具体的接入方式,从而增加了网络的自适应能力和扩展性。
阻止不兼容或不可控的终端设备,以免影响网络的可用性。
减少因识别和修复非兼容、不可管理、受感染的系统造成的运营性支出。
阻止易于攻击、非兼容和不可控的端点设备成为攻击对象,提高网络的可用性。
3.2移动安全代理
MSA位于AM和BM等网元上,和PA配合,完成设备接纳控制功能。MSA还可以根据SM的要求监视设备状态,协助SM检测和消除“Zero Day”威胁,降低系统因修复攻击破坏而带来的维护成本(OPEX),这在网络有多种接入方式时非常重要(如WiFi和宽带接入时)。MSA还具有反向防火墙能力,它在检测时将分析行为而不仅仅依靠用户签名,这对防止“Zero Day”类攻击非常重要。
MSA除了具备姿态代理的全部功能外,还具备有如下功能:
预防主机被入侵
防止间谍软件
防止内存溢出攻击
提供分布式反向防火墙能力
防止恶意移动代码入侵
保证操作系统完整性
审计日志
增强QoS
4 安全策略
安全策略是在网络出现安全事件时,SOC让系统自动执行的策略。
4.1设备安全代理的层次
在A-IMS中,安全策略扮演了很重要的角色。A-IMS网络架构的安全管理、DDoS防范、接入控制、入侵防护、鉴权、设备接纳控制等都是SM通过安全策略实现的,SM通过内置的移动安全代理主控制器(MSA-MC),实现对网络中其他各网元的MSA的控制。
IAT中的MSA收集主机的信息,然后发送到MSA-MC中,MSA-MC负责根据相关的策略,对相关信息进行预处理,然后将处理结果送到归属地SM(H-SM)中,由SM进行姿态评估和异常行为检测,并决定用户可接入的安全等级。
4.2SOC的多级管理模式
通过SOC,A-IMS的策略控制实现了多级控制。SOC为国家安全操作中心,向地方SM分发安全策略,实现整个网络的统一安全管理。
5 DDoS防护
A-IMS采用自学习算法阻止DDoS攻击,它能够学习流量模式,以适应特定的网络状况,如学习SIP行为以确定合适的流量门限等。A-IMS能够区分合法流量、嫌疑流量和恶意流量,只有合法流量才被允许通过A-IMS网元。
DDoS攻击防范功能通常运行于不被注目的后台模式,当系统被怀疑遭到攻击时,转发机制被激活,流量被重定向到保护系统,进行分析和控制,然后将合法流量返回到网络。
6 安全日志和报告
A-IMS的各网元:AM、BM、IPGW、AP、SDM等均支持标准的安全事件登记和报告,所有的安全事件告警将被传送到安全事件管理子系统,进行连续存储、分析和审计。系统作为日志收集点,采用接近实时的传输,以便对安全操作进行实时监视。A-IMS日志传输基于下列协议:IPFIX、SDEE、SNMPV3、Syslog。
