从3GPP IMS安全到TISPAN NGN安全

    固定和移动基础设施的融合不仅能减少标准化工作量和开发成本，而且还能通过固定和移动接入提供综合业务来使运营商获得巨大机遇去提高他们的客户量和客户满意度。固定和移动融合同时也包含安全方面的融合。由于固网运营商有其特殊安全需求，固定移动融合的安全级别本质上不应低于移动IMS（IP Multimedia Subsystem，IP多媒体子系统）所制定的安全级别。考虑到在固网中已安装大量基础设施，固网运营商想保留已有投资（包括运营商和用户侧）的前提下，通过使用最新技术代替传统技术，来降低用户接受IMS门槛和加快IMS的推出。

　　文章已讨论了NGN（Next－Generation Networks，下一代网络）安全的必要性。本文将继续讨论安全，并着重考虑在固定/移动（Universal Mobile telecommunications System，通用移动通信系统）融合背景下宽带固定网络的IMS安全。正在制定UMTS（Universal Mobile Telecommunications System，通用移动通信系统）相关标准的标准组织3GPP（Third Generation Partnership Project，第三代合作伙伴计划）已经为IMS安全制定了一套完备的规范集，而且正在进行R7（“Release7”）的相关工作。这些规范已经非常成熟。ETSITISPAN（European Telecommunications Standards Institute，欧洲电信标准协会）（Telecommunications and Internet converged Services and Protocols for Advanced Networking，电信和互联网融合业务及高级网络协议）正在为宽带固定网络制定同样一套规范集的第一版本。合理且有效的安全规范制定方法是在确定的融合领域里使用3GPP规范作为基础。本文主要目的是借助3GPP所使用的安全考虑方法来研究TISPAN安全。

　　本文首先介绍3GPP IMS架构及其安全；然后以此为基础，介绍TISPAN NGN架构及其安全；接着分析TISPAN的安全威胁；还阐述非IMS业务的安全；最后是全文总结。

　　一、3GPP IMS架构

　　在该问题上，文章（“Network Migration Strategies Toward IMS”）给出了IMS（IP Multimedia Subsystem，IP多媒体子系统）架构的简要介绍，并给进一步详细讨论IMS架构的早期文稿提供了参考。本章节主要讨论安全保护IMS架构所涉及的组成部分：核心网IMS（“Core IMS”）和HSS。

　　IMS核心网由所有负责会话控制的CSCF（Call Session Control Function，呼叫会话控制功能）组成，它们执行以下三种类型的功能：
　　● 服务CSCF（S－CSCF）：执行会话控制和维护每一个IMS会话状态，S－CSCF使用HSS安全数据认证中心（AuC）来认证IMS用户；
　　● 代理CSCF（P－CSCF）：连接IMS终端的第一个节点并代表终端，IMS终端和P－CSCF之间需要建立安全关联SA，并需要进行信令压缩；
　　● 询问CSCF（I－CSCF）：位于运营商网络内部的节点，接收所有呼入会话。
　　3GPP系统用户数据处理由以下几部分组成：
　　● HSS（Home Subscriber Server，归属用户服务器），由归属位置寄存器HLR和认证中心AuC组成，包括用于会话控制和应用控制的IMS用户数据；
　　● SLF（Subscription Locator Function，签约定位功能），用于查找用户具体的HSS。　

    1. 3GPP IMS安全

　　安全保护是3GPP IMS架构中一个重要部分。3GPP IMS架构采用分层方法，即IMS覆盖叠加在2.5/3G移动网络上且独立于接入技术，并有其自己的用户认证/授权和信息流保护机制。该方法目的是保护用户与IMS呼叫服务器之间、及各呼叫服务器之间的IMS会话。IMS安全保护采用逐跳方式进行：
　　● 位于用户和P－CSCF之间第一跳的安全保护：采用每个用户都有其独自的安全上下文来实现；
　　● 各CSCF之间的安全：所有会话的安全保护都采用网络域安全（NDS）机制来实现。
　　（1）第一跳安全
　　第一跳需要很强的安全保护，因为它为用户提供了一个直接连接到IMS网络控制中心的信令通道。第一跳主要的安全要求是：
　　● 用户认证，以防止盗用用户身份；
　　● 用户信令的认证和完整性保护，以防止盗用服务和对信令的恶意攻击。

　　第一跳安全保护基于位于终端里UICC卡（UMTS Integrated Circuit Card，UMTS集成电路卡）的ISIM（IMS Subscriber Identity Module，IMS用户身份模块）应用。第一跳安全保护重用了强劲且经过领域证实的UMTS接入安全机制：认证和密钥协商协议（AKA，Authentication and Key Agreement Protocol），即通过用户（ISIM应用）和网络（AuC/HSS）之间的一个公共共享秘密来进行认证和密钥协商。IMS注册时，用户采用SIP Digest AKA消息交互进行认证。用户和P－CSCF之间接下来的信息交互使用IPSec传输模式进行安全保护，其中相关的完整性保护密钥和加密密钥能从共享秘密和质询值导出。

　　（2）网络域安全
　　基于IP的网络域安全（NDS/IP）具有较少的IMS特定功能。NDS/IP提供了一个安全架构和工具，能让IMS运营商将其自己IMS网络规划到不同安全域里，也能让IMS运营商拥有互通的安全机制与其他运营商进行通信。为此，NDS/IP引入了域内接口（Zb），用它表示在同一安全域内各IMS组件之间的接口；还引入了域间接口（Za），用它表示不同安全域之间IMS组件之间的接口。域内接口Zb能安全保护封装在一个IPsec隧道里的信令（一个运营商的选择）。经域间接口Za连接的不同安全域里的节点必须通过位于安全域边界的一对安全网关进行通信。安全网关必须使用对等IPsec隧道进行域间通信安全保护。

　　使用IPsec ESP（Encapsulating Security Payload，封装安全净荷）隧道模式进行安全保护。因特网密钥交换协议（IKE，Internet Key Exchange）用于协商、建立和维护安全关联SA及相应受保护的ESP隧道。

    2. TISPAN NGN架构
　　3GPP IMS架构作为TISPAN NGN架构研究基础的理由。3GPP IMS架构在传输层和控制层有了一个明确分离；它独立于接入技术、基于全IP、使用SIP（Session Initiation Protocol）作为会话信令的建立和释放。而且可以扩充3GPP IMS架构和SIP信令以便能实现新的业务。

　　3GPP IMS架构是将IMS核心网控制部分和IP接入网（IP CAN，用户设备UE和P－CSCF之间传输层的传输部分）及HSS（Home Subscriber Server，归属用户服务器）和AS（Application Server，应用服务器）等支持功能捆绑在一起，组成一个完整的架构。TISPAN定义NASS（Network Attachment Sub－System，网络连接子系统）和RACS（Resource and Admission Control Subsystem，资源与接纳控制子系统）作为传输层的IP连接控制。将HSS重定义为UPSF（User Profile Server Function，用户属性服务器功能），它包含IMS配置和用户认证数据，但HLR（Home Location Register，归属位置寄存器）由诸如PES（PSTN Emulation Subsystem，PSTN仿真子系统）的针对其他子系统的特定数据替代。SLF（Subscription Locator Function，签约定位功能）将包含用户配置数据的UPSF位置预留在多个UPSF配置中。为能与其他IP网络进行互通，需要对3GPP IMS核心网络进行增强，需要扩充功能IBCF（Interconnection Border Control Function，互联边界控制功能）和功能IWF（Inter－working Function，互通功能）。

　　依靠UAAF（User Access Authorization Function，用户接入授权功能）及其相关的数据存储器PDBF（Profile Data Base Function，业务属性数据库功能），NASS能注册、认证、授权CPE（Customer Premises Equipment，用户侧设备）去访问固网。NACF（Network Access Configuration Function，网络接入配置功能）分配IP地址给CPE，同时为CPE提供业务连接地址，如访问IMS业务的P－CSCF（Proxy Call Session Control Function，代理CSCF）的IP地址。CLF（Connectivity Session Location and Repository Function，连接会话位置和存储功能）将所有NACF及UAAF信息和支持RACS的位置信息、业务控制子系统、应用服务器操作捆绑在一起。
QoS控制由RACS（Resource and Admission Control Subsystem，资源与接纳控制子系统）提供。RACS提供一些机制用于预留、分配和释放网络资源。RACS能识别会话，但不能识别业务。RACS也能执行基于业务的本地策略控制及近端和远端的NAT穿越。SPDF（Service Policy Decision Function，业务策略决策功能）驻留策略规则并能和不同RACF进行通信。

　　TISPAN NGN体系结构中强制性需求是，TISPAN NGN的功能模块能分布到属于多个业务和应用提供商的不同管理域里，尤其是NASS和RACS功能模块更是如此。游牧功能进一步引入诸如拜访网络和归属网络等概念的需求。除了支持和用户之间的零售业务关系外，还支持不同提供商之间的批发业务关系。

　　3. TISPAN NGN威胁简要分析
　　通过考虑3GPP安全方法来研究TISPAN安全的主要目的是尽可能保持TISPAN安全与3GPP安全的一致性，但固定和移动体系结构还存在很多不同：
　　● 移动技术允许网络基础设施和移动终端平行地演进，但固定网络已安装了大量基础设施，如果没有本质变化（根本性升级和/或硬件扩展或替代），这些基础设施不可能支持复杂的安全解决方案。考虑到固网中已安装了大量基础设施，因此有必要考虑能支持这些额外应用场景的更多安全方案的选择；
　　● 固网中纯有线安全解决方案与空中接口安全解决方案有着不一样的安全威胁弱点。因此可以引入简化的安全应用场景来保护IMS接入安全，稍后再解释；
　　● 固网必须支持与多个终端（这些终端或多或少包含一些安全协议栈）互通，也必须支持与多种不同接入技术的互通；
　　● 在固网中，用户设备UE易受攻击的弱点有着不可预见的安全隐患，因为用户能在不通知IMS提供商的情况下更换他们的用户设备UE，如增加一个空中接口（如WiFi）；
　　● TISPAN支持多种商务角色，这些商务角色范围可以从接入和区域性网络提供商到业务/应用提供商。相应地，很多参考点将变为运营商内部接口。在TISPAN，这会加强网络域安全的重要性。
　　关于风险和易受攻击的弱点，运营商最担心的是通过盗用身份而导致的业务盗用和DoS（Denial of Service，拒绝服务）攻击。前者威胁到他们的收入，后者威胁到他们的业务投递，进而威胁到他们的声誉和收入。身份盗用加强了网络和业务接入认证的重要性。因为用户身份不能阻止DoS攻击，所以需要在网络基础设施中部署如本文第一页中所述的特定防DoS攻击措施。
　

    4. TISPAN NGN安全
　　NGN安全架构可以从TISPAN功能架构中得到，主要从三个方面来考虑：
　　● 接入安全（“第一跳”或“第一英里”安全）；
　　● NGN核心网安全（运营商内部域安全）；
　　● 互通安全（不同运营商之间域的安全）。
接入安全是NGN体系架构中一个难点，因为需要考虑与之互通的不同接入技术。接入安全由网络连接部分和业务层部分组成。网络连接部分包括用户设备和NASS之间的网络认证。网络认证依赖于接入技术，典型的例子是：如果是DSL（Digital Subscriber Line）接入则需要使用用户线标识进行隐式认证；或如果是IEEE 802.1x接入则需要使用基于端口的网络接入控制进行显式认证。

　　对于IMS接入安全，主要目的是保持与3GPP安全解决方案的一致性。当CPE中无NAT穿越时非常简单，TISPAN已经采用3GPP安全解决方案，即IPsec传输模式和SIP Digest AKA。该方案假设使用了位于UICC卡里的ISIM应用，该UICC卡可以位于终端上、或驻地网关上、或一个分离的终端上（一个类似于UMTS移动终端的附属终端，经由一个空中接口连接到第一点，并能执行真正的认证）。如果在CPE中有NAT穿越，TISPAN和3GPP SA3正在讨论使用2种解决方案来达到目的。一个是基于IPsec，另一个是基于TLS。这两个方案还没最终定论，但需要注意的是，既然3GPP将来可能会遇到NAT问题，为了固定移动融合的目的，要求TISPAN所选方案也能适应于3GPP。

　　由于已安装了大量基础设备，为了能在固网中便利地推出IMS，TISPAN也制定了一个与网络接入认证绑定在一起的IMS接入机制。该方案要求在接入和IMS提供商之间有一个可信的信任关系，它将IMS接入和隐式或显式的网络接入认证绑定在一起。

　　域内安全负责运营商内部域安全，一般不做明显要求。域边界上的安全保护不够，因为经验表明许多攻击都来自网络内部。将信息流类型（信令、管理、媒体等）和节点类型分开进行安全保护的原则会大大降低攻击的扩散。数据库需要集中存放在受防火墙高度保护的区域内。管理规则将进一步控制潜在的内部攻击。如有需要，对于控制和管理层，运营商能选择基于IPsec ESP隧道模式并结合IKE的域内安全机制。
3GPP架构和TISPAN架构最重要的区别是后者能支持更多类型的商务角色。这些商务角色的范围从接入和区域性网络提供商到业务提供商。相应地，许多参考点将变成运营商内部接口。3GPP和TISPAN都在制定安全网关（SEGs，Security Gateways）规范，这些安全网关强制了一个域到另一个域的安全策略。而且，IPsec ESP隧道模式结合IKE是推荐性选项，建议用于安全网关之间相互认证、信息完整性保护、防重播攻击等。机密性为可选。

　　5. 非IMS业务安全

　　TISPAN NGN架构已设计成能提供实时和非实时通信业务，包括会话业务（VoIP、multimedia），分布式业务（Broadcast TV、VoD）、presence、即时消息（instant messaging）等。VoIP可以由IMS提供，也可以通过PES（PSTN Emulation Subsystem，PSTN仿真子系统）配置进行提供，该PES配置可以在已有ISDN（Integrated Services Digital Network，综合业务数据网）的补充业务中实现。PES可以作为一个PSTN替代，在此用户将保留终端和过程。在AGCF（Access Gateway Control Function，接入网关控制功能）和媒体网关之间，PES采用ITU－T H.248协议来代替SIP协议。从安全角度，运营商的AGW（Access Gateways，接入网关）和用户归属域的RGW（Residential Gateways，驻地网关）必须区别对待。对于前者不需要认证，因为AGW与AGCF有一一对应关系，安全功能可以预置。而RGW的安全解决方案比较难，因为必须提供认证，且同时必须保留用户PSTN的体验。安全协商应全部嵌入RGW，而且RGW和AGCF应属于同一安全域。其他业务需要进一步研究，毫无疑问它们也需要安全保护。

    二、结论

　　Alcatel支持TISPAN NGN体系结构，并已积极向TISPAN标准化组织做了很多贡献，尤其是安全方面。目的之一是希望达到固定移动融合，即能同时支持3GPP和TISPAN，能使运营商方便地部署移动和固定IMS。Alcatel非常了解IP网络已经暴露的安全威胁，尤其是VoIP网络。因此，Alcatel将安全作为移动和固定IMS一个固有特征，并在设计安全产品和安全审计中证明了Alcatel的实力。

　　该文阐述了TISPAN NGN和3GPPIMS体系结构及它们的安全方法、安全协议。从一开始，安全研究就作为3GPP IMS标准化工作中一个不可缺少的部分，并在SA3中进行研究。Alcatel支持重用3GPP GSM/GPRS/UMTS安全经验的原则，在此基础上进一步对固定宽带接入IMS进行安全保护。对于第一英里安全保护，各标准组织正在进行联合研究，目的是尽可能地达到最大的融合。即使考虑到已安装了大量基础设施的TISPAN仍需要定制特定的解决方案，IMS接入安全应整合成一个通用的解决方案。最后，融合重点是域内和域外的安全域是一致的。