《CM-IMS安全重點(diǎn)問題及解決方案》開題匯報(bào)報(bào)告

中國移動(dòng)通信集團(tuán)有限公司 承擔(dān)部門：網(wǎng)絡(luò)部、福建公司、河南公司 2010年 5月 課題名稱： CM-IMS安全重點(diǎn)問題及解決方案 項(xiàng)目類型： 聯(lián)合項(xiàng)目 一、項(xiàng)目信息 課題名稱 CM-IMS安全重點(diǎn)問題及解決方案 課題分類 網(wǎng)絡(luò)與信息安全 主題詞 IMS 網(wǎng)絡(luò)安全 解決方案 課題預(yù)計(jì)開始時(shí)間 2010.4 預(yù)計(jì)結(jié)束時(shí)間 2010.12 立項(xiàng)經(jīng)費(fèi)、預(yù)算 無 項(xiàng)目課題組 研究單位及角色 負(fù)責(zé)人及聯(lián)系方式 總部網(wǎng)絡(luò)部 （牽頭單位） 魏來河南公司 于娟娟軒春林李保華王 芳蘇 堅(jiān)福建公司 （協(xié)助單位） 劉景峰蔡琿二、立項(xiàng)背景和意義 網(wǎng)絡(luò) IP化 從接入到核心系統(tǒng)都實(shí)現(xiàn)了 IP化，基于 IP技術(shù)實(shí)現(xiàn)的IMS繼承了來自 IP網(wǎng)絡(luò)的眾多安全威脅 終端智能化 智能化的 IMS終端不但具有的實(shí)現(xiàn)更多通信業(yè)務(wù)的能力，同時(shí)也具備了更大的對(duì)通信網(wǎng)絡(luò)進(jìn)行攻擊的能力 全業(yè)務(wù)化 為固定網(wǎng)絡(luò)同移動(dòng)網(wǎng)絡(luò)融合提供了有效支撐，但復(fù)雜業(yè)務(wù)的鑒權(quán)、數(shù)據(jù)保護(hù)等安全需求更加強(qiáng)烈 CM-IMS試點(diǎn)組網(wǎng)架構(gòu) 接 入 網(wǎng)M R F多 媒 體 電 話A S統(tǒng) 一 C e n t r e x A S多 媒 體 彩 鈴A S .I M - M G WI / S C S C FB G C FBOSSNMS業(yè) 務(wù) 層承 載 層H S S / S L FM G C FI S CM g C xU ES B CP - C S C FM wG mG mM n計(jì)費(fèi)網(wǎng)關(guān)計(jì) 費(fèi) 系 統(tǒng)固 定 接 入接 入 層OMCP L M NM S C S e r v e rM G WM cM bN c核 心 控 制 層I P 專 網(wǎng) / C M N E TP S 域 接 入E N U M/ D N SCM-IMS作為集團(tuán)的重要戰(zhàn)略工作，已經(jīng)完成在 9個(gè)省公司的試點(diǎn)。保障 CM-IMS的安全性是提升公司全業(yè)務(wù)競(jìng)爭(zhēng)能力的的重要環(huán)節(jié)！ 三、課題研究目標(biāo) 對(duì) CM-IMS系統(tǒng)不同層次和不同通信域的安全風(fēng)險(xiǎn)和威脅進(jìn)行系統(tǒng)性研究，定位安全防護(hù)需求 對(duì)關(guān)鍵風(fēng)險(xiǎn)研究相應(yīng)的解決方案，重點(diǎn)問題包括安全域的劃分和防護(hù)、接入安全方案、統(tǒng)一鑒權(quán)方案等，并開展測(cè)試和試點(diǎn)工作 根據(jù)研究成果制定 CM-IMS系統(tǒng)的安全技術(shù)規(guī)范 四、課題研究主要內(nèi)容 1 CM-IMS安全風(fēng)險(xiǎn)分析及研究 通過將 IMS系統(tǒng)劃分為 4個(gè)平面， 10個(gè)通信域，對(duì)不同層面和通信域內(nèi)的安全威脅進(jìn)行全面分析和研究。 承載 主要內(nèi)容 2 CM-IMS安全域劃分研究 IMS核心系統(tǒng)的安全域劃分安全研究范圍 核心系統(tǒng)設(shè)備范圍 I/P/S-CSCF， HSS AS,MRF SBC 承載網(wǎng)絡(luò)范圍 CMNET/IP承載網(wǎng) /MDCN xPon/FTTB/xDSL 集團(tuán)客戶 LAN 輔助系統(tǒng)范圍 網(wǎng)管系統(tǒng) 計(jì)費(fèi)系統(tǒng) 業(yè)務(wù)開通系統(tǒng) 主要內(nèi)容 2 CM-IMS安全域劃分研究（續(xù)） IMS各網(wǎng)元的所屬安全域定義 IMS網(wǎng)元各網(wǎng)絡(luò)接口定義 IMS網(wǎng)元接口安全威脅分析 IMS安全域訪問控制策略定義 IMS安全域邊界防護(hù)措施需求分析 安全域劃分和邊界防護(hù)對(duì) IMS業(yè)務(wù)影響分析 研究內(nèi)容 3 CM-IMS安全評(píng)估及解決方案研究 針對(duì) CM-IMS存在的安全風(fēng)險(xiǎn)，研究相應(yīng)的技術(shù)解決方案 終端安全方案 鏈路安全防護(hù)方案 接入鑒權(quán)安全方案 核心網(wǎng)安全方案 業(yè)務(wù)安全方案 對(duì) CM-IMS開展安全評(píng)估，對(duì)安全風(fēng)險(xiǎn)及漏洞進(jìn)行實(shí)際驗(yàn)證 CM-IMS 安全評(píng)估 研究內(nèi)容 4統(tǒng)一 Centrex等業(yè)務(wù)安全研究 業(yè)務(wù)邏輯安全 分析 CM-IMS部署的統(tǒng)一 Centrex業(yè)務(wù)中存在業(yè)務(wù)邏輯中的安全漏洞，如認(rèn)證，接入控制等，以避免業(yè)務(wù)訛用的發(fā)生。 IMS系統(tǒng)業(yè)務(wù)流程安全研究 統(tǒng)一 Centrex的開通，計(jì)費(fèi)，自管理，呼叫等流程。 基于 WEB的應(yīng)用研究 基于 WEB的用戶自配置等安全問題 研究內(nèi)容 5 CM-IMS安全技術(shù)規(guī)范研究與制定 基于對(duì)安全風(fēng)險(xiǎn)和安全解決方案的研究，制定CM-IMS安全技術(shù)規(guī)范 中國移動(dòng) IMS網(wǎng)絡(luò)安全威脅分析 中國移動(dòng) IMS網(wǎng)絡(luò)安全總體框架 中國移動(dòng) IMS網(wǎng)絡(luò)安全保護(hù)技術(shù)規(guī)范 IN. 針對(duì)現(xiàn)網(wǎng)實(shí)際數(shù)據(jù)分析 TA. 符合國際電信安全要求 ITU-TX.805 ST. 獨(dú)有系統(tǒng)業(yè)務(wù)流程分析方式 AV.特有移動(dòng)威脅驗(yàn)證技術(shù) 五、研究總體框架 五、研究總體框架 （續(xù)） 用 戶 終 端企 業(yè) 內(nèi) 網(wǎng)公 網(wǎng)運(yùn) 營 商P B XU CG WF WRS B CS B CP - C S C FA SP - C S C F其 他其 他密碼猜測(cè) 病毒入侵 畸形報(bào)文攻擊 竊 聽 篡 改 資源耗盡 終端 鏈路 SBC 主要安全風(fēng)險(xiǎn)及需求： 異常流量 盜 用 核心網(wǎng) 欠缺域劃分 拓?fù)湫孤?DNS攻擊 業(yè)務(wù)安全 通用安全需求 統(tǒng)一鑒權(quán)需求 AS不下沉需求 六、主要技術(shù)方案和關(guān)鍵技術(shù) 1-安全問題定位 當(dāng)針對(duì) IMS核心系統(tǒng)的安全攻擊發(fā)生時(shí)，如何才能及時(shí)發(fā)現(xiàn)以便采取適當(dāng)?shù)亩糁拼胧?三方的操作行為是否存在越權(quán)行為。是否存在非授權(quán)的操作 如何劃分安全域保護(hù) HSS防止關(guān)鍵數(shù)據(jù)被竊取 用戶終端部署時(shí)業(yè)務(wù)安全如何保障 在用戶網(wǎng)絡(luò)中 IMS業(yè)務(wù)流量與其它上網(wǎng)數(shù)據(jù)流量沒有分離，如何保證服務(wù)質(zhì)量。 核心系統(tǒng)設(shè)備的安全配置是否符合安全要求，是否存在安全漏洞 關(guān)鍵技術(shù)方案 2-CM-IMS安全域劃分 關(guān)鍵技術(shù)方案 3 SBC與防火墻關(guān)鍵問題研究 非 IMS網(wǎng)絡(luò) 自服務(wù)門戶等非IMS業(yè)務(wù) 業(yè)務(wù)認(rèn)證 網(wǎng)關(guān) 由認(rèn)證網(wǎng)關(guān)代理業(yè)務(wù)完成用戶身份鑒權(quán) HSS S-CSCF P-CSCF I-CSCF IMS核心網(wǎng) 關(guān)鍵技術(shù)方案 4 IMS用戶訪問非 IMS業(yè)務(wù)統(tǒng)一鑒權(quán) 關(guān)鍵技術(shù)方案 5 CM-IMS安全評(píng)估 1.基于標(biāo)準(zhǔn) ITU-T X.805 / ISO/IEC 18028-2 安全架構(gòu)， 2.從基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)服務(wù)安全、業(yè)務(wù)應(yīng)用安全三個(gè)層面進(jìn)行安全分析 3.每一個(gè)安全層都有各自的威脅和安全弱點(diǎn) 1.基礎(chǔ)設(shè)施層面 - 主機(jī)操作系統(tǒng) (Windos, Unix等 ) - 網(wǎng)絡(luò)設(shè)備 (Cisco, Huawei等 ) - 數(shù)據(jù)庫 (Oracle, SQL等 ) 2.通信服務(wù)層面 - 接入層 (SBC/P-CSCF/BCF/MGW) - 承載層 (安全域劃分和邊界防護(hù) ) - 核心層 (CSCF/HSS/MGCF) 3.業(yè)務(wù)應(yīng)用層面 - 用戶側(cè)安全 如： Bypass, password crack, signal/media manipulate, SPIT - WEB業(yè)務(wù) 如：多媒體彩鈴、點(diǎn)擊撥號(hào) - 企業(yè)大客戶 如 :統(tǒng)一 Centrix Messaging、 Presence、 PoC等 七、項(xiàng)目的難點(diǎn) 在研究過程中，以下需要廠家或終端用戶的配合，存在一定困難： 需要了解用戶 網(wǎng)絡(luò) 的實(shí)際情況，如用戶規(guī)模，網(wǎng)絡(luò)情況，防火墻部署等以便形成有針對(duì)性的分析 需要了解業(yè)務(wù)終端的情況。需要了解業(yè)務(wù)相關(guān)終端的類型，部署模式等 需要在用戶網(wǎng)絡(luò)中對(duì)業(yè)務(wù)進(jìn)行現(xiàn)場(chǎng)安全分析 ，通過現(xiàn)網(wǎng)抓包 了解業(yè)務(wù)的完整運(yùn)轉(zhuǎn)流程 八、本課題的創(chuàng)新點(diǎn)和專利點(diǎn) IMS互聯(lián)域間安全研究與防護(hù) IMS網(wǎng)管安全研究與防護(hù) IMS承載網(wǎng)絡(luò)安全與防護(hù) 組網(wǎng)方面安全研究與網(wǎng)絡(luò)安全保護(hù)方案，與安全防護(hù)技術(shù)研究 IMS互聯(lián)域間安全研究與防護(hù) MDCN 企 業(yè)專 網(wǎng) BOSS 話單 賬單 計(jì)費(fèi) FW 網(wǎng)管 FW 日志 網(wǎng)管 SOC SGSN MGW IP承載網(wǎng) GPRS GGSN DNS CG FW MSS HLR MSS IMS HSS CSCF AS CMNET FW OA Internet 網(wǎng)站 應(yīng)用 辦公終端 三方人員 FW FW FW IMS網(wǎng)管安全研究與防護(hù) IMS承載網(wǎng)絡(luò)安全與防護(hù) 用戶接入承載 安全防護(hù)主要考慮如下方面： 盡量實(shí)現(xiàn)終端用戶接入網(wǎng)絡(luò)中設(shè)備和系統(tǒng)的可管理，可監(jiān)控。防止非法使用和信息泄漏 IMS業(yè)務(wù)帶寬保證。在多種業(yè)務(wù)并存的接入網(wǎng)絡(luò)中，需要采取措施保證 IMS的業(yè)務(wù)帶寬。避免其他業(yè)務(wù)或網(wǎng)絡(luò)攻擊導(dǎo)致的對(duì) IMS業(yè)務(wù)的帶寬擠占。保證通話質(zhì)量。 IMS核心承載 需采取系列防護(hù)措施 路由驗(yàn)證，加密和過濾。 核心承載網(wǎng)絡(luò)要求絕對(duì)封閉。核心承載網(wǎng)絡(luò)是一個(gè)完全獨(dú)立于所有其它系統(tǒng)的“孤島”，建議采用承載網(wǎng)帶外網(wǎng)管的方式，將承載網(wǎng)的網(wǎng)管系統(tǒng)與基礎(chǔ)網(wǎng)絡(luò)隔離，并在網(wǎng)管系統(tǒng)與基礎(chǔ)網(wǎng)絡(luò)之間實(shí)施嚴(yán)格的安全防火墻。 核心承載網(wǎng)絡(luò)設(shè)備本身需要有完善的安全控制能力和流量監(jiān)控能力。 管理承載 防護(hù)大客戶網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)接入設(shè)備的攻擊 避免帶內(nèi)網(wǎng)管時(shí)網(wǎng)絡(luò)擁塞造成遠(yuǎn)程管理工作不能進(jìn)行 九、與本課題有關(guān)的研究工作積累和已取得的研究成果 2009年 IMS安全研究軟課題研究 ， 包括 IMS安全分析與安全防護(hù)體系架構(gòu)研究，并進(jìn)行現(xiàn)場(chǎng)安全試驗(yàn)。 IMS安全研究通過對(duì) IMS業(yè)務(wù)系統(tǒng)的安全威脅、安全需求分析，設(shè)計(jì) IMS的總體安全框架和安全防護(hù)體系，并形成一套 IMS的安全評(píng)估方法。 十、項(xiàng)目輸出成果 IMS核心系統(tǒng)的安全域劃分配置建議 /規(guī)范 中國移動(dòng) IMS網(wǎng)絡(luò)安全威脅分析 中國移動(dòng) IMS網(wǎng)絡(luò)安全總體框架 中國移動(dòng) IMS網(wǎng)絡(luò)安全保護(hù)技術(shù)規(guī)范 統(tǒng)一 Centrex業(yè)務(wù)安全部署建議 十一、項(xiàng)目研究實(shí)施計(jì)劃 階段劃分 工作內(nèi)容 進(jìn)度安排（年月） 前 期 準(zhǔn) 備 階 段 項(xiàng)目策劃、資料收集 10.5-10.6 了解現(xiàn)狀，方案設(shè)計(jì)，計(jì)劃與文檔準(zhǔn)備 成立項(xiàng)目組，開工會(huì)、任務(wù)分工與啟動(dòng) 可行性研究、安全調(diào)研，信息收集 項(xiàng) 目 實(shí) 施 階 段 信息收集與整理， IMS各網(wǎng)元 /接口功能，數(shù)據(jù)交互分析 10.7-10.10 安全風(fēng)險(xiǎn)分析，安全域劃分研究，統(tǒng)一 Centrex安全研究 安全保護(hù)方案 包括基礎(chǔ)設(shè)施層評(píng)估、通信服務(wù)層攻擊驗(yàn)證，并對(duì)所采取的安全防護(hù)措施對(duì) IMS系統(tǒng)產(chǎn)生的影響進(jìn)行驗(yàn)證分析 后期 相關(guān) 工作 內(nèi)部評(píng)審，修改完善，輸出研究成果 10.11-10.12 組織