互聯(lián)網(wǎng)的安全問題是一個永恒的話題。
　　IMS的“互聯(lián)網(wǎng)”本性
　　IMS，一種承諾可以幫助電信運營商實現(xiàn)網(wǎng)絡(luò)全IP化的技術(shù)，簡單、靈活、支持所有開放標準以及獨立于接入網(wǎng)絡(luò)是其主要特點和優(yōu)勢。近來，IMS被一些設(shè)備廠商宣傳得神乎其神，無所不能。諸如，IMS平臺能夠使運營商專注于提供應用而不是訪問技術(shù)、IMS 有助于確保SIP在包括3G設(shè)備在內(nèi)的許多系統(tǒng)上的可用性以及IMS 平臺支持各種的基于IP的應用等。
　　也許設(shè)備廠商們已經(jīng)習慣了報喜不報憂。不管我們以何種方式來描述和渲染IMS，有一點是肯定的，那就是IMS是基于TCP/IP協(xié)議的，它通過包交換的方式替代傳統(tǒng)電信的電路交換。所以可以說，IMS的引入將使電信領(lǐng)域進入“類互聯(lián)網(wǎng)”時代，安全問題將成為電信運營商的頭號大敵。
　　業(yè)界對IMS品頭論足多是基于“IMS不是互聯(lián)網(wǎng)”這一前提。諸如，IMS具有集中式架構(gòu)、智能核心網(wǎng)絡(luò)以及可運營的商業(yè)模式等，這都與互聯(lián)網(wǎng)有著非常大的不同。但是，回到安全這一網(wǎng)絡(luò)運營所無法回避的問題上來，IMS比互聯(lián)網(wǎng)好不到哪里去。
　　互聯(lián)網(wǎng)的安全問題是由于其“傻瓜網(wǎng)絡(luò)”的本性所致，它沒有集中式的控制認證，而且更要命的是任何一臺連接到它上面的電腦都可以使用它。所以，更高層次的安全并不是對用戶接入端和網(wǎng)絡(luò)接入端進行控制認證，而是如何保證合法用戶所獲取內(nèi)容的安全可靠，這才是最關(guān)鍵的。網(wǎng)絡(luò)一旦開放，威脅便可能隨時隨地爆發(fā)。
　　IMS受累于DNS
　　其實，本質(zhì)上講，安全的實現(xiàn)就是在IMS和公眾互聯(lián)網(wǎng)之間所設(shè)立的一道墻，以防止一切可疑內(nèi)容的通過。3GPP /3GPP2在IMS安全問題上進行了詳細的定義，包括SIM應用和認證程序。但很遺憾，3GPP /3GPP2并沒有對如何防止拒絕服務對DNS的攻擊作相關(guān)定義，這給IMS留下了巨大的安全隱患。3GPP /3GPP2在IMS安全規(guī)范中也提到了“應該”防范虛假地址欺騙，但并沒有說明“如何”進行防范。除了安全缺陷之外，這還形成另一個問題，就是不同IMS網(wǎng)絡(luò)或者IMS網(wǎng)絡(luò)與互聯(lián)網(wǎng)SIP用戶之間是否能夠協(xié)同工作的問題。
　　在互聯(lián)網(wǎng)上，DNS是黑客們經(jīng)常攻擊的對象。這主要是因為，在互聯(lián)網(wǎng)的世界里存在大量的、相互獨立的DNS服務器，不管你是增加、刪除還是重新配置一臺DNS服務器都是非常簡單的事情，當然也包括惡意攻擊。可以說，在開發(fā)使用DNS技術(shù)的同時，我們也為自己鋪設(shè)了一個安全陷阱，雖然DNS技術(shù)給我們解決了許多問題，而且使用起來也非常簡單。
　　在DNS系統(tǒng)中，緩存中毒是非常普遍的現(xiàn)象。以前通常通過限制遞歸式DNS的使用來進行防范，這是不對的，因為這將大大降低整個DNS系統(tǒng)的彈性。另一種防范方式是“以毒攻毒”，即以同樣的虛假地址向?qū)⒁�受到攻擊的DNS服務器“海量”請求，從而將惡意攻擊淹沒。這樣做的后果很明顯，在防范了惡意攻擊的同時也拖垮了目標服務器。
　　同互聯(lián)網(wǎng)一樣，IMS通過使用DNS來實現(xiàn)不同語言的URL鏈接和傳統(tǒng)電話號碼與IP地址之間的解析，而且IMS對DNS的依賴相比互聯(lián)網(wǎng)有過之而無不及。
　　如IMS安全規(guī)范所描述的那樣，數(shù)據(jù)包在通過PCSCF時需要進行加密，而且這一行為與有沒有惡意攻擊無關(guān)。這樣一來，會使PCSCF實體中的防火墻功能大打折扣。（編者注：CSCF——會話服務控制，是IMS的功能實體之一，它包括PCSCF——代理CSCF、ICSCF——查詢CSCF以及SCSCF——服務CSCF等類型，在物理上可以是合一的，也可以分別設(shè)置。）而且，為了滿足電信級應用的要求，IMS使用的是私有DNS服務器，還增加了ENUM（電話號碼映射）設(shè)備。專家認為，這樣做的危險性其實更大，因為一旦運營商的DNS出現(xiàn)問題，整個網(wǎng)絡(luò)的正常工作都將受到影響。
　　另外一個相關(guān)的問題就是就是IMS網(wǎng)絡(luò)與互聯(lián)網(wǎng)SIP用戶的協(xié)同工作問題。IMS利用ENUM功能進行SIP URL的查詢。但此類查詢可以“由內(nèi)往外”進行，卻無法“由外往內(nèi)”。即查詢可以從運營商的內(nèi)網(wǎng)透傳到互聯(lián)網(wǎng)，卻無法從互聯(lián)網(wǎng)透傳到電信運營商的私有DNS，除非運營商的網(wǎng)絡(luò)與公共互聯(lián)網(wǎng)之間沒有防火墻，這種情況令人費解。而且，向外查詢也十分的費勁，或者需要運營商在其網(wǎng)絡(luò)和公共互聯(lián)網(wǎng)之間設(shè)置防火墻，或者IMS的安全模式需要重新定義。對于這個問題，3GPP和IETF已經(jīng)開始著手對SIP標準進行派生以實現(xiàn)在IMS的環(huán)境下進行SIP URL的真正跨網(wǎng)查詢。
　　如何應對終端智能化
　　雖然IMS通過嚴格的中央節(jié)點結(jié)構(gòu)以及融合電信網(wǎng)絡(luò)的計費機制確保了IP在更廣范圍內(nèi)連接的可能性。但當前終端設(shè)備的智能化程度越來越高，終端設(shè)備之間的通信也日趨多樣化。在TCP/IP的環(huán)境下，一個終端可以很容易地向另一個終端發(fā)起攻擊。雖然針對智能手機的攻擊和病毒沒有造成大的危害和損失，但這的的確確是一個潛在的巨大威脅。從某種意義上講，設(shè)備廠商對IMS宣傳得越瘋狂，針對它的威脅就會越多。
　　所以，在IMS的部署上，運營商會非常謹慎，誰會冒風險去作一只“出頭鳥”。更何況IMS是一次對傳統(tǒng)電信網(wǎng)絡(luò)架構(gòu)的革命，如若傷一發(fā)，必然動全身。
　　那么電信運營商到底該怎么辦呢？在安全防護的問題上，IMS網(wǎng)絡(luò)與DSL等寬帶接入網(wǎng)絡(luò)沒有本質(zhì)的區(qū)別，面臨的安全問題也非常類似，所以IMS運營商可以從ISP那取取經(jīng)。ISP們通過監(jiān)控接入路由來跟蹤并繪制惡意信息到物理MAC地址的路徑圖，IMS運營商們也可以利用同樣的方式在RNC上實現(xiàn)層2到層3的跟蹤監(jiān)控從而有效阻止惡意攻擊和欺騙。從這點來看，安全問題并不僅僅是確保用戶終端設(shè)備不受攻擊和病毒感染，而是整個網(wǎng)絡(luò)系統(tǒng)對威脅的免疫性。
　　當然，隨著網(wǎng)絡(luò)附加設(shè)備智能化程度的日益提高，外圍防護的方式會顯得力不從心。其中的一些設(shè)備，比如Wi-Fi功能的筆記本電腦，在登陸互聯(lián)網(wǎng)的時候?qū)�會形成新的網(wǎng)絡(luò)接入點。這意味著什么呢？答案是，在這種情況下，媒體網(wǎng)關(guān)這一所謂的馬其諾防線同樣可以被突破。因此，TCP/IP協(xié)議端到端的機制最終需要端到端的安全防護。
　　一些廠商已經(jīng)能夠在其IMS解決方案中提供端到端的安全防護，但真正行之有效的解決方案和產(chǎn)品少之又少，多數(shù)解決方案對相關(guān)安全規(guī)范只進行了泛泛的描述。缺少正式的最優(yōu)編碼方式，各個利益集團之間缺乏合作，不管是IETF，ICANN，還是地方電信運營商。
　　業(yè)界對于Malcode(有害代碼)已經(jīng)討論很多了，然而在移動通信領(lǐng)域我們卻看不到類似的討論和研究。對于IMS安全規(guī)范，有分析人士指出，網(wǎng)絡(luò)層以上的安全問題應得到更廣泛的關(guān)注。因為，在純IP的世界，單一的外圍防護模式是注定要失敗的，端到端安全的實現(xiàn)才是正道。
　　可以這么說，在IMS上，沒有真正的安全，雖然也有安全領(lǐng)域的專家認為，IMS的安全問題并不像“傳說”中那樣可怕，只要電信運營商在部署IMS時采取行之有效的安全模式，大部分威脅是可以杜絕的。電信領(lǐng)域會因IMS安全問題而付出同互聯(lián)網(wǎng)領(lǐng)域一樣的痛苦和代價，所以要想電信運營商完全接受IMS不是件容易的事。畢竟，越完美的東西往往越脆弱。

搜狐IT