互聯(lián)網的安全問題是一個永恒的話題。
　　IMS的“互聯(lián)網”本性
　　IMS，一種承諾可以幫助電信運營商實現(xiàn)網絡全IP化的技術，簡單、靈活、支持所有開放標準以及獨立于接入網絡是其主要特點和優(yōu)勢。近來，IMS被一些設備廠商宣傳得神乎其神，無所不能。諸如，IMS平臺能夠使運營商專注于提供應用而不是訪問技術、IMS 有助于確保SIP在包括3G設備在內的許多系統(tǒng)上的可用性以及IMS 平臺支持各種的基于IP的應用等。
　　也許設備廠商們已經習慣了報喜不報憂。不管我們以何種方式來描述和渲染IMS，有一點是肯定的，那就是IMS是基于TCP/IP協(xié)議的，它通過包交換的方式替代傳統(tǒng)電信的電路交換。所以可以說，IMS的引入將使電信領域進入“類互聯(lián)網”時代，安全問題將成為電信運營商的頭號大敵。
　　業(yè)界對IMS品頭論足多是基于“IMS不是互聯(lián)網”這一前提。諸如，IMS具有集中式架構、智能核心網絡以及可運營的商業(yè)模式等，這都與互聯(lián)網有著非常大的不同。但是，回到安全這一網絡運營所無法回避的問題上來，IMS比互聯(lián)網好不到哪里去。
　　互聯(lián)網的安全問題是由于其“傻瓜網絡”的本性所致，它沒有集中式的控制認證，而且更要命的是任何一臺連接到它上面的電腦都可以使用它。所以，更高層次的安全并不是對用戶接入端和網絡接入端進行控制認證，而是如何保證合法用戶所獲取內容的安全可靠，這才是最關鍵的。網絡一旦開放，威脅便可能隨時隨地爆發(fā)。
　　IMS受累于DNS
　　其實，本質上講，安全的實現(xiàn)就是在IMS和公眾互聯(lián)網之間所設立的一道墻，以防止一切可疑內容的通過。3GPP /3GPP2在IMS安全問題上進行了詳細的定義，包括SIM應用和認證程序。但很遺憾，3GPP /3GPP2并沒有對如何防止拒絕服務對DNS的攻擊作相關定義，這給IMS留下了巨大的安全隱患。3GPP /3GPP2在IMS安全規(guī)范中也提到了“應該”防范虛假地址欺騙，但并沒有說明“如何”進行防范。除了安全缺陷之外，這還形成另一個問題，就是不同IMS網絡或者IMS網絡與互聯(lián)網SIP用戶之間是否能夠協(xié)同工作的問題。
　　在互聯(lián)網上，DNS是黑客們經常攻擊的對象。這主要是因為，在互聯(lián)網的世界里存在大量的、相互獨立的DNS服務器，不管你是增加、刪除還是重新配置一臺DNS服務器都是非常簡單的事情，當然也包括惡意攻擊�？梢哉f，在開發(fā)使用DNS技術的同時，我們也為自己鋪設了一個安全陷阱，雖然DNS技術給我們解決了許多問題，而且使用起來也非常簡單。
　　在DNS系統(tǒng)中，緩存中毒是非常普遍的現(xiàn)象。以前通常通過限制遞歸式DNS的使用來進行防范，這是不對的，因為這將大大降低整個DNS系統(tǒng)的彈性。另一種防范方式是“以毒攻毒”，即以同樣的虛假地址向將要受到攻擊的DNS服務器“海量”請求，從而將惡意攻擊淹沒。這樣做的后果很明顯，在防范了惡意攻擊的同時也拖垮了目標服務器。
　　同互聯(lián)網一樣，IMS通過使用DNS來實現(xiàn)不同語言的URL鏈接和傳統(tǒng)電話號碼與IP地址之間的解析，而且IMS對DNS的依賴相比互聯(lián)網有過之而無不及。
　　如IMS安全規(guī)范所描述的那樣，數據包在通過PCSCF時需要進行加密，而且這一行為與有沒有惡意攻擊無關。這樣一來，會使PCSCF實體中的防火墻功能大打折扣。（編者注：CSCF——會話服務控制，是IMS的功能實體之一，它包括PCSCF——代理CSCF、ICSCF——查詢CSCF以及SCSCF——服務CSCF等類型，在物理上可以是合一的，也可以分別設置。）而且，為了滿足電信級應用的要求，IMS使用的是私有DNS服務器，還增加了ENUM（電話號碼映射）設備。專家認為，這樣做的危險性其實更大，因為一旦運營商的DNS出現(xiàn)問題，整個網絡的正常工作都將受到影響。
　　另外一個相關的問題就是就是IMS網絡與互聯(lián)網SIP用戶的協(xié)同工作問題。IMS利用ENUM功能進行SIP URL的查詢。但此類查詢可以“由內往外”進行，卻無法“由外往內”。即查詢可以從運營商的內網透傳到互聯(lián)網，卻無法從互聯(lián)網透傳到電信運營商的私有DNS，除非運營商的網絡與公共互聯(lián)網之間沒有防火墻，這種情況令人費解。而且，向外查詢也十分的費勁，或者需要運營商在其網絡和公共互聯(lián)網之間設置防火墻，或者IMS的安全模式需要重新定義。對于這個問題，3GPP和IETF已經開始著手對SIP標準進行派生以實現(xiàn)在IMS的環(huán)境下進行SIP URL的真正跨網查詢。
　　如何應對終端智能化
　　雖然IMS通過嚴格的中央節(jié)點結構以及融合電信網絡的計費機制確保了IP在更廣范圍內連接的可能性。但當前終端設備的智能化程度越來越高，終端設備之間的通信也日趨多樣化。在TCP/IP的環(huán)境下，一個終端可以很容易地向另一個終端發(fā)起攻擊。雖然針對智能手機的攻擊和病毒沒有造成大的危害和損失，但這的的確確是一個潛在的巨大威脅。從某種意義上講，設備廠商對IMS宣傳得越瘋狂，針對它的威脅就會越多。
　　所以，在IMS的部署上，運營商會非常謹慎，誰會冒風險去作一只“出頭鳥”。更何況IMS是一次對傳統(tǒng)電信網絡架構的革命，如若傷一發(fā)，必然動全身。
　　那么電信運營商到底該怎么辦呢？在安全防護的問題上，IMS網絡與DSL等寬帶接入網絡沒有本質的區(qū)別，面臨的安全問題也非常類似，所以IMS運營商可以從ISP那取取經。ISP們通過監(jiān)控接入路由來跟蹤并繪制惡意信息到物理MAC地址的路徑圖，IMS運營商們也可以利用同樣的方式在RNC上實現(xiàn)層2到層3的跟蹤監(jiān)控從而有效阻止惡意攻擊和欺騙。從這點來看，安全問題并不僅僅是確保用戶終端設備不受攻擊和病毒感染，而是整個網絡系統(tǒng)對威脅的免疫性。
　　當然，隨著網絡附加設備智能化程度的日益提高，外圍防護的方式會顯得力不從心。其中的一些設備，比如Wi-Fi功能的筆記本電腦，在登陸互聯(lián)網的時候將會形成新的網絡接入點。這意味著什么呢？答案是，在這種情況下，媒體網關這一所謂的馬其諾防線同樣可以被突破。因此，TCP/IP協(xié)議端到端的機制最終需要端到端的安全防護。
　　一些廠商已經能夠在其IMS解決方案中提供端到端的安全防護，但真正行之有效的解決方案和產品少之又少，多數解決方案對相關安全規(guī)范只進行了泛泛的描述。缺少正式的最優(yōu)編碼方式，各個利益集團之間缺乏合作，不管是IETF，ICANN，還是地方電信運營商。
　　業(yè)界對于Malcode(有害代碼)已經討論很多了，然而在移動通信領域我們卻看不到類似的討論和研究。對于IMS安全規(guī)范，有分析人士指出，網絡層以上的安全問題應得到更廣泛的關注。因為，在純IP的世界，單一的外圍防護模式是注定要失敗的，端到端安全的實現(xiàn)才是正道。
　　可以這么說，在IMS上，沒有真正的安全，雖然也有安全領域的專家認為，IMS的安全問題并不像“傳說”中那樣可怕，只要電信運營商在部署IMS時采取行之有效的安全模式，大部分威脅是可以杜絕的。電信領域會因IMS安全問題而付出同互聯(lián)網領域一樣的痛苦和代價，所以要想電信運營商完全接受IMS不是件容易的事。畢竟，越完美的東西往往越脆弱。

搜狐IT