关于IMS号码风险管控的解决方案.docx

关于IMS号码风险管控的解决方案 、技术背景 IMS作为实现固话与手机融合类业务与应用的新产品，已越来越多地被移动 企业接受作为全业务运营的平台，在市场竞争H益激烈的情况下是开拓市场的一 把新钥匙和催进剂，发挥着举足轻重的作用。但是IMS作为一个协议高度开放的 网络，随着集团业务的发展应用，其网络、业务以及用户账号等方面的安全问题 也逐渐暴露出来，加上建网初期，一些规范、制度、流程、配套、不能象传统G 网一样完善，极易被黑客钻各种漏洞，从而利用IMS账号进行恶意呼叫，使IMS 用户遭受经济损失，也给公司的IMS业务发展带来了负面影响。 以上这些风险问题主要是來源于几个方面： （一）、现有技术及设备缺陷方面： 1、鉴权技术 目前各省IMS客户以集团专线为主，终端侧采用无卡的固话终端，典型的接 入场景如下图: 业务 核心 1 f 地市接 用户 对于此场景下的用户接入认证，根据集团规范，采用的是适用于无卡终端的 SIP digest认证方式（账号、密码认证方式），有别于有卡终端的AKA认证方式 （KI五元组鉴权方式），无卡接入和有卡接入认证方式在安全性上的差异如下 表: 无卡接入 有卡接入 概述 用户在客户端界面上输入用 户名/ 口令 釆用SIP Digest机制接入 CM-1MS 在终端中插入用户卡（SIM 卡、USIM卡），基于卡中的密钥进 行鉴权 采用GSM/UMTS AKA机制接入 CM-IMS 对终 端要求 无特殊硬件要求 应有硬件支持插卡 安全 性 存在的问题： 包月用户可以将其用户名/ 口令告诉其它人，从而多人共享 使用，影响包月业务的开展 若口令的强度较弱，存在猜 测攻击风险 GSM/UMTS AKA机制安全性较 高 密钥通过卡硬件存储，复制 和猜测密钥的难度较高，安全性 较高 用户 体验 需要用户于工输入用户名/ 口令，用户体验较差 部分硬件设备无合适的输入 /显示界面 无需用户手工输入用户名/ 口令，用户体验较好 适用 终端 PC客户端 存量无卡SIP硬终端 存量无卡IAD设备等 有卡IMS机顶盒 有卡IMS手机终端等 由于目前商用IMS有卡终端很少，H价格很高，不适于推广，各省基木上均 未采购，目前各省多采用IAD下挂普通话机的方式进行用户侧设备开通，无卡接 入方式使得用户的安全性大打折扣。 2、未部署开通网关 以上鉴权方式使得TMS的密码显得尤为重要，密码的必威体育官网网址性直接影响着用户 号码的安全。集团规范中有接入开通网关设备实现HSS和IAD等接入设备的数据 同时自动修改，如下图： 用户接入接入开谨 网关PON/ IADIAD端局侧设 备AG扌妾入［则资湄 管理IF FBX SIP GW施工管理POTSTDM FBX用户侧设备 用户 接入 接入开谨 网关 PON/ IAD IAD 端局侧设 备 AG 扌妾入［则资湄 管理 IF FBX SIP GW 施工管理 POTS TDM FBX 用户侧 设备 貝备业务开通网关场景下，IAD、IP PBX等用户侧接入设备可接收开通网关 的开通指令，进行业务开通和项目配置，接入设备上行可传递设备信息、端口信 息、设备状态、用户密码等给0MC,以完成接入侧设备资源管理。采用接入开通 网关在提高开通自动化程度的基础上，将大大增强开通过程中的必威体育官网网址性，但很可 惜TMS 一期全国都没有配置该设备。 未部署接入开通网关时，密码设置首先由BOSS写入HSS,再由IAD厂家安 装人员在用户侧安装设备时写入到1AD设备中，用户注册时，由IAD发起注册请 求，与HSS中的密码比对，一致则通过予以注册。由于密码在此过程中已成为“公 开的秘密”，毫无必威体育官网网址性而言，同时也増加了人为外泄密码的屮间环节。 3、AS并发呼叫控制未作任何限制； 我们知道传统G网中，只有当用户具备三方通话功能时，才可以且最多同时 呼出六路呼叫，这样最大限度地避免巨额话费的产生。但在IMS网络中，由于总 机业务自身的需要，需具备支持多路呼叫的功能，因此在程序设计中并未对并发 呼叫数做任何限制。 Centrex融合话务台业务可以捉供电话号码査询、转接来话、解答用户问颗等服务。企业内部 可以设置一个或多个话务员坐席。多个话务员使用同一个话务员接入号码。 统一Centrex捉供话务台能力，为企业捉供对外统一形象。 话务台可支持企业外呼入人工座席服务以及企业外呼等各种能力。 允许无限并发呼叫不仅会造成核心网资源占用的浪费，而且还存在着被恶意 利用的可能，也就意味着一旦IMS号码被解密以后，将在业务上全面失控，造成 巨大的话费损失。 （二）、配置规范标准方面 1、SBC安全策略不规范，使号码被盗和滥用风险增大；主要表现在以下儿 个方而： A、 防口令嗅探策略未开启 密码的重要性已经不言而喻，如果网络无任何防密码嗅探功能，可以通过不 断变