IPsec在IMS固定接入网中的应用部署探讨_ipsec虚拟专用网技术

IPsec在IMS固定接入网中的应用部署探讨由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“ipsec虚拟专用网技术”。

IPsec在IMS固定接入网中的应用部署探讨

蔡晟

中国电信股份有限公司上海研究院

【摘要】随着IMS的商用部署，传统运营商需要考虑固定接入用户的信息加密保护需求。本文简要介绍IPsec的工作原理，分析ESP和AH协议的封装机制；研究在BAC设备上实现IPsec的功能要求；最后提出IPsec在IMS固定接入网的应用部署建议。

【关键词】IMS；固定接入；安全；IPsec；BAC 引言

固定与移动通信的融合（FMC）已成为通信行业的未来发展趋势之一，IMS（IP Multimedia Subsystem）为在网络和业务层面提供了融合技术的可能性，越来越多的电信运营商正在或者准备IMS网络的部署。3GPP R7 版本又加强了对固定、移动融合的标准化制定，要求 IMS 支持 xDSL、cable、FTTx等固定接入方式。

固网运营商部署IMS时，需要考虑IMS固定接入的安全问题。一方面，IMS终端和互联网直接互联，而互联网是不安全的网络，使得接入设备和 IMS 终端很容易地受到黑客的攻击；另一方面，IMS 是以IP 为承载的网络，只要基于 IP 技术，SIP 信令就可以很容易的传送到核心控制层，这样IMS 核心控制层就会很容易的受到来自互联网安全威胁。IMS的安全架构

IMS网络基于数据网上, 但是它的安全机制却和数据网不相关的，为此IMS提供了完整的安全机制，包括鉴权认证、信令一致性保护以及加密。具体结构可以参见下图：

图1.IMS安全结构

可以看出IMS的安全结构一共包括5个层面: 1.提供用户和IMS网络之间的双向认证.认证是基于存在于IMS用户和HSS的秘密数据和函数.HSS[3]向S-CSCF[2]分发认证向量.S-CSCF代表网络对用户进行认证.2.提供UE和P-CSCF[2]之间的空中接口之间的安全链接.其中包括加密和完整化保护.3.提供网络域内CSCF和HSS之间的安全.4.提供不同网络之间的CSCF网络实体之间的网络域安全.5.提供相同网络内的CSCF之间的安全.这当中,1、2被称为IMS接入网的安全, 而3、4、5则是网络域内范围的安全。

虽然IMS安全架构定义了UE与P-CSCF之间通过IPsec实现信令/媒体的完整性和安全性保护机制，但是当引如BAC后，原有的端到端的机制无法直接在UE与P-CSCF之间实现，转而需要在UE与BAC之间实现IPsec。为此，需要研究BAC的工作机制和IPsec的特性，探讨IPsec在BAC上应用部署问题。BAC的工作机制

在软交换时代，为解决业务部署中遇到的NAT/FW穿越、安全、互通、QoS等问题，运营商大多在固定接入终端和软交换之间部署BAC（边界控制器）。在IMS架构中，也同样定义了BAC：BAC位于P-CSCF和UE之间，BAC与P-CSCF接口为Gm，与UE之间的接口为Gm’。BAC也可以与P-CSCF合设，此时，Gm成为内部接口。

图2.BAC 在IMS架构中的位置

当SIP终端向IMS注册时，BAC会给终端分配一个信令代理端口，所有消息都会经过这个端口转发给IMS，同时BAC会用自身地址和这个端口来替换消息体中终端的地址信息。因此，BAC对SIP终端来说可看作是IMS系统，BAC相对IMS又可看作是用户，IMS系统首先将呼叫被叫的请求发给BAC，经过信令处理后再转发给真正的被叫用户。IPsec协议分析

IPsec是IP网络的主要安全机制，可以直接在IP层引入安全。通常IPsec根据网络节点标识来提供安全服务，而且这可以由SIP体系独立完成。正因如此，IPsec主要用于SIP实体之间，这些SIP实体可以拥有预先配置而且相当静态的安全联系，如同一个IP电话提供商的服务器。TLS通过TCP来提供传输层的安全，它适于在有动态联系的主机间需要逐段转接安全的体系。

AH和ESP是IPsec的两个主要协议。Authentication Header(AH)协议为IP通信提供数据源认证、数据完整性和反重播保证，它能保护通信免收篡改，但不能防止窃听，适合用于传输非机密数据。Encapsulating Security Payliad(ESP)为IP数据包提供完整性检查、认证和加密。AH认证强于ESP，AH可以对报头和有效载荷进行认证，ESP只对有效载荷进行认证。AH和ESP在完整性校验的主要区别在于覆盖的长度上，ESP不对IP头进行认证，除非IP头被封装在ESP内部（例如，隧道模式）。

传输模式和隧道模式是将AH和ESP应用到IP数据包中的两种不同的方法。在隧道模式下，原始IP分组被封装成一个新的IP数据包，并在内部报文和外部报文之间插入一个IPsec

报头（AH或ESP），原IP地址被当作有效载荷的一部分受到IPsec的安全保护，另外，通过对数据加密，还可以将数据包目的地址隐藏起来，有助于保护端隧道通信中的数据安全。

在传输模式下，在IP报头和高层协议报头之间插入一个IPsec报文（AH或ESP）。在该模式下，IP报头与原始IP分组中的IP报头相同，只是IP协议字段被改为AH（51）或ESP（50），并重新计算IP报头校验和。

传输模式保护数据包的有效载荷、高层协议，IPsec源端点不会修改IP报头中的目标IP地址，原来的IP地址保持明文。传输模式只是为高层协议提供安全。该模式常应用在需要保护的两台主机之间的端到端的连接，而不是有多台主机的两个网关之间的数据流。

4.1隧道模式中的AH 在隧道模式中，AH插入到原始IP头部之前，然后在AH之前再增加一个新的IP头部。AH验证的范围也是整个IP包，因此也存在AH和NAT、BAC的冲突。

新IP头部（含可选字段）AH头部IP头部（含可选字段）TCP头部（含可选字段）数据应用AH之前IP头部（含可选字段）TCP头部（含可选字段）数据应用AH之后图3.隧道模式中的AH

验证区域（可变字段除外）

4.2隧道模式的ESP ESP隧道模式对整个IP包进行加密保护，ESP插入到原始IP头部之前，然后在ESP之前再增加一个新的IP头部。

新IP头部（含可选字段）ESP头部IP头部（含可选字段）IP头部（含可选字段）TCP头部（含可选字段）数据加密区域TCP头部（含可选字段）验证区域数据ESP尾部ESP验证数据应用ESP之前应用ESP之后图4.隧道模式中的ESP

4.3传输模式中的AH AH插入到IP头部（包括IP选项字段）之后，传输层协议（如TCP、UDP）或者其他IPsec协议之前。

IP头部（含可选字段）ESP头部IP头部（含可选字段）TCP头部（含可选字段）数据加密区域TCP头部（含可选字段）验证区域数据ESP尾部ESP验证数据应用ESP之前应用ESP之后图5.传输模式中的AH

4.3传输模式中的ESP ESP插入到IP头部（包括IP可选字段）之后，任何被IP协议所封装的协议（如传输层协议TCP、UDP等）之前，保护IP包的载荷。传输模式的ESP不对SPI、序号字段和验证数据进行加密。不对IP头部进行验证，所以不存在NAT和BAC冲突的问题。ESP传输模式的验证服务比AH传输模式弱一些。

IP头部（含可选字段）IP头部（含可选字段）TCP头部（含可选字段）数据应用AH之前AH头部TCP头部（含可选字段）数据应用AH之后图6.传输模式中的ESP

验证区域（可变字段除外）IPsec在BAC上的应用

在隧道模式下，无论是AH还是ESP，如果该包经过BAC，其源/目的地址将被改变，将造成到达目的地址后的完整性验证失败。在传输模式下的AH，被验证的区域是整个IP包（可变字段除外），包括IP包头部，因此源IP地址、目的IP地址是不能修改的，否则会被检测出来。

由于BAC重新指定内网/外网用户信令/媒体流的接收地址和端口，因此IMS只能采用IPSec ESP为UE和BAC间所有SIP信令提供完整性保护，保护IP层的所有SIP信令，以传输模式提供完整性保护机制。

对于IMS固定接入网用户，由于UE与P-CSCF之间存在BAC，特别是在BAC的信令处理模块与P-CSCF未合设的情况下，无法实现从UE到P-CSCF的IPsec加密通道，因此为保证IMS的安全传输，可以部署从终端到BAC的IPsec安全隧道，为终端接入提供安全链接.包括加密和完整性保护。

下图以固定接入的UE初始注册为例，介绍UE与BAC之间建立SA的流程。

UE1Unprotectedport2REG4018UnprotectedportBACP-CSCFS-CSCF345910protectedClient port15protectedServer port11REG672001320014protectedServer portprotectedClient port

TCP/UDP12图7.UE与BAC之间建立SA1、UE发送注册请求；

2、向BAC的服务端口（未受保护）发送该SIP注册消息；

3、该SIP注册消息传送至归属S-CSCF，进行用户身份验证；

4、S-CSCF从HSS取得用户安全信息；

5、S-CSCF返回401应答消息，该消息中包含了BAC侧用于IPsec的加密密钥和UE的验证信息；

6、BAC更改401消息，去除加密密钥，增加包含IPsec信息的Security-Server报头；

7、BAC为接收认证过的SIP注册消息准备IPsec通道；

8、由BAC修改的401消息发送至UE的服务端口（未受保护）；

9、UE对S-CSCF进行验证，计算用于IPsec通道的加密密钥。UE建立IPsec通道，配置SA；

10、UE构建验证后的注册请求消息；

11、UE向BAC的端口（受保护）发送注册消息；

12、BAC转发SIP注册消息，S-CSCF对UE进行验证；HSS更新记录；S-CSCF返回200 OK；

13、若使用TCP协议，BAC向UE的端口（受保护）发送200 OK；

14、若使用UDP协议，BAC向UE的端口（受保护）发送200 OK；

15、会话建立。

根据上述流程可以看出，当BAC与P-CSCF功能实体分开设置的情况下，IPsec的建立需要由BAC代替P-CSCF完成。为了进一步提高BAC与P-CSCF之间SIP信令的完整性和机密性，可以在两者之间另外建立安全隧道，但是这样将加重BAC的处理负荷，并且BAC与P-CSCF之间已属于运营商内部核心网而不属于接入网，在安全防护上已有一定的保证。当BAC与P-CSCF功能实体合并设置的情况下，对BAC没有支持IPsec需求，接入网部分的信令加密仍可以由UE与P-CSCF之间建立安全隧道来完成。

6结束语

总之，为解决IMS终端与核心网络之间的安全问题，可以通过IPsec对信令、媒体流进行完整性保护和加密。而固定接入终端与移动终端的IPsec应用存在区别，主要是对于固定接入终端，需要在BAC上部署IPsec。因此，虽然目前IPsec的实际应用较少，但是运营商在建设IMS网络时，仍需要关注BAC对IPsec的功能支持，以便将来满足固定接入用户的安全需求。

参考文献

[1] IETF RFC2401 Security Architecture for the Internet Protocol.[2] IETF RFC2406 IP Encapsulating Security Payload(ESP).[3] 潘平，会话边界控制设备SBC应用的相关研究，广东通信技术，2010, 30(5).[4] 杨涛，面向用户的IMS媒体层统一安全框架，计算机工程，2009.[5] 宋建标，马跃，刘昶，IMS固定接入网安全问题分析，计算机科学技术，2010，10.作者简介

蔡晟 北京邮电大学，学士，中国电信股份有限公司上海研究院，助理工程师，交换研发工程师，主要研究方向为软交换、IMS核心网。

光纤通信技术在宽带接入网中的应用

光纤通信技术在宽带接入网中的应用摘要：随着科学技术的日益发展，人与人之间的通信也越来越频繁，对速度，容量的要求也越来越高，传统的电缆通信已经慢慢满足不了人们的需求。在这种......

光通信技术在用户接入网中的应用及发展

光通信技术在用户接入网中的应用及发展（200910330118 09电子一班 杜伯昱）随着社会经济的发展，人们对通信业务的需求量也越来越大，业务种类早已由电话语音业务扩展到数据、传真、......

固定化酶在现代工业中的应用

固定化酶在现代工业中的应用姓名：胡艳芬 学号：2008132106 指导教师：张孟摘要酶是一类有催化功能的蛋白质,具有反应条件温和, 底物专一性强, 可在水溶液和中性pH 下操作等优点。......

IMS的国外部署思路与经验

IMS的国外部署思路与经验（精选7篇）由网友“Moonlight”投稿提供，下面小编给大家整理后的IMS的国外部署思路与经验，希望大家喜欢!篇1：IMS的国外部署思路与经验 IMS的国外部署思路......

接入网技术在铁路通信中的应用

【导语】刀豆文库的会员“89448326”为你整理了“接入网技术在铁路通信中的应用”范文，希望对你的学习、工作有参考借鉴作用。世纪之交的通信技术是先进的数字技术、计算机技......