（计算机科学与技术专业论文）ims网络关键接口的安全性分析及入侵检测方法研究.pdf

北京邮ll 1 人学顾士论文i m s 网络关键接u 的安全性分析及入侵枪测方法研究 im s 网络关键接口的安全性分析及入侵检测方法研究 摘要 基于s i p 协议的i p 多媒体子系统( i m s ) 由于其分布式体系架构， 接入无关的特性和标准开放的业务控制接口，已被业界公认为下一代 网络的核心控制平台。然而i m s 的开放性使其安全问题成为众矢之 的，引起多方关注。3 g p p 在i m s 安全问题上进行了详细的定义，包 括接入安全、s i m 应用和用户鉴权等机制，但没有对i m s 基于s i p 协 议所带来的固有脆弱性规定安全策略。 本文分为理论和实践两个部分。首先，本文从一个全新的视角 i m s 标准接口对i m s 网络安全性进行理论分析，分析归纳了 3 g p p 规范化的i m s 安全体系，并且从接口的位置、功能和特性角度 分析其潜在的脆弱性和可能遭受的攻击；其次，本文应用理论于实践， 针对i m s 网络g m 接口上的安全保障需求，通过设计一个嵌入式的入 侵检测模块来增加p - c s c f 等网络功能实体抵御攻击的能力。 本文分为六个章节。第一章，介绍本文工作背景以及课题意义； 第二章，对相关背景知识进行整理铺垫：第三章，对i m s 核心网络 进行接口安全性分析，是本文理论部分的核心；第四章，基于第三章 的结论，针对g m 接口的入侵检测方法进行研究；第五章，提出针对 关键接口的入侵检测系统的详细设计；第六章，总结全文。 关键字：关键接口i m s 安全体系入侵检测洪泛攻击 北京i l i l j o x 人学坝i ：论文i m s 叫络关键接u 的安拿性分析及入侵检测方法研究 s e c u r i t y a n a l y s i sa n di n t r u s l 0 nd e t e c t i o n o ni m sk e ym t e r f a c e s a b s t r a c t t h ei pm u l t i m e d i as u b s y s t e m ( i m s ) i st h ec o r ec o n t r o li n f r a s t r u c t r e o ft h en e x tg e n e r a t i o nn e t w o r k ( n g n ) f o ri t sa c c e s si n d e p e n d e n c y , s t a n d a r ds e r v i c ei n t e r f a c ea n da r c h i t e c t u r e h o w e v e r , t h eo p e n n e s sm a k e s t h ei m se x p o s e dt os e v e r a lv u l n e r a b i l i t i e sa n dh a sa l r e a d yb e e nh ig h l y e m p h a s i z e d t h es t a n d a r do r g a n i z a t i o n3 g p ph a sd e f i n e do n es u i t eo f s e c u r i t y a r c h i t e c t u r eo f i m s ， i n c l u d i n g a c c e s s s e c u r i t y , u s e r a u t h e n t i c a t i o na n ds i ma p p l i c a t i o n s e c u r i t y h o w e v e r , t h e r ei s n o s t a n d a r ds e c u r i t y s t r a t e g ya i m i n gt ot h ev u l n e r a b i l i t yc a u s e db ys i p p r o t o c 0 1 t h i sp a p e ri sd i v i d e di n t ot w op a r t s i nt h ef i r s t p a r t ，t h i sp a p e r a n a l y z e st h ei m ss e c u r i t ya r c h i t e c t u r e i nt h ev i e wo fi m ss t a n d a r d i n t e r f a c e s i ta n a l y z e sa n dc a t e g o r i z e st h ei m ss e c u r i t ys o l u t i o n so nk e y i n t e r f a c e s i ta l s oa n a l y z e st h ep o t e n t i a lv u l n e r a b i l i t i e si n e v e r yk e y i n t e r f a c ea c c o r d i n gt oi t sp h y s i c a lp l a c e ，f u n c t i o na n dc h a r a c t e r i s t i c s i n t h es e c o n dp a r t ，t h i sp a p e rt u r n st h et h e o r yi n t op r a c t i c e b a s i n go nt h e v u l n e r a b i l i t i e ss t a t e di nt h ef i r s tp a r t ，t h i sp a p e rm e a n st oe n h a n c et h e a b i l i t yo ft h ei m se n t i t yt od e f e n s et h ea t t a c kb yd e s i g n i n go n ei n t r u s i o n d e t e c t i o nm o d u l eo ng mi n t e r f a c e t h i sp a p e ri sd i v i d e di n t os i xc h a p t e r s t h ef i r s tc h a p t e ri n t r o d u c e s t h eb a c k g r o u n do ft h i st o p i ca n di t s u n d e r l y i n gt e c h n i c a lv a l u e ；t h e s e c o n dc h a p t e ri n t r o d u c e ss o m eb a s i ck n o w l e d g eo fi m sa n di n t r u s i o n d e t e c t i o nt e c h n o l o g y ；t h et h i r dc h a p t e ri st h ek e yo ft h e o r e t i cw o r ki n v 北京邮电人学硕i ：论文 i m s 网络关键接u 的安全性分析及入侵榆测方法研究 t h i sp a p e r ；t h ef o r t hc h a p t e rr e s e a r c h e so nt h ei n t r u s i o na n dd e t e c t i o n a l g o r i t h mo nt h eg mi n t e r f a c e t h ef i f t hc h a p t e rg i v e st h ed e t a i l e dd e s i g n o ft h ei n t r u s i o nd e t e c t i o nm o u d u l eo ng mi n t e r f a c e ；t h el a s tc h a p t e r s u m m a r i z e st h ep a p e r k e yw o r d s k e y i n t e r f a c e s ，i m ss e c u r i t ya r c h i t e c t u r e ， i n t r u s i o na n dd e t e c t i o n ， f l o o d i n ga t t a c k v i 北京邮i 【1 人学硕j ：论文i m s 网络关键接口的安伞性分析及入侵榆测方法：o f s r 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名： 钱炎 日期： 。7 。形 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在年解密后适用本授权书。非保密论 文注释：本学位论文不属于保密范围，适用本授权书。 本人签名： 导师签名： 钱起 物咖物例 日期d 7 “易 日期：口7 o ，6 北京邮电人学倾i j 论文i m s 网络关键接口的安全性分析及入侵检测方法研究 1 1 概述 第一章绪论 i m s ( i pm u l t i m e d i a s u b s y s t e m ) i 】是第三代移动通信伙伴组织3 g p p ( t h i r d g e n e r a t i o np a r t n e r s h i pp r o j e c t ) 在r e l e a s e s5 版本标准中提出的支持多媒体业务的 子系统，位于3 g 核心网中，利用全m 网络负责3 g 系统中的多媒体通信。它基 于s i p 的体系，使用s i p 呼叫控制机制来创建、管理和终结各种类型的多媒体业 务。各种类型的客户端通过i m s 都可以建立起端到端的i p 通信，并可获得所需 要的服务质量。在网络融合的发展趋势下，i m s 技术为基于i p 的移动和固定通 信融合提供了基础，并被业界认为是网络演进的一个重要阶段。 在传统的电信网中，由于网络封闭组网的特性，安全问题并不突出，然而当 网络融合的趋势逐渐明显，网络口化，组网开放性逐渐显著时，电信网将迎来 原有互联网上各种安全威胁的挑战。i m s 的引入将使电信领域进入互联网时代， 安全问题将成为电信运营商的头号大敌。 相关标准化组织，如3 g p p ，对i m s 网络的安全机制都有专门的标准。其中， 3 g p pt s3 3 2 0 3 3 j 针对i m s 接入网络的安全机制，3 g p pt s3 3 2 1 0 8 】针对i m s 核 心网络的安全机制，共同构建了i m s 的安全体系。同时i m s 中的功能实体，功 能实体的特性以及它们之间的接口都进行了标准化的研究。本文旨在分析标准化 的i m s 安全体系，探寻出其中存在的不足，针对关键接口设计实现一个入侵检 测系统来解决在关键接口上所面临的威胁。 本文将首先对i m s 的特点，体系结构，以及接口进行概要介绍。接着从规 范接口的角度去总结归纳i m s 的安全体系并从中找出标准化的安全体系中存在 的安全隐患。最后基于安全隐患，本文给出了针对关键接口的i m s 入侵检测系 统的设计与实现。 1 2 国内外研究现状 德国的弗劳恩霍夫应用研究促进协会的开放通信系统研究所( f o k u s ) 在 2 0 0 4 年7 月启动开发试验场，该试验场搭建了一个具备i m s 核心组件的环境。 该开放环境不是商用，用于分享促进i m s 研究的分享和深入。在0 6 年的时候， 其研究所的一个分支展丌了对i m s 安全体系得研究，并且针对i m s 安全体系得 北京邮f 【1 人学硕i ：论文i m s | j 【】9 络关键接【j 的安伞性分析及入侵检测方法研究 不足提出了设计方案。 c o l u m b i a 大学i r t 实验室的c i n e m a ( c o l u m b i ai n t e r n e te x t e n s i b l e m u l t i m e d i aa r c h i t e c t u r e ) 也针对i m s 安全体系进行了自己的评估并设计出自己 的系统。 1 3 该课题的研究意义 鉴于i m s t 2 】在下一代网络中的核心地位，i m s t 2 】的安全问题对于整个未来的 电信业务，特别是多媒体业务的发展来说尤为重要。如何保证传统网络到基于 i m s 的n g n 的融合过渡和整个网络的管理运营能力，网络安全起着至关重要的 作用。同时i m s 的功能实体，体系结构已经被明确标准化。功能实体间的接口 具有标准的名称缩写、实体功能、承载协议。于是从接口的角度分析i m s 的安 全体系结构会脉络清晰且和安全防护功能挂钩。从接口的功能角度可以探寻其暴 露的安全隐患。最重要的是，从接口的角度分析i m s 的安全体系，有助于给出 主动防御的策略。所以，基于关键接口的i m s 入侵检测系统可以部署在接口所 连接的功能实体上并有的放矢的去检测防护关键接口所面临的潜在攻击。 2 0 0 5 年以来，北京邮电大学国家重点实验室承担了国家高技术研究发展计 划( 8 6 3 计划) 项目“面向下一代电信网的安全测试评估技术及工具”( 课题编 号：2 0 0 6 a a 0 1 z a 4 8 ) ，重点研究面向下一代网络的安全测试评估技术、方法、 标准和工具。其中的一个目标就是对于基于i m s 的下一代网络安全策略的分析研 究和抵御防护。在项目开展过程中，本人参与了下一代电信网的安全策略研究 以及主动防御技术的设计实现。本论文就是在这些调研工作的基础上，从理论上 针对接口归纳研究了i m s 核心网络的安全性。并且在付诸实践，提出了针对关 键接口的入侵检测方法。 1 4 本章小结 本章首先论述了i m s 安全问题的现状和研究动态，由此引出本课题的研究 内容和目标，其次说明了本文的研究意义。 北京邮i 乜人学硕士论文 i m s 网络关键接l j 的安伞性分析及入侵检测方法研究 第二章相关背景知识简介 i m s 基于s i p ( s e s s i o ni n i t i a t i o np r o t o c 0 1 ) 的体系，使用s i p 呼叫控制机制 来创建、管理和终结各种类型的多媒体业务。各种类型的客户端通过i m s 都可 以建立起端到端的口通信，并可获得所需要的服务质量。在网络融合的发展趋 势下，i m s 技术为基于i p 的移动和固定通信融合提供了基础，并被业界认为是 网络演进的一个重要阶段。 在传统的电信网中，由于网络封闭性，安全问题并不突出，然而当网络融合 的趋势逐渐明显，网络口化，组网开放式的特性逐渐显著时，电信网将迎来原 有互联网上各种安全威胁的挑战，i m s 的引入将使电信领域进入互联网时代， 安全问题将成为电信运营商的头号大敌。随着网络安全技术的发展，各种针对 互联网攻击的检测技术和防范技术也层出不穷。入侵检测技术作为一种积极主 动地安全防护技术，提供了对内部攻击，外部攻击的实时保护。然而，针对i m s 网络攻击检测仍为业界空白。i m s 可以借鉴和吸收现有互联网的入侵检测技术， 然后针对网络自身的特点加以拓展，形成针对i m s 网络的入侵检测技术。 2 1 i m s 概述 i m s 是3 g 系统中核心网的一部分，它由s i p 协议提供的会话发起能力，建 立起端到端的会话，并获得所需要的服务质量。i m s 具有业务、控制、承载完全 分离的水平架构，集中的用户属性和接入无关等特性，一方面解决了软交换技术 还无法解决的问题，如用户移动性支持、标准开放的业务接口、灵活的i p 多媒 体业务提供等；另一方面，其接入无关性，也使得i m s 成为固定和移动网络融 合演进的基础。i m s 提供了业务融合的基础，基于i p 技术使得它同时支持话音、 数据和多媒体业务以及新的应用。 2 1 1 相关标准化组织对i m s 的定义 目前国际研究n g n 标准化的组织主要有3 g p p 、i t u tf g n g n 、e t s i t i s p a n 等。下面就分小节追溯对各标准化组织对i m s 的研究历史。 2 1 1 1 3 g p p 2 0 0 2 年3 g p p 在r e l e a s e5 中最早定义i m s 。由于基于s i p 的应用可以实现 北京邮电人学硕l 论文i m s 网络关键接u 的安全性分析及入侵 ：；! 测方法研究 跨网络的使用，所以3 g p p 2 完全采用了i m s 作为c d m a 2 0 0 0 系统实现i p 多媒 体业务的网络框架。对于t d s c d m a 技术来说，因为采用和w c d m a 相同的 核心网，所以也同样采用i m s 技术提供p 多媒体业务，这样3 g 的三种主流技 术在核心网络的i m s 层面得到了统一。3 g p p 已在网络框架、q o s 、安全、计费 以及和其他网络的互通方面都制定了相关规范。但在s i p 协议和b i c c i u s p 协 议的映射方面还没有定义，拟采用i t u t 的q 1 9 1 2 与i e t f s i p 系统的互通正在 研究，还没有制定规范。目前的版本为r e l e a s e 7 版本，已于2 0 0 6 年9 月冻结。 2 1 1 2 e i 。s i 2 0 0 3 年9 月，e t s i 决定在i m s 基础上发展n g n ，成立了一个新的技术委 员会t i s p a n ，目的是促进移动和固定网络的融合。e t s it i s p a n 在2 0 0 5 年中 期已完成t i s p a n - n g nr e l e a s el 规范，并在将来的r e l e a s e 中进行完善。 t i s p a n n g nr e l e a s el 总体需求包括：固定终端可以获得3 g p pi m s 核心网提供 的所有业务；能够全部或部分替代现有核心网提供的p s t n i s d n 业务；关于i m s 的研究，t i s r a n 和3 g p p 的合作比较紧密，并成立了联合工作组研究n g n i m s 相关问题。在3 g p p 与t i s p a n 的联合工作下，目前t i s p a nn g n i m s 也取得 了不少的进展。t i s p a n n g n 重用了i m s 的体系结构，对核心实体c s c f 和终 端的功能提出不少新的要求。同时还扩展了3 g p pi m s 的网络结构，新增s g f 、 b g f 等实体以支持固定网络的业务。此外t i s p a n 的相关工作组也在研究i m s 的安全、计费、q o s 等其他问题。下一阶段，t i s p a n 计划的主要工作包括制定 n g nr e l e a s el 系列规范，i m sr e l e a s e6 版本规范将包含其中，另一方面要继续 和3 g p p 的各个t s g 沟通，使各个w g 和t s g 相对应地工作，以便保持一致性。 2 1 1 3 i i u 2 0 0 4 年6 月i t uf g n g n 确定将i m s 作为n g n 核心网的基本架构，并对 i m s 的体系结构进行了扩展和增强，2 0 0 5 年1 2 月5 日发布了n g nt i s p a n r e l e a s e1 。这部9 0 0 多页的标准规范了n g n 的高层架构和框架，覆盖了服务质 量、安全、通用接入及业务与下层网络分离等重要课题。它标志着对全球信息和 通信技术( i c t ) 网络的根本改造跨出了重要的一步。i t u t 还将研究有关i m s 的网络融合技术：n g n i m s 的框架结构应该是一个与接入技术无关的网络，应 尽可能多地支持各种接入技术，包括有线的和无线的各种技术；对于基于s i p 会 话的业务，将以i m s 为基础开展工作，并参考3 g p p 的一系列相关规范。 由于i m s 的接入无关性，研究n g n 技术的e t s it i s p a n 和i t u t 也都决 4 北京邮i 【1 人学硕一 ：论文 i m sl i 】9 络关键接u 的安全性分析及入侵榆测方法研究 定采用i m s 作为n g n 实现基于s i p 会话的网络架构，并最大限度地重用了3 g p p 已经定义的系列规范，这就从标准的角度为网络融合提供了保证。目前各个标准 组织正在研究x d s l 接入i m s 的方案，将来还会逐渐考虑其他固定接入方式。 总体看来，3 g p p 和t i s p a n 对于i m s 的研究比较深入和具体，并且二者的合作 比较紧密，但是在一些问题上还没有明确的结论，规范的制定方面还有很多工作 要做。 2 1 2 i m s 网络结构 2 - 1i m s 网络架构图 i m s 的网络架构如图2 1 所示，由呼叫状态控制功能c s c f ( c a l ls e s s i o n c o n t r o lf u n c t i o n ) 、媒体网关控制功能m g c f ( m e d i ag a t e w a yc o n t r o lf u n c t i o n ) 、 媒体网关m g w ( m e d i ag a t e w a y ) 、归属地用户服务器h s s ( h o m es u b s c r i b e r s e r v e r ) 等功能实体组成。 1 c s c f 的种类包括p - c s c f ( p r o x y c s c f ，代理c s c f ) 、i - c s c f ( i n t e r r o g a t i n g c s c f ，查询c s c f ) 和s - c s c f ( s e r v i n gc s c f ，服务c s c f ) ，本质上它们 都是s i p 服务器，处理s i p 信令。 p - c s c f 是u e 联系i m s 的第一步，是u e 在被访问域( 漫游) 先要访 问的点，进出的s i p 消息都要通过p c s c f 。p - c s c f 相当于s i p 协议定 义的边界代理服务器。 北京邮i 乜人学硕? j j 论义i m s 网络关键接u 的安伞性分析及入侵检测方法研究 c s c f 的功能是提供到归属网络的入口，将归属网络的拓扑图对其它网 络隐藏起来，并通过h s s 为特定用户找出相应的s - c s c f 。它是用户终 端漫游或者外来任务进入本地服务提供商网络中的联系点。当i - c s c f 接到一个请求时，它将把请求路由到相应的s - c s c f 。 s c s c f 给用户提供服务。当终端注册时，它同本地域的s c s c f 联系， 本地s - c s c f 向用户提供用户预定的服务。这样的好处是用户即使漫游 到不支持某项业务的网络也能像在本地一样得到需要的服务。 2 h s s ( h o m es u b s c r i b e rs e r v e r ) 相当于2 g 网络中的h l r ，存储了与一个单 独用户相关的s - c s c f 和相应的用户简介。因此它知道用户现在的位置和用 户指定的服务。c s c f 可以向h s s 询问以获得这些信息。h s s 和c s c f 之间 交互用的是c x 接口，它不是i e t f 制定的，当也是基于p 的。 3 媒体网关控制功能( m g c f ) ：其控制媒体网关( m g w ) 中媒体通道的建立、 释放以及呼叫的状态。它还提供根据被叫号码和来话情况选择c s c f ，并完 成综合业务部分( i s u p ) 与i m s 之间的呼叫控制协议转换。 4 媒体网关( m g w ) 将一种网络中的媒体格式转换成另外一种网络的媒体格 式。m g w 的功能在m g c f 控制下完成音频流、视频流和数据流以及这些组 合流的转换，实现不同网络之间的媒体的互通功能。 5 i m s 媒体网关功能( i m s m g f ) ：i m s m g f 终结来自电路交换网的承载通 路和来自分组网的媒体流( 如i p 网的r t p 流) ，i m s m g f 可以支持媒体转 换、承载控制和净荷处理( 例如编解码、回声消除、会议桥) ，它将完成下 列功能：为资源控制与m g c f 交互占有和处理资源，例如回声消除器等；可 以具有编解码功能。 6 多媒体资源功能控制( m r f c ) ：媒体资源功能( m r f ) 分媒体资源控制部 分( m r f c ) 和媒体资源处理部分( m r f p ) 。媒体资源功能控制部分控制 m r f p 中的媒体流资源，转化来源于a s ( 应用服务器) 和s - c s c f 的信令( 例 如会话i d ) ，并根据接收的信令消息控制相应的m r f p ，它还产生计费数据 格式。 7 多媒体资源功能处理( m r f p ) ：m r f p 包括如下功能：控制m b 参考点的承 载；提供m r f c 控制的资源；混合入媒体流( 例如多方业务) ；资源媒体流 ( 多媒体公告) ；处理媒体流( 例如音频代码转换、媒体分析) 。 8 签约定位器功能( s l f ) ：s l f 包括如下功能：在注册和建立会话期间，为获 得包含要求的签约者特定数据的h s s 的名称，i - c s c f 查询s l f ，在注册期 间，s - c s c f 也可以查询s l f ；为获得包含要求的签约者特定数据的h s s 的 名称，a s 查询s l f ；通过d x 接口c s c f 接入到s l f ，通过d h 接口a s 接 6 北京邮l u 人学硕1 ：论文i m s 网络关键接u 的安伞性分析及入侵检测方法研究 入到s l f 。 9 出口网关控制功能( b g c f ) ：出口网关控制功能( b g c f ) 完成网络的选择 和m g c f 的选择功能。当收到s - c s c f 的请求时，b g c f 根据号码和来话情 况判定呼叫最终去向，从而决定要前转的网元实体。 2 1 3 i m s 中的标准接口 图2 - 2 展示了i m s 网络的标准接口。 2 2i m s 网络标准接口 锚锑 ：j ： 锺 豸 ； j ； 1 c x 接口：c x 接口用于c s c f 和h s s 之间的通信，采用d i a m e t e r 协议。该 接口主要功能包括： 为注册用户指派s c s c f ； c s c f 通过h s s 查询路由信息； 授权处理，检查用户漫游是否许可； 鉴权处理，在h s s 和c s c f 之问传递用户的安全参数； 过滤规则控制，从h s s 下载用户的过滤参数到s - c s c f 上。 2 d x 接口：d x 接口用于c s c f 和s l f 之白j 的通信，采用d i a m e t e r 协议，通过 该接口可确定用户签约数据所在的h s s 的地址。 北京邮电人学硕j ：论文 i m s 网络关键接u 的虫伞性分析及入侵十令测方法研究 3 g m 接口：g m 接口用于u e 和i m s 之间的通信，采用s i p 协议，该接口的 主要功能包括： i m s 用户注册及鉴权； i m s 用户的会话控制。 4 g o 接口：g o 接口用于p d f 与g g s n 之间，采用c o p s 协议。该接口主要 功能是： 在会话建立过程中，策略执行点p e f ( g g s n ) 向策略决策点p d f 请求 q o s 承载资源的授权，策略决策点p d f 向策略执行点p e f ( g g s n ) 下 发q o s 控制策略授权结果，指示其在接入网内执行接入技术的指定策略 控制和资源预留； 在资源预留成功，且会话接通后p d f 通知p e f 最终执行q o s 策略，并 打开g a t e 控制； 在会话结束后，p d f 将释放该策略。 5 g q 接口：g q 接口用于p c s c f 与p d f 之间，采用d i a m e t e r 协议。该接口主 要功能是： p c s c f 通过该接口向p d f 通知当前会话与q o s 相关的业务信息，以便 p d f 执行基于业务的本地策略的q o s 授权策略； 该接口传送的关键信息，包括当前会话的媒体描述信息，g a t e 控制是否 启动的指示，以及授权令牌等。 6 m g 接口：m g 接口用于s - c s c f 与m g c f 之间，采用s i p 协议。该接口主 要功能是： 实现各m g c f 到被叫用户s - c s c f ，以及主叫用户s - c s c f 到各m g c f 的s i p 会话双向路由功能。 7 m i 接口：m i 接口用于c s c f 与b g c f 之间，采用s i p 协议。该接口主要功 能是在i m s 网络和c s 域互通时，在c s c f 和b g c f 之间传递会话控制信令。 8 m j 接口：m j 接口用于b g c f 与m g c f 之间，采用s i p 协议。该接口主要功 能是在i m s 网络和c s 域互通时，在b g c f 与m g c f 之间传递会话控制信 令。 9 m k 接口：m k 接口用于b g c f 与b g c f 之间，采用s i p 协议。该接口主要 用于i m s 用户呼叫p s t n c s 用户，而其互通节点m g c f 与主叫s - c s c f 不 在i m s 域时，与主叫s - c s c f 在同一网络中的b g c f 将会话控制信令转发到 互通节点m g c f 所在网络的b g c f 。 1 0 m m 接口：m m 接口用于c s c f 与其他i p 网络之间，负责接收并处理一个 s i p 服务器或终端的会话请求。 北京邮l 乜人学顺i j 论义 i m s 嘲络关键接u 的安伞性分析及入侵检测方法研究 1 1 m n 接口：m n 接口用于m g c f 和i m m g w 之间，采用h 2 4 8 协议。该接口 主要功能包括： 灵活的连接处理，支持不同的呼叫模型和不同的媒体处理； i m s m g w 物理节点上资源的动态共享。 1 2 m r 接口：m r 接口用于c s c f 与m r c f 之间，采用s i p 协议。该接口主要功 能是c s c f 传递来自s i pa s 的资源请求消息到m i 讧c ，由m r f c 最终控制 m r f p 完成与i m s 终端用户之间的用户面承载建立。 1 3 m p 接口：m p 接口用于m r f c 与m r f p 之间，采用h 2 4 8 协议。m r f c 通 过该接口控制m r f p 处理媒体资源，如放音、会议、d t m f 收到等收发资源。 1 4 m w 接口：m w 接口用于连接不同c s c f ，采用s i p 协议，该接口主要功能 是在各类c s c f 之间转发注册、会话控制及其他s i p 消息。 1 5 i s c 接口：c s c f 和所有应用服务器之间的接口，采用s i p 协议，遵循3 g p p t s 2 4 2 2 9 、t s 2 4 2 2 8 、i e t f 3 2 6 1 规范。c s c f 通过该接口与各类a s ( s i pa s 、 i m s s s f 、o s a s c s ) 之间通信，以实现对i m s 用户的增值业务提供。 1 6 s h 接口：h s s 和s i pa s 或者o s as c s 之间的接口，采用d i a m e t e r 协议， 遵循3 g p p 2 9 3 2 8 、t s 2 9 3 2 9 、i e t f 3 5 8 8 规范。该接口的主要功能包括： a s 通过该接口查询h s s 获取增值业务逻辑的相关数据，并通过该接口 实现相关数据到h s s 的同步； s h 接口对数据的传输是透明的，可不理解数据的含义； s h 接口提供了一个在h s s 中保存和传输用户相关数据的机制； s h 接口也支持标准数据( 如群组列表) 的传输，这些标准数据可以被不 同的a s 访问。 2 1 4 i m s 的协议体系 3 g p p 在r 5 版本中提出了i m s 标准。i m s 协议体系主要包括s i p 协议、 d i a m e t e r 协议和c o p s 协议等。这三个基本协议都是由i e t f 开发的，3 g p p 进 行了应用。s i p 协议是用于建立、更改和终止多媒体会话和呼叫的应用层协议。 d i a m e t e r 是认证、授权和计费( a a a ) 协议，用来为众多的接入技术提供a a a 服务。c o p s 协议是用于策略的总体管理、配置和实施，它为策略服务器与客 户端之间交换信息而定义了一种简单的查询和响应。图2 3 为整个i m s 协议体 系示例图。 9 北京邮电人学硕一i ：论文 i m s 网络关键接u 的安全性分析及入侵榆测方法研究 2 3i m s 的协议体系 1 s i p 协议：s i p 协议( s e s s i o ni n i t i a t i o np r o t o c 0 1 ) 是用于建立、更改和终止多 媒体会话或呼叫的应用层协议。s i p 可用于发起会话，也可以用于邀请成员 加入己经用其他方式建立的会话。s i p 协议透明地支持名字映射和重定向服 务，便于实现i s d n ，智能网以及个人移动业务。s i p 协议支持多媒体通信的 5 个方面： 用户定位，确定用于通信的终端系统； 用户能力，确定通信媒体和媒体的使用参数； 用户可达性，确定被叫用户加入通信的意愿； 呼叫建立，建立主叫和被叫的呼叫参数； 呼叫处理，包括呼叫转移和呼叫终止。 2 r t p 协议：实时传输协议( r t p ) 是端到端地传输实时数据的协议，它也包 含一系列实时数据的端到端传输服务，净荷类型( 编码方案) 识别，序列号 编码，时间戳和传输监控等。r t p 不提供服务质量( q o s ) ，而它通过i 汀p 控制协议( r t c p ) 提供对q o s 的监控。w 曙还传递有关媒体会话参与者的 信息。 3 t l s 协议：传输层安全协议( t l s ) 为i n t e r n e t 应用提供传输层安全，它对 两个端点之间的连接提供机密性和数据完整性。t l s 工作于可靠的传输层之 上，如t c p ，其本身可分成t l s 记录协议和t l s 握手协议两层。t l s 的优 点之一就是应用可以透明地使用它，来实现彼此间安全的通信。t l s 的另 个优点是它对于应用来说是可见的，这就使在t l s 会话建立阶段应用可以得 知所协商的密码组和认证证书：而在i p 安全( i p s e c ) 中，安全策略对于各 l o 北京邮电人学硕i 二论文i m s 网络关键接 j 的安伞性分析及入侵检测方法研究 个应用来说通常是不可见的，这就难以评估是否具备足够的安全。 4 d i a m e t e r 协议：d i a m e t e r 是由i e t f 开发的认证、授权和计费( a a a ， a u t h e n t i c a t i o n 、a u t h o r i z a t i o n ， a c c o u n t i n g ) 协议，用来为众多的接入技术 提供丸蚣服务。d i a m e t e r 基于远程拨入用户服务r a d i u s 。d i a m e t e r 协议 包括两个部分：d i a m e t e r 基础协议和应用。基础协议被用于传送d i a m e t e r 数据单元、协商能力集和处理错误，并提供可扩展能力；d i a m e t e r 应用部分 定义了特定应用的功能和数据单元。 5 c o p s 协议：c o p s 协议( c o m m o no p e np o l i c ys e r v i c e ) 也是一种i e t f 协议， 用于策略的总体管理、配置和实施它为策略服务器与客户端之间交换策略信 息而定义了一种简单的查询和响应协议。c o p s 定义了3 个逻辑实体：策略 决策点策略执行点( p e p ) 、本地策略决策点( l p d p ) 。其中l p d p 备份p d p 的决策，当p d p 与p e p 的连接中断时，l p d p 可以代替p d p 作出决策，p d p 具有最终裁决权。p d p 与p e p 的关系可以看做服务器与客户机的关系，p e p 向远端的p d p 发送配置、更新、删除等请求，p d p 收到请求后，将决策响 应回送给p e p ，p e p 执行相关的操作。 2 2 入侵检测技术简介 在2 1 节中对i m s 相关背景知识进行了介绍，由于本文旨在针对i m s 的接 口上存在的脆弱性进行入侵检测方法研究，在这小节中，对入侵检测技术进行相 关介绍。 2 2 1 入侵检测系统概述 入侵检测系统( i d s ) 【5 j 是一种主动信息安全防范技术，它通过对计算机网 络或系统中的若干关键信息的收集和分析，从中检测违反安全策略的行为和被攻 击的迹象，并及时报告系统中未授权或异常现象。它集检测、记录、报警和响应 于一体，不仅能检测出来自外网的入侵行为也能监督内网用户的未授权活动的。 入侵检测系统的任务就是在提取到的庞大的检测数据中找到入侵的痕迹。入侵分 析过程需要将提取到的事件与入侵检测规则进行比较，从而发现入侵行为。 一方面入侵检测系统需要尽可能多地提取数据以获得足够的入侵证据，而另 一方面由于入侵行为的千变万化而导致判定入侵的规则越来越复杂，为了保证入 侵检测的效率和满足实时性的要求，入侵分析必须在系统的性能和检测能力之问 进行权衡，合理地设计分析策略，并且可能要牺牲一部分检测能力来保证系统可 北京邮i 乜人学硕二l 论文 i m s 叫络关键接u 的安伞性分析及入侵检测方法研究 靠、稳定地运行并具有较快的响应速度。 美国国防高级研究计划署( d a r p a ) 提出了公共入侵检测框架( c i d f ， c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) 的研究项目。c i d f 模型的提出是入侵 检测系统走向标准化的重要一步，它将1 d s 需要分析的数据统称为事件( 可以 是网络数据包，也可以是系统日志或其它信息) ，并将入侵检测系统分为四个基 本组件：事件发生器、事件分析器、响应单元和事件数据库。 阵送一 事件响应单元 j 厂、 f 事件、 存衍g i d o i l 事件数据库 ” 一l 叩几”阡 i i 圣l 产生二 上 l 庀八 i 事件分析器ll 占晶 存 诣 jl 丫 产生 i 专送 l 事扑产生器 原始事件 i 2 - 4 公共入侵检测框架 在这个模型中，事件产生器的目的是从整个计算环境中获得事件，并向系统 的其他部分提供此事件。事件分析器分析得到的数据，并产生分析结果。响应单 元则是对分析结果做出反应的功能单元，它可以做出切断连接、改变文件属性等 强烈反应，也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地 方的统称，它可以是复杂的数据库，也可以是简单的文本文件。 2 2 2 入侵检测系统的分类 传统的入侵检测系统根据其检测数据的来源主要分为两类【6 l ：基于主机的入 侵检测系统( h i d s ) 和基于网络的入侵检测系统( n i d s ) 。 主机型入侵检测系统往往以系统同志、应用程序同志等作为数据源，也可以 通过其他手段( 如监督系统调用) 从所在的主机收集信息进行分析。它通常安装 在被重点检测的主机上( 如：关键应用的服务器) ，从单个主机上提取数据( 如： 主机的网络实时连接以及系统审计同志) ，并进行智能分析和判断。如果其中主 北京邮电大学硕士论文 i m sm 络关键接 j 的安全性分析及入侵榆测方法研究 体活动十分可疑，入侵检测系统就会采取相应措施。 主机型入侵检测系统的缺点显而易见，必须为不同平台开发不同的程序、增 加系统负荷，而且所需安装数量众多等，但是内在结构却没有任何束缚，同时可 以利用操作系统本身提供的功能并结合异常分析更准确的报告攻击行为。 网络型入侵检测系统的数据源则是网络上的数据包，往往将一台机子的网卡 设于混杂模式( p r o m i s em o d e ) ，监听本网段内所有数据包并进行判断。一般网 络型入侵检测系统担负着保护整个网段的任务。 网络型入侵检测系统的优点主要是简便，一个网段上只需安装一个或几个这 样的系统，便可以监测整个网段的情况。且由于往往分出单独的计算机做这种应 用，不会给运行关键业务的主机带来负载上的增加。 2 2 3 入侵检测的主要模式 入侵检测分析技术常见的有两种【7 】：