VoLTE網(wǎng)絡(luò),安全至上

責(zé)任編輯:editor007

2017-04-21 18:02:39

摘自:C114中國通信網(wǎng)

網(wǎng)絡(luò)安全是通信服務(wù)質(zhì)量的關(guān)鍵因素之一,為了提高運營水平,必須給用戶提供高品質(zhì)、不間斷的服務(wù)。中興通訊SBC完全實現(xiàn)了上述信令風(fēng)暴防護方案,運營商不必另行購置設(shè)備,這樣既充分利用了已有投資,又節(jié)省了額外的投入。

概述

網(wǎng)絡(luò)安全是通信服務(wù)質(zhì)量的關(guān)鍵因素之一,為了提高運營水平,必須給用戶提供高品質(zhì)、不間斷的服務(wù)。但由于人為操作失誤、設(shè)備故障、網(wǎng)絡(luò)風(fēng)暴、自然災(zāi)害等原因,通信網(wǎng)絡(luò)節(jié)點的故障或擁塞往往不可避免。

由于用戶對通信網(wǎng)絡(luò)的服務(wù)質(zhì)量要求越來越高,運營商通常要求節(jié)點發(fā)生故障后,網(wǎng)絡(luò)仍能夠繼續(xù)提供服務(wù)。由于交換設(shè)備在網(wǎng)絡(luò)中所處的位置,其故障帶來的損害往往影響較大,且恢復(fù)的時間也較長。

VoLTE網(wǎng)絡(luò)正在取代傳統(tǒng)2G/3G網(wǎng)絡(luò),為用戶提供價廉物美的語音、視頻、流媒體等融合業(yè)務(wù)。相對于傳統(tǒng)網(wǎng)絡(luò)而言,VoLTE網(wǎng)絡(luò)在安全性方面的考慮更加周密,采用了多種方案,信令風(fēng)暴防護就是其中之一。

網(wǎng)絡(luò)安全的“痛點”

VoLTE基于全 IP架構(gòu),而全IP網(wǎng)絡(luò)的開放性、SIP的易擴展性,以及接入網(wǎng)絡(luò)的扁平化等特點,使得相對于固定寬帶網(wǎng)絡(luò)而言,VoLTE網(wǎng)絡(luò)面臨的安全威脅發(fā)生了三大變化,即攻擊源增多、攻擊方式增多、攻擊頻率增大。

首先,如果安裝篡改過的或被植入惡意插件的應(yīng)用,用戶終端就會“中毒”,使得網(wǎng)絡(luò)的攻擊源呈指數(shù)級增多。

其次,除了網(wǎng)絡(luò)IP安全漏洞,發(fā)起常見的TCP/IP報文攻擊、流量型攻擊、畸形報文攻擊、業(yè)務(wù)邏輯攻擊等傳統(tǒng)手段,攻擊手段還會隨著網(wǎng)絡(luò)架構(gòu)變化和業(yè)務(wù)演進,而呈現(xiàn)多樣化趨勢。

第三,有統(tǒng)計數(shù)據(jù)顯示,目前的攻擊峰值流量已經(jīng)達到100GB量級,并且每年還在以50%的速度增長。

面對層出不窮且越演越烈的不安全因素,最好的辦法莫過于“以不變應(yīng)萬變”,苦練內(nèi)功,嚴防死守,盡力確保VoLTE網(wǎng)絡(luò)成為“一方凈土”。而SBC這一部署在網(wǎng)絡(luò)邊界的設(shè)備,就將在其中發(fā)揮重要作用。

中興通訊的網(wǎng)絡(luò)安全方案

SBC的主要作用是在接入網(wǎng)和IMS核心網(wǎng)之間或兩個核心網(wǎng)絡(luò)之間,提供公私網(wǎng)絡(luò)地址轉(zhuǎn)換、服務(wù)質(zhì)量標記和重標記、網(wǎng)絡(luò)拓撲隱藏、應(yīng)用層防火墻、媒體流量監(jiān)管等方面的功能。

由于SBC直接面向外部,很容易遭受來自網(wǎng)絡(luò)和其他方面的威脅,這些威脅利用設(shè)備的脆弱性或者配置漏洞,導(dǎo)致設(shè)備性能和正常運行都受到很大影響,甚至無法響應(yīng)正常用戶的服務(wù)請求。

為了抵御來自網(wǎng)絡(luò)和用戶的攻擊,中興通訊SBC設(shè)備具有安全審計、密碼支持、用戶數(shù)據(jù)保護、標識和鑒別、安全管理、安全功能保護、資源利用、系統(tǒng)訪問、可信路徑/信道等幾個方面的安全功能類防護。

針對VoLTE網(wǎng)絡(luò)中可能存在的信令風(fēng)暴,中興通訊SBC通常采取基于黑白灰名單和過載控制等策略,實現(xiàn)六大方面的多維度防護,如圖1所示。

  圖1 VoLTE網(wǎng)絡(luò)的信令風(fēng)暴防護方案

黑白灰名單可以對不同類別的用戶采用不同的速率和行為控制,是系統(tǒng)安全的第一個執(zhí)行層,按其執(zhí)行的安全策略不同可分為靜態(tài)、灰名單和白名單三種。過載控制是在系統(tǒng)過負荷的情況下的防護行為,通過限制一定比率用戶的服務(wù)來保護設(shè)備安全,分為CPU注冊過載控制和CPU 呼叫過載控制兩大類。

中興通訊安全方案的亮點

基于SBC的心靈風(fēng)暴防護方案的亮點可概括如下:

1、手段多樣,配置靈活。中興通訊SBC能夠基于用戶行為和特征匹配進行深層檢測,并結(jié)合業(yè)務(wù)需要進行安全分析和處理,形成不同的安全策略,和IP層、信令面、媒體面進行聯(lián)動防御。

為避免用戶信息及隱私泄露,中興通訊SBC具備檢測與防御能力,提供強大的加解密能力,保護合法用戶安全使用VoLTE網(wǎng)絡(luò)。此外,中興通訊SBC還具備智能流控能力,以應(yīng)對日益頻繁的注冊風(fēng)暴沖擊。

2、具有強大的防護功能。中興通訊SBC內(nèi)置安全防護功能,可抵抗基于UDP/TCP/ICMP方式的常見DoS &DDoS攻擊,防御syn flood、ping of death、land、Tear Drop、ping flood、Smurf、Ping sweep等多種常見攻擊,可以防護56倍信令洪范攻擊(非precondition時,可以防護72倍信令洪范攻擊)。

在國內(nèi)運營商的安全測試中,所有測試用例中興通訊一次性100%通過。在協(xié)議健壯性測試中,經(jīng)過長達12小時考驗,中興通訊SBC沒有發(fā)現(xiàn)任何漏洞。

3、較早擁有規(guī)模商用經(jīng)驗。中興通訊SBC實現(xiàn)信令、消息、媒體全加密,支持SIP over TLS、SIP over IPSEC、SRTP、MSRP over TLS、SRTP to RTP、MSRP over TLS to MSRP、MSRP P2P、MSRP C2S、SEG、TLS tunnel、IPSEC tunnel等多種方式。

中興通訊SBC可適應(yīng)多種組網(wǎng)、安全需求,為運營商的安全運營提供全方位保證,在全球最大的中國移動RCS/IMS網(wǎng)絡(luò)中成功商用。

4、有效降低TCO,保護已有投資。據(jù)國外權(quán)威機構(gòu)發(fā)布的統(tǒng)計數(shù)字,從VoLTE網(wǎng)絡(luò)整體投資來看,SBC占據(jù)約三分之一,尤其是后期擴容時,SBC將占據(jù)更高比例。所以能否充分發(fā)揮SBC的作用,對運營商來說是至關(guān)重要的。

中興通訊SBC完全實現(xiàn)了上述信令風(fēng)暴防護方案,運營商不必另行購置設(shè)備,這樣既充分利用了已有投資,又節(jié)省了額外的投入。

結(jié)語

VoLTE的部署和應(yīng)用已經(jīng)步入快車道,2016年新增的VoLTE商用網(wǎng)絡(luò)超過過去歷年的總和,上述信令風(fēng)暴防護方案也正在逐步實施,雖然時間還比較短,但是效果已經(jīng)初步顯現(xiàn)出來,當然今后還要根據(jù)市場反應(yīng)持續(xù)進行優(yōu)化和改進。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號