概述
網絡安全是通信服務質量的關鍵因素之一,為了提高運營水平,必須給用戶提供高品質、不間斷的服務。但由于人為操作失誤、設備故障、網絡風暴、自然災害等原因,通信網絡節點的故障或擁塞往往不可避免。
由于用戶對通信網絡的服務質量要求越來越高,運營商通常要求節點發生故障后,網絡仍能夠繼續提供服務。由于交換設備在網絡中所處的位置,其故障帶來的損害往往影響較大,且恢復的時間也較長。
VoLTE網絡正在取代傳統2G/3G網絡,為用戶提供價廉物美的語音、視頻、流媒體等融合業務。相對于傳統網絡而言,VoLTE網絡在安全性方面的考慮更加周密,采用了多種方案,信令風暴防護就是其中之一。
網絡安全的“痛點”
VoLTE基于全 IP架構,而全IP網絡的開放性、SIP的易擴展性,以及接入網絡的扁平化等特點,使得相對于固定寬帶網絡而言,VoLTE網絡面臨的安全威脅發生了三大變化,即攻擊源增多、攻擊方式增多、攻擊頻率增大。
首先,如果安裝篡改過的或被植入惡意插件的應用,用戶終端就會“中毒”,使得網絡的攻擊源呈指數級增多。
其次,除了網絡IP安全漏洞,發起常見的TCP/IP報文攻擊、流量型攻擊、畸形報文攻擊、業務邏輯攻擊等傳統手段,攻擊手段還會隨著網絡架構變化和業務演進,而呈現多樣化趨勢。
第三,有統計數據顯示,目前的攻擊峰值流量已經達到100GB量級,并且每年還在以50%的速度增長。
面對層出不窮且越演越烈的不安全因素,最好的辦法莫過于“以不變應萬變”,苦練內功,嚴防死守,盡力確保VoLTE網絡成為“一方凈土”。而SBC這一部署在網絡邊界的設備,就將在其中發揮重要作用。
中興通訊的網絡安全方案
SBC的主要作用是在接入網和IMS核心網之間或兩個核心網絡之間,提供公私網絡地址轉換、服務質量標記和重標記、網絡拓撲隱藏、應用層防火墻、媒體流量監管等方面的功能。
由于SBC直接面向外部,很容易遭受來自網絡和其他方面的威脅,這些威脅利用設備的脆弱性或者配置漏洞,導致設備性能和正常運行都受到很大影響,甚至無法響應正常用戶的服務請求。
為了抵御來自網絡和用戶的攻擊,中興通訊SBC設備具有安全審計、密碼支持、用戶數據保護、標識和鑒別、安全管理、安全功能保護、資源利用、系統訪問、可信路徑/信道等幾個方面的安全功能類防護。
針對VoLTE網絡中可能存在的信令風暴,中興通訊SBC通常采取基于黑白灰名單和過載控制等策略,實現六大方面的多維度防護,如圖1所示。
圖1 VoLTE網絡的信令風暴防護方案
黑白灰名單可以對不同類別的用戶采用不同的速率和行為控制,是系統安全的第一個執行層,按其執行的安全策略不同可分為靜態、灰名單和白名單三種。過載控制是在系統過負荷的情況下的防護行為,通過限制一定比率用戶的服務來保護設備安全,分為CPU注冊過載控制和CPU 呼叫過載控制兩大類。
中興通訊安全方案的亮點
基于SBC的心靈風暴防護方案的亮點可概括如下:
1、手段多樣,配置靈活。中興通訊SBC能夠基于用戶行為和特征匹配進行深層檢測,并結合業務需要進行安全分析和處理,形成不同的安全策略,和IP層、信令面、媒體面進行聯動防御。
為避免用戶信息及隱私泄露,中興通訊SBC具備檢測與防御能力,提供強大的加解密能力,保護合法用戶安全使用VoLTE網絡。此外,中興通訊SBC還具備智能流控能力,以應對日益頻繁的注冊風暴沖擊。
2、具有強大的防護功能。中興通訊SBC內置安全防護功能,可抵抗基于UDP/TCP/ICMP方式的常見DoS &DDoS攻擊,防御syn flood、ping of death、land、Tear Drop、ping flood、Smurf、Ping sweep等多種常見攻擊,可以防護56倍信令洪范攻擊(非precondition時,可以防護72倍信令洪范攻擊)。
在國內運營商的安全測試中,所有測試用例中興通訊一次性100%通過。在協議健壯性測試中,經過長達12小時考驗,中興通訊SBC沒有發現任何漏洞。
3、較早擁有規模商用經驗。中興通訊SBC實現信令、消息、媒體全加密,支持SIP over TLS、SIP over IPSEC、SRTP、MSRP over TLS、SRTP to RTP、MSRP over TLS to MSRP、MSRP P2P、MSRP C2S、SEG、TLS tunnel、IPSEC tunnel等多種方式。
中興通訊SBC可適應多種組網、安全需求,為運營商的安全運營提供全方位保證,在全球最大的中國移動RCS/IMS網絡中成功商用。
4、有效降低TCO,保護已有投資。據國外權威機構發布的統計數字,從VoLTE網絡整體投資來看,SBC占據約三分之一,尤其是后期擴容時,SBC將占據更高比例。所以能否充分發揮SBC的作用,對運營商來說是至關重要的。
中興通訊SBC完全實現了上述信令風暴防護方案,運營商不必另行購置設備,這樣既充分利用了已有投資,又節省了額外的投入。
結語
VoLTE的部署和應用已經步入快車道,2016年新增的VoLTE商用網絡超過過去歷年的總和,上述信令風暴防護方案也正在逐步實施,雖然時間還比較短,但是效果已經初步顯現出來,當然今后還要根據市場反應持續進行優化和改進。
京公網安備 11010502049343號