【正文】 營(yíng)商的核心網(wǎng)，不過，一個(gè)運(yùn)營(yíng)商也可以運(yùn)營(yíng)多個(gè)安全域，每個(gè)安全域都是該運(yùn)營(yíng)商整個(gè)核心網(wǎng)絡(luò)中的一個(gè)子集。在NDS/IP中，不同的安全域之間的接口定義為Za接口，同一個(gè)安全域內(nèi)部的不同實(shí)體之間的安全接口則定義為Zb接口。其中Za接口為必選接口，Zb接口為可選接口。兩種接口主要完成的功能是提供數(shù)據(jù)的認(rèn)證和完整性、機(jī)密性保護(hù)。　安全網(wǎng)關(guān) SEG位于IP安全域的邊界處，是保護(hù)安全域之間的邊界。業(yè)務(wù)流通過一個(gè)SEG進(jìn)入和離開安全域，SEG被用來處理通過Za接口的通信，將業(yè)務(wù)流通過隧道傳送到已定義好的一組其他安全域。這稱為輪軸輻條（hubandspoke）模型，它為不同安全域之間提供逐跳的安全保護(hù)。SEG負(fù)責(zé)在不同安全域之間傳送業(yè)務(wù)流時(shí)實(shí)施安全策略，也可以包括分組過濾或者防火墻等的功能。IMS核心網(wǎng)中的所有業(yè)務(wù)流都是通過SEG進(jìn)行傳送，每個(gè)安全域可以有一個(gè)或多個(gè)SEG，網(wǎng)絡(luò)運(yùn)營(yíng)商可以設(shè)置多個(gè)SEG以避免某獨(dú)立點(diǎn)出現(xiàn)故障或失敗。當(dāng)所保護(hù)的IMS業(yè)務(wù)流跨越不同安全域時(shí)，NDS/IP必須提供相應(yīng)的機(jī)密性、數(shù)據(jù)完整性和認(rèn)證。　基于IP的網(wǎng)絡(luò)域安全體系NDS/IP體系結(jié)構(gòu)最基本的思想就是提供上從一跳到下一跳的安全，逐跳的安全也簡(jiǎn)化了內(nèi)部和面向其他外部安全域分離的安全策略的操作。在NDS/IP中只有SEG負(fù)責(zé)與其他安全域中的實(shí)體間進(jìn)行直接通信。兩個(gè)SEG之間的業(yè)務(wù)被采用隧道模式下的IPSec ESP安全聯(lián)盟進(jìn)行保護(hù)，安全網(wǎng)關(guān)之間的網(wǎng)絡(luò)連接通過使用IKE來建立和維護(hù)[3]。網(wǎng)絡(luò)實(shí)體（NE）能夠面向某個(gè)安全網(wǎng)關(guān)或相同安全域的其他安全實(shí)體，建立維護(hù)所需的ESP安全聯(lián)盟。所有來自不同安全域的網(wǎng)絡(luò)實(shí)體的NDS/IP業(yè)務(wù)通過安全網(wǎng)關(guān)被路由，它將面向最終目標(biāo)被提供逐跳的安全保護(hù)[5]。其網(wǎng)絡(luò)域安全體系結(jié)構(gòu)如圖2所示。圖2　基于IP的網(wǎng)絡(luò)域安全體系每個(gè)SEG負(fù)責(zé)建立和維護(hù)與其對(duì)等SEG之間的IPSec SA。這些SA使用因特網(wǎng)密鑰交換（IKE）協(xié)議進(jìn)行協(xié)商，其中的認(rèn)證使用保存在SEG中的長(zhǎng)期有效的密鑰來完成。每個(gè)對(duì)等連接的兩個(gè)SA都是由SEG維護(hù)的：一個(gè)SA用于入向的業(yè)務(wù)流，另一個(gè)用于出向的業(yè)務(wù)流。另外，SEG還維護(hù)了一個(gè)單獨(dú)的因特網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議（ISAKMP）SA，這個(gè)SA與密鑰管理有關(guān)，用于構(gòu)建實(shí)際的對(duì)等主機(jī)之間的IPSec SA。對(duì)于ISAKMP SA而言，一個(gè)關(guān)鍵的前提就是這兩個(gè)對(duì)等實(shí)體必須都已經(jīng)通過認(rèn)證。在NDS/IP中，認(rèn)證是基于預(yù)先共享的密鑰。NDS/IP中用于加密、數(shù)據(jù)完整性保護(hù)和認(rèn)證的安全協(xié)議是隧道模式的IPSec ESP。在隧道模式的ESP中，包括IP頭的完整的IP數(shù)據(jù)包被封裝到ESP分組中。對(duì)于三重DES加密（3DES）算法是強(qiáng)制使用的，而對(duì)于數(shù)據(jù)完整性和認(rèn)證，MD5和SHA1都可以使用。　IPSec安全體系中的幾個(gè)重要組成和概念1）IPSec：IPSec在IP層（包括IPv6）提供了多種安全服務(wù)，從而為上層協(xié)議提供保護(hù)。IPSec一般用來保護(hù)主機(jī)和安全網(wǎng)關(guān)之間的通信安全，提供相應(yīng)的安全服務(wù)。2）ISAKMP：ISAKMP用來對(duì)SA和相關(guān)參數(shù)進(jìn)行協(xié)商、建立、修改和刪除。它定義了SA對(duì)等認(rèn)證的創(chuàng)建和管理過程以及包格式，還有用于密鑰產(chǎn)生的技術(shù)，它還包括緩解某些威脅的機(jī)制。3）IKE：IKE是一種密鑰交換協(xié)議，和ISAKMP一起，為SA協(xié)商認(rèn)證密鑰材料。IKE可以使用兩種模式來建立第一階段ISAKMP SA，即主模式和侵略性模式。兩種模式均使用短暫的DiffieHellman密鑰交換算法來生成ISAKMP SA的密鑰材料。4）ESP：ESP用來在IPv4和IPv6中提供安全服務(wù)。它可以單獨(dú)使用或與AH一起使用，可提供機(jī)密性（如加密）或完整性（如認(rèn)證）或同時(shí)提供兩種功能。ESP可以工作在傳送模式或隧道模式。在傳送模式中，ESP頭插入到IP數(shù)據(jù)報(bào)中IP頭后面、所有上層協(xié)議頭前面的位置；而在隧道模式中，它位于所封裝的IP數(shù)據(jù)報(bào)之前。結(jié)束語(yǔ)標(biāo)準(zhǔn)化組織對(duì)IMS的安全體系和機(jī)制做了相應(yīng)規(guī)定，其中UE和PCSCF之間的安全由接入網(wǎng)絡(luò)安全機(jī)制提供，IMS網(wǎng)絡(luò)之上的安全由IP網(wǎng)絡(luò)的安全機(jī)制保證，UE與IMS的承載層分組網(wǎng)絡(luò)安全仍由原來的承載層安全機(jī)制支持。所有IP網(wǎng)絡(luò)端到端安全基于IPSec，密鑰管理基于IKE協(xié)議。對(duì)于移動(dòng)終端接入IMS之前已經(jīng)進(jìn)行了相應(yīng)的鑒權(quán)，所以安全性更高一些。但是對(duì)于固定終端來說，由于固定接入不存在類似移動(dòng)網(wǎng)絡(luò)空中接口的鑒權(quán)，PCSCF將直接暴露給所有固定終端，這使PCSCF更易受到攻擊。為此，在IMS的接入安全方面有待于進(jìn)一步的研究，需要不斷完善IMS的安全機(jī)制。術(shù)語(yǔ)縮寫（按字母排列）ARPU每用戶平均收入ATCA高級(jí)電信計(jì)算架構(gòu)（AdvancedTCA）CAMEL移動(dòng)增強(qiáng)邏輯定制應(yīng)用CSCF呼叫會(huì)話控制功能GSM全球移動(dòng)通信系統(tǒng)HSS歸屬用戶服務(wù)ICSCF詢問CSCFIETF互聯(lián)網(wǎng)工程任務(wù)組IM即時(shí)通訊IMS 多媒體子系統(tǒng)IPSecIP安全性MGCP媒體網(wǎng)關(guān)控制協(xié)議NAT網(wǎng)絡(luò)地址轉(zhuǎn)換OSA開放服務(wù)架構(gòu)PCSCP代理CSCFPICMG PCI工業(yè)計(jì)算機(jī)制造商組織PLMN分組和公共陸地移動(dòng)網(wǎng)絡(luò)PSTN公用電話交換網(wǎng)QoS服務(wù)質(zhì)量RTP實(shí)時(shí)傳輸協(xié)議SA安全關(guān)聯(lián)SCSCF服務(wù)CSCFSIM用戶識(shí)別模塊SIP會(huì)話初始化協(xié)議SSL安全套接層TEM電信設(shè)備制造商THIG拓?fù)潆[藏網(wǎng)際網(wǎng)關(guān)TLS 透明局域網(wǎng)服務(wù)VoIP IP語(yǔ)音3GPP 第三代合作伙伴計(jì)劃.（.....）成立于2004年，專注于企業(yè)管理培訓(xùn)。提供60萬企業(yè)管理資料下載，詳情查看：...../提供5萬集管理視頻課程下載，詳情查看：...../zz/提供2萬GB高清管理視頻課程硬盤拷貝，詳情查看：...../shop/2萬GB高清管理視頻課程目錄下載：...../高清課程可提供免費(fèi)體驗(yàn)，如有需要請(qǐng)于我們聯(lián)系。咨詢電話：020.值班手機(jī)：.網(wǎng)站網(wǎng)址：....16 /