【正文】 營商的核心網(wǎng)，不過，一個運營商也可以運營多個安全域，每個安全域都是該運營商整個核心網(wǎng)絡(luò)中的一個子集。在NDS/IP中，不同的安全域之間的接口定義為Za接口，同一個安全域內(nèi)部的不同實體之間的安全接口則定義為Zb接口。其中Za接口為必選接口，Zb接口為可選接口。兩種接口主要完成的功能是提供數(shù)據(jù)的認(rèn)證和完整性、機密性保護?！“踩W(wǎng)關(guān) SEG位于IP安全域的邊界處，是保護安全域之間的邊界。業(yè)務(wù)流通過一個SEG進入和離開安全域，SEG被用來處理通過Za接口的通信，將業(yè)務(wù)流通過隧道傳送到已定義好的一組其他安全域。這稱為輪軸輻條（hubandspoke）模型，它為不同安全域之間提供逐跳的安全保護。SEG負責(zé)在不同安全域之間傳送業(yè)務(wù)流時實施安全策略，也可以包括分組過濾或者防火墻等的功能。IMS核心網(wǎng)中的所有業(yè)務(wù)流都是通過SEG進行傳送，每個安全域可以有一個或多個SEG，網(wǎng)絡(luò)運營商可以設(shè)置多個SEG以避免某獨立點出現(xiàn)故障或失敗。當(dāng)所保護的IMS業(yè)務(wù)流跨越不同安全域時，NDS/IP必須提供相應(yīng)的機密性、數(shù)據(jù)完整性和認(rèn)證?！』贗P的網(wǎng)絡(luò)域安全體系NDS/IP體系結(jié)構(gòu)最基本的思想就是提供上從一跳到下一跳的安全，逐跳的安全也簡化了內(nèi)部和面向其他外部安全域分離的安全策略的操作。在NDS/IP中只有SEG負責(zé)與其他安全域中的實體間進行直接通信。兩個SEG之間的業(yè)務(wù)被采用隧道模式下的IPSec ESP安全聯(lián)盟進行保護，安全網(wǎng)關(guān)之間的網(wǎng)絡(luò)連接通過使用IKE來建立和維護[3]。網(wǎng)絡(luò)實體（NE）能夠面向某個安全網(wǎng)關(guān)或相同安全域的其他安全實體，建立維護所需的ESP安全聯(lián)盟。所有來自不同安全域的網(wǎng)絡(luò)實體的NDS/IP業(yè)務(wù)通過安全網(wǎng)關(guān)被路由，它將面向最終目標(biāo)被提供逐跳的安全保護[5]。其網(wǎng)絡(luò)域安全體系結(jié)構(gòu)如圖2所示。圖2　基于IP的網(wǎng)絡(luò)域安全體系每個SEG負責(zé)建立和維護與其對等SEG之間的IPSec SA。這些SA使用因特網(wǎng)密鑰交換（IKE）協(xié)議進行協(xié)商，其中的認(rèn)證使用保存在SEG中的長期有效的密鑰來完成。每個對等連接的兩個SA都是由SEG維護的：一個SA用于入向的業(yè)務(wù)流，另一個用于出向的業(yè)務(wù)流。另外，SEG還維護了一個單獨的因特網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議（ISAKMP）SA，這個SA與密鑰管理有關(guān)，用于構(gòu)建實際的對等主機之間的IPSec SA。對于ISAKMP SA而言，一個關(guān)鍵的前提就是這兩個對等實體必須都已經(jīng)通過認(rèn)證。在NDS/IP中，認(rèn)證是基于預(yù)先共享的密鑰。NDS/IP中用于加密、數(shù)據(jù)完整性保護和認(rèn)證的安全協(xié)議是隧道模式的IPSec ESP。在隧道模式的ESP中，包括IP頭的完整的IP數(shù)據(jù)包被封裝到ESP分組中。對于三重DES加密（3DES）算法是強制使用的，而對于數(shù)據(jù)完整性和認(rèn)證，MD5和SHA1都可以使用?！PSec安全體系中的幾個重要組成和概念1）IPSec：IPSec在IP層（包括IPv6）提供了多種安全服務(wù)，從而為上層協(xié)議提供保護。IPSec一般用來保護主機和安全網(wǎng)關(guān)之間的通信安全，提供相應(yīng)的安全服務(wù)。2）ISAKMP：ISAKMP用來對SA和相關(guān)參數(shù)進行協(xié)商、建立、修改和刪除。它定義了SA對等認(rèn)證的創(chuàng)建和管理過程以及包格式，還有用于密鑰產(chǎn)生的技術(shù)，它還包括緩解某些威脅的機制。3）IKE：IKE是一種密鑰交換協(xié)議，和ISAKMP一起，為SA協(xié)商認(rèn)證密鑰材料。IKE可以使用兩種模式來建立第一階段ISAKMP SA，即主模式和侵略性模式。兩種模式均使用短暫的DiffieHellman密鑰交換算法來生成ISAKMP SA的密鑰材料。4）ESP：ESP用來在IPv4和IPv6中提供安全服務(wù)。它可以單獨使用或與AH一起使用，可提供機密性（如加密）或完整性（如認(rèn)證）或同時提供兩種功能。ESP可以工作在傳送模式或隧道模式。在傳送模式中，ESP頭插入到IP數(shù)據(jù)報中IP頭后面、所有上層協(xié)議頭前面的位置；而在隧道模式中，它位于所封裝的IP數(shù)據(jù)報之前。結(jié)束語標(biāo)準(zhǔn)化組織對IMS的安全體系和機制做了相應(yīng)規(guī)定，其中UE和PCSCF之間的安全由接入網(wǎng)絡(luò)安全機制提供，IMS網(wǎng)絡(luò)之上的安全由IP網(wǎng)絡(luò)的安全機制保證，UE與IMS的承載層分組網(wǎng)絡(luò)安全仍由原來的承載層安全機制支持。所有IP網(wǎng)絡(luò)端到端安全基于IPSec，密鑰管理基于IKE協(xié)議。對于移動終端接入IMS之前已經(jīng)進行了相應(yīng)的鑒權(quán)，所以安全性更高一些。但是對于固定終端來說，由于固定接入不存在類似移動網(wǎng)絡(luò)空中接口的鑒權(quán)，PCSCF將直接暴露給所有固定終端，這使PCSCF更易受到攻擊。為此，在IMS的接入安全方面有待于進一步的研究，需要不斷完善IMS的安全機制。術(shù)語縮寫（按字母排列）ARPU每用戶平均收入ATCA高級電信計算架構(gòu)（AdvancedTCA）CAMEL移動增強邏輯定制應(yīng)用CSCF呼叫會話控制功能GSM全球移動通信系統(tǒng)HSS歸屬用戶服務(wù)ICSCF詢問CSCFIETF互聯(lián)網(wǎng)工程任務(wù)組IM即時通訊IMS 多媒體子系統(tǒng)IPSecIP安全性MGCP媒體網(wǎng)關(guān)控制協(xié)議NAT網(wǎng)絡(luò)地址轉(zhuǎn)換OSA開放服務(wù)架構(gòu)PCSCP代理CSCFPICMG PCI工業(yè)計算機制造商組織PLMN分組和公共陸地移動網(wǎng)絡(luò)PSTN公用電話交換網(wǎng)QoS服務(wù)質(zhì)量RTP實時傳輸協(xié)議SA安全關(guān)聯(lián)SCSCF服務(wù)CSCFSIM用戶識別模塊SIP會話初始化協(xié)議SSL安全套接層TEM電信設(shè)備制造商THIG拓撲隱藏網(wǎng)際網(wǎng)關(guān)TLS 透明局域網(wǎng)服務(wù)VoIP IP語音3GPP 第三代合作伙伴計劃.（.....）成立于2004年，專注于企業(yè)管理培訓(xùn)。提供60萬企業(yè)管理資料下載，詳情查看：...../提供5萬集管理視頻課程下載，詳情查看：...../zz/提供2萬GB高清管理視頻課程硬盤拷貝，詳情查看：...../shop/2萬GB高清管理視頻課程目錄下載：...../高清課程可提供免費體驗，如有需要請于我們聯(lián)系。咨詢電話：020.值班手機：.網(wǎng)站網(wǎng)址：....16 /