一、方案概述
基于內(nèi)生安全的IMS通信解決方案,是通過(guò)將內(nèi)生安全理念融入IMS(IP多媒體子系統(tǒng))架構(gòu),構(gòu)建具備自適應(yīng)、自主防御和自成長(zhǎng)能力的安全通信體系,以應(yīng)對(duì)未知威脅并提升系統(tǒng)整體安全性。
二、技術(shù)介紹
(一)內(nèi)生安全的概念
內(nèi)生安全是指通過(guò)系統(tǒng)自身的架構(gòu)、機(jī)制、運(yùn)行規(guī)律等內(nèi)在因素,構(gòu)建可量化設(shè)計(jì)、可驗(yàn)證度量的安全功能,使系統(tǒng)具備自主防御、自適應(yīng)和自成長(zhǎng)的能力。其核心在于將安全能力深度融入系統(tǒng)設(shè)計(jì),而非依賴外部附加防護(hù),從而實(shí)現(xiàn)對(duì)未知威脅的主動(dòng)防御。
(二)內(nèi)生安全在IMS中的核心作用
1.自適應(yīng)防御
IMS網(wǎng)絡(luò)可實(shí)時(shí)感知攻擊行為,自動(dòng)觸發(fā)應(yīng)急響應(yīng)機(jī)制。例如,當(dāng)檢測(cè)到異常SIP信令流量時(shí),系統(tǒng)能動(dòng)態(tài)調(diào)整防火墻規(guī)則或啟用入侵檢測(cè)系統(tǒng)(IDS/IPS),阻斷攻擊路徑。同時(shí),通過(guò)資源預(yù)留和流量整形技術(shù),確保關(guān)鍵通信(如語(yǔ)音、視頻)的帶寬和時(shí)延不受影響,維持服務(wù)連續(xù)性。
2.自主防御
內(nèi)生安全機(jī)制使IMS擺脫被動(dòng)防御模式,實(shí)現(xiàn)主動(dòng)防御。例如:
雙向身份認(rèn)證:用戶終端(UE)與代理呼叫會(huì)話控制功能(P-CSCF)之間通過(guò)SSL/TLS協(xié)議建立安全通道,防止偽造注冊(cè)請(qǐng)求。
信令完整性保護(hù):采用數(shù)字簽名技術(shù)確保SIP消息未被篡改,避免中間人攻擊。
拓?fù)潆[藏:通過(guò)P-CSCF隱藏運(yùn)營(yíng)商網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu),降低被探測(cè)和攻擊的風(fēng)險(xiǎn)。
3.自成長(zhǎng)能力
IMS系統(tǒng)通過(guò)與環(huán)境交互持續(xù)學(xué)習(xí),優(yōu)化安全策略。例如:安全操作中心(SOC):收集并分析全網(wǎng)安全事件,生成威脅情報(bào)庫(kù),指導(dǎo)網(wǎng)元(如SM、PM)動(dòng)態(tài)調(diào)整防護(hù)規(guī)則。
三、方案優(yōu)勢(shì)
設(shè)備接納控制:對(duì)終端的操作系統(tǒng)版本、防火墻補(bǔ)丁狀態(tài)進(jìn)行強(qiáng)制檢查,確保其符合安全基線要求。
(一)按需定制
秉承“專、精、特”產(chǎn)品研發(fā)和服務(wù)理念,可在技術(shù)指標(biāo)、接口協(xié)議、保密手段等方面應(yīng)需定制。
(二)全面融合
網(wǎng)關(guān)設(shè)備支持4G/5G“固移融合”應(yīng)用支持低軌衛(wèi)星融合構(gòu)造“天地一體化”統(tǒng)一網(wǎng)絡(luò)服務(wù)體驗(yàn)。
(三)內(nèi)生安全
1.業(yè)務(wù)交互實(shí)現(xiàn)安全檢測(cè)與預(yù)警功能。對(duì)業(yè)務(wù)消息及其交互過(guò)程進(jìn)行有效性和合法性檢查,支持對(duì)異常消息、異常行為的攔截阻斷。
2.基礎(chǔ)運(yùn)行平臺(tái)異構(gòu)冗余。防止單一平臺(tái)下的漏洞或后門導(dǎo)致網(wǎng)元業(yè)務(wù)的癱瘓,在提高可靠性、可用性的同時(shí)提高其運(yùn)行安全性。
3.管理Web服務(wù)擬態(tài)防御。通過(guò)構(gòu)建DHR虛擬機(jī)池,可有效增大漏洞后門或病毒木馬等的利用難度,保證Web服務(wù)的安全性和可用性。
(四)自主可控
具備完全自主知識(shí)產(chǎn)權(quán),硬件平臺(tái)CPU、FPGA、存儲(chǔ)、網(wǎng)絡(luò)接口芯片等關(guān)鍵元器件全國(guó)產(chǎn),整體國(guó)產(chǎn)化率達(dá)到95%以上,實(shí)現(xiàn)國(guó)產(chǎn)自主可控。并支持PowerPC、X86等CPU模塊的多模運(yùn)行,實(shí)現(xiàn)基礎(chǔ)平臺(tái)異構(gòu)冗余。
四、方案拓?fù)鋱D
五、核心網(wǎng)產(chǎn)品
(一)會(huì)話控制設(shè)備
會(huì)話控制設(shè)備支持多網(wǎng)元物理合設(shè),主要負(fù)責(zé)處理多媒體呼叫會(huì)話過(guò)程中的信令控制,管理IMS 網(wǎng)絡(luò)的用戶鑒權(quán)、IMS 承載面 QoS、與其他網(wǎng)絡(luò)實(shí)體配合進(jìn)行SIP會(huì)話的控制,以及業(yè)務(wù)協(xié)商和資源分配。
(二)會(huì)話邊界控制設(shè)備
包括SBC、P-CSCF 網(wǎng)元,可實(shí)現(xiàn)呼叫接入控制、NAT穿越、QoS、接入安全、媒體防火墻、媒體代理、媒體編解碼轉(zhuǎn)換等功能。
(三)接入網(wǎng)關(guān)控制設(shè)備
實(shí)現(xiàn)媒體網(wǎng)關(guān)控制、IMS代理及用戶特征管理功能,為使用H.248協(xié)議的媒體網(wǎng)關(guān)、用戶接入設(shè)備提供接入控制功能。
(四)業(yè)務(wù)應(yīng)用服務(wù)器設(shè)備
業(yè)務(wù)應(yīng)用服務(wù)器多模式設(shè)備實(shí)現(xiàn)個(gè)人的基本業(yè)務(wù)及補(bǔ)充業(yè)務(wù);為用戶提供群內(nèi)便捷呼叫、呼叫代答、統(tǒng)一門戶語(yǔ)音導(dǎo)航等業(yè)務(wù);支持MRFC/MRFP業(yè)務(wù)功能,并提供圖文消息、音視頻會(huì)議等多媒體業(yè)務(wù)功能
(五)歸屬用戶服務(wù)器設(shè)備
歸屬用戶服務(wù)器設(shè)備HSS提供用戶身份、注冊(cè)信息、路由信息、接入?yún)?shù)和服務(wù)觸發(fā)信息的查詢與存儲(chǔ);為I-CSCF提供選擇S-CSCF所需的信息,并與AS交互提供簽約數(shù)據(jù)支持。
六、接入網(wǎng)產(chǎn)品
(一)中繼媒體網(wǎng)關(guān)
中繼媒體網(wǎng)關(guān)采用ATCA硬件架構(gòu),完成IP域分組交換業(yè)務(wù)與TDM域電路交換業(yè)務(wù)的互通、轉(zhuǎn)換、處理功能。
(二)移動(dòng)客戶端
移動(dòng)軟件終端可運(yùn)行于Android和PC Windows系統(tǒng)。具備統(tǒng)一通訊錄、即時(shí)消息、音視頻會(huì)議等融合通信功能,支持與IP話機(jī)的語(yǔ)音互通。
(三)融合通信自交換系統(tǒng)
支持SIP軟終端、IP電話接入,支持IVR語(yǔ)音導(dǎo)航、話務(wù)臺(tái)、連選群等IPPBX業(yè)務(wù),可集群擴(kuò)展至10萬(wàn)用戶;并具備分權(quán)分域管理功能,是IMS架構(gòu)下的理想自交換通信平臺(tái)。
(四)接入網(wǎng)關(guān)
用戶接入網(wǎng)關(guān)設(shè)備為專網(wǎng)用戶提供傳統(tǒng)電話IMS接入能力。接入網(wǎng)關(guān)與核心網(wǎng)IMS/IPPBX配合可實(shí)現(xiàn)數(shù)十種辦公電話功能,包括呼叫轉(zhuǎn)移、呼叫轉(zhuǎn)接、代接、呼叫保持、電話會(huì)議、來(lái)電顯示、免打擾、彩鈴、群組振鈴、區(qū)別振鈴、一機(jī)雙號(hào)、傳真等功能。
(五)IP 話機(jī)系列
定制配套SIP 話機(jī),全系支持HD 編碼(G.722)的高清音質(zhì),支持分權(quán)分域的統(tǒng)一通訊錄,具備多個(gè)可編程按鍵。話機(jī)操作便捷,經(jīng)久耐用。
七、應(yīng)用場(chǎng)景
(一)多級(jí)指揮控制中心通信
在營(yíng)-LV指揮控制中心之間,基內(nèi)生安全的IMS通信解決方案可提供穩(wěn)定的無(wú)線通信服務(wù),確保指揮命令的準(zhǔn)確傳達(dá)和執(zhí)行。通過(guò)內(nèi)置的審計(jì)模塊,記錄所有通信行為,滿足軍事通信的合規(guī)性要求。通過(guò)端到端加密、多因素身份認(rèn)證等技術(shù),防止通信內(nèi)容被竊聽或篡改,保障指揮系統(tǒng)的安全性和可靠性。
(二)指揮所內(nèi)無(wú)線通信基礎(chǔ)設(shè)施
在快速可部署的指揮所內(nèi),基內(nèi)生安全的IMS通信解決方案可提供靈活的無(wú)線通信基礎(chǔ)設(shè)施,支持多種終端設(shè)備的接入。通過(guò)動(dòng)態(tài)QoS保障技術(shù),確保在網(wǎng)絡(luò)擁塞或組件故障時(shí),關(guān)鍵通信業(yè)務(wù)的連續(xù)性。
(三)應(yīng)急通信保障
在軍事應(yīng)急通信場(chǎng)景中,基內(nèi)生安全的IMS通信解決方案可快速部署通信設(shè)備,建立臨時(shí)通信網(wǎng)絡(luò)。通過(guò)交換本地自存活技術(shù),在核心網(wǎng)絡(luò)故障時(shí)保持局部通信的連續(xù)性。同時(shí),提供豐富的應(yīng)急通信功能,如短信群發(fā)、語(yǔ)音廣播等,滿足應(yīng)急指揮和協(xié)調(diào)的需求。
基于物聯(lián)網(wǎng)技術(shù)的智慧營(yíng)區(qū)系統(tǒng)
