3GPP在R5版本中提出了IP多媒體子系統(tǒng)IMS(IP Multimedia Subsystem)的概念。IMS作為一個(gè)實(shí)際運(yùn)營(yíng)的網(wǎng)絡(luò)，充分考慮了身份認(rèn)證，安全計(jì)費(fèi)等能力，為基于全I(xiàn)P網(wǎng)絡(luò)多媒體應(yīng)用提供了一個(gè)通用的業(yè)務(wù)職能平臺(tái)，也為網(wǎng)絡(luò)發(fā)展過(guò)程中的網(wǎng)絡(luò)融合提供了技術(shù)基礎(chǔ)，是未來(lái)網(wǎng)絡(luò)的發(fā)展方向之一。在IMS中，歸屬用戶服務(wù)器HSS(Home Subscriber Server)作為用戶簽約業(yè)務(wù)數(shù)據(jù)庫(kù)，存儲(chǔ)著用戶的安全數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)，I-CSCF（Interconnection-Call Session Control Function）與S-CSCF（Serving-CSCF）通過(guò)Diameter協(xié)議與HSS進(jìn)行信息交互[1]。由于HSS與I/S-CSCF之間缺乏身份認(rèn)證機(jī)制，且攻擊者是以合法身份接入網(wǎng)絡(luò)，I/S-CSCF可以進(jìn)行越權(quán)訪問(wèn)HSS，非法獲取或修改用戶的信息，因此需要建立新的HSS數(shù)據(jù)庫(kù)的訪問(wèn)控制模型，對(duì) I/S-CSCF的非法行為進(jìn)行防護(hù)。由美國(guó)George Mason大學(xué)的Ravi Sandu教授提出的基于角色的訪問(wèn)控制模型RBAC(Role-Based Access Control）[2-4]，提供了解決大量用戶、數(shù)據(jù)客體和訪問(wèn)權(quán)限系統(tǒng)中的授權(quán)管理問(wèn)題,是一種方便、安全、高效的訪問(wèn)控制機(jī)制,適用于HSS數(shù)據(jù)庫(kù)訪問(wèn)控制。
    本文在HSS數(shù)據(jù)庫(kù)訪問(wèn)控制中應(yīng)用基于角色訪問(wèn)控制策略,并添加其約束模塊,建立I-CSCF—S-CSCF的關(guān)聯(lián)表，最后給出越權(quán)訪問(wèn)行為防護(hù)的分析和仿真。
1 S-CSCF越權(quán)訪問(wèn)行為分析
    HSS是IMS網(wǎng)絡(luò)中存儲(chǔ)用戶信息的主要數(shù)據(jù)庫(kù)。存儲(chǔ)在HSS的IMS相關(guān)數(shù)據(jù)主要包括：IMS用戶標(biāo)識(shí)、號(hào)碼和地址信息以及用戶安全信息等。IMS網(wǎng)絡(luò)中的呼叫會(huì)話控制服務(wù)器I/S-CSCF和應(yīng)用服務(wù)器AS通過(guò)訪問(wèn)HSS,獲取用戶注冊(cè)和業(yè)務(wù)邏輯執(zhí)行所需的用戶數(shù)據(jù)。
    P-CSCF通過(guò)DNS域名解析獲得I-CSCF的地址，I-CSCF根據(jù)UAA信息，選擇合適的S-CSCF[1]，沒(méi)有機(jī)制通知HSS該S-CSCF地址。由于攻擊者是合法接入網(wǎng)絡(luò)，I/S-CSCF與HSS之間可以通過(guò)相互認(rèn)證，攻擊者可以通過(guò)篡改數(shù)據(jù)包，實(shí)現(xiàn)越權(quán)訪問(wèn)。
    由于I-CSCF數(shù)據(jù)庫(kù)越權(quán)訪問(wèn)不涉及用戶核心信息，攻擊方式與S-CSCF相似，故本文重點(diǎn)分析S-CSCF越權(quán)訪問(wèn)行為。其越權(quán)訪問(wèn)流程如圖1所示。

    (1)在HSS側(cè)，攻擊者截獲S-CSCF發(fā)送的MAR(1)/SAR(1)請(qǐng)求，將AVP Session id、AVP Origin Host等和攻擊目標(biāo)有關(guān)的字段改為自己的字段，將在數(shù)據(jù)包中S-CSCF的路由信息刪除,僅保留攻擊者的地址，如：
　AVP SessionId1/1=scscf(attacker)-stdn.imsgrp-000.ims.ctc.com;237404472;237404472:00
　AVP OriginHost 1/1 =scscf(attacker)-stdn.imsgrp-000.ims.ctc.com
　Route-Record=scscf(attacker)@ims.ctc.com
　攻擊者將修改后的MAR(2)/SAR(2)命令發(fā)送到HSS，由于攻擊者是合法S-CSCF，所以可以通過(guò)HSS的認(rèn)證，使HSS認(rèn)為是攻擊者發(fā)出的合法的請(qǐng)求MAR(2)/SAR(2)，發(fā)送響應(yīng)MAA(2)/SAA(2)給攻擊者。
   (2)攻擊者收到MAA(2)/SAA(2)后，由于S-CSCF知道HSS的地址，所以目的域地址仍置為HSS的地址，將AVP SessionId與AVP OriginHost等字段在MAR(2)/SAR(2)中修改過(guò)的字段改為原MAR(1)/SAR(1)的字段。將修改好的數(shù)據(jù)包MAA(1)/SAA(1)發(fā)送到S-CSCF。由于數(shù)據(jù)包中所有的信息均已修改，而S-CSCF并不溯源數(shù)據(jù)包的來(lái)源，所以會(huì)認(rèn)為是HSS發(fā)送的響應(yīng)消息。
    通過(guò)以上兩個(gè)步驟,攻擊者可以越權(quán)訪問(wèn)到S-CSCF存儲(chǔ)在HSS上的數(shù)據(jù)信息，從而實(shí)現(xiàn)了HSS數(shù)據(jù)庫(kù)的越權(quán)訪問(wèn)。
2 基于角色的訪問(wèn)控制模型
    基于角色的訪問(wèn)控制模型RBAC引入了角色的概念，目的是為了隔離主體與權(quán)限，其模型如圖2所示。RBAC模型的基本概念：

    用戶（User）：可以獨(dú)立訪問(wèn)計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)或其他系統(tǒng)資源的主體。用戶可以是人，也可以擴(kuò)展為機(jī)器、設(shè)備、進(jìn)程等，在此為I/S-CSCF。
    角色（Role）：角色指一個(gè)組織或任務(wù)中的工作或位置，它代表一種資格、權(quán)利和責(zé)任。
    權(quán)限（Permission）：權(quán)限描述一個(gè)角色對(duì)一個(gè)訪問(wèn)對(duì)象可以執(zhí)行某種操作的能力，它反映的是授權(quán)的結(jié)果。如查詢角色對(duì)資源B只有讀的權(quán)限，I-CSCF賦予查詢角色時(shí)，對(duì)資源B只能進(jìn)行讀取。
    用戶角色分配（User-Role Assignment）：建立用戶與角色的多對(duì)多關(guān)系。
    角色權(quán)限分配（Permission-Role Assignment）：建立角色與訪問(wèn)權(quán)限的多對(duì)多關(guān)系。
    會(huì)話（Session）：會(huì)話對(duì)應(yīng)于一個(gè)用戶和一組激活的角色,表示用戶進(jìn)行角色激活的過(guò)程。如I-CSCF發(fā)送UAR命令查詢用戶注冊(cè)狀態(tài)的流程[2-4]。
3 HSS數(shù)據(jù)庫(kù)訪問(wèn)控制模型
    IMS通信流程中，I/S-CSCF與HSS之間通過(guò)Diameter協(xié)議進(jìn)行信息交互。當(dāng)前IMS網(wǎng)絡(luò)缺乏在信令處理過(guò)程中對(duì)網(wǎng)絡(luò)實(shí)體的身份、權(quán)限的判斷，導(dǎo)致某些被非法利用的網(wǎng)絡(luò)實(shí)體針對(duì)用戶位置，狀態(tài)等重要信息發(fā)起各種攻擊行為。在IMS網(wǎng)絡(luò)中，網(wǎng)絡(luò)實(shí)體通過(guò)信令消息觸發(fā)消息處理機(jī)制來(lái)實(shí)現(xiàn)對(duì)用戶數(shù)據(jù)的訪問(wèn)和操作，網(wǎng)絡(luò)實(shí)體擔(dān)任的角色及角色與權(quán)限的映射關(guān)系隨信令流程的改變而動(dòng)態(tài)變化。所以需要對(duì)基于角色的呼叫控制模型進(jìn)行一定的改進(jìn)。模型設(shè)計(jì)的核心思想就是在通信過(guò)程中，通過(guò)約束模塊，對(duì)角色、權(quán)限分配過(guò)程進(jìn)行控制，控制模型如圖3所示。

    基于角色的HSS訪問(wèn)控制模型定義如下：
　    主體（User）：可以訪問(wèn)HSS數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)實(shí)體，即I/S-CSCF；
　    客體（Objects）：存儲(chǔ)在HSS數(shù)據(jù)庫(kù)中的數(shù)據(jù)，如S-CSCF能力集，用戶認(rèn)證消息等；
　    角色（Roles）：I/S-CSCF所承擔(dān)的職責(zé)；
　    權(quán)限（Permissions）：可以對(duì)客體信息進(jìn)行的操作，如查詢，修改；
　    約束（Constrain）：在角色劃分，權(quán)限分配中需要滿足的限定性條件；
　    會(huì)話（Session）：用戶進(jìn)行激活的過(guò)程，如I-CSCF發(fā)送UAR信令到HSS。
　    訪問(wèn)過(guò)程中形成的映射關(guān)系：

3.1 約束模塊設(shè)計(jì)
    在約束模塊添加關(guān)聯(lián)表，通過(guò)修改關(guān)聯(lián)表，對(duì)模型中的分配起到限制作用。在IMS網(wǎng)絡(luò)中，存在多個(gè)I-CSCF與S-CSCF，，它們之間是一對(duì)多映射的關(guān)系，如圖4所示。在HSS中建立I-CSCF—S-CSCF關(guān)聯(lián)表，如圖5所示。

3.1.1 約束模塊操作流程
    在初始時(shí)，HSS將關(guān)聯(lián)表中I-CSCF能夠選擇的S-CSCF的屬性值全部置為1。
    (1)當(dāng)I-CSCF選定一個(gè)S-CSCF后，向HSS數(shù)據(jù)庫(kù)發(fā)送一個(gè)消息，將此信令消息命名為IER（I-CSCF-Elect-Require），告知HSS其選定的S-CSCF。
     消息格式為：<I-CSCF-Elect-Request>:=
    <DiamterHeader:30x,REQ,PXY,16777216>
    <Session-Id>
    {Origin-Host}
    { Origin-Realm}
    {User-Name}
　    {Server-Name}
　    {Server-ID}
　    *[Proxy-Info]
　    *[Route-Record]
　    (2)HSS收到IER消息后，提取Session-id, User-Name, Server-Name字段,發(fā)送響應(yīng)消息IEA（I-CSCF-Elect-Answer）消息給I-CSCF。
       (3)HSS修改關(guān)聯(lián)表，將對(duì)應(yīng)的I/S-CSCF值設(shè)為Session-id，其他的值設(shè)為0，實(shí)現(xiàn)綁定約束，在后續(xù)為S-CSCF分配角色等操作時(shí)，只有被綁定的S-CSCF才能進(jìn)行相應(yīng)的用戶數(shù)據(jù)下載、更新等操作。
       (4)當(dāng)會(huì)話結(jié)束后，將關(guān)聯(lián)表信息改為初始值，釋放各資源。
3.1.2 訪問(wèn)控制模型應(yīng)用流程
    (1)HSS根據(jù)I/S-CSCF的能力，建立用戶表；根據(jù)I/S-CSCF進(jìn)行的操作，進(jìn)行角色分類，建立角色表；根據(jù)I/S-CSCF的能力,在特定會(huì)話的條件下進(jìn)行的操作，為I/S-CSCF分配角色，更新用戶-角色表；根據(jù)存儲(chǔ)在數(shù)據(jù)庫(kù)中的信息的性質(zhì),及對(duì)其進(jìn)行的操作，建立權(quán)限表；根據(jù)角色在特定會(huì)話條件下對(duì)客體進(jìn)行的操作，建立角色-權(quán)限表；建立I-CSCF&mdash;S-CSCF關(guān)聯(lián)表。
    (2)當(dāng)I/S-CSCF發(fā)起會(huì)話時(shí)，HSS首先查找用戶表，判斷用戶身份是否合法。
    (3)根據(jù)會(huì)話發(fā)起的信令，查找對(duì)應(yīng)的角色表，確定此次會(huì)話中主體所擔(dān)任的角色。
    (4)根據(jù)主體及角色，為用戶分配角色，更新用戶-角色表。
    (5)根據(jù)會(huì)話信令，查找角色-權(quán)限表，確定此次會(huì)話I/S-CSCF所能訪問(wèn)的數(shù)據(jù)資源及其進(jìn)行的操作。
    (6)當(dāng)會(huì)話建立時(shí)，啟動(dòng)約束模塊，HSS修改關(guān)聯(lián)表，綁定此次會(huì)話，只有發(fā)起會(huì)話的主體才能對(duì)數(shù)據(jù)庫(kù)進(jìn)行訪問(wèn)。
3.2 數(shù)據(jù)庫(kù)設(shè)計(jì)
　根據(jù)整個(gè)流程，HSS數(shù)據(jù)庫(kù)訪問(wèn)控制系統(tǒng)被分為不同的功能模塊,主體分為不同的權(quán)限訪問(wèn)不同的客體。根據(jù)模型設(shè)計(jì)方法，用戶及權(quán)限信息均被保存在HSS數(shù)據(jù)庫(kù)中，建立用戶表、角色表、權(quán)限表、約束表、用戶與角色表、角色與權(quán)限表的6個(gè)表格，各表詳細(xì)設(shè)計(jì)及關(guān)系如圖6所示。

4 HSS數(shù)據(jù)庫(kù)訪問(wèn)控制模型效果
    在HSS訪問(wèn)控制方式及數(shù)據(jù)庫(kù)的設(shè)計(jì)中，約束模塊對(duì)用戶角色表、角色權(quán)限表都有著制約作用，從而能夠比較有效地進(jìn)行數(shù)據(jù)庫(kù)訪問(wèn)控制。效果分析如圖7所示。

    I-CSCF選定S-CSCF后，與HSS進(jìn)行IER/IEA信令交互后，啟動(dòng)約束模塊，HSS數(shù)據(jù)庫(kù)修改關(guān)聯(lián)表，進(jìn)行綁定操作。當(dāng)攻擊者篡改MAR/SAR消息時(shí)，HSS查找關(guān)聯(lián)表，由于I-CSCF&mdash;S-CSCF關(guān)聯(lián)表中，攻擊者的屬性值本不存在或被置為0，HSS拒絕攻擊者的請(qǐng)求，從而實(shí)現(xiàn)了HSS數(shù)據(jù)庫(kù)越權(quán)訪問(wèn)的防護(hù)。
    Open SAR由C語(yǔ)言實(shí)現(xiàn)，是一個(gè)成熟且靈活的開源SIP服務(wù)器棧軟件?？梢杂米髯?cè)服務(wù)器、位置服務(wù)器、代理服務(wù)器等多種SIP服務(wù)器。通過(guò)對(duì)Open SAR進(jìn)行設(shè)置,可以實(shí)現(xiàn)IMS中各個(gè)CSCF的功能。依據(jù)課題的研究?jī)?nèi)容，要求SIP終端具有可配置性。因此，選取SIP攻擊軟件SiVus用于SIP終端功能的實(shí)現(xiàn)。在仿真過(guò)程中將HSS數(shù)據(jù)庫(kù)設(shè)置為一般的數(shù)據(jù)庫(kù)，攻擊者截獲數(shù)據(jù)包并偽裝就可以立刻下載用戶的認(rèn)證信息。而在使用本文方法后，能夠有效地防護(hù)HSS數(shù)據(jù)庫(kù)越權(quán)訪問(wèn)行為。
    HSS數(shù)據(jù)庫(kù)防護(hù)在基于角色的訪問(wèn)控制模型的基礎(chǔ)上添加了約束模塊，在其中設(shè)置了I-CSCF&mdash;S-CSCF關(guān)聯(lián)表。通過(guò)理論分析和仿真結(jié)果驗(yàn)證，該模型能夠較好地對(duì)HSS數(shù)據(jù)庫(kù)越權(quán)訪問(wèn)行為進(jìn)行防護(hù)，同時(shí)該模型也可直接在系統(tǒng)中添加相應(yīng)模塊，實(shí)現(xiàn)簡(jiǎn)單、通用性強(qiáng)。
參考文獻(xiàn)
[1] POIKSELKA M,MAYER G,KHARTABII H,et al.移動(dòng)領(lǐng)域的IP多媒體概念和服務(wù)[M].北京：機(jī)械工業(yè)出版社，2005.
[2] RAVIS E J, COYNE K. Role-based access control models[J].IEEE Computer,1996,29(2):38-47.
[3] FERRAIOLO D F. Proposed NIST standard for role-based access control[J]. ACM Transactions on Information and  System Security,1001,4(3):224-225.
[4] SANDHU R S.COYNE E J,FEINSTEIN H L, et al. Rolebased access control models[J].IEEE Computer,1996,29(3):38-39.
[5] 周穎杰.移動(dòng)通信網(wǎng)位置信息安全防護(hù)關(guān)鍵技術(shù)研究[D].河南：解放軍信息工程大學(xué)，2008:45-54.
[6] LINA B R. The application of security policy to rolebased access control and common data security architecture [J].Computer Communications,2000,23(17):1584-1593.
[7] 邢漢發(fā).基于角色和用戶組的擴(kuò)展訪問(wèn)控制模型[J].計(jì)算機(jī)應(yīng)用研究,2009,26(3):1098-1100.