一、方案概述
基于内生安全的IMS通信解决方案,是通过将内生安全理念融入IMS(IP多媒体子系统)架构,构建具备自适应、自主防御和自成长能力的安全通信体系,以应对未知威胁并提升系统整体安全性。
二、技术介绍
(一)内生安全的概念
内生安全是指通过系统自身的架构、机制、运行规律等内在因素,构建可量化设计、可验证度量的安全功能,使系统具备自主防御、自适应和自成长的能力。其核心在于将安全能力深度融入系统设计,而非依赖外部附加防护,从而实现对未知威胁的主动防御。
(二)内生安全在IMS中的核心作用
1.自适应防御
IMS网络可实时感知攻击行为,自动触发应急响应机制。例如,当检测到异常SIP信令流量时,系统能动态调整防火墙规则或启用入侵检测系统(IDS/IPS),阻断攻击路径。同时,通过资源预留和流量整形技术,确保关键通信(如语音、视频)的带宽和时延不受影响,维持服务连续性。
2.自主防御
内生安全机制使IMS摆脱被动防御模式,实现主动防御。例如:
双向身份认证:用户终端(UE)与代理呼叫会话控制功能(P-CSCF)之间通过SSL/TLS协议建立安全通道,防止伪造注册请求。
信令完整性保护:采用数字签名技术确保SIP消息未被篡改,避免中间人攻击。
拓扑隐藏:通过P-CSCF隐藏运营商网络内部结构,降低被探测和攻击的风险。
3.自成长能力
IMS系统通过与环境交互持续学习,优化安全策略。例如:安全操作中心(SOC):收集并分析全网安全事件,生成威胁情报库,指导网元(如SM、PM)动态调整防护规则。
三、方案优势
设备接纳控制:对终端的操作系统版本、防火墙补丁状态进行强制检查,确保其符合安全基线要求。
(一)按需定制
秉承“专、精、特”产品研发和服务理念,可在技术指标、接口协议、保密手段等方面应需定制。
(二)全面融合
网关设备支持4G/5G“固移融合”应用支持低轨卫星融合构造“天地一体化”统一网络服务体验。
(三)内生安全
1.业务交互实现安全检测与预警功能。对业务消息及其交互过程进行有效性和合法性检查,支持对异常消息、异常行为的拦截阻断。
2.基础运行平台异构冗余。防止单一平台下的漏洞或后门导致网元业务的瘫痪,在提高可靠性、可用性的同时提高其运行安全性。
3.管理Web服务拟态防御。通过构建DHR虚拟机池,可有效增大漏洞后门或病毒木马等的利用难度,保证Web服务的安全性和可用性。
(四)自主可控
具备完全自主知识产权,硬件平台CPU、FPGA、存储、网络接口芯片等关键元器件全国产,整体国产化率达到95%以上,实现国产自主可控。并支持PowerPC、X86等CPU模块的多模运行,实现基础平台异构冗余。
四、方案拓扑图
五、核心网产品
(一)会话控制设备
会话控制设备支持多网元物理合设,主要负责处理多媒体呼叫会话过程中的信令控制,管理IMS 网络的用户鉴权、IMS 承载面 QoS、与其他网络实体配合进行SIP会话的控制,以及业务协商和资源分配。
(二)会话边界控制设备
包括SBC、P-CSCF 网元,可实现呼叫接入控制、NAT穿越、QoS、接入安全、媒体防火墙、媒体代理、媒体编解码转换等功能。
(三)接入网关控制设备
实现媒体网关控制、IMS代理及用户特征管理功能,为使用H.248协议的媒体网关、用户接入设备提供接入控制功能。
(四)业务应用服务器设备
业务应用服务器多模式设备实现个人的基本业务及补充业务;为用户提供群内便捷呼叫、呼叫代答、统一门户语音导航等业务;支持MRFC/MRFP业务功能,并提供图文消息、音视频会议等多媒体业务功能
(五)归属用户服务器设备
归属用户服务器设备HSS提供用户身份、注册信息、路由信息、接入参数和服务触发信息的查询与存储;为I-CSCF提供选择S-CSCF所需的信息,并与AS交互提供签约数据支持。
六、接入网产品
(一)中继媒体网关
中继媒体网关采用ATCA硬件架构,完成IP域分组交换业务与TDM域电路交换业务的互通、转换、处理功能。
(二)移动客户端
移动软件终端可运行于Android和PC Windows系统。具备统一通讯录、即时消息、音视频会议等融合通信功能,支持与IP话机的语音互通。
(三)融合通信自交换系统
支持SIP软终端、IP电话接入,支持IVR语音导航、话务台、连选群等IPPBX业务,可集群扩展至10万用户;并具备分权分域管理功能,是IMS架构下的理想自交换通信平台。
(四)接入网关
用户接入网关设备为专网用户提供传统电话IMS接入能力。接入网关与核心网IMS/IPPBX配合可实现数十种办公电话功能,包括呼叫转移、呼叫转接、代接、呼叫保持、电话会议、来电显示、免打扰、彩铃、群组振铃、区别振铃、一机双号、传真等功能。
(五)IP 话机系列
定制配套SIP 话机,全系支持HD 编码(G.722)的高清音质,支持分权分域的统一通讯录,具备多个可编程按键。话机操作便捷,经久耐用。
七、应用场景
(一)多级指挥控制中心通信
在营-LV指挥控制中心之间,基内生安全的IMS通信解决方案可提供稳定的无线通信服务,确保指挥命令的准确传达和执行。通过内置的审计模块,记录所有通信行为,满足军事通信的合规性要求。通过端到端加密、多因素身份认证等技术,防止通信内容被窃听或篡改,保障指挥系统的安全性和可靠性。
(二)指挥所内无线通信基础设施
在快速可部署的指挥所内,基内生安全的IMS通信解决方案可提供灵活的无线通信基础设施,支持多种终端设备的接入。通过动态QoS保障技术,确保在网络拥塞或组件故障时,关键通信业务的连续性。
(三)应急通信保障
在军事应急通信场景中,基内生安全的IMS通信解决方案可快速部署通信设备,建立临时通信网络。通过交换本地自存活技术,在核心网络故障时保持局部通信的连续性。同时,提供丰富的应急通信功能,如短信群发、语音广播等,满足应急指挥和协调的需求。
