CM-IMS统一CENTREX业务安全研究课件.ppt

1、中国移动研发项目结题汇报报告中国移动研发项目结题汇报报告项目名称：项目名称： CM-IMS统一统一Centrex业务安全研究业务安全研究第2页 开题计划完成情况开题计划完成情况目目 录录二、主要研究成果二、主要研究成果第3页1.1 1.1 研究背景及目标（开题报告）研究背景及目标（开题报告）基于CM-IMS的统一Centrex 业务，可以充分利用IMS架构的开放性及业务扩展的灵活性，可以为用户提供跨网络、跨区域、跨终端的融合Centrex业务。在部署统一Centex业务时需要考虑多重因素。业务因素业务因素 IP IP地址分配地址分配 网络接入方式网络接入方式 用户数量用户数量 采用何种终端采用

2、何种终端 业务质量保证业务质量保证 如何穿越如何穿越NAT/NAT/防火防火墙墙 如何解决跨运营商如何解决跨运营商网络的接入网络的接入安全因素安全因素 核心系统防护核心系统防护 保证承载网络可用保证承载网络可用 终端终端IPIP隔离隔离 信息防泄漏信息防泄漏 防止业务盗用防止业务盗用 防止业务滥用防止业务滥用 物理安全保证物理安全保证第4页1.1 1.1 研究背景及目标（开题报告）研究背景及目标（开题报告）河南公司的软课题的研究重点关注通信服务和业务应用层的安全。课题研河南公司的软课题的研究重点关注通信服务和业务应用层的安全。课题研究参考了究参考了ITU X.805 端到端安全模型。端到端安全

3、模型。第5页CM-IMSCM-IMS常见的安全威胁常见的安全威胁拒绝服务拒绝服务 (DoS)SYN flood, LAND攻击攻击, Smurf攻击攻击,Ping of death, Teardrop attack 僵尸网络僵尸网络(Botnet)僵尸网络僵尸网络, 点对点攻击，分布式反射攻击，点对点攻击，分布式反射攻击，伪源伪源IPIP地址或主叫号码地址或主叫号码 监听监听/篡改篡改信令信令/媒体监听，中间人攻击，重放攻击媒体监听，中间人攻击，重放攻击业务盗用，滥用业务盗用，滥用1.2 1.2 主要研究内容（开题报告）主要研究内容（开题报告） 第6页Visited or Home Visit

4、ed or Home NetworkNetworkHome Home NetworkNetworkSIPSIPRadius/DiameterRadius/DiameterSIPSIPRadius/ DiameterRadius/ DiameterRadius/ DiameterRadius/ DiameterSIPSIP承载网承载网RTPRTPSIPSIPSIPSIPSIPSIPPSTN /PSTN /PLMNPLMNISUPISUPPCMPCMH.248H.248操作维护操作维护, 故障处理计费，故障处理计费，业务开通业务开通接入接入用户终端侧安全问题用户终端侧安全问题:服务盗用服务盗用欺诈

5、欺诈DoS监听监听帐号口令破解帐号口令破解/盗取盗取伪源伪源数据篡改数据篡改服务崩溃服务崩溃SIP 安全问题安全问题:未授权接入未授权接入业务帐号的口令泄漏业务帐号的口令泄漏DoS/DDOS 拓扑泄漏拓扑泄漏 重放攻击重放攻击RTP 安全问题安全问题:插音插音监听监听PSTN 互联的安全问题：互联的安全问题：DoS主叫号码伪造主叫号码伪造数据篡改数据篡改服务崩溃服务崩溃PDNPDN管理网络的安全问题管理网络的安全问题:未授权接入未授权接入身份盗用身份盗用DoS不安全的网管协议不安全的网管协议 (SNMP, HTTP, telnet, etc.)数据篡改数据篡改敏感信息泄漏敏感信息泄漏SIP,

6、RTPSIP, RTPSIP, RTPSIP, RTPSIP, RTPSIP, RTPSIP, RTPSIP, RTP核心网元自身安全问题核心网元自身安全问题:病毒病毒/木马感染木马感染DoSIP假冒假冒堆栈溢出堆栈溢出监听监听帐号口令泄漏帐号口令泄漏服务崩溃服务崩溃统一统一CentrexCentrex业务部署时面对的安全问题业务部署时面对的安全问题1.2 1.2 主要研究内容（开题报告）主要研究内容（开题报告） 第7页1.3 1.3 开题计划完成情况总结开题计划完成情况总结 0806 08060809-08200809-0820信息收集信息收集项目启动项目启动项目工作确认项目工作确认研究成果

7、确认研究成果确认4网络设备配置方面网络设备配置方面4承载网互联互通方面（拓扑）承载网互联互通方面（拓扑）业务分析业务分析威胁分析威胁分析4业务相关核心网元方面业务相关核心网元方面 4业务逻辑分析业务逻辑分析4通信服务方面威胁分析通信服务方面威胁分析4业务流程分析业务流程分析4业务应用方面威胁分析业务应用方面威胁分析4基础设施方面威胁分析基础设施方面威胁分析研究发现验证研究发现验证4IMS网元和终端配置安全验证网元和终端配置安全验证4通信服务层安全验证通信服务层安全验证4业务相关终端配置方面业务相关终端配置方面4业务应用层安全验证业务应用层安全验证0823-09030823-09030906-0

8、9170906-09170920-10150920-10151018-10291018-1029 1101-11151101-1115研究成果总结研究成果总结第8页一一. . 开题计划完成情况开题计划完成情况目目 录录二、主要研究成果二、主要研究成果第9页入侵入侵IMS的核心设备的核心设备/网络网络伪造呼叫消息伪造呼叫消息课题成果：控制平面的安全风险研究课题成果：控制平面的安全风险研究利用系统脆弱性利用系统脆弱性内部网元间只是通过内部网元间只是通过IP建建立信任关系立信任关系内部呼叫流程不需认证内部呼叫流程不需认证在在IMS核心交换设备未采核心交换设备未采取对伪源取对伪源IP的流量过滤。的流量

9、过滤。信令消息可以重用信令消息可以重用拓扑泄漏拓扑泄漏高额吸费高额吸费电信炸弹电信炸弹/恶意呼叫恶意呼叫伪源伪源/垃圾短信垃圾短信第10页基于基于SIP的的DOS/DDOS一个一个SIP攻击包将流转经过攻击包将流转经过IMSIMS内内部多个网元部多个网元课题成果：控制平面的安全风险研究课题成果：控制平面的安全风险研究基于基于SIP协议的攻击更有协议的攻击更有 威胁威胁消耗核心网元会话处理资源消耗核心网元会话处理资源消耗消耗HSS/DNS/ENUM的处理资源的处理资源消耗消耗MGW语音中继资源语音中继资源第11页入侵入侵IMS的核心设备的核心设备/网络网络利用窃取的帐号呼叫利用窃取的帐号呼叫课题

10、成果：控制平面的安全风险研究课题成果：控制平面的安全风险研究帐号泄漏和重复注册帐号泄漏和重复注册 窃取窃取IMS用户帐号用户帐号 利用利用IMS允许重复登允许重复登录注册盗用业务录注册盗用业务 可以用被盗用者的可以用被盗用者的名义进行欺诈名义进行欺诈电信欺诈电信欺诈垃圾呼叫垃圾呼叫盗用服务盗用服务第12页终端用户侧网络监听终端用户侧网络监听/篡改篡改中间人攻击可以篡改信令和插入中间人攻击可以篡改信令和插入媒体媒体课题成果：用户平面的安全风险研究课题成果：用户平面的安全风险研究中间人攻击可直接获取信中间人攻击可直接获取信令和媒体信息令和媒体信息用户隐私泄漏用户隐私泄漏帐号口令泄漏帐号口令泄漏/破

11、解破解篡改或重放导致的收入流失篡改或重放导致的收入流失第13页课题成果：终端安全分析课题成果：终端安全分析分析不同类型终端的协议栈，配置和维护的安全分析不同类型终端的协议栈，配置和维护的安全IADONU/IADSIP-PBXSIP终端终端多媒体终端多媒体终端软终端软终端AG针对下列共针对下列共20余种终端进行了安全分析余种终端进行了安全分析 SIP-PBX华为，星网锐捷，迈普华为，星网锐捷，迈普 SIP-AG星网锐捷，迈普星网锐捷，迈普 SIP-IAD华为，星网锐捷，迈普，台联华为，星网锐捷，迈普，台联 IMS多媒体话机多媒体话机华为，潮流，华为，潮流，Innomedia SIP话机话机星网锐

12、捷，西门子星网锐捷，西门子 SIP软终端软终端高阳，中兴，诺西，高阳，中兴，诺西，eyebeam第14页课题成果：课题成果：终端的安全问题终端的安全问题n多数终端不支多数终端不支持加密的管理持加密的管理协议协议nWEB管理界管理界面未提供认证面未提供认证码码n业务帐号密码业务帐号密码明文显示明文显示n口令强度无法口令强度无法限制限制n所有终端都可所有终端都可以绕过以绕过IMS直直接建立呼叫接建立呼叫n多数终端都可多数终端都可以泄漏注册信以泄漏注册信息息n少数终端可以少数终端可以接受任意被叫接受任意被叫号码的号码的Invite消息消息n硬终端不支持硬终端不支持加密的传输协加密的传输协议议n100

13、K字节字节/s的的SIP流量即流量即可导致终端可导致终端CPU使用率达使用率达到到100%n部分终端没有部分终端没有过载保护机制，过载保护机制，DOS攻击将攻击将导致业务无法导致业务无法使用使用n部分终端在攻部分终端在攻击发生时无法击发生时无法建立新的呼叫建立新的呼叫第15页课题成果：管理平面的安全风险研究课题成果：管理平面的安全风险研究弱口令弱口令系统联网调测时往往使用弱口令，系统联网调测时往往使用弱口令，甚至甚至SBC也使用弱口令进行远程登录。也使用弱口令进行远程登录。网管网的接入认证只通过网管网的接入认证只通过IP地址地址进行限制，未考虑对网管网内进行限制，未考虑对网管网内IP假冒假冒中

14、间人攻击的防护中间人攻击的防护管理界面漏洞管理界面漏洞管理界面和软件存在漏洞，管理界面和软件存在漏洞，可以被黑客利用可以被黑客利用第16页威胁威胁IMSIMS核心系统核心系统1.1.防火墙：防护防火墙：防护3-43-4层的安全威胁层的安全威胁2.2.SBCSBC：防护：防护5-75-7层的安全威胁，会层的安全威胁，会话媒体控制话媒体控制3.3.内部安全域：加强内部网元间的内部安全域：加强内部网元间的访问控制访问控制4.4.网元自身网元自身: :过载保护，接入控制过载保护，接入控制需要采取全方位，多级防护机制需要采取全方位，多级防护机制IMSIMS用户终端用户终端1.1.防火墙防火墙/ACL/A

15、CL：防护：防护3-43-4层的安全层的安全威胁，接入控制威胁，接入控制2.2.VLAN/MACVLAN/MAC地址绑定：单独的广播地址绑定：单独的广播域，域，MACMAC绑定防止中间人攻击绑定防止中间人攻击3.3.网元自身网元自身: :过载保护，接入控制过载保护，接入控制4.4.物理安全：防止链路监听物理安全：防止链路监听第17页部署建议：部署建议：IMSIMS部署需要采取的安全措施部署需要采取的安全措施 加强网管系统的基础设施层安全加强网管系统的基础设施层安全 加强网管系统的帐号和授权管理加强网管系统的帐号和授权管理 需要采用加密的网管协议，如需要采用加密的网管协议，如SSH，HTTPS，

16、SNMPV3等等 加强网管系统对关键网元和数据库的操作行为审计加强网管系统对关键网元和数据库的操作行为审计网络管理网络管理 平面平面控制控制/信令信令平面平面 通过加固加强核心网元的基础设施层安全通过加固加强核心网元的基础设施层安全 通过划分安全域和实施边界防护加强通过划分安全域和实施边界防护加强IMS核心内部的安全访核心内部的安全访问控制和网元的安全防护问控制和网元的安全防护 合理配置核心网元的合理配置核心网元的CPU过载保护和会话数目限制参数过载保护和会话数目限制参数 通过加固修补协议栈的安全问题通过加固修补协议栈的安全问题 终端用户终端用户平面平面 通过加强口令强度，通过加强口令强度，I

17、MPI/IMPU分离的方式加强用户业务帐分离的方式加强用户业务帐号和口令的管理号和口令的管理 加强用户终端登录账户和口令的管理加强用户终端登录账户和口令的管理 采用手段实施采用手段实施IP分离分离 终端需要实施终端需要实施CPU过载保护过载保护 加固和升级终端软件加固和升级终端软件第18页部署建议：部署建议：IMSIMS核心划分安全域核心划分安全域通过划分域并实施边界防护来防护对通过划分域并实施边界防护来防护对IMSIMS核心层各网络域的攻击，核心层各网络域的攻击，CM-IMSCM-IMS核心系统核心系统分为分为1010个安全域。只允许指定的安全子域间互访。个安全域。只允许指定的安全子域间互访

18、。第19页部署建议：部署建议：IMSIMS网管系统安全考虑网管系统安全考虑网管应用网管应用OMCNMCTier-3堡垒主机堡垒主机数据存储服务器数据存储服务器网元网元VPN Tunneling安全策略安全策略认证认证/授权授权日志日志& 操作监控操作监控系统加固系统加固高可用性高可用性备份备份& 恢复恢复管理流程管理流程OSS Cluster & FW Rules网管网网管网管理员管理员接入认证接入认证IPDCN安全协议安全协议外部网络外部网络 (Internet, 业务网业务网.)IMS CCF DNSMGCFHSS第20页部署建议：加强部署建议：加强CMNETCMNET边界防护配置边界防护

19、配置会话会话/消息消息 控制策略控制策略5-7层层 FWSBC/P-CSCFNotify about attacking endpoints接入接入媒体媒体 ProxyI/S-CSCFIMS 控制控制IPSec/TLS协议栈协议栈 加固加固DoS 检测检测SIP 应用应用Setup IPSec SAsMGW流量控制流量控制会话状态会话状态/RTP 攻击防护攻击防护用户认证用户认证Layer 5/7 DoS 防护防护- Layer 3/4 DoS 防护防护- ACLs畸形消息防护畸形消息防护CPU过载保护过载保护 流量抑制流量抑制RTP攻击防护攻击防护信令加密信令加密拒绝不正确的拒绝不正确的SI

20、P消息的媒体会消息的媒体会话话认证认证/授权授权SIP 应用应用. 逻辑逻辑启用启用P-CSCF/SBC的安全配置来保护的安全配置来保护IMS核心层控制域和媒体域的安全核心层控制域和媒体域的安全第21页核心系统其它部署建议核心系统其它部署建议按照安全配置规范和厂家加固方案进行网元配置，部署时内部设备保证密码强度，尤其是被内部应用的密码。删除WEB管理界面中的无用WEB页面建议对网元的WEB管理登录，Telnet/SSH，FTP/SFTP的登录通过4A实现，若4A近期不能上线则需要考虑通过制定网内某一主机做代理的登录。需要IMS核心网络内防止IP伪源建议在系统上线前进行一次安全复查并固化各网元软

21、件版本第22页业务安全业务安全部署建议：专线接入方式部署建议：专线接入方式更改更改IAD/PBX/SIPIAD/PBX/SIP话机上话机上SIPSIP协议本地缺省协议本地缺省端口端口建议部署大端口的建议部署大端口的IADIAD或或IPPBXIPPBX，并部署在，并部署在锁闭的设备室内锁闭的设备室内不建议用户自行管理不建议用户自行管理IADIAD或或SIPSIP话机注册到话机注册到IPPBXIPPBX。上列设备应直接注册到。上列设备应直接注册到IMSIMS。在在IAD/PBXIAD/PBX未支持加密的网管协议前，尽量未支持加密的网管协议前，尽量不采用远程网管方式。不采用远程网管方式。接入路由器上

22、配置接入路由器上配置ACLACL策略策略 只允许只允许SBCSBC的的IPIP和和IAD/PBX/UEIAD/PBX/UE的信令和媒体的信令和媒体IPIP互通。互通。 只允许终端网管系统只允许终端网管系统IPIP和设备的网管和设备的网管IPIP互通互通 禁止其它禁止其它IPIP访问访问IAD/PBXIAD/PBX需要为用户分配指定的需要为用户分配指定的IPIP地址地址可以为统一可以为统一CentrexCentrex业务部署专用的业务部署专用的SBCSBC或或虚拟虚拟SBCSBC。并可使用私网地址。并可使用私网地址。在在SBCSBC上设置访问控制列表，只允许指定源上设置访问控制列表，只允许指定源

23、IPIP地址段和指定源端口的数据接入。地址段和指定源端口的数据接入。以太网以太网/ /光纤专线光纤专线/GPON/GPON第23页业务安全业务安全部署建议：用户局域网接入方式部署建议：用户局域网接入方式在接入交换机上需要为在接入交换机上需要为IAD/PBXIAD/PBX划分新的划分新的VLANVLAN。并配置静态并配置静态MACMAC更新，在更新，在IAD/PBXIAD/PBX端口上配端口上配置静态的置静态的MACMAC地址绑定地址绑定企业网内接入路由器上配置企业网内接入路由器上配置ACLACL策略策略 只允许只允许SBCSBC的的IPIP和和IAD/PBX/UEIAD/PBX/UE的信令和媒

24、体的信令和媒体IPIP互通。只允许终端网管系统互通。只允许终端网管系统IPIP和设备的网和设备的网管管IPIP互通禁止其它互通禁止其它IPIP访问访问IAD/PBXIAD/PBX若无法配置用户的路由器，需要考虑部署若无法配置用户的路由器，需要考虑部署支持终端自身配置支持终端自身配置ACLACL的终端的终端在用户的接入路由器上必须启用在用户的接入路由器上必须启用IPIP伪源检伪源检测功能测功能需要为用户分配指定的需要为用户分配指定的IPIP地址地址可以为统一可以为统一CentrexCentrex业务部署专用的业务部署专用的SBCSBC或或虚拟虚拟SBCSBC。在在SBCSBC上设置访问控制列表，

25、只允许指定源上设置访问控制列表，只允许指定源IPIP地址段和指定源端口的数据接入。地址段和指定源端口的数据接入。用户以太用户以太网络网络第24页用户办公用户办公网网终端部署建议：软终端部署建议终端部署建议：软终端部署建议软终端软终端软终端部署时需要如下考虑软终端部署时需要如下考虑 更改缺省的本地通信协议端口更改缺省的本地通信协议端口为其它设定为静态指定的端口为其它设定为静态指定的端口，如将，如将50605060改为改为60706070 在路由器配置如下策略在路由器配置如下策略 只允许只允许SBCSBC的的IPIP访问局域网访问局域网内的内的UDP/TCPUDP/TCP和和TCP 6070TCP

26、 6070端端口口 只允许与终端和终端管理只允许与终端和终端管理/ /软件升级服务器的软件升级服务器的IPIP间的管间的管理协议互通。理协议互通。 开放其它业务开放其它业务第25页硬终端防护加强建议硬终端防护加强建议IADONU/IADSIP-PBXSIP终端终端多媒体终端多媒体终端AG 更改更改IAD/PBX上上SIP协议缺省端口协议缺省端口更改终端的缺省网管协议的缺省端口更改终端的缺省网管协议的缺省端口需启用终端的过载保护功能需启用终端的过载保护功能如不支持过载保护功能，需要通过终如不支持过载保护功能，需要通过终端自身的端自身的ACL策略限制外来流量策略限制外来流量 需要加固终端协议栈和软

27、件，需要加固终端协议栈和软件， 只接受来自只接受来自SBC的的SIP和媒体消息和媒体消息 加固加固WEB管理界面，管理界面，WEB登录界面登录界面应提供认证码，以防止暴力破解。应提供认证码，以防止暴力破解。 加密业务口令显示，加密业务口令显示， 检测并抑制重放攻击。检测并抑制重放攻击。 加强软件版本和终端的配置管理。加强软件版本和终端的配置管理。第26页26结束结束谢谢大家！第27页0 d鄚+%敷寚ZU貀驨悚稙厜矜j烱n梲廈隝炊?Mlt頄W ?儡详顭卙芝?峜u栫瘹錤箜腋澭?TVkIv?院 !噧 ? ?鄲壁殫? 袽 褾?隩冢?胣 ?-犍3郢 坘G 蜮y暠褾?兾ZF0Q n 琱 呞喿赧痛齗蜀r?

28、轩 s?輍?脌祵?墹裕渌灕Iu葴榄+ $ ?b 7c髼;檀p 鐇D恲渄痵?韮?-c宭旑R?p| 懰O晉v?耞缸 蟌莲fIi 7龆頋mm?|w 鮢p? s:鐭喎瑡x?:?DC螵? 鷏蟥?臞i雕擌5耍嘋稙厜矜j烱n梲廈隝炊?Mlt頄W ?儡详顭卙芝?峜u栫瘹錤箜腋澭?TVkIv?院 !噧 隩冢?o漶鎩j垔勝(垱?! D DD D DD g 厽渾掿娍眗了8?4楈U旖 ?儒M獧S4霿焚 尔U抝途Y?(k?wi 咹8W摧mUn灑壉UI d檶q-k?O g闝曅揷5;F赼?惖諯;溜?侏 !?;藚;U?/蠾 臷?zXK堧0 d鄚+%敷寚ZU貀驨悚韑m%犩?g?f ? ?鄲壁殫? 袽 褾?隩冢?o漶鎩j垔勝(垱

29、?! D DD D DD g 厽渾掿娍恲渄痵?韮?-c宭旑R?p| 懰O晉v?耞缸 蟌莲fIi 7龆頋mm?|w 鮢p? s:鐭Y喎瑡x?:?DC螵? 鷏U旖 ?儒M獧S4霿焚 尔U抝途(k?wi 咹8W摧mUn灑壉UI d檶q-k?O g闝曅揷5;F赼?惖諯;溜?侏 !?;藚;U?/蠾 臷?zXK堧0 詊浗綶 2Y?佚陯訍? c?:) 堆莕, hh胣 ?-犍3郢 坘G 蜮y暠蟥?臞i犍3郢 坘G 蜮y暠褾?兾ZF0Q n 琱 呞喿赧痛齗蜀r? 轩 s?輍?脌祵?墹裕渌灕Iu葴榄雕擌5耍嘋?胣 ?-犍3郢 坘G 蜮y暠褾?兾ZF0Q n 琱 呞喿赧痛齗蜀r? 轩 s?輍?脌祵?墹裕渌灕Iu o

30、漶鎩j垔勝(垱?! D DD D DD g 厽渾掿娍眗了8?4楈蟥?臞i犍3郢 坘G 蜮y暠褾?兾ZF0Q n 琱 呞喿赧痛齗蜀r? 轩 s?輍?脌祵?墹裕渌灕Iu葴榄雕擌5耍嘋?胣 ?-犍3郢 坘G 蜮y暠褾?兾ZF0Q n 琱 呞喿赧痛齗蜀r? 轩 s?輍?脌祵?墹裕渌灕Iu o漶鎩j垔勝(垱?! D DD D DD g 厽渾掿娍眗了8?4楈褾?兾ZF0Q n 琱 呞喿赧痛齗蜀r? 轩 s?輍?脌祵?墹裕渌灕Iu葴榄+ $ ?b 7c髼;檀p 鐇D恲渄痵?韮?-c宭旑R?p| 懰O晉v?耞缸 蟌莲fIi旖 ?儒M獧S4霿焚 尔U抝途Y?(k?wi 咹8W摧mUn灑壉UI d檶q-k?O g

31、闝曅揷5;F赼?惖諯;溜?侏 !?;藚;U?/蠾 臷?zXK堧0 疲 ?犣?蠆螮? wL挏蝈?8 YH旨誘ZGN周k曩OOM G ?* 鰴?到jI惠譬蚶莧&?U謢Vj +?K)旺Y崬閲雖wa卑o洉lT锵齓p2?Sac囤i 實峢 r Q ?顴i燮槚郱貫閍呂 跬脇?椲|侶 鲟道c D尝# Vi pdj烰!? 璤閲眩Pm缫i,7zz)m蒗螁?鸭健犪犩?2秥;? 搎繾晑 #ui?賛?瘙? 菸潰萺n?p 躭?!q豕鰦锏椡7埭?鈦?WS瘉?(w?9?n韊驥?顂?忺璭驥?:-M袧O?E? ! ,顂? ?鷇禱? 賢Y杵蛢侏峌Du讂?*ec| 嶮i#;?鉡磺 t? 8?.瑷鈪u槄炵K?虲蛞訢槒訉u,a?砱%宰类%?蜭 掙j#|?闱傂N焮x? i瓗y教p 4?渦? ?Ur+奭 礛s窯 斘T羊_ 扥z洲?磥簁?鲫fQ艖上;?鄋 嵛8#=Eo s玓陧扎喦3殚?U6?cFq?弲b 转蕿鯅 軋嬸H 伾k J 嬹t倖?核i书a# 4?ii? e炪畞?賉鏫臠X馥i鳹e,m?闱魰 蠰撁比G诡hK?邈駹頷輿膋 鍔 ? Z?DC焒?z/讖唯?1?涍 5VM?庢?霅 峎窒?oz?菥棇 ?D?N?:z 陑