下一代网络(Next Generation Network,NGN)
目录 |
下一代网络是一个建立在IP技术基础上的新型公共电信网络,能够容纳各种形式的信息,在统一的管理平台下,实现音频、视频、数据信号的传输和管理,提供各种宽带应用和传统电信业务.是一个真正实现宽带窄带一体化、有线无线一体化、有源无源一体化、传输接人一体化的综合业务网络。
与传统的PSTN网络不同,NGN以在统一的网络架构上解决各种综合业务的灵活提供能力为出发点,提供诸如业务逻辑、业务的接人和传送手段、业务的资源提供能力和业务的认证管理等服务。为此,在NGN中,以执行各种业务逻辑的软交换(Softswitch)设备为核心进行网络的构架建设。除此之外,业务逻辑可在应用服务器(AS)上统一完成,并可向用户提供开放的业务应用编程接口(API)。而对于媒体流的传送和接入层面,NGN将通过各种接人手段将接人的业务流集中到统一的分组网络平台上传送。
分组化的、开放的、分层的网络架构体系是下一代网络的显著特征。业界基本上按业务层、控制层、传送层、接入层四层划分.各层之间通过标准的开放接口互连。
业务层:一个开放、综合的业务接人平台.在电信网络环境中,智能地接入各种业务,提供各种增值服务,而在多媒体网络环境中,也需要相应的业务生成和维护环境。
控制层:主要指网络为完成端到端的数据传输进行的路由判决和数据转发的功能,它是网络的交换核心,目的是在传输层基础上构建端到端的通信过程,软交换(Softs~itch)将是下一代网络的核心,体现了NGN的网络融合思想。
传送层:面向用户端支持透明的TDM线路的接人,在网络核心提供大带宽的数据传输能力,并替代传统的配线架,构建灵活和可重用的长途传输网络,一般为基于DWDM技术的全光网。
接人层:在用户端支持多种业务的接入,提供各种宽窄带、移动或固定用户接人。
以软交换为核心的下一代网络采用IP分组网络承载,传统的IP网络是一个尽力传送和开放自由的网络。有些IP网络用户可以不经任何认证和鉴权就可以接人IP网络.IP网络用户也不需要进行任何业务认证与鉴权。IP网络的开放性是推动互联网发展的重要因素,但同时也带来了网络的安全隐患。NGN采用IP承载网络,如果在建设初期没有合理规划,将会存在更大的安全威胁。下一代网络存在一系列安全威胁。以下列出了一系NGN网络安全威胁:
1.终端设备安全威胁
软交换网络中存在大量的终端设备,包括IAD设备、SIP/H.323终端和PC软终端等。软交换网络接人灵活.任何可以接入IP网络的地点均可以接入终端。但是,这种特性在为用户带来方便的同时,也导致可能存在用户利用非法终端或设备访问网络,占用网络资源,非法使用业务和服务,同时,某些用户可能使用非法终端或设备向网络发起攻击,对网络的安全造成威胁。另外,由于接入与地点的无关性,使得安全威胁发生后.很难定位发起安全攻击的确切地点,无法追查责任人。
2.网络安全威胁
软交换网络采用IP分组网作为传输承载.而且软交换网络提供的业务大部分属于实时业务,对网络的安全可靠性要求更高。当网络由于病毒导致带宽大量被占用。访问速度很慢甚至无法访问时,软交换网络就无法为用户提供任何服务。
3.关键设备安全威胁
软交换网络中的关键设备包括:软交换设备、媒体网关、信令网关、应用服务器、媒体服务器等。由于下一代网络选择分组网络作为承载网络,并且各种信息主要采用IP分组的方式进行传输,IP协议的简单性和通用性为网络上对关键设备的各种攻击提供了便利的条件。
4.信息安全威胁
信息安全主要包括软交换与终端之间信令消息的安全、用户之间媒体信息的安全以及用户私有信息(包括用户名、密码等)的安全。由于软交换网络采用开放的IP网络传输信息,这样在网络上传输的数据就很容易被监听,如果软交换与终端之间的信令消息被监听.有可能导致终端用户私有信息的泄露,导致监听者可以利用监听到的信息伪造成合法用户接人网络:如果用户之间媒体信息被恶意监听,将导致用户私密信息的泄露。
针对NGN网络安全的威胁,可以有以下NGN网络安全解决方案。
1.防火墙隔离
软交换网络关键设备如软交换、应用服务器和网关等放置在IP网络上,相当于IP网络上的主机,存在着被攻击的危险,为保证关键设备的安全,需要在重要的网络设备前面放置防火墙以保证软交换核心网络设备的安全。
防火墙通常具有以下功能:①防火墙定义了单个的阻塞点,将未授权的用户隔离在被保护的网络之外,禁止潜在的易受攻击的服务进入或离开网络.并且对于不同类型的IP欺骗和选路攻击提供保护;②防火墙提供了监视与安全有关事件的场所,在防火墙系统中可以实现审计和告警;③防火墙可以实现网络地址转换以及审计和记录网络使用日志的网络管理功能。防火墙最重要的功能就是包过滤功能,包过滤应该做到按照IP报文的如下属性一源IP地址、目的IP地址、源端口、目的端口、传输层协议进行过滤;部分厂家的防火墙还可以做到基于报文内容的访问控制。即可以检查应用层协议信息并监控应用层协议状态。
2.信令媒体代理设备隔离
为保障软交换网络的安全.可以将软交换网络进行安全区域的划分,根据软交换网络中设备的安全需求以及软交换网络的安全区域,划分成内网区和外网区两个安全区域:①软交换网络内网区:由软交换、信令网关、应用服务器、媒体服务器、中继网关、大容量用户综合接入网关等设备组成的网络区域。该网络区域设备面向大量用户提供服务,安全等级要求高;②软交换网络外网区:由SIP终端、PC软终端、普通用IAD等终端设备组成的网络区域,该网络区域设备放置在用户侧,面向个人用户提供服务;③内网区和外网区的互通.通过信令媒体代理设备实现,信令媒体代理设备除进行外网区终端访问软交换和网关设备的信令、媒体转发之外,同时在安全方面应具有以下功能:①设备应能支持基于SIP、MGCP和H.248协议的应用层攻击防护;②设备应能对异常消息、异常流量等高风险行为进行识别并产生实时告警,供维护人员作进一步处理;③对于以下情况,设备应能进行识别并按照预定策略进行处理:一种情况应能根据用户注册状态进行消息的处理。对未注册用户发送的非注册消息进行丢弃处理:另一种情况设备应能对注册鉴权失败的用户终端建立监视列表,记录IP地址/端口和用户名,并能采取相应措施。
3.设备应具有防常见DoS攻击
近年来,随着VPN技术的成熟,在同一个物理网络上构建不同的VPN已经成为可能,可以采用MPLS、VLAN等VPN技术从分组数据物理网络中划分出一个独立逻辑网络作为NGN虚拟业务网络,把NGN从逻辑上与其他网络进行隔离,其他网络用户无法通过非法途径访问NGN网络.将可以避免来自其他网络特别是Intemet网络上用户对NGN网络的攻击与破坏。
4.数据加密
为了防止NGN中传送的信令和媒体信息被非法监听,可以采用目前互联网上通用的数据加密技术对信令流和媒体流进行加密。
对于IP网络上的信令传输,目前提出的主要安全机制是IPSec协议。在Megaco协议规范(RFC3015)中,指定Megaco协议的实现要采用IPSec协议保证媒体网关和软交换设备之间的通信安全。在不支持IPsec的环境下,使IBMegaco提供的鉴权头(AH)鉴权机制对IP分组实施鉴权。在Megaco协议中强调了如果支持IPSec就必须采用IPSec机制.并且指出IPSec的使用不会影响Megaco协议进行交互接续的性能。IPsec是IPv4协议上的一个应用协议,IPv6直接支持IPSec选项。
对于媒体流的传输.采用对RTP包进行加密,目前主要采用对称加密算法对RTP包进行加密。对于用户账号、密码等私有信息,目前采用的加密算法主要是MD5,用于用户身份的认证。
5.接入用户身份认证
软交换终端用户特别是智能终端、PC软终端、桌面IAD等接入NGN网络时必须经过严格的认证,确认用户的身份后才允许用户接入NGN网络。
用户接入认证时可以采用保密强度比较高的公开密钥体系来进行,以保证用户身份的可靠性。NGN系统认证确认用户身份接入NGN网络后,可以把用户标志、IP地址等信息进行绑定并记录到网络安全日志中。这样一旦用户的身份在接入时得到了确认,即使个别用户进行网络破坏也很容易通过网络的安全日志迅速定位和查处该用户。通过这种方式从根源上基本可以杜绝从用户端发起网络攻击而导致的网络安全问题。另外,可以强制软交换或终端网管设备对终端的IP地址、MAC地址与终端标志进行匹配,当终端标志正确,但是IP地址或MAC地址不正确时,也不予提供接入和服务。
6.访问控制
(1)设备管理控制台访问
控制台是设备提供的最基本的配置方式。控制台拥有对设备最高配置权限,对控制台访问方式的权限管理应拥有最严格的方式。包括:用户登录验证、控制台超时注销、控制台终端锁定。
(2)异步辅助端口的本地、远程拨号访问严格控制通过设备的其他异步辅助端口对设备进行本地、远程拨号的交互配置。缺省要求身份验证。
(3)严格控制Telnet访问用户、缺省要求身份验证,以及限制Telnet终端的IP地址,限制同时Telnet用户数目等。
NGN网络安全建议:
根据前面的论述。为了保证所构建的NGN网络的安全性,必须做到以下几点:①在网络关键设备前放置防火墙和信令媒体代理设备,防止对网络关键设备的攻击;②把NGN与Internet等其他网络进行隔离,保证除NGN设备和用户外其他用户无法通过非法途径访问NGN;③对用户与软交换交互的信令消息进行加密,确保无法被非法监听;④在接入层对用户接入和业务使进行严格控制.用户必须经过严格的鉴权和认证才可以接入NGN网络.用户的业务使用也必须经过严格的鉴权和认证。软交换、应用服务器和各种网关设备组成封闭的MPI_SVPN网络.对于内部大客户可以通过专线直接接人,其他非信任区域的终端用户只能通过信令媒体代理设备访问,同时采用IPSech0密交互的信令消息。软交换和信令媒体代理设备严格控制终端的接人,对终端标志、IP地址、MAC地址进行认证。