NGN 對承載網(wǎng)的安全要求
2004/05/20
編者按:下一代網(wǎng)絡(NGN)的業(yè)務質(zhì)量直接受到承載網(wǎng)安全因素的影響�����,為了順利部署NGN業(yè)務�����,必須對承載網(wǎng)安全提出具體的要求�。
NGN的信令��、控制和媒體流主要封裝在IP數(shù)據(jù)報文中�����,利用IP網(wǎng)絡來承載NGN的多媒體信息流�,因此NGN業(yè)務的質(zhì)量直接受到IP網(wǎng)絡的影響,在目前的IP網(wǎng)絡條件下����,甚至是影響到NGN試驗和運營成功的關(guān)鍵���。安全性問題是IP網(wǎng)絡影響NGN成功的關(guān)鍵因素之一�����。
NGN沒有部署安全措施�,如直接部署于IP公網(wǎng)上��,可能會出現(xiàn)以下的問題����。
運營商業(yè)務的安全問題��,主要包括以下方面:業(yè)務盜用���,未經(jīng)授權(quán)使用NGN業(yè)務�,如通過H.323協(xié)議用戶終端可直接連通被叫網(wǎng)關(guān)���,導致運營商收入流失����;帶寬盜用�����,利用NGN設(shè)備端口連接用戶私有的數(shù)據(jù)網(wǎng)絡,造成運營商數(shù)據(jù)業(yè)務收入流失并影響NGN業(yè)務質(zhì)量�����;DoS攻擊����,通過網(wǎng)絡層或應用層的大流量攻擊��,使NGN設(shè)備無法響應正常用戶的業(yè)務請求或降低業(yè)務的品質(zhì)�。
運營商設(shè)備的安全問題,主要包括以下方面:破壞設(shè)備程序及數(shù)據(jù)�,通過NGN設(shè)備遠程加載或數(shù)據(jù)配置流程的漏洞破壞設(shè)備,通常采用的TFTP���、FTP、SNMP等標準協(xié)議均存在安全漏洞�����;病毒攻擊����,通過病毒入侵的方式破壞NGN設(shè)備��,或者用戶被病毒感染的計算機自動攻擊NGN設(shè)備���,造成業(yè)務的中斷或者劣化���;黑客攻擊,通過非常規(guī)的技術(shù)手段獲得NGN設(shè)備的控制權(quán)���,病毒�、黑客兩種安全威脅一般針對采用通用操作系統(tǒng)的設(shè)備����,如各類服務器。
用戶業(yè)務的安全問題�����,主要包括以下方面:用戶仿冒����、盜用其他用戶的賬號及權(quán)限使用業(yè)務;非法監(jiān)聽其他用戶呼叫的主被叫信息或媒體流內(nèi)容。
就NGN安全技術(shù)框架而言���,我們可以將NGN網(wǎng)絡劃分為信任區(qū)�、非信任區(qū)�����、半信任區(qū)(DMZ)����、網(wǎng)管/計費/維護網(wǎng)四個區(qū)域���。NGN網(wǎng)絡部件根據(jù)網(wǎng)絡位置及設(shè)備功能連接到對應的區(qū)域中�,跨區(qū)的網(wǎng)絡部件通過特定的物理接口受控接入網(wǎng)絡區(qū)域�����。信任區(qū)為承載網(wǎng)中專用于NGN業(yè)務的隔離區(qū)域����,是一個管理良好���、安全得到保證的區(qū)域��。放置在安全區(qū)的設(shè)備包括NGN網(wǎng)絡核心部件�,如軟交換、接入網(wǎng)關(guān)��、中繼網(wǎng)關(guān)���、信令網(wǎng)關(guān)、帶內(nèi)網(wǎng)管設(shè)備����、媒體資源設(shè)備�����、智能網(wǎng)設(shè)備等�;機架式IAD設(shè)備部署在管理良好的機房中也可以納入信任區(qū)。非信任區(qū)是運營商無法管理�����、安全不能受控的區(qū)域�����,包括Internet、社區(qū)網(wǎng)等IP公網(wǎng)和校園網(wǎng)�����、企業(yè)網(wǎng)等���。某些運營商部署在用戶端的設(shè)備�,如桌面式IAD�、智能軟終端�、智能硬終端都納入非信任區(qū)。半信任區(qū)(DMZ)類似Web網(wǎng)站�����,是處于信任區(qū)和非信任區(qū)之間的一個區(qū)域�。其中的應用服務器需要與數(shù)據(jù)網(wǎng)絡接口,歸屬這個區(qū)域����。網(wǎng)管/計費/維護網(wǎng)是運營商為了網(wǎng)絡運營支持而部署的專網(wǎng),計費設(shè)備���、帶外網(wǎng)管設(shè)備以及操作維護終端等都應部署在這個區(qū)域����。
保證NGN安全的承載網(wǎng)組網(wǎng)要求主要有以下方面�����。首先��,NGN核心部件��,如軟交換����、接入網(wǎng)關(guān)���、中繼網(wǎng)關(guān)�����、信令網(wǎng)關(guān)����、帶內(nèi)網(wǎng)管設(shè)備�、媒體資源設(shè)備、智能網(wǎng)設(shè)備等設(shè)備部署于一個安全區(qū)中�,就組成了NGN核心網(wǎng),我們建議采用以下方案實施:在IP網(wǎng)上利用MPLS技術(shù)部署一個VPN�����,該VPN是一個獨立的邏輯網(wǎng)��;采用專線技術(shù)為NGN核心部件部署一個獨立的IP網(wǎng)�,該網(wǎng)不跟公網(wǎng)直接互通;通過IP電信網(wǎng)技術(shù)部署一個可以支持IP資源管理的獨立邏輯網(wǎng)�。其次,NGN核心網(wǎng)的延伸����,可以利用各種的接入技術(shù)延伸NGN業(yè)務覆蓋的范圍,要求接入網(wǎng)在鏈路層實現(xiàn)用戶隔離���。我們可以采用的技術(shù)有VLAN、ATM技術(shù)和PPPoE接入等�����。第三,應通過應用服務器接口設(shè)備(ParlayGateway)與應用服務器互通�����。第四�����,對于Internet用戶����、小區(qū)和校園網(wǎng)用戶、企業(yè)用戶����,應通過業(yè)務代理設(shè)備(IP-IPGateway)接入。
中國信息產(chǎn)業(yè)網(wǎng)(www.cnii.com.cn)
相關(guān)鏈接: