下一代網(wǎng)絡(luò)的安全技術(shù)
滕志猛 吳波 韋銀星 2007/10/17
隨著因特網(wǎng)應(yīng)用的快速增長����,網(wǎng)絡(luò)上的安全隱患不斷出現(xiàn)�����,非法竊取網(wǎng)絡(luò)資源��、非法使用網(wǎng)絡(luò)業(yè)務(wù)����、拒絕服務(wù)、蠕蟲病毒�����、木馬病毒����,甚至惡意攻擊與破壞等事件也層出不窮����。這些安全問題給網(wǎng)絡(luò)運(yùn)營商���、業(yè)務(wù)提供商和用戶造成了巨大的損失��,使人們深刻地認(rèn)識到基于IP技術(shù)的因特網(wǎng)應(yīng)用存在著嚴(yán)重的安全問題����。網(wǎng)絡(luò)的開放性和IP網(wǎng)絡(luò)固有的脆弱性�,使得攻擊者很容易利用網(wǎng)絡(luò)的弱點(diǎn)發(fā)起各種各樣的攻擊。特別是隨著下一代網(wǎng)絡(luò)(NGN)的興起���,Everything
over IP正在成為各種網(wǎng)絡(luò)技術(shù)發(fā)展的基礎(chǔ)����,國際標(biāo)準(zhǔn)組織國際電信聯(lián)盟電信標(biāo)準(zhǔn)化部門(ITU-T)�����、歐洲電信標(biāo)準(zhǔn)化組織(ETSI)等所研究的NGN�����,都是基于IP技術(shù)實(shí)現(xiàn)的��。因此����,盡管NGN技術(shù)還不成熟,但是其安全問題已經(jīng)受到高度重視[1-5]�,幾乎每個(gè)標(biāo)準(zhǔn)組織都有專門的安全研究組在開展研究工作,一些標(biāo)準(zhǔn)組織還在其制定的每個(gè)技術(shù)標(biāo)準(zhǔn)中���,都要求包含
“Security Consideration”章節(jié)�����。本文對NGN安全基礎(chǔ)[6-8]��、 NGN安全需求[2-9]�、安全體系架構(gòu)[10-14]����、安全機(jī)制[15-17]進(jìn)行了研究,為我國NGN的研究和部署提供有益的參考。
NGN的安全基礎(chǔ)
NGN基于IP技術(shù)��,采用業(yè)務(wù)層和傳送層相互分離�、應(yīng)用與業(yè)務(wù)控制相互分離、傳送控制與傳送相互分離的思想���,能夠支持現(xiàn)有的各種接入技術(shù)�,提供話音����、數(shù)據(jù)、視頻���、流媒體等業(yè)務(wù)��,并且支持現(xiàn)有移動網(wǎng)絡(luò)上的各種業(yè)務(wù)���,實(shí)現(xiàn)固定網(wǎng)絡(luò)和移動網(wǎng)絡(luò)的融合,此外還能夠根據(jù)用戶的需要��,保證用戶業(yè)務(wù)的服務(wù)質(zhì)量�����。NGN的網(wǎng)絡(luò)體系架構(gòu)如圖1所示,
包括應(yīng)用����、業(yè)務(wù)控制層、傳送控制層���、傳送層���、網(wǎng)絡(luò)管理系統(tǒng)、用戶網(wǎng)絡(luò)和其他網(wǎng)絡(luò)�。本文介紹的NGN安全技術(shù)是針對該體系架構(gòu)展開的。
ITU-T在X.805標(biāo)準(zhǔn)中�,全面地規(guī)定了信息網(wǎng)絡(luò)端到端安全服務(wù)體系的架構(gòu)模型。這一模型包括3層3面8個(gè)維度��,即應(yīng)用層����、業(yè)務(wù)層和傳送層,管理平面����、控制平面和用戶平面,認(rèn)證����、可用性、接入控制�����、不可抵賴�����、機(jī)密性�、數(shù)據(jù)完整性、私密性和通信安全,
如圖2所示��。
X.805模型各個(gè)層(或面)上的安全相互獨(dú)立��,可以防止一個(gè)層(或面)的安全被攻破而波及到其他層(或面)的安全�。這個(gè)模型從理論上建立了一個(gè)抽象的網(wǎng)絡(luò)安全模型,可以作為發(fā)展一個(gè)特定網(wǎng)絡(luò)安全體系架構(gòu)的依據(jù)�����,指導(dǎo)安全策略�����、安全事件處理和網(wǎng)絡(luò)安全體系架構(gòu)的綜合制定和安全評估。因此�,這個(gè)模型目前已經(jīng)成為開展信息網(wǎng)絡(luò)安全技術(shù)研究和應(yīng)用的基礎(chǔ)。
互聯(lián)網(wǎng)工程任務(wù)組(IETF)的安全域?qū)iT負(fù)責(zé)制定Internet安全方面的標(biāo)準(zhǔn)����,涉及的安全內(nèi)容十分廣泛并注重實(shí)際應(yīng)用�,例如IP安全(IPsec)、基于X.509的公鑰基礎(chǔ)設(shè)施(PKIX)等�。目前,IETF制定了大量的與安全相關(guān)的征求意見稿(RFC)���,其他標(biāo)準(zhǔn)組織或網(wǎng)絡(luò)架構(gòu)都已經(jīng)引用了這些成果�����。
本文提出的NGN安全體系架構(gòu)就是在應(yīng)用X.805安全體系架構(gòu)基礎(chǔ)上�����,結(jié)合NGN體系架構(gòu)和IETF相關(guān)的安全協(xié)議而提出來的�,如圖3所示���,這樣可以有效地指導(dǎo)NGN安全解決方案的實(shí)現(xiàn)��。
NGN的安全需求
網(wǎng)絡(luò)安全需求將用戶通信安全�、網(wǎng)絡(luò)運(yùn)營商與業(yè)務(wù)提供商運(yùn)營安全緊密地結(jié)合在一起。當(dāng)IP技術(shù)作為互聯(lián)網(wǎng)技術(shù)被應(yīng)用到電信網(wǎng)絡(luò)上取代電路交換之后���,來自網(wǎng)絡(luò)運(yùn)營商��、業(yè)務(wù)提供商和用戶的安全需求就顯得特別重要���。
為了給網(wǎng)絡(luò)運(yùn)營商、業(yè)務(wù)提供商和用戶提供一個(gè)安全可信的網(wǎng)絡(luò)環(huán)境��,防止各種攻擊��,NGN需要避免出現(xiàn)非授權(quán)用戶訪問網(wǎng)絡(luò)設(shè)備上的資源��、業(yè)務(wù)和用戶數(shù)據(jù)的情況����,需要限制網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的可見范圍,需要保證網(wǎng)絡(luò)上傳送的控制信息��、管理信息和用戶信息的私密性和完整性���,需要監(jiān)督網(wǎng)絡(luò)流量并對異常流量進(jìn)行管理和上報(bào)��。
在X.805標(biāo)準(zhǔn)的指導(dǎo)下�,通過對NGN網(wǎng)絡(luò)面臨的安全威脅和弱點(diǎn)進(jìn)行分析,NGN安全需求大致可以分為安全策略�����,認(rèn)證�����、授權(quán)����、訪問控制和審計(jì)�����,時(shí)間戳與時(shí)間源����,資源可用性,系統(tǒng)完整性��,操作����、管理���、維護(hù)和配置安全,身份和安全注冊����,通信和數(shù)據(jù)安全,隱私保證�,密鑰管理,
NAT/防火墻互連�,安全保證,安全機(jī)制增強(qiáng)等需求�����。
(1).安全策略需求
安全策略需求要求定義一套規(guī)則集��,包括系統(tǒng)的合法用戶和合法用戶的訪問權(quán)限�,說明保護(hù)何種信息、以及為什么進(jìn)行保護(hù)�����。在NGN環(huán)境下,存在著不同的用戶實(shí)體��、不同的設(shè)備商設(shè)備��、不同的網(wǎng)絡(luò)體系架構(gòu)�����、不同的威脅模型�����、不均衡的安全功能開發(fā)等����,沒有可實(shí)施的安全策略是很難保證有正確的安全功能的���。
(2).認(rèn)證�����、授權(quán)��、訪問控制和審計(jì)需求
在NGN不同安全域之間和同一安全域內(nèi)部�,對資源和業(yè)務(wù)的訪問必須進(jìn)行認(rèn)證授權(quán)服務(wù),只有通過認(rèn)證的實(shí)體才能使用被授權(quán)訪問實(shí)體上的特定資源和業(yè)務(wù)�����。通過這一方法確保只有合法用戶才可以訪問資源���、系統(tǒng)和業(yè)務(wù)���,防止入侵者對資源、系統(tǒng)和業(yè)務(wù)進(jìn)行非法訪問�����,并主動上報(bào)與安全相關(guān)的所有事件����,生成可管理的、具有訪問控制權(quán)限的安全事件審計(jì)材料���。
(3).時(shí)間戳與時(shí)間源需求
NGN能夠提供可信的時(shí)間源作為系統(tǒng)時(shí)鐘和審計(jì)時(shí)間戳�����,以便在處理未授權(quán)事件時(shí)能夠提供可信的時(shí)間憑證����。
(4).資源可用性需求
NGN能夠限制分配給某業(yè)務(wù)請求的重要資源的數(shù)量,丟棄不符合安全策略的數(shù)據(jù)包��,限制突發(fā)流量���,降低突發(fā)流量對其他業(yè)務(wù)的影響�,防止拒絕服務(wù)(DoS)攻擊����。
(5).系統(tǒng)完整性需求
NGN設(shè)備能夠基于安全策略,驗(yàn)證和審計(jì)其資源和系統(tǒng)��,并且監(jiān)控其設(shè)備配置與系統(tǒng)未經(jīng)授權(quán)而發(fā)生的改變����,防止蠕蟲�����、木馬等病毒的安裝�����。為此,設(shè)備需要根據(jù)安全策略�,定期掃描它的資源,發(fā)現(xiàn)問題時(shí)生成日志并產(chǎn)生告警�����。(對設(shè)備的監(jiān)控不能影響該設(shè)備上實(shí)時(shí)業(yè)務(wù)的時(shí)延變化或?qū)е逻B接中斷��。)
(6).操作�、管理、維護(hù)和配置安全需求
NGN需要支持對信任域����、脆弱信任域和非信任域設(shè)備的管理,需要保證操作���、管理����、維護(hù)和配置(OAMP)信息的安全�����,防止設(shè)備被非法接管��。
(7).身份和安全注冊需求
NGN需要防止用戶身份被竊取,防止網(wǎng)絡(luò)設(shè)備����、終端和用戶的偽裝、欺騙以及對資源�、系統(tǒng)和業(yè)務(wù)的非法訪問。
(8).通信和數(shù)據(jù)安全需求
NGN需要保證通信與數(shù)據(jù)的安全����,包括用戶面數(shù)據(jù)、控制面數(shù)據(jù)和管理面數(shù)據(jù)�。用戶和邏輯網(wǎng)元的接口以及不同運(yùn)營商之間的接口都需要進(jìn)行安全保護(hù),信令需要逐跳保證私密性和完整性�����。
(9).隱私保證需求
保護(hù)運(yùn)營商網(wǎng)絡(luò)�、業(yè)務(wù)提供商網(wǎng)絡(luò)的隱私性以及用戶信息的隱私性。
(10).密鑰管理需求
保證信任域與非信任域之間密鑰交換的安全��,密鑰管理機(jī)制需要支持網(wǎng)絡(luò)地址映射/網(wǎng)絡(luò)地址端口轉(zhuǎn)換(NAT/NAPT)設(shè)備的穿越��。
(11).NAT/防火墻互連需求
支持NGN中NAT/防火墻功能��。防火墻可以是應(yīng)用級網(wǎng)關(guān)(ALG)�、代理、包過濾�、NAT/NAPT等設(shè)備,或者上述的組合�����。
(12).安全保證需求
對NGN設(shè)備和系統(tǒng)進(jìn)行評估和認(rèn)證, 對網(wǎng)絡(luò)潛在的威脅和誤用在威脅��、脆弱性�、風(fēng)險(xiǎn)和評估(TVRA)中有所體現(xiàn)。
(13).安全機(jī)制增強(qiáng)需求
對加密算法的定義和選擇符合ES 202 238的指導(dǎo)[10]���。
(14).其他安全需求
安全管理和不可否認(rèn)性需求等還處于待研究的狀態(tài)���。
NGN安全體系架構(gòu)
NGN安全體系架構(gòu)是一個(gè)體系,本身很難用一個(gè)單一的標(biāo)準(zhǔn)來涵蓋�����,其設(shè)計(jì)需要滿足以下條件:
具有可擴(kuò)展性�����、實(shí)用性���;
基于成熟的安全機(jī)制和實(shí)現(xiàn)技術(shù)�;
能夠?qū)崿F(xiàn)應(yīng)用層、業(yè)務(wù)層和傳輸層的分離�����,不同層次上能夠采用不同的安全措施����;
安全措施的應(yīng)用不影響業(yè)務(wù)的服務(wù)質(zhì)量;
滿足網(wǎng)絡(luò)運(yùn)營商�����、業(yè)務(wù)提供商和用戶的安全需求�����;
能夠?qū)崿F(xiàn)互操作���。
NGN在網(wǎng)絡(luò)架構(gòu)中引入了多種商業(yè)模型��,例如��,接入網(wǎng)和骨干網(wǎng)可能屬于不同的運(yùn)營商���,有不同的安全策略,需要隔離不同層面的安全問題��。為此����,NGN按照邏輯方式和物理方式,對圖1中的網(wǎng)絡(luò)進(jìn)行了劃分�,形成了不同的安全域,每一安全域可以對應(yīng)著一種特定的安全策略�,運(yùn)營商通過實(shí)施各種安全策略對安全域里和安全域間的功能要素和活動進(jìn)行保護(hù)。
安全域可以分為信任域�����、脆弱信任域和非信任域����。對于某一特定的網(wǎng)絡(luò)運(yùn)營商,信任域是指不與用戶設(shè)備直接通信��、處于該運(yùn)營商完全控制之下的安全域�����,例如骨干網(wǎng);脆弱信任域是指屬于該網(wǎng)絡(luò)運(yùn)營商管理但不一定由該網(wǎng)絡(luò)運(yùn)營商控制�����、連接信任域和非信任域的安全域�����,例如接入網(wǎng)�����、邊界網(wǎng)關(guān)�;非信任域是指不屬于該運(yùn)營商管理的安全域,例如用戶網(wǎng)絡(luò)�、不被信任的其他運(yùn)營商網(wǎng)絡(luò)。在不同的安全域里���,安全威脅�、脆弱性�、風(fēng)險(xiǎn)是不同的,因此安全需求也就不一樣�,網(wǎng)絡(luò)運(yùn)營商和業(yè)務(wù)提供商需要分別制定安全策略,采用各種安全機(jī)制的組合,來保證其網(wǎng)絡(luò)和網(wǎng)絡(luò)之上端到端用戶業(yè)務(wù)的安全性�����。
根據(jù)NGN分層的思想(如圖1所示)�����,NGN安全體系架構(gòu)����,在水平方向上可以劃分為傳送層安全和業(yè)務(wù)層安全����。傳送層和業(yè)務(wù)層的安全體系架構(gòu)應(yīng)相對獨(dú)立,傳送層安全體系架構(gòu)主要是解決數(shù)據(jù)傳輸?shù)陌踩��,業(yè)務(wù)層安全體系架構(gòu)主要解決業(yè)務(wù)平臺的安全����。例如�����,電信和互聯(lián)網(wǎng)融合業(yè)務(wù)及高級網(wǎng)絡(luò)協(xié)議(TISPAN)規(guī)定,傳送層采用網(wǎng)絡(luò)附著子系統(tǒng)(NASS)憑證,
業(yè)務(wù)控制層采用IP多媒體子系統(tǒng)(IMS)認(rèn)證和密鑰協(xié)商(AKA)模式,應(yīng)用層采用基于通用用戶識別模塊(USIM)集成電路卡(UICC)的GBA
(GBA-U) 模式����。
NGN安全的系統(tǒng)架構(gòu)在垂直方向上可以劃分為接入網(wǎng)安全、骨干網(wǎng)安全和業(yè)務(wù)網(wǎng)安全����,從而使得原來網(wǎng)絡(luò)端到端安全變成了網(wǎng)絡(luò)逐段安全。在垂直方向上���,NGN可以被劃分成多個(gè)安全域���。
接入網(wǎng)通過接入控制部分對用戶的接入進(jìn)行控制,防止非授權(quán)用戶訪問傳送網(wǎng)絡(luò)���,并負(fù)責(zé)用戶終端IP地址的分配�;骨干網(wǎng)通過邊界網(wǎng)關(guān)對網(wǎng)絡(luò)互連進(jìn)行控制����,保證只有被授權(quán)的其他網(wǎng)絡(luò)上的用戶面��、控制面和管理面才能接入信任域�����;業(yè)務(wù)網(wǎng)通過業(yè)務(wù)控制部分和根據(jù)需要通過應(yīng)用與業(yè)務(wù)支持部分對用戶訪問業(yè)務(wù)進(jìn)行控制�����,防止非授權(quán)用戶訪問業(yè)務(wù)���,或授權(quán)用戶訪問非授權(quán)業(yè)務(wù)���。
安全域之間用安全網(wǎng)關(guān)(SEGF)互聯(lián)��,如圖4所示�����。在每個(gè)安全域里�,除了SEGF之外,可能還存在SEG證書權(quán)威(CA)和互聯(lián)CA�����。同一個(gè)安全域的SEGF采用IETF安全協(xié)議實(shí)現(xiàn)域內(nèi)端到端安全。
SEGF是安全域邊界實(shí)體��,是防范來自其他安全域攻擊的主要網(wǎng)元���。它通過將來自其他安全域的流量與信任域內(nèi)流量進(jìn)行隔離�����,要求其他安全域流量必須通過特定的SEGF才能進(jìn)入信任域���,在向信任域里轉(zhuǎn)發(fā)來自其他安全域的流量前,必須進(jìn)行驗(yàn)證����,以防止攔截、篡改����、拒絕式攻擊、地址和身份欺騙���、竊聽���、偽裝等安全事件在信任域里的出現(xiàn)���。例如,可以根據(jù)指定的安全策略���,在管理面和控制面上使用接入控制���,限制特定用戶接入或?qū)μ囟I(yè)務(wù)的訪問。SEGF需要實(shí)現(xiàn)設(shè)備級物理安全措施����、系統(tǒng)加固��、安全信令�����、OAMP
虛擬專網(wǎng)(VPN)等方式之外���,還需要采用防火墻��、入侵檢測���、內(nèi)容過濾�����、VPN接入�、VPN互連等功能�����。
SEGF提供的安全服務(wù)包括認(rèn)證�����、授權(quán)�����、私密性���、完整性�����、密鑰管理和策略實(shí)施等���。SEGF對于從信任域里發(fā)送來的請求���,可以采用信任方式,不需要再進(jìn)行驗(yàn)證�����。
安全機(jī)制
網(wǎng)絡(luò)安全機(jī)制����,就是在安全體系架構(gòu)下實(shí)現(xiàn)這些安全需求,防止未授權(quán)的信息采集與信息攔截�����、非法設(shè)備接管與控制���、資源與信息的破壞/刪除/修改/泄露�、業(yè)務(wù)中斷等安全問題的發(fā)生。
(1).身份識別����、認(rèn)證與授權(quán)機(jī)制
用戶訪問網(wǎng)絡(luò),需要向網(wǎng)絡(luò)和業(yè)務(wù)申明其身份�����,以便網(wǎng)絡(luò)和業(yè)務(wù)能夠識別其是否有權(quán)限訪問所申請的資源和業(yè)務(wù)�����。
目前用于身份識別的技術(shù)多種多樣���,如身份識別模塊(SIM)卡��、智能卡���、用戶名/口令、設(shè)備序列號�、電話號碼、標(biāo)識�����、令牌�、生物特征碼�����、數(shù)字證書�、消息認(rèn)證碼等��。
在NGN中����,存在著不同的接入方式、不同的網(wǎng)絡(luò)運(yùn)營商�、不同的業(yè)務(wù)提供商,為了使用戶能夠無縫透明地使用網(wǎng)絡(luò)業(yè)務(wù)�����,需要在用戶與各個(gè)網(wǎng)絡(luò)和業(yè)務(wù)之間建立一種信任關(guān)系���。為了對用戶進(jìn)行統(tǒng)一管理��,OPENID���、OASIS����、LIBERTY
ALLIANCE等標(biāo)準(zhǔn)組織在開展身份管理(IdM)的研究����,ITU-T目前也設(shè)置了專門的焦點(diǎn)組(FG)���,希望在未來能夠用統(tǒng)一的身份對各種NGN實(shí)體進(jìn)行管理����,如業(yè)務(wù)提供商��、網(wǎng)絡(luò)運(yùn)營商���、網(wǎng)元�����、用戶設(shè)備���、用戶等��。
此外����,當(dāng)非信任域?qū)嶓w需要訪問脆弱信任域?qū)嶓w或通過脆弱信任域?qū)嶓w訪問信任域?qū)嶓w時(shí)����,或者用戶終端需要訪問非信任域?qū)嶓w時(shí),甚至安全域內(nèi)部實(shí)體互相訪問時(shí)����,根據(jù)安全策略設(shè)置,可能需要進(jìn)行單向認(rèn)證或雙向認(rèn)證,也就是請求訪問的實(shí)體需要與管理被訪問實(shí)體的認(rèn)證者(Authenticator)之間交換憑證(Credentials)��,Authenticator根據(jù)收到的Credentials�����,采用預(yù)先約定的共享密鑰方式或X.509證書方式�,將資源請求或業(yè)務(wù)請求與發(fā)起請求的網(wǎng)絡(luò)設(shè)備、用戶設(shè)備和用戶關(guān)聯(lián)起來��,利用事先存儲的該網(wǎng)絡(luò)設(shè)備、用戶設(shè)備和用戶的Credentials�����,進(jìn)行身份認(rèn)證���。只有通過身份認(rèn)證的請求訪問實(shí)體,才能與被訪問實(shí)體進(jìn)行通信����。
同時(shí),根據(jù)安全策略的設(shè)置���,可能需要對該請求訪問實(shí)體的訪問權(quán)限進(jìn)行限定����,使得通過認(rèn)證的請求訪問實(shí)體只能根據(jù)授權(quán)使用被訪問實(shí)體上指定的資源和業(yè)務(wù)����。認(rèn)證與授權(quán)技術(shù)非常多,主要包括:
IETF PAP��、CHAP、EAP�、PANA、RADIUS��、DIAMETER�����、LDAP��、Kerberos��、3GPP AKA�����、GAA/GBA�����、IEEE
802.1x等����。
(2).傳送安全機(jī)制
在NGN體系架構(gòu)中,采用VPN技術(shù)保證信令信息和OAMP信息的安全�。四層VPN技術(shù)主要為傳輸層安全(TLS)���,三層VPN技術(shù)主要為IPsec��。其中,TLS是基于客戶端服務(wù)器模式實(shí)現(xiàn)���,在傳輸控制協(xié)議(TCP)或流控制傳輸協(xié)議(SCTP)上傳送�,可以用于各個(gè)安全域內(nèi)�,也可以用于不同的安全域之間,能夠保證傳送信息的私密性和完整性����;IPsec在IP層上傳送,通常用于信任域內(nèi)����、脆弱信任域內(nèi)和不同安全域之間,能夠在保證傳送信息私密性和完整性的同時(shí)防止重放攻擊��。IPsec有多種認(rèn)證算法�,在NGN中���,可能采用RFC
2403 HMAC-MD5-96和RFC 2404 HMAC-SHA-1-96中方法,對于其中的密鑰�����,可以采用互聯(lián)網(wǎng)密鑰交換(IKE)實(shí)現(xiàn)密鑰自動交換���。
通常情況下�����,NGN中不考慮媒體流的安全問題����。如果用戶要求對媒體流的安全進(jìn)行保護(hù)����,則可以采用安全實(shí)時(shí)傳輸協(xié)議(SRTP)或簡單認(rèn)證安全層(SASL)技術(shù),能夠提供認(rèn)證���、私密性和完整性保護(hù)����。
傳送安全機(jī)制中,為了避免出現(xiàn)重復(fù)加密����、影響網(wǎng)絡(luò)性能的現(xiàn)象,不同的技術(shù)不能同時(shí)使用����。
(3).訪問控制機(jī)制
訪問控制機(jī)制通常與身份識別、認(rèn)證與授權(quán)機(jī)制結(jié)合在一起�,能夠有效地防止非授權(quán)用戶或設(shè)備使用網(wǎng)絡(luò)資源����、系統(tǒng)�、信息和業(yè)務(wù),以及授權(quán)用戶或設(shè)備非法訪問未授權(quán)的網(wǎng)絡(luò)資源�、系統(tǒng)�����、信息和業(yè)務(wù)��。
(4).審計(jì)與監(jiān)控機(jī)制
NGN設(shè)備需要對其上發(fā)生的所有事件,根據(jù)安全策略的要求,記錄安全日志��,并能夠由簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)通過IPsec將日志信息發(fā)送到指定的服務(wù)器上,以便能夠評價(jià)系統(tǒng)的安全性和分析系統(tǒng)出現(xiàn)的安全問題�。NGN設(shè)備需要支持日常維護(hù)和安全補(bǔ)丁檢測與自動安裝功能,支持系統(tǒng)自動恢復(fù)和回滾功能�。NGN設(shè)備上需要安裝完整性驗(yàn)證代理,當(dāng)發(fā)現(xiàn)問題時(shí)�����,需要上報(bào)。NGN可能需要通過OAMP對用戶駐地設(shè)備-邊界元素(CPE-BE)進(jìn)行管理�,此時(shí)CPE-BE需要具有同樣功能,且信息傳送需要通過VPN技術(shù)實(shí)現(xiàn)�。
NGN網(wǎng)絡(luò)可能需要為非信任域的用戶駐地設(shè)備(CPE)提供配置機(jī)制。在CPE啟動階段��,CPE通過位于脆弱信任域中的設(shè)備配置與啟動-邊界元素(DCB-BE)進(jìn)行認(rèn)證���,建立傳送安全通道,與位于信任域中的CPE配置單元建立聯(lián)系�����,獲取配置文件�。
(5).密鑰交換與管理機(jī)制
密鑰生成、存儲和交換方式的安全性和證書格式��、證書驗(yàn)證方式是信息網(wǎng)絡(luò)安全性研究的核心內(nèi)容之一�����,NGN支持采用預(yù)共享密鑰或公私密鑰對進(jìn)行加密兩種加密方式,支持現(xiàn)有的各種密鑰交換與管理機(jī)制����,主要包括:IETF
PKIX、IKEv2����、D-H交換、Mikey�、ITU X.509、X.akm�、手工配置等方式。
(6).OAMP機(jī)制
NGN具有獨(dú)立的OAMP IP地址塊���,每個(gè)設(shè)備上有物理接口或邏輯接口����,在該地址塊內(nèi)分配IP地址,用于OAMP接口�。因此,NGN設(shè)備將在OAMP接口上直接丟棄從其他IP地址來的OAMP流量����,而且將在其他接口上直接丟棄OAMP流量。訪問NGN設(shè)備上的OAMP接口�,需要通過認(rèn)證;當(dāng)通過認(rèn)證的用戶訪問時(shí)��,系統(tǒng)將提供日志功能和回滾功能�����。另外�����,如果OAMP流量通過非信任區(qū)�����,則需要采用安全措施。
(7).系統(tǒng)管理機(jī)制
為了規(guī)避安全問題����,減少網(wǎng)絡(luò)安全漏洞���,NGN上只有得到應(yīng)用的設(shè)備才能存在于網(wǎng)絡(luò)上;設(shè)備上沒有使用的端口必須關(guān)閉掉�;設(shè)備上的操作系統(tǒng)必須配置好安全措施,并及時(shí)地進(jìn)行加固����,一旦設(shè)備供應(yīng)商提供了安全補(bǔ)丁,在經(jīng)過網(wǎng)絡(luò)運(yùn)營商或業(yè)務(wù)提供商許可后�,需要立即安裝;設(shè)備上需要配置物理的或邏輯的接入控制措施�����;設(shè)備上應(yīng)用軟件與系統(tǒng)軟件相比具有更低的優(yōu)先級�;網(wǎng)絡(luò)管理系統(tǒng)與被管理實(shí)體之間的信息傳送需要采用VPN技術(shù)實(shí)現(xiàn)。
(8).其他機(jī)制
NGN中�����,一方面采用了現(xiàn)有的多種安全機(jī)制�����,來滿足安全需求,例如��,采用加密方法實(shí)現(xiàn)隱私保證��、通信和數(shù)據(jù)安全等��;另一方面���,一些安全機(jī)制還有待研究�����,例如NAT/防火墻穿越安全機(jī)制�����。
結(jié)束語
當(dāng)今����,隨著網(wǎng)絡(luò)應(yīng)用的普及,財(cái)富日益集中在網(wǎng)絡(luò)上�����,幾乎每一個(gè)人都在關(guān)注信息網(wǎng)絡(luò)中的安全問題�����。越是有錢的消費(fèi)者�,對安全越重視;越是高端的運(yùn)營商���,也就越重視安全�。為了滿足社會日益增長的網(wǎng)絡(luò)安全需求��,中興通訊公司在TCP/IP協(xié)議棧平臺基礎(chǔ)上���,進(jìn)一步開發(fā)了終端安全模塊��、業(yè)務(wù)系統(tǒng)安全模塊����、網(wǎng)管系統(tǒng)安全模塊�、無線網(wǎng)絡(luò)安全模塊、有線網(wǎng)絡(luò)安全模塊等����,為中興通訊公司全系列通信產(chǎn)品提供統(tǒng)一的安全解決方案���,覆蓋ITU-T
X.805 3層3面8個(gè)維度,包括現(xiàn)有各種安全技術(shù)��,具有很強(qiáng)的靈活性和可擴(kuò)展性��,能夠經(jīng)濟(jì)地�����、有效地保護(hù)政府部門�����、網(wǎng)絡(luò)運(yùn)營商�����、業(yè)務(wù)提供商和用戶對現(xiàn)有網(wǎng)絡(luò)使用的合法權(quán)益�。
網(wǎng)絡(luò)安全是一個(gè)相對的概念,絕對的網(wǎng)絡(luò)安全是不存在的�。隨著NGN技術(shù)和Everything over IP的發(fā)展,網(wǎng)絡(luò)安全的需求將變得更加迫切�。
本文提出的NGN各種安全技術(shù),能夠很容易地被中興通訊公司統(tǒng)一安全解決方案平滑地支持����,能夠滿足不同應(yīng)用環(huán)境下網(wǎng)絡(luò)運(yùn)營商�����、業(yè)務(wù)提供商和用戶多樣化的安全需求,在保證實(shí)現(xiàn)NGN上資源���、系統(tǒng)和用戶信息安全的同時(shí)滿足政府部門對于合法監(jiān)聽的需求���,為網(wǎng)絡(luò)運(yùn)營商和業(yè)務(wù)提供商開展差異化競爭提供了重要的手段。
參考文獻(xiàn)
[1]ISO/IEC13335.Information technology—Guidelines for the management
of IT security[S]. 2004.
[2]ETSITS187 001. Telecommunications and Internet converged services
and protocols for advanced networking (TISPAN); NGN SECurity (SEC); Requirements[S].
[3]ETSITR187 002. Telecommunications and Internet converged services
and protocols for advanced networking (TISPAN); TISPAN NGN security (NGN_SEC);
Threat and risk analysis[S].
[4]ITU-TTD322(WP2/13). Draft Y.NGN certificate management[S].
[5]ITU-TTD312(WP2/13). Proposed texts for draft Y.IdMsec (NGN identity
management security)[S].
[6]ITU-TTDTD 199 (WP 2/13). Draft Recommendation Y.2012 (formally Y.NGN-FRA)
[Draft Version 0.8][S].
[7]ETSIES282 003. Telecommunications and Internet converged services
and protocols for advanced networking (TISPAN); Resource and admission
control sub system (RACS); Functional architecture[S].
[8]ITU-TX.805.Security architecture for systems providing end to end
communications[S].
[9]ITU-TTD256 (PLEN). Output of draft recommendation Y.2701 (Security
requirements for NGN Release 1)[S].
[10]ETSIES202 238. Telecommunications and Internet protocol harmonization
over networks (TIPHON); Evaluation criteria for cryptographic algorithms
(NGN Release 1) for decision [S].
[11]ETSIES282 001. Telecommunications and Internet converged services
and protocols for advanced networking (TISPAN); NGN functional architecture
release 1 [S].
[12]ETSIES282 004. Telecommunications and Internet converged services
and protocols for advanced networking (TISPAN); NGN functional architecture;
Network attachment sub system (NASS)[S].
[13]ETSITS133 210. Digital cellular telecommunications system (Phase
2+); Universal mobile telecommunications system (UMTS); 3G security; Network
domain security (NDS); IP network layer security (3GPP TS 33.210)[S].
[14]ETSITS133 222. Universal mobile telecommunications system (UMTS);
Generic authentication architecture (GAA); Access to network application
functions using hypertext transfer protocol over transport layer security
(HTTPS) (3GPP TS 33.222)[S].
[15]ITU-TTD328(WP2/13). Draft recommendation Y.secMechanisms (NGN security
mechanisms and procedures) [S].
[16]ITU-TTD323(WP2/13). Output Draft Y.NGN Authentication[S].
[17]ITU-TTD324(WP2/13). The Second Version of Y.NGN AAA [S].
作者簡介:
滕志猛����,博士,畢業(yè)于東南大學(xué)���。曾工作于南京大學(xué)博士后流動站和江蘇省多媒體通信局���,現(xiàn)工作于中興通訊股份有限公司。曾負(fù)責(zé)數(shù)據(jù)通信產(chǎn)品和移動通信產(chǎn)品的研發(fā)��,現(xiàn)負(fù)責(zé)中心研究院數(shù)據(jù)分中心的產(chǎn)品預(yù)研�,長期從事網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)���、網(wǎng)絡(luò)服務(wù)質(zhì)量保證、網(wǎng)絡(luò)安全技術(shù)和業(yè)務(wù)實(shí)現(xiàn)技術(shù)的研究��。吳波���,西安電子科技大學(xué)碩士畢業(yè)���,F(xiàn)任中興通訊股份有限公司中心研究院數(shù)據(jù)分中心系統(tǒng)工程師,曾從事IP產(chǎn)品和平臺的開發(fā)����,現(xiàn)主要從事下一代網(wǎng)絡(luò)技術(shù)預(yù)研。韋銀星�,博士,畢業(yè)于上海交通大學(xué)�,F(xiàn)任中興通訊股份有限公司中心研究院數(shù)據(jù)分中心系統(tǒng)工程師,曾參加3G平臺產(chǎn)品的研發(fā)����,現(xiàn)主要研究領(lǐng)域?yàn)橄乱淮W(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)安全技術(shù)�����。已發(fā)表論文10余篇。
通信世界網(wǎng)(www.cww.net.cn)
相關(guān)鏈接: