首頁(yè)>>>技術(shù)>>>NGN

NGN分層網(wǎng)絡(luò)安全方案

2008/04/23

  摘要  下一代網(wǎng)絡(luò)(NGN)是近幾年出現(xiàn)的電信新技術(shù),是電信史上的一塊里程碑,它是綜合、開(kāi)放的網(wǎng)絡(luò)構(gòu)架,提供話音、數(shù)據(jù)和多媒體等業(yè)務(wù)。NGN是電信級(jí)網(wǎng)絡(luò),電信級(jí)網(wǎng)絡(luò)最大的特點(diǎn)就是安全、可靠和高可用性。如何確保網(wǎng)絡(luò)安全性是電信設(shè)備必須考慮的重要因素。文章通過(guò)下一代網(wǎng)絡(luò)的四個(gè)層次,介紹各層次安全技術(shù)的研究和措施的實(shí)施,研究可行有效的安全機(jī)制,指出構(gòu)筑NGN安全可靠性的安全防御框架。

0、引言

  基于軟交換技術(shù)的下一代網(wǎng)絡(luò)(NGN)是業(yè)務(wù)驅(qū)動(dòng)的網(wǎng)絡(luò),通過(guò)呼叫控制、媒體交換及承載的分離,實(shí)現(xiàn)了開(kāi)放的分層架構(gòu)。軟交換網(wǎng)絡(luò)分為接入層、承載層、控制層和業(yè)務(wù)層四大層次。接入層負(fù)責(zé)在用戶端支持多種業(yè)務(wù)的接入,接入設(shè)備應(yīng)能向上連接到高速傳輸線路,向下支持多種業(yè)務(wù)的接口。承載層負(fù)責(zé)建立和管理承載連接,并對(duì)這些連接進(jìn)行交換和路由分配,用以響應(yīng)控制層的控制命令?刂茖又饕婕败浗粨Q相關(guān)的功能,完成業(yè)務(wù)邏輯的具體執(zhí)行,其中包含呼叫智能和路由等操作?刂茖邮荖GN的核心,決定用戶收到的業(yè)務(wù),并能控制低層網(wǎng)絡(luò)元素對(duì)業(yè)務(wù)流的處理。網(wǎng)絡(luò)業(yè)務(wù)層主要負(fù)責(zé)業(yè)務(wù)邏輯的相關(guān)處理,如業(yè)務(wù)生成、業(yè)務(wù)邏輯定義和業(yè)務(wù)編程接口等。各層次網(wǎng)絡(luò)單元通過(guò)標(biāo)準(zhǔn)協(xié)議互通,可以各自獨(dú)立演進(jìn),以適應(yīng)未來(lái)技術(shù)的發(fā)展。

  NGN是在當(dāng)今電信網(wǎng)絡(luò)基礎(chǔ)上演變、融合而來(lái)的,理想的NGN可以實(shí)現(xiàn)各種網(wǎng)絡(luò)的互通,用戶可以在任何時(shí)間、任何地點(diǎn)、以多種方式享受網(wǎng)絡(luò)提供的各種服務(wù)。在不久的將來(lái),用戶可以在電話機(jī)上與朋友“面對(duì)面”地視頻聊天;用很少的話費(fèi)與異國(guó)的朋友盡情交談。但事物都具有兩面性,NGN為我們帶來(lái)便利的同時(shí),也帶來(lái)了更加嚴(yán)峻的安全問(wèn)題。

  面臨諸多的安全問(wèn)題,筆者認(rèn)為在NGN發(fā)展演進(jìn)過(guò)程中,要積極進(jìn)行各層次安全技術(shù)的研究和措施的實(shí)施,研究可行有效的安全機(jī)制和安全防御框架。

1、接入層用戶的安全管理

  根據(jù)安全需求的不同,可將軟交換網(wǎng)絡(luò)分為內(nèi)網(wǎng)區(qū)、隔離區(qū)和外網(wǎng)區(qū)等不同的安全區(qū)域。外網(wǎng)區(qū)是由會(huì)話啟動(dòng)協(xié)議(SIP)終端和普通用戶綜合接入設(shè)備(IAD)等終端設(shè)備組成的網(wǎng)絡(luò)區(qū)域,該網(wǎng)絡(luò)區(qū)域設(shè)備放置在用戶側(cè),為個(gè)人用戶提供服務(wù)。內(nèi)網(wǎng)區(qū)是由軟交換、信令網(wǎng)關(guān)、應(yīng)用服務(wù)器、媒體服務(wù)器、中繼網(wǎng)關(guān)和大容量用戶綜合接入網(wǎng)關(guān)等設(shè)備組成的網(wǎng)絡(luò)區(qū)域。隔離區(qū)是由軟交換用戶下載服務(wù)器、應(yīng)用門(mén)戶服務(wù)器和域名系統(tǒng)(DNS)等設(shè)備組成的網(wǎng)絡(luò)區(qū)域。

  對(duì)接入層用戶應(yīng)部署以下安全訪問(wèn)策略:a)根據(jù)網(wǎng)絡(luò)安全的最小化服務(wù)原則,隔離區(qū)對(duì)外網(wǎng)區(qū)只開(kāi)放必需的服務(wù)端口,其他不需要的端口一律用防火墻屏蔽。b)外網(wǎng)區(qū)終端允許使用SIP、媒體網(wǎng)關(guān)控制協(xié)議(MGCP)或H.248協(xié)議,通過(guò)邊緣接入控制設(shè)備作為代理訪問(wèn)內(nèi)網(wǎng)區(qū),再通過(guò)用戶和業(yè)務(wù)認(rèn)證后,允許實(shí)時(shí)傳送協(xié)議/RTP控制協(xié)議(RTP/RTCP)數(shù)據(jù)包通過(guò)邊緣接入控制設(shè)備作為代理進(jìn)入內(nèi)網(wǎng)區(qū)。c)外網(wǎng)區(qū)終端不能使用除SIP、MGCP和H.248之外的協(xié)議直接訪問(wèn)內(nèi)部網(wǎng)絡(luò),對(duì)內(nèi)部網(wǎng)絡(luò)設(shè)備的訪問(wèn)必須通過(guò)隔離區(qū)設(shè)備代理進(jìn)行。d)外網(wǎng)區(qū)終端獲得允許后可以使用隔離區(qū)服務(wù)器提供的服務(wù)。

  設(shè)置接入安全防線,接入設(shè)備/用戶接入需要經(jīng)過(guò)身份認(rèn)證才可接入軟交換網(wǎng)絡(luò),同時(shí)在這個(gè)點(diǎn)設(shè)置用戶的業(yè)務(wù)權(quán)限,這條防線可以避免非法用戶進(jìn)入軟交換網(wǎng)絡(luò)。同時(shí),用戶的身份得到確認(rèn)可以方便進(jìn)行事后審計(jì)和追蹤,有效防止用戶側(cè)的網(wǎng)絡(luò)攻擊行為。接入層安全問(wèn)題主要涉及接入側(cè)設(shè)備及用戶信息的安全。這些通常通過(guò)認(rèn)證、鑒權(quán)機(jī)制和隔離機(jī)制來(lái)保證。

  保證用戶信息安全,在接入層仍要對(duì)通信流量進(jìn)行隔離,這里包括軟交換業(yè)務(wù)用戶與其他業(yè)務(wù)用戶(如普通數(shù)據(jù)業(yè)務(wù)用戶)之間的隔離以及兩個(gè)軟交換用戶之間的隔離。采用虛擬局域網(wǎng)(VLAN)在第二層實(shí)現(xiàn)隔離,能有效杜絕廣播包的攻擊和用戶信息的泄露。另外通過(guò)訪問(wèn)控制列表(ACL)可在第三層上進(jìn)行軟交換終端用戶之間的受控互訪或軟交換終端用戶對(duì)軟交換其他設(shè)備的互訪。進(jìn)一步通過(guò)IP+VLAN+MAC綁定,可以限制每個(gè)VLAN接入的用戶數(shù)目,保護(hù)網(wǎng)上關(guān)鍵資源,并有效防止用戶地址盜用和用戶仿冒的發(fā)生。

  軟交換網(wǎng)絡(luò)需要對(duì)接入到控制層的接入設(shè)備進(jìn)行認(rèn)證,以保證接入設(shè)備的合法性。以IAD為例,當(dāng)不可信任的IAD向軟交換進(jìn)行注冊(cè)時(shí),應(yīng)攜帶用于該設(shè)備進(jìn)行認(rèn)證的設(shè)備信息(如設(shè)備的標(biāo)識(shí)、MAC地址或預(yù)先獲得的鑒權(quán)密鑰等),并且可以對(duì)這些信息加密傳送。軟交換根據(jù)注冊(cè)消息中所包含的信息對(duì)IAD進(jìn)行認(rèn)證,認(rèn)證通過(guò)后,激活相應(yīng)的業(yè)務(wù)端口,用戶獲得使用業(yè)務(wù)的權(quán)限。

2、承載網(wǎng)的安全

  承載網(wǎng)安全直接影響NGN的業(yè)務(wù)質(zhì)量。 NGN承載網(wǎng)采用IP技術(shù),其開(kāi)放性特點(diǎn)非常適合網(wǎng)絡(luò)業(yè)務(wù)的發(fā)展,但I(xiàn)P協(xié)議的開(kāi)放性和公用性也使NGN不可避免地受到黑客或病毒程序的攻擊或干擾。

  隨著NGN、3G、虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)等新業(yè)務(wù)的不斷涌現(xiàn),用戶數(shù)量的不斷增加,原Internet業(yè)務(wù)接入平面的IP承載網(wǎng)已無(wú)法滿足要求。a)原有設(shè)備容量不足,無(wú)法滿足快速增長(zhǎng)的用戶對(duì)寬帶的需求和未來(lái)良好的擴(kuò)展。b)原有網(wǎng)絡(luò)在多協(xié)議標(biāo)簽交換(MPLS)VPN、高可靠性、QoS、組播、IPv6等諸多方面能力不足,無(wú)法承載電信級(jí)的新業(yè)務(wù)。

  近幾年,多業(yè)務(wù)IP承載網(wǎng)進(jìn)入高速發(fā)展的黃金時(shí)期,MPLS技術(shù)與傳統(tǒng)的IP分組技術(shù)結(jié)合,引入了基于MPLS的流量工程(MPLS TE)技術(shù),使傳統(tǒng)的IP分組網(wǎng)具備了電信級(jí)的可管理性,同時(shí)業(yè)務(wù)的承載方式也更加靈活,包括IP報(bào)文、MPLS,甚至可以對(duì)跨越不同自治系統(tǒng)(AS)的業(yè)務(wù)提供統(tǒng)一的端到端承載。傳統(tǒng)的MPLS將面向非連接的IP業(yè)務(wù)移植到面向連接的標(biāo)記交換業(yè)務(wù)之上,實(shí)現(xiàn)時(shí)將路由選擇層面與數(shù)據(jù)轉(zhuǎn)發(fā)層面分離。MPLS網(wǎng)絡(luò)中,在入口標(biāo)簽交換路由器(LSR)處,分組按照不同轉(zhuǎn)發(fā)要求劃分成不同轉(zhuǎn)發(fā)等價(jià)類(lèi)前向糾錯(cuò)(FEC),并將每個(gè)特定FEC映射到下一跳。每一特定FEC都被編碼為一個(gè)短而定長(zhǎng)的值,稱為標(biāo)記,標(biāo)記加在分組前成為標(biāo)記分組,再轉(zhuǎn)發(fā)到下一跳。在后續(xù)的每一跳上,不再需要分析分組頭,而是用標(biāo)記作為指針,指向下一跳的輸出端口和一個(gè)新的標(biāo)記,標(biāo)記分組用新標(biāo)記替代舊標(biāo)記后經(jīng)指定的輸出端口轉(zhuǎn)發(fā)。在出口LSR上,去除標(biāo)記,使用IP路由機(jī)制將分組向目的地轉(zhuǎn)發(fā)。MPLS-TE是在MPLS網(wǎng)絡(luò)上的流量工程,是指為業(yè)務(wù)流選擇路徑的處理過(guò)程,以在網(wǎng)絡(luò)中不同的鏈路、路由器和交換機(jī)之間均衡業(yè)務(wù)流負(fù)載。

  多業(yè)務(wù)IP承載網(wǎng)分為接入層、匯聚層、核心層,通過(guò)在不同層實(shí)施局部的可靠性策略,可以分段保證網(wǎng)絡(luò)的可靠性。相對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備的可靠性,這一擴(kuò)展技術(shù)可以在無(wú)需大幅度提高對(duì)網(wǎng)絡(luò)設(shè)備要求的情況下,顯著提高業(yè)務(wù)的可靠性。在接入層,推薦采用冗余備份或負(fù)載分擔(dān)接入策略,將業(yè)務(wù)系統(tǒng)設(shè)備(如媒體網(wǎng)關(guān)、CE設(shè)備)雙歸接入到兩臺(tái)PE設(shè)備上。在匯聚層和核心層,推薦采用雙節(jié)點(diǎn)冗余備份策略,當(dāng)某節(jié)點(diǎn)發(fā)生故障時(shí),備份節(jié)點(diǎn)可以保證業(yè)務(wù)不間斷轉(zhuǎn)發(fā)。對(duì)于核心層的鏈路連接,采用POS接口進(jìn)行Full Mesh連接。POS接口具有類(lèi)似同步數(shù)字體系(SDH)的快速故障檢測(cè)機(jī)制,而Full Mesh連接方式可以保證任何單鏈路發(fā)生故障時(shí),由于流量迂回而增加的網(wǎng)絡(luò)跳數(shù)不超過(guò)一跳。

  網(wǎng)絡(luò)設(shè)備是組成多業(yè)務(wù)IP承載網(wǎng)的基本節(jié)點(diǎn),其可靠性是整網(wǎng)可靠性的基礎(chǔ)。主流網(wǎng)絡(luò)設(shè)備的關(guān)鍵部件包括主控單元、交換單元、電源、制冷系統(tǒng)等,大多采用熱備份冗余設(shè)計(jì),這是保證電信級(jí)IP承載網(wǎng)可靠性的最基本要求。接口、線路卡的快速故障感知和倒換功能同樣非常重要。由于傳統(tǒng)的Ethernet接口承載的純數(shù)據(jù)業(yè)務(wù)對(duì)時(shí)延不敏感,因此普遍未采用特別的故障檢測(cè)技術(shù),接口故障的探測(cè)時(shí)間在1s級(jí)別,這顯然無(wú)法滿足VoIP等實(shí)時(shí)電信業(yè)務(wù)的要求。于是,業(yè)界紛紛推出雙向偵測(cè)協(xié)議(BFD)、運(yùn)行維護(hù)和管理(OAM)等快速檢測(cè)機(jī)制,通過(guò)與線路卡控制部分聯(lián)動(dòng),使接口或鏈路故障的感知時(shí)間小于50ms。

3、控制核心層的安全

  控制層是整個(gè)NGN的核心層,其中的設(shè)備對(duì)整個(gè)網(wǎng)絡(luò)起著中央控制的作用。目前,設(shè)備生產(chǎn)廠商一般能通過(guò)板卡級(jí)冗余備份保證單一設(shè)備的可靠性。在此基礎(chǔ)上,各個(gè)運(yùn)營(yíng)商還會(huì)從網(wǎng)絡(luò)層面保證網(wǎng)絡(luò)可靠性,從而最大可能避免單點(diǎn)故障。對(duì)用戶而言,網(wǎng)絡(luò)永遠(yuǎn)處于可用狀態(tài),網(wǎng)絡(luò)核心控制設(shè)備的單點(diǎn)故障對(duì)用戶不可見(jiàn)。

  軟交換網(wǎng)絡(luò)的特點(diǎn)是:在軟交換網(wǎng)絡(luò)中,為了保證出局或入局呼叫的正常接續(xù),任何一個(gè)接點(diǎn)的軟交換設(shè)備都會(huì)設(shè)置主備用路由,當(dāng)軟交換網(wǎng)絡(luò)采用分級(jí)結(jié)構(gòu)時(shí),網(wǎng)絡(luò)結(jié)構(gòu)與公共交換電話網(wǎng)絡(luò)(PSTN)的網(wǎng)絡(luò)架構(gòu)相同,端局軟交換分別與兩個(gè)匯接局相連。軟交換也可以采用無(wú)級(jí)網(wǎng)絡(luò),此時(shí)路由信息將從軟交換設(shè)備中剝離出來(lái),統(tǒng)一放置在一個(gè)單獨(dú)物理設(shè)備中,稱為路由服務(wù)器。在無(wú)級(jí)網(wǎng)絡(luò)中,網(wǎng)絡(luò)中任何一個(gè)軟交換都能得到其他軟交換的地址信息,因此,主叫側(cè)軟交換將直接向目的地軟交換發(fā)起呼叫請(qǐng)求。這時(shí),針對(duì)某一號(hào)碼段主備軟交換的信息設(shè)置將保留在路由服務(wù)器中。

  軟交換網(wǎng)絡(luò)的最大優(yōu)點(diǎn)在于軟交換網(wǎng)絡(luò)采用分層架構(gòu),將原來(lái)統(tǒng)一內(nèi)置在一個(gè)物理實(shí)體中的媒體處理模塊和信令處理模塊獨(dú)立分開(kāi)。媒體處理模塊在軟交換網(wǎng)絡(luò)中稱為媒體網(wǎng)關(guān)設(shè)備(MG),信令處理模塊稱為軟交換設(shè)備。因此,在分層基礎(chǔ)上,軟交換網(wǎng)絡(luò)可以具備以下能力:當(dāng)某一軟交換設(shè)備不能工作時(shí),其下控制的媒體網(wǎng)關(guān)設(shè)備可以通過(guò)某種策略向另外一個(gè)軟交換設(shè)備注冊(cè),從而最大程度地減少由于網(wǎng)絡(luò)問(wèn)題而對(duì)用戶的影響。

  對(duì)核心層設(shè)備采取可靠的解決方案:雙歸屬。雙歸屬?gòu)木W(wǎng)絡(luò)角度解決軟交換網(wǎng)絡(luò)的安全問(wèn)題,其核心思想是當(dāng)網(wǎng)絡(luò)中某一臺(tái)軟交換發(fā)生故障時(shí),保證該軟交換對(duì)應(yīng)的業(yè)務(wù)能在短時(shí)間內(nèi)由其雙歸屬軟交換接管,使得業(yè)務(wù)能在短期內(nèi)得到恢復(fù)。

  考慮綜合安全性因素和投入產(chǎn)出比,雙歸屬的兩個(gè)軟交換應(yīng)該是互助關(guān)系而不是主備用關(guān)系。在正常情況下,它們分別承擔(dān)著各自的話務(wù)負(fù)荷,只有在異常情況下,才接管另外一臺(tái)設(shè)備所負(fù)荷的中繼網(wǎng)關(guān)/接入網(wǎng)關(guān)/多媒體網(wǎng)關(guān)(TG/AG/MG)。同時(shí),出于對(duì)容災(zāi)等安全性因素的考慮,雙歸屬的兩個(gè)軟交換局點(diǎn)可設(shè)置在不同的地理區(qū)域,提供異地容災(zāi)能力。

  歸屬的切換應(yīng)是自動(dòng)控制與手動(dòng)控制的結(jié)合。自動(dòng)控制是必須考慮的方式,只有自動(dòng)控制才能做到實(shí)時(shí)對(duì)災(zāi)害和事故進(jìn)行監(jiān)控,減少損失。但是在某些特殊時(shí)期,如雙歸屬的另外一個(gè)局點(diǎn)尚未建設(shè)好,處于網(wǎng)絡(luò)頻繁調(diào)整期等,需要用手動(dòng)控制來(lái)加以控制,因此手動(dòng)控制的級(jí)別應(yīng)高于自動(dòng)控制。

4、業(yè)務(wù)網(wǎng)的安全

  軟交換實(shí)現(xiàn)了控制與承載分離,用戶信息不再與物理線路綁定。在開(kāi)放的互聯(lián)網(wǎng)絡(luò)上,通信雙方不再像PSTN那樣根據(jù)物理連接建立信任關(guān)系,因此,通信雙方或多方需要在互相通信時(shí)進(jìn)行識(shí)別和確認(rèn),通信過(guò)程中業(yè)務(wù)消息的真實(shí)性也要確認(rèn),以防出現(xiàn)假冒網(wǎng)元、假冒用戶、盜用業(yè)務(wù)、非法管理網(wǎng)元等問(wèn)題,影響軟交換網(wǎng)絡(luò)的運(yùn)營(yíng)。

  業(yè)務(wù)安全防線設(shè)置在網(wǎng)絡(luò)設(shè)備上,主要實(shí)現(xiàn)網(wǎng)絡(luò)業(yè)務(wù)的安全防護(hù),如通過(guò)設(shè)備相互認(rèn)證進(jìn)行設(shè)備間的訪問(wèn)控制,通過(guò)對(duì)用戶業(yè)務(wù)權(quán)限認(rèn)證避免業(yè)務(wù)被非法使用,通過(guò)協(xié)議信令的加密防止網(wǎng)絡(luò)監(jiān)聽(tīng)等。

  除設(shè)置接入安全防線外,還需采取有效的隔離措施。隔離措施包括業(yè)務(wù)隔離與用戶信息隔離等。軟交換網(wǎng)絡(luò)在組網(wǎng)上要求對(duì)不同的業(yè)務(wù)進(jìn)行網(wǎng)段分離,實(shí)現(xiàn)安全風(fēng)險(xiǎn)限制,實(shí)現(xiàn)NGN業(yè)務(wù)與Internet業(yè)務(wù)之間的有效隔離。對(duì)業(yè)務(wù)網(wǎng)應(yīng)只允許受限訪問(wèn),使其形成一個(gè)相對(duì)封閉的業(yè)務(wù)網(wǎng)。這種隔離可以在一定程度上屏蔽來(lái)自Internet的不安全因素。

  為防止關(guān)鍵設(shè)備受到攻擊,NGN業(yè)務(wù)網(wǎng)核心設(shè)備軟交換、信令網(wǎng)關(guān)及中繼媒體網(wǎng)關(guān)等應(yīng)通過(guò)防火墻實(shí)現(xiàn)與公用數(shù)據(jù)網(wǎng)隔離。數(shù)據(jù)業(yè)務(wù)網(wǎng)通過(guò)IP-IP網(wǎng)關(guān)與NGN業(yè)務(wù)網(wǎng)互通,安全性很高,NGN不易受到數(shù)據(jù)業(yè)務(wù)網(wǎng)的攻擊。

  NGN安全可靠性方案只有分別從接入層、承載層、控制層、業(yè)務(wù)網(wǎng)進(jìn)行網(wǎng)絡(luò)設(shè)備可靠性充分考慮和驗(yàn)證,才能確保其成為一個(gè)電信級(jí)的網(wǎng)絡(luò)。

中國(guó)聯(lián)通網(wǎng)站


相關(guān)鏈接:
透析基于IP協(xié)議的網(wǎng)絡(luò)演進(jìn)相關(guān)技術(shù) 2008-04-15
信產(chǎn)部科技司聞庫(kù):發(fā)展NGN應(yīng)爭(zhēng)取自主產(chǎn)權(quán) 2008-04-09
中興通訊核心網(wǎng)NGN產(chǎn)品總工屠嘉順訪談實(shí)錄 2008-04-09
NGN:在IP化道路上“邊走邊看” 2008-04-09
諾基亞西門(mén)子劉莉:全業(yè)務(wù)時(shí)代的融合解決方案 2008-04-08

分類(lèi)信息:  電信_(tái)與_NGN及軟交換技術(shù)     行業(yè)_電信_(tái)文摘   技術(shù)_NGN及軟交換_文摘