首頁>>廠商>>交換機(jī)/ACD系統(tǒng)平臺廠商>>上海貝爾阿爾卡特

NGN的安全問題和應(yīng)對策略

胡浩 2006/05/18

一、NGN的安全威脅主要來自哪些方面?NGN的承載網(wǎng)——分組網(wǎng)絡(luò)是否是NGN安全性的決定因素?
  1. NGN作為承載在分組網(wǎng)絡(luò)之上的下一代通信網(wǎng)絡(luò),繼承了分組IP網(wǎng)絡(luò)的主要安全問題,包括黑客DOS攻擊、病毒蠕蟲木馬的入侵、非法掃描,信息盜取、電話盜聽,地址欺騙,信息騷擾等。

  2. NGN核心系統(tǒng)位置相對集中,業(yè)務(wù)覆蓋面廣,NGN核心系統(tǒng)的安全成為NGN安全的重中之重。

  3. NGN終端多為有復(fù)雜操作系統(tǒng)的智能終端,接入的形式多種多樣,位置分散, 常與常規(guī)的數(shù)據(jù)終端同處于一個(gè)環(huán)境,使得終端系統(tǒng)遭到攻擊的可能性大大增加。

  4. IAD/IP Phone等終端及用戶通過冒用截獲的帳號進(jìn)行非法接入,電話盜打,電話騷擾。

  5. NGN系統(tǒng)采用媒體流與控制分離的思路,客觀上增加了安全監(jiān)控的難度。
  分組IP承載網(wǎng)絡(luò)是影響NGN安全性的重要方面,NGN網(wǎng)絡(luò)安全需要全方位的、整體的安全體系。

二、NGN與傳統(tǒng)電信網(wǎng)絡(luò)以及互聯(lián)網(wǎng)對安全的要求有何不同?能否描述一下安全的NGN環(huán)境應(yīng)該達(dá)到何種效果?

1. NGN對安全的要求與傳統(tǒng)電信網(wǎng)絡(luò)對安全的要求不同   
  1. 傳統(tǒng)電信網(wǎng)絡(luò)強(qiáng)調(diào)網(wǎng)絡(luò)的可靠性和可用性,不強(qiáng)調(diào)網(wǎng)上應(yīng)用的安全;NGN不僅要強(qiáng)調(diào)業(yè)務(wù)的可用性和可控性,還要強(qiáng)調(diào)承載網(wǎng)的可靠性和生存性,而且要保證信息傳遞的完整性、機(jī)密性和不可否認(rèn)性。


  2. NGN系統(tǒng)按業(yè)務(wù)層、控制層、承載層進(jìn)行分離,各層所有相關(guān)設(shè)備采用標(biāo)準(zhǔn)協(xié)議,同時(shí)NGN采用IP進(jìn)行承載,這種開放性和公用性在一定程度上加大了NGN受到黑客或病毒程序的攻擊或干擾的概率,面臨如用戶仿冒、盜打、破壞服務(wù)、搶占資源等安全問題。


  3. 傳統(tǒng)電信網(wǎng)對信令網(wǎng)的安全要求高,一般為獨(dú)立的信令網(wǎng),信令網(wǎng)的安全可靠保證了網(wǎng)絡(luò)的安全;NGN強(qiáng)調(diào)網(wǎng)絡(luò)融合,信令網(wǎng)與傳輸網(wǎng)用同一張網(wǎng)進(jìn)行承載,承載網(wǎng)的安全變得非常重要。


  4. 傳統(tǒng)電信網(wǎng)的傳輸采用TDM的專線,用戶之間采用面向連接的通道進(jìn)行通信,其他用戶很難插入偷聽;NGN采用IP技術(shù)進(jìn)行通信,由于IP的無連接性,及不對源地址進(jìn)行認(rèn)證的特性,黑客容易截取通話,盜用帳號,電話騷擾。


  5. 由于傳統(tǒng)電信網(wǎng)用戶線TDM用戶速率的限制,及可以按照物理端口進(jìn)行追溯跟蹤的特性,黑客很難對網(wǎng)絡(luò)系統(tǒng)進(jìn)行DOS攻擊;NGN由于采用IP承載,按照用戶進(jìn)行通信管理,黑客可以冒充其他帳戶,向網(wǎng)絡(luò)發(fā)送大量流量對NGN系統(tǒng)進(jìn)行DOS攻擊。
2 NGN對安全的要求與互聯(lián)網(wǎng)對安全的要求不同   
  1. 一般來說,傳統(tǒng)互聯(lián)網(wǎng)運(yùn)營商只提供網(wǎng)絡(luò)通路,不提供端到端的網(wǎng)絡(luò)安全服務(wù),端到端的安全主要靠互聯(lián)網(wǎng)用戶自己解決;NGN系統(tǒng)由于強(qiáng)調(diào)為用戶提供的安全可靠的服務(wù),必須要求網(wǎng)絡(luò)做到端到端的安全保證,如采用SIP加密,RTP加密,IPsec,VPN等通道安全措施,要求NGN終端在接入系統(tǒng)時(shí),要進(jìn)行身份認(rèn)證,MAC地址,IP地址等物理屬性的檢查,用戶在使用NGN服務(wù)時(shí),也必須進(jìn)行帳戶的認(rèn)證。


  2. 互聯(lián)網(wǎng)業(yè)務(wù)基本上是一種基于“盡力而為”的機(jī)制,對業(yè)務(wù)的中斷不敏感,可以通過節(jié)點(diǎn)冗余、鏈路冗余、模塊冗余等方式,利用路由協(xié)議進(jìn)行收斂,達(dá)到秒級的業(yè)務(wù)收斂時(shí)間,以保證服務(wù)的可靠性;而NGN承載的實(shí)時(shí)語音業(yè)務(wù)不允許出現(xiàn)業(yè)務(wù)中斷,要求承載網(wǎng)具有低于秒級的快速收斂能力,因此除了上述方式外,還必須強(qiáng)調(diào)系統(tǒng)設(shè)備具有高度可靠性,并且能夠利用MPLS 快速重路由, 路由協(xié)議快速收斂和網(wǎng)絡(luò)設(shè)備的不間斷服務(wù)NSR/NSS等技術(shù)實(shí)現(xiàn)毫秒級的鏈路和節(jié)點(diǎn)保護(hù)。軟交換系統(tǒng)、業(yè)務(wù)系統(tǒng)能夠做到異地冗災(zāi)熱備,一個(gè)NGN核心系統(tǒng)的故障不會影響整個(gè)系統(tǒng)的大面積宕機(jī)。


  3. 互聯(lián)網(wǎng)強(qiáng)調(diào)網(wǎng)絡(luò)設(shè)備自身的安全,采取路由協(xié)議加密,ACL等措施使得網(wǎng)絡(luò)設(shè)備不受攻擊;NGN除了要求網(wǎng)絡(luò)系統(tǒng)設(shè)備本身的安全以外,還要求NGN系統(tǒng)在核心設(shè)備的出口部署防火墻,入侵防護(hù)系統(tǒng)IPS、會話邊界控制器SBC等安全設(shè)備,以保護(hù)NGN核心設(shè)備的安全。
三、目前應(yīng)該從哪些方面著手解決NGN的安全問題?

  NGN的安全問題是軟交換商用過程中需要面對和解決的主要問題,目前而言,以下問題值得重視:
  1. 跟蹤NGN系統(tǒng)面臨的不斷變化的各種安全威脅,啟用嚴(yán)格的網(wǎng)絡(luò)安全機(jī)制,系統(tǒng)關(guān)閉任何不使用的網(wǎng)絡(luò)服務(wù),防止非法用戶通過非法的服務(wù)入侵設(shè)備;通過隔離、過濾、監(jiān)測、認(rèn)證、加密等手段降低遭受攻擊的可能性,并檢測、記錄攻擊的發(fā)生,保證攻擊的可溯源性。


  2. 制定NGN安全標(biāo)準(zhǔn)規(guī)范。由于各廠家在保證NGN安全方面的做法不盡相同,迫切需要有關(guān)部門能夠統(tǒng)一協(xié)調(diào),制定統(tǒng)一規(guī)范,以保證NGN系統(tǒng)在業(yè)務(wù)提供層面,在NGN信令層面,在IP承載層面,在終端層面等各個(gè)不同環(huán)節(jié)保證NGN系統(tǒng)的互聯(lián)戶通及NGN業(yè)務(wù)的安全提供。


  3. 對NGN的協(xié)議安全進(jìn)行深入研究。隨著NGN的日益普及,SIP、BICC、H248、Sigtran等NGN協(xié)議在IP承載網(wǎng)上進(jìn)行傳輸時(shí)需要考慮相應(yīng)的協(xié)議安全性、反攻擊性,需要對NGN協(xié)議的安全性進(jìn)一步研究,防患于未然。


  4. 關(guān)注NGN終端接入的安全。當(dāng)前NGN核心系統(tǒng)的建設(shè)采用物理隔離,VPN邏輯隔離,以及采用防火墻等安全設(shè)備,安全基本上得到保證。在NGN終端層面,由于網(wǎng)絡(luò)接入形式多種多樣,面臨的安全風(fēng)險(xiǎn)很多,給NGN整個(gè)系統(tǒng)的安全帶來了隱患,所以需要業(yè)界建立標(biāo)準(zhǔn)的NGN終端接入安全體系。
四、在NGN網(wǎng)絡(luò)中,是否需要對不同業(yè)務(wù)劃分安全等級?劃分標(biāo)準(zhǔn)為何?

  在NGN網(wǎng)絡(luò)中,運(yùn)營商必須保證提供的各種業(yè)務(wù)的安全,可以把NGN系統(tǒng)設(shè)備,各種業(yè)務(wù)服務(wù)器歸屬于不同的安全域,不同的安全域?qū)?yīng)為不同的安全等級,安全等級的劃分保證了高級別安全域的系統(tǒng)設(shè)備與低等級系統(tǒng)的安全隔離。等級高的安全域可以訪問低等級的安全域,低等級的安全域不能直接訪問高等級的安全域,如果要訪問,必須經(jīng)過嚴(yán)格的狀態(tài)檢測。

  安全級別的劃分可以根據(jù)系統(tǒng)設(shè)備的重要程度, 各種業(yè)務(wù)面臨的安全威脅的嚴(yán)重程度,進(jìn)行安全級別的劃分,比如NGN系統(tǒng)可以把一些關(guān)鍵信令設(shè)備,重要的業(yè)務(wù)服務(wù)器放入信任區(qū)安全等級,而把Web門戶,測試終端,DNS/DHCP等設(shè)備放在半信任區(qū),把一些外網(wǎng)設(shè)備如NGN終端,網(wǎng)管終端,SBC等放在非信任區(qū)安全等級。

  對于不同的NGN業(yè)務(wù),如語音業(yè)務(wù),多媒體業(yè)務(wù)等可以根據(jù)用戶的SLA,用戶等級,業(yè)務(wù)特征劃分不同的QoS等級,以為高等級的業(yè)務(wù)提供在帶寬、時(shí)延、抖動、收斂時(shí)間、安全等方面提供不同的服務(wù)質(zhì)量保證,比如可以允許語音視頻等實(shí)時(shí)性要求高的業(yè)務(wù)分配確定的帶寬,而對實(shí)時(shí)性要求不高的數(shù)據(jù)業(yè)務(wù),可以限制其訪問帶寬。至于QoS等級劃分,國際標(biāo)準(zhǔn)組織如ITU-T也有相應(yīng)的推薦標(biāo)準(zhǔn),一些運(yùn)營商已經(jīng)有了自己的企業(yè)標(biāo)準(zhǔn)。

五、多媒體應(yīng)用是NGN業(yè)務(wù)的一個(gè)主要代表,也是固網(wǎng)運(yùn)營商大力發(fā)展的寬帶業(yè)務(wù)之一,目前對于承載在互聯(lián)網(wǎng)上的視頻業(yè)務(wù)安全威脅主要來自哪里?是否有適當(dāng)?shù)膽?yīng)對策略?

  NGN視頻業(yè)務(wù)主要包括點(diǎn)對點(diǎn)視頻業(yè)務(wù)和多點(diǎn)視頻會議業(yè)務(wù),對于點(diǎn)對點(diǎn)視頻業(yè)務(wù),安全威脅與NGN語音基本上是一樣的,主要是受到DOS攻擊,病毒蠕蟲的影響,由于視頻業(yè)務(wù)對帶寬的敏感,很容易受到攻擊。多點(diǎn)視頻業(yè)務(wù)的安全威脅,主要來自于非法盜聽,視頻服務(wù)器的DOS攻擊。

  采用SBC等設(shè)備作為軟交換協(xié)議應(yīng)用層防火墻,具備入侵檢測、帶寬控制策略、保護(hù)會話不被竊取、防止RIP流擁塞和呼叫干擾等功能,可以使核心網(wǎng)設(shè)備免受惡意攻擊和突發(fā)的DOS攻擊,防止服務(wù)欺騙等其它類型的安全風(fēng)險(xiǎn),提供進(jìn)入權(quán)控制方法(Admission control policies),可以控制并保障會話總數(shù)、會話帶寬以及會話類型。會話傳送質(zhì)量的保證還依賴兩端路由器中業(yè)務(wù)優(yōu)先級的正確設(shè)置,SBC支持?jǐn)?shù)據(jù)包的有效處理,能夠清楚地標(biāo)明QoS等級,減去邊緣路由器的工作量。

六、目前有哪些技術(shù)可以幫助實(shí)現(xiàn)NGN的安全性?這些技術(shù)的的演進(jìn)過程以及方向?(最好可以詳細(xì)列舉)

  目前用來解決NGN安全性的應(yīng)對措施主要包括媒體流的加密傳送,SIP消息的加密,VPN技術(shù),IPsec隧道技術(shù),接入網(wǎng)的邏輯或物理隔離,終端的接入許可,帳戶密碼的加密認(rèn)證,承載網(wǎng)的防偽裝技術(shù)與安全過濾,NGN核心的防火墻、入侵防護(hù)技術(shù)等等。

  NGN的安全與其他業(yè)務(wù)一樣,不可能一蹴而就,需要不斷演進(jìn),其中一個(gè)重要的發(fā)展方向是NGN的安全更加強(qiáng)調(diào)用戶接入的安全,比如終端的網(wǎng)絡(luò)接入許可控制,針對每一用戶設(shè)置接入訪問控制列表,并限制用戶的訪問速度。

七、NGN作為下一代網(wǎng)絡(luò)的整體概念,其安全涉及面應(yīng)該非常廣泛,目前是否有單位或組織進(jìn)行NGN安全體系框架的研究和制定?目前我國政府、運(yùn)營商或設(shè)備廠商已經(jīng)做了哪些工作?

  目前在IMS相關(guān)標(biāo)準(zhǔn)組織中把NGN的安全做為單獨(dú)的課題進(jìn)行研究,如ITU-T FGNGN在IMS體系架構(gòu)中提出NGN安全架構(gòu),研究NGN安全的體系架構(gòu),研究提供端到端的安全機(jī)制,提供應(yīng)用于多個(gè)管理域的安全解決方案。但還處于不斷發(fā)展當(dāng)中。 IETF 對于NGN及安全方面主要關(guān)注于SIP協(xié)議、IPv6和網(wǎng)絡(luò)安全的研究。

  我國相關(guān)廠家及研究機(jī)構(gòu)專家近幾年對NGN領(lǐng)域的關(guān)注程度大大提高,ITU-TNGN會議我國專家參會人數(shù)以及提交的文稿數(shù)越來越多,并承擔(dān)了多個(gè)新建議草案的起草。作為NGN領(lǐng)域的重要設(shè)備制造商之一,上海貝爾阿爾卡特已向國際電信聯(lián)盟(ITU)提交了50余篇NGN標(biāo)準(zhǔn)文稿,均被采納,另外,上海貝爾阿爾卡特還負(fù)責(zé)主導(dǎo)和參與了20余項(xiàng)NGN國家標(biāo)準(zhǔn)的制定(已批準(zhǔn)和發(fā)布)。

ChinaByte(e.chinabyte.com)



相關(guān)鏈接:
上海貝爾企業(yè)通信與神州數(shù)碼簽約渠道合作 2009-09-28
阿朗入選Gartner全球統(tǒng)一通信領(lǐng)導(dǎo)者象限 2009-09-28
中星微并購上海貝爾視頻監(jiān)控系統(tǒng)業(yè)務(wù) 2009-09-27
阿爾卡特朗訊助英國國民保健信托會轉(zhuǎn)型 2009-09-25
阿爾卡特朗訊部署沃達(dá)豐葡萄牙公司IPTV設(shè)備 2009-09-23

相關(guān)頻道:           文摘   技術(shù)_融合通信_新聞   技術(shù)_NGN及軟交換_文摘