NGN 對承載網的安全要求
2004/05/20
編者按:下一代網絡(NGN)的業(yè)務質量直接受到承載網安全因素的影響��,為了順利部署NGN業(yè)務,必須對承載網安全提出具體的要求��。
NGN的信令����、控制和媒體流主要封裝在IP數(shù)據報文中���,利用IP網絡來承載NGN的多媒體信息流��,因此NGN業(yè)務的質量直接受到IP網絡的影響����,在目前的IP網絡條件下,甚至是影響到NGN試驗和運營成功的關鍵��。安全性問題是IP網絡影響NGN成功的關鍵因素之一��。
NGN沒有部署安全措施���,如直接部署于IP公網上����,可能會出現(xiàn)以下的問題�。
運營商業(yè)務的安全問題,主要包括以下方面:業(yè)務盜用�,未經授權使用NGN業(yè)務,如通過H.323協(xié)議用戶終端可直接連通被叫網關���,導致運營商收入流失�;帶寬盜用�,利用NGN設備端口連接用戶私有的數(shù)據網絡,造成運營商數(shù)據業(yè)務收入流失并影響NGN業(yè)務質量;DoS攻擊�����,通過網絡層或應用層的大流量攻擊��,使NGN設備無法響應正常用戶的業(yè)務請求或降低業(yè)務的品質����。
運營商設備的安全問題��,主要包括以下方面:破壞設備程序及數(shù)據��,通過NGN設備遠程加載或數(shù)據配置流程的漏洞破壞設備�����,通常采用的TFTP�、FTP、SNMP等標準協(xié)議均存在安全漏洞����;病毒攻擊,通過病毒入侵的方式破壞NGN設備�����,或者用戶被病毒感染的計算機自動攻擊NGN設備,造成業(yè)務的中斷或者劣化��;黑客攻擊����,通過非常規(guī)的技術手段獲得NGN設備的控制權,病毒�、黑客兩種安全威脅一般針對采用通用操作系統(tǒng)的設備,如各類服務器�����。
用戶業(yè)務的安全問題�,主要包括以下方面:用戶仿冒、盜用其他用戶的賬號及權限使用業(yè)務�;非法監(jiān)聽其他用戶呼叫的主被叫信息或媒體流內容。
就NGN安全技術框架而言�����,我們可以將NGN網絡劃分為信任區(qū)��、非信任區(qū)�、半信任區(qū)(DMZ)�����、網管/計費/維護網四個區(qū)域���。NGN網絡部件根據網絡位置及設備功能連接到對應的區(qū)域中,跨區(qū)的網絡部件通過特定的物理接口受控接入網絡區(qū)域�。信任區(qū)為承載網中專用于NGN業(yè)務的隔離區(qū)域,是一個管理良好����、安全得到保證的區(qū)域���。放置在安全區(qū)的設備包括NGN網絡核心部件�,如軟交換�、接入網關、中繼網關��、信令網關����、帶內網管設備、媒體資源設備��、智能網設備等;機架式IAD設備部署在管理良好的機房中也可以納入信任區(qū)����。非信任區(qū)是運營商無法管理、安全不能受控的區(qū)域��,包括Internet����、社區(qū)網等IP公網和校園網、企業(yè)網等�。某些運營商部署在用戶端的設備,如桌面式IAD�����、智能軟終端�、智能硬終端都納入非信任區(qū)。半信任區(qū)(DMZ)類似Web網站�����,是處于信任區(qū)和非信任區(qū)之間的一個區(qū)域����。其中的應用服務器需要與數(shù)據網絡接口���,歸屬這個區(qū)域。網管/計費/維護網是運營商為了網絡運營支持而部署的專網�,計費設備、帶外網管設備以及操作維護終端等都應部署在這個區(qū)域���。
保證NGN安全的承載網組網要求主要有以下方面�。首先�,NGN核心部件,如軟交換����、接入網關�、中繼網關、信令網關���、帶內網管設備����、媒體資源設備��、智能網設備等設備部署于一個安全區(qū)中�,就組成了NGN核心網�,我們建議采用以下方案實施:在IP網上利用MPLS技術部署一個VPN����,該VPN是一個獨立的邏輯網;采用專線技術為NGN核心部件部署一個獨立的IP網�����,該網不跟公網直接互通����;通過IP電信網技術部署一個可以支持IP資源管理的獨立邏輯網。其次����,NGN核心網的延伸,可以利用各種的接入技術延伸NGN業(yè)務覆蓋的范圍�,要求接入網在鏈路層實現(xiàn)用戶隔離。我們可以采用的技術有VLAN����、ATM技術和PPPoE接入等。第三�,應通過應用服務器接口設備(ParlayGateway)與應用服務器互通。第四�,對于Internet用戶�、小區(qū)和校園網用戶�、企業(yè)用戶,應通過業(yè)務代理設備(IP-IPGateway)接入����。
中國信息產業(yè)網(www.cnii.com.cn)
相關鏈接: