首頁(yè)>>>技術(shù)>>>NGN

NGN的安全體系架構(gòu)

2007/12/04

  NGN安全體系架構(gòu)是一個(gè)體系,本身很難用一個(gè)單一的標(biāo)準(zhǔn)來涵蓋,其設(shè)計(jì)需要滿足以下條件:具有可擴(kuò)展性、實(shí)用性;基于成熟的安全機(jī)制和實(shí)現(xiàn)技術(shù);能夠?qū)崿F(xiàn)應(yīng)用層、業(yè)務(wù)層和傳輸層的分離,不同層次上能夠采用不同的安全措施;安全措施的應(yīng)用不影響業(yè)務(wù)的服務(wù)質(zhì)量;滿足網(wǎng)絡(luò)運(yùn)營(yíng)商、業(yè)務(wù)提供商和用戶的安全需求;能夠?qū)崿F(xiàn)互操作。

  NGN在網(wǎng)絡(luò)架構(gòu)中引入了多種商業(yè)模型,例如,接入網(wǎng)和骨干網(wǎng)可能屬于不同的運(yùn)營(yíng)商,有不同的安全策略,需要隔離不同層面的安全問題。為此,NGN按照邏輯方式和物理方式,對(duì)網(wǎng)絡(luò)進(jìn)行了劃分,形成了不同的安全域,每一安全域可以對(duì)應(yīng)一種特定的安全策略,運(yùn)營(yíng)商通過實(shí)施各種安全策略,對(duì)安全域里和安全域間的功能要素和活動(dòng)進(jìn)行保護(hù)。

  安全域可以分為信任域、脆弱信任域和非信任域。對(duì)于某一特定的網(wǎng)絡(luò)運(yùn)營(yíng)商,信任域是指不與用戶設(shè)備直接通信、處于該運(yùn)營(yíng)商完全控制之下的安全域,例如骨干網(wǎng);脆弱信任域是指屬于該網(wǎng)絡(luò)運(yùn)營(yíng)商管理但不一定由該網(wǎng)絡(luò)運(yùn)營(yíng)商控制、連接信任域和非信任域的安全域,例如接入網(wǎng)、邊界網(wǎng)關(guān);非信任域是指不屬于該運(yùn)營(yíng)商管理的安全域,例如用戶網(wǎng)絡(luò)、不被信任的其他運(yùn)營(yíng)商網(wǎng)絡(luò)。在不同的安全域里,安全威脅、脆弱性、風(fēng)險(xiǎn)是不同的,因此安全需求也就不一樣,網(wǎng)絡(luò)運(yùn)營(yíng)商和業(yè)務(wù)提供商需要分別制定安全策略,采用各種安全機(jī)制的組合,來保證其網(wǎng)絡(luò)和網(wǎng)絡(luò)之上端到端用戶業(yè)務(wù)的安全性。

  根據(jù)NGN分層的思想,NGN安全體系架構(gòu),在水平方向上可以劃分為傳送層安全和業(yè)務(wù)層安全。傳送層和業(yè)務(wù)層的安全體系架構(gòu)應(yīng)相對(duì)獨(dú)立,傳送層安全體系架構(gòu)主要是解決數(shù)據(jù)傳輸?shù)陌踩,業(yè)務(wù)層安全體系架構(gòu)主要解決業(yè)務(wù)平臺(tái)的安全。例如,電信和互聯(lián)網(wǎng)融合業(yè)務(wù)及高級(jí)網(wǎng)絡(luò)協(xié)議(TISPAN)規(guī)定,傳送層采用網(wǎng)絡(luò)附著子系統(tǒng)(NASS)憑證,業(yè)務(wù)控制層采用IP多媒體子系統(tǒng)(IMS)認(rèn)證和密鑰協(xié)商(A-KA)模式,應(yīng)用層采用基于通用用戶識(shí)別模塊(USIM)集成電路卡(UICC)的GBA(GBA-U)模式。

  NGN安全的系統(tǒng)架構(gòu)在垂直方向上可以劃分為接入網(wǎng)安全、骨干網(wǎng)安全和業(yè)務(wù)網(wǎng)安全,從而使得原來網(wǎng)絡(luò)端到端安全變成了網(wǎng)絡(luò)逐段安全。在垂直方向上,NGN可以被劃分成多個(gè)安全域。

  接入網(wǎng)通過接入控制部分對(duì)用戶的接入進(jìn)行控制,防止非授權(quán)用戶訪問傳送網(wǎng)絡(luò),并負(fù)責(zé)用戶終端IP地址的分配;骨干網(wǎng)通過邊界網(wǎng)關(guān)對(duì)網(wǎng)絡(luò)互聯(lián)進(jìn)行控制,保證只有被授權(quán)的其他網(wǎng)絡(luò)上的用戶面、控制面和管理面才能接入信任域;業(yè)務(wù)網(wǎng)通過業(yè)務(wù)控制部分和根據(jù)需要通過應(yīng)用與業(yè)務(wù)支持部分對(duì)用戶訪問業(yè)務(wù)進(jìn)行控制,防止非授權(quán)用戶訪問業(yè)務(wù),或授權(quán)用戶訪問非授權(quán)業(yè)務(wù)。

  安全域之間用安全網(wǎng)關(guān)(SEGF)互聯(lián)。在每個(gè)安全域里,除了SEGF之外,可能還存在SEG證書權(quán)威(CA)和互聯(lián)CA。同一個(gè)安全域的SEGF采用IETF安全協(xié)議實(shí)現(xiàn)域內(nèi)端到端安全。

  SEGF是安全域邊界實(shí)體,是防范來自其他安全域攻擊的主要網(wǎng)元。它通過將來自其他安全域的流量與信任域內(nèi)流量進(jìn)行隔離,要求其他安全域流量必須通過特定的SEGF才能進(jìn)入信任域,在向信任域里轉(zhuǎn)發(fā)來自其他安全域的流量前,必須進(jìn)行驗(yàn)證,以防止攔截、篡改、拒絕式攻擊、地址和身份欺騙、竊聽、偽裝等安全事件在信任域里的出現(xiàn)。例如,可以根據(jù)指定的安全策略,在管理面和控制面上使用接入控制,限制特定用戶接入或?qū)μ囟I(yè)務(wù)的訪問。SEGF要實(shí)現(xiàn)設(shè)備級(jí)物理安全措施、系統(tǒng)加固、安全信令、OAMP虛擬專網(wǎng)(VPN)等方式之外,還要采用防火墻、入侵檢測(cè)、內(nèi)容過濾、VPN接入、VPN互聯(lián)等功能。

  SEGF提供的安全服務(wù)包括認(rèn)證、授權(quán)、私密性、完整性、密鑰管理和策略實(shí)施等。SEGF對(duì)于從信任域里發(fā)出的請(qǐng)求,可以采用信任方式,不需要再進(jìn)行驗(yàn)證。

人民郵電報(bào)


相關(guān)鏈接:
下一代網(wǎng)絡(luò)技術(shù)的寵兒——ATCA 2007-12-03
PSTN與NGN互通研究 2007-11-29
構(gòu)建融合接入網(wǎng)絡(luò)助力NGN發(fā)展 2007-11-15
下一代網(wǎng)絡(luò)和業(yè)務(wù)轉(zhuǎn)型過程中資源管理系統(tǒng)的建設(shè) 2007-11-09
“2007年中國(guó)國(guó)際通信設(shè)備技術(shù)展覽會(huì)”核心網(wǎng)發(fā)展掃描 2007-10-29

分類信息:  電信_(tái)與_NGN及軟交換技術(shù)     行業(yè)_電信_(tái)文摘   技術(shù)_NGN及軟交換_文摘