首頁>>>技術>>>NGN

NGN分層網絡安全方案

2008/04/23

  摘要  下一代網絡(NGN)是近幾年出現的電信新技術,是電信史上的一塊里程碑,它是綜合、開放的網絡構架,提供話音、數據和多媒體等業(yè)務。NGN是電信級網絡,電信級網絡最大的特點就是安全、可靠和高可用性。如何確保網絡安全性是電信設備必須考慮的重要因素。文章通過下一代網絡的四個層次,介紹各層次安全技術的研究和措施的實施,研究可行有效的安全機制,指出構筑NGN安全可靠性的安全防御框架。

0、引言

  基于軟交換技術的下一代網絡(NGN)是業(yè)務驅動的網絡,通過呼叫控制、媒體交換及承載的分離,實現了開放的分層架構。軟交換網絡分為接入層、承載層、控制層和業(yè)務層四大層次。接入層負責在用戶端支持多種業(yè)務的接入,接入設備應能向上連接到高速傳輸線路,向下支持多種業(yè)務的接口。承載層負責建立和管理承載連接,并對這些連接進行交換和路由分配,用以響應控制層的控制命令?刂茖又饕婕败浗粨Q相關的功能,完成業(yè)務邏輯的具體執(zhí)行,其中包含呼叫智能和路由等操作。控制層是NGN的核心,決定用戶收到的業(yè)務,并能控制低層網絡元素對業(yè)務流的處理。網絡業(yè)務層主要負責業(yè)務邏輯的相關處理,如業(yè)務生成、業(yè)務邏輯定義和業(yè)務編程接口等。各層次網絡單元通過標準協(xié)議互通,可以各自獨立演進,以適應未來技術的發(fā)展。

  NGN是在當今電信網絡基礎上演變、融合而來的,理想的NGN可以實現各種網絡的互通,用戶可以在任何時間、任何地點、以多種方式享受網絡提供的各種服務。在不久的將來,用戶可以在電話機上與朋友“面對面”地視頻聊天;用很少的話費與異國的朋友盡情交談。但事物都具有兩面性,NGN為我們帶來便利的同時,也帶來了更加嚴峻的安全問題。

  面臨諸多的安全問題,筆者認為在NGN發(fā)展演進過程中,要積極進行各層次安全技術的研究和措施的實施,研究可行有效的安全機制和安全防御框架。

1、接入層用戶的安全管理

  根據安全需求的不同,可將軟交換網絡分為內網區(qū)、隔離區(qū)和外網區(qū)等不同的安全區(qū)域。外網區(qū)是由會話啟動協(xié)議(SIP)終端和普通用戶綜合接入設備(IAD)等終端設備組成的網絡區(qū)域,該網絡區(qū)域設備放置在用戶側,為個人用戶提供服務。內網區(qū)是由軟交換、信令網關、應用服務器、媒體服務器、中繼網關和大容量用戶綜合接入網關等設備組成的網絡區(qū)域。隔離區(qū)是由軟交換用戶下載服務器、應用門戶服務器和域名系統(tǒng)(DNS)等設備組成的網絡區(qū)域。

  對接入層用戶應部署以下安全訪問策略:a)根據網絡安全的最小化服務原則,隔離區(qū)對外網區(qū)只開放必需的服務端口,其他不需要的端口一律用防火墻屏蔽。b)外網區(qū)終端允許使用SIP、媒體網關控制協(xié)議(MGCP)或H.248協(xié)議,通過邊緣接入控制設備作為代理訪問內網區(qū),再通過用戶和業(yè)務認證后,允許實時傳送協(xié)議/RTP控制協(xié)議(RTP/RTCP)數據包通過邊緣接入控制設備作為代理進入內網區(qū)。c)外網區(qū)終端不能使用除SIP、MGCP和H.248之外的協(xié)議直接訪問內部網絡,對內部網絡設備的訪問必須通過隔離區(qū)設備代理進行。d)外網區(qū)終端獲得允許后可以使用隔離區(qū)服務器提供的服務。

  設置接入安全防線,接入設備/用戶接入需要經過身份認證才可接入軟交換網絡,同時在這個點設置用戶的業(yè)務權限,這條防線可以避免非法用戶進入軟交換網絡。同時,用戶的身份得到確認可以方便進行事后審計和追蹤,有效防止用戶側的網絡攻擊行為。接入層安全問題主要涉及接入側設備及用戶信息的安全。這些通常通過認證、鑒權機制和隔離機制來保證。

  保證用戶信息安全,在接入層仍要對通信流量進行隔離,這里包括軟交換業(yè)務用戶與其他業(yè)務用戶(如普通數據業(yè)務用戶)之間的隔離以及兩個軟交換用戶之間的隔離。采用虛擬局域網(VLAN)在第二層實現隔離,能有效杜絕廣播包的攻擊和用戶信息的泄露。另外通過訪問控制列表(ACL)可在第三層上進行軟交換終端用戶之間的受控互訪或軟交換終端用戶對軟交換其他設備的互訪。進一步通過IP+VLAN+MAC綁定,可以限制每個VLAN接入的用戶數目,保護網上關鍵資源,并有效防止用戶地址盜用和用戶仿冒的發(fā)生。

  軟交換網絡需要對接入到控制層的接入設備進行認證,以保證接入設備的合法性。以IAD為例,當不可信任的IAD向軟交換進行注冊時,應攜帶用于該設備進行認證的設備信息(如設備的標識、MAC地址或預先獲得的鑒權密鑰等),并且可以對這些信息加密傳送。軟交換根據注冊消息中所包含的信息對IAD進行認證,認證通過后,激活相應的業(yè)務端口,用戶獲得使用業(yè)務的權限。

2、承載網的安全

  承載網安全直接影響NGN的業(yè)務質量。 NGN承載網采用IP技術,其開放性特點非常適合網絡業(yè)務的發(fā)展,但IP協(xié)議的開放性和公用性也使NGN不可避免地受到黑客或病毒程序的攻擊或干擾。

  隨著NGN、3G、虛擬專用網絡(VPN)等新業(yè)務的不斷涌現,用戶數量的不斷增加,原Internet業(yè)務接入平面的IP承載網已無法滿足要求。a)原有設備容量不足,無法滿足快速增長的用戶對寬帶的需求和未來良好的擴展。b)原有網絡在多協(xié)議標簽交換(MPLS)VPN、高可靠性、QoS、組播、IPv6等諸多方面能力不足,無法承載電信級的新業(yè)務。

  近幾年,多業(yè)務IP承載網進入高速發(fā)展的黃金時期,MPLS技術與傳統(tǒng)的IP分組技術結合,引入了基于MPLS的流量工程(MPLS TE)技術,使傳統(tǒng)的IP分組網具備了電信級的可管理性,同時業(yè)務的承載方式也更加靈活,包括IP報文、MPLS,甚至可以對跨越不同自治系統(tǒng)(AS)的業(yè)務提供統(tǒng)一的端到端承載。傳統(tǒng)的MPLS將面向非連接的IP業(yè)務移植到面向連接的標記交換業(yè)務之上,實現時將路由選擇層面與數據轉發(fā)層面分離。MPLS網絡中,在入口標簽交換路由器(LSR)處,分組按照不同轉發(fā)要求劃分成不同轉發(fā)等價類前向糾錯(FEC),并將每個特定FEC映射到下一跳。每一特定FEC都被編碼為一個短而定長的值,稱為標記,標記加在分組前成為標記分組,再轉發(fā)到下一跳。在后續(xù)的每一跳上,不再需要分析分組頭,而是用標記作為指針,指向下一跳的輸出端口和一個新的標記,標記分組用新標記替代舊標記后經指定的輸出端口轉發(fā)。在出口LSR上,去除標記,使用IP路由機制將分組向目的地轉發(fā)。MPLS-TE是在MPLS網絡上的流量工程,是指為業(yè)務流選擇路徑的處理過程,以在網絡中不同的鏈路、路由器和交換機之間均衡業(yè)務流負載。

  多業(yè)務IP承載網分為接入層、匯聚層、核心層,通過在不同層實施局部的可靠性策略,可以分段保證網絡的可靠性。相對網絡節(jié)點設備的可靠性,這一擴展技術可以在無需大幅度提高對網絡設備要求的情況下,顯著提高業(yè)務的可靠性。在接入層,推薦采用冗余備份或負載分擔接入策略,將業(yè)務系統(tǒng)設備(如媒體網關、CE設備)雙歸接入到兩臺PE設備上。在匯聚層和核心層,推薦采用雙節(jié)點冗余備份策略,當某節(jié)點發(fā)生故障時,備份節(jié)點可以保證業(yè)務不間斷轉發(fā)。對于核心層的鏈路連接,采用POS接口進行Full Mesh連接。POS接口具有類似同步數字體系(SDH)的快速故障檢測機制,而Full Mesh連接方式可以保證任何單鏈路發(fā)生故障時,由于流量迂回而增加的網絡跳數不超過一跳。

  網絡設備是組成多業(yè)務IP承載網的基本節(jié)點,其可靠性是整網可靠性的基礎。主流網絡設備的關鍵部件包括主控單元、交換單元、電源、制冷系統(tǒng)等,大多采用熱備份冗余設計,這是保證電信級IP承載網可靠性的最基本要求。接口、線路卡的快速故障感知和倒換功能同樣非常重要。由于傳統(tǒng)的Ethernet接口承載的純數據業(yè)務對時延不敏感,因此普遍未采用特別的故障檢測技術,接口故障的探測時間在1s級別,這顯然無法滿足VoIP等實時電信業(yè)務的要求。于是,業(yè)界紛紛推出雙向偵測協(xié)議(BFD)、運行維護和管理(OAM)等快速檢測機制,通過與線路卡控制部分聯動,使接口或鏈路故障的感知時間小于50ms。

3、控制核心層的安全

  控制層是整個NGN的核心層,其中的設備對整個網絡起著中央控制的作用。目前,設備生產廠商一般能通過板卡級冗余備份保證單一設備的可靠性。在此基礎上,各個運營商還會從網絡層面保證網絡可靠性,從而最大可能避免單點故障。對用戶而言,網絡永遠處于可用狀態(tài),網絡核心控制設備的單點故障對用戶不可見。

  軟交換網絡的特點是:在軟交換網絡中,為了保證出局或入局呼叫的正常接續(xù),任何一個接點的軟交換設備都會設置主備用路由,當軟交換網絡采用分級結構時,網絡結構與公共交換電話網絡(PSTN)的網絡架構相同,端局軟交換分別與兩個匯接局相連。軟交換也可以采用無級網絡,此時路由信息將從軟交換設備中剝離出來,統(tǒng)一放置在一個單獨物理設備中,稱為路由服務器。在無級網絡中,網絡中任何一個軟交換都能得到其他軟交換的地址信息,因此,主叫側軟交換將直接向目的地軟交換發(fā)起呼叫請求。這時,針對某一號碼段主備軟交換的信息設置將保留在路由服務器中。

  軟交換網絡的最大優(yōu)點在于軟交換網絡采用分層架構,將原來統(tǒng)一內置在一個物理實體中的媒體處理模塊和信令處理模塊獨立分開。媒體處理模塊在軟交換網絡中稱為媒體網關設備(MG),信令處理模塊稱為軟交換設備。因此,在分層基礎上,軟交換網絡可以具備以下能力:當某一軟交換設備不能工作時,其下控制的媒體網關設備可以通過某種策略向另外一個軟交換設備注冊,從而最大程度地減少由于網絡問題而對用戶的影響。

  對核心層設備采取可靠的解決方案:雙歸屬。雙歸屬從網絡角度解決軟交換網絡的安全問題,其核心思想是當網絡中某一臺軟交換發(fā)生故障時,保證該軟交換對應的業(yè)務能在短時間內由其雙歸屬軟交換接管,使得業(yè)務能在短期內得到恢復。

  考慮綜合安全性因素和投入產出比,雙歸屬的兩個軟交換應該是互助關系而不是主備用關系。在正常情況下,它們分別承擔著各自的話務負荷,只有在異常情況下,才接管另外一臺設備所負荷的中繼網關/接入網關/多媒體網關(TG/AG/MG)。同時,出于對容災等安全性因素的考慮,雙歸屬的兩個軟交換局點可設置在不同的地理區(qū)域,提供異地容災能力。

  歸屬的切換應是自動控制與手動控制的結合。自動控制是必須考慮的方式,只有自動控制才能做到實時對災害和事故進行監(jiān)控,減少損失。但是在某些特殊時期,如雙歸屬的另外一個局點尚未建設好,處于網絡頻繁調整期等,需要用手動控制來加以控制,因此手動控制的級別應高于自動控制。

4、業(yè)務網的安全

  軟交換實現了控制與承載分離,用戶信息不再與物理線路綁定。在開放的互聯網絡上,通信雙方不再像PSTN那樣根據物理連接建立信任關系,因此,通信雙方或多方需要在互相通信時進行識別和確認,通信過程中業(yè)務消息的真實性也要確認,以防出現假冒網元、假冒用戶、盜用業(yè)務、非法管理網元等問題,影響軟交換網絡的運營。

  業(yè)務安全防線設置在網絡設備上,主要實現網絡業(yè)務的安全防護,如通過設備相互認證進行設備間的訪問控制,通過對用戶業(yè)務權限認證避免業(yè)務被非法使用,通過協(xié)議信令的加密防止網絡監(jiān)聽等。

  除設置接入安全防線外,還需采取有效的隔離措施。隔離措施包括業(yè)務隔離與用戶信息隔離等。軟交換網絡在組網上要求對不同的業(yè)務進行網段分離,實現安全風險限制,實現NGN業(yè)務與Internet業(yè)務之間的有效隔離。對業(yè)務網應只允許受限訪問,使其形成一個相對封閉的業(yè)務網。這種隔離可以在一定程度上屏蔽來自Internet的不安全因素。

  為防止關鍵設備受到攻擊,NGN業(yè)務網核心設備軟交換、信令網關及中繼媒體網關等應通過防火墻實現與公用數據網隔離。數據業(yè)務網通過IP-IP網關與NGN業(yè)務網互通,安全性很高,NGN不易受到數據業(yè)務網的攻擊。

  NGN安全可靠性方案只有分別從接入層、承載層、控制層、業(yè)務網進行網絡設備可靠性充分考慮和驗證,才能確保其成為一個電信級的網絡。

中國聯通網站


相關鏈接:
透析基于IP協(xié)議的網絡演進相關技術 2008-04-15
信產部科技司聞庫:發(fā)展NGN應爭取自主產權 2008-04-09
中興通訊核心網NGN產品總工屠嘉順訪談實錄 2008-04-09
NGN:在IP化道路上“邊走邊看” 2008-04-09
諾基亞西門子劉莉:全業(yè)務時代的融合解決方案 2008-04-08

分類信息:  電信_與_NGN及軟交換技術     行業(yè)_電信_文摘   技術_NGN及軟交換_文摘