首頁(yè)>>>技術(shù)>>>NGN

下一代網(wǎng)絡(luò)的安全技術(shù)

滕志猛 吳波 韋銀星 2007/10/17

  隨著因特網(wǎng)應(yīng)用的快速增長(zhǎng),網(wǎng)絡(luò)上的安全隱患不斷出現(xiàn),非法竊取網(wǎng)絡(luò)資源、非法使用網(wǎng)絡(luò)業(yè)務(wù)、拒絕服務(wù)、蠕蟲病毒、木馬病毒,甚至惡意攻擊與破壞等事件也層出不窮。這些安全問(wèn)題給網(wǎng)絡(luò)運(yùn)營(yíng)商、業(yè)務(wù)提供商和用戶造成了巨大的損失,使人們深刻地認(rèn)識(shí)到基于IP技術(shù)的因特網(wǎng)應(yīng)用存在著嚴(yán)重的安全問(wèn)題。網(wǎng)絡(luò)的開放性和IP網(wǎng)絡(luò)固有的脆弱性,使得攻擊者很容易利用網(wǎng)絡(luò)的弱點(diǎn)發(fā)起各種各樣的攻擊。特別是隨著下一代網(wǎng)絡(luò)(NGN)的興起,Everything over IP正在成為各種網(wǎng)絡(luò)技術(shù)發(fā)展的基礎(chǔ),國(guó)際標(biāo)準(zhǔn)組織國(guó)際電信聯(lián)盟電信標(biāo)準(zhǔn)化部門(ITU-T)、歐洲電信標(biāo)準(zhǔn)化組織(ETSI)等所研究的NGN,都是基于IP技術(shù)實(shí)現(xiàn)的。因此,盡管NGN技術(shù)還不成熟,但是其安全問(wèn)題已經(jīng)受到高度重視[1-5],幾乎每個(gè)標(biāo)準(zhǔn)組織都有專門的安全研究組在開展研究工作,一些標(biāo)準(zhǔn)組織還在其制定的每個(gè)技術(shù)標(biāo)準(zhǔn)中,都要求包含 “Security Consideration”章節(jié)。本文對(duì)NGN安全基礎(chǔ)[6-8]、 NGN安全需求[2-9]、安全體系架構(gòu)[10-14]、安全機(jī)制[15-17]進(jìn)行了研究,為我國(guó)NGN的研究和部署提供有益的參考。


NGN的安全基礎(chǔ)

  NGN基于IP技術(shù),采用業(yè)務(wù)層和傳送層相互分離、應(yīng)用與業(yè)務(wù)控制相互分離、傳送控制與傳送相互分離的思想,能夠支持現(xiàn)有的各種接入技術(shù),提供話音、數(shù)據(jù)、視頻、流媒體等業(yè)務(wù),并且支持現(xiàn)有移動(dòng)網(wǎng)絡(luò)上的各種業(yè)務(wù),實(shí)現(xiàn)固定網(wǎng)絡(luò)和移動(dòng)網(wǎng)絡(luò)的融合,此外還能夠根據(jù)用戶的需要,保證用戶業(yè)務(wù)的服務(wù)質(zhì)量。NGN的網(wǎng)絡(luò)體系架構(gòu)如圖1所示, 包括應(yīng)用、業(yè)務(wù)控制層、傳送控制層、傳送層、網(wǎng)絡(luò)管理系統(tǒng)、用戶網(wǎng)絡(luò)和其他網(wǎng)絡(luò)。本文介紹的NGN安全技術(shù)是針對(duì)該體系架構(gòu)展開的。


  ITU-T在X.805標(biāo)準(zhǔn)中,全面地規(guī)定了信息網(wǎng)絡(luò)端到端安全服務(wù)體系的架構(gòu)模型。這一模型包括3層3面8個(gè)維度,即應(yīng)用層、業(yè)務(wù)層和傳送層,管理平面、控制平面和用戶平面,認(rèn)證、可用性、接入控制、不可抵賴、機(jī)密性、數(shù)據(jù)完整性、私密性和通信安全, 如圖2所示。


  X.805模型各個(gè)層(或面)上的安全相互獨(dú)立,可以防止一個(gè)層(或面)的安全被攻破而波及到其他層(或面)的安全。這個(gè)模型從理論上建立了一個(gè)抽象的網(wǎng)絡(luò)安全模型,可以作為發(fā)展一個(gè)特定網(wǎng)絡(luò)安全體系架構(gòu)的依據(jù),指導(dǎo)安全策略、安全事件處理和網(wǎng)絡(luò)安全體系架構(gòu)的綜合制定和安全評(píng)估。因此,這個(gè)模型目前已經(jīng)成為開展信息網(wǎng)絡(luò)安全技術(shù)研究和應(yīng)用的基礎(chǔ)。

  互聯(lián)網(wǎng)工程任務(wù)組(IETF)的安全域?qū)iT負(fù)責(zé)制定Internet安全方面的標(biāo)準(zhǔn),涉及的安全內(nèi)容十分廣泛并注重實(shí)際應(yīng)用,例如IP安全(IPsec)、基于X.509的公鑰基礎(chǔ)設(shè)施(PKIX)等。目前,IETF制定了大量的與安全相關(guān)的征求意見稿(RFC),其他標(biāo)準(zhǔn)組織或網(wǎng)絡(luò)架構(gòu)都已經(jīng)引用了這些成果。

  本文提出的NGN安全體系架構(gòu)就是在應(yīng)用X.805安全體系架構(gòu)基礎(chǔ)上,結(jié)合NGN體系架構(gòu)和IETF相關(guān)的安全協(xié)議而提出來(lái)的,如圖3所示,這樣可以有效地指導(dǎo)NGN安全解決方案的實(shí)現(xiàn)。


NGN的安全需求

  網(wǎng)絡(luò)安全需求將用戶通信安全、網(wǎng)絡(luò)運(yùn)營(yíng)商與業(yè)務(wù)提供商運(yùn)營(yíng)安全緊密地結(jié)合在一起。當(dāng)IP技術(shù)作為互聯(lián)網(wǎng)技術(shù)被應(yīng)用到電信網(wǎng)絡(luò)上取代電路交換之后,來(lái)自網(wǎng)絡(luò)運(yùn)營(yíng)商、業(yè)務(wù)提供商和用戶的安全需求就顯得特別重要。

  為了給網(wǎng)絡(luò)運(yùn)營(yíng)商、業(yè)務(wù)提供商和用戶提供一個(gè)安全可信的網(wǎng)絡(luò)環(huán)境,防止各種攻擊,NGN需要避免出現(xiàn)非授權(quán)用戶訪問(wèn)網(wǎng)絡(luò)設(shè)備上的資源、業(yè)務(wù)和用戶數(shù)據(jù)的情況,需要限制網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的可見范圍,需要保證網(wǎng)絡(luò)上傳送的控制信息、管理信息和用戶信息的私密性和完整性,需要監(jiān)督網(wǎng)絡(luò)流量并對(duì)異常流量進(jìn)行管理和上報(bào)。

  在X.805標(biāo)準(zhǔn)的指導(dǎo)下,通過(guò)對(duì)NGN網(wǎng)絡(luò)面臨的安全威脅和弱點(diǎn)進(jìn)行分析,NGN安全需求大致可以分為安全策略,認(rèn)證、授權(quán)、訪問(wèn)控制和審計(jì),時(shí)間戳與時(shí)間源,資源可用性,系統(tǒng)完整性,操作、管理、維護(hù)和配置安全,身份和安全注冊(cè),通信和數(shù)據(jù)安全,隱私保證,密鑰管理, NAT/防火墻互連,安全保證,安全機(jī)制增強(qiáng)等需求。

  (1).安全策略需求

  安全策略需求要求定義一套規(guī)則集,包括系統(tǒng)的合法用戶和合法用戶的訪問(wèn)權(quán)限,說(shuō)明保護(hù)何種信息、以及為什么進(jìn)行保護(hù)。在NGN環(huán)境下,存在著不同的用戶實(shí)體、不同的設(shè)備商設(shè)備、不同的網(wǎng)絡(luò)體系架構(gòu)、不同的威脅模型、不均衡的安全功能開發(fā)等,沒有可實(shí)施的安全策略是很難保證有正確的安全功能的。

  (2).認(rèn)證、授權(quán)、訪問(wèn)控制和審計(jì)需求

  在NGN不同安全域之間和同一安全域內(nèi)部,對(duì)資源和業(yè)務(wù)的訪問(wèn)必須進(jìn)行認(rèn)證授權(quán)服務(wù),只有通過(guò)認(rèn)證的實(shí)體才能使用被授權(quán)訪問(wèn)實(shí)體上的特定資源和業(yè)務(wù)。通過(guò)這一方法確保只有合法用戶才可以訪問(wèn)資源、系統(tǒng)和業(yè)務(wù),防止入侵者對(duì)資源、系統(tǒng)和業(yè)務(wù)進(jìn)行非法訪問(wèn),并主動(dòng)上報(bào)與安全相關(guān)的所有事件,生成可管理的、具有訪問(wèn)控制權(quán)限的安全事件審計(jì)材料。

  (3).時(shí)間戳與時(shí)間源需求

  NGN能夠提供可信的時(shí)間源作為系統(tǒng)時(shí)鐘和審計(jì)時(shí)間戳,以便在處理未授權(quán)事件時(shí)能夠提供可信的時(shí)間憑證。

  (4).資源可用性需求

  NGN能夠限制分配給某業(yè)務(wù)請(qǐng)求的重要資源的數(shù)量,丟棄不符合安全策略的數(shù)據(jù)包,限制突發(fā)流量,降低突發(fā)流量對(duì)其他業(yè)務(wù)的影響,防止拒絕服務(wù)(DoS)攻擊。

  (5).系統(tǒng)完整性需求

  NGN設(shè)備能夠基于安全策略,驗(yàn)證和審計(jì)其資源和系統(tǒng),并且監(jiān)控其設(shè)備配置與系統(tǒng)未經(jīng)授權(quán)而發(fā)生的改變,防止蠕蟲、木馬等病毒的安裝。為此,設(shè)備需要根據(jù)安全策略,定期掃描它的資源,發(fā)現(xiàn)問(wèn)題時(shí)生成日志并產(chǎn)生告警。(對(duì)設(shè)備的監(jiān)控不能影響該設(shè)備上實(shí)時(shí)業(yè)務(wù)的時(shí)延變化或?qū)е逻B接中斷。)

  (6).操作、管理、維護(hù)和配置安全需求

  NGN需要支持對(duì)信任域、脆弱信任域和非信任域設(shè)備的管理,需要保證操作、管理、維護(hù)和配置(OAMP)信息的安全,防止設(shè)備被非法接管。

  (7).身份和安全注冊(cè)需求

  NGN需要防止用戶身份被竊取,防止網(wǎng)絡(luò)設(shè)備、終端和用戶的偽裝、欺騙以及對(duì)資源、系統(tǒng)和業(yè)務(wù)的非法訪問(wèn)。

  (8).通信和數(shù)據(jù)安全需求

  NGN需要保證通信與數(shù)據(jù)的安全,包括用戶面數(shù)據(jù)、控制面數(shù)據(jù)和管理面數(shù)據(jù)。用戶和邏輯網(wǎng)元的接口以及不同運(yùn)營(yíng)商之間的接口都需要進(jìn)行安全保護(hù),信令需要逐跳保證私密性和完整性。

  (9).隱私保證需求

  保護(hù)運(yùn)營(yíng)商網(wǎng)絡(luò)、業(yè)務(wù)提供商網(wǎng)絡(luò)的隱私性以及用戶信息的隱私性。

  (10).密鑰管理需求

  保證信任域與非信任域之間密鑰交換的安全,密鑰管理機(jī)制需要支持網(wǎng)絡(luò)地址映射/網(wǎng)絡(luò)地址端口轉(zhuǎn)換(NAT/NAPT)設(shè)備的穿越。

  (11).NAT/防火墻互連需求

  支持NGN中NAT/防火墻功能。防火墻可以是應(yīng)用級(jí)網(wǎng)關(guān)(ALG)、代理、包過(guò)濾、NAT/NAPT等設(shè)備,或者上述的組合。

  (12).安全保證需求

  對(duì)NGN設(shè)備和系統(tǒng)進(jìn)行評(píng)估和認(rèn)證, 對(duì)網(wǎng)絡(luò)潛在的威脅和誤用在威脅、脆弱性、風(fēng)險(xiǎn)和評(píng)估(TVRA)中有所體現(xiàn)。

  (13).安全機(jī)制增強(qiáng)需求

  對(duì)加密算法的定義和選擇符合ES 202 238的指導(dǎo)[10]。

  (14).其他安全需求

  安全管理和不可否認(rèn)性需求等還處于待研究的狀態(tài)。

NGN安全體系架構(gòu)

  NGN安全體系架構(gòu)是一個(gè)體系,本身很難用一個(gè)單一的標(biāo)準(zhǔn)來(lái)涵蓋,其設(shè)計(jì)需要滿足以下條件:

  具有可擴(kuò)展性、實(shí)用性;

  基于成熟的安全機(jī)制和實(shí)現(xiàn)技術(shù);

  能夠?qū)崿F(xiàn)應(yīng)用層、業(yè)務(wù)層和傳輸層的分離,不同層次上能夠采用不同的安全措施;

  安全措施的應(yīng)用不影響業(yè)務(wù)的服務(wù)質(zhì)量;

  滿足網(wǎng)絡(luò)運(yùn)營(yíng)商、業(yè)務(wù)提供商和用戶的安全需求;

  能夠?qū)崿F(xiàn)互操作。

  NGN在網(wǎng)絡(luò)架構(gòu)中引入了多種商業(yè)模型,例如,接入網(wǎng)和骨干網(wǎng)可能屬于不同的運(yùn)營(yíng)商,有不同的安全策略,需要隔離不同層面的安全問(wèn)題。為此,NGN按照邏輯方式和物理方式,對(duì)圖1中的網(wǎng)絡(luò)進(jìn)行了劃分,形成了不同的安全域,每一安全域可以對(duì)應(yīng)著一種特定的安全策略,運(yùn)營(yíng)商通過(guò)實(shí)施各種安全策略對(duì)安全域里和安全域間的功能要素和活動(dòng)進(jìn)行保護(hù)。

  安全域可以分為信任域、脆弱信任域和非信任域。對(duì)于某一特定的網(wǎng)絡(luò)運(yùn)營(yíng)商,信任域是指不與用戶設(shè)備直接通信、處于該運(yùn)營(yíng)商完全控制之下的安全域,例如骨干網(wǎng);脆弱信任域是指屬于該網(wǎng)絡(luò)運(yùn)營(yíng)商管理但不一定由該網(wǎng)絡(luò)運(yùn)營(yíng)商控制、連接信任域和非信任域的安全域,例如接入網(wǎng)、邊界網(wǎng)關(guān);非信任域是指不屬于該運(yùn)營(yíng)商管理的安全域,例如用戶網(wǎng)絡(luò)、不被信任的其他運(yùn)營(yíng)商網(wǎng)絡(luò)。在不同的安全域里,安全威脅、脆弱性、風(fēng)險(xiǎn)是不同的,因此安全需求也就不一樣,網(wǎng)絡(luò)運(yùn)營(yíng)商和業(yè)務(wù)提供商需要分別制定安全策略,采用各種安全機(jī)制的組合,來(lái)保證其網(wǎng)絡(luò)和網(wǎng)絡(luò)之上端到端用戶業(yè)務(wù)的安全性。

  根據(jù)NGN分層的思想(如圖1所示),NGN安全體系架構(gòu),在水平方向上可以劃分為傳送層安全和業(yè)務(wù)層安全。傳送層和業(yè)務(wù)層的安全體系架構(gòu)應(yīng)相對(duì)獨(dú)立,傳送層安全體系架構(gòu)主要是解決數(shù)據(jù)傳輸?shù)陌踩,業(yè)務(wù)層安全體系架構(gòu)主要解決業(yè)務(wù)平臺(tái)的安全。例如,電信和互聯(lián)網(wǎng)融合業(yè)務(wù)及高級(jí)網(wǎng)絡(luò)協(xié)議(TISPAN)規(guī)定,傳送層采用網(wǎng)絡(luò)附著子系統(tǒng)(NASS)憑證, 業(yè)務(wù)控制層采用IP多媒體子系統(tǒng)(IMS)認(rèn)證和密鑰協(xié)商(AKA)模式,應(yīng)用層采用基于通用用戶識(shí)別模塊(USIM)集成電路卡(UICC)的GBA (GBA-U) 模式。

  NGN安全的系統(tǒng)架構(gòu)在垂直方向上可以劃分為接入網(wǎng)安全、骨干網(wǎng)安全和業(yè)務(wù)網(wǎng)安全,從而使得原來(lái)網(wǎng)絡(luò)端到端安全變成了網(wǎng)絡(luò)逐段安全。在垂直方向上,NGN可以被劃分成多個(gè)安全域。

  接入網(wǎng)通過(guò)接入控制部分對(duì)用戶的接入進(jìn)行控制,防止非授權(quán)用戶訪問(wèn)傳送網(wǎng)絡(luò),并負(fù)責(zé)用戶終端IP地址的分配;骨干網(wǎng)通過(guò)邊界網(wǎng)關(guān)對(duì)網(wǎng)絡(luò)互連進(jìn)行控制,保證只有被授權(quán)的其他網(wǎng)絡(luò)上的用戶面、控制面和管理面才能接入信任域;業(yè)務(wù)網(wǎng)通過(guò)業(yè)務(wù)控制部分和根據(jù)需要通過(guò)應(yīng)用與業(yè)務(wù)支持部分對(duì)用戶訪問(wèn)業(yè)務(wù)進(jìn)行控制,防止非授權(quán)用戶訪問(wèn)業(yè)務(wù),或授權(quán)用戶訪問(wèn)非授權(quán)業(yè)務(wù)。

  安全域之間用安全網(wǎng)關(guān)(SEGF)互聯(lián),如圖4所示。在每個(gè)安全域里,除了SEGF之外,可能還存在SEG證書權(quán)威(CA)和互聯(lián)CA。同一個(gè)安全域的SEGF采用IETF安全協(xié)議實(shí)現(xiàn)域內(nèi)端到端安全。

  SEGF是安全域邊界實(shí)體,是防范來(lái)自其他安全域攻擊的主要網(wǎng)元。它通過(guò)將來(lái)自其他安全域的流量與信任域內(nèi)流量進(jìn)行隔離,要求其他安全域流量必須通過(guò)特定的SEGF才能進(jìn)入信任域,在向信任域里轉(zhuǎn)發(fā)來(lái)自其他安全域的流量前,必須進(jìn)行驗(yàn)證,以防止攔截、篡改、拒絕式攻擊、地址和身份欺騙、竊聽、偽裝等安全事件在信任域里的出現(xiàn)。例如,可以根據(jù)指定的安全策略,在管理面和控制面上使用接入控制,限制特定用戶接入或?qū)μ囟I(yè)務(wù)的訪問(wèn)。SEGF需要實(shí)現(xiàn)設(shè)備級(jí)物理安全措施、系統(tǒng)加固、安全信令、OAMP 虛擬專網(wǎng)(VPN)等方式之外,還需要采用防火墻、入侵檢測(cè)、內(nèi)容過(guò)濾、VPN接入、VPN互連等功能。

  SEGF提供的安全服務(wù)包括認(rèn)證、授權(quán)、私密性、完整性、密鑰管理和策略實(shí)施等。SEGF對(duì)于從信任域里發(fā)送來(lái)的請(qǐng)求,可以采用信任方式,不需要再進(jìn)行驗(yàn)證。

安全機(jī)制

  網(wǎng)絡(luò)安全機(jī)制,就是在安全體系架構(gòu)下實(shí)現(xiàn)這些安全需求,防止未授權(quán)的信息采集與信息攔截、非法設(shè)備接管與控制、資源與信息的破壞/刪除/修改/泄露、業(yè)務(wù)中斷等安全問(wèn)題的發(fā)生。

  (1).身份識(shí)別、認(rèn)證與授權(quán)機(jī)制

  用戶訪問(wèn)網(wǎng)絡(luò),需要向網(wǎng)絡(luò)和業(yè)務(wù)申明其身份,以便網(wǎng)絡(luò)和業(yè)務(wù)能夠識(shí)別其是否有權(quán)限訪問(wèn)所申請(qǐng)的資源和業(yè)務(wù)。

  目前用于身份識(shí)別的技術(shù)多種多樣,如身份識(shí)別模塊(SIM)卡、智能卡、用戶名/口令、設(shè)備序列號(hào)、電話號(hào)碼、標(biāo)識(shí)、令牌、生物特征碼、數(shù)字證書、消息認(rèn)證碼等。

  在NGN中,存在著不同的接入方式、不同的網(wǎng)絡(luò)運(yùn)營(yíng)商、不同的業(yè)務(wù)提供商,為了使用戶能夠無(wú)縫透明地使用網(wǎng)絡(luò)業(yè)務(wù),需要在用戶與各個(gè)網(wǎng)絡(luò)和業(yè)務(wù)之間建立一種信任關(guān)系。為了對(duì)用戶進(jìn)行統(tǒng)一管理,OPENID、OASIS、LIBERTY ALLIANCE等標(biāo)準(zhǔn)組織在開展身份管理(IdM)的研究,ITU-T目前也設(shè)置了專門的焦點(diǎn)組(FG),希望在未來(lái)能夠用統(tǒng)一的身份對(duì)各種NGN實(shí)體進(jìn)行管理,如業(yè)務(wù)提供商、網(wǎng)絡(luò)運(yùn)營(yíng)商、網(wǎng)元、用戶設(shè)備、用戶等。

  此外,當(dāng)非信任域?qū)嶓w需要訪問(wèn)脆弱信任域?qū)嶓w或通過(guò)脆弱信任域?qū)嶓w訪問(wèn)信任域?qū)嶓w時(shí),或者用戶終端需要訪問(wèn)非信任域?qū)嶓w時(shí),甚至安全域內(nèi)部實(shí)體互相訪問(wèn)時(shí),根據(jù)安全策略設(shè)置,可能需要進(jìn)行單向認(rèn)證或雙向認(rèn)證,也就是請(qǐng)求訪問(wèn)的實(shí)體需要與管理被訪問(wèn)實(shí)體的認(rèn)證者(Authenticator)之間交換憑證(Credentials),Authenticator根據(jù)收到的Credentials,采用預(yù)先約定的共享密鑰方式或X.509證書方式,將資源請(qǐng)求或業(yè)務(wù)請(qǐng)求與發(fā)起請(qǐng)求的網(wǎng)絡(luò)設(shè)備、用戶設(shè)備和用戶關(guān)聯(lián)起來(lái),利用事先存儲(chǔ)的該網(wǎng)絡(luò)設(shè)備、用戶設(shè)備和用戶的Credentials,進(jìn)行身份認(rèn)證。只有通過(guò)身份認(rèn)證的請(qǐng)求訪問(wèn)實(shí)體,才能與被訪問(wèn)實(shí)體進(jìn)行通信。

  同時(shí),根據(jù)安全策略的設(shè)置,可能需要對(duì)該請(qǐng)求訪問(wèn)實(shí)體的訪問(wèn)權(quán)限進(jìn)行限定,使得通過(guò)認(rèn)證的請(qǐng)求訪問(wèn)實(shí)體只能根據(jù)授權(quán)使用被訪問(wèn)實(shí)體上指定的資源和業(yè)務(wù)。認(rèn)證與授權(quán)技術(shù)非常多,主要包括: IETF PAP、CHAP、EAP、PANA、RADIUS、DIAMETER、LDAP、Kerberos、3GPP AKA、GAA/GBA、IEEE 802.1x等。

  (2).傳送安全機(jī)制

  在NGN體系架構(gòu)中,采用VPN技術(shù)保證信令信息和OAMP信息的安全。四層VPN技術(shù)主要為傳輸層安全(TLS),三層VPN技術(shù)主要為IPsec。其中,TLS是基于客戶端服務(wù)器模式實(shí)現(xiàn),在傳輸控制協(xié)議(TCP)或流控制傳輸協(xié)議(SCTP)上傳送,可以用于各個(gè)安全域內(nèi),也可以用于不同的安全域之間,能夠保證傳送信息的私密性和完整性;IPsec在IP層上傳送,通常用于信任域內(nèi)、脆弱信任域內(nèi)和不同安全域之間,能夠在保證傳送信息私密性和完整性的同時(shí)防止重放攻擊。IPsec有多種認(rèn)證算法,在NGN中,可能采用RFC 2403 HMAC-MD5-96和RFC 2404 HMAC-SHA-1-96中方法,對(duì)于其中的密鑰,可以采用互聯(lián)網(wǎng)密鑰交換(IKE)實(shí)現(xiàn)密鑰自動(dòng)交換。

  通常情況下,NGN中不考慮媒體流的安全問(wèn)題。如果用戶要求對(duì)媒體流的安全進(jìn)行保護(hù),則可以采用安全實(shí)時(shí)傳輸協(xié)議(SRTP)或簡(jiǎn)單認(rèn)證安全層(SASL)技術(shù),能夠提供認(rèn)證、私密性和完整性保護(hù)。

  傳送安全機(jī)制中,為了避免出現(xiàn)重復(fù)加密、影響網(wǎng)絡(luò)性能的現(xiàn)象,不同的技術(shù)不能同時(shí)使用。

  (3).訪問(wèn)控制機(jī)制

  訪問(wèn)控制機(jī)制通常與身份識(shí)別、認(rèn)證與授權(quán)機(jī)制結(jié)合在一起,能夠有效地防止非授權(quán)用戶或設(shè)備使用網(wǎng)絡(luò)資源、系統(tǒng)、信息和業(yè)務(wù),以及授權(quán)用戶或設(shè)備非法訪問(wèn)未授權(quán)的網(wǎng)絡(luò)資源、系統(tǒng)、信息和業(yè)務(wù)。

  (4).審計(jì)與監(jiān)控機(jī)制

  NGN設(shè)備需要對(duì)其上發(fā)生的所有事件,根據(jù)安全策略的要求,記錄安全日志,并能夠由簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)通過(guò)IPsec將日志信息發(fā)送到指定的服務(wù)器上,以便能夠評(píng)價(jià)系統(tǒng)的安全性和分析系統(tǒng)出現(xiàn)的安全問(wèn)題。NGN設(shè)備需要支持日常維護(hù)和安全補(bǔ)丁檢測(cè)與自動(dòng)安裝功能,支持系統(tǒng)自動(dòng)恢復(fù)和回滾功能。NGN設(shè)備上需要安裝完整性驗(yàn)證代理,當(dāng)發(fā)現(xiàn)問(wèn)題時(shí),需要上報(bào)。NGN可能需要通過(guò)OAMP對(duì)用戶駐地設(shè)備-邊界元素(CPE-BE)進(jìn)行管理,此時(shí)CPE-BE需要具有同樣功能,且信息傳送需要通過(guò)VPN技術(shù)實(shí)現(xiàn)。

  NGN網(wǎng)絡(luò)可能需要為非信任域的用戶駐地設(shè)備(CPE)提供配置機(jī)制。在CPE啟動(dòng)階段,CPE通過(guò)位于脆弱信任域中的設(shè)備配置與啟動(dòng)-邊界元素(DCB-BE)進(jìn)行認(rèn)證,建立傳送安全通道,與位于信任域中的CPE配置單元建立聯(lián)系,獲取配置文件。

  (5).密鑰交換與管理機(jī)制

  密鑰生成、存儲(chǔ)和交換方式的安全性和證書格式、證書驗(yàn)證方式是信息網(wǎng)絡(luò)安全性研究的核心內(nèi)容之一,NGN支持采用預(yù)共享密鑰或公私密鑰對(duì)進(jìn)行加密兩種加密方式,支持現(xiàn)有的各種密鑰交換與管理機(jī)制,主要包括:IETF PKIX、IKEv2、D-H交換、Mikey、ITU X.509、X.akm、手工配置等方式。

  (6).OAMP機(jī)制

  NGN具有獨(dú)立的OAMP IP地址塊,每個(gè)設(shè)備上有物理接口或邏輯接口,在該地址塊內(nèi)分配IP地址,用于OAMP接口。因此,NGN設(shè)備將在OAMP接口上直接丟棄從其他IP地址來(lái)的OAMP流量,而且將在其他接口上直接丟棄OAMP流量。訪問(wèn)NGN設(shè)備上的OAMP接口,需要通過(guò)認(rèn)證;當(dāng)通過(guò)認(rèn)證的用戶訪問(wèn)時(shí),系統(tǒng)將提供日志功能和回滾功能。另外,如果OAMP流量通過(guò)非信任區(qū),則需要采用安全措施。

  (7).系統(tǒng)管理機(jī)制

  為了規(guī)避安全問(wèn)題,減少網(wǎng)絡(luò)安全漏洞,NGN上只有得到應(yīng)用的設(shè)備才能存在于網(wǎng)絡(luò)上;設(shè)備上沒有使用的端口必須關(guān)閉掉;設(shè)備上的操作系統(tǒng)必須配置好安全措施,并及時(shí)地進(jìn)行加固,一旦設(shè)備供應(yīng)商提供了安全補(bǔ)丁,在經(jīng)過(guò)網(wǎng)絡(luò)運(yùn)營(yíng)商或業(yè)務(wù)提供商許可后,需要立即安裝;設(shè)備上需要配置物理的或邏輯的接入控制措施;設(shè)備上應(yīng)用軟件與系統(tǒng)軟件相比具有更低的優(yōu)先級(jí);網(wǎng)絡(luò)管理系統(tǒng)與被管理實(shí)體之間的信息傳送需要采用VPN技術(shù)實(shí)現(xiàn)。

  (8).其他機(jī)制

  NGN中,一方面采用了現(xiàn)有的多種安全機(jī)制,來(lái)滿足安全需求,例如,采用加密方法實(shí)現(xiàn)隱私保證、通信和數(shù)據(jù)安全等;另一方面,一些安全機(jī)制還有待研究,例如NAT/防火墻穿越安全機(jī)制。

結(jié)束語(yǔ)

  當(dāng)今,隨著網(wǎng)絡(luò)應(yīng)用的普及,財(cái)富日益集中在網(wǎng)絡(luò)上,幾乎每一個(gè)人都在關(guān)注信息網(wǎng)絡(luò)中的安全問(wèn)題。越是有錢的消費(fèi)者,對(duì)安全越重視;越是高端的運(yùn)營(yíng)商,也就越重視安全。為了滿足社會(huì)日益增長(zhǎng)的網(wǎng)絡(luò)安全需求,中興通訊公司在TCP/IP協(xié)議棧平臺(tái)基礎(chǔ)上,進(jìn)一步開發(fā)了終端安全模塊、業(yè)務(wù)系統(tǒng)安全模塊、網(wǎng)管系統(tǒng)安全模塊、無(wú)線網(wǎng)絡(luò)安全模塊、有線網(wǎng)絡(luò)安全模塊等,為中興通訊公司全系列通信產(chǎn)品提供統(tǒng)一的安全解決方案,覆蓋ITU-T X.805 3層3面8個(gè)維度,包括現(xiàn)有各種安全技術(shù),具有很強(qiáng)的靈活性和可擴(kuò)展性,能夠經(jīng)濟(jì)地、有效地保護(hù)政府部門、網(wǎng)絡(luò)運(yùn)營(yíng)商、業(yè)務(wù)提供商和用戶對(duì)現(xiàn)有網(wǎng)絡(luò)使用的合法權(quán)益。

  網(wǎng)絡(luò)安全是一個(gè)相對(duì)的概念,絕對(duì)的網(wǎng)絡(luò)安全是不存在的。隨著NGN技術(shù)和Everything over IP的發(fā)展,網(wǎng)絡(luò)安全的需求將變得更加迫切。

  本文提出的NGN各種安全技術(shù),能夠很容易地被中興通訊公司統(tǒng)一安全解決方案平滑地支持,能夠滿足不同應(yīng)用環(huán)境下網(wǎng)絡(luò)運(yùn)營(yíng)商、業(yè)務(wù)提供商和用戶多樣化的安全需求,在保證實(shí)現(xiàn)NGN上資源、系統(tǒng)和用戶信息安全的同時(shí)滿足政府部門對(duì)于合法監(jiān)聽的需求,為網(wǎng)絡(luò)運(yùn)營(yíng)商和業(yè)務(wù)提供商開展差異化競(jìng)爭(zhēng)提供了重要的手段。

參考文獻(xiàn)

  [1]ISO/IEC13335.Information technology—Guidelines for the management of IT security[S]. 2004.

  [2]ETSITS187 001. Telecommunications and Internet converged services and protocols for advanced networking (TISPAN); NGN SECurity (SEC); Requirements[S].

  [3]ETSITR187 002. Telecommunications and Internet converged services and protocols for advanced networking (TISPAN); TISPAN NGN security (NGN_SEC); Threat and risk analysis[S].

  [4]ITU-TTD322(WP2/13). Draft Y.NGN certificate management[S].

  [5]ITU-TTD312(WP2/13). Proposed texts for draft Y.IdMsec (NGN identity management security)[S].

  [6]ITU-TTDTD 199 (WP 2/13). Draft Recommendation Y.2012 (formally Y.NGN-FRA) [Draft Version 0.8][S].

  [7]ETSIES282 003. Telecommunications and Internet converged services and protocols for advanced networking (TISPAN); Resource and admission control sub system (RACS); Functional architecture[S].

  [8]ITU-TX.805.Security architecture for systems providing end to end communications[S].

  [9]ITU-TTD256 (PLEN). Output of draft recommendation Y.2701 (Security requirements for NGN Release 1)[S].

  [10]ETSIES202 238. Telecommunications and Internet protocol harmonization over networks (TIPHON); Evaluation criteria for cryptographic algorithms (NGN Release 1) for decision [S].

  [11]ETSIES282 001. Telecommunications and Internet converged services and protocols for advanced networking (TISPAN); NGN functional architecture release 1 [S].

  [12]ETSIES282 004. Telecommunications and Internet converged services and protocols for advanced networking (TISPAN); NGN functional architecture; Network attachment sub system (NASS)[S].

  [13]ETSITS133 210. Digital cellular telecommunications system (Phase 2+); Universal mobile telecommunications system (UMTS); 3G security; Network domain security (NDS); IP network layer security (3GPP TS 33.210)[S].

  [14]ETSITS133 222. Universal mobile telecommunications system (UMTS); Generic authentication architecture (GAA); Access to network application functions using hypertext transfer protocol over transport layer security (HTTPS) (3GPP TS 33.222)[S].

  [15]ITU-TTD328(WP2/13). Draft recommendation Y.secMechanisms (NGN security mechanisms and procedures) [S].

  [16]ITU-TTD323(WP2/13). Output Draft Y.NGN Authentication[S].

  [17]ITU-TTD324(WP2/13). The Second Version of Y.NGN AAA [S].

作者簡(jiǎn)介

  滕志猛,博士,畢業(yè)于東南大學(xué)。曾工作于南京大學(xué)博士后流動(dòng)站和江蘇省多媒體通信局,現(xiàn)工作于中興通訊股份有限公司。曾負(fù)責(zé)數(shù)據(jù)通信產(chǎn)品和移動(dòng)通信產(chǎn)品的研發(fā),現(xiàn)負(fù)責(zé)中心研究院數(shù)據(jù)分中心的產(chǎn)品預(yù)研,長(zhǎng)期從事網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)、網(wǎng)絡(luò)服務(wù)質(zhì)量保證、網(wǎng)絡(luò)安全技術(shù)和業(yè)務(wù)實(shí)現(xiàn)技術(shù)的研究。吳波,西安電子科技大學(xué)碩士畢業(yè)。現(xiàn)任中興通訊股份有限公司中心研究院數(shù)據(jù)分中心系統(tǒng)工程師,曾從事IP產(chǎn)品和平臺(tái)的開發(fā),現(xiàn)主要從事下一代網(wǎng)絡(luò)技術(shù)預(yù)研。韋銀星,博士,畢業(yè)于上海交通大學(xué)。現(xiàn)任中興通訊股份有限公司中心研究院數(shù)據(jù)分中心系統(tǒng)工程師,曾參加3G平臺(tái)產(chǎn)品的研發(fā),現(xiàn)主要研究領(lǐng)域?yàn)橄乱淮W(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)安全技術(shù)。已發(fā)表論文10余篇。

通信世界網(wǎng)(www.cww.net.cn)


相關(guān)鏈接:
浙江網(wǎng)通下一代語(yǔ)音網(wǎng)絡(luò)改造詮釋“融合” 2007-10-17
一種基于軟交換的3G與WLAN互通設(shè)計(jì) 2007-10-16
下一代網(wǎng)絡(luò)呼喚高智能支撐系統(tǒng) 2007-10-09
軟交換技術(shù)網(wǎng)絡(luò)編號(hào)說(shuō)明 2007-10-09
軟交換發(fā)展關(guān)鍵:完善協(xié)議 2007-09-27

分類信息:  電信_(tái)與_NGN及軟交換技術(shù)     行業(yè)_電信_(tái)文摘   技術(shù)_NGN及軟交換_文摘