NGN分層網(wǎng)絡安全方案_電信_NGN及軟交換

NGN分層網(wǎng)絡安全方案

2008/04/23

　　摘要　下一代網(wǎng)絡（NGN）是近幾年出現(xiàn)的電信新技術(shù)，是電信史上的一塊里程碑，它是綜合、開放的網(wǎng)絡構(gòu)架，提供話音、數(shù)據(jù)和多媒體等業(yè)務。NGN是電信級網(wǎng)絡，電信級網(wǎng)絡最大的特點就是安全、可靠和高可用性。如何確保網(wǎng)絡安全性是電信設(shè)備必須考慮的重要因素。文章通過下一代網(wǎng)絡的四個層次，介紹各層次安全技術(shù)的研究和措施的實施，研究可行有效的安全機制，指出構(gòu)筑NGN安全可靠性的安全防御框架。

0、引言

　　基于軟交換技術(shù)的下一代網(wǎng)絡（NGN）是業(yè)務驅(qū)動的網(wǎng)絡，通過呼叫控制、媒體交換及承載的分離，實現(xiàn)了開放的分層架構(gòu)。軟交換網(wǎng)絡分為接入層、承載層、控制層和業(yè)務層四大層次。接入層負責在用戶端支持多種業(yè)務的接入，接入設(shè)備應能向上連接到高速傳輸線路，向下支持多種業(yè)務的接口。承載層負責建立和管理承載連接，并對這些連接進行交換和路由分配，用以響應控制層的控制命令。控制層主要涉及軟交換相關(guān)的功能，完成業(yè)務邏輯的具體執(zhí)行，其中包含呼叫智能和路由等操作。控制層是NGN的核心，決定用戶收到的業(yè)務，并能控制低層網(wǎng)絡元素對業(yè)務流的處理。網(wǎng)絡業(yè)務層主要負責業(yè)務邏輯的相關(guān)處理，如業(yè)務生成、業(yè)務邏輯定義和業(yè)務編程接口等。各層次網(wǎng)絡單元通過標準協(xié)議互通，可以各自獨立演進，以適應未來技術(shù)的發(fā)展。

　　NGN是在當今電信網(wǎng)絡基礎(chǔ)上演變、融合而來的，理想的NGN可以實現(xiàn)各種網(wǎng)絡的互通，用戶可以在任何時間、任何地點、以多種方式享受網(wǎng)絡提供的各種服務。在不久的將來，用戶可以在電話機上與朋友“面對面”地視頻聊天；用很少的話費與異國的朋友盡情交談。但事物都具有兩面性，NGN為我們帶來便利的同時，也帶來了更加嚴峻的安全問題。

　　面臨諸多的安全問題，筆者認為在NGN發(fā)展演進過程中，要積極進行各層次安全技術(shù)的研究和措施的實施，研究可行有效的安全機制和安全防御框架。

1、接入層用戶的安全管理

　　根據(jù)安全需求的不同，可將軟交換網(wǎng)絡分為內(nèi)網(wǎng)區(qū)、隔離區(qū)和外網(wǎng)區(qū)等不同的安全區(qū)域。外網(wǎng)區(qū)是由會話啟動協(xié)議（SIP）終端和普通用戶綜合接入設(shè)備（IAD）等終端設(shè)備組成的網(wǎng)絡區(qū)域，該網(wǎng)絡區(qū)域設(shè)備放置在用戶側(cè)，為個人用戶提供服務。內(nèi)網(wǎng)區(qū)是由軟交換、信令網(wǎng)關(guān)、應用服務器、媒體服務器、中繼網(wǎng)關(guān)和大容量用戶綜合接入網(wǎng)關(guān)等設(shè)備組成的網(wǎng)絡區(qū)域。隔離區(qū)是由軟交換用戶下載服務器、應用門戶服務器和域名系統(tǒng)（DNS）等設(shè)備組成的網(wǎng)絡區(qū)域。

　　對接入層用戶應部署以下安全訪問策略：a）根據(jù)網(wǎng)絡安全的最小化服務原則，隔離區(qū)對外網(wǎng)區(qū)只開放必需的服務端口，其他不需要的端口一律用防火墻屏蔽。b）外網(wǎng)區(qū)終端允許使用SIP、媒體網(wǎng)關(guān)控制協(xié)議（MGCP）或H.248協(xié)議，通過邊緣接入控制設(shè)備作為代理訪問內(nèi)網(wǎng)區(qū)，再通過用戶和業(yè)務認證后，允許實時傳送協(xié)議/RTP控制協(xié)議（RTP/RTCP）數(shù)據(jù)包通過邊緣接入控制設(shè)備作為代理進入內(nèi)網(wǎng)區(qū)。c）外網(wǎng)區(qū)終端不能使用除SIP、MGCP和H.248之外的協(xié)議直接訪問內(nèi)部網(wǎng)絡，對內(nèi)部網(wǎng)絡設(shè)備的訪問必須通過隔離區(qū)設(shè)備代理進行。d）外網(wǎng)區(qū)終端獲得允許后可以使用隔離區(qū)服務器提供的服務。

　　設(shè)置接入安全防線，接入設(shè)備/用戶接入需要經(jīng)過身份認證才可接入軟交換網(wǎng)絡，同時在這個點設(shè)置用戶的業(yè)務權(quán)限，這條防線可以避免非法用戶進入軟交換網(wǎng)絡。同時，用戶的身份得到確認可以方便進行事后審計和追蹤，有效防止用戶側(cè)的網(wǎng)絡攻擊行為。接入層安全問題主要涉及接入側(cè)設(shè)備及用戶信息的安全。這些通常通過認證、鑒權(quán)機制和隔離機制來保證。

　　保證用戶信息安全，在接入層仍要對通信流量進行隔離，這里包括軟交換業(yè)務用戶與其他業(yè)務用戶（如普通數(shù)據(jù)業(yè)務用戶）之間的隔離以及兩個軟交換用戶之間的隔離。采用虛擬局域網(wǎng)（VLAN）在第二層實現(xiàn)隔離，能有效杜絕廣播包的攻擊和用戶信息的泄露。另外通過訪問控制列表（ACL）可在第三層上進行軟交換終端用戶之間的受控互訪或軟交換終端用戶對軟交換其他設(shè)備的互訪。進一步通過IP+VLAN+MAC綁定，可以限制每個VLAN接入的用戶數(shù)目，保護網(wǎng)上關(guān)鍵資源，并有效防止用戶地址盜用和用戶仿冒的發(fā)生。

　　軟交換網(wǎng)絡需要對接入到控制層的接入設(shè)備進行認證，以保證接入設(shè)備的合法性。以IAD為例，當不可信任的IAD向軟交換進行注冊時，應攜帶用于該設(shè)備進行認證的設(shè)備信息（如設(shè)備的標識、MAC地址或預先獲得的鑒權(quán)密鑰等），并且可以對這些信息加密傳送。軟交換根據(jù)注冊消息中所包含的信息對IAD進行認證，認證通過后，激活相應的業(yè)務端口，用戶獲得使用業(yè)務的權(quán)限。

2、承載網(wǎng)的安全

　　承載網(wǎng)安全直接影響NGN的業(yè)務質(zhì)量。 NGN承載網(wǎng)采用IP技術(shù)，其開放性特點非常適合網(wǎng)絡業(yè)務的發(fā)展，但IP協(xié)議的開放性和公用性也使NGN不可避免地受到黑客或病毒程序的攻擊或干擾。

　　隨著NGN、3G、虛擬專用網(wǎng)絡（VPN）等新業(yè)務的不斷涌現(xiàn)，用戶數(shù)量的不斷增加，原Internet業(yè)務接入平面的IP承載網(wǎng)已無法滿足要求。a）原有設(shè)備容量不足，無法滿足快速增長的用戶對寬帶的需求和未來良好的擴展。b）原有網(wǎng)絡在多協(xié)議標簽交換（MPLS）VPN、高可靠性、QoS、組播、IPv6等諸多方面能力不足，無法承載電信級的新業(yè)務。

　　近幾年，多業(yè)務IP承載網(wǎng)進入高速發(fā)展的黃金時期，MPLS技術(shù)與傳統(tǒng)的IP分組技術(shù)結(jié)合，引入了基于MPLS的流量工程（MPLS TE）技術(shù)，使傳統(tǒng)的IP分組網(wǎng)具備了電信級的可管理性，同時業(yè)務的承載方式也更加靈活，包括IP報文、MPLS，甚至可以對跨越不同自治系統(tǒng)（AS）的業(yè)務提供統(tǒng)一的端到端承載。傳統(tǒng)的MPLS將面向非連接的IP業(yè)務移植到面向連接的標記交換業(yè)務之上，實現(xiàn)時將路由選擇層面與數(shù)據(jù)轉(zhuǎn)發(fā)層面分離。MPLS網(wǎng)絡中，在入口標簽交換路由器（LSR）處，分組按照不同轉(zhuǎn)發(fā)要求劃分成不同轉(zhuǎn)發(fā)等價類前向糾錯（FEC），并將每個特定FEC映射到下一跳。每一特定FEC都被編碼為一個短而定長的值，稱為標記，標記加在分組前成為標記分組，再轉(zhuǎn)發(fā)到下一跳。在后續(xù)的每一跳上，不再需要分析分組頭，而是用標記作為指針，指向下一跳的輸出端口和一個新的標記，標記分組用新標記替代舊標記后經(jīng)指定的輸出端口轉(zhuǎn)發(fā)。在出口LSR上，去除標記，使用IP路由機制將分組向目的地轉(zhuǎn)發(fā)。MPLS-TE是在MPLS網(wǎng)絡上的流量工程，是指為業(yè)務流選擇路徑的處理過程，以在網(wǎng)絡中不同的鏈路、路由器和交換機之間均衡業(yè)務流負載。

　　多業(yè)務IP承載網(wǎng)分為接入層、匯聚層、核心層，通過在不同層實施局部的可靠性策略，可以分段保證網(wǎng)絡的可靠性。相對網(wǎng)絡節(jié)點設(shè)備的可靠性，這一擴展技術(shù)可以在無需大幅度提高對網(wǎng)絡設(shè)備要求的情況下，顯著提高業(yè)務的可靠性。在接入層，推薦采用冗余備份或負載分擔接入策略，將業(yè)務系統(tǒng)設(shè)備（如媒體網(wǎng)關(guān)、CE設(shè)備）雙歸接入到兩臺PE設(shè)備上。在匯聚層和核心層，推薦采用雙節(jié)點冗余備份策略，當某節(jié)點發(fā)生故障時，備份節(jié)點可以保證業(yè)務不間斷轉(zhuǎn)發(fā)。對于核心層的鏈路連接，采用POS接口進行Full Mesh連接。POS接口具有類似同步數(shù)字體系（SDH）的快速故障檢測機制，而Full Mesh連接方式可以保證任何單鏈路發(fā)生故障時，由于流量迂回而增加的網(wǎng)絡跳數(shù)不超過一跳。

　　網(wǎng)絡設(shè)備是組成多業(yè)務IP承載網(wǎng)的基本節(jié)點，其可靠性是整網(wǎng)可靠性的基礎(chǔ)。主流網(wǎng)絡設(shè)備的關(guān)鍵部件包括主控單元、交換單元、電源、制冷系統(tǒng)等，大多采用熱備份冗余設(shè)計，這是保證電信級IP承載網(wǎng)可靠性的最基本要求。接口、線路卡的快速故障感知和倒換功能同樣非常重要。由于傳統(tǒng)的Ethernet接口承載的純數(shù)據(jù)業(yè)務對時延不敏感，因此普遍未采用特別的故障檢測技術(shù)，接口故障的探測時間在1s級別，這顯然無法滿足VoIP等實時電信業(yè)務的要求。于是，業(yè)界紛紛推出雙向偵測協(xié)議（BFD）、運行維護和管理（OAM）等快速檢測機制，通過與線路卡控制部分聯(lián)動，使接口或鏈路故障的感知時間小于50ms。

3、控制核心層的安全

　　控制層是整個NGN的核心層，其中的設(shè)備對整個網(wǎng)絡起著中央控制的作用。目前，設(shè)備生產(chǎn)廠商一般能通過板卡級冗余備份保證單一設(shè)備的可靠性。在此基礎(chǔ)上，各個運營商還會從網(wǎng)絡層面保證網(wǎng)絡可靠性，從而最大可能避免單點故障。對用戶而言，網(wǎng)絡永遠處于可用狀態(tài)，網(wǎng)絡核心控制設(shè)備的單點故障對用戶不可見。

　　軟交換網(wǎng)絡的特點是：在軟交換網(wǎng)絡中，為了保證出局或入局呼叫的正常接續(xù)，任何一個接點的軟交換設(shè)備都會設(shè)置主備用路由，當軟交換網(wǎng)絡采用分級結(jié)構(gòu)時，網(wǎng)絡結(jié)構(gòu)與公共交換電話網(wǎng)絡（PSTN）的網(wǎng)絡架構(gòu)相同，端局軟交換分別與兩個匯接局相連。軟交換也可以采用無級網(wǎng)絡，此時路由信息將從軟交換設(shè)備中剝離出來，統(tǒng)一放置在一個單獨物理設(shè)備中，稱為路由服務器。在無級網(wǎng)絡中，網(wǎng)絡中任何一個軟交換都能得到其他軟交換的地址信息，因此，主叫側(cè)軟交換將直接向目的地軟交換發(fā)起呼叫請求。這時，針對某一號碼段主備軟交換的信息設(shè)置將保留在路由服務器中。

　　軟交換網(wǎng)絡的最大優(yōu)點在于軟交換網(wǎng)絡采用分層架構(gòu)，將原來統(tǒng)一內(nèi)置在一個物理實體中的媒體處理模塊和信令處理模塊獨立分開。媒體處理模塊在軟交換網(wǎng)絡中稱為媒體網(wǎng)關(guān)設(shè)備（MG），信令處理模塊稱為軟交換設(shè)備。因此，在分層基礎(chǔ)上，軟交換網(wǎng)絡可以具備以下能力：當某一軟交換設(shè)備不能工作時，其下控制的媒體網(wǎng)關(guān)設(shè)備可以通過某種策略向另外一個軟交換設(shè)備注冊，從而最大程度地減少由于網(wǎng)絡問題而對用戶的影響。

　　對核心層設(shè)備采取可靠的解決方案：雙歸屬。雙歸屬從網(wǎng)絡角度解決軟交換網(wǎng)絡的安全問題，其核心思想是當網(wǎng)絡中某一臺軟交換發(fā)生故障時，保證該軟交換對應的業(yè)務能在短時間內(nèi)由其雙歸屬軟交換接管，使得業(yè)務能在短期內(nèi)得到恢復。

　　考慮綜合安全性因素和投入產(chǎn)出比，雙歸屬的兩個軟交換應該是互助關(guān)系而不是主備用關(guān)系。在正常情況下，它們分別承擔著各自的話務負荷，只有在異常情況下，才接管另外一臺設(shè)備所負荷的中繼網(wǎng)關(guān)/接入網(wǎng)關(guān)/多媒體網(wǎng)關(guān)（TG/AG/MG）。同時，出于對容災等安全性因素的考慮，雙歸屬的兩個軟交換局點可設(shè)置在不同的地理區(qū)域，提供異地容災能力。

　　歸屬的切換應是自動控制與手動控制的結(jié)合。自動控制是必須考慮的方式，只有自動控制才能做到實時對災害和事故進行監(jiān)控，減少損失。但是在某些特殊時期，如雙歸屬的另外一個局點尚未建設(shè)好，處于網(wǎng)絡頻繁調(diào)整期等，需要用手動控制來加以控制，因此手動控制的級別應高于自動控制。

4、業(yè)務網(wǎng)的安全

　　軟交換實現(xiàn)了控制與承載分離，用戶信息不再與物理線路綁定。在開放的互聯(lián)網(wǎng)絡上，通信雙方不再像PSTN那樣根據(jù)物理連接建立信任關(guān)系，因此，通信雙方或多方需要在互相通信時進行識別和確認，通信過程中業(yè)務消息的真實性也要確認，以防出現(xiàn)假冒網(wǎng)元、假冒用戶、盜用業(yè)務、非法管理網(wǎng)元等問題，影響軟交換網(wǎng)絡的運營。

　　業(yè)務安全防線設(shè)置在網(wǎng)絡設(shè)備上，主要實現(xiàn)網(wǎng)絡業(yè)務的安全防護，如通過設(shè)備相互認證進行設(shè)備間的訪問控制，通過對用戶業(yè)務權(quán)限認證避免業(yè)務被非法使用，通過協(xié)議信令的加密防止網(wǎng)絡監(jiān)聽等。

　　除設(shè)置接入安全防線外，還需采取有效的隔離措施。隔離措施包括業(yè)務隔離與用戶信息隔離等。軟交換網(wǎng)絡在組網(wǎng)上要求對不同的業(yè)務進行網(wǎng)段分離，實現(xiàn)安全風險限制，實現(xiàn)NGN業(yè)務與Internet業(yè)務之間的有效隔離。對業(yè)務網(wǎng)應只允許受限訪問，使其形成一個相對封閉的業(yè)務網(wǎng)。這種隔離可以在一定程度上屏蔽來自Internet的不安全因素。

　　為防止關(guān)鍵設(shè)備受到攻擊，NGN業(yè)務網(wǎng)核心設(shè)備軟交換、信令網(wǎng)關(guān)及中繼媒體網(wǎng)關(guān)等應通過防火墻實現(xiàn)與公用數(shù)據(jù)網(wǎng)隔離。數(shù)據(jù)業(yè)務網(wǎng)通過IP-IP網(wǎng)關(guān)與NGN業(yè)務網(wǎng)互通，安全性很高，NGN不易受到數(shù)據(jù)業(yè)務網(wǎng)的攻擊。

　　NGN安全可靠性方案只有分別從接入層、承載層、控制層、業(yè)務網(wǎng)進行網(wǎng)絡設(shè)備可靠性充分考慮和驗證，才能確保其成為一個電信級的網(wǎng)絡。

中國聯(lián)通網(wǎng)站

信產(chǎn)部科技司聞庫：發(fā)展NGN應爭取自主產(chǎn)權(quán) 2008-04-09

中興通訊核心網(wǎng)NGN產(chǎn)品總工屠嘉順訪談實錄 2008-04-09

NGN：在IP化道路上“邊走邊看” 2008-04-09

諾基亞西門子劉莉：全業(yè)務時代的融合解決方案 2008-04-08

分類信息: 電信_與_NGN及軟交換技術(shù) 行業(yè)_電信_文摘技術(shù)_NGN及軟交換_文摘
鲁山县| 台南县| 平塘县| 三台县| 呼图壁县| 兴仁县| 米泉市| 黄龙县| 合水县| 南充市| 三门峡市| 东乡县| 聂拉木县| 台湾省| 筠连县| 鸡东县| 安国市| 温州市| 新田县| 休宁县| 青阳县| 垫江县| 互助| 仙游县| 岳阳市| 东乌珠穆沁旗| 寿宁县| 乳山市| 慈溪市| 峨山| 格尔木市| 兖州市| 弋阳县| 偃师市| 南阳市| 思南县| 金门县| 兴隆县| 阳东县| 大宁县| 车致|