下一代網(wǎng)絡(luò )的安全技術(shù)
滕志猛 吳波 韋銀星 2007/10/17
隨著(zhù)因特網(wǎng)應用的快速增長(cháng),網(wǎng)絡(luò )上的安全隱患不斷出現,非法竊取網(wǎng)絡(luò )資源、非法使用網(wǎng)絡(luò )業(yè)務(wù)、拒絕服務(wù)、蠕蟲(chóng)病毒、木馬病毒,甚至惡意攻擊與破壞等事件也層出不窮。這些安全問(wèn)題給網(wǎng)絡(luò )運營(yíng)商、業(yè)務(wù)提供商和用戶(hù)造成了巨大的損失,使人們深刻地認識到基于IP技術(shù)的因特網(wǎng)應用存在著(zhù)嚴重的安全問(wèn)題。網(wǎng)絡(luò )的開(kāi)放性和IP網(wǎng)絡(luò )固有的脆弱性,使得攻擊者很容易利用網(wǎng)絡(luò )的弱點(diǎn)發(fā)起各種各樣的攻擊。特別是隨著(zhù)下一代網(wǎng)絡(luò )(NGN)的興起,Everything
over IP正在成為各種網(wǎng)絡(luò )技術(shù)發(fā)展的基礎,國際標準組織國際電信聯(lián)盟電信標準化部門(mén)(ITU-T)、歐洲電信標準化組織(ETSI)等所研究的NGN,都是基于IP技術(shù)實(shí)現的。因此,盡管NGN技術(shù)還不成熟,但是其安全問(wèn)題已經(jīng)受到高度重視[1-5],幾乎每個(gè)標準組織都有專(zhuān)門(mén)的安全研究組在開(kāi)展研究工作,一些標準組織還在其制定的每個(gè)技術(shù)標準中,都要求包含
“Security Consideration”章節。本文對NGN安全基礎[6-8]、 NGN安全需求[2-9]、安全體系架構[10-14]、安全機制[15-17]進(jìn)行了研究,為我國NGN的研究和部署提供有益的參考。
NGN的安全基礎
NGN基于IP技術(shù),采用業(yè)務(wù)層和傳送層相互分離、應用與業(yè)務(wù)控制相互分離、傳送控制與傳送相互分離的思想,能夠支持現有的各種接入技術(shù),提供話(huà)音、數據、視頻、流媒體等業(yè)務(wù),并且支持現有移動(dòng)網(wǎng)絡(luò )上的各種業(yè)務(wù),實(shí)現固定網(wǎng)絡(luò )和移動(dòng)網(wǎng)絡(luò )的融合,此外還能夠根據用戶(hù)的需要,保證用戶(hù)業(yè)務(wù)的服務(wù)質(zhì)量。NGN的網(wǎng)絡(luò )體系架構如圖1所示,
包括應用、業(yè)務(wù)控制層、傳送控制層、傳送層、網(wǎng)絡(luò )管理系統、用戶(hù)網(wǎng)絡(luò )和其他網(wǎng)絡(luò )。本文介紹的NGN安全技術(shù)是針對該體系架構展開(kāi)的。
ITU-T在X.805標準中,全面地規定了信息網(wǎng)絡(luò )端到端安全服務(wù)體系的架構模型。這一模型包括3層3面8個(gè)維度,即應用層、業(yè)務(wù)層和傳送層,管理平面、控制平面和用戶(hù)平面,認證、可用性、接入控制、不可抵賴(lài)、機密性、數據完整性、私密性和通信安全,
如圖2所示。
X.805模型各個(gè)層(或面)上的安全相互獨立,可以防止一個(gè)層(或面)的安全被攻破而波及到其他層(或面)的安全。這個(gè)模型從理論上建立了一個(gè)抽象的網(wǎng)絡(luò )安全模型,可以作為發(fā)展一個(gè)特定網(wǎng)絡(luò )安全體系架構的依據,指導安全策略、安全事件處理和網(wǎng)絡(luò )安全體系架構的綜合制定和安全評估。因此,這個(gè)模型目前已經(jīng)成為開(kāi)展信息網(wǎng)絡(luò )安全技術(shù)研究和應用的基礎。
互聯(lián)網(wǎng)工程任務(wù)組(IETF)的安全域專(zhuān)門(mén)負責制定Internet安全方面的標準,涉及的安全內容十分廣泛并注重實(shí)際應用,例如IP安全(IPsec)、基于X.509的公鑰基礎設施(PKIX)等。目前,IETF制定了大量的與安全相關(guān)的征求意見(jiàn)稿(RFC),其他標準組織或網(wǎng)絡(luò )架構都已經(jīng)引用了這些成果。
本文提出的NGN安全體系架構就是在應用X.805安全體系架構基礎上,結合NGN體系架構和IETF相關(guān)的安全協(xié)議而提出來(lái)的,如圖3所示,這樣可以有效地指導NGN安全解決方案的實(shí)現。
NGN的安全需求
網(wǎng)絡(luò )安全需求將用戶(hù)通信安全、網(wǎng)絡(luò )運營(yíng)商與業(yè)務(wù)提供商運營(yíng)安全緊密地結合在一起。當IP技術(shù)作為互聯(lián)網(wǎng)技術(shù)被應用到電信網(wǎng)絡(luò )上取代電路交換之后,來(lái)自網(wǎng)絡(luò )運營(yíng)商、業(yè)務(wù)提供商和用戶(hù)的安全需求就顯得特別重要。
為了給網(wǎng)絡(luò )運營(yíng)商、業(yè)務(wù)提供商和用戶(hù)提供一個(gè)安全可信的網(wǎng)絡(luò )環(huán)境,防止各種攻擊,NGN需要避免出現非授權用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò )設備上的資源、業(yè)務(wù)和用戶(hù)數據的情況,需要限制網(wǎng)絡(luò )拓撲結構的可見(jiàn)范圍,需要保證網(wǎng)絡(luò )上傳送的控制信息、管理信息和用戶(hù)信息的私密性和完整性,需要監督網(wǎng)絡(luò )流量并對異常流量進(jìn)行管理和上報。
在X.805標準的指導下,通過(guò)對NGN網(wǎng)絡(luò )面臨的安全威脅和弱點(diǎn)進(jìn)行分析,NGN安全需求大致可以分為安全策略,認證、授權、訪(fǎng)問(wèn)控制和審計,時(shí)間戳與時(shí)間源,資源可用性,系統完整性,操作、管理、維護和配置安全,身份和安全注冊,通信和數據安全,隱私保證,密鑰管理,
NAT/防火墻互連,安全保證,安全機制增強等需求。
(1).安全策略需求
安全策略需求要求定義一套規則集,包括系統的合法用戶(hù)和合法用戶(hù)的訪(fǎng)問(wèn)權限,說(shuō)明保護何種信息、以及為什么進(jìn)行保護。在NGN環(huán)境下,存在著(zhù)不同的用戶(hù)實(shí)體、不同的設備商設備、不同的網(wǎng)絡(luò )體系架構、不同的威脅模型、不均衡的安全功能開(kāi)發(fā)等,沒(méi)有可實(shí)施的安全策略是很難保證有正確的安全功能的。
(2).認證、授權、訪(fǎng)問(wèn)控制和審計需求
在NGN不同安全域之間和同一安全域內部,對資源和業(yè)務(wù)的訪(fǎng)問(wèn)必須進(jìn)行認證授權服務(wù),只有通過(guò)認證的實(shí)體才能使用被授權訪(fǎng)問(wèn)實(shí)體上的特定資源和業(yè)務(wù)。通過(guò)這一方法確保只有合法用戶(hù)才可以訪(fǎng)問(wèn)資源、系統和業(yè)務(wù),防止入侵者對資源、系統和業(yè)務(wù)進(jìn)行非法訪(fǎng)問(wèn),并主動(dòng)上報與安全相關(guān)的所有事件,生成可管理的、具有訪(fǎng)問(wèn)控制權限的安全事件審計材料。
(3).時(shí)間戳與時(shí)間源需求
NGN能夠提供可信的時(shí)間源作為系統時(shí)鐘和審計時(shí)間戳,以便在處理未授權事件時(shí)能夠提供可信的時(shí)間憑證。
(4).資源可用性需求
NGN能夠限制分配給某業(yè)務(wù)請求的重要資源的數量,丟棄不符合安全策略的數據包,限制突發(fā)流量,降低突發(fā)流量對其他業(yè)務(wù)的影響,防止拒絕服務(wù)(DoS)攻擊。
(5).系統完整性需求
NGN設備能夠基于安全策略,驗證和審計其資源和系統,并且監控其設備配置與系統未經(jīng)授權而發(fā)生的改變,防止蠕蟲(chóng)、木馬等病毒的安裝。為此,設備需要根據安全策略,定期掃描它的資源,發(fā)現問(wèn)題時(shí)生成日志并產(chǎn)生告警。(對設備的監控不能影響該設備上實(shí)時(shí)業(yè)務(wù)的時(shí)延變化或導致連接中斷。)
(6).操作、管理、維護和配置安全需求
NGN需要支持對信任域、脆弱信任域和非信任域設備的管理,需要保證操作、管理、維護和配置(OAMP)信息的安全,防止設備被非法接管。
(7).身份和安全注冊需求
NGN需要防止用戶(hù)身份被竊取,防止網(wǎng)絡(luò )設備、終端和用戶(hù)的偽裝、欺騙以及對資源、系統和業(yè)務(wù)的非法訪(fǎng)問(wèn)。
(8).通信和數據安全需求
NGN需要保證通信與數據的安全,包括用戶(hù)面數據、控制面數據和管理面數據。用戶(hù)和邏輯網(wǎng)元的接口以及不同運營(yíng)商之間的接口都需要進(jìn)行安全保護,信令需要逐跳保證私密性和完整性。
(9).隱私保證需求
保護運營(yíng)商網(wǎng)絡(luò )、業(yè)務(wù)提供商網(wǎng)絡(luò )的隱私性以及用戶(hù)信息的隱私性。
(10).密鑰管理需求
保證信任域與非信任域之間密鑰交換的安全,密鑰管理機制需要支持網(wǎng)絡(luò )地址映射/網(wǎng)絡(luò )地址端口轉換(NAT/NAPT)設備的穿越。
(11).NAT/防火墻互連需求
支持NGN中NAT/防火墻功能。防火墻可以是應用級網(wǎng)關(guān)(ALG)、代理、包過(guò)濾、NAT/NAPT等設備,或者上述的組合。
(12).安全保證需求
對NGN設備和系統進(jìn)行評估和認證, 對網(wǎng)絡(luò )潛在的威脅和誤用在威脅、脆弱性、風(fēng)險和評估(TVRA)中有所體現。
(13).安全機制增強需求
對加密算法的定義和選擇符合ES 202 238的指導[10]。
(14).其他安全需求
安全管理和不可否認性需求等還處于待研究的狀態(tài)。
NGN安全體系架構
NGN安全體系架構是一個(gè)體系,本身很難用一個(gè)單一的標準來(lái)涵蓋,其設計需要滿(mǎn)足以下條件:
具有可擴展性、實(shí)用性;
基于成熟的安全機制和實(shí)現技術(shù);
能夠實(shí)現應用層、業(yè)務(wù)層和傳輸層的分離,不同層次上能夠采用不同的安全措施;
安全措施的應用不影響業(yè)務(wù)的服務(wù)質(zhì)量;
滿(mǎn)足網(wǎng)絡(luò )運營(yíng)商、業(yè)務(wù)提供商和用戶(hù)的安全需求;
能夠實(shí)現互操作。
NGN在網(wǎng)絡(luò )架構中引入了多種商業(yè)模型,例如,接入網(wǎng)和骨干網(wǎng)可能屬于不同的運營(yíng)商,有不同的安全策略,需要隔離不同層面的安全問(wèn)題。為此,NGN按照邏輯方式和物理方式,對圖1中的網(wǎng)絡(luò )進(jìn)行了劃分,形成了不同的安全域,每一安全域可以對應著(zhù)一種特定的安全策略,運營(yíng)商通過(guò)實(shí)施各種安全策略對安全域里和安全域間的功能要素和活動(dòng)進(jìn)行保護。
安全域可以分為信任域、脆弱信任域和非信任域。對于某一特定的網(wǎng)絡(luò )運營(yíng)商,信任域是指不與用戶(hù)設備直接通信、處于該運營(yíng)商完全控制之下的安全域,例如骨干網(wǎng);脆弱信任域是指屬于該網(wǎng)絡(luò )運營(yíng)商管理但不一定由該網(wǎng)絡(luò )運營(yíng)商控制、連接信任域和非信任域的安全域,例如接入網(wǎng)、邊界網(wǎng)關(guān);非信任域是指不屬于該運營(yíng)商管理的安全域,例如用戶(hù)網(wǎng)絡(luò )、不被信任的其他運營(yíng)商網(wǎng)絡(luò )。在不同的安全域里,安全威脅、脆弱性、風(fēng)險是不同的,因此安全需求也就不一樣,網(wǎng)絡(luò )運營(yíng)商和業(yè)務(wù)提供商需要分別制定安全策略,采用各種安全機制的組合,來(lái)保證其網(wǎng)絡(luò )和網(wǎng)絡(luò )之上端到端用戶(hù)業(yè)務(wù)的安全性。
根據NGN分層的思想(如圖1所示),NGN安全體系架構,在水平方向上可以劃分為傳送層安全和業(yè)務(wù)層安全。傳送層和業(yè)務(wù)層的安全體系架構應相對獨立,傳送層安全體系架構主要是解決數據傳輸的安全,業(yè)務(wù)層安全體系架構主要解決業(yè)務(wù)平臺的安全。例如,電信和互聯(lián)網(wǎng)融合業(yè)務(wù)及高級網(wǎng)絡(luò )協(xié)議(TISPAN)規定,傳送層采用網(wǎng)絡(luò )附著(zhù)子系統(NASS)憑證,
業(yè)務(wù)控制層采用IP多媒體子系統(IMS)認證和密鑰協(xié)商(AKA)模式,應用層采用基于通用用戶(hù)識別模塊(USIM)集成電路卡(UICC)的GBA
(GBA-U) 模式。
NGN安全的系統架構在垂直方向上可以劃分為接入網(wǎng)安全、骨干網(wǎng)安全和業(yè)務(wù)網(wǎng)安全,從而使得原來(lái)網(wǎng)絡(luò )端到端安全變成了網(wǎng)絡(luò )逐段安全。在垂直方向上,NGN可以被劃分成多個(gè)安全域。
接入網(wǎng)通過(guò)接入控制部分對用戶(hù)的接入進(jìn)行控制,防止非授權用戶(hù)訪(fǎng)問(wèn)傳送網(wǎng)絡(luò ),并負責用戶(hù)終端IP地址的分配;骨干網(wǎng)通過(guò)邊界網(wǎng)關(guān)對網(wǎng)絡(luò )互連進(jìn)行控制,保證只有被授權的其他網(wǎng)絡(luò )上的用戶(hù)面、控制面和管理面才能接入信任域;業(yè)務(wù)網(wǎng)通過(guò)業(yè)務(wù)控制部分和根據需要通過(guò)應用與業(yè)務(wù)支持部分對用戶(hù)訪(fǎng)問(wèn)業(yè)務(wù)進(jìn)行控制,防止非授權用戶(hù)訪(fǎng)問(wèn)業(yè)務(wù),或授權用戶(hù)訪(fǎng)問(wèn)非授權業(yè)務(wù)。
安全域之間用安全網(wǎng)關(guān)(SEGF)互聯(lián),如圖4所示。在每個(gè)安全域里,除了SEGF之外,可能還存在SEG證書(shū)權威(CA)和互聯(lián)CA。同一個(gè)安全域的SEGF采用IETF安全協(xié)議實(shí)現域內端到端安全。
SEGF是安全域邊界實(shí)體,是防范來(lái)自其他安全域攻擊的主要網(wǎng)元。它通過(guò)將來(lái)自其他安全域的流量與信任域內流量進(jìn)行隔離,要求其他安全域流量必須通過(guò)特定的SEGF才能進(jìn)入信任域,在向信任域里轉發(fā)來(lái)自其他安全域的流量前,必須進(jìn)行驗證,以防止攔截、篡改、拒絕式攻擊、地址和身份欺騙、竊聽(tīng)、偽裝等安全事件在信任域里的出現。例如,可以根據指定的安全策略,在管理面和控制面上使用接入控制,限制特定用戶(hù)接入或對特定業(yè)務(wù)的訪(fǎng)問(wèn)。SEGF需要實(shí)現設備級物理安全措施、系統加固、安全信令、OAMP
虛擬專(zhuān)網(wǎng)(VPN)等方式之外,還需要采用防火墻、入侵檢測、內容過(guò)濾、VPN接入、VPN互連等功能。
SEGF提供的安全服務(wù)包括認證、授權、私密性、完整性、密鑰管理和策略實(shí)施等。SEGF對于從信任域里發(fā)送來(lái)的請求,可以采用信任方式,不需要再進(jìn)行驗證。
安全機制
網(wǎng)絡(luò )安全機制,就是在安全體系架構下實(shí)現這些安全需求,防止未授權的信息采集與信息攔截、非法設備接管與控制、資源與信息的破壞/刪除/修改/泄露、業(yè)務(wù)中斷等安全問(wèn)題的發(fā)生。
(1).身份識別、認證與授權機制
用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò ),需要向網(wǎng)絡(luò )和業(yè)務(wù)申明其身份,以便網(wǎng)絡(luò )和業(yè)務(wù)能夠識別其是否有權限訪(fǎng)問(wèn)所申請的資源和業(yè)務(wù)。
目前用于身份識別的技術(shù)多種多樣,如身份識別模塊(SIM)卡、智能卡、用戶(hù)名/口令、設備序列號、電話(huà)號碼、標識、令牌、生物特征碼、數字證書(shū)、消息認證碼等。
在NGN中,存在著(zhù)不同的接入方式、不同的網(wǎng)絡(luò )運營(yíng)商、不同的業(yè)務(wù)提供商,為了使用戶(hù)能夠無(wú)縫透明地使用網(wǎng)絡(luò )業(yè)務(wù),需要在用戶(hù)與各個(gè)網(wǎng)絡(luò )和業(yè)務(wù)之間建立一種信任關(guān)系。為了對用戶(hù)進(jìn)行統一管理,OPENID、OASIS、LIBERTY
ALLIANCE等標準組織在開(kāi)展身份管理(IdM)的研究,ITU-T目前也設置了專(zhuān)門(mén)的焦點(diǎn)組(FG),希望在未來(lái)能夠用統一的身份對各種NGN實(shí)體進(jìn)行管理,如業(yè)務(wù)提供商、網(wǎng)絡(luò )運營(yíng)商、網(wǎng)元、用戶(hù)設備、用戶(hù)等。
此外,當非信任域實(shí)體需要訪(fǎng)問(wèn)脆弱信任域實(shí)體或通過(guò)脆弱信任域實(shí)體訪(fǎng)問(wèn)信任域實(shí)體時(shí),或者用戶(hù)終端需要訪(fǎng)問(wèn)非信任域實(shí)體時(shí),甚至安全域內部實(shí)體互相訪(fǎng)問(wèn)時(shí),根據安全策略設置,可能需要進(jìn)行單向認證或雙向認證,也就是請求訪(fǎng)問(wèn)的實(shí)體需要與管理被訪(fǎng)問(wèn)實(shí)體的認證者(Authenticator)之間交換憑證(Credentials),Authenticator根據收到的Credentials,采用預先約定的共享密鑰方式或X.509證書(shū)方式,將資源請求或業(yè)務(wù)請求與發(fā)起請求的網(wǎng)絡(luò )設備、用戶(hù)設備和用戶(hù)關(guān)聯(lián)起來(lái),利用事先存儲的該網(wǎng)絡(luò )設備、用戶(hù)設備和用戶(hù)的Credentials,進(jìn)行身份認證。只有通過(guò)身份認證的請求訪(fǎng)問(wèn)實(shí)體,才能與被訪(fǎng)問(wèn)實(shí)體進(jìn)行通信。
同時(shí),根據安全策略的設置,可能需要對該請求訪(fǎng)問(wèn)實(shí)體的訪(fǎng)問(wèn)權限進(jìn)行限定,使得通過(guò)認證的請求訪(fǎng)問(wèn)實(shí)體只能根據授權使用被訪(fǎng)問(wèn)實(shí)體上指定的資源和業(yè)務(wù)。認證與授權技術(shù)非常多,主要包括:
IETF PAP、CHAP、EAP、PANA、RADIUS、DIAMETER、LDAP、Kerberos、3GPP AKA、GAA/GBA、IEEE
802.1x等。
(2).傳送安全機制
在NGN體系架構中,采用VPN技術(shù)保證信令信息和OAMP信息的安全。四層VPN技術(shù)主要為傳輸層安全(TLS),三層VPN技術(shù)主要為IPsec。其中,TLS是基于客戶(hù)端服務(wù)器模式實(shí)現,在傳輸控制協(xié)議(TCP)或流控制傳輸協(xié)議(SCTP)上傳送,可以用于各個(gè)安全域內,也可以用于不同的安全域之間,能夠保證傳送信息的私密性和完整性;IPsec在IP層上傳送,通常用于信任域內、脆弱信任域內和不同安全域之間,能夠在保證傳送信息私密性和完整性的同時(shí)防止重放攻擊。IPsec有多種認證算法,在NGN中,可能采用RFC
2403 HMAC-MD5-96和RFC 2404 HMAC-SHA-1-96中方法,對于其中的密鑰,可以采用互聯(lián)網(wǎng)密鑰交換(IKE)實(shí)現密鑰自動(dòng)交換。
通常情況下,NGN中不考慮媒體流的安全問(wèn)題。如果用戶(hù)要求對媒體流的安全進(jìn)行保護,則可以采用安全實(shí)時(shí)傳輸協(xié)議(SRTP)或簡(jiǎn)單認證安全層(SASL)技術(shù),能夠提供認證、私密性和完整性保護。
傳送安全機制中,為了避免出現重復加密、影響網(wǎng)絡(luò )性能的現象,不同的技術(shù)不能同時(shí)使用。
(3).訪(fǎng)問(wèn)控制機制
訪(fǎng)問(wèn)控制機制通常與身份識別、認證與授權機制結合在一起,能夠有效地防止非授權用戶(hù)或設備使用網(wǎng)絡(luò )資源、系統、信息和業(yè)務(wù),以及授權用戶(hù)或設備非法訪(fǎng)問(wèn)未授權的網(wǎng)絡(luò )資源、系統、信息和業(yè)務(wù)。
(4).審計與監控機制
NGN設備需要對其上發(fā)生的所有事件,根據安全策略的要求,記錄安全日志,并能夠由簡(jiǎn)單網(wǎng)絡(luò )管理協(xié)議(SNMP)通過(guò)IPsec將日志信息發(fā)送到指定的服務(wù)器上,以便能夠評價(jià)系統的安全性和分析系統出現的安全問(wèn)題。NGN設備需要支持日常維護和安全補丁檢測與自動(dòng)安裝功能,支持系統自動(dòng)恢復和回滾功能。NGN設備上需要安裝完整性驗證代理,當發(fā)現問(wèn)題時(shí),需要上報。NGN可能需要通過(guò)OAMP對用戶(hù)駐地設備-邊界元素(CPE-BE)進(jìn)行管理,此時(shí)CPE-BE需要具有同樣功能,且信息傳送需要通過(guò)VPN技術(shù)實(shí)現。
NGN網(wǎng)絡(luò )可能需要為非信任域的用戶(hù)駐地設備(CPE)提供配置機制。在CPE啟動(dòng)階段,CPE通過(guò)位于脆弱信任域中的設備配置與啟動(dòng)-邊界元素(DCB-BE)進(jìn)行認證,建立傳送安全通道,與位于信任域中的CPE配置單元建立聯(lián)系,獲取配置文件。
(5).密鑰交換與管理機制
密鑰生成、存儲和交換方式的安全性和證書(shū)格式、證書(shū)驗證方式是信息網(wǎng)絡(luò )安全性研究的核心內容之一,NGN支持采用預共享密鑰或公私密鑰對進(jìn)行加密兩種加密方式,支持現有的各種密鑰交換與管理機制,主要包括:IETF
PKIX、IKEv2、D-H交換、Mikey、ITU X.509、X.akm、手工配置等方式。
(6).OAMP機制
NGN具有獨立的OAMP IP地址塊,每個(gè)設備上有物理接口或邏輯接口,在該地址塊內分配IP地址,用于OAMP接口。因此,NGN設備將在OAMP接口上直接丟棄從其他IP地址來(lái)的OAMP流量,而且將在其他接口上直接丟棄OAMP流量。訪(fǎng)問(wèn)NGN設備上的OAMP接口,需要通過(guò)認證;當通過(guò)認證的用戶(hù)訪(fǎng)問(wèn)時(shí),系統將提供日志功能和回滾功能。另外,如果OAMP流量通過(guò)非信任區,則需要采用安全措施。
(7).系統管理機制
為了規避安全問(wèn)題,減少網(wǎng)絡(luò )安全漏洞,NGN上只有得到應用的設備才能存在于網(wǎng)絡(luò )上;設備上沒(méi)有使用的端口必須關(guān)閉掉;設備上的操作系統必須配置好安全措施,并及時(shí)地進(jìn)行加固,一旦設備供應商提供了安全補丁,在經(jīng)過(guò)網(wǎng)絡(luò )運營(yíng)商或業(yè)務(wù)提供商許可后,需要立即安裝;設備上需要配置物理的或邏輯的接入控制措施;設備上應用軟件與系統軟件相比具有更低的優(yōu)先級;網(wǎng)絡(luò )管理系統與被管理實(shí)體之間的信息傳送需要采用VPN技術(shù)實(shí)現。
(8).其他機制
NGN中,一方面采用了現有的多種安全機制,來(lái)滿(mǎn)足安全需求,例如,采用加密方法實(shí)現隱私保證、通信和數據安全等;另一方面,一些安全機制還有待研究,例如NAT/防火墻穿越安全機制。
結束語(yǔ)
當今,隨著(zhù)網(wǎng)絡(luò )應用的普及,財富日益集中在網(wǎng)絡(luò )上,幾乎每一個(gè)人都在關(guān)注信息網(wǎng)絡(luò )中的安全問(wèn)題。越是有錢(qián)的消費者,對安全越重視;越是高端的運營(yíng)商,也就越重視安全。為了滿(mǎn)足社會(huì )日益增長(cháng)的網(wǎng)絡(luò )安全需求,中興通訊公司在TCP/IP協(xié)議棧平臺基礎上,進(jìn)一步開(kāi)發(fā)了終端安全模塊、業(yè)務(wù)系統安全模塊、網(wǎng)管系統安全模塊、無(wú)線(xiàn)網(wǎng)絡(luò )安全模塊、有線(xiàn)網(wǎng)絡(luò )安全模塊等,為中興通訊公司全系列通信產(chǎn)品提供統一的安全解決方案,覆蓋ITU-T
X.805 3層3面8個(gè)維度,包括現有各種安全技術(shù),具有很強的靈活性和可擴展性,能夠經(jīng)濟地、有效地保護政府部門(mén)、網(wǎng)絡(luò )運營(yíng)商、業(yè)務(wù)提供商和用戶(hù)對現有網(wǎng)絡(luò )使用的合法權益。
網(wǎng)絡(luò )安全是一個(gè)相對的概念,絕對的網(wǎng)絡(luò )安全是不存在的。隨著(zhù)NGN技術(shù)和Everything over IP的發(fā)展,網(wǎng)絡(luò )安全的需求將變得更加迫切。
本文提出的NGN各種安全技術(shù),能夠很容易地被中興通訊公司統一安全解決方案平滑地支持,能夠滿(mǎn)足不同應用環(huán)境下網(wǎng)絡(luò )運營(yíng)商、業(yè)務(wù)提供商和用戶(hù)多樣化的安全需求,在保證實(shí)現NGN上資源、系統和用戶(hù)信息安全的同時(shí)滿(mǎn)足政府部門(mén)對于合法監聽(tīng)的需求,為網(wǎng)絡(luò )運營(yíng)商和業(yè)務(wù)提供商開(kāi)展差異化競爭提供了重要的手段。
參考文獻
[1]ISO/IEC13335.Information technology—Guidelines for the management
of IT security[S]. 2004.
[2]ETSITS187 001. Telecommunications and Internet converged services
and protocols for advanced networking (TISPAN); NGN SECurity (SEC); Requirements[S].
[3]ETSITR187 002. Telecommunications and Internet converged services
and protocols for advanced networking (TISPAN); TISPAN NGN security (NGN_SEC);
Threat and risk analysis[S].
[4]ITU-TTD322(WP2/13). Draft Y.NGN certificate management[S].
[5]ITU-TTD312(WP2/13). Proposed texts for draft Y.IdMsec (NGN identity
management security)[S].
[6]ITU-TTDTD 199 (WP 2/13). Draft Recommendation Y.2012 (formally Y.NGN-FRA)
[Draft Version 0.8][S].
[7]ETSIES282 003. Telecommunications and Internet converged services
and protocols for advanced networking (TISPAN); Resource and admission
control sub system (RACS); Functional architecture[S].
[8]ITU-TX.805.Security architecture for systems providing end to end
communications[S].
[9]ITU-TTD256 (PLEN). Output of draft recommendation Y.2701 (Security
requirements for NGN Release 1)[S].
[10]ETSIES202 238. Telecommunications and Internet protocol harmonization
over networks (TIPHON); Evaluation criteria for cryptographic algorithms
(NGN Release 1) for decision [S].
[11]ETSIES282 001. Telecommunications and Internet converged services
and protocols for advanced networking (TISPAN); NGN functional architecture
release 1 [S].
[12]ETSIES282 004. Telecommunications and Internet converged services
and protocols for advanced networking (TISPAN); NGN functional architecture;
Network attachment sub system (NASS)[S].
[13]ETSITS133 210. Digital cellular telecommunications system (Phase
2+); Universal mobile telecommunications system (UMTS); 3G security; Network
domain security (NDS); IP network layer security (3GPP TS 33.210)[S].
[14]ETSITS133 222. Universal mobile telecommunications system (UMTS);
Generic authentication architecture (GAA); Access to network application
functions using hypertext transfer protocol over transport layer security
(HTTPS) (3GPP TS 33.222)[S].
[15]ITU-TTD328(WP2/13). Draft recommendation Y.secMechanisms (NGN security
mechanisms and procedures) [S].
[16]ITU-TTD323(WP2/13). Output Draft Y.NGN Authentication[S].
[17]ITU-TTD324(WP2/13). The Second Version of Y.NGN AAA [S].
作者簡(jiǎn)介:
滕志猛,博士,畢業(yè)于東南大學(xué)。曾工作于南京大學(xué)博士后流動(dòng)站和江蘇省多媒體通信局,現工作于中興通訊股份有限公司。曾負責數據通信產(chǎn)品和移動(dòng)通信產(chǎn)品的研發(fā),現負責中心研究院數據分中心的產(chǎn)品預研,長(cháng)期從事網(wǎng)絡(luò )規劃與設計、網(wǎng)絡(luò )服務(wù)質(zhì)量保證、網(wǎng)絡(luò )安全技術(shù)和業(yè)務(wù)實(shí)現技術(shù)的研究。吳波,西安電子科技大學(xué)碩士畢業(yè)。現任中興通訊股份有限公司中心研究院數據分中心系統工程師,曾從事IP產(chǎn)品和平臺的開(kāi)發(fā),現主要從事下一代網(wǎng)絡(luò )技術(shù)預研。韋銀星,博士,畢業(yè)于上海交通大學(xué)。現任中興通訊股份有限公司中心研究院數據分中心系統工程師,曾參加3G平臺產(chǎn)品的研發(fā),現主要研究領(lǐng)域為下一代網(wǎng)絡(luò )技術(shù)、網(wǎng)絡(luò )安全技術(shù)。已發(fā)表論文10余篇。
通信世界網(wǎng)(www.cww.net.cn)
相關(guān)鏈接:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
西盟|
南安市|
英吉沙县|
麻城市|
武清区|
汕尾市|
林周县|
玉门市|
双流县|
垦利县|
云和县|
出国|
惠水县|
青岛市|
襄垣县|
黔南|
临高县|
马鞍山市|
莫力|
西峡县|
安塞县|
宜宾县|
七台河市|
信宜市|
白水县|
鹿泉市|
黑龙江省|
长沙市|
仁怀市|
临漳县|
两当县|
关岭|
会理县|
海丰县|
尤溪县|
望城县|
龙井市|
太谷县|
桂林市|
磐安县|
伊宁县|
http://444
http://444
http://444
http://444
http://444
http://444