久久毛片网站_NGN分層網(wǎng)絡(luò )安全方案_電信_NGN及軟交換

NGN分層網(wǎng)絡(luò )安全方案

2008/04/23

　　摘要　下一代網(wǎng)絡(luò )（NGN）是近幾年出現的電信新技術(shù)，是電信史上的一塊里程碑，它是綜合、開(kāi)放的網(wǎng)絡(luò )構架，提供話(huà)音、數據和多媒體等業(yè)務(wù)。NGN是電信級網(wǎng)絡(luò )，電信級網(wǎng)絡(luò )最大的特點(diǎn)就是安全、可靠和高可用性。如何確保網(wǎng)絡(luò )安全性是電信設備必須考慮的重要因素。文章通過(guò)下一代網(wǎng)絡(luò )的四個(gè)層次，介紹各層次安全技術(shù)的研究和措施的實(shí)施，研究可行有效的安全機制，指出構筑NGN安全可靠性的安全防御框架。

0、引言

　　基于軟交換技術(shù)的下一代網(wǎng)絡(luò )（NGN）是業(yè)務(wù)驅動(dòng)的網(wǎng)絡(luò )，通過(guò)呼叫控制、媒體交換及承載的分離，實(shí)現了開(kāi)放的分層架構。軟交換網(wǎng)絡(luò )分為接入層、承載層、控制層和業(yè)務(wù)層四大層次。接入層負責在用戶(hù)端支持多種業(yè)務(wù)的接入，接入設備應能向上連接到高速傳輸線(xiàn)路，向下支持多種業(yè)務(wù)的接口。承載層負責建立和管理承載連接，并對這些連接進(jìn)行交換和路由分配，用以響應控制層的控制命令。控制層主要涉及軟交換相關(guān)的功能，完成業(yè)務(wù)邏輯的具體執行，其中包含呼叫智能和路由等操作。控制層是NGN的核心，決定用戶(hù)收到的業(yè)務(wù)，并能控制低層網(wǎng)絡(luò )元素對業(yè)務(wù)流的處理。網(wǎng)絡(luò )業(yè)務(wù)層主要負責業(yè)務(wù)邏輯的相關(guān)處理，如業(yè)務(wù)生成、業(yè)務(wù)邏輯定義和業(yè)務(wù)編程接口等。各層次網(wǎng)絡(luò )單元通過(guò)標準協(xié)議互通，可以各自獨立演進(jìn)，以適應未來(lái)技術(shù)的發(fā)展。

　　NGN是在當今電信網(wǎng)絡(luò )基礎上演變、融合而來(lái)的，理想的NGN可以實(shí)現各種網(wǎng)絡(luò )的互通，用戶(hù)可以在任何時(shí)間、任何地點(diǎn)、以多種方式享受網(wǎng)絡(luò )提供的各種服務(wù)。在不久的將來(lái)，用戶(hù)可以在電話(huà)機上與朋友“面對面”地視頻聊天；用很少的話(huà)費與異國的朋友盡情交談。但事物都具有兩面性，NGN為我們帶來(lái)便利的同時(shí)，也帶來(lái)了更加嚴峻的安全問(wèn)題。

　　面臨諸多的安全問(wèn)題，筆者認為在NGN發(fā)展演進(jìn)過(guò)程中，要積極進(jìn)行各層次安全技術(shù)的研究和措施的實(shí)施，研究可行有效的安全機制和安全防御框架。

1、接入層用戶(hù)的安全管理

　　根據安全需求的不同，可將軟交換網(wǎng)絡(luò )分為內網(wǎng)區、隔離區和外網(wǎng)區等不同的安全區域。外網(wǎng)區是由會(huì )話(huà)啟動(dòng)協(xié)議（SIP）終端和普通用戶(hù)綜合接入設備（IAD）等終端設備組成的網(wǎng)絡(luò )區域，該網(wǎng)絡(luò )區域設備放置在用戶(hù)側，為個(gè)人用戶(hù)提供服務(wù)。內網(wǎng)區是由軟交換、信令網(wǎng)關(guān)、應用服務(wù)器、媒體服務(wù)器、中繼網(wǎng)關(guān)和大容量用戶(hù)綜合接入網(wǎng)關(guān)等設備組成的網(wǎng)絡(luò )區域。隔離區是由軟交換用戶(hù)下載服務(wù)器、應用門(mén)戶(hù)服務(wù)器和域名系統（DNS）等設備組成的網(wǎng)絡(luò )區域。

　　對接入層用戶(hù)應部署以下安全訪(fǎng)問(wèn)策略：a）根據網(wǎng)絡(luò )安全的最小化服務(wù)原則，隔離區對外網(wǎng)區只開(kāi)放必需的服務(wù)端口，其他不需要的端口一律用防火墻屏蔽。b）外網(wǎng)區終端允許使用SIP、媒體網(wǎng)關(guān)控制協(xié)議（MGCP）或H.248協(xié)議，通過(guò)邊緣接入控制設備作為代理訪(fǎng)問(wèn)內網(wǎng)區，再通過(guò)用戶(hù)和業(yè)務(wù)認證后，允許實(shí)時(shí)傳送協(xié)議/RTP控制協(xié)議（RTP/RTCP）數據包通過(guò)邊緣接入控制設備作為代理進(jìn)入內網(wǎng)區。c）外網(wǎng)區終端不能使用除SIP、MGCP和H.248之外的協(xié)議直接訪(fǎng)問(wèn)內部網(wǎng)絡(luò )，對內部網(wǎng)絡(luò )設備的訪(fǎng)問(wèn)必須通過(guò)隔離區設備代理進(jìn)行。d）外網(wǎng)區終端獲得允許后可以使用隔離區服務(wù)器提供的服務(wù)。

　　設置接入安全防線(xiàn)，接入設備/用戶(hù)接入需要經(jīng)過(guò)身份認證才可接入軟交換網(wǎng)絡(luò )，同時(shí)在這個(gè)點(diǎn)設置用戶(hù)的業(yè)務(wù)權限，這條防線(xiàn)可以避免非法用戶(hù)進(jìn)入軟交換網(wǎng)絡(luò )。同時(shí)，用戶(hù)的身份得到確認可以方便進(jìn)行事后審計和追蹤，有效防止用戶(hù)側的網(wǎng)絡(luò )攻擊行為。接入層安全問(wèn)題主要涉及接入側設備及用戶(hù)信息的安全。這些通常通過(guò)認證、鑒權機制和隔離機制來(lái)保證。

　　保證用戶(hù)信息安全，在接入層仍要對通信流量進(jìn)行隔離，這里包括軟交換業(yè)務(wù)用戶(hù)與其他業(yè)務(wù)用戶(hù)（如普通數據業(yè)務(wù)用戶(hù)）之間的隔離以及兩個(gè)軟交換用戶(hù)之間的隔離。采用虛擬局域網(wǎng)（VLAN）在第二層實(shí)現隔離，能有效杜絕廣播包的攻擊和用戶(hù)信息的泄露。另外通過(guò)訪(fǎng)問(wèn)控制列表（ACL）可在第三層上進(jìn)行軟交換終端用戶(hù)之間的受控互訪(fǎng)或軟交換終端用戶(hù)對軟交換其他設備的互訪(fǎng)。進(jìn)一步通過(guò)IP+VLAN+MAC綁定，可以限制每個(gè)VLAN接入的用戶(hù)數目，保護網(wǎng)上關(guān)鍵資源，并有效防止用戶(hù)地址盜用和用戶(hù)仿冒的發(fā)生。

　　軟交換網(wǎng)絡(luò )需要對接入到控制層的接入設備進(jìn)行認證，以保證接入設備的合法性。以IAD為例，當不可信任的IAD向軟交換進(jìn)行注冊時(shí)，應攜帶用于該設備進(jìn)行認證的設備信息（如設備的標識、MAC地址或預先獲得的鑒權密鑰等），并且可以對這些信息加密傳送。軟交換根據注冊消息中所包含的信息對IAD進(jìn)行認證，認證通過(guò)后，激活相應的業(yè)務(wù)端口，用戶(hù)獲得使用業(yè)務(wù)的權限。

2、承載網(wǎng)的安全

　　承載網(wǎng)安全直接影響NGN的業(yè)務(wù)質(zhì)量。 NGN承載網(wǎng)采用IP技術(shù)，其開(kāi)放性特點(diǎn)非常適合網(wǎng)絡(luò )業(yè)務(wù)的發(fā)展，但IP協(xié)議的開(kāi)放性和公用性也使NGN不可避免地受到黑客或病毒程序的攻擊或干擾。

　　隨著(zhù)NGN、3G、虛擬專(zhuān)用網(wǎng)絡(luò )（VPN）等新業(yè)務(wù)的不斷涌現，用戶(hù)數量的不斷增加，原Internet業(yè)務(wù)接入平面的IP承載網(wǎng)已無(wú)法滿(mǎn)足要求。a）原有設備容量不足，無(wú)法滿(mǎn)足快速增長(cháng)的用戶(hù)對寬帶的需求和未來(lái)良好的擴展。b）原有網(wǎng)絡(luò )在多協(xié)議標簽交換（MPLS）VPN、高可靠性、QoS、組播、IPv6等諸多方面能力不足，無(wú)法承載電信級的新業(yè)務(wù)。

　　近幾年，多業(yè)務(wù)IP承載網(wǎng)進(jìn)入高速發(fā)展的黃金時(shí)期，MPLS技術(shù)與傳統的IP分組技術(shù)結合，引入了基于MPLS的流量工程（MPLS TE）技術(shù)，使傳統的IP分組網(wǎng)具備了電信級的可管理性，同時(shí)業(yè)務(wù)的承載方式也更加靈活，包括IP報文、MPLS，甚至可以對跨越不同自治系統（AS）的業(yè)務(wù)提供統一的端到端承載。傳統的MPLS將面向非連接的IP業(yè)務(wù)移植到面向連接的標記交換業(yè)務(wù)之上，實(shí)現時(shí)將路由選擇層面與數據轉發(fā)層面分離。MPLS網(wǎng)絡(luò )中，在入口標簽交換路由器（LSR）處，分組按照不同轉發(fā)要求劃分成不同轉發(fā)等價(jià)類(lèi)前向糾錯（FEC），并將每個(gè)特定FEC映射到下一跳。每一特定FEC都被編碼為一個(gè)短而定長(cháng)的值，稱(chēng)為標記，標記加在分組前成為標記分組，再轉發(fā)到下一跳。在后續的每一跳上，不再需要分析分組頭，而是用標記作為指針，指向下一跳的輸出端口和一個(gè)新的標記，標記分組用新標記替代舊標記后經(jīng)指定的輸出端口轉發(fā)。在出口LSR上，去除標記，使用IP路由機制將分組向目的地轉發(fā)。MPLS-TE是在MPLS網(wǎng)絡(luò )上的流量工程，是指為業(yè)務(wù)流選擇路徑的處理過(guò)程，以在網(wǎng)絡(luò )中不同的鏈路、路由器和交換機之間均衡業(yè)務(wù)流負載。

　　多業(yè)務(wù)IP承載網(wǎng)分為接入層、匯聚層、核心層，通過(guò)在不同層實(shí)施局部的可靠性策略，可以分段保證網(wǎng)絡(luò )的可靠性。相對網(wǎng)絡(luò )節點(diǎn)設備的可靠性，這一擴展技術(shù)可以在無(wú)需大幅度提高對網(wǎng)絡(luò )設備要求的情況下，顯著(zhù)提高業(yè)務(wù)的可靠性。在接入層，推薦采用冗余備份或負載分擔接入策略，將業(yè)務(wù)系統設備（如媒體網(wǎng)關(guān)、CE設備）雙歸接入到兩臺PE設備上。在匯聚層和核心層，推薦采用雙節點(diǎn)冗余備份策略，當某節點(diǎn)發(fā)生故障時(shí)，備份節點(diǎn)可以保證業(yè)務(wù)不間斷轉發(fā)。對于核心層的鏈路連接，采用POS接口進(jìn)行Full Mesh連接。POS接口具有類(lèi)似同步數字體系（SDH）的快速故障檢測機制，而Full Mesh連接方式可以保證任何單鏈路發(fā)生故障時(shí)，由于流量迂回而增加的網(wǎng)絡(luò )跳數不超過(guò)一跳。

　　網(wǎng)絡(luò )設備是組成多業(yè)務(wù)IP承載網(wǎng)的基本節點(diǎn)，其可靠性是整網(wǎng)可靠性的基礎。主流網(wǎng)絡(luò )設備的關(guān)鍵部件包括主控單元、交換單元、電源、制冷系統等，大多采用熱備份冗余設計，這是保證電信級IP承載網(wǎng)可靠性的最基本要求。接口、線(xiàn)路卡的快速故障感知和倒換功能同樣非常重要。由于傳統的Ethernet接口承載的純數據業(yè)務(wù)對時(shí)延不敏感，因此普遍未采用特別的故障檢測技術(shù)，接口故障的探測時(shí)間在1s級別，這顯然無(wú)法滿(mǎn)足VoIP等實(shí)時(shí)電信業(yè)務(wù)的要求。于是，業(yè)界紛紛推出雙向偵測協(xié)議（BFD）、運行維護和管理（OAM）等快速檢測機制，通過(guò)與線(xiàn)路卡控制部分聯(lián)動(dòng)，使接口或鏈路故障的感知時(shí)間小于50ms。

3、控制核心層的安全

　　控制層是整個(gè)NGN的核心層，其中的設備對整個(gè)網(wǎng)絡(luò )起著(zhù)中央控制的作用。目前，設備生產(chǎn)廠(chǎng)商一般能通過(guò)板卡級冗余備份保證單一設備的可靠性。在此基礎上，各個(gè)運營(yíng)商還會(huì )從網(wǎng)絡(luò )層面保證網(wǎng)絡(luò )可靠性，從而最大可能避免單點(diǎn)故障。對用戶(hù)而言，網(wǎng)絡(luò )永遠處于可用狀態(tài)，網(wǎng)絡(luò )核心控制設備的單點(diǎn)故障對用戶(hù)不可見(jiàn)。

　　軟交換網(wǎng)絡(luò )的特點(diǎn)是：在軟交換網(wǎng)絡(luò )中，為了保證出局或入局呼叫的正常接續，任何一個(gè)接點(diǎn)的軟交換設備都會(huì )設置主備用路由，當軟交換網(wǎng)絡(luò )采用分級結構時(shí)，網(wǎng)絡(luò )結構與公共交換電話(huà)網(wǎng)絡(luò )（PSTN）的網(wǎng)絡(luò )架構相同，端局軟交換分別與兩個(gè)匯接局相連。軟交換也可以采用無(wú)級網(wǎng)絡(luò )，此時(shí)路由信息將從軟交換設備中剝離出來(lái)，統一放置在一個(gè)單獨物理設備中，稱(chēng)為路由服務(wù)器。在無(wú)級網(wǎng)絡(luò )中，網(wǎng)絡(luò )中任何一個(gè)軟交換都能得到其他軟交換的地址信息，因此，主叫側軟交換將直接向目的地軟交換發(fā)起呼叫請求。這時(shí)，針對某一號碼段主備軟交換的信息設置將保留在路由服務(wù)器中。

　　軟交換網(wǎng)絡(luò )的最大優(yōu)點(diǎn)在于軟交換網(wǎng)絡(luò )采用分層架構，將原來(lái)統一內置在一個(gè)物理實(shí)體中的媒體處理模塊和信令處理模塊獨立分開(kāi)。媒體處理模塊在軟交換網(wǎng)絡(luò )中稱(chēng)為媒體網(wǎng)關(guān)設備（MG），信令處理模塊稱(chēng)為軟交換設備。因此，在分層基礎上，軟交換網(wǎng)絡(luò )可以具備以下能力：當某一軟交換設備不能工作時(shí)，其下控制的媒體網(wǎng)關(guān)設備可以通過(guò)某種策略向另外一個(gè)軟交換設備注冊，從而最大程度地減少由于網(wǎng)絡(luò )問(wèn)題而對用戶(hù)的影響。

　　對核心層設備采取可靠的解決方案：雙歸屬。雙歸屬從網(wǎng)絡(luò )角度解決軟交換網(wǎng)絡(luò )的安全問(wèn)題，其核心思想是當網(wǎng)絡(luò )中某一臺軟交換發(fā)生故障時(shí)，保證該軟交換對應的業(yè)務(wù)能在短時(shí)間內由其雙歸屬軟交換接管，使得業(yè)務(wù)能在短期內得到恢復。

　　考慮綜合安全性因素和投入產(chǎn)出比，雙歸屬的兩個(gè)軟交換應該是互助關(guān)系而不是主備用關(guān)系。在正常情況下，它們分別承擔著(zhù)各自的話(huà)務(wù)負荷，只有在異常情況下，才接管另外一臺設備所負荷的中繼網(wǎng)關(guān)/接入網(wǎng)關(guān)/多媒體網(wǎng)關(guān)（TG/AG/MG）。同時(shí)，出于對容災等安全性因素的考慮，雙歸屬的兩個(gè)軟交換局點(diǎn)可設置在不同的地理區域，提供異地容災能力。

　　歸屬的切換應是自動(dòng)控制與手動(dòng)控制的結合。自動(dòng)控制是必須考慮的方式，只有自動(dòng)控制才能做到實(shí)時(shí)對災害和事故進(jìn)行監控，減少損失。但是在某些特殊時(shí)期，如雙歸屬的另外一個(gè)局點(diǎn)尚未建設好，處于網(wǎng)絡(luò )頻繁調整期等，需要用手動(dòng)控制來(lái)加以控制，因此手動(dòng)控制的級別應高于自動(dòng)控制。

4、業(yè)務(wù)網(wǎng)的安全

　　軟交換實(shí)現了控制與承載分離，用戶(hù)信息不再與物理線(xiàn)路綁定。在開(kāi)放的互聯(lián)網(wǎng)絡(luò )上，通信雙方不再像PSTN那樣根據物理連接建立信任關(guān)系，因此，通信雙方或多方需要在互相通信時(shí)進(jìn)行識別和確認，通信過(guò)程中業(yè)務(wù)消息的真實(shí)性也要確認，以防出現假冒網(wǎng)元、假冒用戶(hù)、盜用業(yè)務(wù)、非法管理網(wǎng)元等問(wèn)題，影響軟交換網(wǎng)絡(luò )的運營(yíng)。

　　業(yè)務(wù)安全防線(xiàn)設置在網(wǎng)絡(luò )設備上，主要實(shí)現網(wǎng)絡(luò )業(yè)務(wù)的安全防護，如通過(guò)設備相互認證進(jìn)行設備間的訪(fǎng)問(wèn)控制，通過(guò)對用戶(hù)業(yè)務(wù)權限認證避免業(yè)務(wù)被非法使用，通過(guò)協(xié)議信令的加密防止網(wǎng)絡(luò )監聽(tīng)等。

　　除設置接入安全防線(xiàn)外，還需采取有效的隔離措施。隔離措施包括業(yè)務(wù)隔離與用戶(hù)信息隔離等。軟交換網(wǎng)絡(luò )在組網(wǎng)上要求對不同的業(yè)務(wù)進(jìn)行網(wǎng)段分離，實(shí)現安全風(fēng)險限制，實(shí)現NGN業(yè)務(wù)與Internet業(yè)務(wù)之間的有效隔離。對業(yè)務(wù)網(wǎng)應只允許受限訪(fǎng)問(wèn)，使其形成一個(gè)相對封閉的業(yè)務(wù)網(wǎng)。這種隔離可以在一定程度上屏蔽來(lái)自Internet的不安全因素。

　　為防止關(guān)鍵設備受到攻擊，NGN業(yè)務(wù)網(wǎng)核心設備軟交換、信令網(wǎng)關(guān)及中繼媒體網(wǎng)關(guān)等應通過(guò)防火墻實(shí)現與公用數據網(wǎng)隔離。數據業(yè)務(wù)網(wǎng)通過(guò)IP-IP網(wǎng)關(guān)與NGN業(yè)務(wù)網(wǎng)互通，安全性很高，NGN不易受到數據業(yè)務(wù)網(wǎng)的攻擊。

　　NGN安全可靠性方案只有分別從接入層、承載層、控制層、業(yè)務(wù)網(wǎng)進(jìn)行網(wǎng)絡(luò )設備可靠性充分考慮和驗證，才能確保其成為一個(gè)電信級的網(wǎng)絡(luò )。

中國聯(lián)通網(wǎng)站

信產(chǎn)部科技司聞庫：發(fā)展NGN應爭取自主產(chǎn)權 2008-04-09

中興通訊核心網(wǎng)NGN產(chǎn)品總工屠嘉順訪(fǎng)談實(shí)錄 2008-04-09

NGN：在IP化道路上“邊走邊看” 2008-04-09

諾基亞西門(mén)子劉莉：全業(yè)務(wù)時(shí)代的融合解決方案 2008-04-08

分類(lèi)信息: 電信_與_NGN及軟交換技術(shù) 行業(yè)_電信_文摘技術(shù)_NGN及軟交換_文摘
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩壤塘县| 海晏县| 河曲县| 大悟县| 黄龙县| 赣州市| 东源县| 娱乐| 通山县| 汉寿县| 佛冈县| 西峡县| 宜都市| 利津县| 界首市| 呈贡县| 江西省| 九龙县| 桃园县| 太和县| 社旗县| 马山县| 迭部县| 辽阳市| 年辖：市辖区| 宣恩县| 通江县| 中卫市| 绿春县| 搜索| 明水县| 许昌市| 胶南市| 双峰县| 仙居县| 额尔古纳市| 朝阳市| 六枝特区| 桑植县| 乌海市| 达州市| http://444 http://444 http://444 http://444 http://444 http://444