NGN的安全問(wèn)題和應(yīng)對(duì)策略

胡浩 2006/05/18

一、NGN的安全威脅主要來(lái)自哪些方面?NGN的承載網(wǎng)——分組網(wǎng)絡(luò)是否是NGN安全性的決定因素?

1. NGN作為承載在分組網(wǎng)絡(luò)之上的下一代通信網(wǎng)絡(luò)，繼承了分組IP網(wǎng)絡(luò)的主要安全問(wèn)題,包括黑客DOS攻擊、病毒蠕蟲木馬的入侵、非法掃描,信息盜取、電話盜聽(tīng),地址欺騙,信息騷擾等。


2. NGN終端多為有復(fù)雜操作系統(tǒng)的智能終端,接入的形式多種多樣,位置分散, 常與常規(guī)的數(shù)據(jù)終端同處于一個(gè)環(huán)境,使得終端系統(tǒng)遭到攻擊的可能性大大增加。


3. NGN系統(tǒng)采用媒體流與控制分離的思路,客觀上增加了安全監(jiān)控的難度。

　　分組IP承載網(wǎng)絡(luò)是影響NGN安全性的重要方面,NGN網(wǎng)絡(luò)安全需要全方位的、整體的安全體系。
二、NGN與傳統(tǒng)電信網(wǎng)絡(luò)以及互聯(lián)網(wǎng)對(duì)安全的要求有何不同?能否描述一下安全的NGN環(huán)境應(yīng)該達(dá)到何種效果?
1. NGN對(duì)安全的要求與傳統(tǒng)電信網(wǎng)絡(luò)對(duì)安全的要求不同 　　

1. 傳統(tǒng)電信網(wǎng)絡(luò)強(qiáng)調(diào)網(wǎng)絡(luò)的可靠性和可用性，不強(qiáng)調(diào)網(wǎng)上應(yīng)用的安全;NGN不僅要強(qiáng)調(diào)業(yè)務(wù)的可用性和可控性，還要強(qiáng)調(diào)承載網(wǎng)的可靠性和生存性，而且要保證信息傳遞的完整性、機(jī)密性和不可否認(rèn)性。


2. NGN系統(tǒng)按業(yè)務(wù)層、控制層、承載層進(jìn)行分離,各層所有相關(guān)設(shè)備采用標(biāo)準(zhǔn)協(xié)議,同時(shí)NGN采用IP進(jìn)行承載,這種開(kāi)放性和公用性在一定程度上加大了NGN受到黑客或病毒程序的攻擊或干擾的概率，面臨如用戶仿冒、盜打、破壞服務(wù)、搶占資源等安全問(wèn)題。


3. 傳統(tǒng)電信網(wǎng)對(duì)信令網(wǎng)的安全要求高,一般為獨(dú)立的信令網(wǎng),信令網(wǎng)的安全可靠保證了網(wǎng)絡(luò)的安全;NGN強(qiáng)調(diào)網(wǎng)絡(luò)融合,信令網(wǎng)與傳輸網(wǎng)用同一張網(wǎng)進(jìn)行承載,承載網(wǎng)的安全變得非常重要。


4. 傳統(tǒng)電信網(wǎng)的傳輸采用TDM的專線,用戶之間采用面向連接的通道進(jìn)行通信,其他用戶很難插入偷聽(tīng);NGN采用IP技術(shù)進(jìn)行通信,由于IP的無(wú)連接性,及不對(duì)源地址進(jìn)行認(rèn)證的特性,黑客容易截取通話,盜用帳號(hào),電話騷擾。


5. 由于傳統(tǒng)電信網(wǎng)用戶線TDM用戶速率的限制,及可以按照物理端口進(jìn)行追溯跟蹤的特性,黑客很難對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行DOS攻擊;NGN由于采用IP承載,按照用戶進(jìn)行通信管理，黑客可以冒充其他帳戶,向網(wǎng)絡(luò)發(fā)送大量流量對(duì)NGN系統(tǒng)進(jìn)行DOS攻擊。

2 NGN對(duì)安全的要求與互聯(lián)網(wǎng)對(duì)安全的要求不同 　　

1. 一般來(lái)說(shuō)，傳統(tǒng)互聯(lián)網(wǎng)運(yùn)營(yíng)商只提供網(wǎng)絡(luò)通路，不提供端到端的網(wǎng)絡(luò)安全服務(wù)，端到端的安全主要靠互聯(lián)網(wǎng)用戶自己解決;NGN系統(tǒng)由于強(qiáng)調(diào)為用戶提供的安全可靠的服務(wù),必須要求網(wǎng)絡(luò)做到端到端的安全保證,如采用SIP加密,RTP加密,IPsec,VPN等通道安全措施,要求NGN終端在接入系統(tǒng)時(shí),要進(jìn)行身份認(rèn)證,MAC地址,IP地址等物理屬性的檢查,用戶在使用NGN服務(wù)時(shí),也必須進(jìn)行帳戶的認(rèn)證。


2. 互聯(lián)網(wǎng)業(yè)務(wù)基本上是一種基于“盡力而為”的機(jī)制,對(duì)業(yè)務(wù)的中斷不敏感，可以通過(guò)節(jié)點(diǎn)冗余、鏈路冗余、模塊冗余等方式，利用路由協(xié)議進(jìn)行收斂，達(dá)到秒級(jí)的業(yè)務(wù)收斂時(shí)間，以保證服務(wù)的可靠性;而NGN承載的實(shí)時(shí)語(yǔ)音業(yè)務(wù)不允許出現(xiàn)業(yè)務(wù)中斷，要求承載網(wǎng)具有低于秒級(jí)的快速收斂能力，因此除了上述方式外，還必須強(qiáng)調(diào)系統(tǒng)設(shè)備具有高度可靠性,并且能夠利用MPLS 快速重路由, 路由協(xié)議快速收斂和網(wǎng)絡(luò)設(shè)備的不間斷服務(wù)NSR/NSS等技術(shù)實(shí)現(xiàn)毫秒級(jí)的鏈路和節(jié)點(diǎn)保護(hù)。軟交換系統(tǒng)、業(yè)務(wù)系統(tǒng)能夠做到異地冗災(zāi)熱備,一個(gè)NGN核心系統(tǒng)的故障不會(huì)影響整個(gè)系統(tǒng)的大面積宕機(jī)。


3. 互聯(lián)網(wǎng)強(qiáng)調(diào)網(wǎng)絡(luò)設(shè)備自身的安全,采取路由協(xié)議加密,ACL等措施使得網(wǎng)絡(luò)設(shè)備不受攻擊;NGN除了要求網(wǎng)絡(luò)系統(tǒng)設(shè)備本身的安全以外,還要求NGN系統(tǒng)在核心設(shè)備的出口部署防火墻,入侵防護(hù)系統(tǒng)IPS、會(huì)話邊界控制器SBC等安全設(shè)備,以保護(hù)NGN核心設(shè)備的安全。

三、目前應(yīng)該從哪些方面著手解決NGN的安全問(wèn)題?
　　NGN的安全問(wèn)題是軟交換商用過(guò)程中需要面對(duì)和解決的主要問(wèn)題，目前而言，以下問(wèn)題值得重視:

1. 跟蹤NGN系統(tǒng)面臨的不斷變化的各種安全威脅,啟用嚴(yán)格的網(wǎng)絡(luò)安全機(jī)制，系統(tǒng)關(guān)閉任何不使用的網(wǎng)絡(luò)服務(wù)，防止非法用戶通過(guò)非法的服務(wù)入侵設(shè)備;通過(guò)隔離、過(guò)濾、監(jiān)測(cè)、認(rèn)證、加密等手段降低遭受攻擊的可能性，并檢測(cè)、記錄攻擊的發(fā)生，保證攻擊的可溯源性。


　　安全級(jí)別的劃分可以根據(jù)系統(tǒng)設(shè)備的重要程度, 各種業(yè)務(wù)面臨的安全威脅的嚴(yán)重程度,進(jìn)行安全級(jí)別的劃分,比如NGN系統(tǒng)可以把一些關(guān)鍵信令設(shè)備，重要的業(yè)務(wù)服務(wù)器放入信任區(qū)安全等級(jí)，而把Web門戶，測(cè)試終端，DNS/DHCP等設(shè)備放在半信任區(qū)，把一些外網(wǎng)設(shè)備如NGN終端，網(wǎng)管終端，SBC等放在非信任區(qū)安全等級(jí)。
　　對(duì)于不同的NGN業(yè)務(wù),如語(yǔ)音業(yè)務(wù),多媒體業(yè)務(wù)等可以根據(jù)用戶的SLA,用戶等級(jí),業(yè)務(wù)特征劃分不同的QoS等級(jí),以為高等級(jí)的業(yè)務(wù)提供在帶寬、時(shí)延、抖動(dòng)、收斂時(shí)間、安全等方面提供不同的服務(wù)質(zhì)量保證,比如可以允許語(yǔ)音視頻等實(shí)時(shí)性要求高的業(yè)務(wù)分配確定的帶寬,而對(duì)實(shí)時(shí)性要求不高的數(shù)據(jù)業(yè)務(wù),可以限制其訪問(wèn)帶寬。至于QoS等級(jí)劃分，國(guó)際標(biāo)準(zhǔn)組織如ITU-T也有相應(yīng)的推薦標(biāo)準(zhǔn),一些運(yùn)營(yíng)商已經(jīng)有了自己的企業(yè)標(biāo)準(zhǔn)。
五、多媒體應(yīng)用是NGN業(yè)務(wù)的一個(gè)主要代表，也是固網(wǎng)運(yùn)營(yíng)商大力發(fā)展的寬帶業(yè)務(wù)之一，目前對(duì)于承載在互聯(lián)網(wǎng)上的視頻業(yè)務(wù)安全威脅主要來(lái)自哪里?是否有適當(dāng)?shù)膽?yīng)對(duì)策略?
　　NGN視頻業(yè)務(wù)主要包括點(diǎn)對(duì)點(diǎn)視頻業(yè)務(wù)和多點(diǎn)視頻會(huì)議業(yè)務(wù)，對(duì)于點(diǎn)對(duì)點(diǎn)視頻業(yè)務(wù),安全威脅與NGN語(yǔ)音基本上是一樣的，主要是受到DOS攻擊，病毒蠕蟲的影響,由于視頻業(yè)務(wù)對(duì)帶寬的敏感，很容易受到攻擊。多點(diǎn)視頻業(yè)務(wù)的安全威脅，主要來(lái)自于非法盜聽(tīng)，視頻服務(wù)器的DOS攻擊。
　　采用SBC等設(shè)備作為軟交換協(xié)議應(yīng)用層防火墻，具備入侵檢測(cè)、帶寬控制策略、保護(hù)會(huì)話不被竊取、防止RIP流擁塞和呼叫干擾等功能，可以使核心網(wǎng)設(shè)備免受惡意攻擊和突發(fā)的DOS攻擊，防止服務(wù)欺騙等其它類型的安全風(fēng)險(xiǎn)，提供進(jìn)入權(quán)控制方法(Admission control policies)，可以控制并保障會(huì)話總數(shù)、會(huì)話帶寬以及會(huì)話類型。會(huì)話傳送質(zhì)量的保證還依賴兩端路由器中業(yè)務(wù)優(yōu)先級(jí)的正確設(shè)置，SBC支持?jǐn)?shù)據(jù)包的有效處理，能夠清楚地標(biāo)明QoS等級(jí)，減去邊緣路由器的工作量。
六、目前有哪些技術(shù)可以幫助實(shí)現(xiàn)NGN的安全性?這些技術(shù)的的演進(jìn)過(guò)程以及方向?(最好可以詳細(xì)列舉)
　　目前用來(lái)解決NGN安全性的應(yīng)對(duì)措施主要包括媒體流的加密傳送，SIP消息的加密，VPN技術(shù)，IPsec隧道技術(shù),接入網(wǎng)的邏輯或物理隔離，終端的接入許可，帳戶密碼的加密認(rèn)證,承載網(wǎng)的防偽裝技術(shù)與安全過(guò)濾，NGN核心的防火墻、入侵防護(hù)技術(shù)等等。
　　NGN的安全與其他業(yè)務(wù)一樣，不可能一蹴而就，需要不斷演進(jìn),其中一個(gè)重要的發(fā)展方向是NGN的安全更加強(qiáng)調(diào)用戶接入的安全，比如終端的網(wǎng)絡(luò)接入許可控制，針對(duì)每一用戶設(shè)置接入訪問(wèn)控制列表，并限制用戶的訪問(wèn)速度。
七、NGN作為下一代網(wǎng)絡(luò)的整體概念，其安全涉及面應(yīng)該非常廣泛，目前是否有單位或組織進(jìn)行NGN安全體系框架的研究和制定?目前我國(guó)政府、運(yùn)營(yíng)商或設(shè)備廠商已經(jīng)做了哪些工作?
　　目前在IMS相關(guān)標(biāo)準(zhǔn)組織中把NGN的安全做為單獨(dú)的課題進(jìn)行研究，如ITU-T FGNGN在IMS體系架構(gòu)中提出NGN安全架構(gòu)，研究NGN安全的體系架構(gòu)，研究提供端到端的安全機(jī)制，提供應(yīng)用于多個(gè)管理域的安全解決方案。但還處于不斷發(fā)展當(dāng)中。 IETF 對(duì)于NGN及安全方面主要關(guān)注于SIP協(xié)議、IPv6和網(wǎng)絡(luò)安全的研究。
　　我國(guó)相關(guān)廠家及研究機(jī)構(gòu)專家近幾年對(duì)NGN領(lǐng)域的關(guān)注程度大大提高,ITU-TNGN會(huì)議我國(guó)專家參會(huì)人數(shù)以及提交的文稿數(shù)越來(lái)越多，并承擔(dān)了多個(gè)新建議草案的起草。作為NGN領(lǐng)域的重要設(shè)備制造商之一，上海貝爾阿爾卡特已向國(guó)際電信聯(lián)盟(ITU)提交了50余篇NGN標(biāo)準(zhǔn)文稿，均被采納，另外，上海貝爾阿爾卡特還負(fù)責(zé)主導(dǎo)和參與了20余項(xiàng)NGN國(guó)家標(biāo)準(zhǔn)的制定(已批準(zhǔn)和發(fā)布)。

ChinaByte(e.chinabyte.com)