NGN 對承載網(wǎng)的安全要求
2004/05/20
編者按:下一代網(wǎng)絡(luò )(NGN)的業(yè)務(wù)質(zhì)量直接受到承載網(wǎng)安全因素的影響,為了順利部署NGN業(yè)務(wù),必須對承載網(wǎng)安全提出具體的要求。
NGN的信令、控制和媒體流主要封裝在IP數據報文中,利用IP網(wǎng)絡(luò )來(lái)承載NGN的多媒體信息流,因此NGN業(yè)務(wù)的質(zhì)量直接受到IP網(wǎng)絡(luò )的影響,在目前的IP網(wǎng)絡(luò )條件下,甚至是影響到NGN試驗和運營(yíng)成功的關(guān)鍵。安全性問(wèn)題是IP網(wǎng)絡(luò )影響NGN成功的關(guān)鍵因素之一。
NGN沒(méi)有部署安全措施,如直接部署于IP公網(wǎng)上,可能會(huì )出現以下的問(wèn)題。
運營(yíng)商業(yè)務(wù)的安全問(wèn)題,主要包括以下方面:業(yè)務(wù)盜用,未經(jīng)授權使用NGN業(yè)務(wù),如通過(guò)H.323協(xié)議用戶(hù)終端可直接連通被叫網(wǎng)關(guān),導致運營(yíng)商收入流失;帶寬盜用,利用NGN設備端口連接用戶(hù)私有的數據網(wǎng)絡(luò ),造成運營(yíng)商數據業(yè)務(wù)收入流失并影響NGN業(yè)務(wù)質(zhì)量;DoS攻擊,通過(guò)網(wǎng)絡(luò )層或應用層的大流量攻擊,使NGN設備無(wú)法響應正常用戶(hù)的業(yè)務(wù)請求或降低業(yè)務(wù)的品質(zhì)。
運營(yíng)商設備的安全問(wèn)題,主要包括以下方面:破壞設備程序及數據,通過(guò)NGN設備遠程加載或數據配置流程的漏洞破壞設備,通常采用的TFTP、FTP、SNMP等標準協(xié)議均存在安全漏洞;病毒攻擊,通過(guò)病毒入侵的方式破壞NGN設備,或者用戶(hù)被病毒感染的計算機自動(dòng)攻擊NGN設備,造成業(yè)務(wù)的中斷或者劣化;黑客攻擊,通過(guò)非常規的技術(shù)手段獲得NGN設備的控制權,病毒、黑客兩種安全威脅一般針對采用通用操作系統的設備,如各類(lèi)服務(wù)器。
用戶(hù)業(yè)務(wù)的安全問(wèn)題,主要包括以下方面:用戶(hù)仿冒、盜用其他用戶(hù)的賬號及權限使用業(yè)務(wù);非法監聽(tīng)其他用戶(hù)呼叫的主被叫信息或媒體流內容。
就NGN安全技術(shù)框架而言,我們可以將NGN網(wǎng)絡(luò )劃分為信任區、非信任區、半信任區(DMZ)、網(wǎng)管/計費/維護網(wǎng)四個(gè)區域。NGN網(wǎng)絡(luò )部件根據網(wǎng)絡(luò )位置及設備功能連接到對應的區域中,跨區的網(wǎng)絡(luò )部件通過(guò)特定的物理接口受控接入網(wǎng)絡(luò )區域。信任區為承載網(wǎng)中專(zhuān)用于NGN業(yè)務(wù)的隔離區域,是一個(gè)管理良好、安全得到保證的區域。放置在安全區的設備包括NGN網(wǎng)絡(luò )核心部件,如軟交換、接入網(wǎng)關(guān)、中繼網(wǎng)關(guān)、信令網(wǎng)關(guān)、帶內網(wǎng)管設備、媒體資源設備、智能網(wǎng)設備等;機架式IAD設備部署在管理良好的機房中也可以納入信任區。非信任區是運營(yíng)商無(wú)法管理、安全不能受控的區域,包括Internet、社區網(wǎng)等IP公網(wǎng)和校園網(wǎng)、企業(yè)網(wǎng)等。某些運營(yíng)商部署在用戶(hù)端的設備,如桌面式IAD、智能軟終端、智能硬終端都納入非信任區。半信任區(DMZ)類(lèi)似Web網(wǎng)站,是處于信任區和非信任區之間的一個(gè)區域。其中的應用服務(wù)器需要與數據網(wǎng)絡(luò )接口,歸屬這個(gè)區域。網(wǎng)管/計費/維護網(wǎng)是運營(yíng)商為了網(wǎng)絡(luò )運營(yíng)支持而部署的專(zhuān)網(wǎng),計費設備、帶外網(wǎng)管設備以及操作維護終端等都應部署在這個(gè)區域。
保證NGN安全的承載網(wǎng)組網(wǎng)要求主要有以下方面。首先,NGN核心部件,如軟交換、接入網(wǎng)關(guān)、中繼網(wǎng)關(guān)、信令網(wǎng)關(guān)、帶內網(wǎng)管設備、媒體資源設備、智能網(wǎng)設備等設備部署于一個(gè)安全區中,就組成了NGN核心網(wǎng),我們建議采用以下方案實(shí)施:在IP網(wǎng)上利用MPLS技術(shù)部署一個(gè)VPN,該VPN是一個(gè)獨立的邏輯網(wǎng);采用專(zhuān)線(xiàn)技術(shù)為NGN核心部件部署一個(gè)獨立的IP網(wǎng),該網(wǎng)不跟公網(wǎng)直接互通;通過(guò)IP電信網(wǎng)技術(shù)部署一個(gè)可以支持IP資源管理的獨立邏輯網(wǎng)。其次,NGN核心網(wǎng)的延伸,可以利用各種的接入技術(shù)延伸NGN業(yè)務(wù)覆蓋的范圍,要求接入網(wǎng)在鏈路層實(shí)現用戶(hù)隔離。我們可以采用的技術(shù)有VLAN、ATM技術(shù)和PPPoE接入等。第三,應通過(guò)應用服務(wù)器接口設備(ParlayGateway)與應用服務(wù)器互通。第四,對于Internet用戶(hù)、小區和校園網(wǎng)用戶(hù)、企業(yè)用戶(hù),應通過(guò)業(yè)務(wù)代理設備(IP-IPGateway)接入。
中國信息產(chǎn)業(yè)網(wǎng)(www.cnii.com.cn)
相關(guān)鏈接:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
新疆|
洛阳市|
天台县|
长武县|
文水县|
济阳县|
崇礼县|
萍乡市|
射阳县|
恭城|
武鸣县|
辽源市|
岢岚县|
察雅县|
宁化县|
南江县|
林甸县|
梨树县|
桂平市|
灌云县|
雷波县|
启东市|
商洛市|
突泉县|
古丈县|
屏山县|
大宁县|
莒南县|
广元市|
永胜县|
高台县|
大埔区|
迁西县|
南京市|
胶州市|
宜都市|
杭锦后旗|
松原市|
阳原县|
彭泽县|
大兴区|
http://444
http://444
http://444
http://444
http://444
http://444