建設更安全的NGN業(yè)務(wù)平臺
2007/01/12
在下一代網(wǎng)絡(luò )(NGN)中,增值業(yè)務(wù)主要由NGN業(yè)務(wù)平臺提供。由于NGN的承載以分組網(wǎng)絡(luò )為基礎,基于IP/ATM網(wǎng)絡(luò ),其安全性不如傳統網(wǎng)絡(luò );同時(shí),下一代網(wǎng)絡(luò )的特點(diǎn)又要求NGN業(yè)務(wù)平臺是一個(gè)開(kāi)放的平臺,能容納各種第三方應用的接入;此外,下一代網(wǎng)絡(luò )中用戶(hù)終端的形式也趨于多樣化,包括普通話(huà)機、會(huì )話(huà)初始協(xié)議(SIP)終端、H.323終端、綜合接入設備(IAD)、PC等。這些因素客觀(guān)上使NGN業(yè)務(wù)平臺被攻擊的可能性更大,因此,在建設NGN業(yè)務(wù)平臺時(shí),需要從各方面充分考慮安全性。
在現階段,運營(yíng)商基于下一代網(wǎng)絡(luò )提供的增值業(yè)務(wù)基本上還是由設備制造商開(kāi)發(fā),直接運行在NGN業(yè)務(wù)平臺上。這時(shí)由于雙方是內部可信關(guān)系,因此不需要過(guò)多地考慮開(kāi)放業(yè)務(wù)接口的安全性。但是NGN業(yè)務(wù)平臺提供的很多增值業(yè)務(wù)(如PC電話(huà)業(yè)務(wù))是基于Internet的,終端種類(lèi)也多種多樣,從安全性角度看,在業(yè)務(wù)使用中存在著(zhù)很多安全隱患。這些隱患在傳統網(wǎng)絡(luò )中開(kāi)展增值業(yè)務(wù)時(shí)一般不會(huì )遇到,但是在下一代網(wǎng)絡(luò )中卻需要認真考慮解決。
在下一代網(wǎng)絡(luò )中開(kāi)展增值業(yè)務(wù)時(shí),要實(shí)現絕對安全,需要付出的代價(jià)相當大,而且對業(yè)務(wù)的整體性能會(huì )有很大的影響,所以在實(shí)際開(kāi)展業(yè)務(wù)時(shí)需要在安全、性能和代價(jià)方面取得平衡。安全保證只針對重點(diǎn)安全隱患,不要求提供全部的安全防護。具體到設備層面,需要保證核心的NGN業(yè)務(wù)平臺及內部網(wǎng)絡(luò )的安全和正常運行,同時(shí)完成大部分的安全性檢測和防護功能。
在NGN業(yè)務(wù)平臺上開(kāi)展業(yè)務(wù)時(shí)面臨的主要安全問(wèn)題及其相應的對策分析如下:
對于用戶(hù)仿冒的問(wèn)題,NGN業(yè)務(wù)平臺現有的解決辦法是要求用戶(hù)在使用業(yè)務(wù)前進(jìn)行認證,同時(shí)要求對認證信息,如用戶(hù)賬號、密碼等在發(fā)送前進(jìn)行加密,這種方式基本沿用了傳統智能網(wǎng)絡(luò )的認證方式,在NGN中安全性不夠。建議解決方式是針對每個(gè)NGN增值業(yè)務(wù)用戶(hù)頒發(fā)數字證書(shū),NGN業(yè)務(wù)平臺通過(guò)用戶(hù)的數字證書(shū)信息來(lái)判斷用戶(hù)的合法性,以確保用戶(hù)終端的安全性。數字證書(shū)的頒發(fā)可以采取類(lèi)似現在手機系統中頒發(fā)用戶(hù)識別模塊(SIM)卡的方式,由運營(yíng)商在業(yè)務(wù)開(kāi)通時(shí)頒發(fā)給合法用戶(hù),合法用戶(hù)獲得數字證書(shū)后可以使用該運營(yíng)商及與該運營(yíng)商合作的業(yè)務(wù)提供商提供的各類(lèi)業(yè)務(wù)。
對付NGN業(yè)務(wù)平臺的惡意攻擊,需要在NGN業(yè)務(wù)平臺之前部署防火墻和入侵檢測系統,增強防應用層報文被攻擊的能力。同時(shí)需要NGN業(yè)務(wù)平臺對應用層報文進(jìn)行負荷量控制,在一定時(shí)間內只處理一定數量的會(huì )話(huà)報文,丟棄其他報文。負荷量控制可以在超過(guò)某一呼叫強度后進(jìn)行,也可以在NGN業(yè)務(wù)平臺的資源使用率超過(guò)一定比例后進(jìn)行。由于NGN中呼叫的概念比傳統網(wǎng)絡(luò )要廣泛,所以在進(jìn)行負荷量控制時(shí),可以分別按照呼叫類(lèi)(如傳統語(yǔ)音呼叫)和其他類(lèi)(如數據類(lèi)、消息類(lèi)通信過(guò)程)進(jìn)行控制。
在漫游到異地后,如果用戶(hù)仍然通過(guò)In-ternet到NGN業(yè)務(wù)平臺進(jìn)行注冊,并呼叫NGN業(yè)務(wù)平臺所在地的用戶(hù),將導致用戶(hù)的長(cháng)途或國際長(cháng)途通話(huà)變成本地通話(huà),導致運營(yíng)商話(huà)費損失。因此,NGN業(yè)務(wù)平臺要能支持對用戶(hù)的屬地進(jìn)行管理,明確用戶(hù)的歸屬地,這個(gè)工作可以結合前面提到的頒發(fā)用戶(hù)數字證書(shū)開(kāi)展,在數字證書(shū)信息中加入用戶(hù)歸屬地信息。同時(shí),NGN業(yè)務(wù)平臺要能識別用戶(hù)是否漫游(可根據用戶(hù)接入的IP地址所屬網(wǎng)段來(lái)判斷),并提供是否進(jìn)行繼續呼叫的配置,由運營(yíng)商根據運營(yíng)策略來(lái)進(jìn)行控制。對于用戶(hù)在漫游狀態(tài)下使用NGN業(yè)務(wù)平臺提供的業(yè)務(wù),要求NGN業(yè)務(wù)平臺把用戶(hù)漫游信息在話(huà)單中體現出來(lái),以便運營(yíng)商采取相應的資費策略。
由于很多NGN增值業(yè)務(wù)運營(yíng)在以Inter-net為基礎的分組網(wǎng)絡(luò )上,因此用戶(hù)很容易發(fā)起惡意呼叫或其他非正當的呼叫,對NGN業(yè)務(wù)平臺的安全構成威脅。為了解決這個(gè)問(wèn)題,NGN業(yè)務(wù)平臺需要能在呼叫跟蹤中實(shí)時(shí)顯示用戶(hù)的接入IP地址,或用戶(hù)所使用網(wǎng)絡(luò )地址轉換設備的IP地址,以配合承載網(wǎng)絡(luò )對用戶(hù)惡意呼叫的追蹤。在需要對媒體流進(jìn)行監聽(tīng)時(shí),NGN業(yè)務(wù)平臺可以控制將呼叫接續到監聽(tīng)設備。
隨著(zhù)下一代網(wǎng)絡(luò )的迅速發(fā)展,運營(yíng)商建設NGN業(yè)務(wù)平臺的步伐也逐漸加大。現在業(yè)界對NGN業(yè)務(wù)平臺的開(kāi)放性及可開(kāi)展的特色業(yè)務(wù)研究得較多,而對NGN業(yè)務(wù)平臺的安全性關(guān)注得較少。本文根據NGN業(yè)務(wù)平臺的發(fā)展現狀和發(fā)展趨勢,對NGN業(yè)務(wù)平臺的開(kāi)放業(yè)務(wù)接口及業(yè)務(wù)開(kāi)展的安全性進(jìn)行了分析,指出了安全隱患,并提出了初步的解決方法,希望能對NGN業(yè)務(wù)平臺的發(fā)展起到促進(jìn)作用。
可以預見(jiàn),隨著(zhù)NGN業(yè)務(wù)平臺的不斷建設并投入運營(yíng),對NGN業(yè)務(wù)平臺安全性的關(guān)注會(huì )越來(lái)越多,研究也會(huì )越來(lái)越深入。
中國信息產(chǎn)業(yè)網(wǎng)(www.cnii.com.cn)
相關(guān)鏈接:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
河曲县|
西华县|
方山县|
通州区|
大田县|
巴楚县|
濮阳县|
正蓝旗|
兴义市|
太和县|
青海省|
福清市|
丰都县|
丽水市|
北辰区|
漳浦县|
雷州市|
和田市|
运城市|
阿城市|
休宁县|
南京市|
利辛县|
房产|
张家川|
南宫市|
历史|
北流市|
新龙县|
田林县|
宜兴市|
且末县|
阳朔县|
乐昌市|
淮安市|
剑川县|
浠水县|
邢台县|
莱西市|
香港|
庆阳市|
http://444
http://444
http://444
http://444
http://444
http://444