首頁(yè)>>>技術(shù)>>>NGN

構建安全的下一代網(wǎng)絡(luò )

王琦 2007/05/31

  近年來(lái),以軟交換為核心的下一代網(wǎng)絡(luò )一直是研究的熱點(diǎn),不僅設備制造商投入大量的金錢(qián)和人力研發(fā)設備,而且電信運營(yíng)商也開(kāi)展大量的測試和實(shí)驗,用來(lái)驗證設備的穩定性、協(xié)議的標準化程度以及規模組網(wǎng)的可行性。但是,隨著(zhù)軟交換網(wǎng)絡(luò )大規模商用步伐的逐步推進(jìn),我們在看到軟交換網(wǎng)絡(luò )與傳統電信技術(shù)相比具有很多優(yōu)點(diǎn)的同時(shí),也發(fā)現基于IP的軟交換網(wǎng)絡(luò )實(shí)現電信級的運營(yíng),還存在一些問(wèn)題,包括:網(wǎng)絡(luò )的QoS保證、網(wǎng)絡(luò )的安全性、控制層面的組網(wǎng)問(wèn)題等,如果不很好地解決這些問(wèn)題,將大大影響軟交換的商用速度。

  以軟交換為核心的下一代網(wǎng)絡(luò )采用IP分組網(wǎng)絡(luò )承載,傳統的IP網(wǎng)絡(luò )是一個(gè)盡力傳送和開(kāi)放自由的網(wǎng)絡(luò ),有些IP網(wǎng)絡(luò )用戶(hù)可以不經(jīng)任何認證和鑒權就可以接入IP網(wǎng)絡(luò ),IP網(wǎng)絡(luò )用戶(hù)也不需要進(jìn)行任何業(yè)務(wù)認證與鑒權。IP網(wǎng)絡(luò )的開(kāi)放性是推動(dòng)互聯(lián)網(wǎng)發(fā)展的重要因素,但同時(shí)也帶來(lái)了網(wǎng)絡(luò )的安全隱患。NGN采用IP承載網(wǎng)絡(luò ),如果在建設初期沒(méi)有合理規劃,將會(huì )存在更大的安全威脅。

NGN網(wǎng)絡(luò )安全威脅

  終端設備安全威脅

  軟交換網(wǎng)絡(luò )中存在大量的終端設備,包括IAD設備、SIP/H.323終端和PC軟終端等。軟交換網(wǎng)絡(luò )接入靈活,任何可以接入IP網(wǎng)絡(luò )的地點(diǎn)均可以接入終端。但是,這種特性在為用戶(hù)帶來(lái)方便的同時(shí),也導致可能存在用戶(hù)利用非法終端或設備訪(fǎng)問(wèn)網(wǎng)絡(luò ),占用網(wǎng)絡(luò )資源,非法使用業(yè)務(wù)和服務(wù),同時(shí),某些用戶(hù)可能使用非法終端或設備向網(wǎng)絡(luò )發(fā)起攻擊,對網(wǎng)絡(luò )的安全造成威脅。另外,由于接入與地點(diǎn)的無(wú)關(guān)性,使得安全威脅發(fā)生后,很難定位發(fā)起安全攻擊的確切地點(diǎn),無(wú)法追查責任人。

  網(wǎng)絡(luò )安全威脅

  由于缺乏合理有效的安全措施,以IP為基礎的因特網(wǎng)網(wǎng)絡(luò )安全事件十分頻繁,主要包括蠕蟲(chóng)病毒的泛濫和黑客的攻擊。當前互聯(lián)網(wǎng)病毒十分猖獗,每天都有新病毒出現,這些病毒輕則大量占用網(wǎng)絡(luò )資源和網(wǎng)絡(luò )帶寬,導致正常業(yè)務(wù)訪(fǎng)問(wèn)緩慢,甚至無(wú)法訪(fǎng)問(wèn)網(wǎng)絡(luò )資源;重則導致整個(gè)網(wǎng)絡(luò )癱瘓,造成無(wú)法彌補的損失。另外,黑客憑借網(wǎng)絡(luò )工具和高超的技術(shù),攻擊網(wǎng)絡(luò )上的關(guān)鍵設備,篡改上面的路由數據、用戶(hù)數據等,導致路由異常,網(wǎng)絡(luò )無(wú)法訪(fǎng)問(wèn)等。

  軟交換網(wǎng)絡(luò )采用IP分組網(wǎng)作為傳輸承載,而且軟交換網(wǎng)絡(luò )提供的業(yè)務(wù)大部分屬于實(shí)時(shí)業(yè)務(wù),對網(wǎng)絡(luò )的安全可靠性要求更高。當網(wǎng)絡(luò )由于病毒導致帶寬大量被占用,訪(fǎng)問(wèn)速度很慢甚至無(wú)法訪(fǎng)問(wèn)時(shí),軟交換網(wǎng)絡(luò )就無(wú)法為用戶(hù)提供任何服務(wù)。

  關(guān)鍵設備安全威脅

  軟交換網(wǎng)絡(luò )中的關(guān)鍵設備包括:軟交換設備、媒體網(wǎng)關(guān)、信令網(wǎng)關(guān)、應用服務(wù)器、媒體服務(wù)器等。由于下一代網(wǎng)絡(luò )選擇分組網(wǎng)絡(luò )作為承載網(wǎng)絡(luò ),并且各種信息主要采用IP分組的方式進(jìn)行傳輸,IP協(xié)議的簡(jiǎn)單性和通用性為網(wǎng)絡(luò )上對關(guān)鍵設備的各種攻擊提供了便利的條件。目前對網(wǎng)絡(luò )設備常見(jiàn)的攻擊有:

  DoS和DDoS攻擊

  DoS攻擊:Denial of Service,也就是“拒絕服務(wù)”的意思,指通過(guò)過(guò)量的服務(wù)從而使軟交換網(wǎng)絡(luò )中的關(guān)鍵設備陷入崩潰的邊緣或崩潰。包括UDPflood、SYNflood、ICMPflood、Smurf攻擊、IP碎片攻擊、畸形消息攻擊等。DDoS攻擊:Distributed Denialof Service,即“分布式拒絕服務(wù)”。它是一種基于DoS的特殊形式的拒絕服務(wù)攻擊,是一種分布、協(xié)作的大規模攻擊方式。它通過(guò)入侵一些具有漏洞的主機,并操控這些受害主機,以其為攻擊平臺向軟交換網(wǎng)絡(luò )中的關(guān)鍵設備發(fā)起大量的DoS攻擊,從而導致軟交換網(wǎng)絡(luò )中的關(guān)鍵設備因無(wú)法處理過(guò)多的服務(wù)請求而癱瘓。

  利用型攻擊

  此種攻擊方式以通過(guò)竊取用戶(hù)密碼等方式獲取關(guān)鍵設備的控制權為目的,主要包括口令猜測、特洛伊木馬和緩沖區溢出等手段。

  由于目前軟交換網(wǎng)絡(luò )中的關(guān)鍵設備(如軟交換、網(wǎng)關(guān)和各種服務(wù)器等)的硬件實(shí)現普遍基于通用平臺(CompactPCI),各種應用服務(wù)器同樣基于業(yè)界流行的主機、服務(wù)器等,這就導致黑客可以利用一些已知的后門(mén)和漏洞來(lái)攻擊主機,非法獲取主機的口令和密碼,達到控制關(guān)鍵設備的目的。

  信息安全威脅

  信息安全主要包括軟交換與終端之間信令消息的安全、用戶(hù)之間媒體信息的安全以及用戶(hù)私有信息(包括用戶(hù)名、密碼等)的安全。由于軟交換網(wǎng)絡(luò )采用開(kāi)放的IP網(wǎng)絡(luò )傳輸信息,這樣在網(wǎng)絡(luò )上傳輸的數據就很容易被監聽(tīng),如果軟交換與終端之間的信令消息被監聽(tīng),有可能導致終端用戶(hù)私有信息的泄露,導致監聽(tīng)者可以利用監聽(tīng)到的信息偽造成合法用戶(hù)接入網(wǎng)絡(luò );如果用戶(hù)之間媒體信息被惡意監聽(tīng),將導致用戶(hù)私密信息的泄露。

NGN網(wǎng)絡(luò )安全解決方案

  邊界隔離   軟交換網(wǎng)絡(luò )關(guān)鍵設備如軟交換、應用服務(wù)器和網(wǎng)關(guān)等放置在IP網(wǎng)絡(luò )上,相當于IP網(wǎng)絡(luò )上的主機,存在著(zhù)被攻擊的危險,為保證關(guān)鍵設備的安全,需要在重要的網(wǎng)絡(luò )設備前面放置防火墻以保證軟交換核心網(wǎng)絡(luò )設備的安全。

  防火墻通常具有以下功能:

  1)防火墻定義了單個(gè)的阻塞點(diǎn),將未授權的用戶(hù)隔離在被保護的網(wǎng)絡(luò )之外,禁止潛在的易受攻擊的服務(wù)進(jìn)入或離開(kāi)網(wǎng)絡(luò ),并且對于不同類(lèi)型的IP欺騙和選路攻擊提供保護。

  2)防火墻提供了監視與安全有關(guān)事件的場(chǎng)所,在防火墻系統中可以實(shí)現審計和告警。

  3)防火墻可以實(shí)現網(wǎng)絡(luò )地址轉換以及審計和記錄網(wǎng)絡(luò )使用日志的網(wǎng)絡(luò )管理功能。

  防火墻最重要的功能就是包過(guò)濾功能,包過(guò)濾應該做到按照IP報文的如下屬性——源IP地址、目的IP地址、源端口、目的端口、傳輸層協(xié)議進(jìn)行過(guò)濾;部分廠(chǎng)家的防火墻還可以做到基于報文內容的訪(fǎng)問(wèn)控制,即可以檢查應用層協(xié)議信息并監控應用層協(xié)議狀態(tài)。
  為保障軟交換網(wǎng)絡(luò )的安全,可以將軟交換網(wǎng)絡(luò )進(jìn)行安全區域的劃分,根據軟交換網(wǎng)絡(luò )中設備的安全需求以及軟交換網(wǎng)絡(luò )的安全區域,劃分成內網(wǎng)區和外網(wǎng)區兩個(gè)安全區域。

  軟交換網(wǎng)絡(luò )內網(wǎng)區:由軟交換、信令網(wǎng)關(guān)、應用服務(wù)器、媒體服務(wù)器、中繼網(wǎng)關(guān)、大容量用戶(hù)綜合接入網(wǎng)關(guān)等設備組成的網(wǎng)絡(luò )區域。該網(wǎng)絡(luò )區域設備面向大量用戶(hù)提供服務(wù),安全等級要求高。

  軟交換網(wǎng)絡(luò )外網(wǎng)區:由SIP終端、PC軟終端、普通用戶(hù)IAD等終端設備組成的網(wǎng)絡(luò )區域,該網(wǎng)絡(luò )區域設備放置在用戶(hù)側,面向個(gè)人用戶(hù)提供服務(wù)。

  內網(wǎng)區和外網(wǎng)區的互通,通過(guò)信令媒體代理設備實(shí)現,信令媒體代理設備除進(jìn)行外網(wǎng)區終端訪(fǎng)問(wèn)軟交換和網(wǎng)關(guān)設備的信令、媒體轉發(fā)之外,同時(shí)在安全方面應具有以下功能:
  1. 設備應能支持基于SIP、MGCP和H.248協(xié)議的應用層攻擊防護。


  2. 設備應能對異常消息、異常流量等高風(fēng)險行為進(jìn)行識別并產(chǎn)生實(shí)時(shí)告警,供維護人員作進(jìn)一步處理。


  3. 對于以下情況,設備應能進(jìn)行識別并按照預定策略進(jìn)行處理。


    4. (a)應能根據用戶(hù)注冊狀態(tài)進(jìn)行消息的處理,對未注冊用戶(hù)發(fā)送的非注冊消息進(jìn)行丟棄處理;

    (b)設備應能對注冊鑒權失敗的用戶(hù)終端建立監視列表,記錄IP地址/端口和用戶(hù)名,并能采取相應措施。

  4. 設備應具有防常見(jiàn)DoS攻擊能力。
  網(wǎng)絡(luò )隔離

  把NGN與其他網(wǎng)絡(luò )進(jìn)行物理隔離,即在物理上單獨構建一個(gè)獨立的網(wǎng)絡(luò ),可以有效規避外部攻擊,但是這種建網(wǎng)與維護成本顯然較高,所以這種方法并不可取。近年來(lái),隨著(zhù)VPN技術(shù)的成熟,在同一個(gè)物理網(wǎng)絡(luò )上構建不同的VPN已經(jīng)實(shí)際可行,可以采用MPLS、VLAN等VPN技術(shù)從分組數據物理網(wǎng)絡(luò )中劃分出一個(gè)獨立邏輯網(wǎng)絡(luò )作為NGN虛擬業(yè)務(wù)網(wǎng)絡(luò ),把NGN從邏輯上與其他網(wǎng)絡(luò )進(jìn)行隔離,其他網(wǎng)絡(luò )用戶(hù)無(wú)法通過(guò)非法途徑訪(fǎng)問(wèn)NGN網(wǎng)絡(luò ),將可以避免來(lái)自其他網(wǎng)絡(luò )特別是Internet網(wǎng)絡(luò )上用戶(hù)對NGN網(wǎng)絡(luò )的攻擊與破壞。

  數據加密

  為了防止NGN中傳送的信令和媒體信息被非法監聽(tīng),可以采用目前互聯(lián)網(wǎng)上通用的數據加密技術(shù)對信令流和媒體流進(jìn)行加密。

  對于IP網(wǎng)絡(luò )上的信令傳輸,目前提出的主要安全機制是IPSec協(xié)議。在Megaco協(xié)議規范(RFC3015)中,指定Megaco協(xié)議的實(shí)現要采用IPSec協(xié)議保證媒體網(wǎng)關(guān)和軟交換設備之間的通信安全。在不支持IPSec的環(huán)境下,使用Megaco提供的鑒權頭(AH)鑒權機制對IP分組實(shí)施鑒權。在Megaco協(xié)議中強調了如果支持IPSec就必須采用IPSec機制,并且指出IPSec的使用不會(huì )影響Megaco協(xié)議進(jìn)行交互接續的性能。IPSec是IPv4協(xié)議上的一個(gè)應用協(xié)議,IPv6直接支持IPSec選項。

  對于媒體流的傳輸,采用對RTP包進(jìn)行加密,目前主要采用對稱(chēng)加密算法對RTP包進(jìn)行加密。

  對于用戶(hù)賬號、密碼等私有信息,目前采用的加密算法主要是MD5,用于用戶(hù)身份的認證。

  訪(fǎng)問(wèn)控制
  軟交換終端用戶(hù)特別是智能終端、PC軟終端、桌面IAD等接入NGN網(wǎng)絡(luò )時(shí)必須經(jīng)過(guò)嚴格的認證,確認用戶(hù)的身份后才允許用戶(hù)接入NGN網(wǎng)絡(luò )。

  用戶(hù)接入認證時(shí)可以采用保密強度比較高的公開(kāi)密鑰體系來(lái)進(jìn)行,以保證用戶(hù)身份的可靠性。NGN系統認證確認用戶(hù)身份接入NGN網(wǎng)絡(luò )后,可以把用戶(hù)標志、IP地址等信息進(jìn)行綁定并記錄到網(wǎng)絡(luò )安全日志中。這樣一旦用戶(hù)的身份在接入時(shí)得到了確認,即使個(gè)別用戶(hù)進(jìn)行網(wǎng)絡(luò )破壞也很容易通過(guò)網(wǎng)絡(luò )的安全日志迅速定位和查處該用戶(hù)。通過(guò)這種方式從根源上基本可以杜絕從用戶(hù)側發(fā)起網(wǎng)絡(luò )攻擊而導致的網(wǎng)絡(luò )安全問(wèn)題。另外,可以強制軟交換或終端網(wǎng)管設備對終端的IP地址、MAC地址與終端標志進(jìn)行匹配,當終端標志正確,但是IP地址或MAC地址不正確時(shí),也不予提供接入和服務(wù)。
  1.設備管理控制臺訪(fǎng)問(wèn)

  控制臺是設備提供的最基本的配置方式。控制臺擁有對設備最高配置權限,對控制臺訪(fǎng)問(wèn)方式的權限管理應擁有最嚴格的方式。包括:用戶(hù)登錄驗證、控制臺超時(shí)注銷(xiāo)、控制臺終端鎖定。

  2.異步輔助端口的本地、遠程撥號訪(fǎng)問(wèn)嚴格控制通過(guò)設備的其他異步輔助端口對設備進(jìn)行本地、遠程撥號的交互配置,缺省要求身份驗證。

  3.TELNET訪(fǎng)問(wèn)嚴格控制Telnet訪(fǎng)問(wèn)

  用戶(hù)、缺省要求身份驗證,以及限制Telnet終端的IP地址,限制同時(shí)Telnet用戶(hù)數目等。

  NGN網(wǎng)絡(luò )安全建議

  根據前面的論述,為了保證所構建的NGN網(wǎng)絡(luò )的安全性,必須做到以下幾點(diǎn):
  1. 在網(wǎng)絡(luò )關(guān)鍵設備前放置防火墻和信令媒體代理設備,防止對網(wǎng)絡(luò )關(guān)鍵設備的攻擊;


  2. 把NGN與Internet等其他網(wǎng)絡(luò )進(jìn)行隔離,保證除NGN設備和用戶(hù)外其他用戶(hù)無(wú)法通過(guò)非法途徑訪(fǎng)問(wèn)NGN;


  3. 對用戶(hù)與軟交換交互的信令消息進(jìn)行加密,確保無(wú)法被非法監聽(tīng);


  4. 在接入層對用戶(hù)接入和業(yè)務(wù)使用進(jìn)行嚴格控制,用戶(hù)必須經(jīng)過(guò)嚴格的鑒權和認證才可以接入NGN網(wǎng)絡(luò ),用戶(hù)的業(yè)務(wù)使用也必須經(jīng)過(guò)嚴格的鑒權和認證。
  軟交換、應用服務(wù)器和各種網(wǎng)關(guān)設備組成封閉的MPLSVPN網(wǎng)絡(luò ),對于內部大客戶(hù)可以通過(guò)專(zhuān)線(xiàn)直接接入,其他非信任區域的終端用戶(hù)只能通過(guò)信令媒體代理設備訪(fǎng)問(wèn),同時(shí)采用IPSec加密交互的信令消息。軟交換和信令媒體代理設備嚴格控制終端的接入,對終端標志、IP地址、MAC地址進(jìn)行認證。

  總之,下一代網(wǎng)絡(luò )的安全保證是一個(gè)系統工程,使用任何單獨的技術(shù)都無(wú)法完成這個(gè)任務(wù),只有綜合運用加密、認證、防攻擊等各種安全保障手段,并且相互配合才可以構建一個(gè)安全的下一代網(wǎng)絡(luò )。

中國聯(lián)通網(wǎng)站


相關(guān)鏈接:
基于J2EE實(shí)現Web方式軟交換配置研究 2007-05-30
SIP及其在軟交換網(wǎng)絡(luò )和IMS中的應用 2007-05-29
借助網(wǎng)絡(luò )轉型提供基于NGN的新型業(yè)務(wù) 2007-05-28
基于軟交換的一號通業(yè)務(wù) 2007-05-28
中興通訊軟交換系統解析 2007-05-28

分類(lèi)信息:  電信_與_NGN及軟交換技術(shù)     行業(yè)_電信_文摘   技術(shù)_NGN及軟交換_文摘   
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩 株洲县| 乡宁县| 兴仁县| 西安市| 汝州市| 弥勒县| 锡林郭勒盟| 东乌珠穆沁旗| 阳新县| 西乌珠穆沁旗| 青河县| 水富县| 屯昌县| 手游| 武隆县| 桐城市| 乡宁县| 莆田市| 海盐县| 改则县| 轮台县| 德昌县| 巴青县| 岐山县| 湘潭县| 和龙市| 道孚县| 南丹县| 原阳县| 屯昌县| 鄂托克前旗| 利川市| 肥西县| 定州市| 秦安县| 封开县| 闽清县| 兴海县| 苍南县| 油尖旺区| 上思县| http://444 http://444 http://444 http://444 http://444 http://444