首頁(yè)>>>技術(shù)>>>NGN

NGN的安全體系架構

2007/12/04

  NGN安全體系架構是一個(gè)體系,本身很難用一個(gè)單一的標準來(lái)涵蓋,其設計需要滿(mǎn)足以下條件:具有可擴展性、實(shí)用性;基于成熟的安全機制和實(shí)現技術(shù);能夠實(shí)現應用層、業(yè)務(wù)層和傳輸層的分離,不同層次上能夠采用不同的安全措施;安全措施的應用不影響業(yè)務(wù)的服務(wù)質(zhì)量;滿(mǎn)足網(wǎng)絡(luò )運營(yíng)商、業(yè)務(wù)提供商和用戶(hù)的安全需求;能夠實(shí)現互操作。

  NGN在網(wǎng)絡(luò )架構中引入了多種商業(yè)模型,例如,接入網(wǎng)和骨干網(wǎng)可能屬于不同的運營(yíng)商,有不同的安全策略,需要隔離不同層面的安全問(wèn)題。為此,NGN按照邏輯方式和物理方式,對網(wǎng)絡(luò )進(jìn)行了劃分,形成了不同的安全域,每一安全域可以對應一種特定的安全策略,運營(yíng)商通過(guò)實(shí)施各種安全策略,對安全域里和安全域間的功能要素和活動(dòng)進(jìn)行保護。

  安全域可以分為信任域、脆弱信任域和非信任域。對于某一特定的網(wǎng)絡(luò )運營(yíng)商,信任域是指不與用戶(hù)設備直接通信、處于該運營(yíng)商完全控制之下的安全域,例如骨干網(wǎng);脆弱信任域是指屬于該網(wǎng)絡(luò )運營(yíng)商管理但不一定由該網(wǎng)絡(luò )運營(yíng)商控制、連接信任域和非信任域的安全域,例如接入網(wǎng)、邊界網(wǎng)關(guān);非信任域是指不屬于該運營(yíng)商管理的安全域,例如用戶(hù)網(wǎng)絡(luò )、不被信任的其他運營(yíng)商網(wǎng)絡(luò )。在不同的安全域里,安全威脅、脆弱性、風(fēng)險是不同的,因此安全需求也就不一樣,網(wǎng)絡(luò )運營(yíng)商和業(yè)務(wù)提供商需要分別制定安全策略,采用各種安全機制的組合,來(lái)保證其網(wǎng)絡(luò )和網(wǎng)絡(luò )之上端到端用戶(hù)業(yè)務(wù)的安全性。

  根據NGN分層的思想,NGN安全體系架構,在水平方向上可以劃分為傳送層安全和業(yè)務(wù)層安全。傳送層和業(yè)務(wù)層的安全體系架構應相對獨立,傳送層安全體系架構主要是解決數據傳輸的安全,業(yè)務(wù)層安全體系架構主要解決業(yè)務(wù)平臺的安全。例如,電信和互聯(lián)網(wǎng)融合業(yè)務(wù)及高級網(wǎng)絡(luò )協(xié)議(TISPAN)規定,傳送層采用網(wǎng)絡(luò )附著(zhù)子系統(NASS)憑證,業(yè)務(wù)控制層采用IP多媒體子系統(IMS)認證和密鑰協(xié)商(A-KA)模式,應用層采用基于通用用戶(hù)識別模塊(USIM)集成電路卡(UICC)的GBA(GBA-U)模式。

  NGN安全的系統架構在垂直方向上可以劃分為接入網(wǎng)安全、骨干網(wǎng)安全和業(yè)務(wù)網(wǎng)安全,從而使得原來(lái)網(wǎng)絡(luò )端到端安全變成了網(wǎng)絡(luò )逐段安全。在垂直方向上,NGN可以被劃分成多個(gè)安全域。

  接入網(wǎng)通過(guò)接入控制部分對用戶(hù)的接入進(jìn)行控制,防止非授權用戶(hù)訪(fǎng)問(wèn)傳送網(wǎng)絡(luò ),并負責用戶(hù)終端IP地址的分配;骨干網(wǎng)通過(guò)邊界網(wǎng)關(guān)對網(wǎng)絡(luò )互聯(lián)進(jìn)行控制,保證只有被授權的其他網(wǎng)絡(luò )上的用戶(hù)面、控制面和管理面才能接入信任域;業(yè)務(wù)網(wǎng)通過(guò)業(yè)務(wù)控制部分和根據需要通過(guò)應用與業(yè)務(wù)支持部分對用戶(hù)訪(fǎng)問(wèn)業(yè)務(wù)進(jìn)行控制,防止非授權用戶(hù)訪(fǎng)問(wèn)業(yè)務(wù),或授權用戶(hù)訪(fǎng)問(wèn)非授權業(yè)務(wù)。

  安全域之間用安全網(wǎng)關(guān)(SEGF)互聯(lián)。在每個(gè)安全域里,除了SEGF之外,可能還存在SEG證書(shū)權威(CA)和互聯(lián)CA。同一個(gè)安全域的SEGF采用IETF安全協(xié)議實(shí)現域內端到端安全。

  SEGF是安全域邊界實(shí)體,是防范來(lái)自其他安全域攻擊的主要網(wǎng)元。它通過(guò)將來(lái)自其他安全域的流量與信任域內流量進(jìn)行隔離,要求其他安全域流量必須通過(guò)特定的SEGF才能進(jìn)入信任域,在向信任域里轉發(fā)來(lái)自其他安全域的流量前,必須進(jìn)行驗證,以防止攔截、篡改、拒絕式攻擊、地址和身份欺騙、竊聽(tīng)、偽裝等安全事件在信任域里的出現。例如,可以根據指定的安全策略,在管理面和控制面上使用接入控制,限制特定用戶(hù)接入或對特定業(yè)務(wù)的訪(fǎng)問(wèn)。SEGF要實(shí)現設備級物理安全措施、系統加固、安全信令、OAMP虛擬專(zhuān)網(wǎng)(VPN)等方式之外,還要采用防火墻、入侵檢測、內容過(guò)濾、VPN接入、VPN互聯(lián)等功能。

  SEGF提供的安全服務(wù)包括認證、授權、私密性、完整性、密鑰管理和策略實(shí)施等。SEGF對于從信任域里發(fā)出的請求,可以采用信任方式,不需要再進(jìn)行驗證。

人民郵電報


相關(guān)鏈接:
下一代網(wǎng)絡(luò )技術(shù)的寵兒——ATCA 2007-12-03
PSTN與NGN互通研究 2007-11-29
構建融合接入網(wǎng)絡(luò )助力NGN發(fā)展 2007-11-15
下一代網(wǎng)絡(luò )和業(yè)務(wù)轉型過(guò)程中資源管理系統的建設 2007-11-09
“2007年中國國際通信設備技術(shù)展覽會(huì )”核心網(wǎng)發(fā)展掃描 2007-10-29

分類(lèi)信息:  電信_與_NGN及軟交換技術(shù)     行業(yè)_電信_文摘   技術(shù)_NGN及軟交換_文摘   
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩 普洱| 临沧市| 黄平县| 博爱县| 肥城市| 金门县| 浦城县| 固始县| 永德县| 华宁县| 宝应县| 遂溪县| 从江县| 尼玛县| 呼图壁县| 普兰店市| 辽阳县| 溧水县| 吉安县| 龙岩市| 江孜县| 大埔县| 乌审旗| 星座| 呼图壁县| 永泰县| 社会| 漯河市| 岚皋县| 蕉岭县| 桃园市| 建平县| 卢氏县| 安宁市| 馆陶县| 通海县| 德惠市| 怀化市| 留坝县| 蛟河市| 昌都县| http://444 http://444 http://444 http://444 http://444 http://444