下一代網路
出自 MBA智库百科(https://wiki.mbalib.com/)
下一代網路(Next Generation Network,NGN)
目錄 |
下一代網路是一個建立在IP技術基礎上的新型公共電信網路,能夠容納各種形式的信息,在統一的管理平臺下,實現音頻、視頻、數據信號的傳輸和管理,提供各種寬頻應用和傳統電信業務.是一個真正實現寬頻窄帶一體化、有線無線一體化、有源無源一體化、傳輸接人一體化的綜合業務網路。
與傳統的PSTN網路不同,NGN以在統一的網路架構上解決各種綜合業務的靈活提供能力為出發點,提供諸如業務邏輯、業務的接人和傳送手段、業務的資源提供能力和業務的認證管理等服務。為此,在NGN中,以執行各種業務邏輯的軟交換(Softswitch)設備為核心進行網路的構架建設。除此之外,業務邏輯可在應用伺服器(AS)上統一完成,並可向用戶提供開放的業務應用編程介面(API)。而對於媒體流的傳送和接入層面,NGN將通過各種接人手段將接人的業務流集中到統一的分組網路平臺上傳送。
分組化的、開放的、分層的網路架構體系是下一代網路的顯著特征。業界基本上按業務層、控制層、傳送層、接入層四層劃分.各層之間通過標準的開放介面互連。
業務層:一個開放、綜合的業務接人平臺.在電信網路環境中,智能地接入各種業務,提供各種增值服務,而在多媒體網路環境中,也需要相應的業務生成和維護環境。
控制層:主要指網路為完成端到端的數據傳輸進行的路由判決和數據轉發的功能,它是網路的交換核心,目的是在傳輸層基礎上構建端到端的通信過程,軟交換(Softs~itch)將是下一代網路的核心,體現了NGN的網路融合思想。
傳送層:面向用戶端支持透明的TDM線路的接人,在網路核心提供大帶寬的數據傳輸能力,並替代傳統的配線架,構建靈活和可重用的長途傳輸網路,一般為基於DWDM技術的全光網。
接人層:在用戶端支持多種業務的接入,提供各種寬窄帶、移動或固定用戶接人。
下一代網路的安全威脅分析[1]
以軟交換為核心的下一代網路採用IP分組網路承載,傳統的IP網路是一個儘力傳送和開放自由的網路。有些IP網路用戶可以不經任何認證和鑒權就可以接人IP網路.IP網路用戶也不需要進行任何業務認證與鑒權。IP網路的開放性是推動互聯網發展的重要因素,但同時也帶來了網路的安全隱患。NGN採用IP承載網路,如果在建設初期沒有合理規劃,將會存在更大的安全威脅。下一代網路存在一系列安全威脅。以下列出了一系NGN網路安全威脅:
1.終端設備安全威脅
軟交換網路中存在大量的終端設備,包括IAD設備、SIP/H.323終端和PC軟終端等。軟交換網路接人靈活.任何可以接入IP網路的地點均可以接入終端。但是,這種特性在為用戶帶來方便的同時,也導致可能存在用戶利用非法終端或設備訪問網路,占用網路資源,非法使用業務和服務,同時,某些用戶可能使用非法終端或設備向網路發起攻擊,對網路的安全造成威脅。另外,由於接入與地點的無關性,使得安全威脅發生後.很難定位發起安全攻擊的確切地點,無法追查責任人。
2.網路安全威脅
軟交換網路採用IP分組網作為傳輸承載.而且軟交換網路提供的業務大部分屬於實時業務,對網路的安全可靠性要求更高。當網路由於病毒導致帶寬大量被占用。訪問速度很慢甚至無法訪問時,軟交換網路就無法為用戶提供任何服務。
3.關鍵設備安全威脅
軟交換網路中的關鍵設備包括:軟交換設備、媒體網關、信令網關、應用伺服器、媒體伺服器等。由於下一代網路選擇分組網路作為承載網路,並且各種信息主要採用IP分組的方式進行傳輸,IP協議的簡單性和通用性為網路上對關鍵設備的各種攻擊提供了便利的條件。
4.信息安全威脅
信息安全主要包括軟交換與終端之間信令消息的安全、用戶之間媒體信息的安全以及用戶私有信息(包括用戶名、密碼等)的安全。由於軟交換網路採用開放的IP網路傳輸信息,這樣在網路上傳輸的數據就很容易被監聽,如果軟交換與終端之間的信令消息被監聽.有可能導致終端用戶私有信息的泄露,導致監聽者可以利用監聽到的信息偽造成合法用戶接人網路:如果用戶之間媒體信息被惡意監聽,將導致用戶私密信息的泄露。
下一代網路安全威脅的應對策略[1]
針對NGN網路安全的威脅,可以有以下NGN網路安全解決方案。
1.防火牆隔離
軟交換網路關鍵設備如軟交換、應用伺服器和網關等放置在IP網路上,相當於IP網路上的主機,存在著被攻擊的危險,為保證關鍵設備的安全,需要在重要的網路設備前面放置防火牆以保證軟交換核心網路設備的安全。
防火牆通常具有以下功能:①防火牆定義了單個的阻塞點,將未授權的用戶隔離在被保護的網路之外,禁止潛在的易受攻擊的服務進入或離開網路.並且對於不同類型的IP欺騙和選路攻擊提供保護;②防火牆提供了監視與安全有關事件的場所,在防火牆系統中可以實現審計和告警;③防火牆可以實現網路地址轉換以及審計和記錄網路使用日誌的網路管理功能。防火牆最重要的功能就是包過濾功能,包過濾應該做到按照IP報文的如下屬性一源IP地址、目的IP地址、源埠、目的埠、傳輸層協議進行過濾;部分廠家的防火牆還可以做到基於報文內容的訪問控制。即可以檢查應用層協議信息並監控應用層協議狀態。
2.信令媒體代理設備隔離
為保障軟交換網路的安全.可以將軟交換網路進行安全區域的劃分,根據軟交換網路中設備的安全需求以及軟交換網路的安全區域,劃分成內網區和外網區兩個安全區域:①軟交換網路內網區:由軟交換、信令網關、應用伺服器、媒體伺服器、中繼網關、大容量用戶綜合接入網關等設備組成的網路區域。該網路區域設備面向大量用戶提供服務,安全等級要求高;②軟交換網路外網區:由SIP終端、PC軟終端、普通用IAD等終端設備組成的網路區域,該網路區域設備放置在用戶側,面向個人用戶提供服務;③內網區和外網區的互通.通過信令媒體代理設備實現,信令媒體代理設備除進行外網區終端訪問軟交換和網關設備的信令、媒體轉發之外,同時在安全方面應具有以下功能:①設備應能支持基於SIP、MGCP和H.248協議的應用層攻擊防護;②設備應能對異常消息、異常流量等高風險行為進行識別並產生實時告警,供維護人員作進一步處理;③對於以下情況,設備應能進行識別並按照預定策略進行處理:一種情況應能根據用戶註冊狀態進行消息的處理。對未註冊用戶發送的非註冊消息進行丟棄處理:另一種情況設備應能對註冊鑒權失敗的用戶終端建立監視列表,記錄IP地址/埠和用戶名,並能採取相應措施。
3.設備應具有防常見DoS攻擊
近年來,隨著VPN技術的成熟,在同一個物理網路上構建不同的VPN已經成為可能,可以採用MPLS、VLAN等VPN技術從分組數據物理網路中劃分出一個獨立邏輯網路作為NGN虛擬業務網路,把NGN從邏輯上與其他網路進行隔離,其他網路用戶無法通過非法途徑訪問NGN網路.將可以避免來自其他網路特別是Intemet網路上用戶對NGN網路的攻擊與破壞。
4.數據加密
為了防止NGN中傳送的信令和媒體信息被非法監聽,可以採用目前互聯網上通用的數據加密技術對信令流和媒體流進行加密。
對於IP網路上的信令傳輸,目前提出的主要安全機制是IPSec協議。在Megaco協議規範(RFC3015)中,指定Megaco協議的實現要採用IPSec協議保證媒體網關和軟交換設備之間的通信安全。在不支持IPsec的環境下,使IBMegaco提供的鑒權頭(AH)鑒權機制對IP分組實施鑒權。在Megaco協議中強調瞭如果支持IPSec就必須採用IPSec機制.並且指出IPSec的使用不會影響Megaco協議進行交互接續的性能。IPsec是IPv4協議上的一個應用協議,IPv6直接支持IPSec選項。
對於媒體流的傳輸.採用對RTP包進行加密,目前主要採用對稱加密演算法對RTP包進行加密。對於用戶賬號、密碼等私有信息,目前採用的加密演算法主要是MD5,用於用戶身份的認證。
5.接入用戶身份認證
軟交換終端用戶特別是智能終端、PC軟終端、桌面IAD等接入NGN網路時必須經過嚴格的認證,確認用戶的身份後才允許用戶接入NGN網路。
用戶接入認證時可以採用保密強度比較高的公開密鑰體系來進行,以保證用戶身份的可靠性。NGN系統認證確認用戶身份接入NGN網路後,可以把用戶標誌、IP地址等信息進行綁定並記錄到網路安全日誌中。這樣一旦用戶的身份在接入時得到了確認,即使個別用戶進行網路破壞也很容易通過網路的安全日誌迅速定位和查處該用戶。通過這種方式從根源上基本可以杜絕從用戶端發起網路攻擊而導致的網路安全問題。另外,可以強制軟交換或終端網管設備對終端的IP地址、MAC地址與終端標誌進行匹配,當終端標誌正確,但是IP地址或MAC地址不正確時,也不予提供接入和服務。
6.訪問控制
(1)設備管理控制台訪問
控制台是設備提供的最基本的配置方式。控制台擁有對設備最高配置許可權,對控制台訪問方式的許可權管理應擁有最嚴格的方式。包括:用戶登錄驗證、控制台超時註銷、控制台終端鎖定。
(2)非同步輔助埠的本地、遠程撥號訪問嚴格控制通過設備的其他非同步輔助埠對設備進行本地、遠程撥號的交互配置。預設要求身份驗證。
(3)嚴格控制Telnet訪問用戶、預設要求身份驗證,以及限制Telnet終端的IP地址,限制同時Telnet用戶數目等。
NGN網路安全建議:
根據前面的論述。為了保證所構建的NGN網路的安全性,必須做到以下幾點:①在網路關鍵設備前放置防火牆和信令媒體代理設備,防止對網路關鍵設備的攻擊;②把NGN與Internet等其他網路進行隔離,保證除NGN設備和用戶外其他用戶無法通過非法途徑訪問NGN;③對用戶與軟交換交互的信令消息進行加密,確保無法被非法監聽;④在接入層對用戶接入和業務使進行嚴格控制.用戶必須經過嚴格的鑒權和認證才可以接入NGN網路.用戶的業務使用也必須經過嚴格的鑒權和認證。軟交換、應用伺服器和各種網關設備組成封閉的MPI_SVPN網路.對於內部大客戶可以通過專線直接接人,其他非信任區域的終端用戶只能通過信令媒體代理設備訪問,同時採用IPSech0密交互的信令消息。軟交換和信令媒體代理設備嚴格控制終端的接人,對終端標誌、IP地址、MAC地址進行認證。
