微波EDA网,见证研发工程师的成长!
首页 > 通信和网络 > 通信网络技术文库 > NGN分层网络安全方案

NGN分层网络安全方案

时间:03-24 来源:中国联通网站 点击:

摘要  下一代网络(NGN)是近几年出现的电信新技术,是电信史上的一块里程碑,它是综合、开放的网络构架,提供话音、数据和多媒体等业务。NGN是电信级网络,电信级网络最大的特点就是安全、可靠和高可用性。如何确保网络安全性是电信设备必须考虑的重要因素。文章通过下一代网络的四个层次,介绍各层次安全技术的研究和措施的实施,研究可行有效的安全机制,指出构筑NGN安全可靠性的安全防御框架。

0、引言

  基于软交换技术的下一代网络(NGN)是业务驱动的网络,通过呼叫控制、媒体交换及承载的分离,实现了开放的分层架构。软交换网络分为接入层、承载层、控制层和业务层四大层次。接入层负责在用户端支持多种业务的接入,接入设备应能向上连接到高速传输线路,向下支持多种业务的接口。承载层负责建立和管理承载连接,并对这些连接进行交换和路由分配,用以响应控制层的控制命令。控制层主要涉及软交换相关的功能,完成业务逻辑的具体执行,其中包含呼叫智能和路由等操作。控制层是NGN的核心,决定用户收到的业务,并能控制低层网络元素对业务流的处理。网络业务层主要负责业务逻辑的相关处理,如业务生成、业务逻辑定义和业务编程接口等。各层次网络单元通过标准协议互通,可以各自独立演进,以适应未来技术的发展。

  NGN是在当今电信网络基础上演变、融合而来的,理想的NGN可以实现各种网络的互通,用户可以在任何时间、任何地点、以多种方式享受网络提供的各种服务。在不久的将来,用户可以在电话机上与朋友"面对面"地视频聊天;用很少的话费与异国的朋友尽情交谈。但事物都具有两面性,NGN为我们带来便利的同时,也带来了更加严峻的安全问题。

  面临诸多的安全问题,笔者认为在NGN发展演进过程中,要积极进行各层次安全技术的研究和措施的实施,研究可行有效的安全机制和安全防御框架。

1、接入层用户的安全管理

  根据安全需求的不同,可将软交换网络分为内网区、隔离区和外网区等不同的安全区域。外网区是由会话启动协议(SIP)终端和普通用户综合接入设备(IAD)等终端设备组成的网络区域,该网络区域设备放置在用户侧,为个人用户提供服务。内网区是由软交换、信令网关、应用服务器、媒体服务器、中继网关和大容量用户综合接入网关等设备组成的网络区域。隔离区是由软交换用户下载服务器、应用门户服务器和域名系统(DNS)等设备组成的网络区域。

  对接入层用户应部署以下安全访问策略:a)根据网络安全的最小化服务原则,隔离区对外网区只开放必需的服务端口,其他不需要的端口一律用防火墙屏蔽。b)外网区终端允许使用SIP、媒体网关控制协议(MGCP)或H.248协议,通过边缘接入控制设备作为代理访问内网区,再通过用户和业务认证后,允许实时传送协议/RTP控制协议(RTP/RTCP)数据包通过边缘接入控制设备作为代理进入内网区。c)外网区终端不能使用除SIP、MGCP和H.248之外的协议直接访问内部网络,对内部网络设备的访问必须通过隔离区设备代理进行。d)外网区终端获得允许后可以使用隔离区服务器提供的服务。

  设置接入安全防线,接入设备/用户接入需要经过身份认证才可接入软交换网络,同时在这个点设置用户的业务权限,这条防线可以避免非法用户进入软交换网络。同时,用户的身份得到确认可以方便进行事后审计和追踪,有效防止用户侧的网络攻击行为。接入层安全问题主要涉及接入侧设备及用户信息的安全。这些通常通过认证、鉴权机制和隔离机制来保证。

  保证用户信息安全,在接入层仍要对通信流量进行隔离,这里包括软交换业务用户与其他业务用户(如普通数据业务用户)之间的隔离以及两个软交换用户之间的隔离。采用虚拟局域网(VLAN)在第二层实现隔离,能有效杜绝广播包的攻击和用户信息的泄露。另外通过访问控制列表(ACL)可在第三层上进行软交换终端用户之间的受控互访或软交换终端用户对软交换其他设备的互访。进一步通过IP+VLAN+MAC绑定,可以限制每个VLAN接入的用户数目,保护网上关键资源,并有效防止用户地址盗用和用户仿冒的发生。

  软交换网络需要对接入到控制层的接入设备进行认证,以保证接入设备的合法性。以IAD为例,当不可信任的IAD向软交换进行注册时,应携带用于该设备进行认证的设备信息(如设备的标识、MAC地址或预先获得的鉴权密钥等),并且可以对这些信息加密传送。软交换根据注册消息中所包含的信息对IAD进行认证,认证通过后,激活相应的业务端口,用户获得使用业务的权限。

2、承载网的安全

承载网安全直接影响NGN的业务质量。 NGN承载网采

Copyright © 2017-2020 微波EDA网 版权所有

网站地图

Top