电脑技术学习

NGN 对承载网的安全要求

dn001

  编者按:下一代网络(NGN)的业务质量直接受到承载网安全因素的影响,为了顺利部署NGN业务,必须对承载网安全提出具体的要求。

  NGN的信令、控制和媒体流主要封装在IP数据报文中,利用IP网络来承载NGN的多媒体信息流,因此NGN业务的质量直接受到IP网络的影响,在目前的IP网络条件下,甚至是影响到NGN试验和运营成功的要害。安全性问题是IP网络影响NGN成功的要害因素之一。

  NGN没有部署安全措施,如直接部署于IP公网上,可能会出现以下的问题。

  运营商业务的安全问题,主要包括以下方面:业务盗用,未经授权使用NGN业务,如通过H.323协议用户终端可直接连通被叫网关,导致运营商收入流失;带宽盗用,利用NGN设备端口连接用户私有的数据网络,造成运营商数据业务收入流失并影响NGN业务质量;DoS攻击,通过网络层或应用层的大流量攻击,使NGN设备无法响应正常用户的业务请求或降低业务的品质。

  运营商设备的安全问题,主要包括以下方面:破坏设备程序及数据,通过NGN设备远程加载或数据配置流程的漏洞破坏设备,通常采用的TFTP、FTP、SNMP等标准协议均存在安全漏洞;病毒攻击,通过病毒入侵的方式破坏NGN设备,或者用户被病毒感染的计算机自动攻击NGN设备,造成业务的中断或者劣化;黑客攻击,通过非常规的技术手段获得NGN设备的控制权,病毒、黑客两种安全威胁一般针对采用通用操作系统的设备,如各类服务器。

  用户业务的安全问题,主要包括以下方面:用户仿冒、盗用其他用户的账号及权限使用业务;非法监听其他用户呼叫的主被叫信息或媒体流内容。

  就NGN安全技术框架而言,我们可以将NGN网络划分为信任区、非信任区、半信任区(DMZ)、网管/计费/维护网四个区域。NGN网络部件根据网络位置及设备功能连接到对应的区域中,跨区的网络部件通过特定的物理接口受控接入网络区域。信任区为承载网中专用于NGN业务的隔离区域,是一个治理良好、安全得到保证的区域。放置在安全区的设备包括NGN网络核心部件,如软交换、接入网关、中继网关、信令网关、带内网管设备、媒体资源设备、智能网设备等;机架式IAD设备部署在治理良好的机房中也可以纳入信任区。非信任区是运营商无法治理、安全不能受控的区域,包括Internet、社区网等IP公网和校园网、企业网等。某些运营商部署在用户端的设备,如桌面式IAD、智能软终端、智能硬终端都纳入非信任区。半信任区(DMZ)类似Web网站,是处于信任区和非信任区之间的一个区域。其中的应用服务器需要与数据网络接口,归属这个区域。网管/计费/维护网是运营商为了网络运营支持而部署的专网,计费设备、带外网管设备以及操作维护终端等都应部署在这个区域。

  保证NGN安全的承载网组网要求主要有以下方面。首先,NGN核心部件,如软交换、接入网关、中继网关、信令网关、带内网管设备、媒体资源设备、智能网设备等设备部署于一个安全区中,就组成了NGN核心网,我们建议采用以下方案实施:在IP网上利用MPLS技术部署一个VPN,该VPN是一个独立的逻辑网;采用专线技术为NGN核心部件部署一个独立的IP网,该网不跟公网直接互通;通过IP电信网技术部署一个可以支持IP资源治理的独立逻辑网。其次,NGN核心网的延伸,可以利用各种的接入技术延伸NGN业务覆盖的范围,要求接入网在链路层实现用户隔离。我们可以采用的技术有VLAN、ATM技术和PPPoE接入等。第三,应通过应用服务器接口设备(ParlayGateway)与应用服务器互通。第四,对于Internet用户、小区和校园网用户、企业用户,应通过业务代理设备(IP-IPGateway)接入。