下一代网络(NGN)的网络安全威胁.pdfVIP

—．368．． 第六届京、津、沪、渝及全国城市有线电视技术研讨会论文集 下一代网络(NGN)的网络安全威胁 中国传媒大学信息工程学院蒋杨倩邹海川胡It 擒耍：本文介绍下一代网络(NGN)所面临的网络安全威胁，并提出了一种适合下一代网络的网络安全架构。 关键词：NGN安全威胁安全框架 1 引 言 NGN是基于分组的网络，能够提供电信业务；利用多种宽带能力和QoS保证的传送技术；其业务相关 功能与其传送技术相独立。NGN使用户可以自由接入到不同的业务提供商；NGN支持通用移动性。 典型的NGN网络而言由业务层、控制层、传送层和接入层4层组成，它们面临着安全威胁：软交换设 备和各种网关设备的容量可以非常大，一旦中断，其影响呈几何级数放大；软交换系统的承载网基于IP网 络，在承载网故障或者不稳定的情况下会出现心跳机制混乱、业务不能正常开展、核心节点运行不稳定或 者脱网、链路和路由状态异常等状况；软交换系统通过开放的业务接口提供丰富的业务和应用，但开放的 业务接口使其面临被攻击的危险；软交换系统用户终端的智能化以及接人方式的复杂化对软交换协议处 理的容错性提出了很高的要求，接入区域公共化等使软交换网络处于更开放的网络环境中，更易遭受攻 击。必须针对这些威胁提出有效的解决方案，以保证下一代网络的网络安全。 2 NGN的安全威胁 图1所示是NGN的分层结构。图中控制层负责呼叫逻辑，处理呼叫请求，并指示传送层建立合适的承 载连接。控制层的核心设备是软交换，软交换需要支持众多的协议接口，以实现与不同类型网络的互通。软 交换是把呼叫控制从媒体网关(传输层)中分离出来，通过服务器上的软件实现基本呼叫控制功能，包括呼 叫选路、管理控制、连接控制和信令互通。 在NGN整个网络中，软交换技术是它的核心技术，采用了分层、开放的体系结构，将传统交换机的功 能模块分离成独立的网络实体，各实体间采用开放的协议或API接口，从而打破了传统电信网封闭的格 局，实现了多种异构网络间的融合。 但是，目前软交换的标准和设备都处在一个逐渐成熟的过程之中，在软交换网络中涉及的许多问题还 有待深入的探讨和研究。以软交换为核心的下一代网络主要以IP网作为承载网络，IP技术本身存在的问 题以及软交换技术作为一个新技术存在的问题，都是下一代网络在发展过程中需要面对和解决的问题。其 中，具有开放性和扩展性特征的下一代网络在安全性方面将面临更多的威胁，必须采用合适的安全策略， 以保证下一代网络的网络安全。 2．1 主要设备的安全问题 下一代网络(NGN)中的主要设备包括：软交换设备、中继网关设备、信令网关设备、应用服务器、媒体 服务器、操作维护和网管设备等。目前，利用IP协议的简单性和通用性对网络设备进行攻击的常见方式 of 有：DoS攻击(DemalService，拒绝服务)，即通过过量的服务使网络中的关键设各陷入崩溃的边缘或崩 Denialof 溃；DDoS攻击(DistributedService，分布式拒绝服务)，是基于DoS，分布、协作的大规模攻击，通过 入侵和操控一些有漏洞的主机，以其为攻击平台向网络中的关键设备发起大量的DoS攻击；利用形攻击， 即通过窃取用户密码等方式获取关键设备的控制权，包括口令猜测、特洛伊木马、缓冲区溢出等手段。 摹六鼻京、肆、萨、督反套曲城市有线电tttt术竹讨套it-亲 生务和应用 控制屡 特送层 i#．．tglgA-屡 蜷 盛嚣 目lN洲H目镕* 为了充分保证网络的安全，首先这些关键设备车身要从物理设计层面上提供一定的安全机触，以便下 一代网络能够达到电信级同络的要求。目前，软交换设备安全完全依祯厂商的软硬件的安全设计，主要通 过主备、1+1、N+I备份和自动倒换以及软硬件模块化设计等方式实现故障情况下的切换和隔离。但在实际 运行中仍然存在一定的安全隐患。 备份和倒换的可靠性无法保障：关键设备的倒换(特别是一些关键接口板)一般会影响业务或者设备 运行，倒换的成功率目前无法保障，可能在紧急情况下