NGN分层网络安全方案.docVIP

　　NGN分层网络安全方案～教育资源库 　　0、引言 　　基于软交换技术的下一代网络（NGN）是业务驱动的网络，通过呼叫控制、媒体交换及承载的分离，实现了开放的分层架构。软交换网络分为接入层、承载层、控制层和业务层四大层次。接入层负责在用户端支持多种业务的接入，接入设备应能向上连接到高速传输线路，向下支持多种业务的接口。承载层负责建立和管理承载连接，并对这些连接进行交换和路由分配，用以响应控制层的控制命令。控制层主要涉及软交换相关的功能，完成业务逻辑的具体执行，其中包含呼叫智能和路由等操作。控制层是NGN的核心，决定用户收到的业务，并能控制低层网络元素对业务流的处理。网络业务层主要负责业务逻辑的相关处理，如业务生成、业务逻辑定义和业务编程接口等。各层次网络单元通过标准协议互通，可以各自独立演进，以适应未来技术的发展。 　　NGN是在当今电信网络基础上演变、融合而来的，理想的NGN可以实现各种网络的互通，用户可以在任何时间、任何地点、以多种方式享受网络提供的各种服务。在不久的将来，用户可以在机上与朋友面对面地视频聊天；用很少的话费与异国的朋友尽情交谈。但事物都具有两面性，NGN为我们带来便利的同时，也带来了更加严峻的安全问题。 　　面临诸多的安全问题，笔者认为在NGN发展演进过程中，要积极进行各层次安全技术的研究和措施的实施，研究可行有效的安全机制和安全防御框架。 　　1、接入层用户的安全管理 　　根据安全需求的不同，可将软交换网络分为内网区、隔离区和外网区等不同的安全区域。外网区是由会话启动协议（SIP）终端和普通用户综合接入设备（IAD）等终端设备组成的网络区域，该网络区域设备放置在用户侧，为个人用户提供服务。内网区是由软交换、信令网关、应用服务器、媒体服务器、中继网关和大容量用户综合接入网关等设备组成的网络区域。隔离区是由软交换用户下载服务器、应用门户服务器和域名系统（DNS）等设备组成的网络区域。 　　对接入层用户应部署以下安全访问策略：a）根据网络安全的最小化服务原则，隔离区对外网区只开放必需的服务端口，其他不需要的端口一律用防火墙屏蔽。b）外网区终端允许使用SIP、媒体网关控制协议（MGCP）或H.248协议，通过边缘接入控制设备作为代理访问内网区，再通过用户和业务认证后，允许实时传送协议/RTP控制协议（RTP/RTCP）数据包通过边缘接入控制设备作为代理进入内网区。c）外网区终端不能使用除SIP、MGCP和H.248之外的协议直接访问内部网络，对内部网络设备的访问必须通过隔离区设备代理进行。d）外网区终端获得允许后可以使用隔离区服务器提供的服务。 　　设置接入安全防线，接入设备/用户接入需要经过身份认证才可接入软交换网络，同时在这个点设置用户的业务权限，这条防线可以避免非法用户进入软交换网络。同时，用户的身份得到确认可以方便进行事后审计和追踪，有效防止用户侧的网络攻击行为。接入层安全问题主要涉及接入侧设备及用户信息的安全。这些通常通过认证、鉴权机制和隔离机制来保证。 　　保证用户信息安全，在接入层仍要对通信流量进行隔离，这里包括软交换业务用户与其他业务用户（如普通数据业务用户）之间的隔离以及两个软交换用户之间的隔离。采用虚拟局域网（VLAN）在第二层实现隔离，能有效杜绝广播包的攻击和用户信息的泄露。另外通过访问控制列表（ACL）可在第三层上进行软交换终端用户之间的受控互访或软交换终端用户对软交换其他设备的互访。进一步通过IP+VLAN+MAC绑定，可以限制每个VLAN接入的用户数目，保护网上关键资源，并有效防止用户地址盗用和用户仿冒的发生。 　　软交换网络需要对接入到控制层的接入设备进行认证，以保证接入设备的合法性。以IAD为例，当不可信任的IAD向软交换进行注册时，应携带用于该设备进行认证的设备信息（如设备的标识、MAC地址或预先获得的鉴权密钥等），并且可以对这些信息加密传送。软交换根据注册消息中所包含的信息对IAD进行认证，认证通过后，激活相应的业务端口，用户获得使用业务的权限。 　　2、承载网的安全 　　承载网安全直接影响NGN的业务质量。 NGN承载网采用IP技术，其开放性特点非常适合网络业务的发展，但IP协议的开放性和公用性也使NGN不可避免地受到黑客或病毒程序的攻击或干扰。 　　随着NGN、3G、虚拟专用网络（VPN）等新业务的不断涌现，用户数量的不断增加，原Inter业务接入平面的IP承载网已无法满足要求。a）原有设备容量不足，无法满足快速增长的用户对宽带的需求和未来良好的扩展。b）原有网络在多协议标签交换（MPLS）VPN、高可靠性、QoS、组播、IPv6等诸多方面能力不足，无法承载电信级的新业务。 　　近几年，多业务I