編者按:下一代網(wǎng)絡(luò)(NGN)的業(yè)務(wù)質(zhì)量直接受到承載網(wǎng)安全因素的影響,為了順利部署NGN業(yè)務(wù)��,必須對(duì)承載網(wǎng)安全提出具體的要求。
NGN的信令���、控制和媒體流主要封裝在ip數(shù)據(jù)報(bào)文中,利用IP網(wǎng)絡(luò)來承載NGN的多媒體信息流��,因此NGN業(yè)務(wù)的質(zhì)量直接受到IP網(wǎng)絡(luò)的影響��,在目前的IP網(wǎng)絡(luò)條件下�����,甚至是影響到NGN試驗(yàn)和運(yùn)營成功的要害。安全性問題是IP網(wǎng)絡(luò)影響NGN成功的要害因素之一。
NGN沒有部署安全措施,如直接部署于IP公網(wǎng)上���,可能會(huì)出現(xiàn)以下的問題。
運(yùn)營商業(yè)務(wù)的安全問題,主要包括以下方面:業(yè)務(wù)盜用,未經(jīng)授權(quán)使用NGN業(yè)務(wù),如通過H.323協(xié)議用戶終端可直接連通被叫網(wǎng)關(guān),導(dǎo)致運(yùn)營商收入流失����;帶寬盜用�����,利用NGN設(shè)備端口連接用戶私有的數(shù)據(jù)網(wǎng)絡(luò),造成運(yùn)營商數(shù)據(jù)業(yè)務(wù)收入流失并影響NGN業(yè)務(wù)質(zhì)量���;DoS攻擊,通過網(wǎng)絡(luò)層或應(yīng)用層的大流量攻擊���,使NGN設(shè)備無法響應(yīng)正常用戶的業(yè)務(wù)請求或降低業(yè)務(wù)的品質(zhì)。
運(yùn)營商設(shè)備的安全問題�����,主要包括以下方面:破壞設(shè)備程序及數(shù)據(jù)�����,通過NGN設(shè)備遠(yuǎn)程加載或數(shù)據(jù)配置流程的漏洞破壞設(shè)備����,通常采用的TFTP��、FTP�、SNMP等標(biāo)準(zhǔn)協(xié)議均存在安全漏洞�;病毒攻擊,通過病毒入侵的方式破壞NGN設(shè)備,或者用戶被病毒感染的計(jì)算機(jī)自動(dòng)攻擊NGN設(shè)備��,造成業(yè)務(wù)的中斷或者劣化��;黑客攻擊��,通過非常規(guī)的技術(shù)手段獲得NGN設(shè)備的控制權(quán)���,病毒�����、黑客兩種安全威脅一般針對(duì)采用通用操作系統(tǒng)的設(shè)備�����,如各類服務(wù)器。
用戶業(yè)務(wù)的安全問題�,主要包括以下方面:用戶仿冒�����、盜用其他用戶的賬號(hào)及權(quán)限使用業(yè)務(wù);非法監(jiān)聽其他用戶呼叫的主被叫信息或媒體流內(nèi)容���。
就NGN安全技術(shù)框架而言,我們可以將NGN網(wǎng)絡(luò)劃分為信任區(qū)�、非信任區(qū)���、半信任區(qū)(DMZ)��、網(wǎng)管/計(jì)費(fèi)/維護(hù)網(wǎng)四個(gè)區(qū)域。NGN網(wǎng)絡(luò)部件根據(jù)網(wǎng)絡(luò)位置及設(shè)備功能連接到對(duì)應(yīng)的區(qū)域中��,跨區(qū)的網(wǎng)絡(luò)部件通過特定的物理接口受控接入網(wǎng)絡(luò)區(qū)域��。信任區(qū)為承載網(wǎng)中專用于NGN業(yè)務(wù)的隔離區(qū)域���,是一個(gè)治理良好、安全得到保證的區(qū)域��。放置在安全區(qū)的設(shè)備包括NGN網(wǎng)絡(luò)核心部件��,如軟交換����、接入網(wǎng)關(guān)、中繼網(wǎng)關(guān)��、信令網(wǎng)關(guān)��、帶內(nèi)網(wǎng)管設(shè)備�、媒體資源設(shè)備����、智能網(wǎng)設(shè)備等;機(jī)架式IAD設(shè)備部署在治理良好的機(jī)房中也可以納入信任區(qū)��。非信任區(qū)是運(yùn)營商無法治理�、安全不能受控的區(qū)域,包括Internet���、社區(qū)網(wǎng)等IP公網(wǎng)和校園網(wǎng)、企業(yè)網(wǎng)等�。某些運(yùn)營商部署在用戶端的設(shè)備����,如桌面式IAD�、智能軟終端、智能硬終端都納入非信任區(qū)�。半信任區(qū)(DMZ)類似Web網(wǎng)站��,是處于信任區(qū)和非信任區(qū)之間的一個(gè)區(qū)域。其中的應(yīng)用服務(wù)器需要與數(shù)據(jù)網(wǎng)絡(luò)接口�����,歸屬這個(gè)區(qū)域����。網(wǎng)管/計(jì)費(fèi)/維護(hù)網(wǎng)是運(yùn)營商為了網(wǎng)絡(luò)運(yùn)營支持而部署的專網(wǎng)�,計(jì)費(fèi)設(shè)備、帶外網(wǎng)管設(shè)備以及操作維護(hù)終端等都應(yīng)部署在這個(gè)區(qū)域���。
保證NGN安全的承載網(wǎng)組網(wǎng)要求主要有以下方面。首先����,NGN核心部件�,如軟交換����、接入網(wǎng)關(guān)、中繼網(wǎng)關(guān)��、信令網(wǎng)關(guān)��、帶內(nèi)網(wǎng)管設(shè)備�、媒體資源設(shè)備���、智能網(wǎng)設(shè)備等設(shè)備部署于一個(gè)安全區(qū)中�,就組成了NGN核心網(wǎng),我們建議采用以下方案實(shí)施:在IP網(wǎng)上利用MPLS技術(shù)部署一個(gè)VPN,該VPN是一個(gè)獨(dú)立的邏輯網(wǎng)��;采用專線技術(shù)為NGN核心部件部署一個(gè)獨(dú)立的IP網(wǎng)��,該網(wǎng)不跟公網(wǎng)直接互通��;通過IP電信網(wǎng)技術(shù)部署一個(gè)可以支持IP資源治理的獨(dú)立邏輯網(wǎng)。其次,NGN核心網(wǎng)的延伸�,可以利用各種的接入技術(shù)延伸NGN業(yè)務(wù)覆蓋的范圍�����,要求接入網(wǎng)在鏈路層實(shí)現(xiàn)用戶隔離。我們可以采用的技術(shù)有VLAN��、ATM技術(shù)和PPPoE接入等����。第三��,應(yīng)通過應(yīng)用服務(wù)器接口設(shè)備(ParlayGateway)與應(yīng)用服務(wù)器互通�。第四���,對(duì)于Internet用戶�、小區(qū)和校園網(wǎng)用戶、企業(yè)用戶���,應(yīng)通過業(yè)務(wù)代理設(shè)備(IP-IPGateway)接入�����。
