編者按:下一代網絡(NGN)的業務質量直接受到承載網安全因素的影響,為了順利部署NGN業務���,必須對承載網安全提出具體的要求��。
NGN的信令���、控制和媒體流主要封裝在ip數據報文中���,利用IP網絡來承載NGN的多媒體信息流���,因此NGN業務的質量直接受到IP網絡的影響,在目前的IP網絡條件下��,甚至是影響到NGN試驗和運營成功的要害�����。安全性問題是IP網絡影響NGN成功的要害因素之一�����。
NGN沒有部署安全措施��,如直接部署于IP公網上���,可能會出現以下的問題�����。
運營商業務的安全問題���,主要包括以下方面:業務盜用�����,未經授權使用NGN業務�����,如通過H.323協議用戶終端可直接連通被叫網關���,導致運營商收入流失;帶寬盜用���,利用NGN設備端口連接用戶私有的數據網絡���,造成運營商數據業務收入流失并影響NGN業務質量;DoS攻擊��,通過網絡層或應用層的大流量攻擊���,使NGN設備無法響應正常用戶的業務請求或降低業務的品質��。
運營商設備的安全問題��,主要包括以下方面:破壞設備程序及數據��,通過NGN設備遠程加載或數據配置流程的漏洞破壞設備�����,通常采用的TFTP��、FTP���、SNMP等標準協議均存在安全漏洞;病毒攻擊��,通過病毒入侵的方式破壞NGN設備��,或者用戶被病毒感染的計算機自動攻擊NGN設備�����,造成業務的中斷或者劣化���;黑客攻擊��,通過非常規的技術手段獲得NGN設備的控制權��,病毒��、黑客兩種安全威脅一般針對采用通用操作系統的設備�����,如各類服務器��。
用戶業務的安全問題�����,主要包括以下方面:用戶仿冒���、盜用其他用戶的賬號及權限使用業務�����;非法監聽其他用戶呼叫的主被叫信息或媒體流內容��。
就NGN安全技術框架而言��,我們可以將NGN網絡劃分為信任區��、非信任區���、半信任區(DMZ)��、網管/計費/維護網四個區域。NGN網絡部件根據網絡位置及設備功能連接到對應的區域中�����,跨區的網絡部件通過特定的物理接口受控接入網絡區域��。信任區為承載網中專用于NGN業務的隔離區域��,是一個治理良好��、安全得到保證的區域�����。放置在安全區的設備包括NGN網絡核心部件�����,如軟交換�����、接入網關、中繼網關�����、信令網關�����、帶內網管設備�����、媒體資源設備���、智能網設備等���;機架式IAD設備部署在治理良好的機房中也可以納入信任區。非信任區是運營商無法治理��、安全不能受控的區域��,包括Internet�����、社區網等IP公網和校園網、企業網等��。某些運營商部署在用戶端的設備���,如桌面式IAD��、智能軟終端、智能硬終端都納入非信任區��。半信任區(DMZ)類似Web網站�����,是處于信任區和非信任區之間的一個區域��。其中的應用服務器需要與數據網絡接口��,歸屬這個區域�����。網管/計費/維護網是運營商為了網絡運營支持而部署的專網�����,計費設備、帶外網管設備以及操作維護終端等都應部署在這個區域���。
保證NGN安全的承載網組網要求主要有以下方面�����。首先���,NGN核心部件,如軟交換�����、接入網關���、中繼網關���、信令網關、帶內網管設備���、媒體資源設備��、智能網設備等設備部署于一個安全區中�����,就組成了NGN核心網�����,我們建議采用以下方案實施:在IP網上利用MPLS技術部署一個VPN��,該VPN是一個獨立的邏輯網���;采用專線技術為NGN核心部件部署一個獨立的IP網,該網不跟公網直接互通��;通過IP電信網技術部署一個可以支持IP資源治理的獨立邏輯網���。其次���,NGN核心網的延伸,可以利用各種的接入技術延伸NGN業務覆蓋的范圍�����,要求接入網在鏈路層實現用戶隔離。我們可以采用的技術有VLAN���、ATM技術和PPPoE接入等���。第三,應通過應用服務器接口設備(ParlayGateway)與應用服務器互通�����。第四���,對于Internet用戶��、小區和校園網用戶��、企業用戶���,應通過業務代理設備(IP-IPGateway)接入。
