提高NGN網(wǎng)絡(luò)的安全性,可以從兩個方面入手:一是從網(wǎng)絡(luò)部署方面入手,比如�,使用防火墻等設(shè)備��,使得非法用戶無法進(jìn)入合法的網(wǎng)絡(luò);二是使用安全的傳輸機(jī)制�����。
網(wǎng)絡(luò)部署
要保證NGN網(wǎng)絡(luò)的安全�����,首先要保證網(wǎng)絡(luò)中核心設(shè)備的安全�,包括信令網(wǎng)關(guān)、媒體網(wǎng)關(guān)����、媒體服務(wù)器、軟交換和網(wǎng)管等設(shè)備����。由于這些網(wǎng)絡(luò)核心設(shè)備置于開放的IP網(wǎng)絡(luò)中,因此���,其安全性很難保證。當(dāng)然�����,可以讓它們做到本身具備很好的防攻擊能力�����,但設(shè)備成本會非常大。
如圖2所示�,NGN定義了各種邊緣,并保證通過這些邊緣進(jìn)入核心網(wǎng)絡(luò)的數(shù)據(jù)都是安全的����,以此達(dá)到NGN核心網(wǎng)絡(luò)安全的目的。圖2的NGN核心網(wǎng)絡(luò)的邊緣分為三類:一是邊緣A���,NGN網(wǎng)絡(luò)與接入網(wǎng)(任何寬帶接入����、企業(yè)網(wǎng)��、Internet等)的交界處�,NGN網(wǎng)絡(luò)通過這個邊緣向所轄范圍內(nèi)的用戶提供業(yè)務(wù);二是邊緣B,NGN網(wǎng)絡(luò)之間的交界處�����,圖中的其他NGN網(wǎng)絡(luò)可以是另一管理域或另一運(yùn)營商的NGN網(wǎng)絡(luò);三是邊緣C�����,NGN網(wǎng)絡(luò)與傳統(tǒng)PSTN網(wǎng)的交界處。
邊緣C通常由信令網(wǎng)關(guān)�����、中繼網(wǎng)關(guān)�、綜合接入網(wǎng)關(guān)以及對這些媒體網(wǎng)關(guān)的控制組成,普遍認(rèn)為它是一個可以信賴的邊界��。但對于邊緣A和邊緣B�,由于它們完全基于開放的IP數(shù)據(jù)技術(shù),所以不值得完全信賴����,對其用戶的接入和業(yè)務(wù)訪問,必須加以控制和管理����,一旦允許用戶接入,就應(yīng)為其提供服務(wù)質(zhì)量保證����。所以,在邊緣A和邊緣B����,可以設(shè)置一個邊緣接入控制器(Board Access Controller) ,提供防火墻和其他業(yè)務(wù)的保護(hù)功能�,包括驗證接入設(shè)備的合法性,避免非法用戶的接入;屏蔽網(wǎng)絡(luò)內(nèi)部的拓?fù)浣Y(jié)構(gòu);地址轉(zhuǎn)換(NAT)和業(yè)務(wù)穿透;網(wǎng)絡(luò)資源的分配和確保;防范來自底層和高層的拒絕服務(wù)攻擊等�����。
安全傳輸
數(shù)據(jù)的安全是指保證用戶通信數(shù)據(jù)的完整性(不被修改)和安全性(不被偷聽)�����。
數(shù)據(jù)傳輸?shù)陌踩?�,包括NGN網(wǎng)絡(luò)設(shè)備(如軟交換和媒體網(wǎng)關(guān))與終端之間傳輸協(xié)議的安全�、用戶之間媒體信息傳輸?shù)陌踩⒂脩羲接行畔?用戶名����、密碼等)的安全等。要保證這些信息不為非法用戶竊取和修改���,可以要求所有的用戶控制信息和媒體信息都要經(jīng)過邊緣接入控制器�,這樣可以保證所有的NGN通信都會經(jīng)過NGN網(wǎng)絡(luò)中的設(shè)備��。
另外��,還可以通過采用一些安全機(jī)制,讓開放的IP網(wǎng)絡(luò)具有類似TDM的安全性�。其中的一種方式就是虛擬通道。目前比較成熟也比較通用的技術(shù)是�,采用MPLS VPN技術(shù)構(gòu)建相對獨(dú)立的VPN網(wǎng)絡(luò)。這種方法可以在NGN的核心網(wǎng)絡(luò)使用����,將整個IP網(wǎng)絡(luò)分成幾個不同的隔離空間:公共網(wǎng)絡(luò)、ISP���、ASP�����、用戶網(wǎng)絡(luò)��、業(yè)務(wù)子網(wǎng)等���,使得非MPLS VPN內(nèi)的用戶無法訪問到NGN網(wǎng)絡(luò)中的設(shè)備,從而保證NGN網(wǎng)絡(luò)的安全����。
NGN網(wǎng)絡(luò)和用戶終端的信息包括控制信息和媒體信息。控制信息涉及的協(xié)議有H.248�����、MGCP��、SIP和H.323�。為了防止未授權(quán)的實體利用這些協(xié)議建立非法呼叫或干涉合法呼叫���,需要對這些協(xié)議的傳輸建立安全機(jī)制���。目前在IP網(wǎng)絡(luò)中廣泛推薦的是IPSec,用它對協(xié)議的傳輸提供安全保護(hù)��。但是由于該機(jī)制所涉及到的一系列協(xié)議比較復(fù)雜��,增加了各通信設(shè)備的負(fù)荷���,所以目前并沒有大量使用��。用戶之間的媒體信息防竊聽��,可以采用對RTP包進(jìn)行加密的方法�����,這種方法需要在呼叫建立過程中向終端傳送密鑰信息�。
還有一種信息是關(guān)于用戶的驗證信息,包括用戶名�����、密碼��、賬號等����,這是非法用戶經(jīng)常偷聽的信息,一定要保證這種信息的安全性和完整性��。這種信息通常比較短����,因此,常用的加密算法是MD5����。
通信安全越來越重要,不但影響公眾生活���,還直接影響國家利益和國家安全�����。因此NGN安全是所有人所希望的����。NGN安全研究涉及廣泛���,包括法律法規(guī)��、技術(shù)標(biāo)準(zhǔn)�����、管理措施�、網(wǎng)絡(luò)規(guī)劃�����、網(wǎng)絡(luò)設(shè)計����、設(shè)備可靠性���、業(yè)務(wù)特性、商業(yè)模式��、纜線埋放���、加密強(qiáng)度�、加密算法�、有害信息定義等大量領(lǐng)域。因此���,NGN的安全研究應(yīng)作為基礎(chǔ)研究�,需要長期努力�����。
