NGN承载网安全问题探讨

1 承载网安全问题对NGN的影响

NGN承载网的安全问题是NGN发展过程中所遇到的一个关键问题, 它从NGN的提出到现在一直受到业界的极大关注, NGN的承载网不同于当前的Internet, 作为国家信息基础设施的重要组成部分, 它的安全与否将会对社会造成巨大影响, 因此必须妥善地解决承载网的安全问题。承载网的安全主要会对NGN造成以下几个方面的影响。

1.1 对运营商造成的影响

对运营商造成的影响主要包括以下方面。

(1) 业务盗用, 未经授权使用NGN业务, 如通过H.323协议用户终端可直接连通被叫网关, 导致运营商收人流失。

(2) 带宽盗用, 利用NGN设备端口连接用户私有的数据网络, 造成运营商数据业务收入流失并影响NGN业务质量。

(3) DoS攻击, 通过网络层或应用层的大流量攻击, 使NGN设备无法响应正常用户的业务请求或降低业务的品质。

(4) 破坏设备程序及数据:通过NGN设备远程加载或数据配置流程的漏洞破坏设备, 通常采用的TFTP、FTP、SNMP等标准协议均存在安全漏洞。

1.2 对用户造成的影响

对用户造成的影响主要包括两个方面。

(1) 用户仿冒、盗用其他用户的账号及权限使用业务。

(2) 非法监听其他呼叫的主被叫信息或媒体流内容。

2 承载网安全问题技术解决方案

2.1 构建NGN业务专网

构建一张与其他网络隔离的NGN业务网, 该业务网与其他网络的互通可以采用互通网关, 在该网关上设置合理的安全策略以及入侵监测机制, 从而有效降低来自其他网络的威胁。

构建NGN的业务专网可以采用两种方式:物理隔离方式和逻辑隔离方式。

2.1.1 物理隔离

物理隔离是指另外建设一张IP网, 主要是在汇聚层和骨干网层面上采用双网结构:一张网络承载Internet业务, 称之为Internet网, 主要提供传统的互联网业务;另一张网络承载IP电信业务, 提供高质量的电信级业务, 满足NGN对承载网的需求, 称之为IP专网。在具体建设上, IP专网可以采用扁平化模型, 在全国骨干的大区中心设立核心结点, 其他骨干结点设置汇接结点, 接入层可以利用现有的城域网, 同时在核心城市建立信息交换中心, 通过防火墙与现有IP骨干网互连, 共享已有的内容服务器。

2.1.2 逻辑隔离

逻辑隔离是在现有的运营商数据网基础上, 利用已经比较成熟的VPN技术将网络进行隔离, 将网络划分为两个逻辑子网:一个是Internet业务子网, 另一个是NGN业务子网。两个子网通过VPN进行隔离。在骨干网上可通过MPLS VPN将NGN业务和普通Internet业务隔开, 在本地网络上可通过VLAN将其隔离开, NGN业务与Internet业务的区分在边沿路由器上完成。

2.2 对用户介入的控制

NGN的安全威胁很大程度上来自于网络接人的自由开放, 因此一定要在用户的接人层采取安全措施。NGN用户或设备的接人需要经过身份认证才可以接人NGN网络, 避免非法用户和非法报文进入NGN网络。只有当用户的身份得到确认, 才可以进行事后审计与追踪, 有效地防止了用户侧的网络攻击行为。

对用户接人的控制具体包括以下几个方面。

2.2.1 用户身份认证

对用户身份进行认证的目的就是确认用户的身份, 避免非法用户访问NGN。通过对用户的访问进行日志记录, 即使出现网络安全问题, 也可以进行事后的调查和追踪, 从而找到网络的破坏者。

2.2.2 业务鉴权

对用户的业务要进行鉴权, 这样可以保证NGN上提供的业务不会被非法使用, 运营商也可以根据用户使用的具体业务分别进行计费, 并为用户设定不同的访问权限和带宽需求。

2.2.3 访问控制

NGN要能够完成对用户的带宽限定、ACL访问权限设置、业务流量的报文过滤等功能。访问控制的实现采用动态QoS与安全策略控制技术, 动态地根据用户当前的业务权限进行相应的QoS与安全控制, 避免了用户对NGN网络的非法访问。

2.3 业务网内部采用相应安全措施

通过将NGN业务网与其他网络隔离, 并对用户的接入进行严格的控制, 可以基本消除来自其他网络和用户侧的安全隐患, 但此时也要对NGN业务网内部采取一定的安全措施。C S C F、H S S、软交换、网关、服务器等NGN核心网络设备在IP网中的地位类似于网络主机设备, 因此要求这些设备应具备数据网中主机设备所具有的安全规格, 可以应用防火墙、入侵检测、流量控制、安全日志与审计等技术实现对NGN核心网络设备的安全防护。对于一些对安全级别要求较高的用户, 还可以采用加密技术对信令和数据进行加密保护。网管系统对各网元设备设置不同级别的管理员权限, 使用户不能越级对设备进行操作。

3 加强网络管理, 避免安全问题

要解决好NGN承载网安全问题, 对网络进行科学而完善的管理也是必不可少的, 随着NGN网络规模的扩大以及设备容量的扩大, 设备越来越复杂, 不可控因素随之增加。在一个规模空前的网络上因网管操作失误或故障的不恰当处理等原因将会使大量用户无法正常使用业务, 可以说内部人员的安全意识和安全管理的重要性一点也不亚于使用各种复杂而昂贵的网络技术。对网络安全而言, 管理和技术同样重要。加强对网络的管理, 探索适合NGN的具体网管策略, 从而与各种安全技术相结合才能正真保障NGN的安全运营。

摘要：NGN是指的是“下一代网络 (Next Generation Network) ”或“新一代网络 (New Generation Network) ”, 由于NGN的承载网是国家信息基础设施的重要组成部分, 因此安全问题备受关注, 本文首先分析了承载网安全问题对NGN的影响, 然后从技术和管理两方面探讨了如何解决NGN承载网安全问题。

关键词：NGN,网络安全,网络隔离