NGN 对承载网的安全要求_NGN及软交换

NGN 对承载网的安全要求

2004/05/20

　　编者按：下一代网络（NGN）的业务质量直接受到承载网安全因素的影响，为了顺利部署NGN业务，必须对承载网安全提出具体的要求。

　　NGN的信令、控制和媒体流主要封装在IP数据报文中，利用IP网络来承载NGN的多媒体信息流，因此NGN业务的质量直接受到IP网络的影响，在目前的IP网络条件下，甚至是影响到NGN试验和运营成功的关键。安全性问题是IP网络影响NGN成功的关键因素之一。

　　NGN没有部署安全措施，如直接部署于IP公网上，可能会出现以下的问题。

　　运营商业务的安全问题，主要包括以下方面：业务盗用，未经授权使用NGN业务，如通过H.323协议用户终端可直接连通被叫网关，导致运营商收入流失；带宽盗用，利用NGN设备端口连接用户私有的数据网络，造成运营商数据业务收入流失并影响NGN业务质量；DoS攻击，通过网络层或应用层的大流量攻击，使NGN设备无法响应正常用户的业务请求或降低业务的品质。

　　运营商设备的安全问题，主要包括以下方面：破坏设备程序及数据，通过NGN设备远程加载或数据配置流程的漏洞破坏设备，通常采用的TFTP、FTP、SNMP等标准协议均存在安全漏洞；病毒攻击，通过病毒入侵的方式破坏NGN设备，或者用户被病毒感染的计算机自动攻击NGN设备，造成业务的中断或者劣化；黑客攻击，通过非常规的技术手段获得NGN设备的控制权，病毒、黑客两种安全威胁一般针对采用通用操作系统的设备，如各类服务器。

　　用户业务的安全问题，主要包括以下方面：用户仿冒、盗用其他用户的账号及权限使用业务；非法监听其他用户呼叫的主被叫信息或媒体流内容。

　　就NGN安全技术框架而言，我们可以将NGN网络划分为信任区、非信任区、半信任区（DMZ）、网管/计费/维护网四个区域。NGN网络部件根据网络位置及设备功能连接到对应的区域中，跨区的网络部件通过特定的物理接口受控接入网络区域。信任区为承载网中专用于NGN业务的隔离区域，是一个管理良好、安全得到保证的区域。放置在安全区的设备包括NGN网络核心部件，如软交换、接入网关、中继网关、信令网关、带内网管设备、媒体资源设备、智能网设备等；机架式IAD设备部署在管理良好的机房中也可以纳入信任区。非信任区是运营商无法管理、安全不能受控的区域，包括Internet、社区网等IP公网和校园网、企业网等。某些运营商部署在用户端的设备，如桌面式IAD、智能软终端、智能硬终端都纳入非信任区。半信任区（DMZ）类似Web网站，是处于信任区和非信任区之间的一个区域。其中的应用服务器需要与数据网络接口，归属这个区域。网管/计费/维护网是运营商为了网络运营支持而部署的专网，计费设备、带外网管设备以及操作维护终端等都应部署在这个区域。

　　保证NGN安全的承载网组网要求主要有以下方面。首先，NGN核心部件，如软交换、接入网关、中继网关、信令网关、带内网管设备、媒体资源设备、智能网设备等设备部署于一个安全区中，就组成了NGN核心网，我们建议采用以下方案实施：在IP网上利用MPLS技术部署一个VPN，该VPN是一个独立的逻辑网；采用专线技术为NGN核心部件部署一个独立的IP网，该网不跟公网直接互通；通过IP电信网技术部署一个可以支持IP资源管理的独立逻辑网。其次，NGN核心网的延伸，可以利用各种的接入技术延伸NGN业务覆盖的范围，要求接入网在链路层实现用户隔离。我们可以采用的技术有VLAN、ATM技术和PPPoE接入等。第三，应通过应用服务器接口设备（ParlayGateway）与应用服务器互通。第四，对于Internet用户、小区和校园网用户、企业用户，应通过业务代理设备（IP－IPGateway）接入。

中国信息产业网(www.cnii.com.cn)