《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > NGN網(wǎng)絡(luò)安全問(wèn)題分析和對(duì)策
NGN網(wǎng)絡(luò)安全問(wèn)題分析和對(duì)策
通信世界
摘要: NGN是一個(gè)統(tǒng)一的,、多業(yè)務(wù)的、以數(shù)據(jù)網(wǎng)絡(luò)為中心的,、在開放的業(yè)務(wù)平臺(tái)上提供不同服務(wù)質(zhì)量業(yè)務(wù)的下一代網(wǎng)絡(luò),。它是當(dāng)前業(yè)界廣泛討論的熱點(diǎn)與焦點(diǎn),其中主要討論的問(wèn)題有網(wǎng)絡(luò)安全,、服務(wù)質(zhì)量,、商業(yè)模式等。
Abstract:
Key words :

NGN">NGN是一個(gè)統(tǒng)一的,、多業(yè)務(wù)的,、以數(shù)據(jù)網(wǎng)絡(luò)為中心的,、在開放的業(yè)務(wù)平臺(tái)上提供不同服務(wù)質(zhì)量業(yè)務(wù)的下一代網(wǎng)絡(luò)。它是當(dāng)前業(yè)界廣泛討論的熱點(diǎn)與焦點(diǎn),,其中主要討論的問(wèn)題有網(wǎng)絡(luò)安全,、服務(wù)質(zhì)量、商業(yè)模式等,。

其中網(wǎng)絡(luò)安全和服務(wù)質(zhì)量,,是開展一個(gè)可持續(xù)盈利的商業(yè)模式必須要解決的基礎(chǔ)性問(wèn)題,也是NGN的承載網(wǎng)——IP網(wǎng)絡(luò)必須解決的最關(guān)鍵的兩個(gè)問(wèn)題,。本文僅對(duì)NGN安全性作一些討論,。

 
NGN安全問(wèn)題來(lái)源

在TDM網(wǎng)絡(luò)中,整個(gè)通信系統(tǒng)不管是接入,、傳輸,、交換還是控制,其各部分通信設(shè)備的部署和各種協(xié)議的運(yùn)行都是安全的,。如果想入侵TDM通信系統(tǒng),要么進(jìn)入保護(hù)嚴(yán)密的通信機(jī)房,,要么挖出地下的通信電纜,。而在以IP為基礎(chǔ)的NGN網(wǎng)絡(luò)中,設(shè)備與網(wǎng)絡(luò)之間的連接可以有很多不同的方法,。比如,,一個(gè)連接Modem的PC,不但能接入整個(gè)網(wǎng)絡(luò),,完成數(shù)據(jù)傳輸,,而且能通過(guò)遠(yuǎn)程登錄機(jī)制,控制遠(yuǎn)端的某個(gè)系統(tǒng)設(shè)備,。

NGN為了提高業(yè)務(wù)的擴(kuò)展性以及IP網(wǎng)絡(luò)端到端的各個(gè)設(shè)備之間的互操作性,,提出了一個(gè)非常開放的網(wǎng)絡(luò)架構(gòu),允許不同的網(wǎng)絡(luò),、不同的設(shè)備接入電信NGN網(wǎng)絡(luò),,這種開放性使得網(wǎng)絡(luò)極易受到安全威脅。

在網(wǎng)絡(luò)分布中,,不管是接入網(wǎng)中的用戶(PC或其他終端),,還是與NGN連接的Internet/Intranet,或是其他的運(yùn)營(yíng)商網(wǎng)絡(luò),,都有可能對(duì)于某個(gè)運(yùn)營(yíng)商的NGN核心網(wǎng)絡(luò)造成安全威脅,。

NGN安全威脅的分類

目前,大部分的NGN網(wǎng)絡(luò)都是基于IP進(jìn)行通信的,,因此,,根據(jù)IP協(xié)議層次的不同,,NGN安全威脅可以分為來(lái)自底層協(xié)議的攻擊和來(lái)自高層協(xié)議的攻擊。

底層協(xié)議攻擊

底層協(xié)議攻擊主要是指第一層到第四層的網(wǎng)絡(luò)攻擊,,比如,,針對(duì)TCP、UDP或SCTP協(xié)議的攻擊,。來(lái)自底層協(xié)議的攻擊是非常普遍的,,對(duì)于網(wǎng)絡(luò)中的大量設(shè)備會(huì)產(chǎn)生相同的影響,所以,,對(duì)這些攻擊的防范是與整個(gè)網(wǎng)絡(luò)密切相關(guān)的,,且與上面運(yùn)行什么協(xié)議無(wú)關(guān)。

高層協(xié)議攻擊

高層協(xié)議攻擊主要是針對(duì)NGN協(xié)議的攻擊,,比如SIP,、H.323、MEGACO,、COPS等協(xié)議,。由于來(lái)自高層協(xié)議的攻擊一般都是針對(duì)特定目標(biāo)協(xié)議的,因此一般的防護(hù)方法是,,或針對(duì)特定的協(xié)議,,或使用安全的隧道機(jī)制。

另外,,NGN中還存在一些其他的常見攻擊種類,。

拒絕服務(wù)攻擊

拒絕服務(wù)攻擊的目的是,讓正常用戶無(wú)法使用某種服務(wù),,比如,,讓系統(tǒng)設(shè)備無(wú)法工作或者是讓系統(tǒng)的資源不足。這種攻擊采用的方法有很多,,比如:發(fā)送大量的數(shù)據(jù)包給特定的系統(tǒng)或設(shè)備,,讓設(shè)備無(wú)法接收正常的數(shù)據(jù)包,或使系統(tǒng)忙于處理這些無(wú)用的數(shù)據(jù)包,;利用系統(tǒng)的弱點(diǎn)入侵,,讓系統(tǒng)無(wú)法正常工作或開機(jī)。另外還有:發(fā)送大量的偽造請(qǐng)求給某個(gè)設(shè)備,;TCP數(shù)據(jù)洪流,,即發(fā)送大量的帶有不同TCP標(biāo)記的數(shù)據(jù)包,比較常用的有SYN,、ACK或RST的TCP數(shù)據(jù)包,;ICMP洪流,即發(fā)送大量的ICMP請(qǐng)求/回應(yīng)(ping洪流)數(shù)據(jù)包給特定IP地址的網(wǎng)絡(luò)設(shè)備,;發(fā)送大量的大數(shù)據(jù)包的Ping數(shù)據(jù)流給特定IP地址的網(wǎng)絡(luò)設(shè)備,;UDP洪流,,即發(fā)送大量的數(shù)據(jù)包給特定IP地址的設(shè)備;呼叫建立洪流,,即在使用SIP協(xié)議時(shí),,發(fā)送大量的INVITE/BYTE呼叫建立請(qǐng)求等數(shù)據(jù)包給特定的設(shè)備,或者發(fā)送大量的其他協(xié)議的呼叫建立請(qǐng)求,;非法的通信結(jié)束請(qǐng)求,,使得正常用戶的呼叫中斷;注冊(cè)洪流,,即發(fā)送大量的注冊(cè)請(qǐng)求給一個(gè)特定的設(shè)備,,使得正常的用戶注冊(cè)服務(wù)無(wú)法進(jìn)行;從物理上斷開網(wǎng)絡(luò)設(shè)備(當(dāng)然,,由于大量設(shè)備都在比較安全的機(jī)房里,,所以這點(diǎn)相對(duì)比較難做到)。

偷聽

這類攻擊的目的主要是想非法獲取一些信息或者資源,,比如機(jī)密的數(shù)據(jù),。

偷聽攻擊的種類主要有:偷聽通信的數(shù)據(jù)內(nèi)容;偷聽網(wǎng)絡(luò)設(shè)備的ID(用于網(wǎng)絡(luò)設(shè)備間通信前的身份驗(yàn)證),;使用特定的消息比如OPTIONS或Audit請(qǐng)求,,獲取SIP代理/服務(wù)器、網(wǎng)關(guān)以及軟交換的信息等,。

偽裝

入侵者使用偷聽的信息來(lái)偽裝一個(gè)合法的請(qǐng)求,比如,,他可以先截取用戶名和密碼,,然后修改其信息,非法訪問(wèn)某個(gè)網(wǎng)絡(luò)或者設(shè)備,。在合法用戶和某個(gè)設(shè)備建立連接以后,,入侵者還可以使用偽裝的方法使用這種現(xiàn)成的連接進(jìn)行其他類型的攻擊,比如拒絕服務(wù)攻擊,。下面是一些偽裝的例子:在注冊(cè)過(guò)程中偽裝成一個(gè)合法用戶來(lái)截取所有用戶的通信,;在驗(yàn)證過(guò)程中偽裝成一個(gè)合法用戶,把所有的通信費(fèi)都算在其他合法用戶賬戶上,;在用戶驗(yàn)證過(guò)程中偽裝成一個(gè)網(wǎng)絡(luò)設(shè)備,,來(lái)獲取這個(gè)用戶的賬戶信息;在呼叫建立過(guò)程中偽裝成合法用戶,,使得呼叫費(fèi)用記在那個(gè)合法用戶賬戶上,;在呼叫建立過(guò)程中偽裝成被叫,使通信費(fèi)用發(fā)生在通信的另一端,。另外還有通過(guò)MAC地址和IP地址的偽裝攻擊,。

修改信息

修改信息的入侵者經(jīng)過(guò)某種特定的操作,,使數(shù)據(jù)被破壞或者變成毫無(wú)用處。一般來(lái)說(shuō),,這種修改是其他攻擊的開始,,比如拒絕服務(wù)攻擊、偽裝或者欺詐攻擊,。被修改的信息可以有很多個(gè)方面,,比如,用戶的通信內(nèi)容,、終端ID,、網(wǎng)絡(luò)設(shè)備ID、呼叫建立信息,、路由信息,、用戶驗(yàn)證信息、服務(wù)驗(yàn)證信息,、網(wǎng)絡(luò)設(shè)備的驗(yàn)證信息以及用戶注冊(cè)時(shí)的交互信息等,,都可能被修改。

提高NGN安全的方法

提高NGN網(wǎng)絡(luò)的安全性,,可以從兩個(gè)方面入手:一是從網(wǎng)絡(luò)部署方面入手,,比如,使用防火墻等設(shè)備,,使得非法用戶無(wú)法進(jìn)入合法的網(wǎng)絡(luò),;二是使用安全的傳輸機(jī)制。

網(wǎng)絡(luò)部署

要保證NGN網(wǎng)絡(luò)的安全,,首先要保證網(wǎng)絡(luò)中核心設(shè)備的安全,,包括信令網(wǎng)關(guān)、媒體網(wǎng)關(guān),、媒體服務(wù)器,、軟交換和網(wǎng)管等設(shè)備。由于這些網(wǎng)絡(luò)核心設(shè)備置于開放的IP網(wǎng)絡(luò)中,,因此,,其安全性很難保證。當(dāng)然,,可以讓它們做到本身具備很好的防攻擊能力,,但設(shè)備成本會(huì)非常大。

如圖2所示,,NGN定義了各種邊緣,,并保證通過(guò)這些邊緣進(jìn)入核心網(wǎng)絡(luò)的數(shù)據(jù)都是安全的,以此達(dá)到NGN核心網(wǎng)絡(luò)安全的目的,。圖2的NGN核心網(wǎng)絡(luò)的邊緣分為三類:一是邊緣A,,NGN網(wǎng)絡(luò)與接入網(wǎng)(任何寬帶接入,、企業(yè)網(wǎng)、Internet等)的交界處,,NGN網(wǎng)絡(luò)通過(guò)這個(gè)邊緣向所轄范圍內(nèi)的用戶提供業(yè)務(wù),;二是邊緣B,NGN網(wǎng)絡(luò)之間的交界處,,圖中的其他NGN網(wǎng)絡(luò)可以是另一管理域或另一運(yùn)營(yíng)商的NGN網(wǎng)絡(luò),;三是邊緣C,NGN網(wǎng)絡(luò)與傳統(tǒng)PSTN網(wǎng)的交界處,。

邊緣C通常由信令網(wǎng)關(guān),、中繼網(wǎng)關(guān)、綜合接入網(wǎng)關(guān)以及對(duì)這些媒體網(wǎng)關(guān)的控制組成,,普遍認(rèn)為它是一個(gè)可以信賴的邊界,。但對(duì)于邊緣A和邊緣B,由于它們完全基于開放的IP數(shù)據(jù)技術(shù),,所以不值得完全信賴,,對(duì)其用戶的接入和業(yè)務(wù)訪問(wèn),必須加以控制和管理,,一旦允許用戶接入,,就應(yīng)為其提供服務(wù)質(zhì)量保證。所以,,在邊緣A和邊緣B,,可以設(shè)置一個(gè)邊緣接入控制器(BoardAccessController),提供防火墻和其他業(yè)務(wù)的保護(hù)功能,,包括驗(yàn)證接入設(shè)備的合法性,,避免非法用戶的接入;屏蔽網(wǎng)絡(luò)內(nèi)部的拓?fù)浣Y(jié)構(gòu),;地址轉(zhuǎn)換(NAT)和業(yè)務(wù)穿透;網(wǎng)絡(luò)資源的分配和確保,;防范來(lái)自底層和高層的拒絕服務(wù)攻擊等,。

安全傳輸

數(shù)據(jù)的安全是指保證用戶通信數(shù)據(jù)的完整性(不被修改)和安全性(不被偷聽)。

數(shù)據(jù)傳輸?shù)陌踩?,包括NGN網(wǎng)絡(luò)設(shè)備(如軟交換和媒體網(wǎng)關(guān))與終端之間傳輸協(xié)議的安全,、用戶之間媒體信息傳輸?shù)陌踩⒂脩羲接行畔ⅲㄓ脩裘?、密碼等)的安全等,。要保證這些信息不為非法用戶竊取和修改,可以要求所有的用戶控制信息和媒體信息都要經(jīng)過(guò)邊緣接入控制器,,這樣可以保證所有的NGN通信都會(huì)經(jīng)過(guò)NGN網(wǎng)絡(luò)中的設(shè)備,。

另外,,還可以通過(guò)采用一些安全機(jī)制,讓開放的IP網(wǎng)絡(luò)具有類似TDM的安全性,。其中的一種方式就是虛擬通道,。目前比較成熟也比較通用的技術(shù)是,采用MPLSVPN技術(shù)構(gòu)建相對(duì)獨(dú)立的VPN網(wǎng)絡(luò),。這種方法可以在NGN的核心網(wǎng)絡(luò)使用,,將整個(gè)IP網(wǎng)絡(luò)分成幾個(gè)不同的隔離空間:公共網(wǎng)絡(luò)、ISP,、ASP,、用戶網(wǎng)絡(luò)、業(yè)務(wù)子網(wǎng)等,,使得非MPLSVPN內(nèi)的用戶無(wú)法訪問(wèn)到NGN網(wǎng)絡(luò)中的設(shè)備,,從而保證NGN網(wǎng)絡(luò)的安全。

NGN網(wǎng)絡(luò)和用戶終端的信息包括控制信息和媒體信息,??刂菩畔⑸婕暗膮f(xié)議有H.248、MGCP,、SIP和H.323,。為了防止未授權(quán)的實(shí)體利用這些協(xié)議建立非法呼叫或干涉合法呼叫,需要對(duì)這些協(xié)議的傳輸建立安全機(jī)制,。目前在IP網(wǎng)絡(luò)中廣泛推薦的是IPSec,,用它對(duì)協(xié)議的傳輸提供安全保護(hù)。但是由于該機(jī)制所涉及到的一系列協(xié)議比較復(fù)雜,,增加了各通信設(shè)備的負(fù)荷,,所以目前并沒有大量使用。用戶之間的媒體信息防竊聽,,可以采用對(duì)RTP包進(jìn)行加密的方法,,這種方法需要在呼叫建立過(guò)程中向終端傳送密鑰信息。

還有一種信息是關(guān)于用戶的驗(yàn)證信息,,包括用戶名,、密碼、賬號(hào)等,,這是非法用戶經(jīng)常偷聽的信息,,一定要保證這種信息的安全性和完整性。這種信息通常比較短,,因此,,常用的加密算法是MD5。

通信安全越來(lái)越重要,不但影響公眾生活,,還直接影響國(guó)家利益和國(guó)家安全,。因此NGN安全是所有人所希望的。NGN安全研究涉及廣泛,,包括法律法規(guī),、技術(shù)標(biāo)準(zhǔn)、管理措施,、網(wǎng)絡(luò)規(guī)劃,、網(wǎng)絡(luò)設(shè)計(jì)、設(shè)備可靠性,、業(yè)務(wù)特性,、商業(yè)模式、纜線埋放,、加密強(qiáng)度,、加密算法、有害信息定義等大量領(lǐng)域,。因此,,NGN的安全研究應(yīng)作為基礎(chǔ)研究,需要長(zhǎng)期努力,。

此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載。