- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
NGN分层网络安全方案
摘要 下一代网络(NGN)是近几年出现的电信新技术,是电信史上的一块里程碑,它是综合、开放的网络构架,提供话音、数据和多媒体等业务。NGN是电信级网络,电信级网络最大的特点就是安全、可靠和高可用性。如何确保网络安全性是电信设备必须考虑的重要因素。文章通过下一代网络的四个层次,介绍各层次安全技术的研究和措施的实施,研究可行有效的安全机制,指出构筑NGN安全可靠性的安全防御框架。
0、引言
基于软交换技术的下一代网络(NGN)是业务驱动的网络,通过呼叫控制、媒体交换及承载的分离,实现了开放的分层架构。软交换网络分为接入层、承载层、控制层和业务层四大层次。接入层负责在用户端支持多种业务的接入,接入设备应能向上连接到高速传输线路,向下支持多种业务的接口。承载层负责建立和管理承载连接,并对这些连接进行交换和路由分配,用以响应控制层的控制命令。控制层主要涉及软交换相关的功能,完成业务逻辑的具体执行,其中包含呼叫智能和路由等操作。控制层是NGN的核心,决定用户收到的业务,并能控制低层网络元素对业务流的处理。网络业务层主要负责业务逻辑的相关处理,如业务生成、业务逻辑定义和业务编程接口等。各层次网络单元通过标准协议互通,可以各自独立演进,以适应未来技术的发展。
NGN是在当今电信网络基础上演变、融合而来的,理想的NGN可以实现各种网络的互通,用户可以在任何时间、任何地点、以多种方式享受网络提供的各种服务。在不久的将来,用户可以在电话机上与朋友"面对面"地视频聊天;用很少的话费与异国的朋友尽情交谈。但事物都具有两面性,NGN为我们带来便利的同时,也带来了更加严峻的安全问题。
面临诸多的安全问题,笔者认为在NGN发展演进过程中,要积极进行各层次安全技术的研究和措施的实施,研究可行有效的安全机制和安全防御框架。
1、接入层用户的安全管理
根据安全需求的不同,可将软交换网络分为内网区、隔离区和外网区等不同的安全区域。外网区是由会话启动协议(SIP)终端和普通用户综合接入设备(IAD)等终端设备组成的网络区域,该网络区域设备放置在用户侧,为个人用户提供服务。内网区是由软交换、信令网关、应用服务器、媒体服务器、中继网关和大容量用户综合接入网关等设备组成的网络区域。隔离区是由软交换用户下载服务器、应用门户服务器和域名系统(DNS)等设备组成的网络区域。
对接入层用户应部署以下安全访问策略:a)根据网络安全的最小化服务原则,隔离区对外网区只开放必需的服务端口,其他不需要的端口一律用防火墙屏蔽。b)外网区终端允许使用SIP、媒体网关控制协议(MGCP)或H.248协议,通过边缘接入控制设备作为代理访问内网区,再通过用户和业务认证后,允许实时传送协议/RTP控制协议(RTP/RTCP)数据包通过边缘接入控制设备作为代理进入内网区。c)外网区终端不能使用除SIP、MGCP和H.248之外的协议直接访问内部网络,对内部网络设备的访问必须通过隔离区设备代理进行。d)外网区终端获得允许后可以使用隔离区服务器提供的服务。
设置接入安全防线,接入设备/用户接入需要经过身份认证才可接入软交换网络,同时在这个点设置用户的业务权限,这条防线可以避免非法用户进入软交换网络。同时,用户的身份得到确认可以方便进行事后审计和追踪,有效防止用户侧的网络攻击行为。接入层安全问题主要涉及接入侧设备及用户信息的安全。这些通常通过认证、鉴权机制和隔离机制来保证。
保证用户信息安全,在接入层仍要对通信流量进行隔离,这里包括软交换业务用户与其他业务用户(如普通数据业务用户)之间的隔离以及两个软交换用户之间的隔离。采用虚拟局域网(VLAN)在第二层实现隔离,能有效杜绝广播包的攻击和用户信息的泄露。另外通过访问控制列表(ACL)可在第三层上进行软交换终端用户之间的受控互访或软交换终端用户对软交换其他设备的互访。进一步通过IP+VLAN+MAC绑定,可以限制每个VLAN接入的用户数目,保护网上关键资源,并有效防止用户地址盗用和用户仿冒的发生。
软交换网络需要对接入到控制层的接入设备进行认证,以保证接入设备的合法性。以IAD为例,当不可信任的IAD向软交换进行注册时,应携带用于该设备进行认证的设备信息(如设备的标识、MAC地址或预先获得的鉴权密钥等),并且可以对这些信息加密传送。软交换根据注册消息中所包含的信息对IAD进行认证,认证通过后,激活相应的业务端口,用户获得使用业务的权限。
2、承载网的安全
承载网安全直接影响NGN的业务质量。 NGN承载网采用IP技术,其开放性特点非常适合网络业务的发展,但IP协议的开放性和公用性也使NGN不可避免地受到黑客或病毒程序的攻击或干扰。
随着NGN、3G、虚拟专用网络(VPN)等新业务的不断涌现,用户数量的不断增加,原Internet业务接入平面的IP承载网已无法满足要求。a)原有设备容量不足,无法满足快速增长的用户对宽带的需求和未来良好的扩展。b)原有网络在多协议标签交换(MPLS)VPN、高可靠性、QoS、组播、IPv6等诸多方面能力不足,无法承载电信级的新业务。
近几年,多业务IP承载网进入高速发展的黄金时期,MPLS技术与传统的IP分组技术结合,引入了基于MPLS的流量工程(MPLS TE)技术,使传统的IP分组网具备了电信级的可管理性,同时业务的承载方式也更加灵活,包括IP报文、MPLS,甚至可以对跨越不同自治系统(AS)的业务提供统一的端到端承载。传统的MPLS将面向非连接的IP业务移植到面向连接的标记交换业务之上,实现时将路由选择层面与数据转发层面分离。MPLS网络中,在入口标签交换路由器(LSR)处,分组按照不同转发要求划分成不同转发等价类前向纠错(FEC),并将每个特定FEC映射到下一跳。每一特定FEC都被编码为一个短而定长的值,称为标记,标记加在分组前成为标记分组,再转发到下一跳。在后续的每一跳上,不再需要分析分组头,而是用标记作为指针,指向下一跳的输出端口和一个新的标记,标记分组用新标记替代旧标记后经指定的输出端口转发。在出口LSR上,去除标记,使用IP路由机制将分组向目的地转发。MPLS-TE是在MPLS网络上的流量工程,是指为业务流选择路径的处理过程,以在网络中不同的链路、路由器和交换机之间均衡业务流负载。
多业务IP承载网分为接入层、汇聚层、核心层,通过在不同层实施局部的可靠性策略,可以分段保证网络的可靠性。相对网络节点设备的可靠性,这一扩展技术可以在无需大幅度提高对网络设备要求的情况下,显著提高业务的可靠性。在接入层,推荐采用冗余备份或负载分担接入策略,将业务系统设备(如媒体网关、CE设备)双归接入到两台PE设备上。在汇聚层和核心层,推荐采用双节点冗余备份策略,当某节点发生故障时,备份节点可以保证业务不间断转发。对于核心层的链路连接,采用POS接口进行Full Mesh连接。POS接口具有类似同步数字体系(SDH)的快速故障检测机制,而Full Mesh连接方式可以保证任何单链路发生故障时,由于流量迂回而增加的网络跳数不超过一跳。
网络设备是组成多业务IP承载网的基本节点,其可靠性是整网可靠性的基础。主流网络设备的关键部件包括主控单元、交换单元、电源、制冷系统等,大多采用热备份冗余设计,这是保证电信级IP承载网可靠性的最基本要求。接口、线路卡的快速故障感知和倒换功能同样非常重要。由于传统的Ethernet接口承载的纯数据业务对时延不敏感,因此普遍未采用特别的故障检测技术,接口故障的探测时间在1s级别,这显然无法满足VoIP等实时电信业务的要求。于是,业界纷纷推出双向侦测协议(BFD)、运行维护和管理(OAM)等快速检测机制,通过与线路卡控制部分联动,使接口或链路故障的感知时间小于50ms。
3、控制核心层的安全
控制层是整个NGN的核心层,其中的设备对整个网络起着中央控制的作用。目前,设备生产厂商一般能通过板卡级冗余备份保证单一设备的可靠性。在此基础上,各个运营商还会从网络层面保证网络可靠性,从而最大可能避免单点故障。对用户而言,网络永远处于可用状态,网络核心控制设备的单点故障对用户不可见。
软交换网络的特点是:在软交换网络中,为了保证出局或入局呼叫的正常接续,任何一个接点的软交换设备都会设置主备用路由,当软交换网络采用分级结构时,网络结构与公共交换电话网络(PSTN)的网络架构相同,端局软交换分别与两个汇接局相连。软交换也可以采用无级网络,此时路由信息将从软交换设备中剥离出来,统一放置在一个单独物理设备中,称为路由服务器。在无级网络中,网络中任何一个软交换都能得到其他软交换的地址信息,因此,主叫侧软交换将直接向目的地软交换发起呼叫请求。这时,针对某一号码段主备软交换的信息设置将保留在路由服务器中。
软交换网络的最大优点在于软交换网络采用分层架构,将原来统一内置在一个物理实体中的媒体处理模块和信令处理模块独立分开。媒体处理模块在软交换网络中称为媒体网关设备(MG),信令处理模块称为软交换设备。因此,在分层基础上,软交换网络可以具备以下能力:当某一软交换设备不能工作时,其下控制的媒体网关设备可以通过某种策略向另外一个软交换设备注册,从而最大程度地减少由于网络问题而对用户的影响。
对核心层设备采取可靠的解决方案:双归属。双归属从网络角度解决软交换网络的安全问题,其核心思想是当网络中某一台软交换发生故障时,保证该软交换对应的业务能在短时间内由其双归属软交换接管,使得业务能在短期内得到恢复。
考虑综合安全性因素和投入产出比,双归属的两个软交换应该是互助关系而不是主备用关系。在正常情况下,它们分别承担着各自的话务负荷,只有在异常情况下,才接管另外一台设备所负荷的中继网关/接入网关/多媒体网关(TG/AG/MG)。同时,出于对容灾等安全性因素的考虑,双归属的两个软交换局点可设置在不同的地理区域,提供异地容灾能力。
归属的切换应是自动控制与手动控制的结合。自动控制是必须考虑的方式,只有自动控制才能做到实时对灾害和事故进行监控,减少损失。但是在某些特殊时期,如双归属的另外一个局点尚未建设好,处于网络频繁调整期等,需要用手动控制来加以控制,因此手动控制的级别应高于自动控制。
4、业务网的安全
软交换实现了控制与承载分离,用户信息不再与物理线路绑定。在开放的互联网络上,通信双方不再像PSTN那样根据物理连接建立信任关系,因此,通信双方或多方需要在互相通信时进行识别和确认,通信过程中业务消息的真实性也要确认,以防出现假冒网元、假冒用户、盗用业务、非法管理网元等问题,影响软交换网络的运营。
业务安全防线设置在网络设备上,主要实现网络业务的安全防护,如通过设备相互认证进行设备间的访问控制,通过对用户业务权限认证避免业务被非法使用,通过协议信令的加密防止网络监听等。
除设置接入安全防线外,还需采取有效的隔离措施。隔离措施包括业务隔离与用户信息隔离等。软交换网络在组网上要求对不同的业务进行网段分离,实现安全风险限制,实现NGN业务与Internet业务之间的有效隔离。对业务网应只允许受限访问,使其形成一个相对封闭的业务网。这种隔离可以在一定程度上屏蔽来自Internet的不安全因素。
为防止关键设备受到攻击,NGN业务网核心设备软交换、信令网关及中继媒体网关等应通过防火墙实现与公用数据网隔离。数据业务网通过IP-IP网关与NGN业务网互通,安全性很高,NGN不易受到数据业务网的攻击。
NGN安全可靠性方案只有分别从接入层、承载层、控制层、业务网进行网络设备可靠性充分考虑和验证,才能确保其成为一个电信级的网络。
上一篇:基于Nios
II的I2C总线接口的实现
下一篇:利用SPI总线扩串口的方法