下一代网络(NGN)分层网络安全方案
摘要下一代网络(NGN)是近几年出现的电信新技术,是电信史上的一块里程碑,它是综合、开放的网络构架,提供话音、数据和多媒体等业务。NGN是电信级网络,电信级网络最大的特点就是安全、可靠和高可用性。如何确保网络安全性是电信设备必须考虑的重要因素。文章通过下一代网络的四个层次,介绍各层次安全技术的研究和措施的实施,研究可行有效的安全机制,指出构筑NGN安全可靠性的安全防御框架。
0、引言
基于软交换技术的下一代网络(NGN)是业务驱动的网络,通过呼叫控制、媒体交换及承载的分离,实现了开放的分层架构。软交换网络分为接入层、承载层、控制层和业务层四大层次。接入层负责在用户端支持多种业务的接入,接入设备应能向上连接到高速传输线路,向下支持多种业务的接口。承载层负责建立和管理承载连接,并对这些连接进行交换和路由分配,用以响应控制层的控制命令。控制层主要涉及软交换相关的功能,完成业务逻辑的具体执行,其中包含呼叫智能和路由等操作。控制层是NGN的核心,决定用户收到的业务,并能控制低层网络元素对业务流的处理。网络业务层主要负责业务逻辑的相关处理,如业务生成、业务逻辑定义和业务编程接口等。各层次网络单元通过标准协议互通,可以各自独立演进,以适应未来技术的发展。
NGN是在当今电信网络基础上演变、融合而来的,理想的NGN可以实现各种网络的互通,用户可以在任何时间、任何地点、以多种方式享受网络提供的各种服务。在不久的将来,用户可以在电话机上与朋友“面对面”地视频聊天;用很少的话费与异国的朋友尽情交谈。但事物都具有两面性,NGN为我们带来便利的同时,也带来了更加严峻的安全问题。
面临诸多的安全问题,笔者认为在NGN发展演进过程中,要积极进行各层次安全技术的研究和措施的实施,研究可行有效的安全机制和安全防御框架。
1、接入层用户的安全管理
根据安全需求的不同,可将软交换网络分为内网区、隔离区和外网区等不同的安全区域。外网区是由会话启动协议(SIP)终端和普通用户综合接入设备(IAD)等终端设备组成的网络区域,该网络区域设备放置在用户侧,为个人用户提供服务。内网区是由软交换、信令网关、应用服务器、媒体服务器、中继网关和大容量用户综合接入网关等设备组成的网络区域。隔离区是由软交换用户下载服务器、应用门户服务器和域名系统(DNS)等设备组成的网络区域。
对接入层用户应部署以下安全访问策略