NGN应考虑各个层次的网络安全。如机房和楼道IAD的安全防盗,AG/IAD的接入认证和控制,AG/IAD的业务认证。本文仅涉及NGN承载网相关安全特性.
1 NGN承载网安全方案概略
NGN承载网采用的IP技术,与基于ATM和SDH的承载网相比,其开放性特点非常适合网络业务的发展,但IP协议的开放性和公用性,也使NGN网络不可避免地受到黑客或病毒程序的攻击或干扰,面临如用户仿冒、盗打、破坏服务、抢占资源等安全问题。
NGN业务网与数据业务网二层隔离,形成一个相对封闭的业务网。应对所有进行NGN业务网的每一个入口进行严格的安全控制。
1. NGN业务网核心网络设备(软交换、SG、TMG)通过防火墙接入NGN业务网,防止对关键设备的网络攻击。
2. IAD接入端口是NGN业务网最大的安全隐患,IAD设备处于用户端,存在被利用来恶意攻击运营商关键网络设备(如软交换、信令网关、中继网关、应用服务器)的可能性。一方面建议采用楼道IAD,通过物理安全来保证接入端口不被非法访问,另一方面所有IAD设备都通过BAS接入NGN业务网,由BAS进行IAD的接入控制和管理。
3. 数据业务网通过IP-IP网关(IMG)与NGN业务网互通,安全性很高,NGN不易受到数据业务网的攻击。
NGN承载网网络安全架构如下图所示。
2 NGN部件设备自身安全规格
软交换、网关、服务器、IAD设备等NGN部件在IP网中的地位类似于网络主机设备,因此要求软交换、网关、服务器、IAD设备应具备数据网中主机设备所具有的安全规格,如用户登录管理、网管安全等。
3 BAS网络安全控制的特性
3.1用户管理
用户管理包括物理端口管理和IAD/AG设备认证,IAD/AG通过BAS完成接入认证,再与软交软交互完成业务认证。BAS通过物理端口和二层标识(VLAN和PVC)作为用户的标识,使无运营、无管理的宽带接入网成为可运营、可管理的电信级网络。
1、 在策略服务器(PS)和BOSS/OSS配合下,可实现局端电话控制业务,可随时根据用户的交费、开户和安全(如流量异常)等情况,迅速激活或关闭用户,不需要在物理线路上或亲自到用户端进行操作。
2、 BAS对IAD设备进行认证,通过静态或动态IP+VLAN+MAC绑定,实现用户过滤,防止地址盗用;
3、 可以限制VLAN下接入的IAD数目,防止假冒用户的恶意攻击,保护网上关键资源,防止非法用户发起攻击,耗尽DHCP服务器地址资源,使合法IAD用户不能获得地址,通过log或告警信息进行攻击追查;
4、 通过实时计费等功能,可以对每个IAD的流量信息进行统计,用作业务和网络分析,检测是否有异常流量等情况。
3.2用户信息隔离
在城域接入层采用一层/二层隔离技术隔离用户和业务,保证用户之间信息的隔离。IAD通过二层隔离技术接入BAS,由BAS通过静态防火墙(ACL)控制IAD之间的互访或IAD对NGN其它设备的互访。
3.3动态防火墙
动态防火墙的原理与3.2.4动态QoS策略类似,通过承载网对NGN业务的感知来实现动态安全策略。IAD初始接入时,BAS为IAD设置初始ACL,只能访问软交换。IAD向软交换发起呼叫,策略路由器(PS)通过与较交换的交互IAD呼叫信息,获知被叫IAD的IP地址及端口号,动态向BAS下发安全策略,从而实现主被叫的互通。
由CHINA通信网组稿
|