NGN关键问题——安全
发布时间:2006-10-14 3:54:42   收集提供:gaoqian
魏亮


  一、引言

  下一代网——NGN是当前业界广泛讨论的热点与焦点。当前,对NGN讨论中受关注的问题有很多,但是安全、服务质量、商业模式等问题一直是最受关注的焦点之一。由于当前IP网络安全存在问题:网络经常中断、服务难以保证质量、病毒肆虐、黑客横行、垃圾邮件铺天盖地、有害信息来源难以追查,因此出于安全性考虑NGN能否基于IP甚至能否基于无连接分组网都受到质疑。本文主要就IP即无连接分组网络对NGN的承载讨论安全问题。

  二、NGN的提出与定义

  当前电信网络虽然能够很好地支持电话业务以及互联网业务,但是用户所需求的多媒体(音频、视频、图像、动画、数据)业务一直没有提供。运营商已经尝试了使用目前已经拥有的各种通信网络试图向用户提供多媒体业务,但是由于种种原因这些努力均没有获得很大的成功。因此必须发展下一代网NGN来满足公众对多媒体业务发展的需求。

  NGN是因多媒体业务的需求而提出,不是指仅仅提供多媒体业务的业务网。虽然当前对NGN有不同的理解和定义,但是通常我们认为广义上的NGN(下一代网络)是一个从上到下完整的概念。当前的共识的NGN是指以软交换为代表的,能够为公众大规模灵活提供视讯话音数据等多种通信业务,以分组交换为业务统一承载平台,传输层适应数据业务特征及带宽需求,通信运营商相关,可运营、维护、管理的通信网络。

  三、NGN安全分层与含义

  1.安全的含义

  狭义的信息安全特指信息加密、加密算法等内容。一般意义的信息安全通常指信息在采集、传递、存储和应用等过程中的完整性、机密性、可用性、可控性和不可否认性。为实现这些信息安全,常需要作的工作有:

  (1)制定信息安全管理机制,实现信息安全策略;

  (2)制定信息安全评测标准来评估和划分安全等级:

  (3)使用安全管理、产品和网络来保障采集、传递、存储和应用时的机密性、完整性、可用性、可控性、不可否认性;

  (4)应用检测机制来获取当前的安全状态:

  (5)采用故障和灾难恢复机制来解决出现的问题。

  通信网络安全是指信息在使用通信网络提供的服务进行传递的过程中通信网络自身即承载和业务网的可靠性、生存性:网络服务的可用性、可控性;信息传递过程中信息的完整性、机密性、不可否认性以及中华人民共和国电信条例第57条所规定的相关内容的意识形态安全。

  2.NGN的分层

  我们所说的下一代网——NGN无疑是通信网络信息传递安全分层。从图1可以看出,网络安全承载与业务网络安全通常包括承载与业务网络安全,网络服务安全以及信息传递安全。通信网络安全通常不保证意识形态安全,需要技术手段例如合法监听等来支持意识形态安全。

意识形态安全

信息传递安全

网络服务安全

承载与业务网络安全


图1 下一代网的分层示意图


  (1)承载与业务网络安全包括网络可靠性与生存性。网络可靠性与生存性依靠环境安全、物理安全、节点安全、链路安全、拓扑安全、系统安全等方面来保障。这里承载与业务网是拥有自己节点、链路、拓扑和控制的网络,例如传输两、互联网、ATM网、帧中继网、DDN网、X.25网、电话网、移动通信网、支撑网等电信网络。

  (2)网络服务安全包括服务可用性与服务可控性。服务可控性依靠服务接入安全,服务防否认、服务防攻击等方面来保障。服务可用性与承载与业务网络可靠性以及维护能力等相关。服务可以是网络提供的DDN专线、ATM专线、话音业务、VPN业务、Internet业务等。

  (3)信息传递安全包括信息完整性、机密性和不可否认性。信息完整性可以依靠报文鉴别机制例如哈希算法等来保障:信息机密性可以依靠加密机制以及密钥分发等来保障:信息不可否认性可以依靠数字签名等技术保障。

  (4)意识形态安全是指传递的信息不包含中华人民共和国电信条例第57条所规定内容。第57条规定,不得利用电信网制作、复制、发布、传播含有违反国家宪法、危害国家安全,泄露国家机密,颠覆国家政权,破坏国家统一、损害国家荣誉和利益、煽动民族仇恨,民族歧视,破坏满足团结等内容。

  四、NGN安全问题分析

  1.NGN可靠性与生存性分析

  网络可靠性是指网络在使用中维持连通性的能力,体现在网络节点的连通性上。当前,网络可靠性很难定量衡量,网络可靠性在一定程度上决定网络提供服务的可用性与节点可靠性、链路可靠性相关,由环境安全、物理安全、节点安全、链路安全、拓扑安全、系统安全等方面来保障。网络生存性是衡量网络抵御破坏能力的一般性概念。引起破坏的原因有自然灾害、人为破坏(包括战争)及故障等。所以网络生存性研究范围很广。网络生存性可以用生存性参数L来度量:定义L=网络发生故障后的业务量/网络发生故障前的业务量。

  (1)网络的可靠性与生存性对于用户的体现是服务的可用性,即对用户提供的网络服务的服务质量。但是NGN网络的生存性和可靠性不完全等同于网络提供服务的服务质量。因为网络服务的服务质量一方面依赖于网络的可靠性与生存性,另一方面依赖于对提供业务的资源保证。可靠性和生存性很好的网络提供的服务不一定能保证服务质量。网络的可靠性与生存行取决于网络拓扑的设计网络节点的有效性、环境安全、物理安全、链路安全以及相关的系统安全等多个因素。

  电话网络的高可靠性和高生存性一方面通过提高节点设备—程控交换机的可靠性来获得,另一方面通过设备之间的双归属连接等冗余拓扑设计来获得。当前IP网络设备能节点可靠性较差,全网可靠性通过动态路由即网络自愈来获得。由于IP网络盈利能力较差,因此除核心节点外较少作双归属等冗余连接。所以现有IP网络表现出的可靠性和生存性通常较差:与电话交换机相比路由器经常宕机,并且路由器的宕机可能影响很大范围的业务。

  (2)网络的可靠性与生存性还与网络与用户的隔离相关。在电话网中用户信令与网络信令完全隔离,用户与网缝用户除了滥用业务以外不可能对网络或者信令发起攻击。而且滥用业务还面临着高额的费用。在IP网中路由信息与用户数据不隔离,用户与网络设备也不隔离。虽然现有路由协议都使用认证:将用户与信令一定程度逻辑隔离,但是用户可能通过对网络设备的攻击来影响网络的可靠性。虽然管理良好的网络可以减小甚至消除这种可能性,但是由于历史原因,多数网络设备还在这种威胁中。因此事实上现有大多数IP网络可靠性与生存性较差。

  虽然ATM网络采用基于统计复用的信元交换,但是由于ATM节点可靠性较高、ATM网络冗余设计较好、现有ATM用户与网络相隔离,UNI与NNI相隔离,ATM网络的生存和可靠性被普遍认可。

  由上面分析可以看出,网络的可靠性生存性与是否采用分组无关,与是否基于连接无关。网络可靠性生存性与节点的可靠性、链路的可靠性、网络自愈能力、网络拓扑设计、网络与用户的隔离、UNI与NNI的隔离等因素相关。因此,如果NIN基于现有IP设备与网络设计管理理念的NGN来设计,可靠性与生存性肯定不尽人意,但是不能因此否定IP技术承载NGN的可靠性与生存性,更不能因此怀疑基于无连接分组技术NGN的可靠性与生存性。

  2.NGN服务可控性、可用性分析

  由于用户使用的是网络提供的服务,所以可用性针对服务来衡量。可用性是能定量衡量的,用可用性性能来度量。有几种不同的定义都可定量衡量服务可用性。实用的可用性定义是系统能正常提供业务的时间和全部工作时间之比。例如一部万门程控交换机,一年之内,由于各种原因引起停机,不能提供业务总的时间50min(能正常提供业务的时间525 550min),可用性=99.99%。该实用的可用性定义用于单个用户也是有效的。例如一个固定电话用户可以享用的可用性不低于99.9%。又如,某用户租的一条2Mbit/s专线,合同中规定一年不可用时间为50min,其可用性=99.99%。

  服务的可控性是指网络提供服务的可管理性和可运营性。服务可控性通常包括下列内容:接入网络使用网络所提供服务的用户是经过授权的;网络为用户提供约定的服务;当用户违反约定或者危害网络安全时网络可以选择停止为用户服务:用户使用网络的授权和非授权行为都可以追查。

  不同的通信网络服务提供不同等级的服务可控性。例如DDN专线是点到点业务,网络对该业务几乎不提供服务控制。连接专线两端的设备可以自由通信。专线两端的设备自身来认证对方。在电话网络中网络对通信的电话终端端口及其对应的电话号码计费。网络记录电话号码相互通话纪录。电话网不负责电话内容及其合法性。由于用户信令与网络信令分离,除非电话交换机过载瘫痪,否则用户不会危害网络安全。

  业务的可用性取决于网络的可靠性和运维能力。网络运维能力取决于网络提供的运维技术手段、运维人员的技术水平以及企业积累的运维经验,应该来说与分组网络还是电路网络无关。运维能力也与是否基于连接无关。现有的IP网运维水平相对较低,影响了业务的可用性。

  业务的可控性体现在服务接入安全,服务防否认、服务防攻击、服务防滥用等方面。在服务接入安全,服务防滥用服务方否认方面,基于连接的承载在先天上优于基于非连接的承载。因为每次连接都是用户请求建立的,用户深知会因此付费,会被记录在案,连接建立后也是用户独占使用。而基于非连接的分组方式是永远在线,接入服务商很难为用户所有行为作日志,用户也不认可流量计费,内容计费可能使计费方与接入提供者分离。因此,在分组服务可控性方面基于连接的方式优于非基于连接的方式。

  在安全性方面只有在接入业务可控性方面,在现有条件下分组层业务基于连接的方式优于非基于连接的方式。

  3.NGN信息传递安全分析

  信息完整性是指确认发送、收到或存储的数据是完整的、没有被改变的。这对于合同签约确认或信息精确性相当重要的地方(医学信息行业设计等)尤其重要。机密性是保护通信或存储数据,以防未授权的人截听和阅读。传送敏感信息的情况下特别需要保证机密性;机密性也是通信网络用户隐私问题的需要之一。信息不可否认性分发送方不可否认性分发送方不可否认。发送方不可否认应确保信息的发送者不成功地否认曾经发送过该信息。这就要求信息系统提供一种方法,来确保接收信息的主体在数据交换期间能获得证明信息原发的证据,而且该证据可由该主体或第三方主体验证。接收方不可否认应确保信息的接收者不能成功地否认对信息的接收。这就要求信息系统提供一种方法,来确保发送信息的主体在数据交换期间能获得证明信息被接收的证据,而且该证据可由该主体或第三方主体验证。

  通常为公众服务的通信不保证信息在传递过程中的数据完整性、机密性与不可否认性。NGN也同样不会为传递的信息加密,完整性检验或者反否认。所有上述安全性由用户端到端保障,NGN应当尽可能确保用户信息隔离。除合法监听以外,用户不应得到不应由该用户接收的信息。在无线信号等不可避免的无法隔离时,应考虑链路层加密或者网络层加密等手段。

  4.NGN意识形态安全分析

  意识形态安全是指传递的信息不包含中华人民共和国电信条例第57条所规定内容。第57条规定不得利用电信网制作、复制、发布、传播含有违反国家宪法、危害国家安全,泄露国家机密,颠覆国家政权,破坏国家统一、损害国家荣誉和利益、煽动民族仇恨,民族歧视,破坏满足团结等内容。

  作为通信网本身,与传输的内容是无关的,作为下一代网的NGN也不例外。但是意识形态安全是信息安全的重要内容。虽然NGN网络安全本身与意识形态安全无关,但是NGN必须提供足够的技术和管理手段来支持合法监听、信息过滤、信息来源追查等工作。我们将NGN中的意识形态安全定位在支持合法监听、信息过滤以及信息来源追查等内容上。

  NGN上的意识形态安全同样与开展的业务、支撑业务的网络、接入的方式等内容相关。对基于运营商交换设备提供的电路方式以及软交换方式的传统话音业务来说,合法监听、语音模式匹配以及来源追查都比较成熟有效。对于非基于运营商提供的分组方式的点到点的语音来说,合法监听以及模式匹配同样没有问题;如果基于IP网,由于存在源地址欺骗、代理等因素,来源追查可能存在技术困难。对于图像数据业务来说,合法监听没有问题,模式匹配以及基于IP的来源追查同样存在问题。

  总体来看,在NGN中包路由的业务承载比较容易实现合法监听;基于连接的业务比较容易实现来源追查;语音业务比较容易实现模式匹配识别;数据业务比较容易实现关键字过滤:图片等信息不易实现模式匹配识别。

  五、结束语

  基于IP分组承载的NGN还有很多安全问题需要解决,总体来看脱离业务谈安全是没有意义的。业务类别:话音类、数据类、平台类、流媒体类:各类业务提供方式:网络运营商提供、第三方提供、接入运营商提供;商业模式:价值链如何构建等问题都对NGN安全有不同的要求和不同的影响。但就现有业务以及业务提供而言,IP网络或者说基于无连接的分组网络并不是NGN是否安全的决定性因素。随着NGN业务以及商业模式的不断清晰,NGN安全问题应进一步深入研究。

  
摘自 泰尔网
 
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50