NGN網(wǎng)絡(luò)安全問(wèn)題分析和對(duì)策[3]

  修改信息

  修改信息的入侵者經(jīng)過(guò)某種特定的操作，使數(shù)據(jù)被破壞或者變成毫無(wú)用處。一般來(lái)說(shuō)，這種修改是其他攻擊的開始，比如拒絕服務(wù)攻擊、偽裝或者欺詐攻擊。被修改的信息可以有很多個(gè)方面，比如，用戶的通信內(nèi)容、終端ID、網(wǎng)絡(luò)設(shè)備ID、呼叫建立信息、路由信息、用戶驗(yàn)證信息、服務(wù)驗(yàn)證信息、網(wǎng)絡(luò)設(shè)備的驗(yàn)證信息以及用戶注冊(cè)時(shí)的交互信息等，都可能被修改。

  提高NGN安全的方法

  提高NGN網(wǎng)絡(luò)的安全性，可以從兩個(gè)方面入手：一是從網(wǎng)絡(luò)部署方面入手，比如，使用防火墻等設(shè)備，使得非法用戶無(wú)法進(jìn)入合法的網(wǎng)絡(luò)；二是使用安全的傳輸機(jī)制。

  網(wǎng)絡(luò)部署

  要保證NGN網(wǎng)絡(luò)的安全，首先要保證網(wǎng)絡(luò)中核心設(shè)備的安全，包括信令網(wǎng)關(guān)、媒體網(wǎng)關(guān)、媒體服務(wù)器、軟交換和網(wǎng)管等設(shè)備。由于這些網(wǎng)絡(luò)核心設(shè)備置于開放的IP網(wǎng)絡(luò)中，因此，其安全性很難保證。當(dāng)然，可以讓它們做到本身具備很好的防攻擊能力，但設(shè)備成本會(huì)非常大。

  NGN定義了各種邊緣，并保證通過(guò)這些邊緣進(jìn)入核心網(wǎng)絡(luò)的數(shù)據(jù)都是安全的，以此達(dá)到NGN核心網(wǎng)絡(luò)安全的目的。圖2的NGN核心網(wǎng)絡(luò)的邊緣分為三類：一是邊緣A，NGN網(wǎng)絡(luò)與接入網(wǎng)（任何寬帶接入、企業(yè)網(wǎng)、Internet等）的交界處，NGN網(wǎng)絡(luò)通過(guò)這個(gè)邊緣向所轄范圍內(nèi)的用戶提供業(yè)務(wù)；二是邊緣B，NGN網(wǎng)絡(luò)之間的交界處，圖中的其他NGN網(wǎng)絡(luò)可以是另一管理域或另一運(yùn)營(yíng)商的NGN網(wǎng)絡(luò)；三是邊緣C，NGN網(wǎng)絡(luò)與傳統(tǒng)PSTN網(wǎng)的交界處。

  邊緣C通常由信令網(wǎng)關(guān)、中繼網(wǎng)關(guān)、綜合接入網(wǎng)關(guān)以及對(duì)這些媒體網(wǎng)關(guān)的控制組成，普遍認(rèn)為它是一個(gè)可以信賴的邊界。但對(duì)于邊緣A和邊緣B，由于它們完全基于開放的IP數(shù)據(jù)技術(shù)，所以不值得完全信賴，對(duì)其用戶的接入和業(yè)務(wù)訪問(wèn)，必須加以控制和管理，一旦允許用戶接入，就應(yīng)為其提供服務(wù)質(zhì)量保證。所以，在邊緣A和邊緣B，可以設(shè)置一個(gè)邊緣接入控制器（Board Access Controller） ，提供防火墻和其他業(yè)務(wù)的保護(hù)功能，包括驗(yàn)證接入設(shè)備的合法性，避免非法用戶的接入；屏蔽網(wǎng)絡(luò)內(nèi)部的拓?fù)浣Y(jié)構(gòu)；地址轉(zhuǎn)換（NAT）和業(yè)務(wù)穿透；網(wǎng)絡(luò)資源的分配和確保；防范來(lái)自底層和高層的拒絕服務(wù)攻擊等。

[1]  [2]  [3]  [4]