下一代網(wǎng)絡(luò)的安全技術(shù)

Abstract:Withthedevelopmentof NGN technologies and Everything over IP, network security has become an important part of the current network. The 3 layers x 3 planes x 8 dimensions security architecture defined by ITU X.805 for the end-to-end communications is the basis of the research and application of network security technologies. NGN has several security requirements including security strategy, authentication, authorization, access control and audit, time stamp and time source. NGN divides the network into different security areas in both logical and physical ways, and there are different security strategies for different areas. Through the security mechanisms of identification, authentication and authorization, transmit security, access control, audit and supervision, the security requirements of the network would be realized.

Keywords:NGN;securityrequirement; security architecture; security mechanism

隨著因特網(wǎng)應(yīng)用的快速增長(zhǎng)，網(wǎng)絡(luò)上的安全隱患不斷出現(xiàn)，非法竊取網(wǎng)絡(luò)資源、非法使用網(wǎng)絡(luò)業(yè)務(wù)、拒絕服務(wù)、蠕蟲(chóng)病毒、木馬病毒，甚至惡意攻擊與破壞等事件也層出不窮。這些安全問(wèn)題給網(wǎng)絡(luò)運(yùn)營(yíng)商、業(yè)務(wù)提供商和用戶(hù)造成了巨大的損失，使人們深刻地認(rèn)識(shí)到基于IP技術(shù)的因特網(wǎng)應(yīng)用存在著嚴(yán)重的安全問(wèn)題。網(wǎng)絡(luò)的開(kāi)放性和IP網(wǎng)絡(luò)固有的脆弱性，使得攻擊者很容易利用網(wǎng)絡(luò)的弱點(diǎn)發(fā)起各種各樣的攻擊。特別是隨著下一代網(wǎng)絡(luò)(NGN)的興起，Everything over IP正在成為各種網(wǎng)絡(luò)技術(shù)發(fā)展的基礎(chǔ)，國(guó)際標(biāo)準(zhǔn)組織國(guó)際電信聯(lián)盟電信標(biāo)準(zhǔn)化部門(mén)(ITU-T)、歐洲電信標(biāo)準(zhǔn)化組織(ETSI)等所研究的NGN，都是基于IP技術(shù)實(shí)現(xiàn)的。因此，盡管NGN技術(shù)還不成熟，但是其安全問(wèn)題已經(jīng)受到高度重視[1-5]，幾乎每個(gè)標(biāo)準(zhǔn)組織都有專(zhuān)門(mén)的安全研究組在開(kāi)展研究工作，一些標(biāo)準(zhǔn)組織還在其制定的每個(gè)技術(shù)標(biāo)準(zhǔn)中，都要求包含 “Security Consideration”章節(jié)。本文對(duì)NGN安全基礎(chǔ)[6-8]、 NGN安全需求[2-9]、安全體系架構(gòu)[10-14]、安全機(jī)制[15-17]進(jìn)行了研究，為我國(guó)NGN的研究和部署提供有益的參考。

1  NGN的安全基礎(chǔ)

NGN基于IP技術(shù)，采用業(yè)務(wù)層和傳送層相互分離、應(yīng)用與業(yè)務(wù)控制相互分離、傳送控制與傳送相互分離的思想，能夠支持現(xiàn)有的各種接入技術(shù)，提供話(huà)音、數(shù)據(jù)、視頻、流媒體等業(yè)務(wù)，并且支持現(xiàn)有移動(dòng)網(wǎng)絡(luò)上的各種業(yè)務(wù)，實(shí)現(xiàn)固定網(wǎng)絡(luò)和移動(dòng)網(wǎng)絡(luò)的融合，此外還能夠根據(jù)用戶(hù)的需要，保證用戶(hù)業(yè)務(wù)的服務(wù)質(zhì)量。NGN的網(wǎng)絡(luò)體系架構(gòu)如圖1所示, 包括應(yīng)用、業(yè)務(wù)控制層、傳送控制層、傳送層、網(wǎng)絡(luò)管理系統(tǒng)、用戶(hù)網(wǎng)絡(luò)和其他網(wǎng)絡(luò)。本文介紹的NGN安全技術(shù)是針對(duì)該體系架構(gòu)展開(kāi)的。

ITU-T在X.805標(biāo)準(zhǔn)中，全面地規(guī)定了信息網(wǎng)絡(luò)端到端安全服務(wù)體系的架構(gòu)模型。這一模型包括3層3面8個(gè)維度，即應(yīng)用層、業(yè)務(wù)層和傳送層，管理平面、控制平面和用戶(hù)平面，認(rèn)證、可用性、接入控制、不可抵賴(lài)、機(jī)密性、數(shù)據(jù)完整性、私密性和通信安全, 如圖2所示。

X.805模型各個(gè)層(或面)上的安全相互獨(dú)立，可以防止一個(gè)層(或面)的安全被攻破而波及到其他層(或面)的安全。這個(gè)模型從理論上建立了一個(gè)抽象的網(wǎng)絡(luò)安全模型，可以作為發(fā)展一個(gè)特定網(wǎng)絡(luò)安全體系架構(gòu)的依據(jù)，指導(dǎo)安全策略、安全事件處理和網(wǎng)絡(luò)安全體系架構(gòu)的綜合制定和安全評(píng)估。因此，這個(gè)模型目前已經(jīng)成為開(kāi)展信息網(wǎng)絡(luò)安全技術(shù)研究和應(yīng)用的基礎(chǔ)。

互聯(lián)網(wǎng)工程任務(wù)組(IETF)的安全域?qū)ｉT(mén)負(fù)責(zé)制定Internet安全方面的標(biāo)準(zhǔn)，涉及的安全內(nèi)容十分廣泛并注重實(shí)際應(yīng)用，例如IP安全(IPsec)、基于X.509的公鑰基礎(chǔ)設(shè)施(PKIX)等。目前，IETF制定了大量的與安全相關(guān)的征求意見(jiàn)稿(RFC)，其他標(biāo)準(zhǔn)組織或網(wǎng)絡(luò)架構(gòu)都已經(jīng)引用了這些成果。

本文提出的NGN安全體系架構(gòu)就是在應(yīng)用X.805安全體系架構(gòu)基礎(chǔ)上，結(jié)合NGN體系架構(gòu)和IETF相關(guān)的安全協(xié)議而提出來(lái)的，如圖3所示，這樣可以有效地指導(dǎo)NGN安全解決方案的實(shí)現(xiàn)。

2  NGN的安全需求

網(wǎng)絡(luò)安全需求將用戶(hù)通信安全、網(wǎng)絡(luò)運(yùn)營(yíng)商與業(yè)務(wù)提供商運(yùn)營(yíng)安全緊密地結(jié)合在一起。當(dāng)IP技術(shù)作為互聯(lián)網(wǎng)技術(shù)被應(yīng)用到電信網(wǎng)絡(luò)上取代電路交換之后，來(lái)自網(wǎng)絡(luò)運(yùn)營(yíng)商、業(yè)務(wù)提供商和用戶(hù)的安全需求就顯得特別重要。

為了給網(wǎng)絡(luò)運(yùn)營(yíng)商、業(yè)務(wù)提供商和用戶(hù)提供一個(gè)安全可信的網(wǎng)絡(luò)環(huán)境，防止各種攻擊，NGN需要避免出現(xiàn)非授權(quán)用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò)設(shè)備上的資源、業(yè)務(wù)和用戶(hù)數(shù)據(jù)的情況，需要限制網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的可見(jiàn)范圍，需要保證網(wǎng)絡(luò)上傳送的控制信息、管理信息和用戶(hù)信息的私密性和完整性，需要監(jiān)督網(wǎng)絡(luò)流量并對(duì)異常流量進(jìn)行管理和上報(bào)。

在X.805標(biāo)準(zhǔn)的指導(dǎo)下，通過(guò)對(duì)NGN網(wǎng)絡(luò)面臨的安全威脅和弱點(diǎn)進(jìn)行分析，NGN安全需求大致可以分為安全策略，認(rèn)證、授權(quán)、訪(fǎng)問(wèn)控制和審計(jì)，時(shí)間戳與時(shí)間源，資源可用性，系統(tǒng)完整性，操作、管理、維護(hù)和配置安全，身份和安全注冊(cè)，通信和數(shù)據(jù)安全，隱私保證，密鑰管理， NAT/防火墻互連，安全保證，安全機(jī)制增強(qiáng)等需求。

(1) 安全策略需求

安全策略需求要求定義一套規(guī)則集，包括系統(tǒng)的合法用戶(hù)和合法用戶(hù)的訪(fǎng)問(wèn)權(quán)限，說(shuō)明保護(hù)何種信息、以及為什么進(jìn)行保護(hù)。在NGN環(huán)境下，存在著不同的用戶(hù)實(shí)體、不同的設(shè)備商設(shè)備、不同的網(wǎng)絡(luò)體系架構(gòu)、不同的威脅模型、不均衡的安全功能開(kāi)發(fā)等，沒(méi)有可實(shí)施的安全策略是很難保證有正確的安全功能的。

(2) 認(rèn)證、授權(quán)、訪(fǎng)問(wèn)控制和審計(jì)需求

在NGN不同安全域之間和同一安全域內(nèi)部，對(duì)資源和業(yè)務(wù)的訪(fǎng)問(wèn)必須進(jìn)行認(rèn)證授權(quán)服務(wù)，只有通過(guò)認(rèn)證的實(shí)體才能使用被授權(quán)訪(fǎng)問(wèn)實(shí)體上的特定資源和業(yè)務(wù)。通過(guò)這一方法確保只有合法用戶(hù)才可以訪(fǎng)問(wèn)資源、系統(tǒng)和業(yè)務(wù)，防止入侵者對(duì)資源、系統(tǒng)和業(yè)務(wù)進(jìn)行非法訪(fǎng)問(wèn)，并主動(dòng)上報(bào)與安全相關(guān)的所有事件，生成可管理的、具有訪(fǎng)問(wèn)控制權(quán)限的安全事件審計(jì)材料。

(3) 時(shí)間戳與時(shí)間源需求

NGN能夠提供可信的時(shí)間源作為系統(tǒng)時(shí)鐘和審計(jì)時(shí)間戳，以便在處理未授權(quán)事件時(shí)能夠提供可信的時(shí)間憑證。

(4) 資源可用性需求

NGN能夠限制分配給某業(yè)務(wù)請(qǐng)求的重要資源的數(shù)量，丟棄不符合安全策略的數(shù)據(jù)包，限制突發(fā)流量，降低突發(fā)流量對(duì)其他業(yè)務(wù)的影響，防止拒絕服務(wù)(DoS)攻擊。

(5) 系統(tǒng)完整性需求

NGN設(shè)備能夠基于安全策略，驗(yàn)證和審計(jì)其資源和系統(tǒng)，并且監(jiān)控其設(shè)備配置與系統(tǒng)未經(jīng)授權(quán)而發(fā)生的改變，防止蠕蟲(chóng)、木馬等病毒的安裝。為此，設(shè)備需要根據(jù)安全策略，定期掃描它的資源，發(fā)現(xiàn)問(wèn)題時(shí)生成日志并產(chǎn)生告警。(對(duì)設(shè)備的監(jiān)控不能影響該設(shè)備上實(shí)時(shí)業(yè)務(wù)的時(shí)延變化或?qū)е逻B接中斷。)

(6) 操作、管理、維護(hù)和配置安全需求

NGN需要支持對(duì)信任域、脆弱信任域和非信任域設(shè)備的管理，需要保證操作、管理、維護(hù)和配置(OAMP)信息的安全，防止設(shè)備被非法接管。

(7) 身份和安全注冊(cè)需求

NGN需要防止用戶(hù)身份被竊取，防止網(wǎng)絡(luò)設(shè)備、終端和用戶(hù)的偽裝、欺騙以及對(duì)資源、系統(tǒng)和業(yè)務(wù)的非法訪(fǎng)問(wèn)。

(8) 通信和數(shù)據(jù)安全需求

NGN需要保證通信與數(shù)據(jù)的安全，包括用戶(hù)面數(shù)據(jù)、控制面數(shù)據(jù)和管理面數(shù)據(jù)。用戶(hù)和邏輯網(wǎng)元的接口以及不同運(yùn)營(yíng)商之間的接口都需要進(jìn)行安全保護(hù)，信令需要逐跳保證私密性和完整性。

(9) 隱私保證需求

保護(hù)運(yùn)營(yíng)商網(wǎng)絡(luò)、業(yè)務(wù)提供商網(wǎng)絡(luò)的隱私性以及用戶(hù)信息的隱私性。

(10) 密鑰管理需求

保證信任域與非信任域之間密鑰交換的安全，密鑰管理機(jī)制需要支持網(wǎng)絡(luò)地址映射/網(wǎng)絡(luò)地址端口轉(zhuǎn)換(NAT/NAPT)設(shè)備的穿越。

(11) NAT/防火墻互連需求

支持NGN中NAT/防火墻功能。防火墻可以是應(yīng)用級(jí)網(wǎng)關(guān)(ALG)、代理、包過(guò)濾、NAT/NAPT等設(shè)備，或者上述的組合。

(12) 安全保證需求

對(duì)NGN設(shè)備和系統(tǒng)進(jìn)行評(píng)估和認(rèn)證, 對(duì)網(wǎng)絡(luò)潛在的威脅和誤用在威脅、脆弱性、風(fēng)險(xiǎn)和評(píng)估(TVRA)中有所體現(xiàn)。

(13) 安全機(jī)制增強(qiáng)需求

對(duì)加密算法的定義和選擇符合ES 202 238的指導(dǎo)[10]。

(14) 其他安全需求

安全管理和不可否認(rèn)性需求等還處于待研究的狀態(tài)。

3  NGN安全體系架構(gòu)

NGN安全體系架構(gòu)是一個(gè)體系，本身很難用一個(gè)單一的標(biāo)準(zhǔn)來(lái)涵蓋，其設(shè)計(jì)需要滿(mǎn)足以下條件：

具有可擴(kuò)展性、實(shí)用性；

基于成熟的安全機(jī)制和實(shí)現(xiàn)技術(shù)；

能夠?qū)崿F(xiàn)應(yīng)用層、業(yè)務(wù)層和傳輸層的分離，不同層次上能夠采用不同的安全措施；

安全措施的應(yīng)用不影響業(yè)務(wù)的服務(wù)質(zhì)量；

滿(mǎn)足網(wǎng)絡(luò)運(yùn)營(yíng)商、業(yè)務(wù)提供商和用戶(hù)的安全需求；

能夠?qū)崿F(xiàn)互操作。

NGN在網(wǎng)絡(luò)架構(gòu)中引入了多種商業(yè)模型，例如，接入網(wǎng)和骨干網(wǎng)可能屬于不同的運(yùn)營(yíng)商，有不同的安全策略，需要隔離不同層面的安全問(wèn)題。為此，NGN按照邏輯方式和物理方式，對(duì)圖1中的網(wǎng)絡(luò)進(jìn)行了劃分，形成了不同的安全域，每一安全域可以對(duì)應(yīng)著一種特定的安全策略，運(yùn)營(yíng)商通過(guò)實(shí)施各種安全策略對(duì)安全域里和安全域間的功能要素和活動(dòng)進(jìn)行保護(hù)。

安全域可以分為信任域、脆弱信任域和非信任域。對(duì)于某一特定的網(wǎng)絡(luò)運(yùn)營(yíng)商，信任域是指不與用戶(hù)設(shè)備直接通信、處于該運(yùn)營(yíng)商完全控制之下的安全域，例如骨干網(wǎng)；脆弱信任域是指屬于該網(wǎng)絡(luò)運(yùn)營(yíng)商管理但不一定由該網(wǎng)絡(luò)運(yùn)營(yíng)商控制、連接信任域和非信任域的安全域，例如接入網(wǎng)、邊界網(wǎng)關(guān)；非信任域是指不屬于該運(yùn)營(yíng)商管理的安全域，例如用戶(hù)網(wǎng)絡(luò)、不被信任的其他運(yùn)營(yíng)商網(wǎng)絡(luò)。在不同的安全域里，安全威脅、脆弱性、風(fēng)險(xiǎn)是不同的，因此安全需求也就不一樣，網(wǎng)絡(luò)運(yùn)營(yíng)商和業(yè)務(wù)提供商需要分別制定安全策略，采用各種安全機(jī)制的組合，來(lái)保證其網(wǎng)絡(luò)和網(wǎng)絡(luò)之上端到端用戶(hù)業(yè)務(wù)的安全性。

根據(jù)NGN分層的思想(如圖1所示)，NGN安全體系架構(gòu)，在水平方向上可以劃分為傳送層安全和業(yè)務(wù)層安全。傳送層和業(yè)務(wù)層的安全體系架構(gòu)應(yīng)相對(duì)獨(dú)立，傳送層安全體系架構(gòu)主要是解決數(shù)據(jù)傳輸?shù)陌踩�，業(yè)務(wù)層安全體系架構(gòu)主要解決業(yè)務(wù)平臺(tái)的安全。例如，電信和互聯(lián)網(wǎng)融合業(yè)務(wù)及高級(jí)網(wǎng)絡(luò)協(xié)議(TISPAN)規(guī)定，傳送層采用網(wǎng)絡(luò)附著子系統(tǒng)(NASS)憑證, 業(yè)務(wù)控制層采用IP多媒體子系統(tǒng)(IMS)認(rèn)證和密鑰協(xié)商(AKA)模式，應(yīng)用層采用基于通用用戶(hù)識(shí)別模塊(USIM)集成電路卡(UICC)的GBA (GBA-U) 模式。

NGN安全的系統(tǒng)架構(gòu)在垂直方向上可以劃分為接入網(wǎng)安全、骨干網(wǎng)安全和業(yè)務(wù)網(wǎng)安全，從而使得原來(lái)網(wǎng)絡(luò)端到端安全變成了網(wǎng)絡(luò)逐段安全。在垂直方向上，NGN可以被劃分成多個(gè)安全域。

接入網(wǎng)通過(guò)接入控制部分對(duì)用戶(hù)的接入進(jìn)行控制，防止非授權(quán)用戶(hù)訪(fǎng)問(wèn)傳送網(wǎng)絡(luò)，并負(fù)責(zé)用戶(hù)終端IP地址的分配；骨干網(wǎng)通過(guò)邊界網(wǎng)關(guān)對(duì)網(wǎng)絡(luò)互連進(jìn)行控制，保證只有被授權(quán)的其他網(wǎng)絡(luò)上的用戶(hù)面、控制面和管理面才能接入信任域；業(yè)務(wù)網(wǎng)通過(guò)業(yè)務(wù)控制部分和根據(jù)需要通過(guò)應(yīng)用與業(yè)務(wù)支持部分對(duì)用戶(hù)訪(fǎng)問(wèn)業(yè)務(wù)進(jìn)行控制，防止非授權(quán)用戶(hù)訪(fǎng)問(wèn)業(yè)務(wù)，或授權(quán)用戶(hù)訪(fǎng)問(wèn)非授權(quán)業(yè)務(wù)。

安全域之間用安全網(wǎng)關(guān)(SEGF)互聯(lián)，如圖4所示。在每個(gè)安全域里，除了SEGF之外，可能還存在SEG證書(shū)權(quán)威(CA)和互聯(lián)CA。同一個(gè)安全域的SEGF采用IETF安全協(xié)議實(shí)現(xiàn)域內(nèi)端到端安全。

SEGF是安全域邊界實(shí)體，是防范來(lái)自其他安全域攻擊的主要網(wǎng)元。它通過(guò)將來(lái)自其他安全域的流量與信任域內(nèi)流量進(jìn)行隔離，要求其他安全域流量必須通過(guò)特定的SEGF才能進(jìn)入信任域，在向信任域里轉(zhuǎn)發(fā)來(lái)自其他安全域的流量前，必須進(jìn)行驗(yàn)證，以防止攔截、篡改、拒絕式攻擊、地址和身份欺騙、竊聽(tīng)、偽裝等安全事件在信任域里的出現(xiàn)。例如，可以根據(jù)指定的安全策略，在管理面和控制面上使用接入控制，限制特定用戶(hù)接入或?qū)μ囟�業(yè)務(wù)的訪(fǎng)問(wèn)。SEGF需要實(shí)現(xiàn)設(shè)備級(jí)物理安全措施、系統(tǒng)加固、安全信令、OAMP 虛擬專(zhuān)網(wǎng)(VPN)等方式之外，還需要采用防火墻、入侵檢測(cè)、內(nèi)容過(guò)濾、VPN接入、VPN互連等功能。

SEGF提供的安全服務(wù)包括認(rèn)證、授權(quán)、私密性、完整性、密鑰管理和策略實(shí)施等。SEGF對(duì)于從信任域里發(fā)送來(lái)的請(qǐng)求，可以采用信任方式，不需要再進(jìn)行驗(yàn)證。

4 安全機(jī)制

網(wǎng)絡(luò)安全機(jī)制，就是在安全體系架構(gòu)下實(shí)現(xiàn)這些安全需求，防止未授權(quán)的信息采集與信息攔截、非法設(shè)備接管與控制、資源與信息的破壞/刪除/修改/泄露、業(yè)務(wù)中斷等安全問(wèn)題的發(fā)生。

4.1身份識(shí)別、認(rèn)證與授權(quán)機(jī)制

用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò)，需要向網(wǎng)絡(luò)和業(yè)務(wù)申明其身份，以便網(wǎng)絡(luò)和業(yè)務(wù)能夠識(shí)別其是否有權(quán)限訪(fǎng)問(wèn)所申請(qǐng)的資源和業(yè)務(wù)。

目前用于身份識(shí)別的技術(shù)多種多樣，如身份識(shí)別模塊(SIM)卡、智能卡、用戶(hù)名/口令、設(shè)備序列號(hào)、電話(huà)號(hào)碼、標(biāo)識(shí)、令牌、生物特征碼、數(shù)字證書(shū)、消息認(rèn)證碼等。

在NGN中，存在著不同的接入方式、不同的網(wǎng)絡(luò)運(yùn)營(yíng)商、不同的業(yè)務(wù)提供商，為了使用戶(hù)能夠無(wú)縫透明地使用網(wǎng)絡(luò)業(yè)務(wù)，需要在用戶(hù)與各個(gè)網(wǎng)絡(luò)和業(yè)務(wù)之間建立一種信任關(guān)系。為了對(duì)用戶(hù)進(jìn)行統(tǒng)一管理，OPENID、OASIS、LIBERTY ALLIANCE等標(biāo)準(zhǔn)組織在開(kāi)展身份管理(IdM)的研究，ITU-T目前也設(shè)置了專(zhuān)門(mén)的焦點(diǎn)組(FG)，希望在未來(lái)能夠用統(tǒng)一的身份對(duì)各種NGN實(shí)體進(jìn)行管理，如業(yè)務(wù)提供商、網(wǎng)絡(luò)運(yùn)營(yíng)商、網(wǎng)元、用戶(hù)設(shè)備、用戶(hù)等。

此外，當(dāng)非信任域?qū)嶓w需要訪(fǎng)問(wèn)脆弱信任域?qū)嶓w或通過(guò)脆弱信任域?qū)嶓w訪(fǎng)問(wèn)信任域?qū)嶓w時(shí)，或者用戶(hù)終端需要訪(fǎng)問(wèn)非信任域?qū)嶓w時(shí)，甚至安全域內(nèi)部實(shí)體互相訪(fǎng)問(wèn)時(shí)，根據(jù)安全策略設(shè)置，可能需要進(jìn)行單向認(rèn)證或雙向認(rèn)證，也就是請(qǐng)求訪(fǎng)問(wèn)的實(shí)體需要與管理被訪(fǎng)問(wèn)實(shí)體的認(rèn)證者(Authenticator)之間交換憑證(Credentials)，Authenticator根據(jù)收到的Credentials，采用預(yù)先約定的共享密鑰方式或X.509證書(shū)方式，將資源請(qǐng)求或業(yè)務(wù)請(qǐng)求與發(fā)起請(qǐng)求的網(wǎng)絡(luò)設(shè)備、用戶(hù)設(shè)備和用戶(hù)關(guān)聯(lián)起來(lái)，利用事先存儲(chǔ)的該網(wǎng)絡(luò)設(shè)備、用戶(hù)設(shè)備和用戶(hù)的Credentials，進(jìn)行身份認(rèn)證。只有通過(guò)身份認(rèn)證的請(qǐng)求訪(fǎng)問(wèn)實(shí)體，才能與被訪(fǎng)問(wèn)實(shí)體進(jìn)行通信。

同時(shí)，根據(jù)安全策略的設(shè)置，可能需要對(duì)該請(qǐng)求訪(fǎng)問(wèn)實(shí)體的訪(fǎng)問(wèn)權(quán)限進(jìn)行限定，使得通過(guò)認(rèn)證的請(qǐng)求訪(fǎng)問(wèn)實(shí)體只能根據(jù)授權(quán)使用被訪(fǎng)問(wèn)實(shí)體上指定的資源和業(yè)務(wù)。認(rèn)證與授權(quán)技術(shù)非常多，主要包括： IETF PAP、CHAP、EAP、PANA、RADIUS、DIAMETER、LDAP、Kerberos、3GPP AKA、GAA/GBA、IEEE 802.1x等。

4.2傳送安全機(jī)制

在NGN體系架構(gòu)中，采用VPN技術(shù)保證信令信息和OAMP信息的安全。四層VPN技術(shù)主要為傳輸層安全(TLS)，三層VPN技術(shù)主要為IPsec。其中，TLS是基于客戶(hù)端服務(wù)器模式實(shí)現(xiàn)，在傳輸控制協(xié)議(TCP)或流控制傳輸協(xié)議(SCTP)上傳送，可以用于各個(gè)安全域內(nèi)，也可以用于不同的安全域之間，能夠保證傳送信息的私密性和完整性；IPsec在IP層上傳送，通常用于信任域內(nèi)、脆弱信任域內(nèi)和不同安全域之間，能夠在保證傳送信息私密性和完整性的同時(shí)防止重放攻擊。IPsec有多種認(rèn)證算法，在NGN中，可能采用RFC 2403 HMAC-MD5-96和RFC 2404 HMAC-SHA-1-96中方法，對(duì)于其中的密鑰，可以采用互聯(lián)網(wǎng)密鑰交換(IKE)實(shí)現(xiàn)密鑰自動(dòng)交換。

通常情況下，NGN中不考慮媒體流的安全問(wèn)題。如果用戶(hù)要求對(duì)媒體流的安全進(jìn)行保護(hù)，則可以采用安全實(shí)時(shí)傳輸協(xié)議(SRTP)或簡(jiǎn)單認(rèn)證安全層(SASL)技術(shù)，能夠提供認(rèn)證、私密性和完整性保護(hù)。

傳送安全機(jī)制中，為了避免出現(xiàn)重復(fù)加密、影響網(wǎng)絡(luò)性能的現(xiàn)象，不同的技術(shù)不能同時(shí)使用。

4.3訪(fǎng)問(wèn)控制機(jī)制

訪(fǎng)問(wèn)控制機(jī)制通常與身份識(shí)別、認(rèn)證與授權(quán)機(jī)制結(jié)合在一起，能夠有效地防止非授權(quán)用戶(hù)或設(shè)備使用網(wǎng)絡(luò)資源、系統(tǒng)、信息和業(yè)務(wù)，以及授權(quán)用戶(hù)或設(shè)備非法訪(fǎng)問(wèn)未授權(quán)的網(wǎng)絡(luò)資源、系統(tǒng)、信息和業(yè)務(wù)。

4.4審計(jì)與監(jiān)控機(jī)制

NGN設(shè)備需要對(duì)其上發(fā)生的所有事件，根據(jù)安全策略的要求，記錄安全日志，并能夠由簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)通過(guò)IPsec將日志信息發(fā)送到指定的服務(wù)器上,以便能夠評(píng)價(jià)系統(tǒng)的安全性和分析系統(tǒng)出現(xiàn)的安全問(wèn)題。NGN設(shè)備需要支持日常維護(hù)和安全補(bǔ)丁檢測(cè)與自動(dòng)安裝功能，支持系統(tǒng)自動(dòng)恢復(fù)和回滾功能。NGN設(shè)備上需要安裝完整性驗(yàn)證代理，當(dāng)發(fā)現(xiàn)問(wèn)題時(shí)，需要上報(bào)。NGN可能需要通過(guò)OAMP對(duì)用戶(hù)駐地設(shè)備-邊界元素(CPE-BE)進(jìn)行管理，此時(shí)CPE-BE需要具有同樣功能，且信息傳送需要通過(guò)VPN技術(shù)實(shí)現(xiàn)。

NGN網(wǎng)絡(luò)可能需要為非信任域的用戶(hù)駐地設(shè)備(CPE)提供配置機(jī)制。在CPE啟動(dòng)階段，CPE通過(guò)位于脆弱信任域中的設(shè)備配置與啟動(dòng)-邊界元素(DCB-BE)進(jìn)行認(rèn)證，建立傳送安全通道，與位于信任域中的CPE配置單元建立聯(lián)系，獲取配置文件。

4.5密鑰交換與管理機(jī)制

密鑰生成、存儲(chǔ)和交換方式的安全性和證書(shū)格式、證書(shū)驗(yàn)證方式是信息網(wǎng)絡(luò)安全性研究的核心內(nèi)容之一，NGN支持采用預(yù)共享密鑰或公私密鑰對(duì)進(jìn)行加密兩種加密方式，支持現(xiàn)有的各種密鑰交換與管理機(jī)制，主要包括：IETF PKIX、IKEv2、D-H交換、Mikey、ITU X.509、X.akm、手工配置等方式。

4.6OAMP機(jī)制

NGN具有獨(dú)立的OAMP IP地址塊，每個(gè)設(shè)備上有物理接口或邏輯接口，在該地址塊內(nèi)分配IP地址，用于OAMP接口。因此，NGN設(shè)備將在OAMP接口上直接丟棄從其他IP地址來(lái)的OAMP流量，而且將在其他接口上直接丟棄OAMP流量。訪(fǎng)問(wèn)NGN設(shè)備上的OAMP接口，需要通過(guò)認(rèn)證；當(dāng)通過(guò)認(rèn)證的用戶(hù)訪(fǎng)問(wèn)時(shí)，系統(tǒng)將提供日志功能和回滾功能。另外，如果OAMP流量通過(guò)非信任區(qū)，則需要采用安全措施。

4.7系統(tǒng)管理機(jī)制

為了規(guī)避安全問(wèn)題，減少網(wǎng)絡(luò)安全漏洞，NGN上只有得到應(yīng)用的設(shè)備才能存在于網(wǎng)絡(luò)上；設(shè)備上沒(méi)有使用的端口必須關(guān)閉掉；設(shè)備上的操作系統(tǒng)必須配置好安全措施，并及時(shí)地進(jìn)行加固，一旦設(shè)備供應(yīng)商提供了安全補(bǔ)丁，在經(jīng)過(guò)網(wǎng)絡(luò)運(yùn)營(yíng)商或業(yè)務(wù)提供商許可后，需要立即安裝；設(shè)備上需要配置物理的或邏輯的接入控制措施；設(shè)備上應(yīng)用軟件與系統(tǒng)軟件相比具有更低的優(yōu)先級(jí)；網(wǎng)絡(luò)管理系統(tǒng)與被管理實(shí)體之間的信息傳送需要采用VPN技術(shù)實(shí)現(xiàn)。

4.8其他機(jī)制

NGN中，一方面采用了現(xiàn)有的多種安全機(jī)制，來(lái)滿(mǎn)足安全需求，例如，采用加密方法實(shí)現(xiàn)隱私保證、通信和數(shù)據(jù)安全等；另一方面，一些安全機(jī)制還有待研究，例如NAT/防火墻穿越安全機(jī)制。

5  結(jié)束語(yǔ)

當(dāng)今，隨著網(wǎng)絡(luò)應(yīng)用的普及，財(cái)富日益集中在網(wǎng)絡(luò)上，幾乎每一個(gè)人都在關(guān)注信息網(wǎng)絡(luò)中的安全問(wèn)題。越是有錢(qián)的消費(fèi)者，對(duì)安全越重視；越是高端的運(yùn)營(yíng)商，也就越重視安全。為了滿(mǎn)足社會(huì)日益增長(zhǎng)的網(wǎng)絡(luò)安全需求，中興通訊公司在TCP/IP協(xié)議棧平臺(tái)基礎(chǔ)上，進(jìn)一步開(kāi)發(fā)了終端安全模塊、業(yè)務(wù)系統(tǒng)安全模塊、網(wǎng)管系統(tǒng)安全模塊、無(wú)線(xiàn)網(wǎng)絡(luò)安全模塊、有線(xiàn)網(wǎng)絡(luò)安全模塊等，為中興通訊公司全系列通信產(chǎn)品提供統(tǒng)一的安全解決方案，覆蓋ITU-T X.805 3層3面8個(gè)維度，包括現(xiàn)有各種安全技術(shù)，具有很強(qiáng)的靈活性和可擴(kuò)展性，能夠經(jīng)濟(jì)地、有效地保護(hù)政府部門(mén)、網(wǎng)絡(luò)運(yùn)營(yíng)商、業(yè)務(wù)提供商和用戶(hù)對(duì)現(xiàn)有網(wǎng)絡(luò)使用的合法權(quán)益。

網(wǎng)絡(luò)安全是一個(gè)相對(duì)的概念，絕對(duì)的網(wǎng)絡(luò)安全是不存在的。隨著NGN技術(shù)和Everything over IP的發(fā)展，網(wǎng)絡(luò)安全的需求將變得更加迫切。

本文提出的NGN各種安全技術(shù)，能夠很容易地被中興通訊公司統(tǒng)一安全解決方案平滑地支持，能夠滿(mǎn)足不同應(yīng)用環(huán)境下網(wǎng)絡(luò)運(yùn)營(yíng)商、業(yè)務(wù)提供商和用戶(hù)多樣化的安全需求，在保證實(shí)現(xiàn)NGN上資源、系統(tǒng)和用戶(hù)信息安全的同時(shí)滿(mǎn)足政府部門(mén)對(duì)于合法監(jiān)聽(tīng)的需求，為網(wǎng)絡(luò)運(yùn)營(yíng)商和業(yè)務(wù)提供商開(kāi)展差異化競(jìng)爭(zhēng)提供了重要的手段。

6  參考文獻(xiàn)

[1]ISO/IEC13335.Information technology—Guidelines for the management of IT security[S]. 2004.

[2]ETSITS187 001. Telecommunications and Internet converged services and protocols for advanced networking (TISPAN); NGN SECurity (SEC); Requirements[S].

[3]ETSITR187 002. Telecommunications and Internet converged services and protocols for advanced networking (TISPAN); TISPAN NGN security (NGN_SEC); Threat and risk analysis[S].

[4]ITU-TTD322(WP2/13). Draft Y.NGN certificate management[S].

[5]ITU-TTD312(WP2/13). Proposed texts for draft Y.IdMsec (NGN identity management security)[S].

[6]ITU-TTDTD 199 (WP 2/13). Draft Recommendation Y.2012 (formally Y.NGN-FRA) [Draft Version 0.8][S].

[7]ETSIES282 003. Telecommunications and Internet converged services and protocols for advanced networking (TISPAN); Resource and admission control sub system (RACS); Functional architecture[S].

[8]ITU-TX.805.Security architecture for systems providing end to end communications[S].

[9]ITU-TTD256 (PLEN). Output of draft recommendation Y.2701 (Security requirements for NGN Release 1)[S].

[10]ETSIES202 238. Telecommunications and Internet protocol harmonization over networks (TIPHON); Evaluation criteria for cryptographic algorithms (NGN Release 1) for decision [S].

[11]ETSIES282 001. Telecommunications and Internet converged services and protocols for advanced networking (TISPAN); NGN functional architecture release 1 [S].

[12]ETSIES282 004. Telecommunications and Internet converged services and protocols for advanced networking (TISPAN); NGN functional architecture; Network attachment sub system (NASS)[S].

[13]ETSITS133 210. Digital cellular telecommunications system (Phase 2+); Universal mobile telecommunications system (UMTS); 3G security; Network domain security (NDS); IP network layer security (3GPP TS 33.210)[S].

[14]ETSITS133 222. Universal mobile telecommunications system (UMTS); Generic authentication architecture (GAA); Access to network application functions using hypertext transfer protocol over transport layer security (HTTPS) (3GPP TS 33.222)[S].

[15]ITU-TTD328(WP2/13). Draft recommendation Y.secMechanisms (NGN security mechanisms and procedures) [S].

[16]ITU-TTD323(WP2/13). Output Draft Y.NGN Authentication[S].

[17]ITU-TTD324(WP2/13). The Second Version of Y.NGN AAA [S].

作者簡(jiǎn)介：

滕志猛，博士，畢業(yè)于東南大學(xué)。曾工作于南京大學(xué)博士后流動(dòng)站和江蘇省多媒體通信局，現(xiàn)工作于中興通訊股份有限公司。曾負(fù)責(zé)數(shù)據(jù)通信產(chǎn)品和移動(dòng)通信產(chǎn)品的研發(fā)，現(xiàn)負(fù)責(zé)中心研究院數(shù)據(jù)分中心的產(chǎn)品預(yù)研，長(zhǎng)期從事網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)、網(wǎng)絡(luò)服務(wù)質(zhì)量保證、網(wǎng)絡(luò)安全技術(shù)和業(yè)務(wù)實(shí)現(xiàn)技術(shù)的研究。吳波，西安電子科技大學(xué)碩士畢業(yè)�，F(xiàn)任中興通訊股份有限公司中心研究院數(shù)據(jù)分中心系統(tǒng)工程師，曾從事IP產(chǎn)品和平臺(tái)的開(kāi)發(fā)，現(xiàn)主要從事下一代網(wǎng)絡(luò)技術(shù)預(yù)研。韋銀星，博士，畢業(yè)于上海交通大學(xué)。現(xiàn)任中興通訊股份有限公司中心研究院數(shù)據(jù)分中心系統(tǒng)工程師，曾參加3G平臺(tái)產(chǎn)品的研發(fā)，現(xiàn)主要研究領(lǐng)域?yàn)橄乱淮�網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)安全技術(shù)。已發(fā)表論文10余篇。