SA15226520_李孟琦_NGN网络安全技术

题目名称：NGN网络安全技术学院：软件学院学校：中国科学技术大学学生姓名：李孟琦学号：SA15226520指导老师：刘业NGN网络安全技术李孟琦(中国科学技术大学软件学院,苏州 252123)The network security of Next Generation Network.Mengqi Li(Department of software engineering,USTC,Suzhou 252123,China)Abstract: With the development of NGN technologies and Everything over IP, network security has become an important part of the current network. The 3 layers x 3 planes x 8 dimensions security architecture defined by ITU X.805 for the end- to- end communications is the basis of the research and application of network security technologies . NGN has several security requirements including security strategy,authentication, authorization, access control and audit, time stamp and time source .NGN divides the network into different security areas in both logical and physical ways ,and there are different security strategies for different areas . Through the security mechanisms of identification, authentication and authorization, transmit security, access control, audit and supervision, the security requirements of the network would be realized.Key words: NGN;security requirement; security architecture; security mechanism.摘要: 随着NGN 技术和Everything over IP的发展,网络安全将变得越来越重要。

ITUX.805标准定义的3层3面8个维度的端到端安全体系架构是开展信息网络安全技术研究和应用的基础。

NGN有安全策略, 认证、授权、访问控制和审计,时间戳与时间源等安全需求; NGN按照逻辑方式和物理方式对网络进行划分, 形成不同的安全域对应着特定的安全策略。

通过身份识别、认证与授权, 传送安全, 访问控制, 审计与监控等安全机制, 实现网络的安全需求。

关键词: 下一代网络；安全需求；安全体系架构；安全机制引言下一代网络(NGN, Next Generation Network), 是在当今电信网络的基础上演变、融合而来的。

理想中的NGN集数据、语音、视频等各种多媒体功能于一体, 可以实现各种网络的互通。

用户在任何时间、任何地点、以多种方式享受网络提供的服务。

然而, 事物总是有两面性的, NGN在为我们带来便利的同时, 也带来了更加严峻的安全隐患。

NGN的开放性、融合性一方面使外部攻击者有了可乘之机, 另一方面, 使传统电信网在封闭环境下设计方面的缺陷也显现出来。

此外, NGN的承载网沿用了在Internet上使用的IP技术, 自然也继承了IP技术本身的安全缺陷。

如何在下一代网络演进的过程中, 利用相应的安全技术有针对性的解决潜在的安全威胁, 提出相应的解决措施, 做到防患于未然, 对下一代网络本身的发展是至关重要的。

本文对NGN网络安全威胁及、安全体系架构、安全机制进行了简要叙述。

1 下一代网络的概念下一代网络(NGN)，下一代Internet(NGI)在九十年代逐渐被人们提出来。

很久以来关于NGN 和NGI 的详细内容具体没有一个特别详细的模型，是人们对未来网络的一种设想。

NGN和NGI都是下一代网络的含义，技术上也有很多相同涵盖的内容，但是，两者的出发点是不一样的。

NGI 的概念是建立在现在Internet网的基础上，主要研究下一代Internet的发展，而NGN的概念要更加广泛一些，涵盖但是不局限于Internet。

ITU关于NGN最新的定义是：NGN是基于分组的网络，能够提供包括电信业务在内的所有业务，能够利用多种宽带且Qos 保证的传送技术；其业务相关功能与其传送技术相独立；NGN使用户可以自由接入到不同的业务；NGN提供商支持通用移动性，允许为用户提供始终如一的、普遍存在的业务。

虽然NGN 涵盖的内容比较宽泛，但是网络和业务分离是下一代网络的基本特征，其承载网络以现在流行的IP网也逐渐成为一个不争的事实。

抛开平台的不同和终端的差异，为用户提供始终如一、普遍存在的业务是下一代网络发展的终极目标。

这也是三网融合，固定移动网络融合的理念。

2 下一代网络安全威胁分析常见的网络安全威胁有以下几种表现形式: ①网络通信协议的特点: TCP/IP协议设计是面向封闭专用的网络环境, 缺乏类似认证等基本的安全特性, 这些弱点带来许多直接的安全威胁; ②操作系统的漏洞: 操作系统不仅负责网络硬件设备的接口封装, 同时还提供网络通信所需要的各种协议和服务的程序实现。

几乎所有的系统代码规模都很大, 肯定存在实现缺陷和漏洞; ③应用系统设计的缺陷: 与操作系统类似的, 应用系统设计的过程中也存在缺陷和漏洞;④网络系统设计的缺陷: 合理的网络设计在节约资源的情况下, 开可提供较好的安全性, 不合理的网络设计则带来网络的安全威胁; ⑤恶意攻击: 有组织,有特定目的的人为恶意攻击是网络安全威胁的重要表现, 这样的威胁有时还来自合法的用户; ⑥网络物理设备: 网络物理设备本身的电磁泄露引起的漏洞所带来的隐患是一类极为重要的网络安全威胁, 网络设备的自然老化也可能带来隐患; ⑦管理不当: 管理制度的不到位, 技术手段的不当使用都可能带来严重的安全隐患等。

由以上网络安全威胁不难看出, 导致网络安全威胁的因素有以下3方面; ①系统开放性: 开放是计算机网络系统的基本目的和优势, 但随着开放规模变大, 开放对象的多种多样, 开放系统应用环境的不同, 简单的开放显然不切实际, 并带来一定的安全隐患; ②系统的复杂性: 复杂性是信息技术的特点, 规模庞大特性本身就意味着设计隐患, 软件漏洞, 硬件漏洞, 协议设计缺陷都是典型的由于系统复杂性而导致的网络安全威胁;③人的因素: 网络系统最终为人服务, 人与人之间的各种差异,人在现实生活中表现出来的威胁行为是网络安全威胁的根本原因。

以软交换为核心的下一代网络采用IP分组网络承载, 传统的IP网络是一个尽力传送和开放自由的网络, 有些IP网络用户可以不经任何认证和鉴权就可以接入IP网络, IP网络用户也不需要进行任何业务认证与鉴权。

IP网络的开放性是推动互联网发展的重要因素, 但同时也带来了网络的安全隐患。

NGN采用IP承载网络, 如果在建设初期没有合理规划, 将会存在更大的安全威胁。

下一代网络存在一系列安全威胁。

以下列出了一系列NGN网络安全威胁:2.1 终端设备安全威胁软交换网络中存在大量的终端设备, 包括IAD设备、SIP/H.323终端和PC软终端等。

软交换网络接入灵活, 任何可以接入IP网络的地点均可以接入终端。

但是, 这种特性在为用户带来方便的同时, 也导致可能存在用户利用非法终端或设备访问网络, 占用网络资源, 非法使用业务和服务, 同时, 某些用户可能使用非法终端或设备向网络发起攻击, 对网络的安全造成威胁。

另外, 由于接入与地点的无关性, 使得安全威胁发生后, 很难定位发起安全攻击的确切地点, 无法追查责任人。

2.2 网络安全威胁软交换网络采用IP分组网作为传输承载, 而且软交换网络提供的业务大部分属于实时业务, 对网络的安全可靠性要求更高。

当网络由于病毒导致带宽大量被占用, 访问速度很慢甚至无法访问时, 软交换网络就无法为用户提供任何服务。

2.3 关键设备安全威胁软交换网络中的关键设备包括: 软交换设备、媒体网关、信令网关、应用服务器、媒体服务器等。

由于下一代网络选择分组网络作为承载网络, 并且各种信息主要采用IP分组的方式进行传输, IP协议的简单性和通用性为网络上对关键设备的各种攻击提供了便利的条件。

2.4 信息安全威胁信息安全主要包括软交换与终端之间信令消息的安全、用户之间媒体信息的安全以及用户私有信息(包括用户名、密码等)的安全。

由于软交换网络采用开放的IP网络传输信息, 这样在网络上传输的数据就很容易被监听, 如果软交换与终端之间的信令消息被监听, 有可能导致终端用户私有信息的泄露, 导致监听者可以利用监听到的信息伪造成合法用户接入网络; 如果用户之间媒体信息被恶意监听, 将导致用户私密信息的泄露。

3 下一代网络安全需求网络安全需求将用户通信安全、网络运营商与业务提供商运营安全紧密地结合在一起。

当IP技术作为互联网技术被应用到电信网络上取代电路交换之后,来自网络运营商、业务提供商和用户的安全需求就显得特别重要。

为了给网络运营商、业务提供商和用户提供一个安全可信的网络环境,防止各种攻击, NGN 需要避免出现非授权用户访问网络设备上的资源、业务和用户数据的情况,需要限制网络拓扑结构的可见范围,需要保证网络上传送的控制信息、管理信息和用户信息的私密性和完整性,需要监督网络流量并对异常流量进行管理和上报。

在X .805标准的指导下,通过对NGN网络面临的安全威胁和弱点进行分析,NGN安全需求大致可以分为安全策略,认证、授权、访问控制和审计,时间戳与时间源,资源可用性, 系统完整性,操作、管理、维护和配置安全,身份和安全注册,通信和数据安全,隐私保证,密钥管理,NAT/防火墙互连,安全保证,安全机制增强等需求。

(1)安全策略需求安全策略需求要求定义一套规则集，包括系统的合法用户和合法用户的访问权限，说明保护何种信息、以及为什么进行保护。

在NGN环境下，存在着不同的用户实体、不同的设备商设备、不同的网络体系架构、不同的威胁模型、不均衡的安全功能开发等，没有可实施的安全策略是很难保证有正确的安全功能的。