返回
ngn分层网络安全方案

ngn分层网络安全方案

ID:9511366

大小:58.50 KB

页数:10页

时间:2018-05-02

ngn分层网络安全方案_第1页
ngn分层网络安全方案_第2页
ngn分层网络安全方案_第3页
ngn分层网络安全方案_第4页
ngn分层网络安全方案_第5页
资源描述:

《ngn分层网络安全方案》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、NGN分层网络安全方案~教育资源库  0、引言  基于软交换技术的下一代网络(NGN)是业务驱动的网络,通过呼叫控制、媒体交换及承载的分离,实现了开放的分层架构。软交换网络分为接入层、承载层、控制层和业务层四大层次。接入层负责在用户端支持多种业务的接入,接入设备应能向上连接到高速传输线路,向下支持多种业务的接口。承载层负责建立和管理承载连接,并对这些连接进行交换和路由分配,用以响应控制层的控制命令。控制层主要涉及软交换相关的功能,完成业务逻辑的具体执行,其中包含呼叫智能和路由等操作。控制层是NGN

2、的核心,决定用户收到的业务,并能控制低层网络元素对业务流的处理。网络业务层主要负责业务逻辑的相关处理,如业务生成、业务逻辑定义和业务编程接口等。各层次网络单元通过标准协议互通,可以各自独立演进,以适应未来技术的发展。  NGN是在当今电信网络基础上演变、融合而来的,理想的NGN可以实现各种网络的互通,用户可以在任何时间、任何地点、以多种方式享受网络提供的各种服务。在不久的将来,用户可以在机上与朋友面对面地视频聊天;用很少的话费与异国的朋友尽情交谈。但事物都具有两面性,NGN为我们带来便利的同时,也

3、带来了更加严峻的安全问题。  面临诸多的安全问题,笔者认为在NGN发展演进过程中,要积极进行各层次安全技术的研究和措施的实施,研究可行有效的安全机制和安全防御框架。  1、接入层用户的安全管理  根据安全需求的不同,可将软交换网络分为内网区、隔离区和外网区等不同的安全区域。外网区是由会话启动协议(SIP)终端和普通用户综合接入设备(IAD)等终端设备组成的网络区域,该网络区域设备放置在用户侧,为个人用户提供服务。内网区是由软交换、信令网关、应用服务器、媒体服务器、中继网关和大容量用户综合接入网关等

4、设备组成的网络区域。隔离区是由软交换用户下载服务器、应用门户服务器和域名系统(DNS)等设备组成的网络区域。  对接入层用户应部署以下安全访问策略:a)根据网络安全的最小化服务原则,隔离区对外网区只开放必需的服务端口,其他不需要的端口一律用防火墙屏蔽。b)外网区终端允许使用SIP、媒体网关控制协议(MGCP)或H.248协议,通过边缘接入控制设备作为代理访问内网区,再通过用户和业务认证后,允许实时传送协议/RTP控制协议(RTP/RTCP)数据包通过边缘接入控制设备作为代理进入内网区。c)外网区终

5、端不能使用除SIP、MGCP和H.248之外的协议直接访问内部网络,对内部网络设备的访问必须通过隔离区设备代理进行。d)外网区终端获得允许后可以使用隔离区服务器提供的服务。  设置接入安全防线,接入设备/用户接入需要经过身份认证才可接入软交换网络,同时在这个点设置用户的业务权限,这条防线可以避免非法用户进入软交换网络。同时,用户的身份得到确认可以方便进行事后审计和追踪,有效防止用户侧的网络攻击行为。接入层安全问题主要涉及接入侧设备及用户信息的安全。这些通常通过认证、鉴权机制和隔离机制来保证。  保

6、证用户信息安全,在接入层仍要对通信流量进行隔离,这里包括软交换业务用户与其他业务用户(如普通数据业务用户)之间的隔离以及两个软交换用户之间的隔离。采用虚拟局域网(VLAN)在第二层实现隔离,能有效杜绝广播包的攻击和用户信息的泄露。另外通过访问控制列表(ACL)可在第三层上进行软交换终端用户之间的受控互访或软交换终端用户对软交换其他设备的互访。进一步通过IP+VLAN+MAC绑定,可以限制每个VLAN接入的用户数目,保护网上关键资源,并有效防止用户地址盗用和用户仿冒的发生。  软交换网络需要对接入到

7、控制层的接入设备进行认证,以保证接入设备的合法性。以IAD为例,当不可信任的IAD向软交换进行注册时,应携带用于该设备进行认证的设备信息(如设备的标识、MAC地址或预先获得的鉴权密钥等),并且可以对这些信息加密传送。软交换根据注册消息中所包含的信息对IAD进行认证,认证通过后,激活相应的业务端口,用户获得使用业务的权限。  2、承载网的安全  承载网安全直接影响NGN的业务质量。NGN承载网采用IP技术,其开放性特点非常适合网络业务的发展,但IP协议的开放性和公用性也使NGN不可避免地受到黑客或病

8、毒程序的攻击或干扰。  随着NGN、3G、虚拟专用网络(VPN)等新业务的不断涌现,用户数量的不断增加,原Inter业务接入平面的IP承载网已无法满足要求。a)原有设备容量不足,无法满足快速增长的用户对宽带的需求和未来良好的扩展。b)原有网络在多协议标签交换(MPLS)VPN、高可靠性、QoS、组播、IPv6等诸多方面能力不足,无法承载电信级的新业务。  近几年,多业务IP承载网进入高速发展的黄金时期,MPLS技术与传统的IP分组技术结合,引入了基于MPLS的流量工程(MPLSTE

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。