边缘C通常由信令网关、中继网关、综合接入网关以及对这些媒体网关的控制组成,普遍认为它是一个可以信赖的边界。但对于边缘A和边缘B,由于它们完全基于开放的IP数据技术,所以不值得完全信赖,对其用户的接入和业务访问,必须加以控制和管理,一旦允许用户接入,就应为其提供服务质量保证。所以,在边缘A和边缘B,可以设置一个边缘接入控制器(BoardAccessController),提供防火墙和其他业务的保护功能,包括验证接入设备的合法性,避免非法用户的接入;屏蔽网络内部的拓扑结构;地址转换(NAT)和业务穿透;网络资源的分配和确保;防范来自底层和高层的拒绝服务攻击等。
安全传输
数据的安全是指保证用户通信数据的完整性(不被修改)和安全性(不被偷听)。
数据传输的安全,包括NGN网络设备(如软交换和媒体网关)与终端之间传输协议的安全、用户之间媒体信息传输的安全、用户私有信息(用户名、密码等)的安全等。要保证这些信息不为非法用户窃取和修改,可以要求所有的用户控制信息和媒体信息都要经过边缘接入控制器,这样可以保证所有的NGN通信都会经过NGN网络中的设备。
另外,还可以通过采用一些安全机制,让开放的IP网络具有类似TDM的安全性。其中的一种方式就是虚拟通道。目前比较成熟也比较通用的技术是,采用MPLSVPN技术构建相对独立的VPN网络。这种方法可以在NGN的核心网络使用,将整个IP网络分成几个不同的隔离空间:公共网络、ISP、ASP、用户网络、业务子网等,使得非MPLSVPN内的用户无法访问到NGN网络中的设备,从而保证NGN网络的安全。
NGN网络和用户终端的信息包括控制信息和媒体信息。控制信息涉及的协议有H.248、MGCP、SIP和H.323。为了防止未授权的实体利用这些协议建立非法呼叫或干涉合法呼叫,需要对这些协议的传输建立安全机制。目前在IP网络中广泛推荐的是IPSec,用它对协议的传输提供安全保护。但是由于该机制所涉及到的一系列协议比较复杂,增加了各通信设备的负荷,所以目前并没有大量使用。用户之间的媒体信息防窃听,可以采用对RTP包进行加密的方法,这种方法需要在呼叫建立过程中向终端传送密钥信息。
还有一种信息是关于用户的验证信息,包括用户名、密码、账号等,这是非法用户经常偷听的信息,一定要保证这种信息的安全性和完整性。这种信息通常比较短,因此,常用的加密算法是MD5。
通信安全越来越重要,不但影响公众生活,还直接影响国家利益和国家安全。因此NGN安全是所有人所希望的。NGN安全研究涉及广泛,包括法律法规、技术标准、管理措施、网络规划、网络设计、设备可靠性、业务特性、商业模式、缆线埋放、加密强度、加密算法、有害信息定义等大量领域。因此,NGN的安全研究应作为基础研究,需要长期努力。