(1) 安全策略需求
安全策略需求要求定义一套规则集,包括系统的合法用户和合法用户的访问权限,说明保护何种信息、以及为什么进行保护。在NGN环境下,存在着不同的用户实体、不同的设备商设备、不同的网络体系架构、不同的威胁模型、不均衡的安全功能开发等,没有可实施的安全策略是很难保证有正确的安全功能的。
(2) 认证、授权、访问控制和审计需求
在NGN不同安全域之间和同一安全域内部,对资源和业务的访问必须进行认证授权服务,只有通过认证的实体才能使用被授权访问实体上的特定资源和业务。通过这一方法确保只有合法用户才可以访问资源、系统和业务,防止入侵者对资源、系统和业务进行非法访问,并主动上报与安全相关的所有事件,生成可管理的、具有访问控制权限的安全事件审计材料。
(3) 时间戳与时间源需求
NGN能够提供可信的时间源作为系统时钟和审计时间戳,以便在处理未授权事件时能够提供可信的时间凭证。
(4) 资源可用性需求
NGN能够限制分配给某业务请求的重要资源的数量,丢弃不符合安全策略的数据包,限制突发流量,降低突发流量对其他业务的影响,防止拒绝服务(DoS)攻击。
(5) 系统完整性需求
NGN设备能够基于安全策略,验证和审计其资源和系统,并且监控其设备配置与系统未经授权而发生的改变,防止蠕虫、木马等病毒的安装。为此,设备需要根据安全策略,定期扫描它的资源,发现问题时生成日志并产生告警。(对设备的监控不能影响该设备上实时业务的时延变化或导致连接中断。)
(6) 操作、管理、维护和配置安全需求
NGN需要支持对信任域、脆弱信任域和非信任域设备的管理,需要保证操作、管理、维护和配置(OAMP)信息的安全,防止设备被非法接管。
(7) 身份和安全注册需求
NGN需要防止用户身份被窃取,防止网络设备、终端和用户的伪装、欺骗以及对资源、系统和业务的非法访问。
(8) 通信和数据安全需求
NGN需要保证通信与数据的安全,包括用户面数据、控制面数据和管理面数据。用户和逻辑网元的接口以及不同运营商之间的接口都需要进行安全保护,信令需要逐跳保证私密性和完整性。
(9) 隐私保证需求
保护运营商网络、业务提供商网络的隐私性以及用户信息的隐私性。
(10) 密钥管理需求
保证信任域与非信任域之间密钥交换的安全,密钥管理机制需要支持网络地址映射/网络地址端口转换(NAT/NAPT)设备的穿越。
(11) NAT/防火墙互连需求
支持NGN中NAT/防火墙功能。防火墙可以是应用级网关(ALG)、代理、包过滤、NAT/NAPT等设备,或者上述的组合。
(12) 安全保证需求
对NGN设备和系统进行评估和认证, 对网络潜在的威胁和误用在威胁、脆弱性、风险和评估(TVRA)中有所体现。
(13) 安全机制增强需求
对加密算法的定义和选择符合ES 202 238的指导[10]。
(14) 其他安全需求
安全管理和不可否认性需求等还处于待研究的状态。
3 NGN安全体系架构
NGN安全体系架构是一个体系,本身很难用一个单一的标准来涵盖,其设计需要满足以下条件:
具有可扩展性、实用性;
基于成熟的安全机制和实现技术;
能够实现应用层、业务层和传输层的分离,不同层次上能够采用不同的安全措施;
安全措施的应用不影响业务的服务质量;
满足网络运营商、业务提供商和用户的安全需求;
能够实现互操作。
NGN在网络架构中引入了多种商业模型,例如,接入网和骨干网可能属于不同的运营商,有不同的安全策略,需要隔离不同层面的安全问题。为此,NGN按照逻辑方式和物理方式,对图1中的网络进行了划分,形成了不同的安全域,每一安全域可以对应着一种特定的安全策略,运营商通过实施各种安全策略对安全域里和安全域间的功能要素和活动进行保护。
安全域可以分为信任域、脆弱信任域和非信任域。对于某一特定的网络运营商,信任域是指不与用户设备直接通信、处于该运营商完全控制之下的安全域,例如骨干网;脆弱信任域是指属于该网络运营商管理但不一定由该网络运营商控制、连接信任域和非信任域的安全域,例如接入网、边界网关;非信任域是指不属于该运营商管理的安全域,例如用户网络、不被信任的其他运营商网络。在不同的安全域里,安全威胁、脆弱性、风险是不同的,因此安全需求也就不一样,网络运营商和业务提供商需要分别制定安全策略,采用各种安全机制的组合,来保证其网络和网络之上端到端用户业务的安全性。
根据NGN分层的思想(如图1所示),NGN安全体系架构,在水平方向上可以划分为传送层安全和业务层安全。传送层和业务层的安全体系架构应相对独立,传送层安全体系架构主要是解决数据传输的安全,业务层安全体系架构主要解决业务平台的安全。例如,电信和互联网融合业务及高级网络协议(TISPAN)规定,传送层采用网络附着子系统(NASS)凭证, 业务控制层采用IP多媒体子系统(IMS)认证和密钥协商(AKA)模式,应用层采用基于通用用户识别模块(USIM)集成电路卡(UICC)的GBA (GBA-U) 模式。
NGN安全的系统架构在垂直方向上可以划分为接入网安全、骨干网安全和业务网安全,从而使得原来网络端到端安全变成了网络逐段安全。在垂直方向上,NGN可以被划分成多个安全域。
接入网通过接入控制部分对用户的接入进行控制,防止非授权用户访问传送网络,并负责用户终端IP地址的分配;骨干网通过边界网关对网络互连进行控制,保证只有被授权的其他网络上的用户面、控制面和管理面才能接入信任域;业务网通过业务控制部分和根据需要通过应用与业务支持部分对用户访问业务进行控制,防止非授权用户访问业务,或授权用户访问非授权业务。
安全域之间用安全网关(SEGF)互联,如图4所示。在每个安全域里,除了SEGF之外,可能还存在SEG证书权威(CA)和互联CA。同一个安全域的SEGF采用IETF安全协议实现域内端到端安全。
