首页 >> 安全 >> 技术交流 >> 正文
 
下一代网络的安全技术
http://www.cww.net.cn   2007年10月16日 09:15    通信世界网    
作 者:滕志猛 吴波 韦银星

    SEGF是安全域边界实体,是防范来自其他安全域攻击的主要网元。它通过将来自其他安全域的流量与信任域内流量进行隔离,要求其他安全域流量必须通过特定的SEGF才能进入信任域,在向信任域里转发来自其他安全域的流量前,必须进行验证,以防止拦截、篡改、拒绝式攻击、地址和身份欺骗、窃听、伪装等安全事件在信任域里的出现。例如,可以根据指定的安全策略,在管理面和控制面上使用接入控制,限制特定用户接入或对特定业务的访问。SEGF需要实现设备级物理安全措施、系统加固、安全信令、OAMP 虚拟专网(VPN)等方式之外,还需要采用防火墙、入侵检测、内容过滤、VPN接入、VPN互连等功能。

    SEGF提供的安全服务包括认证、授权、私密性、完整性、密钥管理和策略实施等。SEGF对于从信任域里发送来的请求,可以采用信任方式,不需要再进行验证。

    4 安全机制

    网络安全机制,就是在安全体系架构下实现这些安全需求,防止未授权的信息采集与信息拦截、非法设备接管与控制、资源与信息的破坏/删除/修改/泄露、业务中断等安全问题的发生。

    4.1身份识别、认证与授权机制

    用户访问网络,需要向网络和业务申明其身份,以便网络和业务能够识别其是否有权限访问所申请的资源和业务。

    目前用于身份识别的技术多种多样,如身份识别模块(SIM)卡、智能卡、用户名/口令、设备序列号、电话号码、标识、令牌、生物特征码、数字证书、消息认证码等。

    在NGN中,存在着不同的接入方式、不同的网络运营商、不同的业务提供商,为了使用户能够无缝透明地使用网络业务,需要在用户与各个网络和业务之间建立一种信任关系。为了对用户进行统一管理,OPENID、OASIS、LIBERTY ALLIANCE等标准组织在开展身份管理(IdM)的研究,ITU-T目前也设置了专门的焦点组(FG),希望在未来能够用统一的身份对各种NGN实体进行管理,如业务提供商、网络运营商、网元、用户设备、用户等。

    此外,当非信任域实体需要访问脆弱信任域实体或通过脆弱信任域实体访问信任域实体时,或者用户终端需要访问非信任域实体时,甚至安全域内部实体互相访问时,根据安全策略设置,可能需要进行单向认证或双向认证,也就是请求访问的实体需要与管理被访问实体的认证者(Authenticator)之间交换凭证(Credentials),Authenticator根据收到的Credentials,采用预先约定的共享密钥方式或X.509证书方式,将资源请求或业务请求与发起请求的网络设备、用户设备和用户关联起来,利用事先存储的该网络设备、用户设备和用户的Credentials,进行身份认证。只有通过身份认证的请求访问实体,才能与被访问实体进行通信。

    同时,根据安全策略的设置,可能需要对该请求访问实体的访问权限进行限定,使得通过认证的请求访问实体只能根据授权使用被访问实体上指定的资源和业务。认证与授权技术非常多,主要包括: IETF PAP、CHAP、EAP、PANA、RADIUS、DIAMETER、LDAP、Kerberos、3GPP AKA、GAA/GBA、IEEE 802.1x等。

    4.2传送安全机制

    在NGN体系架构中,采用VPN技术保证信令信息和OAMP信息的安全。四层VPN技术主要为传输层安全(TLS),三层VPN技术主要为IPsec。其中,TLS是基于客户端服务器模式实现,在传输控制协议(TCP)或流控制传输协议(SCTP)上传送,可以用于各个安全域内,也可以用于不同的安全域之间,能够保证传送信息的私密性和完整性;IPsec在IP层上传送,通常用于信任域内、脆弱信任域内和不同安全域之间,能够在保证传送信息私密性和完整性的同时防止重放攻击。IPsec有多种认证算法,在NGN中,可能采用RFC 2403 HMAC-MD5-96和RFC 2404 HMAC-SHA-1-96中方法,对于其中的密钥,可以采用互联网密钥交换(IKE)实现密钥自动交换。

    通常情况下,NGN中不考虑媒体流的安全问题。如果用户要求对媒体流的安全进行保护,则可以采用安全实时传输协议(SRTP)或简单认证安全层(SASL)技术,能够提供认证、私密性和完整性保护。

    传送安全机制中,为了避免出现重复加密、影响网络性能的现象,不同的技术不能同时使用。

    4.3访问控制机制

    访问控制机制通常与身份识别、认证与授权机制结合在一起,能够有效地防止非授权用户或设备使用网络资源、系统、信息和业务,以及授权用户或设备非法访问未授权的网络资源、系统、信息和业务。

    4.4审计与监控机制

    NGN设备需要对其上发生的所有事件,根据安全策略的要求,记录安全日志,并能够由简单网络管理协议(SNMP)通过IPsec将日志信息发送到指定的服务器上,以便能够评价系统的安全性和分析系统出现的安全问题。NGN设备需要支持日常维护和安全补丁检测与自动安装功能,支持系统自动恢复和回滚功能。NGN设备上需要安装完整性验证代理,当发现问题时,需要上报。NGN可能需要通过OAMP对用户驻地设备-边界元素(CPE-BE)进行管理,此时CPE-BE需要具有同样功能,且信息传送需要通过VPN技术实现。

    NGN网络可能需要为非信任域的用户驻地设备(CPE)提供配置机制。在CPE启动阶段,CPE通过位于脆弱信任域中的设备配置与启动-边界元素(DCB-BE)进行认证,建立传送安全通道,与位于信任域中的CPE配置单元建立联系,获取配置文件。

    4.5密钥交换与管理机制

    密钥生成、存储和交换方式的安全性和证书格式、证书验证方式是信息网络安全性研究的核心内容之一,NGN支持采用预共享密钥或公私密钥对进行加密两种加密方式,支持现有的各种密钥交换与管理机制,主要包括:IETF PKIX、IKEv2、D-H交换、Mikey、ITU X.509、X.akm、手工配置等方式。

    4.6OAMP机制

    NGN具有独立的OAMP IP地址块,每个设备上有物理接口或逻辑接口,在该地址块内分配IP地址,用于OAMP接口。因此,NGN设备将在OAMP接口上直接丢弃从其他IP地址来的OAMP流量,而且将在其他接口上直接丢弃OAMP流量。访问NGN设备上的OAMP接口,需要通过认证;当通过认证的用户访问时,系统将提供日志功能和回滚功能。另外,如果OAMP流量通过非信任区,则需要采用安全措施。

    4.7系统管理机制

    为了规避安全问题,减少网络安全漏洞,NGN上只有得到应用的设备才能存在于网络上;设备上没有使用的端口必须关闭掉;设备上的操作系统必须配置好安全措施,并及时地进行加固,一旦设备供应商提供了安全补丁,在经过网络运营商或业务提供商许可后,需要立即安装;设备上需要配置物理的或逻辑的接入控制措施;设备上应用软件与系统软件相比具有更低的优先级;网络管理系统与被管理实体之间的信息传送需要采用VPN技术实现。

    4.8其他机制

    NGN中,一方面采用了现有的多种安全机制,来满足安全需求,例如,采用加密方法实现隐私保证、通信和数据安全等;另一方面,一些安全机制还有待研究,例如NAT/防火墙穿越安全机制。

[1]  [2]  [3]  [4]  
相关新闻
编 辑:张翀    联系电话:010-67110006-884
[收藏] [打印] [进入论坛] [推荐给朋友]
关键字搜索:NGN  网络安全  
文章评论评论()】
昵称:  验证码:
 
重要新闻推荐
每日新闻排行
企业黄页
会议活动