资源目录
压缩包内文档预览:(预览前20页/共27页)
编号:546491
类型:共享资源
大小:247.17KB
格式:ZIP
上传时间:2015-12-01
上传人:QQ28****1120
认证信息
个人认证
孙**(实名认证)
辽宁
IP属地:辽宁
6
积分
- 关 键 词:
-
电气电子毕业设计论文
- 资源描述:
-
毕业设计38NGN网络安全分析及应对策略,电气电子毕业设计论文
- 内容简介:
-
NGN 网络安全分析及应对策略 第 I 页 目录 目录 . I 摘要 . IV 关键字 . IV Abstract . I Keywords . I 前言 . 1 第一章 NGN 网络发展趋势及体系架构分层模型 . 2 1 1 NGN 网络发展趋势 . 2 1 1 1 我国 NGN 标准发展趋势 . 2 1 1 2 信令融合趋势 . 2 1 1 3 功能融合趋势 . 2 1 2 NGN 网络的体系架构 . 3 1 3 NGN 的分层模型 . 5 1 3 1 控制平面 . 6 1 3 2 管理平面 . 6 1 3 3 数据平面 . 7 第二章 NGN 网络存在的安全问题 . 8 2 1 网络安全问题 . 8 2 2 关键设备安全问题 . 8 2 3 信息安全问题 . 8 2 4 服务质量安全问题 . 9 2 5 网络结构安全问题 . 9 2 6 业务开放安全问题 . 9 2 7 终端网络管理安全问题 . 9 第三章 NGN 网络安全应对策略 .11 3 1 网络隔离 .11 3 2 数据加密 .11 3 3 服务质量体系结构 . 13 3 4 专网安全组网模式 . 13 3 5 安全服务平台的概念模型 . 15 3 5 1 安全服务平面 . 16 3 5 2 全局功能平面 . 16 3 5 3 分布功能平面 . 17 3 5 4 物理平面 . 17 nts NGN 网络安全分析及应对策略 第 II 页 3 6 健全的 NGN 的管理架构 . 17 第四章 结束语 . 21 参考文献 . 22 致 谢 . 23 nts NGN 网络安全分析及应对策略 第 III 页 NGN 网络安全分析及应对策略 摘要 NGN 网络的安全问题主要包括网络安全和用户数据安全两个方面。网络安全是指NGN 网络本身的安全,即保证网络中的媒体网关、软交换机、应用服务器设备不会受到非法攻击。由于 基于 软交换技术 的 NGN 网 选择了 IP 网作为承载网,网络安全问题尤其突出,必须在 IP 网上采用合适的安全策略,以保证软交换网的网络安全。用户数据安全是指用户的账户信息和通信信息的安全,即不会被非法的第 三方窃取和监听。软交换网需采用必需的安全认证策略保证用户账户信息的安全,同时,无论是用户的账户信息还是用户的通信信息的安全均需要 IP 网的安全策略作为保证。 本文重点分析了基于软交换并以 IP 作为承载的 NGN 网络的分层模型、网络安全、 关键设备安全 、 信息安全 、服务质量安全、网络结构安全、业务开放安全、 终端网络管理 安全,并对这些安全问题提出了应对策略的建议。 关键字 : NGN,安全问题,应对策略 nts NGN 网络安全分析及应对策略 第 IV 页 NGN security analysis and response strategy Abstract NGN security issues including network security and user data security. Network security is the security of NGN, which is to ensure the network media gateways, soft switches,network,application server equipment from unlawful attacks. As soft switching technology based on the choice of network NGN IP network as a bearer network,network security is particularly prominent. IP Internet must adopt appropriate security strategy to ensure that the soft switch network Security. User data security is the user account information and communication of information security, that is not illegal wiretapping and theft of third parties. Soft switching network has adopted the necessary safety certification strategy ensures that the users account information security, and whether the user account information, or users of telecommunications and information security will require IP network security strategy as a guarantee. This paper focuses on the analysis and exchange of soft IP as a carrier NGN layered model, network security, network key equipment safety, information security, service quality and safety, structural safety of the network, the opening of safe operations, terminal network management security, those safety problems coping strategies proposal. Keywords: Next Generation Network, Security issues, Strategies nts NGN 网络安全分析及应对策略 第 1 页 前言 NGN 是一个分组网络,它提供包括电信业务在内的多种业务,能够利用多种带宽和具有 QoS 能力的传送技术,实现业务功能与底层传送技术的分离;它允许用户对不同业务提供商网络的自由接入,并支持通用移动性,实现用户对业务使用的一致性和统一性。 NGN 网络的安全问题主要包括网络安全和用户数据安全两个方面。网络安全是指NGN 网络本身的安全,即保证网络中的媒体网关、软交换机、应用服务器设备不会受到非法攻击。由于 基于 软交换技术 的 NGN 网 选择了 IP 网作为承载网,网络安全问题尤其突出,必须在 IP 网上采用合适的安全策略,以保证软 交换网的网络安全。用户数据安全是指用户的账户信息和通信信息的安全,即不会被非法的第三方窃取和监听。软交换网需采用必需的安全认证策略保证用户账户信息的安全,同时,无论是用户的账户信息还是用户的通信信息的安全均需要 IP 网的安全策略作为保证。 nts NGN 网络安全分析及应对策略 第 2 页 第 一 章 NGN 网络 发展趋势及 体系架构 分层 模型 1 1 NGN 网络发展趋势 1 1 1 我国 NGN 标准发展趋势 NGN 技术对中国通信产业的发展非常重要,中国已经从跟踪世界先进技术进入了自主创新时期。目前各个层面、各级领导都希望能进行创新 ,在 NGN 技术上我国是有可能有所创新的。 我国有可能在国际上提出建议和突破的方向包括以下部分:固定移动网络融合架构、软交换演进方向(包括 PSTN、 ISDN 向基于软交换 、 CS 的 NGN 演进的策略和场景、基于软交换的组网架构、软交换的未来演进方向等)、 IMS 在固定网中的应用、 NGN 承载网技术、 NGN 业务、 NAT 穿越技术等。 1 1 2 信令融合趋势 承载网的发展趋势是从电路交换网络向分组交换网络演进,承载层将主要由 IP 网络为主的分组网络实现。传统 IP 网难以满足新业务的需求,由于没有流量工程,通常IP 流按照最短路 径走,这样会导致重负荷链路产生瓶颈。利用 MPLS 和流量工程可以保证网络负荷均衡,使路由器间链路的使用最佳化。因此, MPLS 技术将成为构建 IP 承载网的主流首选方案。承载网和传输网融合有三种不同的模式。 ( 1) 重叠模型:又称客户 -服务层模型,是 ITU 和光互联论坛 (OIF)等国际标准组织所支持的网络演进结构,在这里客户层指承载层,服务层则指传输层。这种模型最适合那些传统的已具有大量 SDH网络基础设施而同时又需要支持分组化数据的网络运营商。 ( 2) 对等模型:又称集成模型,是 IETF 支持的网络演进结构。这种模型较适合 那些新兴的同时拥有光网络和 IP 网的 ISP 运营商,从长远看,也适合于传统的电信运营商。 ( 3) 混合模型:即上述两种模型的混合模型,它采纳了客户 -服务者模型的独立客户层和光传送层控制面的做法,又允许层间交换有限的路由信息。 1 1 3 功能融合趋势 在城域网业务的扩展中,数据业务的流量需求超速增长,利用传统 POS 提供数据接口的方式成本高且传输效率低。 MSTP 将数据业务经过透传处理或经过二层交换,经GFP 的成帧映射、链路容量调整及虚级联处理,映射到 SDH 层面。实现了数据层功能与传输层功能的有效融合,提高传输效率并 降低成本,同时还可提供统一的网络管理,nts NGN 网络安全分析及应对策略 第 3 页 避免了数据网与传输网分别管理的困难。 MSTP 除了满足各类城域数据业务外,还可提供 VPN,满足 2G 业务及 3G 城域传输需求的功能。 MSTP 适应数据业务传输,将部分承载层功能有效映射在传输层,实现这一功能的主要技术有虚级联( VC)、链路容量调整方案( LCAS)、通用成帧规程( GFP)、透传 /二层交换 /内嵌 RPR/内嵌 MPLS 等。现有的数据业务是无连接的。为了能够在 SDH 传送数据业务时保证 QoS,有必要在以太网、 IP 网和 SDH 之间引入一个智能适配层,并通过该智能适配层来处理数据 业务的 QoS要求。智能适配层的实现技术主要有多协议标签交换 (MPLS)和弹性分组环 (RPR)两种。另外,需要考虑与 SDH 保护机制的协调。由于 MSTP 满足数据业务发展的需要,在城域网应用中显现出强大的生命力;另一方面,技术本身的发展,同样需要管理体制的支持, MSTP 技术的发展和应用离不开传输网和承载网部门的相互配合。 1 2 NGN 网络的体系架构 NGN 的目标是不断提高对各种业务的创建、实现和管理的能力。要做到这一点,就需要把业务创建和实现的基础设施与传送基础设施分离。这种分离充分体现在 NGN 的体系架构中,即 业务层和传送层的划分。图 1 是 NGN 的体系架构概要及管理范围。 NGN 的主要特征体现在 14 个方面: nts NGN 网络安全分析及应对策略 第 4 页 图 1 NGN 网络的体系架构 ( 1) 传送分组化。 ( 2) 控制、承载、呼叫 /会话和应用的分离。 ( 3) 业务提供松耦合,通过开放接口互联。 ( 4) 基于业务块的方式,支持多业务和应用 (实时、流媒体、非实时、多媒体等)。 ( 5) 具有端到端业务质量控制的宽带能力。 ( 6) 实现与遗留网络的开放接口互联。 ( 7) 具有移动性。 ( 8) 多业务提供者的访问能力。 ( 9) 多种识别方式。 ( 10) 保持用户感知的业务的一致性。 ( 11) 支持 “ 最后一公里 ” 接入技术的多样性。 ( 12) 支持固网与移动的融合。 nts NGN 网络安全分析及应对策略 第 5 页 ( 13) 实现业务功能与低层传送技术无关。 ( 14) 支持各种管制政策的要求,如紧急通信、安全、隐私权等。 根据对上述高层需求的归纳, NGN 的体系架构划分为 2 个 大 部分:业务层、传送层 ;并 附带有管理平面 。 NGN 业务层提供终端用户业务与应用的控制与管理。这些业务和应用 可以是语音、数据或者视频的,可以是单独的业务,也可以是业务的组合。 NGN 终端用 户的业务可以通过多个业务层的递归调用来实现。 NGN Release1 所提供的业务包含以下 6 类: ( 1) 多媒体业务。 ( 2) PSTN/ISDN 仿真业务。 ( 3) PSTN/ISDN 模拟业务。 ( 4) Internet 接入业务。 ( 5) 公共业务,主要指从管制的角度需要提供的业务,如合法监听业务。 ( 6) 其他业务,主要指由 NGN 网络提供的基于分 组网络的多种数据业务,如虚拟 专网业务。 1 3 NGN 的分层模型 根据 NGN 的特点和基本功能描述,将 NGN 分为业务层、传送层 两 个层次,其功能模型如图 2 所 示。 图 2 NGN 网络分层 业务功能部分, 将业务与控制分离,同时业务控制与承载也各自独立,从而使系统nts NGN 网络安全分析及应对策略 第 6 页 具有基于标准的、开放的体系结构,上层业务与底层网络无关,可以灵活、有效地满足多样的、不断发展的业务需求; 传送功能部分, 承载网和传输网将共同实现下一代网络的传 送 功能,上层的业务功能与底层的承载网和传输网无关。 这 两 层网中的任何一个网又都是由数据平面 、控制平面和管理平面所组成 3。 保证网络安全的必要条件是,这三个网的所有平面都必须是安全的。只有这些平面全部是安全的,网络才能是安全的。 1 3 1 控制平面 控制平面是网络的灵魂,只有控制平面安全才能保证网络的正常运行。威胁控制平面安全的因素主要有三个: ( 1) 节点设备之间的信任关系,一个不可信任的节点设备进入网内,如果允许其交换控制信息,显然会对网络构成极大的威胁。举个例子来说, IP 网内路由器之间路由信息的交换是通过控制平面来实现的 , 如果一个不可信任的路由器进入网内,恶意交换路由信息可将整个网络的路 由搅乱,很显然这将会造成严重的问题。因而,要确保网络的安全,设备之间信任关系的建立是至关重要的。 ( 2) 控制平面、管理平面和数据平面之间的信息隔离 。 特别是数据平面和控制平面之间的信息隔离,控制平面绝对不能受到来自数据平面用户数据的影响。 ( 3) 控制平面、管理平面和数据平面之间必须保证其资源是独立的。管理平面和数据平面绝不能 “ 挤占 ” 控制平面所需要的资源,必须保证控制平面的资源需求 9。 1 3 2 管理平面 管理平面是网络的另一个核心,通常情况下,管理平面和控制平面起着一个互补的作用。例如,网络的 VPN 可以 通过信令来建立 (控制平面 ),也可以通过管理配置 (管理平面 )来实现,在这方面,两者有同等的重要性。当然,网管有五大功能,配置管理仅是其中之一,从这里也可以看出管理平面的重要性,它是构成网络安全的一个重要的环节。 与控制平面相同,威胁管理平面安全的因素也有三个。 ( 1) 管理设备与被管理设备之间的信任关系,一个不可信任的管理设备进入网内,显然会对网络构成极大的威胁。 ( 2) 管理平面、控制平面和数据平面之间的信息隔离。特别是数据平面和管理平面nts NGN 网络安全分析及应对策略 第 7 页 之间的信息隔离,管理平面绝对不能受到来自数据平面用户数据的影响。 ( 3) 管理平面、控制平面和数据平面之间必须保证其资源是独立的。控制平面和数据平面绝不能 “ 挤占 ” 控制平面所需要的资源,必须保证管理平面的资源需求。 与控制平面不同,管理平面还有两个方面的问题需要考虑,这就是人为因素造成的安全问题。人为因素之一是,网络管理员的操作不当或误操作,甚至是窃取管理员权利后的恶意操作。人为因素之二是通过不安全信道 (如通过拨号,用电话的话带数据信道来传输管理命令 )。当然,从严格意义上来说,这不是技术问题,要从行政管理、规章制度、人为因素等方面入手去解决。但这也是一个方面,也是保障网络安全的一 个重要的环节 。 1 3 3 数据平面 数据平面的安全性问题比较复杂,特别是业务网的数据平面,因存在两 种 类 型 业务网 : 一类业务网的数据平面的节点设备对用户数据不作任何处理 (如电话业务网 ),对用户数据进行透传即可。由于 IP 网的不安全性,导致 IPSEC 等加密技术无节制地被滥用,这是用户数据加密的最大误区。另一类业务网的数据平面的节点设备对用户数据作处理(如电子信箱、 web 业务等 ),其问题要复杂一些 。 业务网中的若干节点设备要对用户信息数据进行存储和处理加工等。例如, E-mail 系统中要对用户的信件进行存储、分析和转发 ;又如 Web 系统要对用户交互的数据信息进行处理,它不仅要将用户数据分组打开,还要进行分析处理并作出反应;再如流媒体系统中片源要加水印和其它数字版权保护技术,会议系统中要对多幅图像进行合成。在所有这些场合,用户数据中的内容数据将会对业务网数据平面的节点设备构成安全上的威胁,诸如可能受到病毒攻击的威胁及受到黑客攻击的威胁等。由于这些可能受到攻击的业务网节点和用户流是密不可分的,是整个数据流环节中的一个环节,缺了它业务流环节就不完整了。对于这些节点设备而引发的业务安全问题需要进行专门的考虑 。 对数据平面而言,海量 数据攻击 (DOS)、病毒攻击和垃圾信息泛滥的作用是相同的,总体上表现为通信网资源耗尽导致网络出现安全问题 2。因而,将数据平面分为若干信息隔离、资源独立的子数据平面,可有效阻止不同业务网之间因资源耗尽而带来的安全威胁 。 nts NGN 网络安全分析及应对策略 第 8 页 第 二 章 NGN 网络存在的安全问题 2 1 网络安全问题 由于缺乏合理有效的安全措施,以 IP 为基础的因特网网络安全事件十分频繁 。 黑客凭借网络工具和高超的技术,攻击网络上的关键设备,篡改上面的路由数据、用户数据等,导致路由异常,网络无法访问 。基于软交换的 NGN 网络采用 IP 分组网作为 传输承载,而且软交换网络提供的业务大部分属于实时业务,对网络的安全可靠性要求更高。当网络由于病毒导致带宽大量被占用,访问速度很慢甚至无法访问时,网络就无法为用户提供任何服务。 2 2 关键设备安全问题 软交换网络中的关键设备包括:软交换设备、媒体网关、信令网关、应用服务器、媒体服务器等。由于下一代网络选择分组网络作为承载网络,并且各种信息主要采用 IP分组的方式进行传输, IP 协议的简单性和通用性为网络上对关键设备的各种攻击提供了便利的条件。目前对网络设备常见的攻击有: ( 1) DoS 和 DDoS 攻击 DoS 攻击: Denialof Service,也就是 “ 拒绝服务 ” 的意思,指通过过量的服务从而使软交换网络中的关键设备陷入崩溃的边缘或崩溃。 DDoS 攻击: Distributed Denialof Service,即 “ 分布式拒绝服务 ” 。它是一种基于 DoS 的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式。它通过入侵一些具有漏洞的主机,并操控这些受害主机,以其为攻击平台向软交换网络中的关键设备发起大量的 DoS 攻击,从而导致软交换网络中的关键设备因无法处理过多的服务请求而瘫痪 9。 ( 2) 利用型攻击 此种攻击方式以通过窃取用户密码等方式获取关键设备的控制权为目的,主要包括口令猜测、特洛伊木马和缓冲区溢出等手段。 2 3 信息安全问题 信 息安 全主要包括软交换与终端之间信令消息的安全、用户之间媒体信息的安 全 以及用户私有信息(包括用户名、密码等)的安全。由于软交换网络采用开放的 IP 网络传输信息,这样在网络上传输的数据就很容易被监听,如果软交换与终端之间的信令消息被监听,有可能导致终端用户私有信息的泄露,导致监听者可以利用监听到的信息nts NGN 网络安全分析及应对策略 第 9 页 伪造成合法用户接 入网 络;如果用户之间媒 体信息被恶意监听,将导致用户私密信息的泄露。 2 4 服务质量安全问题 IP、 ATM 都是可供 NGN 网络选择的技术,其中 ATM 的 QoS 问题解决得比较彻底,对实时性较高的业务会比较有利。但是,它由于是面向连接的技术,信令比较复杂,另外,ATM 的问题很多并没有解决。因此,未来的承载网采用 IP 的可能性极大。但是, IP 网本身亦有许多问题需要解决,如服务质量 QoS 如何保证?目前的分组数据网是为传送非实时突发性数据业务而设计的,能否为下一代网络所承载的话音及视频等实时业务提供所需的 QoS 服务保证,是下一代网络 发展所面临的主要问题。 业务层端到端服务质量的提供离不开承载网服务质量的保障。 NGN 网络的承载网是基于分组网络 (主要是 IP 网 ),其特征是按照尽力而为策略提供业务的无连接网络 ,故存在先天性的安全问题 5。 提高服务质量( QOS),目的是为了防止未经认证者使用系统资源并且防止由于未经认证的数据流产生阻塞而拒绝服务。 2 5 网络结构安全问题 NGN 在组网设计时并没有能完美地解决安全的问题 , 在对核心控制设备的安全保护、内部网络的屏蔽安全风险限制、代理机制、安全区域隔离等方面还需要进行进一步的研究 , 在组网上提高安全性。 2 6 业务开放安全问题 与网络能力开放类似, NGN 业务能力的开放也带来了一系列业务层特有的安全问题。如采用什么方法进行业务和网络能力提供方间的认证、数据的加密算法、应该采用什么方法进行权限控制等具体问题没有规范化,而业务能力开放对上述安全问题的要求更高,都需要相应的规范化的安全机制进行解决。 2 7 终端网络管理安全问题 大量终端设备的引入使得公开 IPv4 地址匮乏的矛盾更加突出。除地址问题外,如何实现对大量终端设备的网络管理也是 NGN 网络大规模商用所面临的难题。配置管理是网络管理的重 要组成部分。与传统 PSTN 终端不同, NGN 网络中的终端都是智能终端,除需要进行 IPv4 地址配置外,还需要进行功能配置等配置管理操作。目前,采用 DHCP 方式配置终端 IPv4地址和采用 TFTP服务器自动下载配置文件可以缓解静态配置所带来的nts NGN 网络安全分析及应对策略 第 10 页 巨大工作量问题,然而,终端的多样化给自动配置带来了巨大的挑战,也给终端设备提出了更高的要求。此外,终端的网络连接状态故障告警也是网络管理的重要内容。因此,如何在一个平台下保证终端多样化接入,以及保证网络故障定位的即时率和准确率是NGN 网络运营所面临的关键问题。 nts NGN 网络安全分析及应对策略 第 11 页 第 三 章 NGN 网络安全应对策略 3 1 网络隔离 把 NGN 与其他网络进行物理隔离,即在物理上单独构建一个独立的网络,可以有效规避外部攻击,但是这种建网与维护成本显然较高,所以这种方法并不可取。近年来,随着 VPN 技术的成熟,在同一个物理网络上构建不同的 VPN 已经实际可行,可以采用MPLS、 VLAN 等 VPN 技术从分组数据物理网络中划分出一个独立逻辑网络作为 NGN 虚拟业务网络,把 NGN 从逻辑上与其他网络进行隔离,其他网络用户无法通过非法途径访问 NGN网络,将可以避免来自其他网络特别是 Internet 网络上用户对 NGN 网络的攻击与破坏。 3 2 数据加密 为了防止 NGN 中传送的信令和媒体信息被非法监听,可以采用目前互联网上通用的数据加密技术对信令流和媒体流进行加密。 对于 IP 网络上的信令传输,目前提出的主要安全机制是 IPSec 协议。在 Megaco( Media Gateway Control) 协议规范( RFC3015)中,指定 Megaco 协议的实现要采用IPSec 协议保证媒体网关和软交换设备之间的通信安全 1。在不支持 IPSec 的环境下,使用 Megaco 提供的鉴权头( AH)鉴权机制对 IP 分组实施鉴权。在 Megaco 协 议中强调了如果支持 IPSec 就必须采用 IPSec 机制,并且指出 IPSec 的使用不会影响 Megaco 协议进行交互接续的性能。 IPSec 是 IPv4 协议上的一个应用协议, IPv6 直接支持 IPSec选项。 对于媒体流的传输,采用对 RTP(Realtime Transport Protocol)包进行加密,目前主要采用对称加密算法对 RTP 包进行加密。 对于用户账号、密码等私有信息,目前采用的加密算法主要是 MD5,用于用户身份的认证。 IPSec 体系提供标准的、安全的、普遍的机制。可以保护主机之间、网关之间和主机与网关 之间的数据包安全。由于涉及的算法为标准算法,故可以保证互通性,并且可以提供嵌套安全服务。整个 IPSec 协议体系可以表示为图 3 所示 : nts NGN 网络安全分析及应对策略 第 12 页 图 3 IPSec 协议体系 IPSec 协议主要由 AH(认证头)协议, ESP(封装安全载荷)协议和负责密 钥管理的 IKE(因特网密钥交换)协议三个协议组成。 认证头( AH)协议对在媒体网关 /终端设备和软交换设备之间传送的消息提供数据源认证,无连接完整性保护和防重放攻击保护。数据完整性可以通过校验码( MD5)来保证;数据身份认证通过在待认证数据中加入一个共享密钥来实现 ; 报头 中的序列号可以防止重放攻击。 解释域( DOI)将所有的 IPSec 协议捆绑在一起,是 IPSec 安全参数的主要数据库。 IPSec 支持两种运行模式:传输模式和隧道模式。传输模式为上层协议提供安全保护,保护的是 IP 包的有效载荷,通常该模式用于端对端的安全通信。隧道模式由于是对整个 IP 包提供保护,故在 IP 包上再加报头,从而可以加强保护,通常该模式使用在至少一端是安全网关的时候。 AH 协议不对 IP 数据报进行加密,因此不提供机密性保护。但由于 AH 提供数据完整性校验、身份认证和防重放保护,因此提供 IP 认证,也可 以为上层提供保护。 ESP 协议除了提供数据完整性校验、身份认证和防重放保护外,同时提供加密。 ESP 的加密和认证是可选的,要求支持这两种算法中的至少一种算法,但不能同时置为空。根据要求, ESP 协议必须支持下列算法: nts NGN 网络安全分析及应对策略 第 13 页 ( 1)使用 CBC 模式的 DES 算法 ( 2)使用 MD5 的 HMAC 算法 ( 3)使用 SHA-1 的 HMAC 算法 ( 4)空认证算法 ( 5)空加密算法 AH 协议和 ESP 协议在使用中都涉及到密钥管理。 IKE 协议主要在通信双方建立连接时规定使用的 IPSec 协议类型、加密算法、加密和认证密钥等属性,并负责维护。 IKE采用自动模式进行管理, IKE 的实现可支持协商虚拟专业网( VPN),也可从用于在事先并不知道的远程访问接入方式。 如果低层协议不支持 IPSec,则应建议采用过渡性 AH方案,过渡性 AH方案是在 H.248协议头中定义可选的 AH 头来实现对协议连接的保护,过渡性 AH 方案只能提供一定程度的保护,例如该方案不能提供防窃听保护。 3 3 服务质量体系结构 IP 服务质量体系结构主要有 IETF 建议的 IntServ(Integrated Services)体 系和DiffServ(Differentiated Services)体系。 IntServ 模型使用资源预留协议 (RSVP),在传送数据之前,根据业务的服务质量需求进行网络资源预留,从而为改数据流提供端到端的服务质量保证。区分服务的基本思想是将用户的数据流按照服务质量要求划分等级,级别高的数据流在排队和占用资源时比级别低的数据流有更高的优先级。区分服务只包含有限数量的业务级别,状态信息数量少、实现简单、扩展性好。采用 DiffServ技术 来改善 互联网流量对 NGN 业务的冲击 。 根据实际情况混合采用以上技术 , 在骨干层使用 MPLS VPN 技术,城域网内使用 DiffServ 技术及部分建设专用网络。在与互联网共用设备的节点,根据 NGN 承载的实体,分别将骨干网上 NGN VPN 的 LSP(Layered Service Provider), NGN 业务的二层 VLAN, NGN 业务的三层 IP 地址的优先级字段都设置为最高级别,网络节点通过优先级字段进行报文分类、流量整形、流量监管和队列调度,从而实现对 NGN 业务高优先级的处理,最大程度减少互联网的突发特性对 NGN 业务的冲击。另外,专用设备的建设用以保障在 NGN 业务量大的区域,隔离互联网对 NGN 业务的影响。 3 4 专网安全组网模式 如图 4 示,该组网模式的思路是将 NGN 关键网络设备如 SS(Soft Switch)、nts NGN 网络安全分析及应对策略 第 14 页 SG(Signaling Gateway)和大中型媒体网关 TG(Trunk Gateway)、 AG(Access Gateway)等通过安全的数据通道技术如 MPLS VPN、 VLAN, 或专用数据链路 , 或结合 MSTP(Many Services Transport Plat)传输技术组成一个安全的内部网络。除了部署于端局的 AG外 ,对需要保证安全的 , 容量达到一定规模的大客户方部署的 AG 也可以通过该种方式组网 8。分散的小型设备或分散的用户如 IAD(Intergrated Access Device)和 SIP(Session Initialization Protocol)用户则通过公用 IP 网接入。 图 4 专网安全组网图 如采用 MPLS VPN 技术 , SG、 TG 接入宽带 IP 网的 PE 路由器在同一机房的可直接接入 NGN 控制网的局域网 , AG 可通过二层交换机汇聚后再接入 PE 路由器 , 在交换机上可以采用物理或逻辑接口 VLAN 来隔离 NGN 业务和原有的数据业务 , 由城域网骨干 /汇聚层将接入层不 同的业务通过 PE 映射到骨干层中的 MPLSVPN。也可以通过交换机和路由器为 SS、 SG、 TG 和 AG 等设备的通信组建专网。专用的数据通信网可以保证快速的数据转发 ,高安全性 , 并能一定程度上保证语音和多媒体通信所需的 QoS。 如采用 MSTP 技术 , NGN 控制中心与 AG 通过 MSTP 组建一个安全的专网。在 MSTP 上为各节点间的链路配置相应的传输带宽 , 对流量较大的节点间配置直通的传输通道 , 以提高网络的效率。通过 MSTP 建立专网 , 可以实现带宽保证 , 低时延和低丢包率 , 同时还具有 50ms 倒换时间的保护措施 , 配置比较简单 , 可 以方便地增加容量 , 在性价比方nts NGN 网络安全分析及应对策略 第 15 页 面也具有一定的优势。 分散的 IAD 和 SIP 用户通过公用 IP 网接入该专网 , 采用公有 IP 地址 。 专网上的设备采用私有 IP 地址 , 运营商必须对整个网络进行仔细的 IP 地址规划 。 IAD 和 SIP 用户与 AG、 TG 的用户互通即专网与公用 IP 网上的用
- 温馨提示:
1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2: 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
3.本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
人人文库网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
川公网安备: 51019002004831号