一、引言 下一代網——NGN是當前業界廣泛討論的熱點與焦點。當前,對NGN討論中受關注的問題有很多,但是安全、服務質量、商業模式等問題一直是最受關注的焦點之一。由於當前IP網絡安全存在問題:網絡經常中斷、服務難以保證質量、病毒肆虐、黑客橫行、垃圾郵件鋪天蓋地、有害信息來源難以追查,因此出於安全性考慮NGN能否基於IP甚至能否基於無連接分組網都受到質疑。本文主要就IP即無連接分組網絡對NGN的承載討論安全問題。 二、NGN的提出與定義 當前電信網絡雖然能夠很好地支持電話業務以及互聯網業務,但是用戶所需求的多媒體(音頻、視頻、圖像、動畫、數據)業務一直沒有提供。運營商已經嘗試了使用目前已經擁有的各種通信網絡試圖向用戶提供多媒體業務,但是由於種種原因這些努力均沒有獲得很大的成功。因此必須發展下一代網NGN來滿足公眾對多媒體業務發展的需求。 NGN是因多媒體業務的需求而提出,不是指僅僅提供多媒體業務的業務網。雖然當前對NGN有不同的理解和定義,但是通常我們認為廣義上的NGN(下一代網絡)是一個從上到下完整的概念。當前的共識的NGN是指以軟交換為代表的,能夠為公眾大規模靈活提供視訊話音數據等多種通信業務,以分組交換為業務統一承載平台,傳輸層適應數據業務特征及帶寬需求,通信運營商相關,可運營、維護、管理的通信網絡。 三、NGN安全分層與含義 1.安全的含義 狹義的信息安全特指信息加密、加密算法等內容。一般意義的信息安全通常指信息在采集、傳遞、存儲和應用等過程中的完整性、機密性、可用性、可控性和不可否認性。為實現這些信息安全,常需要作的工作有: (1)制定信息安全管理機制,實現信息安全策略; (2)制定信息安全評測標准來評估和劃分安全等級: (3)使用安全管理、產品和網絡來保障采集、傳遞、存儲和應用時的機密性、完整性、可用性、可控性、不可否認性; (4)應用檢測機制來獲取當前的安全狀態: (5)采用故障和災難恢復機制來解決出現的問題。 通信網絡安全是指信息在使用通信網絡提供的服務進行傳遞的過程中通信網絡自身即承載和業務網的可靠性、生存性:網絡服務的可用性、可控性;信息傳遞過程中信息的完整性、機密性、不可否認性以及中華人民共和國電信條例第57條所規定的相關內容的意識形態安全。 2.NGN的分層 我們所說的下一代網——NGN無疑是通信網絡信息傳遞安全分層。從圖1可以看出,網絡安全承載與業務網絡安全通常包括承載與業務網絡安全,網絡服務安全以及信息傳遞安全。通信網絡安全通常不保證意識形態安全,需要技術手段例如合法監聽等來支持意識形態安全。 (1)承載與業務網絡安全包括網絡可靠性與生存性。網絡可靠性與生存性依靠環境安全、物理安全、節點安全、鏈路安全、拓撲安全、系統安全等方面來保障。這裡承載與業務網是擁有自己節點、鏈路、拓撲和控制的網絡,例如傳輸兩、互聯網、ATM網、幀中繼網、DDN網、X.25網、電話網、移動通信網、支撐網等電信網絡。 (2)網絡服務安全包括服務可用性與服務可控性。服務可控性依靠服務接入安全,服務防否認、服務防攻擊等方面來保障。服務可用性與承載與業務網絡可靠性以及維護能力等相關。服務可以是網絡提供的DDN專線、ATM專線、話音業務、VPN業務、Internet業務等。 (3)信息傳遞安全包括信息完整性、機密性和不可否認性。信息完整性可以依靠報文鑒別機制例如哈希算法等來保障:信息機密性可以依靠加密機制以及密鑰分發等來保障:信息不可否認性可以依靠數字簽名等技術保障。 (4)意識形態安全是指傳遞的信息不包含中華人民共和國電信條例第57條所規定內容。第57條規定,不得利用電信網制作、復制、發布、傳播含有違反國家憲法、危害國家安全,洩露國家機密,顛覆國家政權,破壞國家統一、損害國家榮譽和利益、煽動民族仇恨,民族歧視,破壞滿足團結等內容。 四、NGN安全問題分析 1.NGN可靠性與生存性分析 網絡可靠性是指網絡在使用中維持連通性的能力,體現在網絡節點的連通性上。當前,網絡可靠性很難定量衡量,網絡可靠性在一定程度上決定網絡提供服務的可用性與節點可靠性、鏈路可靠性相關,由環境安全、物理安全、節點安全、鏈路安全、拓撲安全、系統安全等方面來保障。網絡生存性是衡量網絡抵御破壞能力的一般性概念。引起破壞的原因有自然災害、人為破壞(包括戰爭)及故障等。所以網絡生存性研究范圍很廣。網絡生存性可以用生存性參數L來度量:定義L=網絡發生故障後的業務量/網絡發生故障前的業務量。 (1)網絡的可靠性與生存性對於用戶的體現是服務的可用性,即對用戶提供的網絡服務的服務質量。但是NGN網絡的生存性和可靠性不完全等同於網絡提供服務的服務質量。因為網絡服務的服務質量一方面依賴於網絡的可靠性與生存性,另一方面依賴於對提供業務的資源保證。可靠性和生存性很好的網絡提供的服務不一定能保證服務質量。網絡的可靠性與生存行取決於網絡拓撲的設計網絡節點的有效性、環境安全、物理安全、鏈路安全以及相關的系統安全等多個因素。 電話網絡的高可靠性和高生存性一方面通過提高節點設備—程控交換機的可靠性來獲得,另一方面通過設備之間的雙歸屬連接等冗余拓撲設計來獲得。當前IP網絡設備能節點可靠性較差,全網可靠性通過動態路由即網絡自愈來獲得。由於IP網絡盈利能力較差,因此除核心節點外較少作雙歸屬等冗余連接。所以現有IP網絡表現出的可靠性和生存性通常較差:與電話交換機相比路由器經常宕機,並且路由器的宕機可能影響很大范圍的業務。 (2)網絡的可靠性與生存性還與網絡與用戶的隔離相關。在電話網中用戶信令與網絡信令完全隔離,用戶與網縫用戶除了濫用業務以外不可能對網絡或者信令發起攻擊。而且濫用業務還面臨著高額的費用。在IP網中路由信息與用戶數據不隔離,用戶與網絡設備也不隔離。雖然現有路由協議都使用認證:將用戶與信令一定程度邏輯隔離,但是用戶可能通過對網絡設備的攻擊來影響網絡的可靠性。雖然管理良好的網絡可以減小甚至消除這種可能性,但是由於歷史原因,多數網絡設備還在這種威脅中。因此事實上現有大多數IP網絡可靠性與生存性較差。
雖然ATM網絡采用基於統計復用的信元交換,但是由於ATM節點可靠性較高、ATM網絡冗余設計較好、現有ATM用戶與網絡相隔離,UNI與NNI相隔離,ATM網絡的生存和可靠性被普遍認可。 由上面分析可以看出,,網絡的可靠性生存性與是否采用分組無關,與是否基於連接無關。網絡可靠性生存性與節點的可靠性、鏈路的可靠性、網絡自愈能力、網絡拓撲設計、網絡與用戶的隔離、UNI與NNI的隔離等因素相關。因此,如果NIN基於現有IP設備與網絡設計管理理念的NGN來設計,可靠性與生存性肯定不盡人意,但是不能因此否定IP技術承載NGN的可靠性與生存性,更不能因此懷疑基於無連接分組技術NGN的可靠性與生存性。 2.NGN服務可控性、可用性分析 由於用戶使用的是網絡提供的服務,所以可用性針對服務來衡量。可用性是能定量衡量的,用可用性性能來度量。有幾種不同的定義都可定量衡量服務可用性。實用的可用性定義是系統能正常提供業務的時間和全部工作時間之比。例如一部萬門程控交換機,一年之內,由於各種原因引起停機,不能提供業務總的時間50min(能正常提供業務的時間525 550min),可用性=99.99%。該實用的可用性定義用於單個用戶也是有效的。例如一個固定電話用戶可以享用的可用性不低於99.9%。又如,某用戶租的一條2Mbit/s專線,合同中規定一年不可用時間為50min,其可用性=99.99%。 服務的可控性是指網絡提供服務的可管理性和可運營性。服務可控性通常包括下列內容:接入網絡使用網絡所提供服務的用戶是經過授權的;網絡為用戶提供約定的服務;當用戶違反約定或者危害網絡安全時網絡可以選擇停止為用戶服務:用戶使用網絡的授權和非授權行為都可以追查。 不同的通信網絡服務提供不同等級的服務可控性。例如DDN專線是點到點業務,網絡對該業務幾乎不提供服務控制。連接專線兩端的設備可以自由通信。專線兩端的設備自身來認證對方。在電話網絡中網絡對通信的電話終端端口及其對應的電話號碼計費。網絡記錄電話號碼相互通話紀錄。電話網不負責電話內容及其合法性。由於用戶信令與網絡信令分離,除非電話交換機過載癱瘓,否則用戶不會危害網絡安全。 業務的可用性取決於網絡的可靠性和運維能力。網絡運維能力取決於網絡提供的運維技術手段、運維人員的技術水平以及企業積累的運維經驗,應該來說與分組網絡還是電路網絡無關。運維能力也與是否基於連接無關。現有的IP網運維水平相對較低,影響了業務的可用性。 業務的可控性體現在服務接入安全,服務防否認、服務防攻擊、服務防濫用等方面。在服務接入安全,服務防濫用服務方否認方面,基於連接的承載在先天上優於基於非連接的承載。因為每次連接都是用戶請求建立的,用戶深知會因此付費,會被記錄在案,連接建立後也是用戶獨占使用。而基於非連接的分組方式是永遠在線,接入服務商很難為用戶所有行為作日志,用戶也不認可流量計費,內容計費可能使計費方與接入提供者分離。因此,在分組服務可控性方面基於連接的方式優於非基於連接的方式。 在安全性方面只有在接入業務可控性方面,在現有條件下分組層業務基於連接的方式優於非基於連接的方式。 3.NGN信息傳遞安全分析 信息完整性是指確認發送、收到或存儲的數據是完
