版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)
文檔簡介
1、<p><b> 摘 要</b></p><p> 本文首先從NGN的定義、特點、網(wǎng)絡(luò)架構(gòu)、系統(tǒng)工作流程等幾個方面做簡單介紹。然后以互聯(lián)網(wǎng)和傳統(tǒng)電信網(wǎng)的安全需求為研究基礎(chǔ),對NGN的安全需求進行分析研究,指出NGN的安全需求是在互聯(lián)網(wǎng)和傳統(tǒng)電信網(wǎng)的安全需求基礎(chǔ)上的進一步提升;通過NGN的可靠性與生存性、服務(wù)可控性、可用性、信息傳遞安全等方面來具體分析了NGN的安全問題。通過介紹
2、傳統(tǒng)網(wǎng)絡(luò)的安全解決方案和這些傳統(tǒng)解決方案在應(yīng)對NGN的安全問題中所呈現(xiàn)出的局限性。針對NGN中出現(xiàn)的安全威脅,提出相對比較完整的NGN安全體系框架,并且提出了一些特別的防御措施、合法監(jiān)聽的原理和可行性、入侵檢測的基本原理,主要包括面對的威脅、分類檢測的方法及其關(guān)鍵技術(shù)。</p><p> 本文運用比較全面的視角審視了NGN的安全問題。其中NGN安全體系是本文的創(chuàng)新點。該安全體系在充分考慮了NGN安全需求的前提下
3、,提煉出傳統(tǒng)網(wǎng)絡(luò)的安全解決方案中的精髓,彌補NGN安全上存在的漏洞,解決NGN可能面臨的安全威脅。本文同時提出了NGN安全防御的實現(xiàn)思路,重點提出了合法監(jiān)聽在NGN的安全解決方案中的重要性,闡述了合法監(jiān)聽的基本原理、可行性以及所面臨的困難,為以后更深入的研究奠定了基礎(chǔ)。</p><p> 關(guān)鍵詞: NGN,安全需求,安全威脅,安全體系,防火墻,加密,入侵檢測,入侵防護,反病毒,合法監(jiān)聽</p>&
4、lt;p><b> Abstract</b></p><p> First of all, this paper simply introduced the next generation network (NGN), such as the definition, characteristics, network frames and so on. Then, this thes
5、is try to analyze and research the safety issues which NGN may face and the solve plans comprehensively. It includes following aspects: NGN safe requests, safety challenge that NGN may face, solving plans of NGN safety b
6、ased on the traditional plans, NGN safety system, NGN defend measures, NGN's legal monitor and so on.The security requir</p><p> This paper studies NGN security problems in a comprehensive view. Such a
7、conclusion is drawn that the traditional security solution cannot resolve NGN security problems entirely because of the differences of requirement, although it is useful in some aspects. At present, it is the greatest in
8、novation on the NGN security system. </p><p> Keywords:NGN,security requirement,security threat,security framework, firewall,encrypt,IDS,IPS,virus,lawful monitor.</p><p><b> 目錄</b>
9、;</p><p><b> 1 前言1</b></p><p> 2 下一代網(wǎng)絡(luò)(NGN)簡介2</p><p> 2.1 基本概念2</p><p> 2.2 NGN的特點3</p><p> 2.3 NGN的網(wǎng)絡(luò)架構(gòu)4</p><p>
10、 2.4 NGN的主要技術(shù)5</p><p> 3 NGN安全解析6</p><p> 3.1 網(wǎng)絡(luò)安全分析6</p><p> 3.1.1 軟交換10</p><p> 3.1.1.1 軟交換可以提供哪些主要業(yè)務(wù)10</p><p> 3.1.1.2 軟交換業(yè)務(wù)提供方式11</
11、p><p> 3.1.1.3 軟交換與現(xiàn)有網(wǎng)絡(luò)的互通13</p><p> 3.1.2 互聯(lián)網(wǎng)安全分析14</p><p> 3.1.3 電信網(wǎng)絡(luò)安全分析14</p><p> 3.1.4 NGN安全分析14</p><p> 3.2 傳統(tǒng)網(wǎng)絡(luò)安全解決方案分析16</p><
12、;p> 3.2.1 防火墻技術(shù)17</p><p> 3.2.2 入侵檢測技術(shù)18</p><p> 3.2.3 入侵防御技術(shù)19</p><p> 3.2.4 應(yīng)用信息安全保護機制20</p><p> 3.2.5 其他相關(guān)技術(shù)21</p><p> 3.3 傳統(tǒng)安全解決方案在
13、解決NGN安全問題的局限性22</p><p> 4 NGN的安全問題24</p><p> 4.1 黑客攻擊24</p><p> 4.1.1 DOS/DDOS攻擊24</p><p> 4.1.2 其他常見黑客攻擊25</p><p> 4.2 VOIP中的安全問題26</p&
14、gt;<p> 4.2.1 VoIP自身的缺陷26</p><p> 4.2.2 基于開放端口的DoS攻擊26</p><p> 4.2.3 服務(wù)竊取防盜打27</p><p> 4.2.4 媒體流的竊聽27</p><p> 4.2.5 小結(jié)27</p><p> 5
15、NGN安全體系研究28</p><p> 5.1 安全體系框架研究28</p><p> 5.2 安全防護措施30</p><p> 5.2.1 系統(tǒng)加固30</p><p> 5.2.2 安全核心:加密技術(shù)31</p><p> 5.2.3 電子認(rèn)證是安全的關(guān)鍵31</p>
16、<p> 5.2.4 入侵檢測技術(shù)32</p><p> 5.2.5 攻擊追蹤系統(tǒng)33</p><p> 5.2.6 網(wǎng)絡(luò)反病毒技術(shù)33</p><p> 5.2.7 關(guān)于安全的態(tài)度和管理33</p><p> 5.3 合法監(jiān)聽34</p><p><b> 6
17、 總結(jié)38</b></p><p><b> 致謝41</b></p><p><b> 參考文獻(xiàn)42</b></p><p><b> 1 前言</b></p><p> 下一代網(wǎng)絡(luò)——NGN是當(dāng)前業(yè)界廣泛討論的熱點與焦點。它是一個目標(biāo)網(wǎng)絡(luò),代表了
18、一種寬帶化、光纖化、大容量、包交換、數(shù)據(jù)化、層次化、呼叫承載分離、快速開發(fā)業(yè)務(wù)等的理想網(wǎng)絡(luò)。隨著固定和移動的融合以及整個電信網(wǎng)全I(xiàn)P化演進的趨勢,移動中的3G、4G網(wǎng)絡(luò)的發(fā)展在很多方面也應(yīng)用了NGN的技術(shù)。下一代網(wǎng)絡(luò)的基本理念是業(yè)務(wù)、承載和控制三者分離,以IP分組為特性的下一代網(wǎng)絡(luò)的主要技術(shù)特征是開放性、標(biāo)準(zhǔn)性、分層和融合。NGN因為多協(xié)議、多接口、多層面、多類型設(shè)備和靈活可變的開放性特點,特別強調(diào)網(wǎng)絡(luò)體系、架構(gòu)和模型的重要性。安全、服
19、務(wù)質(zhì)量、商業(yè)模式等問題一直是當(dāng)前對NGN的討論中最受關(guān)注的焦點之一。由于IP網(wǎng)絡(luò)安全存在問題:網(wǎng)絡(luò)中斷、服務(wù)難以保證質(zhì)量、病毒肆虐、黑客橫行、垃圾郵件、有害信息來源難以追查, 因此如何在安全性脆弱的IP網(wǎng)絡(luò)中提供安全可靠的網(wǎng)絡(luò)服務(wù)是一個急需解決的問題。本文就是在基于互連網(wǎng)和電信網(wǎng)的基礎(chǔ)上對NGN的網(wǎng)絡(luò)安全和安全技術(shù)進行研究和分析。</p><p><b> 1:前言。</b></p&
20、gt;<p> 2:重點分析了NGN的基本概念、特點、網(wǎng)絡(luò)架構(gòu)、主要技術(shù)、現(xiàn)狀以及發(fā)展趨勢。</p><p> 3:解析NGN的安全問題。通過對互聯(lián)網(wǎng)和電信網(wǎng)的安全問題進行分析,在了解NGN的安全需求基礎(chǔ)上,分析NGN特殊的安全需求問題。本章也介紹傳統(tǒng)網(wǎng)絡(luò)的安全解決方案,同時也指出了傳統(tǒng)網(wǎng)絡(luò)的安全解決方案在解決NGN的安全問題中所呈現(xiàn)出來的局限性。</p><p> 4
21、:研究NGN存在的安全問題,重點分析黑客分析安全問題。</p><p> 5:提出解決NGN安全問題的安全體系框架及其實現(xiàn),并提出了一系列安全防護措施,重點研究了合法監(jiān)聽的原理以及可行性。</p><p><b> 6:總結(jié)。</b></p><p> 2 下一代網(wǎng)絡(luò)(NGN)簡介</p><p><b&g
22、t; 2.1 基本概念</b></p><p> 從不同的角度考慮,答案是不同的。</p><p> 從通信網(wǎng)絡(luò)的發(fā)展來看,下一代網(wǎng)絡(luò)是更加簡單,組網(wǎng)更加靈活,網(wǎng)絡(luò)的構(gòu)架更加方便,可以提供更加寬帶的,效率更高,質(zhì)量更好,更加安全的網(wǎng)絡(luò);</p><p> 從技術(shù)發(fā)展的角度來看,下一代網(wǎng)絡(luò)應(yīng)該是基于IP技術(shù)的。</p><p&
23、gt; 從業(yè)務(wù)開展的角度來看,下一代網(wǎng)絡(luò)是適宜開展多業(yè)務(wù)(包括話音,數(shù)據(jù)、特別是高速數(shù)據(jù),視頻)有利于各種業(yè)務(wù)的,即多業(yè)務(wù)的平臺,適宜網(wǎng)絡(luò)和行業(yè)的網(wǎng)絡(luò)(例如電信網(wǎng)絡(luò)、計算機網(wǎng)絡(luò)和廣播電視網(wǎng)絡(luò))融合,甚至是直接完成三網(wǎng)融合的網(wǎng)絡(luò);</p><p> 從運營者的角度來看,在電信業(yè)務(wù)由于適應(yīng)經(jīng)濟和社會發(fā)展,而取得高速度、高利潤之后,由于用戶的ARPU值增加緩慢,甚至降低的情況,導(dǎo)致運營商的利潤下降,也就是說,運營商
24、僅僅靠提供簡單的業(yè)務(wù)已經(jīng)不能產(chǎn)生足夠的效益情況下,運營商寄希望于下一代網(wǎng)絡(luò)的發(fā)展,希望獲取更大的利潤。因此下一代網(wǎng)絡(luò)時能夠提供范圍更加廣泛的,對于用戶更加有用的,更加方便的業(yè)務(wù)的,成本更低,因而效益更好的網(wǎng)絡(luò)。</p><p> 從不同的角度來看,對于NGN有不同的理解:</p><p> 計算機網(wǎng)絡(luò):IPv4為基礎(chǔ)的互聯(lián)網(wǎng)-寬帶,IPv6的NGI(INTERNET);</p&g
25、t;<p> 傳輸網(wǎng)絡(luò):TDM為基礎(chǔ),SDH+WDM-ASOM(自動光交換網(wǎng)絡(luò)),GFP(通用幀協(xié)議);</p><p> 移動通信:GSM,CDMA(CDMA1X)-3G,WCDMA,CDMA2000;</p><p> 電話網(wǎng):TDM(時隙交換)-分組交換、軟交換;</p><p> 電信網(wǎng)絡(luò)的核心技術(shù):TDM電路交換-分組交換;</
26、p><p> 我所理解的NGN是基于分組的網(wǎng)絡(luò),能夠提供電信業(yè)務(wù);利用多種寬帶能力和QoS保證的傳送技術(shù);它的業(yè)務(wù)相關(guān)功能與傳送技術(shù)相獨立。此外,NGN可以允許用戶自由接入到不同的業(yè)務(wù)提供商,并支持通用移動性。</p><p> NGN以軟交換為核心,能夠提供話音、視頻、數(shù)據(jù)等多媒體綜合業(yè)務(wù),采用開放、標(biāo)準(zhǔn)體系結(jié)構(gòu),能夠提供豐富業(yè)務(wù)的下一代網(wǎng)絡(luò)。從發(fā)展的角度來看,NGN是從傳統(tǒng)的以電路交換
27、為主的PSTN網(wǎng)絡(luò)中逐漸邁向以分組交換為主,它承載了原有PSTN網(wǎng)絡(luò)的所有業(yè)務(wù),把大量的數(shù)據(jù)傳輸卸載到IP網(wǎng)絡(luò)中以減輕PSTN網(wǎng)絡(luò)的重荷,又以IP技術(shù)的新特性增加和增強了許多新老業(yè)務(wù)。從這個意義上講,NGN是基于TDM的PSTN語音網(wǎng)絡(luò)和基于IP/ATM的分組網(wǎng)絡(luò)融合的產(chǎn)物,它使得在新一代網(wǎng)絡(luò)上語音、視頻、數(shù)據(jù)等綜合業(yè)務(wù)成為了可能。</p><p> 2.2 NGN的特點</p><p&g
28、t; NGN基本特征[2]:</p><p> (1)支持業(yè)務(wù)的多樣化,包括話音、數(shù)據(jù)和多媒體業(yè)務(wù)。包括實時的/流/非實時業(yè)務(wù)和多媒體業(yè)務(wù);支持業(yè)務(wù)的個性化、業(yè)務(wù)的移動性、開放性和靈活性;</p><p> ?。?)基于IP分組,以包的形式傳送;</p><p> ?。?)網(wǎng)絡(luò)體系采用分層結(jié)構(gòu),例如,分為傳送層、控制層、業(yè)務(wù)層、接入層等,承載能力與控制功能、呼叫
29、/會晤、應(yīng)用/業(yè)務(wù)分離;</p><p> ?。?)業(yè)務(wù)和網(wǎng)絡(luò)呈現(xiàn)松耦合,并且提供開放的接口。通過各種標(biāo)準(zhǔn)的接口可以方便地由第三方來完成業(yè)務(wù)的提供;</p><p> ?。?)具有端到端的寬帶傳送能力。由于下一代網(wǎng)絡(luò)的承載主要采用基于DWDM的光傳輸系統(tǒng),并且將逐步過渡到全光網(wǎng)絡(luò),所以帶寬足夠,已經(jīng)不再是問題;</p><p> (6)能與傳統(tǒng)的網(wǎng)絡(luò)配合,充分利用
30、現(xiàn)有的網(wǎng)絡(luò)資源,所以下一代網(wǎng)絡(luò)需要解決與現(xiàn)有的網(wǎng)絡(luò)的互通和配合;</p><p> ?。?)支持終端的移動性,滿足移動業(yè)務(wù)的要求;</p><p> ?。?)便于管理、維護和調(diào)度;</p><p> (9)網(wǎng)絡(luò)質(zhì)量更好,并且具有更好的安全性和可靠性;</p><p> (10)有利于持續(xù)發(fā)展;</p><p>
31、從實際應(yīng)用中我們可以看到,NGN業(yè)務(wù)具有開放性、高效、多用戶、多媒體、資源共享、低成本等特點。 </p><p> 2.3 NGN的網(wǎng)絡(luò)架構(gòu)</p><p> NGN是一個綜合性的大網(wǎng),它強調(diào)網(wǎng)絡(luò)的開放性,其原則包括網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)信令和協(xié)議分組化的、開放的、分層的網(wǎng)絡(luò)架構(gòu)體系是下一代網(wǎng)絡(luò)的顯著特性。它結(jié)合了現(xiàn)有的各種網(wǎng)絡(luò)環(huán)境和周邊的接入設(shè)備以及終端產(chǎn)品。從功能的角度上來說,
32、它劃分成三層:傳輸層、控制層、業(yè)務(wù)層、接入層。</p><p> 傳送層:負(fù)責(zé)將信號(信息)從用戶的一端傳送到另一端;</p><p> 主要功能是采用分組技術(shù),提供高可靠性、端到端的QoS保證的綜合傳送平臺;</p><p> 控制層:控制媒體層完成信息的傳送、計費、管理和維護;</p><p> 主要功能是實現(xiàn)呼叫控制和連接管理,
33、支配網(wǎng)絡(luò)資源;</p><p> 業(yè)務(wù)層:在基本業(yè)務(wù)的基礎(chǔ)上完成各種附加業(yè)務(wù)的提供;</p><p> 提供業(yè)務(wù)平面,提供傳統(tǒng)交換機的業(yè)務(wù)和其它增值業(yè)務(wù),還可以提供開放的業(yè)務(wù)接口,供第三方開展業(yè)務(wù);</p><p> 接入層:用戶可以通過各種接入方式接入到網(wǎng)絡(luò)的核心層;</p><p> 提供豐富的接入手段,將各類用戶連接到分組網(wǎng)絡(luò),
34、并且將信息格式轉(zhuǎn)化成為能夠在分組網(wǎng)絡(luò)上傳送的信息格式。</p><p> 圖2-1 軟交換在下一代網(wǎng)絡(luò)中的位置</p><p> 2.4 NGN的主要技術(shù)</p><p><b> IPv6;</b></p><p> 寬帶接入技術(shù),如VDSL、FTTH、EPON、FSO;</p><p&g
35、t;<b> 城域網(wǎng)技術(shù);</b></p><p> 光交換與智能光網(wǎng)絡(luò)技術(shù);</p><p><b> 軟交換技術(shù);</b></p><p><b> 光纖高速傳輸技術(shù);</b></p><p><b> 3G、4G技術(shù);</b></p&
36、gt;<p> IP終端技術(shù)和網(wǎng)絡(luò)安全技術(shù);</p><p> 3 NGN安全解析</p><p> 本章主要在基于互連網(wǎng)和電信網(wǎng)的安全分析的基礎(chǔ)上對NGN的安全進行分析和研究。最后介紹了傳統(tǒng)網(wǎng)絡(luò)安全的解決方案,為NGN網(wǎng)絡(luò)安全的解決奠定研究基礎(chǔ)。</p><p> 3.1 網(wǎng)絡(luò)安全分析</p><p><b&
37、gt; 當(dāng)前網(wǎng)絡(luò)的情況:</b></p><p> 網(wǎng)絡(luò)模型:圖3-1,圖3-2:</p><p><b> 圖3-1 網(wǎng)絡(luò)模型</b></p><p> 圖3-2 數(shù)據(jù)和固定業(yè)務(wù)、互聯(lián)網(wǎng)業(yè)務(wù)體系</p><p> 傳統(tǒng)電信網(wǎng)絡(luò)按照長途網(wǎng)、本地網(wǎng)、接入網(wǎng)來劃分。</p><p&g
38、t; 目前已經(jīng)發(fā)展到核心網(wǎng)、城域網(wǎng)、接入網(wǎng)和用戶住地網(wǎng)來分割;</p><p> 寬帶城域網(wǎng),圖3-3,圖3-4,圖3-5 :</p><p> 圖3-3 寬帶城域網(wǎng)結(jié)構(gòu)模型</p><p> 圖3-4 寬帶城域網(wǎng)一般結(jié)構(gòu)</p><p> 圖3-5 寬帶城域網(wǎng)綜合實例</p><p> 下一代網(wǎng)絡(luò)的功能體
39、系和下一代網(wǎng)絡(luò)的功能平面,圖3-6,圖3-7,圖3-8</p><p> 圖3-6 NGN功能平面</p><p> 圖3-7 控制平面的范圍</p><p> 圖3-8 軟交換的功能圖 </p><p> 3.1.1 軟交換</p><p> 3.1.1.1 軟交換可以提供哪些主要業(yè)務(wù)</p&
40、gt;<p> 業(yè)務(wù)類型:基本業(yè)務(wù)、PSTN/ISDN補充業(yè)務(wù)、智能網(wǎng)業(yè)務(wù)、多媒體增值業(yè)務(wù)、等:</p><p> (1)軟交換需要提供現(xiàn)有的傳統(tǒng)網(wǎng)絡(luò)能夠提供的各種業(yè)務(wù),數(shù)據(jù)業(yè)務(wù),多媒體業(yè)務(wù)和移動業(yè)務(wù)如電話網(wǎng)絡(luò)的業(yè)務(wù),本地、長途、國際電話業(yè)務(wù),高速和低速數(shù)據(jù)業(yè)務(wù),以便與傳統(tǒng)網(wǎng)絡(luò)業(yè)務(wù)兼容;</p><p> ?。?)補充業(yè)務(wù)主要是指PSTN上所能夠提供的各種業(yè)務(wù),如主叫號碼
41、顯示、主叫號碼顯示限制業(yè)務(wù)、三方通話、會議呼叫、呼叫前轉(zhuǎn)、語音郵箱消息提示、呼叫等待、Centrex業(yè)務(wù)等;</p><p> ?。?)智能網(wǎng)業(yè)務(wù),具有比智能網(wǎng)更加靈活的業(yè)務(wù)功能,可以提供目前智能網(wǎng)具有的各種業(yè)務(wù),特別是通過與第三方的合作,可以提供更多的業(yè)務(wù)種類;</p><p> ?。?)基于應(yīng)用服務(wù)器和多媒體服務(wù)器的業(yè)務(wù),如視頻多媒體業(yè)務(wù)、WEB800業(yè)務(wù)、白板業(yè)務(wù)、VPN業(yè)務(wù)、統(tǒng)一消
42、息業(yè)務(wù)、可視電話、點擊傳真業(yè)務(wù)等;</p><p> ?。?)個人呼叫管理業(yè)務(wù),如個人數(shù)據(jù)維護業(yè)務(wù)、個人圖片服務(wù)、網(wǎng)絡(luò)用戶服務(wù)、通過WEB自定制業(yè)務(wù)等。</p><p> 3.1.1.2 軟交換業(yè)務(wù)提供方式</p><p> (1)直接由軟交換提供業(yè)務(wù);軟交換作為NGN的核心控制部件,將全面繼承原有的交換網(wǎng)絡(luò)的功能和業(yè)務(wù),圖3-9 :</p>&
43、lt;p> 圖3-9 直接由軟交換提供業(yè)務(wù)</p><p> ?。?)軟交換系統(tǒng)和現(xiàn)有智能網(wǎng)的SCP互通,提供智能網(wǎng)業(yè)務(wù);此時,軟交換作為SSP(業(yè)務(wù)交換點),調(diào)用現(xiàn)有智能網(wǎng)的業(yè)務(wù),圖3-10: </p><p><b> INAP</b></p><p> 圖3-10 通過SCP提供業(yè)務(wù)</p><p>
44、?。?)和ISP/ICP或?qū)S闷脚_互聯(lián),提供ISP/ICP核專用業(yè)務(wù)平臺的業(yè)務(wù);軟交換訪問ISP/ICP或?qū)S闷脚_,調(diào)用其業(yè)務(wù),此時,可以把Internet上大量孤立的應(yīng)用和NGN網(wǎng)絡(luò)的其它業(yè)務(wù)進行組合,由運營商向用戶提供各種應(yīng)用。圖3-11:</p><p> 圖3-11 通過ISP/ICP或通過專用平臺提供業(yè)</p><p> ?。?)利用服務(wù)器,實現(xiàn)各種增值業(yè)務(wù)、智能業(yè)務(wù);軟交換訪
45、問應(yīng)用服務(wù)器,由應(yīng)用服務(wù)器控制業(yè)務(wù)的執(zhí)行和管理,向用戶提供各種多媒體增值業(yè)務(wù)、智能業(yè)務(wù)或其它新業(yè)務(wù)。應(yīng)用服務(wù)器可以通過SIP協(xié)議與軟交換進行互通從而提供多媒體業(yè)務(wù),此時可以提供傳統(tǒng)智能網(wǎng)不能提供的業(yè)務(wù)。能夠?qū)⒒赪EB地新業(yè)務(wù)和SIP協(xié)議的優(yōu)勢結(jié)合,提供新的綜合類業(yè)務(wù)。圖3-12:</p><p> 圖3-12 通過應(yīng)用服務(wù)器提供業(yè)務(wù)</p><p> ?。?)開放API(應(yīng)用程序接口)
46、,由第三方提供業(yè)務(wù);應(yīng)用服務(wù)器向第三方提供各種開放的API,為第三方業(yè)務(wù)的開發(fā)提供標(biāo)準(zhǔn)接口。圖3-13:</p><p><b> API</b></p><p> 圖3-13 通過第三方提供業(yè)務(wù)</p><p> 3.1.1.3 軟交換與現(xiàn)有網(wǎng)絡(luò)的互通</p><p> NGN與PSTN、ISDN、GSM、C
47、DMA的互通:可以通過中繼網(wǎng)關(guān)TMG完成;</p><p> NGN與七號信令網(wǎng)的互通,通過信令網(wǎng)關(guān)SG完成;</p><p> NGN與現(xiàn)有智能網(wǎng)的互通,關(guān)鍵在于卡號數(shù)據(jù);對于800號業(yè)務(wù),需要實現(xiàn)PSTN/ISDN用戶與軟交換網(wǎng)絡(luò)用戶的統(tǒng)一使用;方式有兩種:一種是通過TMG中繼媒體網(wǎng)關(guān)與PSTN進行話路互通,在PSTN接入智能網(wǎng),這對于軟交換沒有要求;另一種是軟交換設(shè)備直接接入智能
48、網(wǎng),這種方式對于軟交換系統(tǒng)要求較高,但是在網(wǎng)絡(luò)資源占用、時延等方面具有優(yōu)勢;</p><p> 不同的網(wǎng)絡(luò)根據(jù)其不同的用途,有著不同的安全需求。下面將針對互聯(lián)網(wǎng)、傳統(tǒng)電信網(wǎng)和NGN分別分析它們的安全需求。我們可以看到,互聯(lián)網(wǎng)最大的安全需求是網(wǎng)絡(luò)用戶保證自身的小網(wǎng)絡(luò)和系統(tǒng)其他用戶的不受攻擊;傳統(tǒng)電信網(wǎng)絡(luò)的安全需求是業(yè)務(wù)的不中斷。而NGN的安全研究是綜合考慮了互聯(lián)網(wǎng)和傳統(tǒng)電信網(wǎng)絡(luò)的安全因素,提出其安全需求為保護整個
49、運營網(wǎng)絡(luò)不受接入用戶的攻擊,并保證服務(wù)的不中斷。</p><p> 3.1.2 互聯(lián)網(wǎng)安全分析</p><p> 互聯(lián)網(wǎng)基于開放的設(shè)計,任何人都可以隨意的接入,不需要應(yīng)用身份的認(rèn)證或經(jīng)過其他安全防范措施,使得目前互聯(lián)網(wǎng)成為病毒和黑客的溫床?;ヂ?lián)網(wǎng)的應(yīng)用是邊緣性的和開放性的,互聯(lián)網(wǎng)骨干網(wǎng)則為用戶提供高速的信息傳輸通道。</p><p> 互聯(lián)網(wǎng)從網(wǎng)絡(luò)架構(gòu)的角度
50、將它的安全問題集中推向網(wǎng)絡(luò)邊緣,骨干網(wǎng)中實現(xiàn)傳輸,也不會有太多的安全問題。所以互聯(lián)網(wǎng)中所提到的安全最重要的是指用戶接入后自身的網(wǎng)絡(luò)或者服務(wù)器系統(tǒng)不受攻擊和入侵。這是互聯(lián)網(wǎng)安全的最大的需求。所有的互聯(lián)網(wǎng)安全解決方案都是基于如何保護接入用戶網(wǎng)絡(luò)系統(tǒng)和服務(wù)系統(tǒng)的不受攻擊和入侵的。由于互聯(lián)網(wǎng)上的業(yè)務(wù)并不要求非常的保密,所有在有關(guān)信息安全方面的需求并不很強烈。業(yè)務(wù)的中斷對互聯(lián)網(wǎng)用戶的影響也不是非常大。所以互聯(lián)網(wǎng)的安全需求基本可以表現(xiàn)為網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)
51、備不被攻擊和入侵的靜態(tài)的安全,這種不被攻擊是指互聯(lián)網(wǎng)接入用戶的不被攻擊。</p><p> 3.1.3 電信網(wǎng)絡(luò)安全分析</p><p> 電信網(wǎng)絡(luò)作為國家信息化的基礎(chǔ)設(shè)施,對保障網(wǎng)絡(luò)信息安全擔(dān)負(fù)著不可推卸的責(zé)任。其信息安全需求可以分為電信基礎(chǔ)服務(wù)(語音網(wǎng)絡(luò)、基礎(chǔ)數(shù)據(jù)網(wǎng)絡(luò)、寬帶IP數(shù)據(jù)網(wǎng))的需求、電信增值業(yè)務(wù)(如Internet的內(nèi)容安全、電子商務(wù)的安全)的需求和電信運營管理(電信網(wǎng)
52、絡(luò)自身的安全、個性化服務(wù)的安全、通信費爭議、呆賬、壞帳和欠費損失)的需求。電信網(wǎng)是有專門的電信運營商來運營,它的用戶具有保證自己的終端和網(wǎng)絡(luò)安全可用性的權(quán)力[3]。</p><p> 因此,電信網(wǎng)絡(luò)有很高的安全需求,它的安全需求體現(xiàn)到多個方面,特別是網(wǎng)絡(luò)和業(yè)務(wù)的高可用性為首要的需求。電信網(wǎng)絡(luò)作為國家重要的信息基礎(chǔ)設(shè)施,它是受法律的嚴(yán)格保護的,對攻擊的追蹤和定位能力顯得更加關(guān)鍵。值得注意的是,電信網(wǎng)絡(luò)的安全需求指
53、的是電信網(wǎng)絡(luò)全網(wǎng)的安全需求。</p><p> 3.1.4 NGN安全分析</p><p> NGN業(yè)務(wù)在一定程度上可以看作是架設(shè)在互聯(lián)網(wǎng)上的一個具有電信業(yè)務(wù)特征的應(yīng)用,因此NGN的安全需求是融合了互聯(lián)網(wǎng)和電信網(wǎng)的安全需求,既有共性又有特性。下面將基于NGN的可靠性與生存性、服務(wù)可控性、可用性、信息傳遞安全等方面來分析NGN的安全需求。</p><p> 3
54、.1.4.1 NGN可靠性與生存性分析 </p><p> 網(wǎng)絡(luò)可靠性是指網(wǎng)絡(luò)在使用中維持連通性的能力,體現(xiàn)在網(wǎng)絡(luò)節(jié)點的連通性上,由環(huán)境安全、物理安全、節(jié)點安全、鏈路安全、拓?fù)浒踩?、系統(tǒng)安全等方面來保障。網(wǎng)絡(luò)生存性是衡量網(wǎng)絡(luò)抵御破壞能力的一般性概念。引起破壞的原因有自然災(zāi)害、人為破壞(包括戰(zhàn)爭)及故障等[4]。</p><p> 網(wǎng)絡(luò)的可靠性與生存性對于用戶的體現(xiàn)是服務(wù)的可用性,即
55、對用戶提供的網(wǎng)絡(luò)服務(wù)的服務(wù)質(zhì)量。但是NGN網(wǎng)絡(luò)的生存性和可靠性不完全等同于網(wǎng)絡(luò)提供服務(wù)的服務(wù)質(zhì)量。因為網(wǎng)絡(luò)服務(wù)的服務(wù)質(zhì)量一方面依賴于網(wǎng)絡(luò)的可靠性與生存性,另一方面依賴于對提供業(yè)務(wù)的資源保證。網(wǎng)絡(luò)的可靠性與生存行取決于網(wǎng)絡(luò)拓?fù)涞脑O(shè)計網(wǎng)絡(luò)節(jié)點的有效性、環(huán)境安全、物理安全、鏈路安全以及相關(guān)的系統(tǒng)安全等多個因素。 </p><p> 網(wǎng)絡(luò)的可靠性與生存性還與網(wǎng)絡(luò)與用戶的隔離相關(guān)。在電話網(wǎng)中用戶信令與網(wǎng)絡(luò)信令完全隔離,
56、在IP網(wǎng)中路由信息與用戶數(shù)據(jù)不隔離,用戶與網(wǎng)絡(luò)設(shè)備也不隔離。雖然現(xiàn)有路由協(xié)議都使用認(rèn)證:將用戶與信令一定程度邏輯隔離,但是用戶可能通過對網(wǎng)絡(luò)設(shè)備的攻擊來影響網(wǎng)絡(luò)的可靠性。 </p><p> 由上面分析可以看出,網(wǎng)絡(luò)的可靠性生存性與是否采用分組無關(guān),與是否基于連接無關(guān)。網(wǎng)絡(luò)可靠性生存性與節(jié)點的可靠性、鏈路的可靠性、網(wǎng)絡(luò)自愈能力、網(wǎng)絡(luò)拓?fù)湓O(shè)計、網(wǎng)絡(luò)與用戶的隔離等因素相關(guān)。 </p><p&g
57、t; 3.1.4.2 NGN服務(wù)可控性、可用性分析 </p><p> 由于用戶使用的是網(wǎng)絡(luò)提供的服務(wù),所以可用性針對服務(wù)來衡量。服務(wù)的可用性定義是系統(tǒng)能正常提供業(yè)務(wù)的時間和全部工作時間之比。</p><p> 服務(wù)的可控性是指網(wǎng)絡(luò)提供服務(wù)的可管理性和可運營性。服務(wù)可控性通常包括下列內(nèi)容:接入網(wǎng)絡(luò)使用網(wǎng)絡(luò)所提供服務(wù)的用戶是經(jīng)過授權(quán)的;網(wǎng)絡(luò)為用戶提供約定的服務(wù);當(dāng)用戶違反約定或者危害
58、網(wǎng)絡(luò)安全時網(wǎng)絡(luò)可以選擇停止為用戶服務(wù):用戶使用網(wǎng)絡(luò)的授權(quán)和非授權(quán)行為都可以追查。 </p><p> 服務(wù)的可用性取決于網(wǎng)絡(luò)的可靠性和運維能力。網(wǎng)絡(luò)運維能力取決于網(wǎng)絡(luò)提供的運維技術(shù)手段、運維人員的技術(shù)水平以及企業(yè)積累的運維經(jīng)驗,應(yīng)該來說與分組網(wǎng)絡(luò)還是電路網(wǎng)絡(luò)無關(guān)。運維能力也與是否基于連接無關(guān)?,F(xiàn)有的IP網(wǎng)運維水平相對較低,影響了業(yè)務(wù)的可用性。 </p><p> 服務(wù)的可控性體現(xiàn)在服
59、務(wù)接入安全,服務(wù)防否認(rèn)、服務(wù)防攻擊、服務(wù)防濫用等方面。在服務(wù)接入安全,服務(wù)防濫用服務(wù)方否認(rèn)方面,基于連接的承載在先天上優(yōu)于基于非連接的承載。因為每次連接都是用戶請求建立的,用戶深知會因此付費,會被記錄在案,連接建立后也是用戶獨占使用。而基于非連接的分組方式是永遠(yuǎn)在線,接入服務(wù)商很難為用戶所有行為作日志,用戶也不認(rèn)可流量計費,內(nèi)容計費可能使計費方與接入提供者分離。因此,在分組服務(wù)可控性方面基于連接的方式優(yōu)于非基于連接的方式。 </p
60、><p> 3.1.4.3 NGN信息傳遞安全分析 </p><p> 信息完整性是指確認(rèn)發(fā)送、收到或存儲的數(shù)據(jù)是完整的、沒有被改變的。機密性是保護通信或存儲數(shù)據(jù),以防未授權(quán)的人截聽和閱讀。傳送敏感信息的情況下特別需要保證機密性;機密性也是通信網(wǎng)絡(luò)用戶隱私問題的需要之一。信息不可否認(rèn)性,即發(fā)送方不可否認(rèn)應(yīng)確保信息的發(fā)送者不成功地否認(rèn)曾經(jīng)發(fā)送過該信息。這就要求信息系統(tǒng)提供一種方法,來確保接
61、收信息的主體在數(shù)據(jù)交換期間能獲得證明信息源發(fā)的證據(jù),而且該證據(jù)可由該主體或第三方主體驗證。</p><p> 通常為公眾服務(wù)的通信不保證信息在傳遞過程中的數(shù)據(jù)完整性、機密性與不可否認(rèn)性。NGN也同樣不會為傳遞的信息加密,完整性檢驗或者反否認(rèn)。所有上述安全性由用戶端到端保障,NGN應(yīng)當(dāng)盡可能確保用戶信息隔離。除合法監(jiān)聽以外,用戶不應(yīng)得到不應(yīng)由該用戶接收的信息。在無線信號等不可避免的無法隔離時,應(yīng)考慮鏈路層加密或者
62、網(wǎng)絡(luò)層加密等手段。 </p><p> 3.2 傳統(tǒng)網(wǎng)絡(luò)安全解決方案分析</p><p> 傳統(tǒng)網(wǎng)絡(luò)的安全解決方案,主要基于互聯(lián)網(wǎng)的安全需求而提出。主要解決思路為靜態(tài)的網(wǎng)絡(luò)防護。隨著在互聯(lián)網(wǎng)出現(xiàn)一些重要的應(yīng)用安全的需求,后來也出現(xiàn)了基于認(rèn)證加密的安全防御思路。入侵檢測和入侵防御也是互聯(lián)網(wǎng)解決安全問題的重要手段。下面對互聯(lián)網(wǎng)中的安全技術(shù)分別進行介紹。</p><p
63、> 3.2.1 防火墻技術(shù) </p><p> 防火墻能增強機構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。防火墻系統(tǒng)決定了哪些內(nèi)部服務(wù)可以被外界訪問;外界的哪些人可以訪問內(nèi)部的服務(wù)以及哪些外部服務(wù)可以被內(nèi)部人員訪問。防火墻必須只允許授權(quán)的數(shù)據(jù)通過,而且防火墻本身也必須能夠免于滲透。企業(yè)的內(nèi)部網(wǎng)與外部網(wǎng)相連應(yīng)該重點考慮使用防火墻技術(shù)。</p><p> 一般來說,防火墻具有以下幾種功能[5]: <
64、;/p><p> (1)允許網(wǎng)絡(luò)管理員定義一個中心點來防止非法用戶進入內(nèi)部網(wǎng)絡(luò)。 </p><p> (2)可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性,并報警。 </p><p> (3)可以作為部署NAT(Network Address Translation,網(wǎng)絡(luò)地址變換)的地點,利用NAT技術(shù),將有限的IP地址動態(tài)或靜態(tài)地與內(nèi)部的IP地址對應(yīng)起來,用來緩解地址空間短缺的問
65、題。 </p><p> (4)是審計和記錄Internet使用費用的一個最佳地點。網(wǎng)絡(luò)管理員可以在此向管理部門提供Internet連接的費用情況,查出潛在的帶寬瓶頸位置,并能夠依據(jù)本機構(gòu)的核算模式提供部門級的計費。 </p><p> (5)可以連接到一個單獨的網(wǎng)段上,從物理上和內(nèi)部網(wǎng)段隔開,并在此部署WWW服務(wù)器和FTP服務(wù)器,將其作為向外部發(fā)布內(nèi)部信息的地點。從技術(shù)角度來講,就
66、是所謂的停火區(qū)。 </p><p> 按照防火墻對內(nèi)外來往數(shù)據(jù)的處理方法,大致可以將防火墻分為兩大體系:包過濾防火墻和代理防火墻(應(yīng)用層網(wǎng)關(guān)防火墻)。</p><p> 3.2.1.1 包過濾防火墻 </p><p> 優(yōu)點:價格較低、性能開銷小、處理速度較快。 </p><p> 缺點:定義復(fù)雜,容易出現(xiàn)因配置不當(dāng)帶來問題;允許數(shù)
67、據(jù)包直接通過,容易造成數(shù)據(jù)驅(qū)動式攻擊的潛在危險。</p><p> 第一代靜態(tài)包過濾防火墻根據(jù)定義好的過濾規(guī)則審查每個數(shù)據(jù)包,以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數(shù)據(jù)包的報頭信息進行制訂。報頭信息中包括IP源地址、IP目標(biāo)地址、傳輸協(xié)議(TCP、UDP、ICMP等等)、TCP/UDP目標(biāo)端口、ICMP消息類型等。包過濾類型的防火墻要遵循的一條基本原則是“最小特權(quán)原則”,即明確允許那些管理員希望通過
68、的數(shù)據(jù)包,禁止其他的數(shù)據(jù)包。 </p><p> 第二代動態(tài)包過濾防火墻采用動態(tài)設(shè)置包過濾規(guī)則的方法,避免了靜態(tài)包過濾所具有的問題。這種技術(shù)后來發(fā)展成為所謂包狀態(tài)監(jiān)測(Stateful Inspection)技術(shù)。對通過其建立的每一個連接都進行跟蹤,以確定是否允許和拒絕通信。</p><p> 3.2.1.2 代理防火墻</p><p> 代理防火墻也叫應(yīng)用
69、層網(wǎng)關(guān)(Application Gateway)防火墻。這種防火墻通過一種代理(Proxy)技術(shù)參與到一個TCP連接的全過程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后,就好像是源于防火墻外部網(wǎng)卡一樣,從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認(rèn)為是最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。而所謂代理服務(wù)器,是指代表客戶處理在服務(wù)器連接請求的程序。當(dāng)代理服務(wù)器得到一個客戶的連接意圖時,它們將核實客戶請求
70、,并經(jīng)過特定的安全化的Proxy應(yīng)用程序處理連接請求,將處理后的請求傳遞到真實的服務(wù)器上,然后接受服務(wù)器應(yīng)答,并做進一步處理后,將答復(fù)交給發(fā)出請求的最終客戶。代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)時發(fā)揮了中間轉(zhuǎn)接的作用。</p><p> 3.2.1.3 個人防火墻</p><p> 個人防火墻是一種能夠保護個人計算機系統(tǒng)安全的應(yīng)用程序級的軟件,它可以直接在用戶的計算機上運行,使用與
71、動態(tài)檢測防火墻相同的方式,保護一臺計算機不受攻擊。通常,這些防火墻是安裝在計算機網(wǎng)絡(luò)接口的較低級別上,使得它們可以監(jiān)視傳入傳出網(wǎng)卡的所有網(wǎng)絡(luò)通信。</p><p> 一旦安裝上個人防火墻,就可以把它設(shè)置成“學(xué)習(xí)模式”,這樣的話,對遇到的每一種新的網(wǎng)絡(luò)通信,個人防火墻都會提示用戶一次,詢問如何處理那種通信,然后個人防火墻便記住響應(yīng)方式,并應(yīng)用于以后遇到的相同的網(wǎng)絡(luò)通信。</p><p>
72、 3.2.2 入侵檢測技術(shù)</p><p> 入侵檢測是指“通過對行為、安全日志或?qū)徲嫈?shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進行操作,檢測到對系統(tǒng)的闖入或闖入的企圖”。入侵檢測是檢測和響應(yīng)計算機誤用的學(xué)科,其作用包括威懾、檢測、響應(yīng)、損失情況評估、攻擊預(yù)測和起訴支持。入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?,F(xiàn)象的技術(shù),是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。
73、進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)(簡稱IDS)[6]。</p><p> 入侵檢測過程分為三部分:信息收集、信息分析和結(jié)果處理。</p><p> (1)信息收集:收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。由放置在不同網(wǎng)段的傳感器或不同主機的代理來收集信息,包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。</p><
74、;p> (2)信息分析:收集到的信息,被送到檢測引擎,檢測引擎駐留在傳感器中,一般通過三種技術(shù)手段進行分析:模式匹配、統(tǒng)計分析和完整性分析。當(dāng)檢測到某種誤用模式時,產(chǎn)生一個告警并發(fā)送給控制臺。</p><p> (3)結(jié)果處理:控制臺按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施,可以是重新配置路由器或防火墻、終止進程、切斷連接、改變文件屬性,也可以只是簡單的告警。</p><p>
75、3.2.3 入侵防御技術(shù)</p><p> 網(wǎng)絡(luò)病毒頻繁爆發(fā),黑客攻擊水平日益提高,傳統(tǒng)的防火墻或入侵檢測技術(shù)(IDS)已顯得力不從心。入侵防御采取積極主動的措施阻止從外部對IT資源的攻擊,將損失降到最小。使用IPS后,網(wǎng)絡(luò)管理員只需少數(shù)的幾次配置,也許就可以放心地隔岸觀火,由IPS系統(tǒng)來對付來自各處的攻擊了。</p><p> 簡單地理解,可認(rèn)為IPS就是防火墻加上入侵檢測系統(tǒng)[7
76、]。但并不是說IPS可以代替防火墻或入侵檢測系統(tǒng)。防火墻在基于TCP/IP協(xié)議的過濾方面表現(xiàn)出色,而且在大多數(shù)情況下,可以提供網(wǎng)絡(luò)地址轉(zhuǎn)換、服務(wù)代理、流量統(tǒng)計等功能,甚至有的防火墻還能提供VPN功能。和防火墻比較起來,IPS的功能比較單一,它只能串聯(lián)在網(wǎng)絡(luò)上(類似于通常所說的網(wǎng)橋式防火墻),對防火墻所不能過濾的攻擊進行過濾。這樣一個兩級的過濾模式,可以最大地保證系統(tǒng)的安全。在一些專業(yè)的機構(gòu),或?qū)W(wǎng)絡(luò)安全要求比較高的地方,入侵檢測系統(tǒng)和其
77、他審計跟蹤產(chǎn)品結(jié)合,可以提供針對企業(yè)信息資源全面的審計資料,這些資料對于攻擊還原、入侵取證、異常事件識別、網(wǎng)絡(luò)故障排除等等都有很重要的作用。IPS的檢測功能類似于IDS,但I(xiàn)PS檢測到攻擊后會采取行動阻止攻擊。 </p><p> 3.2.4 應(yīng)用信息安全保護機制</p><p> 目前傳統(tǒng)安全解決方案在保護應(yīng)用層信息安全主要利用兩種技術(shù):基于IPSec的VPN和基于TLS/SSL的
78、VPN。IPSec主要從IP層實現(xiàn)具有對數(shù)據(jù)包加密認(rèn)證的安全協(xié)議,可以為所有的TCP/IP協(xié)議數(shù)據(jù)包提供安全機制。TLS/SSL是從傳輸層提供的一種保證應(yīng)用數(shù)據(jù)包安全機密性的協(xié)議。</p><p> 3.2.4.1 IPSec</p><p> IPSec(1P Security)用于提供IP層的安全性。IPSec的工作原理類似于包過濾防火墻。IPSec通過查詢SPD(Securit
79、y P01icy Database安全策略數(shù)據(jù)庫)決定對接收到的IP數(shù)據(jù)包的處理。但是IPSec不同于包過濾防火墻的是,對IP數(shù)據(jù)包的處理方法除了丟棄,直接轉(zhuǎn)發(fā)(繞過IPSec)外,還有一種,即進行IPSec處理。正是這新增添的處理方法提供了比包過濾防火墻更進一步的網(wǎng)絡(luò)安全性。進行IPSec處理意味著對IP數(shù)據(jù)包進行加密和認(rèn)證。只有在對IP數(shù)據(jù)包實施了加密和認(rèn)證后,才能保證在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的機密性,真實性,完整性,通過Intern
80、et進新安全的通信才成為可能。IPSec既可以只對IP數(shù)據(jù)包進行加密,或只進行認(rèn)證,也可以同時實施二者。</p><p> 3.2.4.2 TLS/SSL</p><p> 安全套接字層(SSL)是用來向因特網(wǎng)會話提供安全性和保密性的握手協(xié)議。它支持服務(wù)器和客戶機認(rèn)證,并且被設(shè)計成協(xié)商加密密鑰以及在交換任何數(shù)據(jù)之前認(rèn)證服務(wù)器。它使用加密、認(rèn)證和 MAC 來維護傳輸信道的完整性。雖然
81、SSL 最適合用于 HTTP,但它也可以用于 FTP 或其它相關(guān)協(xié)議。它在傳輸層運行并且是獨立于應(yīng)用程序的,因此像 FTP 或 HTTP 之類的相關(guān)協(xié)議可以放在該層之上。使用初始握手來對服務(wù)器進行認(rèn)證。在這一過程中,服務(wù)器把證書提交到客戶機并指定要使用的首選密碼。然后,客戶機生成在即將進行的會話期間使用的秘鑰,然后將它提交給服務(wù)器,并相應(yīng)地用服務(wù)器的公鑰對它加密。服務(wù)器使用其私鑰解密消息,恢復(fù)秘鑰,然后通過向客戶機發(fā)送一條使用該秘鑰加密
82、的消息來向客戶機認(rèn)證自己。使用這一達(dá)成協(xié)議的秘鑰對加密的數(shù)據(jù)進行進一步的交換。服務(wù)器可以發(fā)送一個質(zhì)詢,客戶機對此做出響應(yīng),向服務(wù)器返回該質(zhì)詢的數(shù)字簽名和客戶機的公鑰證書,以此來進一步增加安全性。</p><p> 傳輸層安全性(TLS)協(xié)議基于 SSL 并與之相似。TLS 是獨立于應(yīng)用程序協(xié)議的,其使用的加密算法的種類與 SSL 使用的相似。它的主要目標(biāo)是在兩個正在通信的應(yīng)用程序之間提供保密性和數(shù)據(jù)完整性。它由
83、兩層構(gòu)成。較低的層稱為 TLS Record 協(xié)議,且位于某個可靠的傳輸協(xié)議(例如,TCP)上面。這一層有兩個基本特性,具體說該連接是專用的并且是可靠的。它用于封裝各種更高級協(xié)議,但也可以不加密地使用。通常使用加密時,生成的用于這個加密的秘鑰專用于每個連接,這些秘鑰基于由另一個協(xié)議(例如,更高級別的 TLS Handshake 協(xié)議)協(xié)商的秘鑰。TLS Handshake 協(xié)議提供了具有三個基本特性的連接安全性,即可以使用非對稱密碼術(shù)來
84、認(rèn)證對等方的身份,共享密鑰的協(xié)商是安全的,以及協(xié)商是可靠的。TLS 協(xié)議的目標(biāo),按其優(yōu)先級順序來說,是密碼安全性、互操作性和可擴展性。</p><p> 3.2.5 其他相關(guān)技術(shù)</p><p> (1)數(shù)據(jù)加密技術(shù)。它可以提高信息系統(tǒng)及資料的安全性和保密性, 防止秘密資料被外部破解。按作用的不同,數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)等四種。 &l
85、t;/p><p> (2)智能卡技術(shù)。由授權(quán)用戶所持有并由該用戶賦予它一個口令或密碼。當(dāng)口令與身份特征共同使用時,智能卡的保密性還是相當(dāng)有效的。</p><p> (3)加強安全管理。網(wǎng)絡(luò)安全和數(shù)據(jù)保護等防范措施都有一定的限度, 并不是越安全就越可靠。在看一個內(nèi)部網(wǎng)是否安全時不僅要考察其手段, 而更重要的是對該網(wǎng)絡(luò)所采取的各種措施, 其中不光是物理防范,還有人員的素質(zhì)等其它“軟”因素, 應(yīng)
86、對它們進行綜合評估, 從而得出是否安全的結(jié)論。因此,對“網(wǎng)管”人員和其它相關(guān)人員的管理也非常重要,而不僅是簡單的硬件和軟件方面的資金投入和安全措施的制定。</p><p> (4)反病毒技術(shù)。病毒檢測方法目前市面上常見的防毒軟件經(jīng)常使用的防毒技術(shù)一般分為以下幾種:特征代碼法、校驗和法、行為檢測法、軟件模擬法、VICE先知掃描法等。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,基于網(wǎng)絡(luò)的病毒將逐步成為計算機病毒的主流,網(wǎng)絡(luò)反病毒技術(shù)也
87、將成為下一代防病毒技術(shù)的重點,也是下一代防病毒軟件的發(fā)展趨勢。</p><p> 3.3 傳統(tǒng)安全解決方案在解決NGN安全問題的局限性</p><p> 傳統(tǒng)安全解決方案為解決互聯(lián)網(wǎng)安全問題做出了非常重要的貢獻(xiàn),使得黑客和病毒 并不能毫無遮攔的長驅(qū)直入。另外,安全技術(shù)也在不斷的發(fā)展變化中,也有一些特別好的防護和防御技術(shù)思路被提出來。這些傳統(tǒng)的安全解決方案在為解決NGN的安全問題有很好
88、的借鑒意義。因為NGN同樣基于IP技術(shù)而搭建,許多常規(guī)網(wǎng)絡(luò)存在的安全問題,在NGN中同樣存在,大部分防御技術(shù)可以直接用于NGN的安全保障體系中。</p><p> 但是傳統(tǒng)安全解決方案在解決NGN安全問題也存在一些局限性,主要原因在于:(1)防御的出發(fā)點及安全需求有所區(qū)別。(2)所提供的應(yīng)用服務(wù)也有很大的差異。互聯(lián)網(wǎng)安全解決方案的提出,主要是將互聯(lián)網(wǎng)劃分為許許多多小網(wǎng)絡(luò),在基于內(nèi)網(wǎng)安全可靠而外網(wǎng)存在多種攻擊這樣
89、一個假設(shè)的前提下,所提出的如何來保證自己所保護的網(wǎng)絡(luò)不被互聯(lián)網(wǎng)上的其他用戶所攻擊,這是互聯(lián)網(wǎng)安全解決方案的出發(fā)點,而NGN網(wǎng)絡(luò)安全的出發(fā)點是保證運營的核心骨干網(wǎng)絡(luò)和服務(wù)網(wǎng)絡(luò)不受接入用戶的攻擊,安全需求不一樣主要體現(xiàn)在互聯(lián)網(wǎng)的安全需求更看重的是保證服務(wù)器或所保護的其他系統(tǒng)不被入侵和攻擊,而NGN的安全需求除了互聯(lián)網(wǎng)所要求的安全需求外,更強調(diào)的是提供電信級的安全,保證服務(wù)和業(yè)務(wù)的不中斷。最后應(yīng)用層上較大的差異也使得傳統(tǒng)安全解決方案在對應(yīng)用層
90、的處理上存在很大的局限性,這種應(yīng)用差異體現(xiàn)到互聯(lián)網(wǎng)所提供的開放的多樣化的靜態(tài)應(yīng)用,而NGN所提供的是具有極大相似性的比較統(tǒng)一的動態(tài)的應(yīng)用。</p><p> 正是由于上面所列舉的原因,使得傳統(tǒng)安全解決方案不能完全解決NGN安全問題,具體存在的局限性列舉如下:</p><p> (1)傳統(tǒng)安全方案破壞了網(wǎng)絡(luò)的可用性。</p><p> 傳統(tǒng)安全解決方案的基本前提
91、是網(wǎng)絡(luò)的應(yīng)用是靜態(tài)的和可預(yù)測的,所以它通過預(yù)先設(shè)置一些規(guī)則來實現(xiàn)網(wǎng)絡(luò)防護,但是隨著網(wǎng)絡(luò)的發(fā)展,出現(xiàn)了許多動態(tài)的應(yīng)用。傳統(tǒng)安全解決方案嚴(yán)重限制了這種網(wǎng)絡(luò)應(yīng)用的發(fā)展,而NGN所提供的正是一個典型的具有這種動態(tài)特點的網(wǎng)絡(luò)應(yīng)用。</p><p> (2)傳統(tǒng)安全方案沒有深層次的分析安全攻擊和防御。</p><p> 傳統(tǒng)安全解決方案更強調(diào)對應(yīng)用層以下攻擊的安全防護,重點為傳輸層和網(wǎng)絡(luò)層,但在N
92、GN網(wǎng)絡(luò)中,應(yīng)用相對比較單一,并且為協(xié)議公開,所有NGN安全解決方案應(yīng)當(dāng)有應(yīng)用安全和應(yīng)用層安全的考慮。</p><p> (3)沒有將網(wǎng)絡(luò)安全與應(yīng)用安全綜合考慮。</p><p> 在早期的互聯(lián)網(wǎng)上,安全防御主要是保護網(wǎng)絡(luò)系統(tǒng)不受黑客的入侵和攻擊,以及避免蠕蟲和病毒的危害,對于網(wǎng)絡(luò)信息傳輸和應(yīng)用層業(yè)務(wù)的安全考慮的比較少?,F(xiàn)在也出現(xiàn)了保護網(wǎng)絡(luò)信息傳輸和應(yīng)用的安全機制,并得到了一定的部署,
93、但實際上當(dāng)網(wǎng)絡(luò)安全方案和應(yīng)用信息安全方案同時部署的時候會出現(xiàn)很多的問題,事實上它們在很多時候可以相互協(xié)同工作。應(yīng)當(dāng)有一個融合二者提供整體安全的綜合防御體系。</p><p> 4 NGN的安全問題</p><p> NGN作為下一代通信網(wǎng)絡(luò),是未來信息傳遞的主要載體。NGN安全是信息安全問題中的關(guān)鍵問題之一。根據(jù)對目前NGN的分析研究和驗證,發(fā)現(xiàn)存在非常大的安全隱患,安全考慮非常欠缺
94、。具體可能遇到的威脅可分為以下幾類。</p><p><b> 4.1 黑客攻擊</b></p><p> 4.1.1 DOS/DDOS攻擊</p><p> 拒絕服務(wù)(DoS/DDoS)攻擊最早可追述到1996年,在2000年發(fā)展到極致。全球包括Yahoo、CNN、eBay在內(nèi)的十多個著名網(wǎng)站都遭遇過這種流量堵塞技術(shù)的攻擊,僅Yah
95、oo一家就造成了50萬美元的損失。對于業(yè)界來說,DoS攻擊的原理極為簡單,也早已為人們所熟知。不過,至今為止仍然沒有一項技術(shù)能很好解決這類簡單攻擊,所以DoS/DDoS攻擊依然是網(wǎng)絡(luò)面臨的主要威脅。域名解析服務(wù)器是維系全球互聯(lián)網(wǎng)正確通信的命根子,如果攻擊得逞,整個互聯(lián)網(wǎng)世界將會崩潰[8]?!?lt;/p><p> DoS攻擊通過偽造超過服務(wù)器處理能力的訪問數(shù)據(jù)耗盡系統(tǒng)資源而造成服務(wù)器響應(yīng)阻塞,使目標(biāo)計算機無法提供正
96、常的服務(wù)。從攻擊類型來看,DoS攻擊主要分為針對一切網(wǎng)絡(luò)設(shè)備的流量型攻擊(這是目前主要的DoS攻擊形式)、針對主機的堆棧突破型攻擊和針對系統(tǒng)漏洞的特定型攻擊。典型流量型攻擊方法有SYN Flood、ACK Flood、UDP Flood、ICMP Flood和MStream Flood等;而堆棧突破型攻擊包括Winnnuke、Jolt、Teardrop等。</p><p> 流量型攻擊之所以屢屢得逞并很難預(yù)防,
97、在于它利用了TCP協(xié)議本身的弱點。以用小帶寬沖擊大帶寬的SYN Flood為例,TCP協(xié)議規(guī)定一次正常的傳輸需要在通話的雙方建立“三次握手”。第一次握手,客戶端向服務(wù)端提出連接請求;第二次握手,服務(wù)端做出回應(yīng),按照IP源地址返回數(shù)據(jù)包;第三次握手,客戶端確認(rèn)收到服務(wù)端返回的數(shù)據(jù)包,至此雙方才算建立了完整的TCP連接。通常情況下,服務(wù)端的操作系統(tǒng)會使用一塊限定的內(nèi)存處理TCP連接請求,這個限定的內(nèi)存被稱為TCP緩存,如果這個緩存隊列被填滿
98、,任何其他新的TCP連接請求都會被丟棄。當(dāng)DoS攻擊發(fā)生時,黑客用偽造的IP地址向服務(wù)端發(fā)出請求,由于它的IP地址是假的,因此在第二次握手時,數(shù)據(jù)包無法返回原來的IP地址,但服務(wù)端卻會不斷地嘗試“握手”直到超時為止(大約75秒),這形成了“半連接”。大量的“半連接”將目標(biāo)主機的TCP緩存隊列填滿,而無法接受新連接,這就形成了一次成功的DoS攻擊。</p><p> 由于攻擊所針對的TCP協(xié)議層的缺陷短時無法改變
99、,因此DoS也就成為了流傳最廣,最難防范的攻擊方式。從它的攻擊方式可以看出,這種攻擊會導(dǎo)致資源的匱乏,無論服務(wù)器的處理速度多快、內(nèi)存容量多大、網(wǎng)絡(luò)帶寬的速度多快都無法避免這種攻擊帶來的后果。</p><p> 多數(shù)DoS攻擊形成的條件是需要大帶寬,單個黑客一般不具備此條件。但他可將其他大量計算機變成“僵尸”,自動向目標(biāo)網(wǎng)站發(fā)送大量信息,這就是分布式DoS攻擊——DDoS攻擊。它依靠黑客開發(fā)的各類軟件實現(xiàn),它們多
100、數(shù)利用操作系統(tǒng)的漏洞,能像病毒一樣在網(wǎng)上傳染,還能夠像病毒一樣潛伏,更重要的是能讓“僵尸”計算機接收黑客發(fā)布的指令,在某一時刻向某個網(wǎng)站集體發(fā)動攻擊。</p><p> 可以說,DDoS攻擊是由黑客集中控制發(fā)動的一組DoS攻擊的集合,而DoS攻擊方式可由上述的各類方式組成。 DDoS現(xiàn)在被稱作“黑客的終極武器”,是目前最有效也最猖獗的攻擊形式,非常難以抵擋也非常難以查找攻擊源,只能從網(wǎng)絡(luò)源頭、網(wǎng)絡(luò)運營商一級通過
101、路由回溯等技術(shù)才能縮小包圍圈,但準(zhǔn)確定位攻擊源幾乎難以實現(xiàn)。 </p><p> 從某種程度上可以說,目前,針對DoS/DDoS攻擊從技術(shù)上沒有根本的解決辦法。一般采取的將大量的來自攻擊地址的連接請求截斷的方法并不可靠,因為黑客經(jīng)常假冒某些合法用戶身份,如果將他們的連接請求截斷,正好實現(xiàn)了“拒絕服務(wù)”的目的。 </p><p> 綜上所述,拒絕服務(wù)是一種最簡單而又最有效的攻擊方式,到目
102、前為止還沒有非常好的防御方式,所以這種攻擊成為網(wǎng)絡(luò)重要威脅之一。NGN作為基于互聯(lián)網(wǎng)技術(shù)的應(yīng)用系統(tǒng),當(dāng)然也不例外。拒絕服務(wù)攻擊方式有很多種,各種攻擊方式的危害程度不一,有的攻擊僅僅使得服務(wù)拒絕,有的攻擊可以使得終端死機,有的攻擊可以使得網(wǎng)絡(luò)大規(guī)模癱瘓?,F(xiàn)在很多網(wǎng)絡(luò)專家正在致力于防御該攻擊的研究中,也推出了許多防御措施,但收效都不大。</p><p> 4.1.2 其他常見黑客攻擊</p><
103、;p> (1)系統(tǒng)代理攻擊:這種攻擊通常是針對單個主機發(fā)起的。</p><p> (2)非授權(quán)訪問嘗試:是攻擊者對被保護文件進行讀、寫或執(zhí)行的嘗試,也包括為獲得被保護訪問權(quán)限所做的嘗試。</p><p> (3)預(yù)探測攻擊:在連續(xù)的非授權(quán)訪問嘗試過程中,攻擊者為了獲得網(wǎng)絡(luò)內(nèi)部的信息及網(wǎng)絡(luò)周圍的信息,通常使用這種攻擊嘗試。</p><p> (4)可疑活
104、動:是通常定義的“標(biāo)準(zhǔn)”網(wǎng)絡(luò)通信范疇之外的活動,也可以指網(wǎng)絡(luò)上不希望有的活動。</p><p> (5)協(xié)議解碼:協(xié)議解碼可用于以上任何一種非期望的方法中,網(wǎng)絡(luò)或安全管理員需要進行解碼工作,并獲得相應(yīng)的結(jié)果,解碼后的協(xié)議信息可能表明期望的活動。</p><p> 4.2 VOIP中的安全問題</p><p> 目前,VoIP技術(shù)日趨成熟,已經(jīng)從實驗階段轉(zhuǎn)向成
105、熟的商業(yè)應(yīng)用。但是在使用過程中,用戶和設(shè)備供應(yīng)商更多地會將精力放在如何改善話音質(zhì)量和同現(xiàn)有數(shù)據(jù)網(wǎng)絡(luò)的融合上面,很少考慮到VoIP所存在的安全隱患。究竟有那幾種因素會影響到VoIP呢?</p><p> 4.2.1 VoIP自身的缺陷</p><p> 目前VoIP技術(shù)最常用的話音建立和控制信令是H.323和SIP協(xié)議。它們都是開放的協(xié)議體系。越是開放的操作系統(tǒng),也就越容易受到病毒和惡
106、意攻擊的影響。尤其是某些設(shè)備需要提供基于Web的管理界面的時候[9]。</p><p> 4.2.2 基于開放端口的DoS攻擊</p><p> 攻擊者向服務(wù)器發(fā)送相當(dāng)多數(shù)量的帶有虛假地址的服務(wù)請求,但因為所包含的回復(fù)地址是虛假的,服務(wù)器將等不到回傳的消息,直至所有的資源被耗盡。VoIP技術(shù)已經(jīng)有很多知名的端口,像1719、1720、5060等。還有一些端口是產(chǎn)品本身需要用于遠(yuǎn)端管理
107、或是私有信息傳遞的用途。有些管理員在設(shè)置防火墻的時候,為了圖簡便,把所有的端口都打開了,以防無意中封掉有用的端口影響VoIP通信。這樣就把整個設(shè)備暴露在網(wǎng)絡(luò)上,不用的那些端口很容易遭到拒絕服務(wù)攻擊。只要是攻擊者的PC和這些應(yīng)用端口在同一網(wǎng)段,就可以通過簡單的掃描工具來獲得更詳細(xì)的信息。</p><p> 4.2.3 服務(wù)竊取防盜打</p><p> 防止IP電話被盜打是VoIP時代的
108、一個新問題。雖然IP話機沒辦法通過并線的方式來打電話,但通過IP網(wǎng)絡(luò)管理的漏洞或者是通過Sniffer等軟件竊取IP 語音通信系統(tǒng)管理的密碼或IP話機的登錄密碼,同樣會使非法用戶獲取相應(yīng)的語音功能和權(quán)限。通常在IP話機首次登錄到系統(tǒng)時,會要求提示輸入各人的分機號碼和密碼;當(dāng)密碼流失之后,任何人都可以用自己的軟電話登錄成為別人的分機號碼。要避免IP電話被盜打,就需要保護好自己的用戶名和密碼。</p><p> 如
109、今大多數(shù)VoIP廠商采用的SIP協(xié)議,在呼叫設(shè)置過程中可傳輸兩種重要的信息,即被叫方電話號碼和驗證信息(如SIP用戶名和密碼)。多數(shù)VoIP廠商都假設(shè)SIP設(shè)備位于某種NAT路由器之后,并對其進行相應(yīng)的優(yōu)化配置,這就大大減少了終端用戶需要進行的配置。VoIP廠商通常擁有許多不同的呼叫網(wǎng)關(guān),它們可能位于不同位置,這是為了確保最大可用性和呼叫質(zhì)量。利用VoIP進行呼叫時,呼叫設(shè)置信息可暢通無阻地進行傳輸,這使它具有了方便的可讀性。但這同時意
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 畢業(yè)論文——畢業(yè)論文管理系統(tǒng)
- 畢業(yè)論文汽車營銷畢業(yè)論文
- 畢業(yè)論文市場營銷畢業(yè)論文
- 軟件開發(fā)畢業(yè)論文-畢業(yè)論文
- 關(guān)于閥門的畢業(yè)論文畢業(yè)論文
- 畢業(yè)論文——畢業(yè)論文管理系統(tǒng) (2)
- 【畢業(yè)論文】車床改進畢業(yè)論文完成
- 畢業(yè)論文——畢業(yè)論文管理系統(tǒng) (2)
- 畢業(yè)論文——畢業(yè)論文管理系統(tǒng) (2)
- 參考畢業(yè)論文環(huán)境化學(xué)畢業(yè)論文
- 畢業(yè)論文
- 畢業(yè)論文
- 畢業(yè)論文
- 汽修畢業(yè)論文10000字 汽修畢業(yè)論文
- 子商務(wù)的畢業(yè)論文商務(wù)英語畢業(yè)論文商務(wù)管理畢業(yè)論文應(yīng)用電子畢業(yè)論文
- 畢業(yè)論文
- 畢業(yè)論文
- 輪機工程專業(yè)畢業(yè)論文畢業(yè)論文
- 青少年犯罪畢業(yè)論文畢業(yè)論文
- 包裝設(shè)計畢業(yè)論文包裝畢業(yè)論文
評論
0/150
提交評論