网络趋势剖析-下一代网络的安全技术.doc

　　网络趋势剖析:下一代网络的安全技术～教育资源库 　　随着NGN技术和Everything over IP的发展，网络安全将变得越来越重要。 ITU X.805标准定义的3层3面8个维度的端到端安全体系架构是开展信息网络安全技术研究和应用的基础。下一代网络{NGN)有安全策略，认证、授权、访问控制和审计，时间戳与时间源等安全需求；NGN按照逻辑方式和物理方式对网络进行划分，形成不同的安全域对应着特定的安全策略。通过身份识别、认证与授权，传送安全，访问控制，审计与监控等安全机制，实现网络的安全需求。 　　随着因特网应用的快速增长，网络上的安全隐患不断出现，非法窃取网络资源、非法使用网络业务、拒绝服务、蠕虫病毒、木马病毒，甚至恶意攻击与破坏等事件也层出不穷。这些安全问题给网络运营商、业务提供商和用户造成了巨大的损失，使人们深刻地认识到基于IP技术的因特网应用存在着严重的安全问题。网络的开放性和IP网络固有的脆弱性，使得攻击者很容易利用网络的弱点发起各种各样的攻击。 　　特别是随着下一代网络(NGN)的兴起，Everything over IP正在成为各种网络技术发展的基础，国际标准组织国际电信联盟电信标准化部门(ITU-T)、欧洲电信标准化组织(ETSI)等所研究的NGN，都是基于IP技术实现的。因此，尽管NGN技术还不成熟，但是其安全问题已经受到高度重视[1-5]，几乎每个标准组织都有专门的安全研究组在开展研究工作，一些标准组织还在其制定的每个技术标准中，都要求包含 Security Consideration章节。 　　1 NGN的安全基础 　　NGN基于IP技术，采用业务层和传送层相互分离、应用与业务控制相互分离、传送控制与传送相互分离的思想，能够支持现有的各种接入技术，提供话音、数据、视频、流媒体等业务，并且支持现有移动网络上的各种业务，实现固定网络和移动网络的融合，此外还能够根据用户的需要，保证用户业务的服务质量。NGN的网络体系架构如图1所示, 包括应用、业务控制层、传送控制层、传送层、网络管理系统、用户网络和其他网络。本文介绍的NGN安全技术是针对该体系架构展开的。 　　ITU-T在X.805标准中，全面地规定了信息网络端到端安全服务体系的架构模型。这一模型包括3层3面8个维度，即应用层、业务层和传送层，管理平面、控制平面和用户平面，认证、可用性、接入控制、不可抵赖、机密性、数据完整性、私密性和通信安全, 如图2所示。 　　X.805模型各个层(或面)上的安全相互独立，可以防止一个层(或面)的安全被攻破而波及到其他层(或面)的安全。这个模型从理论上建立了一个抽象的网络安全模型，可以作为发展一个特定网络安全体系架构的依据，指导安全策略、安全事件处理和网络安全体系架构的综合制定和安全评估。因此，这个模型目前已经成为开展信息网络安全技术研究和应用的基础。 　　互联网工程任务组(IETF)的安全域专门负责制定Inter安全方面的标准，涉及的安全内容十分广泛并注重实际应用，例如IP安全(IPsec)、基于X.509的公钥基础设施(PKIX)等。目前，IETF制定了大量的与安全相关的征求意见稿(RFC)，其他标准组织或网络架构都已经引用了这些成果。 　　本文提出的NGN安全体系架构就是在应用X.805安全体系架构基础上，结合NGN体系架构和IETF相关的安全协议而提出来的，如图3所示，这样可以有效地指导NGN安全解决方案的实现。 　　2 NGN的安全需求 　　网络安全需求将用户通信安全、网络运营商与业务提供商运营安全紧密地结合在一起。当IP技术作为互联网技术被应用到电信网络上取代电路交换之后，来自网络运营商、业务提供商和用户的安全需求就显得特别重要。 　　为了给网络运营商、业务提供商和用户提供一个安全可信的网络环境，防止各种攻击，NGN需要避免出现非授权用户访问网络设备上的资源、业务和用户数据的情况，需要限制网络拓扑结构的可见范围，需要保证网络上传送的控制信息、管理信息和用户信息的私密性和完整性，需要监督网络流量并对异常流量进行管理和上报。 　　在X.805标准的指导下，通过对NGN网络面临的安全威胁和弱点进行分析，NGN安全需求大致可以分为安全策略，认证、授权、访问控制和审计，时间戳与时间源，资源可用性，系统完整性，操作、管理、维护和配置安全，身份和安全注册，通信和数据安全，隐私保证，密钥管理， NAT/防火墙互连，安全保证，安全机制增强等需求。 　　(1) 安全策略需求 　　安全策略需求要求定义一套规则集，包括系统的合法用户和合法用户的访问权限，说明保护何种信息、以及为什么进行保护。在NGN环境下，存在着不同的用户实体、不同的设备商设备、不同的