下一代網絡的安全技術

摘要：隨著NGN技術和Everything over IP的發展，網絡安全將變得越來越重要。

ITU X.805標準定義的3層3面8個維度的端到端安全體系架構是開展信息網絡安全技術研究和應用的基礎。NGN有安全策略，認證、授權、訪問控制和審計，時間戳與時間源等安全需求；NGN按照邏輯方式和物理方式對網絡進行劃分，形成不同的安全域對應著特定的安全策略。通過身份識別、認證與授權，傳送安全，訪問控制，審計與監控等安全機制，實現網絡的安全需求。

關鍵詞：下一代網絡；安全需求；安全體系架構；安全機制

Abstract: With the development of NGN technologies and Everything over IP， network security has become an important part of the current network. The 3 layers x 3 planes x 8 dimensions security architecture defined by ITU X.805 for the end-to-end communications is the basis of the research and application of network security technologies. NGN has several security requirements including security strategy， authentication， authorization， access control and audit， time stamp and time source. NGN divides the network into different security areas in both logical and physical ways， and there are different security strategies for different areas. Through the security mechanisms of identification， authentication and authorization， transmit security， access control， audit and supervision， the security requirements of the network would be realized.

Key words: NGN; security requirement; security architecture; security mechanism

隨著因特網應用的快速增長，網絡上的安全隱患不斷出現，非法竊取網絡資源、非法使用網絡業務、拒絕服務、蠕蟲病毒、木馬病毒，甚至惡意攻擊與破壞等事件也層出不窮。這些安全問題給網絡運營商、業務提供商和用戶造成了巨大的損失，使人們深刻地認識到基于IP技術的因特網應用存在著嚴重的安全問題。網絡的開放性和IP網絡固有的脆弱性，使得攻擊者很容易利用網絡的弱點發起各種各樣的攻擊。特別是隨著下一代網絡(NGN)的興起，Everything over IP正在成為各種網絡技術發展的基礎，國際標準組織國際電信聯盟電信標準化部門(ITU-T)、歐洲電信標準化組織(ETSI)等所研究的NGN，都是基于IP技術實現的。因此，盡管NGN技術還不成熟，但是其安全問題已經受到高度重視[1-5]，幾乎每個標準組織都有專門的安全研究組在開展研究工作，一些標準組織還在其制定的每個技術標準中，都要求包含 “Security Consideration”章節。本文對NGN安全基礎[6-8]、 NGN安全需求[2-9]、安全體系架構[10-14]、安全機制[15-17]進行了研究，為我國NGN的研究和部署提供有益的參考。

1 NGN的安全基礎

NGN基于IP技術，采用業務層和傳送層相互分離、應用與業務控制相互分離、傳送控制與傳送相互分離的思想，能夠支持現有的各種接入技術，提供話音、數據、視頻、流媒體等業務，并且支持現有移動網絡上的各種業務，實現固定網絡和移動網絡的融合，此外還能夠根據用戶的需要，保證用戶業務的服務質量。NGN的網絡體系架構如圖1所示， 包括應用、業務控制層、傳送控制層、傳送層、網絡管理系統、用戶網絡和其他網絡。本文介紹的NGN安全技術是針對該體系架構展開的。

ITU-T在X.805標準中，全面地規定了信息網絡端到端安全服務體系的架構模型。這一模型包括3層3面8個維度，即應用層、業務層和傳送層，管理平面、控制平面和用戶平面，認證、可用性、接入控制、不可抵賴、機密性、數據完整性、私密性和通信安全， 如圖2所示。

X.805模型各個層(或面)上的安全相互獨立，可以防止一個層(或面)的安全被攻破而波及到其他層(或面)的安全。這個模型從理論上建立了一個抽象的網絡安全模型，可以作為發展一個特定網絡安全體系架構的依據，指導安全策略、安全事件處理和網絡安全體系架構的綜合制定和安全評估。因此，這個模型目前已經成為開展信息網絡安全技術研究和應用的基礎。

互聯網工程任務組(IETF)的安全域專門負責制定Internet安全方面的標準，涉及的安全內容十分廣泛并注重實際應用，例如IP安全(IPsec)、基于X.509的公鑰基礎設施(PKIX)等。目前，IETF制定了大量的與安全相關的征求意見稿(RFC)，其他標準組織或網絡架構都已經引用了這些成果。

本文提出的NGN安全體系架構就是在應用X.805安全體系架構基礎上，結合NGN體系架構和IETF相關的安全協議而提出來的，如圖3所示，這樣可以有效地指導NGN安全解決方案的實現。

2 NGN的安全需求

網絡安全需求將用戶通信安全、網絡運營商與業務提供商運營安全緊密地結合在一起。當IP技術作為互聯網技術被應用到電信網絡上取代電路交換之后，來自網絡運營商、業務提供商和用戶的安全需求就顯得特別重要。

為了給網絡運營商、業務提供商和用戶提供一個安全可信的網絡環境，防止各種攻擊，NGN需要避免出現非授權用戶訪問網絡設備上的資源、業務和用戶數據的情況，需要限制網絡拓撲結構的可見范圍，需要保證網絡上傳送的控制信息、管理信息和用戶信息的私密性和完整性，需要監督網絡流量并對異常流量進行管理和上報。

在X.805標準的指導下，通過對NGN網絡面臨的安全威脅和弱點進行分析，NGN安全需求大致可以分為安全策略，認證、授權、訪問控制和審計，時間戳與時間源，資源可用性，系統完整性，操作、管理、維護和配置安全，身份和安全注冊，通信和數據安全，隱私保證，密鑰管理， NAT/防火墻互連，安全保證，安全機制增強等需求。

(1) 安全策略需求

安全策略需求要求定義一套規則集，包括系統的合法用戶和合法用戶的訪問權限，說明保護何種信息、以及為什么進行保護。在NGN環境下，存在著不同的用戶實體、不同的設備商設備、不同的網絡體系架構、不同的威脅模型、不均衡的安全功能開發等，沒有可實施的安全策略是很難保證有正確的安全功能的。

(2) 認證、授權、訪問控制和審計需求

在NGN不同安全域之間和同一安全域內部，對資源和業務的訪問必須進行認證授權服務，只有通過認證的實體才能使用被授權訪問實體上的特定資源和業務。通過這一方法確保只有合法用戶才可以訪問資源、系統和業務，防止入侵者對資源、系統和業務進行非法訪問，并主動上報與安全相關的所有事件，生成可管理的、具有訪問控制權限的安全事件審計材料。

(3) 時間戳與時間源需求

NGN能夠提供可信的時間源作為系統時鐘和審計時間戳，以便在處理未授權事件時能夠提供可信的時間憑證。

(4) 資源可用性需求

NGN能夠限制分配給某業務請求的重要資源的數量，丟棄不符合安全策略的數據包，限制突發流量，降低突發流量對其他業務的影響，防止拒絕服務(DoS)攻擊。

(5) 系統完整性需求

NGN設備能夠基于安全策略，驗證和審計其資源和系統，并且監控其設備配置與系統未經授權而發生的改變，防止蠕蟲、木馬等病毒的安裝。為此，設備需要根據安全策略，定期掃描它的資源，發現問題時生成日志并產生告警。(對設備的監控不能影響該設備上實時業務的時延變化或導致連接中斷。)

(6) 操作、管理、維護和配置安全需求

NGN需要支持對信任域、脆弱信任域和非信任域設備的管理，需要保證操作、管理、維護和配置(OAMP)信息的安全，防止設備被非法接管。

(7) 身份和安全注冊需求

NGN需要防止用戶身份被竊取，防止網絡設備、終端和用戶的偽裝、欺騙以及對資源、系統和業務的非法訪問。

(8) 通信和數據安全需求

NGN需要保證通信與數據的安全，包括用戶面數據、控制面數據和管理面數據。用戶和邏輯網元的接口以及不同運營商之間的接口都需要進行安全保護，信令需要逐跳保證私密性和完整性。

(9) 隱私保證需求

保護運營商網絡、業務提供商網絡的隱私性以及用戶信息的隱私性。

(10) 密鑰管理需求

保證信任域與非信任域之間密鑰交換的安全，密鑰管理機制需要支持網絡地址映射/網絡地址端口轉換(NAT/NAPT)設備的穿越。

(11) NAT/防火墻互連需求

支持NGN中NAT/防火墻功能。防火墻可以是應用級網關(ALG)、代理、包過濾、NAT/NAPT等設備，或者上述的組合。

(12) 安全保證需求

對NGN設備和系統進行評估和認證， 對網絡潛在的威脅和誤用在威脅、脆弱性、風險和評估(TVRA)中有所體現。

(13) 安全機制增強需求

對加密算法的定義和選擇符合ES 202 238的指導[10]。

(14) 其他安全需求

安全管理和不可否認性需求等還處于待研究的狀態。

3 NGN安全體系架構

NGN安全體系架構是一個體系，本身很難用一個單一的標準來涵蓋，其設計需要滿足以下條件：

具有可擴展性、實用性；

基于成熟的安全機制和實現技術；

能夠實現應用層、業務層和傳輸層的分離，不同層次上能夠采用不同的安全措施；

安全措施的應用不影響業務的服務質量；

滿足網絡運營商、業務提供商和用戶的安全需求；

能夠實現互操作。

NGN在網絡架構中引入了多種商業模型，例如，接入網和骨干網可能屬于不同的運營商，有不同的安全策略，需要隔離不同層面的安全問題。為此，NGN按照邏輯方式和物理方式，對圖 1中的網絡進行了劃分，形成了不同的安全域，每一安全域可以對應著一種特定的安全策略，運營商通過實施各種安全策略對安全域里和安全域間的功能要素和活動進行保護。

安全域可以分為信任域、脆弱信任域和非信任域。對于某一特定的網絡運營商，信任域是指不與用戶設備直接通信、處于該運營商完全控制之下的安全域，例如骨干網；脆弱信任域是指屬于該網絡運營商管理但不一定由該網絡運營商控制、連接信任域和非信任域的安全域，例如接入網、邊界網關；非信任域是指不屬于該運營商管理的安全域，例如用戶網絡、不被信任的其他運營商網絡。在不同的安全域里，安全威脅、脆弱性、風險是不同的，因此安全需求也就不一樣，網絡運營商和業務提供商需要分別制定安全策略，采用各種安全機制的組合，來保證其網絡和網絡之上端到端用戶業務的安全性。

根據NGN分層的思想(如圖1所示)，NGN安全體系架構，在水平方向上可以劃分為傳送層安全和業務層安全。傳送層和業務層的安全體系架構應相對獨立，傳送層安全體系架構主要是解決數據傳輸的安全，業務層安全體系架構主要解決業務平臺的安全。例如，電信和互聯網融合業務及高級網絡協議(TISPAN)規定，傳送層采用網絡附著子系統(NASS)憑證， 業務控制層采用IP多媒體子系統(IMS)認證和密鑰協商(AKA)模式，應用層采用基于通用用戶識別模塊(USIM)集成電路卡(UICC)的GBA (GBA-U) 模式。

NGN安全的系統架構在垂直方向上可以劃分為接入網安全、骨干網安全和業務網安全，從而使得原來網絡端到端安全變成了網絡逐段安全。在垂直方向上，NGN可以被劃分成多個安全域。

接入網通過接入控制部分對用戶的接入進行控制，防止非授權用戶訪問傳送網絡，并負責用戶終端IP地址的分配；骨干網通過邊界網關對網絡互連進行控制，保證只有被授權的其他網絡上的用戶面、控制面和管理面才能接入信任域；業務網通過業務控制部分和根據需要通過應用與業務支持部分對用戶訪問業務進行控制，防止非授權用戶訪問業務，或授權用戶訪問非授權業務。

安全域之間用安全網關(SEGF)互聯，如圖4所示。在每個安全域里，除了SEGF之外，可能還存在SEG證書權威(CA)和互聯CA。同一個安全域的SEGF采用IETF安全協議實現域內端到端安全。

SEGF是安全域邊界實體，是防范來自其他安全域攻擊的主要網元。它通過將來自其他安全域的流量與信任域內流量進行隔離，要求其他安全域流量必須通過特定的SEGF才能進入信任域，在向信任域里轉發來自其他安全域的流量前，必須進行驗證，以防止攔截、篡改、拒絕式攻擊、地址和身份欺騙、竊聽、偽裝等安全事件在信任域里的出現。例如，可以根據指定的安全策略，在管理面和控制面上使用接入控制，限制特定用戶接入或對特定業務的訪問。SEGF需要實現設備級物理安全措施、系統加固、安全信令、OAMP 虛擬專網(VPN)等方式之外，還需要采用防火墻、入侵檢測、內容過濾、VPN接入、VPN互連等功能。

SEGF提供的安全服務包括認證、授權、私密性、完整性、密鑰管理和策略實施等。SEGF對于從信任域里發送來的請求，可以采用信任方式，不需要再進行驗證。

4 安全機制

網絡安全機制，就是在安全體系架構下實現這些安全需求，防止未授權的信息采集與信息攔截、非法設備接管與控制、資源與信息的破壞/刪除/修改/泄露、業務中斷等安全問題的發生。

4.1 身份識別、認證與授權機制

用戶訪問網絡，需要向網絡和業務申明其身份，以便網絡和業務能夠識別其是否有權限訪問所申請的資源和業務。

目前用于身份識別的技術多種多樣，如身份識別模塊(SIM)卡、智能卡、用戶名/口令、設備序列號、電話號碼、標識、令牌、生物特征碼、數字證書、消息認證碼等。

在NGN中，存在著不同的接入方式、不同的網絡運營商、不同的業務提供商，為了使用戶能夠無縫透明地使用網絡業務，需要在用戶與各個網絡和業務之間建立一種信任關系。為了對用戶進行統一管理，OPENID、OASIS、LIBERTY ALLIANCE等標準組織在開展身份管理(IdM)的研究，ITU-T目前也設置了專門的焦點組(FG)，希望在未來能夠用統一的身份對各種NGN實體進行管理，如業務提供商、網絡運營商、網元、用戶設備、用戶等。

此外，當非信任域實體需要訪問脆弱信任域實體或通過脆弱信任域實體訪問信任域實體時，或者用戶終端需要訪問非信任域實體時，甚至安全域內部實體互相訪問時，根據安全策略設置，可能需要進行單向認證或雙向認證，也就是請求訪問的實體需要與管理被訪問實體的認證者(Authenticator)之間交換憑證(Credentials)，Authenticator根據收到的Credentials，采用預先約定的共享密鑰方式或X.509證書方式，將資源請求或業務請求與發起請求的網絡設備、用戶設備和用戶關聯起來，利用事先存儲的該網絡設備、用戶設備和用戶的Credentials，進行身份認證。只有通過身份認證的請求訪問實體，才能與被訪問實體進行通信。

同時，根據安全策略的設置，可能需要對該請求訪問實體的訪問權限進行限定，使得通過認證的請求訪問實體只能根據授權使用被訪問實體上指定的資源和業務。認證與授權技術非常多，主要包括： IETF PAP、CHAP、EAP、PANA、RADIUS、DIAMETER、LDAP、Kerberos、3GPP AKA、GAA/

GBA、IEEE 802.1x等。

4.2 傳送安全機制

在NGN體系架構中，采用VPN技術保證信令信息和OAMP信息的安全。四層VPN技術主要為傳輸層安全(TLS)，三層VPN技術主要為IPsec。其中，TLS是基于客戶端服務器模式實現，在傳輸控制協議(TCP)或流控制傳輸協議(SCTP)上傳送，可以用于各個安全域內，也可以用于不同的安全域之間，能夠保證傳送信息的私密性和完整性；IPsec在IP層上傳送，通常用于信任域內、脆弱信任域內和不同安全域之間，能夠在保證傳送信息私密性和完整性的同時防止重放攻擊。IPsec有多種認證算法，在NGN中，可能采用RFC 2403 HMAC-MD5-96和RFC 2404 HMAC-SHA-1-96中方法，對于其中的密鑰，可以采用互聯網密鑰交換(IKE)實現密鑰自動交換。

通常情況下，NGN中不考慮媒體流的安全問題。如果用戶要求對媒體流的安全進行保護，則可以采用安全實時傳輸協議(SRTP)或簡單認證安全層(SASL)技術，能夠提供認證、私密性和完整性保護。

傳送安全機制中，為了避免出現重復加密、影響網絡性能的現象，不同的技術不能同時使用。

4.3 訪問控制機制

訪問控制機制通常與身份識別、認證與授權機制結合在一起，能夠有效地防止非授權用戶或設備使用網絡資源、系統、信息和業務，以及授權用戶或設備非法訪問未授權的網絡資源、系統、信息和業務。

4.4 審計與監控機制

NGN設備需要對其上發生的所有事件，根據安全策略的要求，記錄安全日志，并能夠由簡單網絡管理協議(SNMP)通過IPsec將日志信息發送到指定的服務器上，以便能夠評價系統的安全性和分析系統出現的安全問題。NGN設備需要支持日常維護和安全補丁檢測與自動安裝功能，支持系統自動恢復和回滾功能。NGN設備上需要安裝完整性驗證代理，當發現問題時，需要上報。NGN可能需要通過OAMP對用戶駐地設備-邊界元素(CPE-BE)進行管理，此時CPE-BE需要具有同樣功能，且信息傳送需要通過VPN技術實現。

NGN網絡可能需要為非信任域的用戶駐地設備(CPE)提供配置機制。在CPE啟動階段，CPE通過位于脆弱信任域中的設備配置與啟動-邊界元素(DCB-BE)進行認證，建立傳送安全通道，與位于信任域中的CPE配置單元建立聯系，獲取配置文件。

4.5 密鑰交換與管理機制

密鑰生成、存儲和交換方式的安全性和證書格式、證書驗證方式是信息網絡安全性研究的核心內容之一，NGN支持采用預共享密鑰或公私密鑰對進行加密兩種加密方式，支持現有的各種密鑰交換與管理機制，主要包括：IETF PKIX、IKEv2、D-H交換、Mikey、ITU X.509、X.akm、手工配置等方式。

4.6 OAMP機制

NGN具有獨立的OAMP IP地址塊，每個設備上有物理接口或邏輯接口，在該地址塊內分配IP地址，用于OAMP接口。因此，NGN設備將在OAMP接口上直接丟棄從其他IP地址來的OAMP流量，而且將在其他接口上直接丟棄OAMP流量。訪問NGN設備上的OAMP接口，需要通過認證；當通過認證的用戶訪問時，系統將提供日志功能和回滾功能。另外，如果OAMP流量通過非信任區，則需要采用安全措施。

4.7 系統管理機制

為了規避安全問題，減少網絡安全漏洞，NGN上只有得到應用的設備才能存在于網絡上；設備上沒有使用的端口必須關閉掉；設備上的操作系統必須配置好安全措施，并及時地進行加固，一旦設備供應商提供了安全補丁，在經過網絡運營商或業務提供商許可后，需要立即安裝；設備上需要配置物理的或邏輯的接入控制措施；設備上應用軟件與系統軟件相比具有更低的優先級；網絡管理系統與被管理實體之間的信息傳送需要采用VPN技術實現。

4.8 其他機制

NGN中，一方面采用了現有的多種安全機制，來滿足安全需求，例如，采用加密方法實現隱私保證、通信和數據安全等；另一方面，一些安全機制還有待研究，例如NAT/防火墻穿越安全機制。

5 結束語

當今，隨著網絡應用的普及，財富日益集中在網絡上，幾乎每一個人都在關注信息網絡中的安全問題。越是有錢的消費者，對安全越重視；越是高端的運營商，也就越重視安全。為了滿足社會日益增長的網絡安全需求，中興通訊公司在TCP/IP協議棧平臺基礎上，進一步開發了終端安全模塊、業務系統安全模塊、網管系統安全模塊、無線網絡安全模塊、有線網絡安全模塊等，為中興通訊公司全系列通信產品提供統一的安全解決方案，覆蓋ITU-T X.805 3層3面8個維度，包括現有各種安全技術，具有很強的靈活性和可擴展性，能夠經濟地、有效地保護政府部門、網絡運營商、業務提供商和用戶對現有網絡使用的合法權益。

網絡安全是一個相對的概念，絕對的網絡安全是不存在的。隨著NGN技術和Everything over IP的發展，網絡安全的需求將變得更加迫切。

本文提出的NGN各種安全技術，能夠很容易地被中興通訊公司統一安全解決方案平滑地支持，能夠滿足不同應用環境下網絡運營商、業務提供商和用戶多樣化的安全需求，在保證實現NGN上資源、系統和用戶信息安全的同時滿足政府部門對于合法監聽的需求，為網絡運營商和業務提供商開展差異化競爭提供了重要的手段。

6 參考文獻

[1] ISO/IEC 13335. Information technology—Guidelines for the management of IT security[S]. 2004.

[2] ETSI TS 187 001. Telecommunications and Internet converged services and protocols for advanced networking (TISPAN); NGN SECurity (SEC); Requirements[S].

[3] ETSI TR 187 002. Telecommunications and Internet converged services and protocols for advanced networking (TISPAN); TISPAN NGN security (NGN_SEC); Threat and risk analysis[S].

[4] ITU-T TD 322(WP2/13). Draft Y.NGN certificate management[S].

[5] ITU-T TD 312(WP2/13). Proposed texts for draft Y.IdMsec (NGN identity management security)[S].

[6] ITU-T TD TD 199 (WP 2/13). Draft Recommendation Y.2012 (formally Y.NGN-FRA) [Draft Version 0.8][S].

[7] ETSI ES 282 003. Telecommunications and Internet converged services and protocols for advanced networking (TISPAN); Resource and admission control sub system (RACS); Functional architecture[S].

[8] ITU-T X.805. Security architecture for systems providing end to end communications[S].

[9] ITU-T TD 256 (PLEN). Output of draft recommendation Y.2701 (Security requirements for NGN Release 1)[S].

[10] ETSI ES 202 238. Telecommunications and Internet protocol harmonization over networks (TIPHON); Evaluation criteria for cryptographic algorithms (NGN Release 1) for decision [S].

[11] ETSI ES 282 001. Telecommunications and Internet converged services and protocols for advanced networking (TISPAN); NGN functional architecture release 1 [S].

[12] ETSI ES 282 004. Telecommunications and Internet converged services and protocols for advanced networking (TISPAN); NGN functional architecture; Network attachment sub system (NASS)[S].

[13] ETSI TS 133 210. Digital cellular telecommunications system (Phase 2+); Universal mobile telecommunications system (UMTS); 3G security; Network domain security (NDS); IP network layer security (3GPP TS 33.210)[S].

[14] ETSI TS 133 222. Universal mobile telecommunications system (UMTS); Generic authentication architecture (GAA); Access to network application functions using hypertext transfer protocol over transport layer security (HTTPS) (3GPP TS 33.222)[S].

[15] ITU-T TD 328(WP2/13). Draft recommendation Y.secMechanisms (NGN security mechanisms and procedures) [S].

[16] ITU-T TD 323(WP2/13). Output Draft Y.NGN Authentication[S].

[17] ITU-T TD 324(WP2/13). The Second Version of Y.NGN AAA [S].

收稿日期：2007-07-20

作者簡介：

滕志猛，博士，畢業于東南大學。曾工作于南京大學博士后流動站和江蘇省多媒體通信局，現工作于中興通訊股份有限公司。曾負責數據通信產品和移動通信產品的研發，現負責中心研究院數據分中心的產品預研，長期從事網絡規劃與設計、網絡服務質量保證、網絡安全技術和業務實現技術的研究。

吳波，西安電子科技大學碩士畢業?，F任中興通訊股份有限公司中心研究院數據分中心系統工程師，曾從事IP產品和平臺的開發，現主要從事下一代網絡技術預研。

韋銀星，博士，畢業于上海交通大學。現任中興通訊股份有限公司中心研究院數據分中心系統工程師，曾參加3G平臺產品的研發，現主要研究領域為下一代網絡技術、網絡安全技術。已發表論文10余篇。