如何提高ＮＧＮ網絡的安全性

摘要:在NGN網絡大規模投入商用的今天，NGN網絡的安全性、可靠性越來越重要，該文從寬帶數據業務隔離、NGN組網安全性、NGN設備接口的主備用倒換機制、防火墻的安全機制、IP地址及VLAN規劃、設置以太網端口的鏈路類型、提高數據的安全性等方面提高NGN網絡的安全性、可靠性。

關鍵詞:提高;NGN網絡;安全性

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)24-6683-02

How to Enchance Security of NGN Network

XUE Ming-hua

(China Tietong Tellcommunications Corporation Hefei Brangh， Hefei 230011， China)

Abstract: When NGN network is applied to business extensively today， the security and reliability of NGN network become more and more important. The abstract will decribe how to enchance the security and reliability of NGN network from isolation of Broadband Data Services， security of NGN topo， switch mechanism of main unit and backup unit based NGN device interface， secure mechanism of firewall， plan of IP address and vlan， the link type setting of Ethernet port and improving data security.

Key words: enchance; NGN network; security

NGN既下一代網絡，基于NGN網絡的軟交換技術是近年發展起來的一種新的呼叫控制技術，具有開放的體系架構、基于分組傳輸、能夠提供多種接入方式等特點，可以提供語音、多媒體等多種實時業務，已經逐漸成為電路交換向分組交換演進的主流技術，軟交換技術已趨于成熟，達到了組建商用網絡的技術條件要求，采用軟交換技術實現電路交換向分組交換演進是電話網發展的重要技術舉措。

軟交換系統由多種設備組成，主要包括軟交換設備、中繼網關、信令網關、接入網關、媒體服務器、應用服務器等網絡側設備以及綜合接入設備(IAD)、SIP終端等終端側設備。主要應用集中在利用軟交換提供長途匯接和本地用戶接入業務，以及為企業用戶提供綜合通信解決方案。目前，由于國內電信重組，各運營商都將面臨著全業務經營，所以對新的網絡設備提出了新的要求:對于核心網絡，運營商希望能夠支持多種流量、多種業務，具有豐富的協議、大容量和高性能;對于邊緣網絡，運營商要求具有豐富的接口能力;對于業務，運營商希望提供靈活有效的業務平臺和用戶可接受的新型終端設備;對于網絡管理和維護，運營商則需要智能化的管理體系確保NGN網絡的安全性。

NGN網絡替代了傳統的PSTN業務，同時增加了很多新業務。由于其電信業務的特點，不同于普通的寬帶數據業務，NGN IP承載網需要進行特殊的規劃和設計。電信系統的安全性要求高于普通的寬帶上網業務，NGN VoIP語音數據/視頻數據，信令數據和網管數據，都需要和傳統的寬帶數據業務隔離，建立NGN業務專網，以保證NGN網絡的安全性。目前隔離的手段有以下兩種:

1) 采用IP物理專網方式組建NGN承載網，這是目前采用最多的方式，安全性最好。

2) 通過MPLS VPN組建多業務網絡，NGN承載網作為一個VPN存在。如果寬帶數據業務和NGN業務共用物理承載網，需要在接入邊界對寬帶業務流進行優先級強制標識，以防止流量攻擊。

可以從以下幾個方面提高NGN網絡的安全性:

1 NGN組網安全性

NGN網絡具有全IP、分布式、語音數據融合、伸縮性強等特點和優勢，但隨之而來的是網絡安全問題。如果把NGN網絡中的關鍵部件直接暴露在公共網絡中，由于IP網絡的固有特性，NGN構件必然會受到有意無意的攻擊，從而影響運營質量。因此組網安全性問題是NGN規模商用首先要解決的問題之一，也是用戶衡量NGN技術成熟度的首要問題之一。

解決網絡安全問題的基本思路是:實施網絡分隔，保護核心部件;采用代理技術，提供智能終端用戶接入通道;增加設備認證、協議加密及訪問控制，解決終端用戶接入的安全性。

NGN作為局端信令和控制流的局域網絡，是NGN系統中的關鍵網絡。為保證這個網絡的可靠性，所有接入到此網絡中的NGN設備端口均采用主備用或負荷分擔工作模式，所有組網設備和互連鏈路均有備份倒換機制，同時NGN承載網入口處的邊緣路由器支持OSPF/BGP等動態路由協議。

2 NGN設備接口的主備用倒換機制

NGN網關設備的外部以太網口可工作于主備用模式。在主備用模式下，兩個以太網口MAC地址不同，但是配置為相同的IP地址。系統初始狀態下主用端口處于激活狀態，通過ARP協議與二層網絡中的其他設備(包括三層交換機的路由模塊)通信。主用端口運行過程中檢測網絡接口的鏈路狀態，當檢測到端口二層鏈路中斷等異常后，將本端口倒換到備用狀態，原備用端口升為主用，備用端口激活后通過ARP協議更新網絡中其他節點的ARP表，從而使本設備對外的通信正常。導致NGN端口倒換的故障包括網線斷、網口物理層芯片硬件故障、三層交換機故障等。

3 防火墻的安全機制

當NGN IP核心網進行了良好的網絡分隔時，在網絡基礎架構的層次上已經保證了安全性，因此局端出口處不需要配置防火墻。在某些特殊網絡情況下，NGN IP核心網未能進行有效網絡分隔時，局端出口處需要配置防火墻保證安全性。局端出口處的防火墻的作用是保護NGN局端設備，由于工作流程、協議等的巨大差異。此處防火墻的工作模式與企業網、Web網站等配置的防火墻有較大不同。

4 IP地址及VLAN規劃

NGN局端設備組網方案的實施需要客戶提供IP地址資源，下面給出一些IP地址的規劃方法。NGN網關的一對IFMI占一個IP地址，上層L1、L2做VRRP，這樣每個三層交換機各需要一個地址做NGN的網關，而NGN網關上一對IFMI只能有一個網關，這樣就需要把三層交換機上的兩個地址虛擬為一個地址做NGN的網關共占4個IP地址，每個IP地址段肯定有兩個地址不能用(主機地址全0和全1)，IP地址段大小為2n，那么就需要一個8個地址的段，且還剩2個地址未用。若在此基礎上擴容設備，地址占用超過了2個，那么就需要把地址段放大為16位，但此時涉及各設備上子網掩碼的更改、鄰近IP地址段已申請不到，實際中不大可能;所以只能再用一個新的地址段，劃分新的VLAN并再做一個VRRP來分給這些設備。

5 設置以太網端口的鏈路類型

以太網端口有三種鏈路類型:Access、Trunk和Hybrid。Access類型的端口只能屬于1個VLAN，一般用于連接計算機的端口;Trunk類型的端口可以屬于多個VLAN，可以接收和發送多個VLAN的報文，一般用于交換機之間連接的端口;Hybrid類型的端口可以屬于多個VLAN，可以接收和發送多個VLAN的報文，可以用于交換機之間連接，也可以用于連接用戶的計算機。

6 提高數據的安全性

數據的安全是指保證用戶通信數據的完整性(不被修改)和安全性(不被偷聽);數據傳輸的安全，包括NGN網絡設備(如軟交換和媒體網關)與終端之間傳輸協議的安全、用戶之間媒體信息傳輸的安全、用戶私有信息(用戶名、密碼等)的安全等。要保證這些信息不為非法用戶竊取和修改，可以要求所有的用戶控制信息和媒體信息都要經過邊緣接入控制器，這樣可以保證所有的NGN通信都會經過NGN網絡中的設備。另外，還可以通過采用一些安全機制，讓開放的IP網絡具有類似TDM的安全性。其中的一種方式就是虛擬通道。目前比較成熟也比較通用的技術是，采用MPLS VPN技術構建相對獨立的VPN網絡。這種方法可以在NGN的核心網絡使用，將整個IP網絡分成幾個不同的隔離空間:公共網絡、ISP、ASP、用戶網絡、業務子網等，使得非MPLS VPN內的用戶無法訪問到NGN網絡中的設備，從而保證NGN網絡的安全。

還有一種信息是關于用戶的驗證信息，包括用戶名、密碼、賬號等，這是非法用戶經常偷聽的信息，一定要保證這種信息的安全性和完整性。這種信息通常比較短，因此，常用的加密算法是MD5。

7 結束語

通信安全性、可靠性越來越重要，不但影響公眾生活，還直接影響國家利益和國家安全。NGN安全研究涉及廣泛，包括法律法規、技術標準、管理措施、網絡規劃、網絡設計、設備可靠性、業務特性、商業模式、纜線埋放、加密強度、加密算法、有害信息定義等大量領域。隨著NGN技術的大規模商用，提高NGN的安全性、可靠性的研究將更為迫切，需要長期努力。