NGN網絡安全探討

翟瀟

（大慶油田信息技術公司，黑龍江 大慶 1630000）

NGN系統各層的網絡單元通過標準協議實現互通，研究人員為了實現業務之間的相互擴展及IP網絡端與端設備的相互性，構建了一個相對網絡架構，并且可以讓不同設備和網絡接入。NGN為我們提供便利的同時，也帶來了更加嚴峻的安全問題，正是這種開放性令網絡更易遭受安全威脅。在以增值業務為主導的商業模式下，在這以IP網絡為中心、在開放的業務平臺上提供多種服務的下一代網絡中，NGN網絡的安全性顯得尤為重要。

1 NGN網絡安全隱患

（1）網絡具有脆弱性。網絡具有脆弱性具體體現在以下兩個方面上：第一，設備端口存在被非法使用的可能性；第二，信息傳遞可能出現失誤，進而導致信息丟失。

（2）網絡通信協議存在缺陷。網絡通信協議的存在本身就具有高危險性，尤其是開放的網絡通信協議危險性更強，這會令網絡容易受到攻擊，并降低了網絡的安全程度。

（3）網絡通信軟件存在漏洞。NGN中的網絡通信軟件需要建立在既定操作之上，常見的操作系統有UNIX、Linux、Windows等，但是這些操作系統已經被大眾所熟知，因此容易遭到攻擊和運行干擾。

（4）網絡結構存在安全隱患。NGN在網絡結構設計上并不能全面解決其面對的安全問題，具體表現是缺少對核心設備的保護和對安全風險的控制，這需要設計人員進一步加強和完善。

（5）硬件安全缺陷。NGN中的硬件設備同樣存在安全隱患，需要設計人員進一步改善，例如應用協議處理卡和安全恢復等。

（6）IP地址問題。在目前NAT設備實現過程中，為了解決IP地址匱乏的問題，往往采用多個私網IP地址動態映射到一個上行口IP地址解決方案，因此對于NGN核心設備軟交換來說不能直接與NAT環境中終端設備建立會話。防火墻一方面組織外部網絡的未授權或未認證的訪問，另一方面允許內部網絡的用戶對外部網絡進行web訪問或收發Email等。由于NGN核心設備的重要性，核心設備也需要防火墻的保護。但由于防火墻的存在接入設備和核心設備的通訊變得十分困難。

（7）核心安全如何保障。軟交換核心網元直接對終端IAD/SIP電話/軟終端可見，IP報文可以直達軟交換等核心設備，容易受到攻擊。終端智能化傾向，終端的能力較強軟終端的使用導致在NGN網絡中引入了許多IP網固有的安全問題，如DOS攻擊。傳統的防火墻設備無法阻止信令層如SIP協議的攻擊。

（8）如何保證信令、媒體的QOS、終端和業務的多樣化，對帶寬和QOS的不同需求。接入路由器設備無法區分信令和媒體，無法區分不同的NGN用戶。傳統的防火墻設備無法完成更多針對性的信令安全防范：如各種信令攻擊，各種流量控制等。

2 大慶油田NGN網絡安全解決方案

提高NGN網絡的安全性，可以從兩個方面入手：一是從網絡部署方面入手；二是使用安全的傳輸機制。

（1）合理規劃核心設備。NGN核心設計規劃工作需要在開放的IP網絡中進行，為此需要保障網絡和核心設備的安全，具體如下：①需要在NGN核心設備應用網絡和外網之間建立防火墻，通過防火墻將安全區域和危險區域隔絕開來，同時結合不同核心設備的安全需求采取防護措施；②提高NGN核心設備和網絡的防御能力，設備中的關鍵構件需要進行重點設置，避免出現單項故障；③所有設備的通信網絡都需要設置在防火墻內，避免在外網中受到不法分子的攻擊。

（2）合理設置承載網?，F假設專用承載網核心設備由兩臺T600路由器組成，核心接入設備8908交換機都采用雙歸屬通過光纖直連分別連接至兩臺T600，接入層交換機同樣采用雙歸屬通過光纖直連或SDH分別連至兩臺8908。此種連接模式在最大程度上保證了鏈路的帶寬和穩定性，但缺點是存在設備單點故障及消耗大量的光纜資源。

（3）分級管理。在NGN網絡管理中應用分級管理方式，并且由專門的人員對網絡端口進行管理，不同級別管理人員能夠管理的范圍有所差別，并且不能越級管理。

3 SBC原理與應用

軟交換用戶接入方式有兩種：第一種接入方式是PSTN交換機接入；第二種是IP—IP、IP—PSTN接入。但由于IPV4地址空間有限，再加上互聯網用戶不斷增多，導致IP地址日漸匱乏，滋生了運營商或企業用戶應用私有IP地址的現象。由此，公私地址轉換、接入安全保證、QOS保證都需要一種中間設備來解決問題。

SBC即會話邊界控制器，是IP地址私有化問題的有效解決方式。SBC的核心功能如下：為不同子網的IP語音（以及視頻的其他實時會話業務）信令和媒體提供功能；同時在網絡邊緣對所處理業務進行保障（防攻擊、VPN隔離、防火墻等）和QOS控制。具體的網絡位置：接入或匯聚點、互通的網絡邊緣。

3.1 SBC 功能

（1）信令處理功能。SBC能夠接受信令，并結合用戶實際需求處理消息。具體而言，SBC在處理信令時，需要現對信令中的Contact內容進行替代，然后將其發送給核心網，從用戶的角度實現和核心網之間的連接，并且兩者的連接和發送信息的過程中會屏蔽IMS核心網拓撲信息，進而實現對對核心網絡的保護。

（2）安全防護功能。安全防護功能是SBC十分重要的功能之一，其主要原因是該功能能夠應用防火墻，進而保護核心網絡。SBC在處理完信令信息支護，可以隱藏信息，實現了對核心網拓撲的隱藏，并且SBC還能夠過濾畸形消息，使其不再進行轉發。此外，SBC還可以對用戶發起的過量的消息的過濾和分散。

（3）資源管理功能。SBC可能在實際應用中連接多個連接入口，此時，想要實現資源的虛擬化，SBC需要為多個用戶提供接入方式，因此需要對資源進行管理和劃分。

3.2 SBC 工作流程

SBC的工作流程包括注冊流程、呼叫流程。

（1）注冊流程。①終端設備自動配置注冊地址為用戶端接口地址，由IAD向SBC發出注冊請求；②SBC在接收到注冊請求后，將其分配受到最近的接口地址上，并分配空閑端口，轉換注冊請求的地址，向軟交換系統發出注冊請求；③軟交換系統在確認用戶的身份之后，向SBC發送響應報文；④SBC結合上述信息向用戶端轉發響應報文，并將該報文轉發至用戶終端，完成注冊過程。

（2）呼叫流程。①IAD1呼叫報文中的IP源地址、端口號，此為私網地址和端口；②防火墻FW1接收到IAD1的呼叫后，為其分配一個公網地址，并將信息記錄在NAT地址轉換表項中，向SBC轉發報文；③SBC為其分配就近的信令及媒體地址，并分配空閑端口，轉換注冊請求的地址，向軟交換系統轉發報文；④查詢系統發現被叫號碼注冊地址是SBC的就近地址，將呼叫報文轉發到SBC；⑤SBC轉發呼叫分配就近的地址和信令，轉換報文頭部和凈荷中的地址信息，并轉發該報文到FW2；⑥FW2結合用戶注冊信息，修改報文頭中的地址端口信息，并轉發給被叫終端用戶；⑦網絡IAD2發出呼叫響應到網絡FW2，FW2為其分配一個公網地址，轉換報文頭部和凈荷中的地址信息，并轉發該報文到SBC，分配就近的地址和信令，轉換報文頭部和凈荷中的地址信息，并轉發該報文到軟交換查詢系統；⑧軟交換查詢系統發現IAD2的發出呼叫響應是由SBC呼叫的，將呼叫報文轉發到SBC，SBC收到信息后，為本次會話分配分配就近的地址和信令，轉換報文頭部和凈荷中的地址信息，并轉發該報文到IAD1；⑨呼叫成功后，終端設備之間開始媒體流交互，整個呼叫流程完成。

3.3 SBC 應用場景

SBC主要有兩種應用場景，均需完成地址轉換和用戶接入控制功能。

（1）SBC置于NGN承載網和互聯網之間。SBC跨接于NGN承載網和互聯網之間，此時SBC需提供2個網口及2個IP地址。此種場景一是用于NGN建設初期承載網覆蓋范圍不夠，作為NGN網絡的延伸；二是可利用互聯網超大的覆蓋面積，使IAD、軟終端等方便接入軟交換系統，方便外地辦公人員與本地溝通，節省長途通信費用。

（2）SBC置于多個NGN系統之間。此方案一般應用情況如下：①兩個運營商業務網均為公網，BGW應用戶要求置于兩網之間，用于隱藏拓撲；②兩個運營商業務網為不能直接互通的網絡，BGW置于兩網之間，用于地址轉換。

4 結語

在互聯網資源有限的情況下，需要重點保護中心設備和核心網絡，如果條件允許可以將保護擴展到整體網絡系統中，如果不能做到總體保護也需要保證不出現重大漏洞，同時需要對核心網絡和外網進行區分，避免安全問題擴散到整體的網絡系統中，以此來保障NGN的安全。