NGN承载网网络安全

开篇：润墨网以专业的文秘视角，为您筛选了一篇NGN承载网网络安全范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要：ngn承载网的安全性与可靠性，NGN部件设备自身安全规格以及NGN承载网的网络安全等内容。

关键词：NGN、网络、安全

中图分类号：F626.5 文献标识码：A文章编号：2095-2104（2012）

0引言：

NGN(Next Generation Network)称为下一代网络，具有综合、开放的网络架构，主要由业务管理和应用平面、业务控制平面、核心交换平面、边缘接入平面四个不同的功能平面组成，在统一的分组网络上提供话音、数据和多媒体等业务。其中核心交换平面由高速分组交换网络（IP/ATM）组成，正如Internet一样，NGN网络所依托的数据网的开放性和公用性，不可避免地会受到黑客或病毒程序的攻击或干扰，因此NGN也面临着安全问题，如用户仿冒、盗打、破坏服务、抢占资源等。为此NGN承载网必须从接入层保证用户的隔离、可管理等基本措施，防范常见的各种攻击手段。

1 NGN部件设备自身安全规格

软交换、媒体网关、业务服务器、IAD设备等NGN部件在IP网中的地位类似于网络主机设备，因此要求这些设备应具备数据网中主机设备所具有的安全规格，如用户登录管理、安全登录方式（SSH）、网管安全、安全日志等。其承载网必须与互联网进行物理或逻辑隔离，与互联网的互通必须通过安全设备（如防火墙）实现，不能直接接入。NGN用户或设备的接入需要经过身份认证才可以接入，避免非法用户和非法报文进入NGN网络。只有当用户的身份得到确认，才可以进行事后审计与追踪，有效地防止了用户侧的网络攻击行为。通过以上措施可以基本消除来自其他网络和NGN用户方面的安全隐患，但还要采取安全手段来保证NGN内部网络的安全。软交换、网关，服务器等NGN核心网络设备在IP网中的地位类似于网络主机设备，因此要求这些设备应具备数据网中主机设备所具备的安全规格，可以应用防火墙、入侵检测、流量控制、安全日志与审计等技术实现对NGN核心网络设备的安全防护。对于一些安全级别要求特别高的用户还可以采用加密技术对信令和数据进行加密保护。网管系统对各网元设备设置不同级别的治理员权限，使用户不能越级对设备进行操作。

考虑到NGN承载网承载的都是电信级别的业务，必须对网络的可靠性进行充分的考虑。单台数据设备支持要害部件及单板的备份以及多个设备之间负载分担及冗余备份。

单板的备份的目的是当主用单板出现故障的时候，备用单板能迅速接管业务，继续处理过程，从而使用户没有感觉或无明显感觉，从而减少系统故障对服务的影响程度。因此单板备份的主要环节之一是倒换，即业务从主处理单板切换到备用处理单板处理的过程。

物理端口和网络端口备份，在NGN设备中，随着设备集成度的提高和ATM/IP技术的大量运用，物理端口和网络端口的容量和密度得到很大成大的提高，因此除了通常设备所使用的处理机单板备份以外，目前又提出了对物理端口和网络端口的备份问题。

物理端口和网络端口的备份的方案可以有以下几种：

第一种方案是：内部双总线备份。

内部双总线备份

如图内部双总线备份所示，线路接口模块进行一个交叉处理，一般情况下使用主接口板处理电路来进行处理；在故障状态时候使用备用接口板电路来进行处理。此种备份方式的好处是可以节省成本和空间；缺点是如果线路接口模块出现故障，则安全性得不到保证。

第二种方案是：三块板备份方案。

接口物理备份

如图接口物理备份所示，最左边一块单板为E1/STM-1/IP/ATM接口板，上面只有接口电路，并且可以有双路连接到主备两块单板上，主要的处理器件如STM-1的光模块等在主备两块单板里面，有一块坏掉了，可以倒换过来，传输不会中断。如果系统的接口在母板上，还可以省掉一块接口单板，只需要前面两块单板就可以处理；但是如果系统是前插线或者接口在单板上，则必须使用三块板才能够完成了。

前两种方案主要针对物理端口备份，第三种方案是：IP接口板的端口备份，主要针对网络端口的备份。

IP接口板的端口备份

如图IP接口板的端口备份所示，下方的IP接口板1和IP接口板2为主备用的接口板，两块单板上有对应的主备用网口（每块单板上的网口数量可以为1个，也可以为多个），这两个网口有相同的IP地址和不同的MAC地址。向上分别连接到两个LAN SWITCH上，再连接到两个路由器上。由于在以太网承载IP报文时，IP协议通过IP地址来标志IP报文的源和目的地址，以太网帧通过MAC地址来标志以太网帧的源和目的地址。当主机通过以太网发送IP报文时，需要根据下一跳IP地址获得对端设备的MAC地址，即所谓的ARP解析过程。如果本机存在目的IP地址和MAC地址的对应表项，直接使用该ARP表项实现，否则需要发送ARP请求报文，在接收到ARP响应报文后更新本端的ARP表项。如图的IP接口板倒换后，继续使用原来的IP地址，由于不同的IP接口板FE接口的MAC地址是不一样的，为了在单板倒换后对端设备能够及时更新其ARP表项，IP接口板将广播发送一个免费ARP请求，即目的IP地址为本板IP地址的ARP请求，这样，当对端设备收到该免费ARP请求时，将及时更新其自身的ARP表项。以上过程符合RFC826规范。同时由于它通过ARP协议实现，因此，对高层应用不可见，无需用户配置和干预。这样当其中一个网口出现故障的时候，业务可以倒换到另外一个单板上，对对端设备不可见。同时路由器和LSW组成的交叉组网中，任意的单点故障都不会引起通信中断。在组网上保证了其安全性。

2 NGN承载网的网络安全

除NGN部件自身的安全性特性外，更重要的是NGN承载网组网的安全性。组网的安全性与NGN承载网的网络结构模式相关。提到NGN网络可靠性，就离不开NGN网络结构相对应的网络可靠性解决方案——双归属（DUAL HOMING）。所谓的双归属方案，如图双归属示意图所示，对AG/TG/MG而言，在正常情况时候和Soft Switch A和B相连接（如实线和虚线所示），由Soft Switch A来处理相关业务；在Soft Switch A出现异常的时候，AG/TG/MG改由Soft Switch B来控制。双归属方案主要是针对Soft Switch大多数容量巨大，一旦出现故障以后就会造成大量的业务中断和巨大损失，为了减少运行风险而提出的一种网络可靠性解决方案。

双归属示意图

3.1叠加网网络结构

在NGN叠加网络结构中，NGN承载网与其它业务网逻辑隔离，NGN承载网的安全隐患主要来自于其接入的用户（终端），最理想的方法是在NGN承载网的每个入口处都放置防火墙，但这是不现实的。建议在NGN关键部件（软交换、网关、服务器）安放前置高速状态防火墙/应用层网关进行隔离，避免网上黑客攻击，保证核心网络部件的安全性。对于大量IAD设备通过汇聚层设备如EAS、BAS、L3交换机来集中提供安全保护，可以达到最佳的性

（1）用户管理

用户管理包括物理端口管理和IAD设备认证。在NGN中，认证分为业务认证和接入认证两个层次。业务的认证由IAD和软交换之间通过信令来解决，主要考虑的是用户能不能用业务的问题。接入认证的是指IAD设备能不能接入NGN承载网，能不能获得IP地址的问题。EAS/BAS/L3+交换机提供物理端口的管理和IAD设备认证，物理端口由VLAN或PVC唯一确定，通过VLAN使无运营、无管理的以太网变成可运营、可管理的电信级以太网。在IAD设备认证方面，IAD设备通过静态或动态IP+VLAN+MAC绑定，支持动态、静态地址分配，实现用户过滤，防止地址盗用，可以限制一个VLAN下接入的IAD数目，防止假冒用户的恶意攻击，通过log或告警信息进行攻击追查。