NGN网络安全探讨

2019-01-16翟潇

中国设备工程 2019年3期

翟潇

（大庆油田信息技术公司，黑龙江大庆 1630000）

NGN系统各层的网络单元通过标准协议实现互通，研究人员为了实现业务之间的相互扩展及IP网络端与端设备的相互性，构建了一个相对网络架构，并且可以让不同设备和网络接入。NGN为我们提供便利的同时，也带来了更加严峻的安全问题，正是这种开放性令网络更易遭受安全威胁。在以增值业务为主导的商业模式下，在这以IP网络为中心、在开放的业务平台上提供多种服务的下一代网络中，NGN网络的安全性显得尤为重要。

1 NGN网络安全隐患

（1）网络具有脆弱性。网络具有脆弱性具体体现在以下两个方面上：第一，设备端口存在被非法使用的可能性；第二，信息传递可能出现失误，进而导致信息丢失。

（2）网络通信协议存在缺陷。网络通信协议的存在本身就具有高危险性，尤其是开放的网络通信协议危险性更强，这会令网络容易受到攻击，并降低了网络的安全程度。

（3）网络通信软件存在漏洞。NGN中的网络通信软件需要建立在既定操作之上，常见的操作系统有UNIX、Linux、Windows等，但是这些操作系统已经被大众所熟知，因此容易遭到攻击和运行干扰。

（4）网络结构存在安全隐患。NGN在网络结构设计上并不能全面解决其面对的安全问题，具体表现是缺少对核心设备的保护和对安全风险的控制，这需要设计人员进一步加强和完善。

（5）硬件安全缺陷。NGN中的硬件设备同样存在安全隐患，需要设计人员进一步改善，例如应用协议处理卡和安全恢复等。

（6）IP地址问题。在目前NAT设备实现过程中，为了解决IP地址匮乏的问题，往往采用多个私网IP地址动态映射到一个上行口IP地址解决方案，因此对于NGN核心设备软交换来说不能直接与NAT环境中终端设备建立会话。防火墙一方面组织外部网络的未授权或未认证的访问，另一方面允许内部网络的用户对外部网络进行web访问或收发Email等。由于NGN核心设备的重要性，核心设备也需要防火墙的保护。但由于防火墙的存在接入设备和核心设备的通讯变得十分困难。

（7）核心安全如何保障。软交换核心网元直接对终端IAD/SIP电话/软终端可见，IP报文可以直达软交换等核心设备，容易受到攻击。终端智能化倾向，终端的能力较强软终端的使用导致在NGN网络中引入了许多IP网固有的安全问题，如DOS攻击。传统的防火墙设备无法阻止信令层如SIP协议的攻击。

（8）如何保证信令、媒体的QOS、终端和业务的多样化，对带宽和QOS的不同需求。接入路由器设备无法区分信令和媒体，无法区分不同的NGN用户。传统的防火墙设备无法完成更多针对性的信令安全防范：如各种信令攻击，各种流量控制等。

2 大庆油田NGN网络安全解决方案

提高NGN网络的安全性，可以从两个方面入手：一是从网络部署方面入手；二是使用安全的传输机制。

（1）合理规划核心设备。NGN核心设计规划工作需要在开放的IP网络中进行，为此需要保障网络和核心设备的安全，具体如下：①需要在NGN核心设备应用网络和外网之间建立防火墙，通过防火墙将安全区域和危险区域隔绝开来，同时结合不同核心设备的安全需求采取防护措施；②提高NGN核心设备和网络的防御能力，设备中的关键构件需要进行重点设置，避免出现单项故障；③所有设备的通信网络都需要设置在防火墙内，避免在外网中受到不法分子的攻击。

（2）合理设置承载网。现假设专用承载网核心设备由两台T600路由器组成，核心接入设备8908交换机都采用双归属通过光纤直连分别连接至两台T600，接入层交换机同样采用双归属通过光纤直连或SDH分别连至两台8908。此种连接模式在最大程度上保证了链路的带宽和稳定性，但缺点是存在设备单点故障及消耗大量的光缆资源。

（3）分级管理。在NGN网络管理中应用分级管理方式，并且由专门的人员对网络端口进行管理，不同级别管理人员能够管理的范围有所差别，并且不能越级管理。

3 SBC原理与应用

软交换用户接入方式有两种：第一种接入方式是PSTN交换机接入；第二种是IP—IP、IP—PSTN接入。但由于IPV4地址空间有限，再加上互联网用户不断增多，导致IP地址日渐匮乏，滋生了运营商或企业用户应用私有IP地址的现象。由此，公私地址转换、接入安全保证、QOS保证都需要一种中间设备来解决问题。

SBC即会话边界控制器，是IP地址私有化问题的有效解决方式。SBC的核心功能如下：为不同子网的IP语音（以及视频的其他实时会话业务）信令和媒体提供功能；同时在网络边缘对所处理业务进行保障（防攻击、VPN隔离、防火墙等）和QOS控制。具体的网络位置：接入或汇聚点、互通的网络边缘。

3.1 SBC 功能

（1）信令处理功能。SBC能够接受信令，并结合用户实际需求处理消息。具体而言，SBC在处理信令时，需要现对信令中的Contact内容进行替代，然后将其发送给核心网，从用户的角度实现和核心网之间的连接，并且两者的连接和发送信息的过程中会屏蔽IMS核心网拓扑信息，进而实现对对核心网络的保护。

（2）安全防护功能。安全防护功能是SBC十分重要的功能之一，其主要原因是该功能能够应用防火墙，进而保护核心网络。SBC在处理完信令信息支护，可以隐藏信息，实现了对核心网拓扑的隐藏，并且SBC还能够过滤畸形消息，使其不再进行转发。此外，SBC还可以对用户发起的过量的消息的过滤和分散。

（3）资源管理功能。SBC可能在实际应用中连接多个连接入口，此时，想要实现资源的虚拟化，SBC需要为多个用户提供接入方式，因此需要对资源进行管理和划分。

3.2 SBC 工作流程

SBC的工作流程包括注册流程、呼叫流程。

（1）注册流程。①终端设备自动配置注册地址为用户端接口地址，由IAD向SBC发出注册请求；②SBC在接收到注册请求后，将其分配受到最近的接口地址上，并分配空闲端口，转换注册请求的地址，向软交换系统发出注册请求；③软交换系统在确认用户的身份之后，向SBC发送响应报文；④SBC结合上述信息向用户端转发响应报文，并将该报文转发至用户终端，完成注册过程。

（2）呼叫流程。①IAD1呼叫报文中的IP源地址、端口号，此为私网地址和端口；②防火墙FW1接收到IAD1的呼叫后，为其分配一个公网地址，并将信息记录在NAT地址转换表项中，向SBC转发报文；③SBC为其分配就近的信令及媒体地址，并分配空闲端口，转换注册请求的地址，向软交换系统转发报文；④查询系统发现被叫号码注册地址是SBC的就近地址，将呼叫报文转发到SBC；⑤SBC转发呼叫分配就近的地址和信令，转换报文头部和净荷中的地址信息，并转发该报文到FW2；⑥FW2结合用户注册信息，修改报文头中的地址端口信息，并转发给被叫终端用户；⑦网络IAD2发出呼叫响应到网络FW2，FW2为其分配一个公网地址，转换报文头部和净荷中的地址信息，并转发该报文到SBC，分配就近的地址和信令，转换报文头部和净荷中的地址信息，并转发该报文到软交换查询系统；⑧软交换查询系统发现IAD2的发出呼叫响应是由SBC呼叫的，将呼叫报文转发到SBC，SBC收到信息后，为本次会话分配分配就近的地址和信令，转换报文头部和净荷中的地址信息，并转发该报文到IAD1；⑨呼叫成功后，终端设备之间开始媒体流交互，整个呼叫流程完成。

3.3 SBC 应用场景

SBC主要有两种应用场景，均需完成地址转换和用户接入控制功能。

（1）SBC置于NGN承载网和互联网之间。SBC跨接于NGN承载网和互联网之间，此时SBC需提供2个网口及2个IP地址。此种场景一是用于NGN建设初期承载网覆盖范围不够，作为NGN网络的延伸；二是可利用互联网超大的覆盖面积，使IAD、软终端等方便接入软交换系统，方便外地办公人员与本地沟通，节省长途通信费用。

（2）SBC置于多个NGN系统之间。此方案一般应用情况如下：①两个运营商业务网均为公网，BGW应用户要求置于两网之间，用于隐藏拓扑；②两个运营商业务网为不能直接互通的网络，BGW置于两网之间，用于地址转换。