随着NGN技术和Everything over IP的发展,网络安全将变得越来越重要。 ITU X.805标准定义的3层3面8个维度的端到端安全体系架构是开展信息网络安全技术研究和应用的基础。下一代网络{NGN)有安全策略,认证、授权、访问控制和审计,时间戳与时间源等安全需求;NGN按照逻辑方式和物理方式对网络进行划分,形成不同的安全域对应着特定的安全策略。通过身份识别、认证与授权,传送安全,访问控制,审计与监控等安全机制,实现网络的安全需求。
随着因特网应用的快速增长,网络上的安全隐患不断出现,非法窃取网络资源、非法使用网络业务、拒绝服务、蠕虫病毒、木马病毒,甚至恶意攻击与破坏等事件也层出不穷。这些安全问题给网络运营商、业务提供商和用户造成了巨大的损失,使人们深刻地认识到基于IP技术的因特网应用存在着严重的安全问题。网络的开放性和IP网络固有的脆弱性,使得攻击者很容易利用网络的弱点发起各种各样的攻击。
特别是随着下一代网络(NGN)的兴起,Everything over IP正在成为各种网络技术发展的基础,国际标准组织国际电信联盟电信标准化部门(ITU-T)、欧洲电信标准化组织(ETSI)等所研究的NGN,都是基于IP技术实现的。因此,尽管NGN技术还不成熟,但是其安全问题已经受到高度重视[1-5],几乎每个标准组织都有专门的安全研究组在开展研究工作,一些标准组织还在其制定的每个技术标准中,都要求包含 “Security Consideration”章节。
1 NGN的安全基础
NGN基于IP技术,采用业务层和传送层相互分离、应用与业务控制相互分离、传送控制与传送相互分离的思想,能够支持现有的各种接入技术,提供话音、数据、视频、流媒体等业务,并且支持现有移动网络上的各种业务,实现固定网络和移动网络的融合,此外还能够根据用户的需要,保证用户业务的服务质量。NGN的网络体系架构如图1所示, 包括应用、业务控制层、传送控制层、传送层、网络管理系统、用户网络和其他网络。本文介绍的NGN安全技术是针对该体系架构展开的。
ITU-T在X.805标准中,全面地规定了信息网络端到端安全服务体系的架构模型。这一模型包括3层3面8个维度,即应用层、业务层和传送层,管理平面、控制平面和用户平面,认证、可用性、接入控制、不可抵赖、机密性、数据完整性、私密性和通信安全, 如图2所示。
X.805模型各个层(或面)上的安全相互独立,可以防止一个层(或面)的安全被攻破而波及到其他层(或面)的安全。这个模型从理论上建立了一个抽象的网络安全模型,可以作为发展一个特定网络安全体系架构的依据,指导安全策略、安全事件处理和网络安全体系架构的综合制定和安全评估。因此,这个模型目前已经成为开展信息网络安全技术研究和应用的基础。
互联网工程任务组(IETF)的安全域专门负责制定Internet安全方面的标准,涉及的安全内容十分广泛并注重实际应用,例如IP安全(IPsec)、基于X.509的公钥基础设施(PKIX)等。目前,IETF制定了大量的与安全相关的征求意见稿(RFC),其他标准组织或网络架构都已经引用了这些成果。
本文提出的NGN安全体系架构就是在应用X.805安全体系架构基础上,结合NGN体系架构和IETF相关的安全协议而提出来的,如图3所示,这样可以有效地指导NGN安全解决方案的实现。