随着NGN技术和Everything over IP的发展,网络安全将变得越来越重要。 ITU X.805标准定义的3层3面8个维度的端到端安全体系架构是开展信息网络安全技术研究和应用的基础。下一代网络{NGN)有安全策略,认证、授权、访问控制和审计,时间戳与时间源等安全需求;NGN按照逻辑方式和物理方式对网络进行划分,形成不同的安全域对应着特定的安全策略。通过身份识别、认证与授权,传送安全,访问控制,审计与监控等安全机制,实现网络的安全需求。
随着因特网应用的快速增长,网络上的安全隐患不断出现,非法窃取网络资源、非法使用网络业务、拒绝服务、蠕虫病毒、木马病毒,甚至恶意攻击与破坏等事件也层出不穷。这些安全问题给网络运营商、业务提供商和用户造成了巨大的损失,使人们深刻地认识到基于IP技术的因特网应用存在着严重的安全问题。网络的开放性和IP网络固有的脆弱性,使得攻击者很容易利用网络的弱点发起各种各样的攻击。
特别是随着下一代网络(NGN)的兴起,Everything over IP正在成为各种网络技术发展的基础,国际标准组织国际电信联盟电信标准化部门(ITU-T)、欧洲电信标准化组织(ETSI)等所研究的NGN,都是基于IP技术实现的。因此,尽管NGN技术还不成熟,但是其安全问题已经受到高度重视[1-5],几乎每个标准组织都有专门的安全研究组在开展研究工作,一些标准组织还在其制定的每个技术标准中,都要求包含 “Security Consideration”章节。
1 NGN的安全基础
NGN基于IP技术,采用业务层和传送层相互分离、应用与业务控制相互分离、传送控制与传送相互分离的思想,能够支持现有的各种接入技术,提供话音、数据、视频、流媒体等业务,并且支持现有移动网络上的各种业务,实现固定网络和移动网络的融合,此外还能够根据用户的需要,保证用户业务的服务质量。NGN的网络体系架构如图1所示, 包括应用、业务控制层、传送控制层、传送层、网络管理系统、用户网络和其他网络。本文介绍的NGN安全技术是针对该体系架构展开的。
ITU-T在X.805标准中,全面地规定了信息网络端到端安全服务体系的架构模型。这一模型包括3层3面8个维度,即应用层、业务层和传送层,管理平面、控制平面和用户平面,认证、可用性、接入控制、不可抵赖、机密性、数据完整性、私密性和通信安全, 如图2所示。
X.805模型各个层(或面)上的安全相互独立,可以防止一个层(或面)的安全被攻破而波及到其他层(或面)的安全。这个模型从理论上建立了一个抽象的网络安全模型,可以作为发展一个特定网络安全体系架构的依据,指导安全策略、安全事件处理和网络安全体系架构的综合制定和安全评估。因此,这个模型目前已经成为开展信息网络安全技术研究和应用的基础。
互联网工程任务组(IETF)的安全域专门负责制定Internet安全方面的标准,涉及的安全内容十分广泛并注重实际应用,例如IP安全(IPsec)、基于X.509的公钥基础设施(PKIX)等。目前,IETF制定了大量的与安全相关的征求意见稿(RFC),其他标准组织或网络架构都已经引用了这些成果。
本文提出的NGN安全体系架构就是在应用X.805安全体系架构基础上,结合NGN体系架构和IETF相关的安全协议而提出来的,如图3所示,这样可以有效地指导NGN安全解决方案的实现。
2 NGN的安全需求
网络安全需求将用户通信安全、网络运营商与业务提供商运营安全紧密地结合在一起。当IP技术作为互联网技术被应用到电信网络上取代电路交换之后,来自网络运营商、业务提供商和用户的安全需求就显得特别重要。
为了给网络运营商、业务提供商和用户提供一个安全可信的网络环境,防止各种攻击,NGN需要避免出现非授权用户访问网络设备上的资源、业务和用户数据的情况,需要限制网络拓扑结构的可见范围,需要保证网络上传送的控制信息、管理信息和用户信息的私密性和完整性,需要监督网络流量并对异常流量进行管理和上报。
在X.805标准的指导下,通过对NGN网络面临的安全威胁和弱点进行分析,NGN安全需求大致可以分为安全策略,认证、授权、访问控制和审计,时间戳与时间源,资源可用性,系统完整性,操作、管理、维护和配置安全,身份和安全注册,通信和数据安全,隐私保证,密钥管理, NAT/防火墙互连,安全保证,安全机制增强等需求。
(1) 安全策略需求
安全策略需求要求定义一套规则集,包括系统的合法用户和合法用户的访问权限,说明保护何种信息、以及为什么进行保护。在NGN环境下,存在着不同的用户实体、不同的设备商设备、不同的网络体系架构、不同的威胁模型、不均衡的安全功能开发等,没有可实施的安全策略是很难保证有正确的安全功能的。
(2) 认证、授权、访问控制和审计需求
在NGN不同安全域之间和同一安全域内部,对资源和业务的访问必须进行认证授权服务,只有通过认证的实体才能使用被授权访问实体上的特定资源和业务。通过这一方法确保只有合法用户才可以访问资源、系统和业务,防止入侵者对资源、系统和业务进行非法访问,并主动上报与安全相关的所有事件,生成可管理的、具有访问控制权限的安全事件审计材料。
(3) 时间戳与时间源需求
NGN能够提供可信的时间源作为系统时钟和审计时间戳,以便在处理未授权事件时能够提供可信的时间凭证。
(4) 资源可用性需求
NGN能够限制分配给某业务请求的重要资源的数量,丢弃不符合安全策略的数据包,限制突发流量,降低突发流量对其他业务的影响,防止拒绝服务(DoS)攻击。
(5) 系统完整性需求
NGN设备能够基于安全策略,验证和审计其资源和系统,并且监控其设备配置与系统未经授权而发生的改变,防止蠕虫、木马等病毒的安装。为此,设备需要根据安全策略,定期扫描它的资源,发现问题时生成日志并产生告警。(对设备的监控不能影响该设备上实时业务的时延变化或导致连接中断。)
(6) 操作、管理、维护和配置安全需求
NGN需要支持对信任域、脆弱信任域和非信任域设备的管理,需要保证操作、管理、维护和配置(OAMP)信息的安全,防止设备被非法接管。
(7) 身份和安全注册需求
NGN需要防止用户身份被窃取,防止网络设备、终端和用户的伪装、欺骗以及对资源、系统和业务的非法访问。
(8) 通信和数据安全需求
NGN需要保证通信与数据的安全,包括用户面数据、控制面数据和管理面数据。用户和逻辑网元的接口以及不同运营商之间的接口都需要进行安全保护,信令需要逐跳保证私密性和完整性。
(9) 隐私保证需求
保护运营商网络、业务提供商网络的隐私性以及用户信息的隐私性。
(10) 密钥管理需求
保证信任域与非信任域之间密钥交换的安全,密钥管理机制需要支持网络地址映射/网络地址端口转换(NAT/NAPT)设备的穿越。
(11) NAT/防火墙互连需求
支持NGN中NAT/防火墙功能。防火墙可以是应用级网关(ALG)、代理、包过滤、NAT/NAPT等设备,或者上述的组合。
(12) 安全保证需求
对NGN设备和系统进行评估和认证, 对网络潜在的威胁和误用在威胁、脆弱性、风险和评估(TVRA)中有所体现。
(13) 安全机制增强需求
对加密算法的定义和选择符合ES 202 238的指导[10]。
(14) 其他安全需求
安全管理和不可否认性需求等还处于待研究的状态。
3 NGN安全体系架构
NGN安全体系架构是一个体系,本身很难用一个单一的标准来涵盖,其设计需要满足以下条件:
具有可扩展性、实用性;
基于成熟的安全机制和实现技术;
能够实现应用层、业务层和传输层的分离,不同层次上能够采用不同的安全措施;
安全措施的应用不影响业务的服务质量;
满足网络运营商、业务提供商和用户的安全需求;
能够实现互操作。
NGN在网络架构中引入了多种商业模型,例如,接入网和骨干网可能属于不同的运营商,有不同的安全策略,需要隔离不同层面的安全问题。为此,NGN按照逻辑方式和物理方式,对图 1中的网络进行了划分,形成了不同的安全域,每一安全域可以对应着一种特定的安全策略,运营商通过实施各种安全策略对安全域里和安全域间的功能要素和活动进行保护。
安全域可以分为信任域、脆弱信任域和非信任域。对于某一特定的网络运营商,信任域是指不与用户设备直接通信、处于该运营商完全控制之下的安全域,例如骨干网;脆弱信任域是指属于该网络运营商管理但不一定由该网络运营商控制、连接信任域和非信任域的安全域,例如接入网、边界网关;非信任域是指不属于该运营商管理的安全域,例如用户网络、不被信任的其他运营商网络。在不同的安全域里,安全威胁、脆弱性、风险是不同的,因此安全需求也就不一样,网络运营商和业务提供商需要分别制定安全策略,采用各种安全机制的组合,来保证其网络和网络之上端到端用户业务的安全性。
根据NGN分层的思想(如图1所示),NGN安全体系架构,在水平方向上可以划分为传送层安全和业务层安全。传送层和业务层的安全体系架构应相对独立,传送层安全体系架构主要是解决数据传输的安全,业务层安全体系架构主要解决业务平台的安全。例如,电信和互联网融合业务及高级网络协议(TISPAN)规定,传送层采用网络附着子系统(NASS)凭证, 业务控制层采用IP多媒体子系统(IMS)认证和密钥协商(AKA)模式,应用层采用基于通用用户识别模块(USIM)集成电路卡(UICC)的GBA (GBA-U) 模式。
NGN安全的系统架构在垂直方向上可以划分为接入网安全、骨干网安全和业务网安全,从而使得原来网络端到端安全变成了网络逐段安全。在垂直方向上,NGN可以被划分成多个安全域。
接入网通过接入控制部分对用户的接入进行控制,防止非授权用户访问传送网络,并负责用户终端IP地址的分配;骨干网通过边界网关对网络互连进行控制,保证只有被授权的其他网络上的用户面、控制面和管理面才能接入信任域;业务网通过业务控制部分和根据需要通过应用与业务支持部分对用户访问业务进行控制,防止非授权用户访问业务,或授权用户访问非授权业务。
安全域之间用安全网关(SEGF)互联,如图4所示。在每个安全域里,除了SEGF之外,可能还存在SEG证书权威(CA)和互联CA。同一个安全域的SEGF采用IETF安全协议实现域内端到端安全。
SEGF是安全域边界实体,是防范来自其他安全域攻击的主要网元。它通过将来自其他安全域的流量与信任域内流量进行隔离,要求其他安全域流量必须通过特定的SEGF才能进入信任域,在向信任域里转发来自其他安全域的流量前,必须进行验证,以防止拦截、篡改、拒绝式攻击、地址和身份欺骗、窃听、伪装等安全事件在信任域里的出现。例如,可以根据指定的安全策略,在管理面和控制面上使用接入控制,限制特定用户接入或对特定业务的访问。SEGF需要实现设备级物理安全措施、系统加固、安全信令、OAMP 虚拟专网(VPN)等方式之外,还需要采用防火墙、入侵检测、内容过滤、VPN接入、VPN互连等功能。
SEGF提供的安全服务包括认证、授权、私密性、完整性、密钥管理和策略实施等。SEGF对于从信任域里发送来的请求,可以采用信任方式,不需要再进行验证。
4 安全机制
网络安全机制,就是在安全体系架构下实现这些安全需求,防止未授权的信息采集与信息拦截、非法设备接管与控制、资源与信息的破坏/删除/修改/泄露、业务中断等安全问题的发生。
4.1 身份识别、认证与授权机制
用户访问网络,需要向网络和业务申明其身份,以便网络和业务能够识别其是否有权限访问所申请的资源和业务。
目前用于身份识别的技术多种多样,如身份识别模块(SIM)卡、智能卡、用户名/口令、设备序列号、电话号码、标识、令牌、生物特征码、数字证书、消息认证码等。
在NGN中,存在着不同的接入方式、不同的网络运营商、不同的业务提供商,为了使用户能够无缝透明地使用网络业务,需要在用户与各个网络和业务之间建立一种信任关系。为了对用户进行统一管理,OPENID、OASIS、LIBERTY ALLIANCE等标准组织在开展身份管理(IdM)的研究,ITU-T目前也设置了专门的焦点组(FG),希望在未来能够用统一的身份对各种NGN实体进行管理,如业务提供商、网络运营商、网元、用户设备、用户等。
此外,当非信任域实体需要访问脆弱信任域实体或通过脆弱信任域实体访问信任域实体时,或者用户终端需要访问非信任域实体时,甚至安全域内部实体互相访问时,根据安全策略设置,可能需要进行单向认证或双向认证,也就是请求访问的实体需要与管理被访问实体的认证者(Authenticator)之间交换凭证(Credentials),Authenticator根据收到的Credentials,采用预先约定的共享密钥方式或X.509证书方式,将资源请求或业务请求与发起请求的网络设备、用户设备和用户关联起来,利用事先存储的该网络设备、用户设备和用户的Credentials,进行身份认证。只有通过身份认证的请求访问实体,才能与被访问实体进行通信。
同时,根据安全策略的设置,可能需要对该请求访问实体的访问权限进行限定,使得通过认证的请求访问实体只能根据授权使用被访问实体上指定的资源和业务。认证与授权技术非常多,主要包括: IETF PAP、CHAP、EAP、PANA、RADIUS、DIAMETER、LDAP、Kerberos、3GPP AKA、GAA/GBA、IEEE 802.1x等。
4.2 传送安全机制
在NGN体系架构中,采用VPN技术保证信令信息和OAMP信息的安全。四层VPN技术主要为传输层安全(TLS),三层VPN技术主要为IPsec。其中,TLS是基于客户端服务器模式实现,在传输控制协议(TCP)或流控制传输协议(SCTP)上传送,可以用于各个安全域内,也可以用于不同的安全域之间,能够保证传送信息的私密性和完整性;IPsec在IP层上传送,通常用于信任域内、脆弱信任域内和不同安全域之间,能够在保证传送信息私密性和完整性的同时防止重放攻击。IPsec有多种认证算法,在NGN中,可能采用RFC 2403 HMAC-MD5-96和RFC 2404 HMAC-SHA-1-96中方法,对于其中的密钥,可以采用互联网密钥交换(IKE)实现密钥自动交换。
通常情况下,NGN中不考虑媒体流的安全问题。如果用户要求对媒体流的安全进行保护,则可以采用安全实时传输协议(SRTP)或简单认证安全层(SASL)技术,能够提供认证、私密性和完整性保护。
传送安全机制中,为了避免出现重复加密、影响网络性能的现象,不同的技术不能同时使用。
4.3 访问控制机制
访问控制机制通常与身份识别、认证与授权机制结合在一起,能够有效地防止非授权用户或设备使用网络资源、系统、信息和业务,以及授权用户或设备非法访问未授权的网络资源、系统、信息和业务。
4.4 审计与监控机制
NGN设备需要对其上发生的所有事件,根据安全策略的要求,记录安全日志,并能够由简单网络管理协议(SNMP)通过IPsec将日志信息发送到指定的服务器上,以便能够评价系统的安全性和分析系统出现的安全问题。NGN设备需要支持日常维护和安全补丁检测与自动安装功能,支持系统自动恢复和回滚功能。NGN设备上需要安装完整性验证代理,当发现问题时,需要上报。NGN可能需要通过OAMP对用户驻地设备-边界元素(CPE-BE)进行管理,此时CPE-BE需要具有同样功能,且信息传送需要通过VPN技术实现。
NGN网络可能需要为非信任域的用户驻地设备(CPE)提供配置机制。在CPE启动阶段,CPE通过位于脆弱信任域中的设备配置与启动-边界元素(DCB-BE)进行认证,建立传送安全通道,与位于信任域中的CPE配置单元建立联系,获取配置文件。
4.5 密钥交换与管理机制
密钥生成、存储和交换方式的安全性和证书格式、证书验证方式是信息网络安全性研究的核心内容之一,NGN支持采用预共享密钥或公私密钥对进行加密两种加密方式,支持现有的各种密钥交换与管理机制,主要包括:IETF PKIX、IKEv2、D-H交换、Mikey、ITU X.509、X.akm、手工配置等方式。
4.6 OAMP机制
NGN具有独立的OAMP IP地址块,每个设备上有物理接口或逻辑接口,在该地址块内分配IP地址,用于OAMP接口。因此,NGN设备将在OAMP接口上直接丢弃从其他IP地址来的OAMP流量,而且将在其他接口上直接丢弃OAMP流量。访问NGN设备上的OAMP接口,需要通过认证;当通过认证的用户访问时,系统将提供日志功能和回滚功能。另外,如果OAMP流量通过非信任区,则需要采用安全措施。
4.7 系统管理机制
为了规避安全问题,减少网络安全漏洞,NGN上只有得到应用的设备才能存在于网络上;设备上没有使用的端口必须关闭掉;设备上的操作系统必须配置好安全措施,并及时地进行加固,一旦设备供应商提供了安全补丁,在经过网络运营商或业务提供商许可后,需要立即安装;设备上需要配置物理的或逻辑的接入控制措施;设备上应用软件与系统软件相比具有更低的优先级;网络管理系统与被管理实体之间的信息传送需要采用VPN技术实现。
4.8 其他机制
NGN中,一方面采用了现有的多种安全机制,来满足安全需求,例如,采用加密方法实现隐私保证、通信和数据安全等;另一方面,一些安全机制还有待研究,例如NAT/防火墙穿越安全机制。
5 结束语
当今,随着网络应用的普及,财富日益集中在网络上,几乎每一个人都在关注信息网络中的安全问题。越是有钱的消费者,对安全越重视;越是高端的运营商,也就越重视安全。为了满足社会日益增长的网络安全需求,中兴通讯公司在TCP/IP协议栈平台基础上,进一步开发了终端安全模块、业务系统安全模块、网管系统安全模块、无线网络安全模块、有线网络安全模块等,为中兴通讯公司全系列通信产品提供统一的安全解决方案,覆盖ITU-T X.805 3层3面8个维度,包括现有各种安全技术,具有很强的灵活性和可扩展性,能够经济地、有效地保护政府部门、网络运营商、业务提供商和用户对现有网络使用的合法权益。
网络安全是一个相对的概念,绝对的网络安全是不存在的。随着NGN技术和Everything over IP的发展,网络安全的需求将变得更加迫切。
本文提出的NGN各种安全技术,能够很容易地被中兴通讯公司统一安全解决方案平滑地支持,能够满足不同应用环境下网络运营商、业务提供商和用户多样化的安全需求,在保证实现NGN上资源、系统和用户信息安全的同时满足政府部门对于合法监听的需求,为网络运营商和业务提供商开展差异化竞争提供了重要的手段。
