翟瀟

（大慶油田信息技術(shù)公司，黑龍江 大慶 1630000）

NGN系統(tǒng)各層的網(wǎng)絡(luò)單元通過(guò)標(biāo)準(zhǔn)協(xié)議實(shí)現(xiàn)互通，研究人員為了實(shí)現(xiàn)業(yè)務(wù)之間的相互擴(kuò)展及IP網(wǎng)絡(luò)端與端設(shè)備的相互性，構(gòu)建了一個(gè)相對(duì)網(wǎng)絡(luò)架構(gòu)，并且可以讓不同設(shè)備和網(wǎng)絡(luò)接入。NGN為我們提供便利的同時(shí)，也帶來(lái)了更加嚴(yán)峻的安全問(wèn)題，正是這種開(kāi)放性令網(wǎng)絡(luò)更易遭受安全威脅。在以增值業(yè)務(wù)為主導(dǎo)的商業(yè)模式下，在這以IP網(wǎng)絡(luò)為中心、在開(kāi)放的業(yè)務(wù)平臺(tái)上提供多種服務(wù)的下一代網(wǎng)絡(luò)中，NGN網(wǎng)絡(luò)的安全性顯得尤為重要。

1 NGN網(wǎng)絡(luò)安全隱患

（1）網(wǎng)絡(luò)具有脆弱性。網(wǎng)絡(luò)具有脆弱性具體體現(xiàn)在以下兩個(gè)方面上：第一，設(shè)備端口存在被非法使用的可能性；第二，信息傳遞可能出現(xiàn)失誤，進(jìn)而導(dǎo)致信息丟失。

（2）網(wǎng)絡(luò)通信協(xié)議存在缺陷。網(wǎng)絡(luò)通信協(xié)議的存在本身就具有高危險(xiǎn)性，尤其是開(kāi)放的網(wǎng)絡(luò)通信協(xié)議危險(xiǎn)性更強(qiáng)，這會(huì)令網(wǎng)絡(luò)容易受到攻擊，并降低了網(wǎng)絡(luò)的安全程度。

（3）網(wǎng)絡(luò)通信軟件存在漏洞。NGN中的網(wǎng)絡(luò)通信軟件需要建立在既定操作之上，常見(jiàn)的操作系統(tǒng)有UNIX、Linux、Windows等，但是這些操作系統(tǒng)已經(jīng)被大眾所熟知，因此容易遭到攻擊和運(yùn)行干擾。

（4）網(wǎng)絡(luò)結(jié)構(gòu)存在安全隱患。NGN在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)上并不能全面解決其面對(duì)的安全問(wèn)題，具體表現(xiàn)是缺少對(duì)核心設(shè)備的保護(hù)和對(duì)安全風(fēng)險(xiǎn)的控制，這需要設(shè)計(jì)人員進(jìn)一步加強(qiáng)和完善。

（5）硬件安全缺陷。NGN中的硬件設(shè)備同樣存在安全隱患，需要設(shè)計(jì)人員進(jìn)一步改善，例如應(yīng)用協(xié)議處理卡和安全恢復(fù)等。

（6）IP地址問(wèn)題。在目前NAT設(shè)備實(shí)現(xiàn)過(guò)程中，為了解決IP地址匱乏的問(wèn)題，往往采用多個(gè)私網(wǎng)IP地址動(dòng)態(tài)映射到一個(gè)上行口IP地址解決方案，因此對(duì)于NGN核心設(shè)備軟交換來(lái)說(shuō)不能直接與NAT環(huán)境中終端設(shè)備建立會(huì)話。防火墻一方面組織外部網(wǎng)絡(luò)的未授權(quán)或未認(rèn)證的訪問(wèn)，另一方面允許內(nèi)部網(wǎng)絡(luò)的用戶對(duì)外部網(wǎng)絡(luò)進(jìn)行web訪問(wèn)或收發(fā)Email等。由于NGN核心設(shè)備的重要性，核心設(shè)備也需要防火墻的保護(hù)。但由于防火墻的存在接入設(shè)備和核心設(shè)備的通訊變得十分困難。

（7）核心安全如何保障。軟交換核心網(wǎng)元直接對(duì)終端IAD/SIP電話/軟終端可見(jiàn)，IP報(bào)文可以直達(dá)軟交換等核心設(shè)備，容易受到攻擊。終端智能化傾向，終端的能力較強(qiáng)軟終端的使用導(dǎo)致在NGN網(wǎng)絡(luò)中引入了許多IP網(wǎng)固有的安全問(wèn)題，如DOS攻擊。傳統(tǒng)的防火墻設(shè)備無(wú)法阻止信令層如SIP協(xié)議的攻擊。

（8）如何保證信令、媒體的QOS、終端和業(yè)務(wù)的多樣化，對(duì)帶寬和QOS的不同需求。接入路由器設(shè)備無(wú)法區(qū)分信令和媒體，無(wú)法區(qū)分不同的NGN用戶。傳統(tǒng)的防火墻設(shè)備無(wú)法完成更多針對(duì)性的信令安全防范：如各種信令攻擊，各種流量控制等。

2 大慶油田NGN網(wǎng)絡(luò)安全解決方案

提高NGN網(wǎng)絡(luò)的安全性，可以從兩個(gè)方面入手：一是從網(wǎng)絡(luò)部署方面入手；二是使用安全的傳輸機(jī)制。

（1）合理規(guī)劃核心設(shè)備。NGN核心設(shè)計(jì)規(guī)劃工作需要在開(kāi)放的IP網(wǎng)絡(luò)中進(jìn)行，為此需要保障網(wǎng)絡(luò)和核心設(shè)備的安全，具體如下：①需要在NGN核心設(shè)備應(yīng)用網(wǎng)絡(luò)和外網(wǎng)之間建立防火墻，通過(guò)防火墻將安全區(qū)域和危險(xiǎn)區(qū)域隔絕開(kāi)來(lái)，同時(shí)結(jié)合不同核心設(shè)備的安全需求采取防護(hù)措施；②提高NGN核心設(shè)備和網(wǎng)絡(luò)的防御能力，設(shè)備中的關(guān)鍵構(gòu)件需要進(jìn)行重點(diǎn)設(shè)置，避免出現(xiàn)單項(xiàng)故障；③所有設(shè)備的通信網(wǎng)絡(luò)都需要設(shè)置在防火墻內(nèi)，避免在外網(wǎng)中受到不法分子的攻擊。

（2）合理設(shè)置承載網(wǎng)?，F(xiàn)假設(shè)專用承載網(wǎng)核心設(shè)備由兩臺(tái)T600路由器組成，核心接入設(shè)備8908交換機(jī)都采用雙歸屬通過(guò)光纖直連分別連接至兩臺(tái)T600，接入層交換機(jī)同樣采用雙歸屬通過(guò)光纖直連或SDH分別連至兩臺(tái)8908。此種連接模式在最大程度上保證了鏈路的帶寬和穩(wěn)定性，但缺點(diǎn)是存在設(shè)備單點(diǎn)故障及消耗大量的光纜資源。

（3）分級(jí)管理。在NGN網(wǎng)絡(luò)管理中應(yīng)用分級(jí)管理方式，并且由專門的人員對(duì)網(wǎng)絡(luò)端口進(jìn)行管理，不同級(jí)別管理人員能夠管理的范圍有所差別，并且不能越級(jí)管理。

3 SBC原理與應(yīng)用

軟交換用戶接入方式有兩種：第一種接入方式是PSTN交換機(jī)接入；第二種是IP—IP、IP—PSTN接入。但由于IPV4地址空間有限，再加上互聯(lián)網(wǎng)用戶不斷增多，導(dǎo)致IP地址日漸匱乏，滋生了運(yùn)營(yíng)商或企業(yè)用戶應(yīng)用私有IP地址的現(xiàn)象。由此，公私地址轉(zhuǎn)換、接入安全保證、QOS保證都需要一種中間設(shè)備來(lái)解決問(wèn)題。

SBC即會(huì)話邊界控制器，是IP地址私有化問(wèn)題的有效解決方式。SBC的核心功能如下：為不同子網(wǎng)的IP語(yǔ)音（以及視頻的其他實(shí)時(shí)會(huì)話業(yè)務(wù)）信令和媒體提供功能；同時(shí)在網(wǎng)絡(luò)邊緣對(duì)所處理業(yè)務(wù)進(jìn)行保障（防攻擊、VPN隔離、防火墻等）和QOS控制。具體的網(wǎng)絡(luò)位置：接入或匯聚點(diǎn)、互通的網(wǎng)絡(luò)邊緣。

3.1 SBC 功能

（1）信令處理功能。SBC能夠接受信令，并結(jié)合用戶實(shí)際需求處理消息。具體而言，SBC在處理信令時(shí)，需要現(xiàn)對(duì)信令中的Contact內(nèi)容進(jìn)行替代，然后將其發(fā)送給核心網(wǎng)，從用戶的角度實(shí)現(xiàn)和核心網(wǎng)之間的連接，并且兩者的連接和發(fā)送信息的過(guò)程中會(huì)屏蔽IMS核心網(wǎng)拓?fù)湫畔?，進(jìn)而實(shí)現(xiàn)對(duì)對(duì)核心網(wǎng)絡(luò)的保護(hù)。

（2）安全防護(hù)功能。安全防護(hù)功能是SBC十分重要的功能之一，其主要原因是該功能能夠應(yīng)用防火墻，進(jìn)而保護(hù)核心網(wǎng)絡(luò)。SBC在處理完信令信息支護(hù)，可以隱藏信息，實(shí)現(xiàn)了對(duì)核心網(wǎng)拓?fù)涞碾[藏，并且SBC還能夠過(guò)濾畸形消息，使其不再進(jìn)行轉(zhuǎn)發(fā)。此外，SBC還可以對(duì)用戶發(fā)起的過(guò)量的消息的過(guò)濾和分散。

（3）資源管理功能。SBC可能在實(shí)際應(yīng)用中連接多個(gè)連接入口，此時(shí)，想要實(shí)現(xiàn)資源的虛擬化，SBC需要為多個(gè)用戶提供接入方式，因此需要對(duì)資源進(jìn)行管理和劃分。

3.2 SBC 工作流程

SBC的工作流程包括注冊(cè)流程、呼叫流程。

（1）注冊(cè)流程。①終端設(shè)備自動(dòng)配置注冊(cè)地址為用戶端接口地址，由IAD向SBC發(fā)出注冊(cè)請(qǐng)求；②SBC在接收到注冊(cè)請(qǐng)求后，將其分配受到最近的接口地址上，并分配空閑端口，轉(zhuǎn)換注冊(cè)請(qǐng)求的地址，向軟交換系統(tǒng)發(fā)出注冊(cè)請(qǐng)求；③軟交換系統(tǒng)在確認(rèn)用戶的身份之后，向SBC發(fā)送響應(yīng)報(bào)文；④SBC結(jié)合上述信息向用戶端轉(zhuǎn)發(fā)響應(yīng)報(bào)文，并將該報(bào)文轉(zhuǎn)發(fā)至用戶終端，完成注冊(cè)過(guò)程。

（2）呼叫流程。①IAD1呼叫報(bào)文中的IP源地址、端口號(hào)，此為私網(wǎng)地址和端口；②防火墻FW1接收到IAD1的呼叫后，為其分配一個(gè)公網(wǎng)地址，并將信息記錄在NAT地址轉(zhuǎn)換表項(xiàng)中，向SBC轉(zhuǎn)發(fā)報(bào)文；③SBC為其分配就近的信令及媒體地址，并分配空閑端口，轉(zhuǎn)換注冊(cè)請(qǐng)求的地址，向軟交換系統(tǒng)轉(zhuǎn)發(fā)報(bào)文；④查詢系統(tǒng)發(fā)現(xiàn)被叫號(hào)碼注冊(cè)地址是SBC的就近地址，將呼叫報(bào)文轉(zhuǎn)發(fā)到SBC；⑤SBC轉(zhuǎn)發(fā)呼叫分配就近的地址和信令，轉(zhuǎn)換報(bào)文頭部和凈荷中的地址信息，并轉(zhuǎn)發(fā)該報(bào)文到FW2；⑥FW2結(jié)合用戶注冊(cè)信息，修改報(bào)文頭中的地址端口信息，并轉(zhuǎn)發(fā)給被叫終端用戶；⑦網(wǎng)絡(luò)IAD2發(fā)出呼叫響應(yīng)到網(wǎng)絡(luò)FW2，F(xiàn)W2為其分配一個(gè)公網(wǎng)地址，轉(zhuǎn)換報(bào)文頭部和凈荷中的地址信息，并轉(zhuǎn)發(fā)該報(bào)文到SBC，分配就近的地址和信令，轉(zhuǎn)換報(bào)文頭部和凈荷中的地址信息，并轉(zhuǎn)發(fā)該報(bào)文到軟交換查詢系統(tǒng)；⑧軟交換查詢系統(tǒng)發(fā)現(xiàn)IAD2的發(fā)出呼叫響應(yīng)是由SBC呼叫的，將呼叫報(bào)文轉(zhuǎn)發(fā)到SBC，SBC收到信息后，為本次會(huì)話分配分配就近的地址和信令，轉(zhuǎn)換報(bào)文頭部和凈荷中的地址信息，并轉(zhuǎn)發(fā)該報(bào)文到IAD1；⑨呼叫成功后，終端設(shè)備之間開(kāi)始媒體流交互，整個(gè)呼叫流程完成。

3.3 SBC 應(yīng)用場(chǎng)景

SBC主要有兩種應(yīng)用場(chǎng)景，均需完成地址轉(zhuǎn)換和用戶接入控制功能。

（1）SBC置于NGN承載網(wǎng)和互聯(lián)網(wǎng)之間。SBC跨接于NGN承載網(wǎng)和互聯(lián)網(wǎng)之間，此時(shí)SBC需提供2個(gè)網(wǎng)口及2個(gè)IP地址。此種場(chǎng)景一是用于NGN建設(shè)初期承載網(wǎng)覆蓋范圍不夠，作為NGN網(wǎng)絡(luò)的延伸；二是可利用互聯(lián)網(wǎng)超大的覆蓋面積，使IAD、軟終端等方便接入軟交換系統(tǒng)，方便外地辦公人員與本地溝通，節(jié)省長(zhǎng)途通信費(fèi)用。

（2）SBC置于多個(gè)NGN系統(tǒng)之間。此方案一般應(yīng)用情況如下：①兩個(gè)運(yùn)營(yíng)商業(yè)務(wù)網(wǎng)均為公網(wǎng)，BGW應(yīng)用戶要求置于兩網(wǎng)之間，用于隱藏拓?fù)洌虎趦蓚€(gè)運(yùn)營(yíng)商業(yè)務(wù)網(wǎng)為不能直接互通的網(wǎng)絡(luò)，BGW置于兩網(wǎng)之間，用于地址轉(zhuǎn)換。

4 結(jié)語(yǔ)

在互聯(lián)網(wǎng)資源有限的情況下，需要重點(diǎn)保護(hù)中心設(shè)備和核心網(wǎng)絡(luò)，如果條件允許可以將保護(hù)擴(kuò)展到整體網(wǎng)絡(luò)系統(tǒng)中，如果不能做到總體保護(hù)也需要保證不出現(xiàn)重大漏洞，同時(shí)需要對(duì)核心網(wǎng)絡(luò)和外網(wǎng)進(jìn)行區(qū)分，避免安全問(wèn)題擴(kuò)散到整體的網(wǎng)絡(luò)系統(tǒng)中，以此來(lái)保障NGN的安全。