NGN学习笔记8——NGN的安全问题
1.NGN安全的分层模型
2.NGN的安全要素(基于X.805)
- 可控性(访问控制)——只有授权的个人和设备才能访问网络资源(信息、服务、应用)
- 认证——证实通信实体的有效身份
- 不可否认性——通信参与各方行为的真实性
- 保密性——信息不能泄露给未授权用户
- 通信安全——信息只能在授权的端点间传送,不被非法截取
- 完整性——信息未经授权,不能改变
- 可用性——信息可被授权实体正常使用
- 私密性——用户身份等隐私信息的保密
3.NGN的安全威胁
- 信息或其他资源被毁——可用性攻击,系统资源遭到破坏而变得无法使用
- 信息被破坏或篡改——主动攻击,非法用户在获取某些资源信息的同时,修改资源信息
- 信息或其他资源被盗窃、移动或丢失——机密性攻击,未授权用户获取到系统资源的访问权
- 信息被暴露——机密性攻击
- 服务中断——可用性攻击,由于受DoS等攻击导致服务无法提供
4.NGN的安全需求
- 用户驻地设备与NGN接入网之间(UNI接口)
- NGN网络内部(NNI接口)
- NGN与其他网络(如Internet,PSTN/ISDN等)之间
- 第三方应用提供商与NGN之间(ANI接口)
NGN用户网络域:在用户网关与用户终端设备间提供数据机密性和认证安全保护,在用户设备与用户之间,用户应能够验证所使用的家庭设备的真实性。
用户网与IP-CAN之间(UNI):在向用户网络域提供IP-CAN资源之前,必须进行访问控制、授权和认证
IP-CAN安全(UNI到NNI):IP-CAN网络设施和接入信令控制系统的安全,在必要情况下,提供对数据流进行监视的能力,在接入网必须实现访问控制和认证机制。
核心网安全(NNI之间):核心网的传输网络设施和信令控制系统(如SIP)的安全在核心网络实体之间提供通信安全。
在业务控制子系统与资源控制子系统之间应提供安全机制。
应用到核心网的接口:在IMS对应用请求的资源进行响应之前,需要进行访问控制、授权和认证
应用域的安全:应用域位于核心网之上,可以应用自己的安全策略
NGN用户网到应用的接口:即UNI与API之间的接口,应提供安全机制
开放业务平台与增值业务提供商之间的接口:增值业务访问开放业务平台之前要进行认证和授权,信令和数据的机密性和完整性,内容过滤和监视,允许业务提供商选择不同信用等级的安全保护。
5.NGN的安全模型
1)四层概念模型
应用层:主要关注用户对应用的访问。应用层的安全机制主要用于保护用户和网络
业务层:涉及服务提供者向用户提供的服务。包括域名服务、增值服务、QoS等。业务层的安全机制用于保护服务提供者及其用户
分组层:涉及在网络中传输的分组流。分组层的安全机制主要关注对IP分组的保护
链路层:负责在相连的网络设备间直接传输数据。链路层的安全主要关注对链路帧的保护
四层从上至下,安全粒度逐渐降低,效率逐渐提高。
2)安全关联模型
安全关联SA表示在两个网络实体间,基于认证、加密方法协商和密钥交换的基础上,进行安全传送。在NGN中,SA可以在属于不同网络和安全层次的实体间建立。
- 完整的业务层安全包括:特定应用的SA + TLS SA
- 传输层安全包括:链路SA + 分组SA (由IPSec提供)
不同平面的安全机制主要关注对相应网络行为的保护:
- 端用户平面的安全:关注用户对服务提供商网络的接入和使用的安全
- 控制平面的安全:关注通过网络有效地传送信息、服务和应用的安全
- 管理平面的安全:关注对网络元素的操作、管理、维护、配置功能,传输设备以及后台系统(OSS/BSS,客户关系管理系统等)的安全保护
6.NGN子系统的安全
1)IP-CAN
IP-CAN的安全机制与IMS的安全机制无关,应可以保证信令和数据的安全传输,IP-CAN安全必须提供机密性保护。两种IP-CAN资源需要 进行访问控制:网络和网络提供的服务。在访问网络时,用户/用户终端必须经过认证对网络服务的访问控制由业务控制功能实现,IP-CAN可以增强该功能。 访问控制和认证通常在接入网实现。
2)IMS核心网的安全
IMS网络域内的安全:保护IMS数据和信令,基于IPSec ESP
IMS网络与非IMS网络之间的安全:在它们之间的接口提供对数据和信令的保护,基于TLS协议
承载级服务的保护由SRTP (Secure Real-time Transport Protocol)提供。
- 接口1:提供相互认证,在分配IMS资源前需进行认证和授权
- 接口2:在UE和P-CSCF之间提供安全链路,确保对Gm参考点提供保护的SA可用,对数据源提供认证,确保数据源的可靠性
- 接口3:在HSS与S-CSCF或I-CSCF之间提供安全链路,确保对Cx接口提供保护的SA可用
- 接口4:在不同网络的SIP节点间提供安全措施
- 接口5:在同一网络的SIP节点间提供安全措施
7.相关安全技术
1)承载网的安全措施
数据加密:
对称密钥机制:加密双方在加密过程中使用完全相同的密码,有两种算法:分组密钥、流密钥,运行效率高,比较容易用硬件实现,问题:密钥如何安全分发?
非对称密钥(公开密钥)机制:解决了对称密钥中存在的密钥分发问题,在加密和解密时采用不同的密钥公钥和私钥。公钥可以公开,私钥由个人保存,可用于身份认证(数字签名)。
安全传送:IPSec、防火墙、VPN
重点介绍一下IPSec:
IPSec可以对协议的传输提供安全保护,IPSec解决的问题:在 IP 层提供安全性,可为IP层以上的任何协议和数据提供保护,涉及的功能:认证、保密和密钥管理。
IPSec工作模式:
在IPSec中,ESP/AH协议用于保护IP分组,有两种不同的保护形式:
- 保护IP分组的净荷(IP承载的高层协议)
- 保护整个IP分组本身
对IP分组的不同保护方式由IPSec的工作模式决定:
- 传输模式:用于保护IP的上层协议,IP包的净荷,保护IP的高层协议,安全操作(加密/认证)在通信终端(主机)上完成,提供端到端的安全保护。
- 隧道模式:用于保护整个 IP 分组,在不安全的传输通路上,保护整个IP分组。安全操作(加密/认证)在路由器上完成,通过构造新的IP分组来封装被保护的原始IP分组
2)业务网的安全措施
接入认证:在双方通信之前相互确认对方的身份,明确数据来源,防止非法用户盗用合法帐号获取信息。
访问控制:对网络中的关键部分建立严格的授权体制,对于通过认证的实体按照实现设定的权限使用资源,禁止对未授权部分的访问,对安全认证数据库也要设置高等级的安全措施。
附录:
IP-CAN(IP-Connectivity Access Network)IP连接访问网络
IP-CAN是通过IP实现UE与IMS实体之间的连通的网络实体和接口的集合,典型的例子就是GPRS。该术语通常使用于峰窝背景中表示3GPP接入网 络如GPRS或EDGE,但也可以用于描述WLAN或DSL网络。它在3GPP IMS(IP媒体子系统)中作为通用术语引入,表示任何基于IP的访问网络如IMS,并注重接入与服务网络的分离。
转载于:https://my.oschina.net/alphajay/blog/4951
NGN学习笔记8——NGN的安全问题相关推荐
- 【NGN学习笔记】4 软交换中的协议2—Megaco/H.248
作者:gnuhpc 出处:http://www.cnblogs.com/gnuhpc/ 1.概述: 软交换设备之间采用SIP(Session Initiation Protocol)协议或者BICC( ...
- 【NGN学习笔记】5 IMS技术
作者:gnuhpc 出处:http://www.cnblogs.com/gnuhpc/ 1.移动网络的发展--引子 20世纪80年代,商业性移动通信网络得到发展 第一代移动通信系统:TACS.NMT等 ...
- 【NGN学习笔记】6 代理(Proxy)和背靠背用户代理(B2BUA)
1. 什么是Proxy模式? 按照RFC3261中的定义,Proxy服务器是一个中间的实体,它本身即作为客户端也作为服务端,为其他客户端提供请求的转发服务.一个Proxy服务器首先提供的是路由服务,也 ...
- 《安全测试指南》——配置管理测试【学习笔记】
配置管理测试 1.网路和基础设置配置测试(OTG-CONFIG-001) 测试方法:已知服务器漏洞(APache.IIS等).略. 2.应用平台配置测试(OTG-CONFIG-002) 测试方法: a ...
- java8 lambda python_【学习笔记】java8 Lambda表达式语法及应用
本文是慕课网大牧莫邪老师的视频教程一课掌握Lambda表达式语法及应用的学习笔记.如果觉得内容对你有用,可以购买老师的课程支持一下,课程价格1元,十分良心了. 1. 课程介绍 2. 为什么引入Lamb ...
- Servlet和HTTP请求协议-学习笔记01【Servlet_快速入门-生命周期方法、Servlet_3.0注解配置、IDEA与tomcat相关配置】
Java后端 学习路线 笔记汇总表[黑马程序员] Servlet和HTTP请求协议-学习笔记01[Servlet_快速入门-生命周期方法.Servlet_3.0注解配置.IDEA与tomcat相关配置 ...
- [NOTE] WebGoat v8.2.2学习笔记
[NOTE] WebGoat v8.2.2学习笔记 文章目录 [NOTE] WebGoat v8.2.2学习笔记 前言 CIA 常见编码形式 OpenSSL使用 docker安全 SQL安全 SQLi ...
- 《Go语言圣经》学习笔记 第五章函数
<Go语言圣经>学习笔记 第五章 函数 目录 函数声明 递归 多返回值 匿名函数 可变参数 Deferred函数 Panic异常 Recover捕获异常 注:学习<Go语言圣经> ...
- 《Go语言圣经》学习笔记 第四章 复合数据类型
<Go语言圣经>学习笔记 第四章 复合数据类型 目录 数组 Slice Map 结构体 JSON 文本和HTML模板 注:学习<Go语言圣经>笔记,PDF点击下载,建议看书. ...
- Java开发面试高频考点学习笔记(每日更新)
Java开发面试高频考点学习笔记(每日更新) 1.深拷贝和浅拷贝 2.接口和抽象类的区别 3.java的内存是怎么分配的 4.java中的泛型是什么?类型擦除是什么? 5.Java中的反射是什么 6. ...
最新文章
- linux中的for命令
- dx使用出现的错误总结
- MPP 二、Greenplum数据加载
- leetcode15 3Sum 从数组中找到三个整数,它们的和为0
- SAP Commerce Extension的Web应用启动问题
- cacti登录密码忘记解决方法
- HDU1576 A/B【扩展欧几里得算法+试探法】
- [2019杭电多校第六场][hdu6635]Nonsense Time
- Google App Engine CMS系统的搭建
- HTML5基于flash实现播放RTMP协议视频
- 微机原理课程设计-接口芯片编程记录
- 电脑扩展屏 HDMI转VGA
- 网站html超链接移动,HTML - 超链接
- Excel文档中字符型数据转化为数字类型
- global全局对象
- Python3.7.4入门-0/1To Begin/数据类型与结构
- 【Linux】虚拟机VMware的Ubuntu使用vi指令的方向键和backspace空格键乱码
- 代码随想录01 | 704二分查找和27移除元素
- 水墨屏RFID超高频标签|RFID电子纸之组态软件操作说明2
- SSD固态硬盘 4K对齐