NGN接入层的安全

接入层是NGN网络分层结构中从下到上的最底层，由各类媒体网关和综合接入设备（IAD）组成，通过各种接入手段将各类不同的用户/终端设备接入连接至网络，并将信息格式转换成能够在IP网上传递的IP包格式。接入层涉及到的设备主要包括与现有网络相关的各种网关设备或终端设备，其中的构件有各类媒体网关（MG）、信令网关（SG）、2G/3G无线接入网关（WMG）、远端接入服务器（RAS）、宽窄带多业务接入集中器、DSLAM、综合接入设备（IAD）和防火墙等。

终端设备的安全

1.软交换终端设备安全性概述

终端设备是软交换网络中最大的安全隐患之所在。在软交换网络中，存在大量的终端设备，而且这些终端设备接入地点和接入方式都非常灵活，这些终端都放置在用户侧，无法避免有些用户利用非法终端或设备访问网络，占用网络资源，非法享受业务和服务，并且某些用户可能利用非法终端或者设备向网络发动攻击，对网络的安全造成威胁。因此，要保证软交换网络的安全，需要对软交换网络中的终端设备进行鉴权和认证，主要是IAD和SIP/H.323等终端设备。

2.综合接入设备（IAD）技术

综合接入设备是适用于小企业和家庭用户的一种新型的下一代软交换用户接入设备，它将用户的数据、话音及视频等应用需求接入到分组网中，在分组网中完成相应的功能。与综合接入媒体网关相比，IAD属于小容量设备，用户端口数一般不超过48个。IAD位于用户侧，无需专门的机房，一般放置于离用户较近的地方如家庭、办公室、小区或商业楼宇的楼道内。面对ATM、IP两种技术，IAD的语音传送方式也多种多样，主要采用的技术包括VoDSL和VoIP两种。

（1）IAD功能

IAD作为用户侧的接入设备，应该具有呼叫处理、语音处理、资源管理和维护管理等方面的功能。

（2）接口要求

①用户侧接口

用户侧接口包括模拟电话的Z接口、ISDN的PRI接口或BRI接口、LAN接口。

②网络侧接口

如果采用VoDSL接入方式，则网络侧为模拟用户线，接口为Z接口；如果采用VoIP接入方式，则网络侧为以太网接口，一般为10/100base-T接口。

（3）协议要求

IAD在下一代网络中为接入层设备，应该受软交换设备的控制，以进行呼叫建立、释放等相关操作。因此，IAD应该支持H.248/Megaco协议或MGCP。

IAD接入分组网络，应该支持TCP/UDP/IP和RTP/RTCP。

如果IAD采用xDSL接入方式，IAD还应支持DSL的相关协议。

3.IAD的安全技术

（1）IAD的鉴权和认证

对IAD设备的鉴权和认证主要有以下几种方式。

①在IAD在向软交换进行注册时，软交换设备可以从IAD向软交换设备发送的注册信息中提取出IP地址或域名，或者IP地址与其他参数的组合，与自身数据库中的数据进行比较。如果提取出来的信息在数据库中不存在，那么判定该IAD为非法终端，该IAD设备的注册将失败。

②在IAD设备向软交换发送的注册信息中携带MAC地址信息。MAC地址信息对于IAD来说是惟一的，而且能够惟一地标识IAD，该方案也是应用比较广泛的一种方案。软交换在收到IAD发送的注册消息后，从中提取出MAC地址信息，并与自身数据库中所保存的信息进行比较。为了实施该方案，需要在正常标准的H.248/MGCP的注册命令中增加一些扩展参数来携带MAC地址信息。考虑到MAC地址信息在网络上传输时可能会被窃取，因此需要对IAD的MAC地址进行加密。

③IAD在工作之前，必须完成管理注册和业务注册。管理注册就是IAD在启动后向网管站进行注册，业务注册就是IAD向软交换进行注册。

（2）IAD终端设备的安全技术、解决方案及实现

针对各种网络安全攻击，在实际工程实现及运作中，主要采用的手段是：当网络各组件互通信时，一开始便建立安全的连接，从相互确认对方的身份入手，明确消息及数据来源，防止非法用户充当授权用户获取到网络资源的访问权及相关信息。其关键在于如何进行密钥的分发与管理，在此基础上，对要传送的信息进行加密并保证其完整性。基于这种思路，出现了各种各样的IAD终端设备的安全解决方案，下面将根据IAD终端设备的动作流程，分为3大部分来叙述：安全自动配置、安全信令及媒体流安全技术。

网关设备安全

1.网关设备的简介

①媒体网关与信令网关在软交换网络体系中的位置

软交换设备是下一代分组网络的核心设备之一，媒体网关和信令网关在软交换网络体系中位于接入层面。

接入层面的功能是将用户连接至网络，它通过各种接入手段集中用户业务，将信息格式转换成为能够在网络上传递的信息格式，然后传递到相应的目的地。控制平面主要完成各种呼叫控制，并负责相应业务处理信息的传送。业务应用平面的作用是提供多种增值业务。

2.媒体网关的种类及其功能

媒体网关有以下3种。

①IP中继媒体网关

IP中继媒体网关在IP网络与电路交换网络（SCN）之间提供媒体映射和代码转换功能，即终止电路交换网络设施，将媒体流分组化并在分组网上传输分组化的媒体流。IP中继媒体网关也应该在IP网络去往SCN的方向上执行类似的功能。

②ATM中继媒体网关

ATM中继媒体网关在ATM网络与电路交换网络之间提供媒体映射和代码转换功能，即终止电路交换网络设施，将媒体流分组化并在ATM网上传输。ATM中继媒体网关也应该在ATM网络去往电路交换网络的方向上执行类似的功能。

③综合接入媒体网关

综合接入媒体网关提供媒体映射和代码转换功能，即终止TDM电路，将媒体流分组化并在分组网上传输。

媒体网关功能：语音处理功能、呼叫处理与控制功能、资源控制功能、维护和管理功能、分组语音的QoS管理功能、IP传真功能、ATM功能及同步和定时功能等。

3.信令网关及其功能

信令网关最基本的功能就是提供TDM七号信令网与IP网之间的信令连接。

信令网关的功能：信令网关通用信令功能、七号信令网侧的功能、IP侧的功能、操作、维护和管理功能、计费管理及时钟同步管理等功能。

软交换中的防火墙和地址转换设备的穿越

大多数的黑客入侵事件都是由于未正确安装防火墙而引起的。作为一种访问控制技术，防火墙就是用于增强内部网络的安全性，决定外界的哪些用户可以访问内部的哪些服务。为了防止内部网络不被攻击和入侵，内联网在接入因特网时就必须加筑安全的防火墙。

随着软交换技术和设备的成熟，开始部署软交换网络。在商用的过程，也需要解决防火墙（FW）和地址转换设备（NAT）的穿越问题，为大量的园区网、企业网和个人用户提供软交换业务。

1.单纯防火墙设备的穿越问题和解决思路

（1）单纯防火墙设备引出的问题

处于安全考虑，常规的防火墙配置要求内部网先向外部主机发送包后才打开相应的外部主机发往内部主机的端口，而对于外部网主机首先发往内部网主机的包则会被丢弃。对于UDP，防火墙一般还会对已开启的端口进行检查，超过一定时间没有通信流量就自动关闭端口。

（2）穿越单纯防火墙设备的方法

单纯的防火墙问题的解决方案有以下两个：

①使用TCP传送信令。

②以短于防火墙端口开启时长的周期不断发送消息，维持该信令端口的开启。

2.地址转换设备的穿越问题和解决思路

①地址转换设备的种类

地址转换设备实现内、外网地址的转换，使得