版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、<p><b> 摘 要</b></p><p> 本文首先從NGN的定義、特點(diǎn)、網(wǎng)絡(luò)架構(gòu)、系統(tǒng)工作流程等幾個(gè)方面做簡(jiǎn)單介紹。然后以互聯(lián)網(wǎng)和傳統(tǒng)電信網(wǎng)的安全需求為研究基礎(chǔ),對(duì)NGN的安全需求進(jìn)行分析研究,指出NGN的安全需求是在互聯(lián)網(wǎng)和傳統(tǒng)電信網(wǎng)的安全需求基礎(chǔ)上的進(jìn)一步提升;通過(guò)NGN的可靠性與生存性、服務(wù)可控性、可用性、信息傳遞安全等方面來(lái)具體分析了NGN的安全問(wèn)題。通過(guò)介紹
2、傳統(tǒng)網(wǎng)絡(luò)的安全解決方案和這些傳統(tǒng)解決方案在應(yīng)對(duì)NGN的安全問(wèn)題中所呈現(xiàn)出的局限性。針對(duì)NGN中出現(xiàn)的安全威脅,提出相對(duì)比較完整的NGN安全體系框架,并且提出了一些特別的防御措施、合法監(jiān)聽(tīng)的原理和可行性、入侵檢測(cè)的基本原理,主要包括面對(duì)的威脅、分類(lèi)檢測(cè)的方法及其關(guān)鍵技術(shù)。</p><p> 本文運(yùn)用比較全面的視角審視了NGN的安全問(wèn)題。其中NGN安全體系是本文的創(chuàng)新點(diǎn)。該安全體系在充分考慮了NGN安全需求的前提下
3、,提煉出傳統(tǒng)網(wǎng)絡(luò)的安全解決方案中的精髓,彌補(bǔ)NGN安全上存在的漏洞,解決NGN可能面臨的安全威脅。本文同時(shí)提出了NGN安全防御的實(shí)現(xiàn)思路,重點(diǎn)提出了合法監(jiān)聽(tīng)在NGN的安全解決方案中的重要性,闡述了合法監(jiān)聽(tīng)的基本原理、可行性以及所面臨的困難,為以后更深入的研究奠定了基礎(chǔ)。</p><p> 關(guān)鍵詞: NGN,安全需求,安全威脅,安全體系,防火墻,加密,入侵檢測(cè),入侵防護(hù),反病毒,合法監(jiān)聽(tīng)</p>&
4、lt;p><b> Abstract</b></p><p> First of all, this paper simply introduced the next generation network (NGN), such as the definition, characteristics, network frames and so on. Then, this thes
5、is try to analyze and research the safety issues which NGN may face and the solve plans comprehensively. It includes following aspects: NGN safe requests, safety challenge that NGN may face, solving plans of NGN safety b
6、ased on the traditional plans, NGN safety system, NGN defend measures, NGN's legal monitor and so on.The security requir</p><p> This paper studies NGN security problems in a comprehensive view. Such a
7、conclusion is drawn that the traditional security solution cannot resolve NGN security problems entirely because of the differences of requirement, although it is useful in some aspects. At present, it is the greatest in
8、novation on the NGN security system. </p><p> Keywords:NGN,security requirement,security threat,security framework, firewall,encrypt,IDS,IPS,virus,lawful monitor.</p><p><b> 目錄</b>
9、;</p><p><b> 1 前言1</b></p><p> 2 下一代網(wǎng)絡(luò)(NGN)簡(jiǎn)介2</p><p> 2.1 基本概念2</p><p> 2.2 NGN的特點(diǎn)3</p><p> 2.3 NGN的網(wǎng)絡(luò)架構(gòu)4</p><p>
10、 2.4 NGN的主要技術(shù)5</p><p> 3 NGN安全解析6</p><p> 3.1 網(wǎng)絡(luò)安全分析6</p><p> 3.1.1 軟交換10</p><p> 3.1.1.1 軟交換可以提供哪些主要業(yè)務(wù)10</p><p> 3.1.1.2 軟交換業(yè)務(wù)提供方式11</
11、p><p> 3.1.1.3 軟交換與現(xiàn)有網(wǎng)絡(luò)的互通13</p><p> 3.1.2 互聯(lián)網(wǎng)安全分析14</p><p> 3.1.3 電信網(wǎng)絡(luò)安全分析14</p><p> 3.1.4 NGN安全分析14</p><p> 3.2 傳統(tǒng)網(wǎng)絡(luò)安全解決方案分析16</p><
12、;p> 3.2.1 防火墻技術(shù)17</p><p> 3.2.2 入侵檢測(cè)技術(shù)18</p><p> 3.2.3 入侵防御技術(shù)19</p><p> 3.2.4 應(yīng)用信息安全保護(hù)機(jī)制20</p><p> 3.2.5 其他相關(guān)技術(shù)21</p><p> 3.3 傳統(tǒng)安全解決方案在
13、解決NGN安全問(wèn)題的局限性22</p><p> 4 NGN的安全問(wèn)題24</p><p> 4.1 黑客攻擊24</p><p> 4.1.1 DOS/DDOS攻擊24</p><p> 4.1.2 其他常見(jiàn)黑客攻擊25</p><p> 4.2 VOIP中的安全問(wèn)題26</p&
14、gt;<p> 4.2.1 VoIP自身的缺陷26</p><p> 4.2.2 基于開(kāi)放端口的DoS攻擊26</p><p> 4.2.3 服務(wù)竊取防盜打27</p><p> 4.2.4 媒體流的竊聽(tīng)27</p><p> 4.2.5 小結(jié)27</p><p> 5
15、NGN安全體系研究28</p><p> 5.1 安全體系框架研究28</p><p> 5.2 安全防護(hù)措施30</p><p> 5.2.1 系統(tǒng)加固30</p><p> 5.2.2 安全核心:加密技術(shù)31</p><p> 5.2.3 電子認(rèn)證是安全的關(guān)鍵31</p>
16、<p> 5.2.4 入侵檢測(cè)技術(shù)32</p><p> 5.2.5 攻擊追蹤系統(tǒng)33</p><p> 5.2.6 網(wǎng)絡(luò)反病毒技術(shù)33</p><p> 5.2.7 關(guān)于安全的態(tài)度和管理33</p><p> 5.3 合法監(jiān)聽(tīng)34</p><p><b> 6
17、 總結(jié)38</b></p><p><b> 致謝41</b></p><p><b> 參考文獻(xiàn)42</b></p><p><b> 1 前言</b></p><p> 下一代網(wǎng)絡(luò)——NGN是當(dāng)前業(yè)界廣泛討論的熱點(diǎn)與焦點(diǎn)。它是一個(gè)目標(biāo)網(wǎng)絡(luò),代表了
18、一種寬帶化、光纖化、大容量、包交換、數(shù)據(jù)化、層次化、呼叫承載分離、快速開(kāi)發(fā)業(yè)務(wù)等的理想網(wǎng)絡(luò)。隨著固定和移動(dòng)的融合以及整個(gè)電信網(wǎng)全I(xiàn)P化演進(jìn)的趨勢(shì),移動(dòng)中的3G、4G網(wǎng)絡(luò)的發(fā)展在很多方面也應(yīng)用了NGN的技術(shù)。下一代網(wǎng)絡(luò)的基本理念是業(yè)務(wù)、承載和控制三者分離,以IP分組為特性的下一代網(wǎng)絡(luò)的主要技術(shù)特征是開(kāi)放性、標(biāo)準(zhǔn)性、分層和融合。NGN因?yàn)槎鄥f(xié)議、多接口、多層面、多類(lèi)型設(shè)備和靈活可變的開(kāi)放性特點(diǎn),特別強(qiáng)調(diào)網(wǎng)絡(luò)體系、架構(gòu)和模型的重要性。安全、服
19、務(wù)質(zhì)量、商業(yè)模式等問(wèn)題一直是當(dāng)前對(duì)NGN的討論中最受關(guān)注的焦點(diǎn)之一。由于IP網(wǎng)絡(luò)安全存在問(wèn)題:網(wǎng)絡(luò)中斷、服務(wù)難以保證質(zhì)量、病毒肆虐、黑客橫行、垃圾郵件、有害信息來(lái)源難以追查, 因此如何在安全性脆弱的IP網(wǎng)絡(luò)中提供安全可靠的網(wǎng)絡(luò)服務(wù)是一個(gè)急需解決的問(wèn)題。本文就是在基于互連網(wǎng)和電信網(wǎng)的基礎(chǔ)上對(duì)NGN的網(wǎng)絡(luò)安全和安全技術(shù)進(jìn)行研究和分析。</p><p><b> 1:前言。</b></p&
20、gt;<p> 2:重點(diǎn)分析了NGN的基本概念、特點(diǎn)、網(wǎng)絡(luò)架構(gòu)、主要技術(shù)、現(xiàn)狀以及發(fā)展趨勢(shì)。</p><p> 3:解析NGN的安全問(wèn)題。通過(guò)對(duì)互聯(lián)網(wǎng)和電信網(wǎng)的安全問(wèn)題進(jìn)行分析,在了解NGN的安全需求基礎(chǔ)上,分析NGN特殊的安全需求問(wèn)題。本章也介紹傳統(tǒng)網(wǎng)絡(luò)的安全解決方案,同時(shí)也指出了傳統(tǒng)網(wǎng)絡(luò)的安全解決方案在解決NGN的安全問(wèn)題中所呈現(xiàn)出來(lái)的局限性。</p><p> 4
21、:研究NGN存在的安全問(wèn)題,重點(diǎn)分析黑客分析安全問(wèn)題。</p><p> 5:提出解決NGN安全問(wèn)題的安全體系框架及其實(shí)現(xiàn),并提出了一系列安全防護(hù)措施,重點(diǎn)研究了合法監(jiān)聽(tīng)的原理以及可行性。</p><p><b> 6:總結(jié)。</b></p><p> 2 下一代網(wǎng)絡(luò)(NGN)簡(jiǎn)介</p><p><b&g
22、t; 2.1 基本概念</b></p><p> 從不同的角度考慮,答案是不同的。</p><p> 從通信網(wǎng)絡(luò)的發(fā)展來(lái)看,下一代網(wǎng)絡(luò)是更加簡(jiǎn)單,組網(wǎng)更加靈活,網(wǎng)絡(luò)的構(gòu)架更加方便,可以提供更加寬帶的,效率更高,質(zhì)量更好,更加安全的網(wǎng)絡(luò);</p><p> 從技術(shù)發(fā)展的角度來(lái)看,下一代網(wǎng)絡(luò)應(yīng)該是基于IP技術(shù)的。</p><p&
23、gt; 從業(yè)務(wù)開(kāi)展的角度來(lái)看,下一代網(wǎng)絡(luò)是適宜開(kāi)展多業(yè)務(wù)(包括話音,數(shù)據(jù)、特別是高速數(shù)據(jù),視頻)有利于各種業(yè)務(wù)的,即多業(yè)務(wù)的平臺(tái),適宜網(wǎng)絡(luò)和行業(yè)的網(wǎng)絡(luò)(例如電信網(wǎng)絡(luò)、計(jì)算機(jī)網(wǎng)絡(luò)和廣播電視網(wǎng)絡(luò))融合,甚至是直接完成三網(wǎng)融合的網(wǎng)絡(luò);</p><p> 從運(yùn)營(yíng)者的角度來(lái)看,在電信業(yè)務(wù)由于適應(yīng)經(jīng)濟(jì)和社會(huì)發(fā)展,而取得高速度、高利潤(rùn)之后,由于用戶(hù)的ARPU值增加緩慢,甚至降低的情況,導(dǎo)致運(yùn)營(yíng)商的利潤(rùn)下降,也就是說(shuō),運(yùn)營(yíng)商
24、僅僅靠提供簡(jiǎn)單的業(yè)務(wù)已經(jīng)不能產(chǎn)生足夠的效益情況下,運(yùn)營(yíng)商寄希望于下一代網(wǎng)絡(luò)的發(fā)展,希望獲取更大的利潤(rùn)。因此下一代網(wǎng)絡(luò)時(shí)能夠提供范圍更加廣泛的,對(duì)于用戶(hù)更加有用的,更加方便的業(yè)務(wù)的,成本更低,因而效益更好的網(wǎng)絡(luò)。</p><p> 從不同的角度來(lái)看,對(duì)于NGN有不同的理解:</p><p> 計(jì)算機(jī)網(wǎng)絡(luò):IPv4為基礎(chǔ)的互聯(lián)網(wǎng)-寬帶,IPv6的NGI(INTERNET);</p&g
25、t;<p> 傳輸網(wǎng)絡(luò):TDM為基礎(chǔ),SDH+WDM-ASOM(自動(dòng)光交換網(wǎng)絡(luò)),GFP(通用幀協(xié)議);</p><p> 移動(dòng)通信:GSM,CDMA(CDMA1X)-3G,WCDMA,CDMA2000;</p><p> 電話網(wǎng):TDM(時(shí)隙交換)-分組交換、軟交換;</p><p> 電信網(wǎng)絡(luò)的核心技術(shù):TDM電路交換-分組交換;</
26、p><p> 我所理解的NGN是基于分組的網(wǎng)絡(luò),能夠提供電信業(yè)務(wù);利用多種寬帶能力和QoS保證的傳送技術(shù);它的業(yè)務(wù)相關(guān)功能與傳送技術(shù)相獨(dú)立。此外,NGN可以允許用戶(hù)自由接入到不同的業(yè)務(wù)提供商,并支持通用移動(dòng)性。</p><p> NGN以軟交換為核心,能夠提供話音、視頻、數(shù)據(jù)等多媒體綜合業(yè)務(wù),采用開(kāi)放、標(biāo)準(zhǔn)體系結(jié)構(gòu),能夠提供豐富業(yè)務(wù)的下一代網(wǎng)絡(luò)。從發(fā)展的角度來(lái)看,NGN是從傳統(tǒng)的以電路交換
27、為主的PSTN網(wǎng)絡(luò)中逐漸邁向以分組交換為主,它承載了原有PSTN網(wǎng)絡(luò)的所有業(yè)務(wù),把大量的數(shù)據(jù)傳輸卸載到IP網(wǎng)絡(luò)中以減輕PSTN網(wǎng)絡(luò)的重荷,又以IP技術(shù)的新特性增加和增強(qiáng)了許多新老業(yè)務(wù)。從這個(gè)意義上講,NGN是基于TDM的PSTN語(yǔ)音網(wǎng)絡(luò)和基于IP/ATM的分組網(wǎng)絡(luò)融合的產(chǎn)物,它使得在新一代網(wǎng)絡(luò)上語(yǔ)音、視頻、數(shù)據(jù)等綜合業(yè)務(wù)成為了可能。</p><p> 2.2 NGN的特點(diǎn)</p><p&g
28、t; NGN基本特征[2]:</p><p> ?。?)支持業(yè)務(wù)的多樣化,包括話音、數(shù)據(jù)和多媒體業(yè)務(wù)。包括實(shí)時(shí)的/流/非實(shí)時(shí)業(yè)務(wù)和多媒體業(yè)務(wù);支持業(yè)務(wù)的個(gè)性化、業(yè)務(wù)的移動(dòng)性、開(kāi)放性和靈活性;</p><p> (2)基于IP分組,以包的形式傳送;</p><p> (3)網(wǎng)絡(luò)體系采用分層結(jié)構(gòu),例如,分為傳送層、控制層、業(yè)務(wù)層、接入層等,承載能力與控制功能、呼叫
29、/會(huì)晤、應(yīng)用/業(yè)務(wù)分離;</p><p> ?。?)業(yè)務(wù)和網(wǎng)絡(luò)呈現(xiàn)松耦合,并且提供開(kāi)放的接口。通過(guò)各種標(biāo)準(zhǔn)的接口可以方便地由第三方來(lái)完成業(yè)務(wù)的提供;</p><p> ?。?)具有端到端的寬帶傳送能力。由于下一代網(wǎng)絡(luò)的承載主要采用基于DWDM的光傳輸系統(tǒng),并且將逐步過(guò)渡到全光網(wǎng)絡(luò),所以帶寬足夠,已經(jīng)不再是問(wèn)題;</p><p> ?。?)能與傳統(tǒng)的網(wǎng)絡(luò)配合,充分利用
30、現(xiàn)有的網(wǎng)絡(luò)資源,所以下一代網(wǎng)絡(luò)需要解決與現(xiàn)有的網(wǎng)絡(luò)的互通和配合;</p><p> ?。?)支持終端的移動(dòng)性,滿(mǎn)足移動(dòng)業(yè)務(wù)的要求;</p><p> (8)便于管理、維護(hù)和調(diào)度;</p><p> ?。?)網(wǎng)絡(luò)質(zhì)量更好,并且具有更好的安全性和可靠性;</p><p> ?。?0)有利于持續(xù)發(fā)展;</p><p>
31、從實(shí)際應(yīng)用中我們可以看到,NGN業(yè)務(wù)具有開(kāi)放性、高效、多用戶(hù)、多媒體、資源共享、低成本等特點(diǎn)。 </p><p> 2.3 NGN的網(wǎng)絡(luò)架構(gòu)</p><p> NGN是一個(gè)綜合性的大網(wǎng),它強(qiáng)調(diào)網(wǎng)絡(luò)的開(kāi)放性,其原則包括網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)信令和協(xié)議分組化的、開(kāi)放的、分層的網(wǎng)絡(luò)架構(gòu)體系是下一代網(wǎng)絡(luò)的顯著特性。它結(jié)合了現(xiàn)有的各種網(wǎng)絡(luò)環(huán)境和周邊的接入設(shè)備以及終端產(chǎn)品。從功能的角度上來(lái)說(shuō),
32、它劃分成三層:傳輸層、控制層、業(yè)務(wù)層、接入層。</p><p> 傳送層:負(fù)責(zé)將信號(hào)(信息)從用戶(hù)的一端傳送到另一端;</p><p> 主要功能是采用分組技術(shù),提供高可靠性、端到端的QoS保證的綜合傳送平臺(tái);</p><p> 控制層:控制媒體層完成信息的傳送、計(jì)費(fèi)、管理和維護(hù);</p><p> 主要功能是實(shí)現(xiàn)呼叫控制和連接管理,
33、支配網(wǎng)絡(luò)資源;</p><p> 業(yè)務(wù)層:在基本業(yè)務(wù)的基礎(chǔ)上完成各種附加業(yè)務(wù)的提供;</p><p> 提供業(yè)務(wù)平面,提供傳統(tǒng)交換機(jī)的業(yè)務(wù)和其它增值業(yè)務(wù),還可以提供開(kāi)放的業(yè)務(wù)接口,供第三方開(kāi)展業(yè)務(wù);</p><p> 接入層:用戶(hù)可以通過(guò)各種接入方式接入到網(wǎng)絡(luò)的核心層;</p><p> 提供豐富的接入手段,將各類(lèi)用戶(hù)連接到分組網(wǎng)絡(luò),
34、并且將信息格式轉(zhuǎn)化成為能夠在分組網(wǎng)絡(luò)上傳送的信息格式。</p><p> 圖2-1 軟交換在下一代網(wǎng)絡(luò)中的位置</p><p> 2.4 NGN的主要技術(shù)</p><p><b> IPv6;</b></p><p> 寬帶接入技術(shù),如VDSL、FTTH、EPON、FSO;</p><p&g
35、t;<b> 城域網(wǎng)技術(shù);</b></p><p> 光交換與智能光網(wǎng)絡(luò)技術(shù);</p><p><b> 軟交換技術(shù);</b></p><p><b> 光纖高速傳輸技術(shù);</b></p><p><b> 3G、4G技術(shù);</b></p&
36、gt;<p> IP終端技術(shù)和網(wǎng)絡(luò)安全技術(shù);</p><p> 3 NGN安全解析</p><p> 本章主要在基于互連網(wǎng)和電信網(wǎng)的安全分析的基礎(chǔ)上對(duì)NGN的安全進(jìn)行分析和研究。最后介紹了傳統(tǒng)網(wǎng)絡(luò)安全的解決方案,為NGN網(wǎng)絡(luò)安全的解決奠定研究基礎(chǔ)。</p><p> 3.1 網(wǎng)絡(luò)安全分析</p><p><b&
37、gt; 當(dāng)前網(wǎng)絡(luò)的情況:</b></p><p> 網(wǎng)絡(luò)模型:圖3-1,圖3-2:</p><p><b> 圖3-1 網(wǎng)絡(luò)模型</b></p><p> 圖3-2 數(shù)據(jù)和固定業(yè)務(wù)、互聯(lián)網(wǎng)業(yè)務(wù)體系</p><p> 傳統(tǒng)電信網(wǎng)絡(luò)按照長(zhǎng)途網(wǎng)、本地網(wǎng)、接入網(wǎng)來(lái)劃分。</p><p&g
38、t; 目前已經(jīng)發(fā)展到核心網(wǎng)、城域網(wǎng)、接入網(wǎng)和用戶(hù)住地網(wǎng)來(lái)分割;</p><p> 寬帶城域網(wǎng),圖3-3,圖3-4,圖3-5 :</p><p> 圖3-3 寬帶城域網(wǎng)結(jié)構(gòu)模型</p><p> 圖3-4 寬帶城域網(wǎng)一般結(jié)構(gòu)</p><p> 圖3-5 寬帶城域網(wǎng)綜合實(shí)例</p><p> 下一代網(wǎng)絡(luò)的功能體
39、系和下一代網(wǎng)絡(luò)的功能平面,圖3-6,圖3-7,圖3-8</p><p> 圖3-6 NGN功能平面</p><p> 圖3-7 控制平面的范圍</p><p> 圖3-8 軟交換的功能圖 </p><p> 3.1.1 軟交換</p><p> 3.1.1.1 軟交換可以提供哪些主要業(yè)務(wù)</p&
40、gt;<p> 業(yè)務(wù)類(lèi)型:基本業(yè)務(wù)、PSTN/ISDN補(bǔ)充業(yè)務(wù)、智能網(wǎng)業(yè)務(wù)、多媒體增值業(yè)務(wù)、等:</p><p> ?。?)軟交換需要提供現(xiàn)有的傳統(tǒng)網(wǎng)絡(luò)能夠提供的各種業(yè)務(wù),數(shù)據(jù)業(yè)務(wù),多媒體業(yè)務(wù)和移動(dòng)業(yè)務(wù)如電話網(wǎng)絡(luò)的業(yè)務(wù),本地、長(zhǎng)途、國(guó)際電話業(yè)務(wù),高速和低速數(shù)據(jù)業(yè)務(wù),以便與傳統(tǒng)網(wǎng)絡(luò)業(yè)務(wù)兼容;</p><p> (2)補(bǔ)充業(yè)務(wù)主要是指PSTN上所能夠提供的各種業(yè)務(wù),如主叫號(hào)碼
41、顯示、主叫號(hào)碼顯示限制業(yè)務(wù)、三方通話、會(huì)議呼叫、呼叫前轉(zhuǎn)、語(yǔ)音郵箱消息提示、呼叫等待、Centrex業(yè)務(wù)等;</p><p> (3)智能網(wǎng)業(yè)務(wù),具有比智能網(wǎng)更加靈活的業(yè)務(wù)功能,可以提供目前智能網(wǎng)具有的各種業(yè)務(wù),特別是通過(guò)與第三方的合作,可以提供更多的業(yè)務(wù)種類(lèi);</p><p> ?。?)基于應(yīng)用服務(wù)器和多媒體服務(wù)器的業(yè)務(wù),如視頻多媒體業(yè)務(wù)、WEB800業(yè)務(wù)、白板業(yè)務(wù)、VPN業(yè)務(wù)、統(tǒng)一消
42、息業(yè)務(wù)、可視電話、點(diǎn)擊傳真業(yè)務(wù)等;</p><p> (5)個(gè)人呼叫管理業(yè)務(wù),如個(gè)人數(shù)據(jù)維護(hù)業(yè)務(wù)、個(gè)人圖片服務(wù)、網(wǎng)絡(luò)用戶(hù)服務(wù)、通過(guò)WEB自定制業(yè)務(wù)等。</p><p> 3.1.1.2 軟交換業(yè)務(wù)提供方式</p><p> ?。?)直接由軟交換提供業(yè)務(wù);軟交換作為NGN的核心控制部件,將全面繼承原有的交換網(wǎng)絡(luò)的功能和業(yè)務(wù),圖3-9 :</p>&
43、lt;p> 圖3-9 直接由軟交換提供業(yè)務(wù)</p><p> ?。?)軟交換系統(tǒng)和現(xiàn)有智能網(wǎng)的SCP互通,提供智能網(wǎng)業(yè)務(wù);此時(shí),軟交換作為SSP(業(yè)務(wù)交換點(diǎn)),調(diào)用現(xiàn)有智能網(wǎng)的業(yè)務(wù),圖3-10: </p><p><b> INAP</b></p><p> 圖3-10 通過(guò)SCP提供業(yè)務(wù)</p><p>
44、 (3)和ISP/ICP或?qū)S闷脚_(tái)互聯(lián),提供ISP/ICP核專(zhuān)用業(yè)務(wù)平臺(tái)的業(yè)務(wù);軟交換訪問(wèn)ISP/ICP或?qū)S闷脚_(tái),調(diào)用其業(yè)務(wù),此時(shí),可以把Internet上大量孤立的應(yīng)用和NGN網(wǎng)絡(luò)的其它業(yè)務(wù)進(jìn)行組合,由運(yùn)營(yíng)商向用戶(hù)提供各種應(yīng)用。圖3-11:</p><p> 圖3-11 通過(guò)ISP/ICP或通過(guò)專(zhuān)用平臺(tái)提供業(yè)</p><p> (4)利用服務(wù)器,實(shí)現(xiàn)各種增值業(yè)務(wù)、智能業(yè)務(wù);軟交換訪
45、問(wèn)應(yīng)用服務(wù)器,由應(yīng)用服務(wù)器控制業(yè)務(wù)的執(zhí)行和管理,向用戶(hù)提供各種多媒體增值業(yè)務(wù)、智能業(yè)務(wù)或其它新業(yè)務(wù)。應(yīng)用服務(wù)器可以通過(guò)SIP協(xié)議與軟交換進(jìn)行互通從而提供多媒體業(yè)務(wù),此時(shí)可以提供傳統(tǒng)智能網(wǎng)不能提供的業(yè)務(wù)。能夠?qū)⒒赪EB地新業(yè)務(wù)和SIP協(xié)議的優(yōu)勢(shì)結(jié)合,提供新的綜合類(lèi)業(yè)務(wù)。圖3-12:</p><p> 圖3-12 通過(guò)應(yīng)用服務(wù)器提供業(yè)務(wù)</p><p> ?。?)開(kāi)放API(應(yīng)用程序接口)
46、,由第三方提供業(yè)務(wù);應(yīng)用服務(wù)器向第三方提供各種開(kāi)放的API,為第三方業(yè)務(wù)的開(kāi)發(fā)提供標(biāo)準(zhǔn)接口。圖3-13:</p><p><b> API</b></p><p> 圖3-13 通過(guò)第三方提供業(yè)務(wù)</p><p> 3.1.1.3 軟交換與現(xiàn)有網(wǎng)絡(luò)的互通</p><p> NGN與PSTN、ISDN、GSM、C
47、DMA的互通:可以通過(guò)中繼網(wǎng)關(guān)TMG完成;</p><p> NGN與七號(hào)信令網(wǎng)的互通,通過(guò)信令網(wǎng)關(guān)SG完成;</p><p> NGN與現(xiàn)有智能網(wǎng)的互通,關(guān)鍵在于卡號(hào)數(shù)據(jù);對(duì)于800號(hào)業(yè)務(wù),需要實(shí)現(xiàn)PSTN/ISDN用戶(hù)與軟交換網(wǎng)絡(luò)用戶(hù)的統(tǒng)一使用;方式有兩種:一種是通過(guò)TMG中繼媒體網(wǎng)關(guān)與PSTN進(jìn)行話路互通,在PSTN接入智能網(wǎng),這對(duì)于軟交換沒(méi)有要求;另一種是軟交換設(shè)備直接接入智能
48、網(wǎng),這種方式對(duì)于軟交換系統(tǒng)要求較高,但是在網(wǎng)絡(luò)資源占用、時(shí)延等方面具有優(yōu)勢(shì);</p><p> 不同的網(wǎng)絡(luò)根據(jù)其不同的用途,有著不同的安全需求。下面將針對(duì)互聯(lián)網(wǎng)、傳統(tǒng)電信網(wǎng)和NGN分別分析它們的安全需求。我們可以看到,互聯(lián)網(wǎng)最大的安全需求是網(wǎng)絡(luò)用戶(hù)保證自身的小網(wǎng)絡(luò)和系統(tǒng)其他用戶(hù)的不受攻擊;傳統(tǒng)電信網(wǎng)絡(luò)的安全需求是業(yè)務(wù)的不中斷。而NGN的安全研究是綜合考慮了互聯(lián)網(wǎng)和傳統(tǒng)電信網(wǎng)絡(luò)的安全因素,提出其安全需求為保護(hù)整個(gè)
49、運(yùn)營(yíng)網(wǎng)絡(luò)不受接入用戶(hù)的攻擊,并保證服務(wù)的不中斷。</p><p> 3.1.2 互聯(lián)網(wǎng)安全分析</p><p> 互聯(lián)網(wǎng)基于開(kāi)放的設(shè)計(jì),任何人都可以隨意的接入,不需要應(yīng)用身份的認(rèn)證或經(jīng)過(guò)其他安全防范措施,使得目前互聯(lián)網(wǎng)成為病毒和黑客的溫床?;ヂ?lián)網(wǎng)的應(yīng)用是邊緣性的和開(kāi)放性的,互聯(lián)網(wǎng)骨干網(wǎng)則為用戶(hù)提供高速的信息傳輸通道。</p><p> 互聯(lián)網(wǎng)從網(wǎng)絡(luò)架構(gòu)的角度
50、將它的安全問(wèn)題集中推向網(wǎng)絡(luò)邊緣,骨干網(wǎng)中實(shí)現(xiàn)傳輸,也不會(huì)有太多的安全問(wèn)題。所以互聯(lián)網(wǎng)中所提到的安全最重要的是指用戶(hù)接入后自身的網(wǎng)絡(luò)或者服務(wù)器系統(tǒng)不受攻擊和入侵。這是互聯(lián)網(wǎng)安全的最大的需求。所有的互聯(lián)網(wǎng)安全解決方案都是基于如何保護(hù)接入用戶(hù)網(wǎng)絡(luò)系統(tǒng)和服務(wù)系統(tǒng)的不受攻擊和入侵的。由于互聯(lián)網(wǎng)上的業(yè)務(wù)并不要求非常的保密,所有在有關(guān)信息安全方面的需求并不很強(qiáng)烈。業(yè)務(wù)的中斷對(duì)互聯(lián)網(wǎng)用戶(hù)的影響也不是非常大。所以互聯(lián)網(wǎng)的安全需求基本可以表現(xiàn)為網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)
51、備不被攻擊和入侵的靜態(tài)的安全,這種不被攻擊是指互聯(lián)網(wǎng)接入用戶(hù)的不被攻擊。</p><p> 3.1.3 電信網(wǎng)絡(luò)安全分析</p><p> 電信網(wǎng)絡(luò)作為國(guó)家信息化的基礎(chǔ)設(shè)施,對(duì)保障網(wǎng)絡(luò)信息安全擔(dān)負(fù)著不可推卸的責(zé)任。其信息安全需求可以分為電信基礎(chǔ)服務(wù)(語(yǔ)音網(wǎng)絡(luò)、基礎(chǔ)數(shù)據(jù)網(wǎng)絡(luò)、寬帶IP數(shù)據(jù)網(wǎng))的需求、電信增值業(yè)務(wù)(如Internet的內(nèi)容安全、電子商務(wù)的安全)的需求和電信運(yùn)營(yíng)管理(電信網(wǎng)
52、絡(luò)自身的安全、個(gè)性化服務(wù)的安全、通信費(fèi)爭(zhēng)議、呆賬、壞帳和欠費(fèi)損失)的需求。電信網(wǎng)是有專(zhuān)門(mén)的電信運(yùn)營(yíng)商來(lái)運(yùn)營(yíng),它的用戶(hù)具有保證自己的終端和網(wǎng)絡(luò)安全可用性的權(quán)力[3]。</p><p> 因此,電信網(wǎng)絡(luò)有很高的安全需求,它的安全需求體現(xiàn)到多個(gè)方面,特別是網(wǎng)絡(luò)和業(yè)務(wù)的高可用性為首要的需求。電信網(wǎng)絡(luò)作為國(guó)家重要的信息基礎(chǔ)設(shè)施,它是受法律的嚴(yán)格保護(hù)的,對(duì)攻擊的追蹤和定位能力顯得更加關(guān)鍵。值得注意的是,電信網(wǎng)絡(luò)的安全需求指
53、的是電信網(wǎng)絡(luò)全網(wǎng)的安全需求。</p><p> 3.1.4 NGN安全分析</p><p> NGN業(yè)務(wù)在一定程度上可以看作是架設(shè)在互聯(lián)網(wǎng)上的一個(gè)具有電信業(yè)務(wù)特征的應(yīng)用,因此NGN的安全需求是融合了互聯(lián)網(wǎng)和電信網(wǎng)的安全需求,既有共性又有特性。下面將基于NGN的可靠性與生存性、服務(wù)可控性、可用性、信息傳遞安全等方面來(lái)分析NGN的安全需求。</p><p> 3
54、.1.4.1 NGN可靠性與生存性分析 </p><p> 網(wǎng)絡(luò)可靠性是指網(wǎng)絡(luò)在使用中維持連通性的能力,體現(xiàn)在網(wǎng)絡(luò)節(jié)點(diǎn)的連通性上,由環(huán)境安全、物理安全、節(jié)點(diǎn)安全、鏈路安全、拓?fù)浒踩⑾到y(tǒng)安全等方面來(lái)保障。網(wǎng)絡(luò)生存性是衡量網(wǎng)絡(luò)抵御破壞能力的一般性概念。引起破壞的原因有自然災(zāi)害、人為破壞(包括戰(zhàn)爭(zhēng))及故障等[4]。</p><p> 網(wǎng)絡(luò)的可靠性與生存性對(duì)于用戶(hù)的體現(xiàn)是服務(wù)的可用性,即
55、對(duì)用戶(hù)提供的網(wǎng)絡(luò)服務(wù)的服務(wù)質(zhì)量。但是NGN網(wǎng)絡(luò)的生存性和可靠性不完全等同于網(wǎng)絡(luò)提供服務(wù)的服務(wù)質(zhì)量。因?yàn)榫W(wǎng)絡(luò)服務(wù)的服務(wù)質(zhì)量一方面依賴(lài)于網(wǎng)絡(luò)的可靠性與生存性,另一方面依賴(lài)于對(duì)提供業(yè)務(wù)的資源保證。網(wǎng)絡(luò)的可靠性與生存行取決于網(wǎng)絡(luò)拓?fù)涞脑O(shè)計(jì)網(wǎng)絡(luò)節(jié)點(diǎn)的有效性、環(huán)境安全、物理安全、鏈路安全以及相關(guān)的系統(tǒng)安全等多個(gè)因素。 </p><p> 網(wǎng)絡(luò)的可靠性與生存性還與網(wǎng)絡(luò)與用戶(hù)的隔離相關(guān)。在電話網(wǎng)中用戶(hù)信令與網(wǎng)絡(luò)信令完全隔離,
56、在IP網(wǎng)中路由信息與用戶(hù)數(shù)據(jù)不隔離,用戶(hù)與網(wǎng)絡(luò)設(shè)備也不隔離。雖然現(xiàn)有路由協(xié)議都使用認(rèn)證:將用戶(hù)與信令一定程度邏輯隔離,但是用戶(hù)可能通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備的攻擊來(lái)影響網(wǎng)絡(luò)的可靠性?!?</p><p> 由上面分析可以看出,網(wǎng)絡(luò)的可靠性生存性與是否采用分組無(wú)關(guān),與是否基于連接無(wú)關(guān)。網(wǎng)絡(luò)可靠性生存性與節(jié)點(diǎn)的可靠性、鏈路的可靠性、網(wǎng)絡(luò)自愈能力、網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)、網(wǎng)絡(luò)與用戶(hù)的隔離等因素相關(guān)。 </p><p&g
57、t; 3.1.4.2 NGN服務(wù)可控性、可用性分析 </p><p> 由于用戶(hù)使用的是網(wǎng)絡(luò)提供的服務(wù),所以可用性針對(duì)服務(wù)來(lái)衡量。服務(wù)的可用性定義是系統(tǒng)能正常提供業(yè)務(wù)的時(shí)間和全部工作時(shí)間之比。</p><p> 服務(wù)的可控性是指網(wǎng)絡(luò)提供服務(wù)的可管理性和可運(yùn)營(yíng)性。服務(wù)可控性通常包括下列內(nèi)容:接入網(wǎng)絡(luò)使用網(wǎng)絡(luò)所提供服務(wù)的用戶(hù)是經(jīng)過(guò)授權(quán)的;網(wǎng)絡(luò)為用戶(hù)提供約定的服務(wù);當(dāng)用戶(hù)違反約定或者危害
58、網(wǎng)絡(luò)安全時(shí)網(wǎng)絡(luò)可以選擇停止為用戶(hù)服務(wù):用戶(hù)使用網(wǎng)絡(luò)的授權(quán)和非授權(quán)行為都可以追查。 </p><p> 服務(wù)的可用性取決于網(wǎng)絡(luò)的可靠性和運(yùn)維能力。網(wǎng)絡(luò)運(yùn)維能力取決于網(wǎng)絡(luò)提供的運(yùn)維技術(shù)手段、運(yùn)維人員的技術(shù)水平以及企業(yè)積累的運(yùn)維經(jīng)驗(yàn),應(yīng)該來(lái)說(shuō)與分組網(wǎng)絡(luò)還是電路網(wǎng)絡(luò)無(wú)關(guān)。運(yùn)維能力也與是否基于連接無(wú)關(guān)?,F(xiàn)有的IP網(wǎng)運(yùn)維水平相對(duì)較低,影響了業(yè)務(wù)的可用性。 </p><p> 服務(wù)的可控性體現(xiàn)在服
59、務(wù)接入安全,服務(wù)防否認(rèn)、服務(wù)防攻擊、服務(wù)防濫用等方面。在服務(wù)接入安全,服務(wù)防濫用服務(wù)方否認(rèn)方面,基于連接的承載在先天上優(yōu)于基于非連接的承載。因?yàn)槊看芜B接都是用戶(hù)請(qǐng)求建立的,用戶(hù)深知會(huì)因此付費(fèi),會(huì)被記錄在案,連接建立后也是用戶(hù)獨(dú)占使用。而基于非連接的分組方式是永遠(yuǎn)在線,接入服務(wù)商很難為用戶(hù)所有行為作日志,用戶(hù)也不認(rèn)可流量計(jì)費(fèi),內(nèi)容計(jì)費(fèi)可能使計(jì)費(fèi)方與接入提供者分離。因此,在分組服務(wù)可控性方面基于連接的方式優(yōu)于非基于連接的方式。 </p
60、><p> 3.1.4.3 NGN信息傳遞安全分析 </p><p> 信息完整性是指確認(rèn)發(fā)送、收到或存儲(chǔ)的數(shù)據(jù)是完整的、沒(méi)有被改變的。機(jī)密性是保護(hù)通信或存儲(chǔ)數(shù)據(jù),以防未授權(quán)的人截聽(tīng)和閱讀。傳送敏感信息的情況下特別需要保證機(jī)密性;機(jī)密性也是通信網(wǎng)絡(luò)用戶(hù)隱私問(wèn)題的需要之一。信息不可否認(rèn)性,即發(fā)送方不可否認(rèn)應(yīng)確保信息的發(fā)送者不成功地否認(rèn)曾經(jīng)發(fā)送過(guò)該信息。這就要求信息系統(tǒng)提供一種方法,來(lái)確保接
61、收信息的主體在數(shù)據(jù)交換期間能獲得證明信息源發(fā)的證據(jù),而且該證據(jù)可由該主體或第三方主體驗(yàn)證。</p><p> 通常為公眾服務(wù)的通信不保證信息在傳遞過(guò)程中的數(shù)據(jù)完整性、機(jī)密性與不可否認(rèn)性。NGN也同樣不會(huì)為傳遞的信息加密,完整性檢驗(yàn)或者反否認(rèn)。所有上述安全性由用戶(hù)端到端保障,NGN應(yīng)當(dāng)盡可能確保用戶(hù)信息隔離。除合法監(jiān)聽(tīng)以外,用戶(hù)不應(yīng)得到不應(yīng)由該用戶(hù)接收的信息。在無(wú)線信號(hào)等不可避免的無(wú)法隔離時(shí),應(yīng)考慮鏈路層加密或者
62、網(wǎng)絡(luò)層加密等手段。 </p><p> 3.2 傳統(tǒng)網(wǎng)絡(luò)安全解決方案分析</p><p> 傳統(tǒng)網(wǎng)絡(luò)的安全解決方案,主要基于互聯(lián)網(wǎng)的安全需求而提出。主要解決思路為靜態(tài)的網(wǎng)絡(luò)防護(hù)。隨著在互聯(lián)網(wǎng)出現(xiàn)一些重要的應(yīng)用安全的需求,后來(lái)也出現(xiàn)了基于認(rèn)證加密的安全防御思路。入侵檢測(cè)和入侵防御也是互聯(lián)網(wǎng)解決安全問(wèn)題的重要手段。下面對(duì)互聯(lián)網(wǎng)中的安全技術(shù)分別進(jìn)行介紹。</p><p
63、> 3.2.1 防火墻技術(shù) </p><p> 防火墻能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。防火墻系統(tǒng)決定了哪些內(nèi)部服務(wù)可以被外界訪問(wèn);外界的哪些人可以訪問(wèn)內(nèi)部的服務(wù)以及哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn)。防火墻必須只允許授權(quán)的數(shù)據(jù)通過(guò),而且防火墻本身也必須能夠免于滲透。企業(yè)的內(nèi)部網(wǎng)與外部網(wǎng)相連應(yīng)該重點(diǎn)考慮使用防火墻技術(shù)。</p><p> 一般來(lái)說(shuō),防火墻具有以下幾種功能[5]: <
64、;/p><p> (1)允許網(wǎng)絡(luò)管理員定義一個(gè)中心點(diǎn)來(lái)防止非法用戶(hù)進(jìn)入內(nèi)部網(wǎng)絡(luò)。 </p><p> (2)可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性,并報(bào)警。 </p><p> (3)可以作為部署NAT(Network Address Translation,網(wǎng)絡(luò)地址變換)的地點(diǎn),利用NAT技術(shù),將有限的IP地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部的IP地址對(duì)應(yīng)起來(lái),用來(lái)緩解地址空間短缺的問(wèn)
65、題。 </p><p> (4)是審計(jì)和記錄Internet使用費(fèi)用的一個(gè)最佳地點(diǎn)。網(wǎng)絡(luò)管理員可以在此向管理部門(mén)提供Internet連接的費(fèi)用情況,查出潛在的帶寬瓶頸位置,并能夠依據(jù)本機(jī)構(gòu)的核算模式提供部門(mén)級(jí)的計(jì)費(fèi)。 </p><p> (5)可以連接到一個(gè)單獨(dú)的網(wǎng)段上,從物理上和內(nèi)部網(wǎng)段隔開(kāi),并在此部署WWW服務(wù)器和FTP服務(wù)器,將其作為向外部發(fā)布內(nèi)部信息的地點(diǎn)。從技術(shù)角度來(lái)講,就
66、是所謂的停火區(qū)。 </p><p> 按照防火墻對(duì)內(nèi)外來(lái)往數(shù)據(jù)的處理方法,大致可以將防火墻分為兩大體系:包過(guò)濾防火墻和代理防火墻(應(yīng)用層網(wǎng)關(guān)防火墻)。</p><p> 3.2.1.1 包過(guò)濾防火墻 </p><p> 優(yōu)點(diǎn):價(jià)格較低、性能開(kāi)銷(xiāo)小、處理速度較快。 </p><p> 缺點(diǎn):定義復(fù)雜,容易出現(xiàn)因配置不當(dāng)帶來(lái)問(wèn)題;允許數(shù)
67、據(jù)包直接通過(guò),容易造成數(shù)據(jù)驅(qū)動(dòng)式攻擊的潛在危險(xiǎn)。</p><p> 第一代靜態(tài)包過(guò)濾防火墻根據(jù)定義好的過(guò)濾規(guī)則審查每個(gè)數(shù)據(jù)包,以便確定其是否與某一條包過(guò)濾規(guī)則匹配。過(guò)濾規(guī)則基于數(shù)據(jù)包的報(bào)頭信息進(jìn)行制訂。報(bào)頭信息中包括IP源地址、IP目標(biāo)地址、傳輸協(xié)議(TCP、UDP、ICMP等等)、TCP/UDP目標(biāo)端口、ICMP消息類(lèi)型等。包過(guò)濾類(lèi)型的防火墻要遵循的一條基本原則是“最小特權(quán)原則”,即明確允許那些管理員希望通過(guò)
68、的數(shù)據(jù)包,禁止其他的數(shù)據(jù)包。 </p><p> 第二代動(dòng)態(tài)包過(guò)濾防火墻采用動(dòng)態(tài)設(shè)置包過(guò)濾規(guī)則的方法,避免了靜態(tài)包過(guò)濾所具有的問(wèn)題。這種技術(shù)后來(lái)發(fā)展成為所謂包狀態(tài)監(jiān)測(cè)(Stateful Inspection)技術(shù)。對(duì)通過(guò)其建立的每一個(gè)連接都進(jìn)行跟蹤,以確定是否允許和拒絕通信。</p><p> 3.2.1.2 代理防火墻</p><p> 代理防火墻也叫應(yīng)用
69、層網(wǎng)關(guān)(Application Gateway)防火墻。這種防火墻通過(guò)一種代理(Proxy)技術(shù)參與到一個(gè)TCP連接的全過(guò)程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過(guò)這樣的防火墻處理后,就好像是源于防火墻外部網(wǎng)卡一樣,從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。這種類(lèi)型的防火墻被網(wǎng)絡(luò)安全專(zhuān)家和媒體公認(rèn)為是最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。而所謂代理服務(wù)器,是指代表客戶(hù)處理在服務(wù)器連接請(qǐng)求的程序。當(dāng)代理服務(wù)器得到一個(gè)客戶(hù)的連接意圖時(shí),它們將核實(shí)客戶(hù)請(qǐng)求
70、,并經(jīng)過(guò)特定的安全化的Proxy應(yīng)用程序處理連接請(qǐng)求,將處理后的請(qǐng)求傳遞到真實(shí)的服務(wù)器上,然后接受服務(wù)器應(yīng)答,并做進(jìn)一步處理后,將答復(fù)交給發(fā)出請(qǐng)求的最終客戶(hù)。代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)發(fā)揮了中間轉(zhuǎn)接的作用。</p><p> 3.2.1.3 個(gè)人防火墻</p><p> 個(gè)人防火墻是一種能夠保護(hù)個(gè)人計(jì)算機(jī)系統(tǒng)安全的應(yīng)用程序級(jí)的軟件,它可以直接在用戶(hù)的計(jì)算機(jī)上運(yùn)行,使用與
71、動(dòng)態(tài)檢測(cè)防火墻相同的方式,保護(hù)一臺(tái)計(jì)算機(jī)不受攻擊。通常,這些防火墻是安裝在計(jì)算機(jī)網(wǎng)絡(luò)接口的較低級(jí)別上,使得它們可以監(jiān)視傳入傳出網(wǎng)卡的所有網(wǎng)絡(luò)通信。</p><p> 一旦安裝上個(gè)人防火墻,就可以把它設(shè)置成“學(xué)習(xí)模式”,這樣的話,對(duì)遇到的每一種新的網(wǎng)絡(luò)通信,個(gè)人防火墻都會(huì)提示用戶(hù)一次,詢(xún)問(wèn)如何處理那種通信,然后個(gè)人防火墻便記住響應(yīng)方式,并應(yīng)用于以后遇到的相同的網(wǎng)絡(luò)通信。</p><p>
72、 3.2.2 入侵檢測(cè)技術(shù)</p><p> 入侵檢測(cè)是指“通過(guò)對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作,檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖”。入侵檢測(cè)是檢測(cè)和響應(yīng)計(jì)算機(jī)誤用的學(xué)科,其作用包括威懾、檢測(cè)、響應(yīng)、損失情況評(píng)估、攻擊預(yù)測(cè)和起訴支持。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?,F(xiàn)象的技術(shù),是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。
73、進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)(簡(jiǎn)稱(chēng)IDS)[6]。</p><p> 入侵檢測(cè)過(guò)程分為三部分:信息收集、信息分析和結(jié)果處理。</p><p> (1)信息收集:收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶(hù)活動(dòng)的狀態(tài)和行為。由放置在不同網(wǎng)段的傳感器或不同主機(jī)的代理來(lái)收集信息,包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。</p><
74、;p> (2)信息分析:收集到的信息,被送到檢測(cè)引擎,檢測(cè)引擎駐留在傳感器中,一般通過(guò)三種技術(shù)手段進(jìn)行分析:模式匹配、統(tǒng)計(jì)分析和完整性分析。當(dāng)檢測(cè)到某種誤用模式時(shí),產(chǎn)生一個(gè)告警并發(fā)送給控制臺(tái)。</p><p> (3)結(jié)果處理:控制臺(tái)按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施,可以是重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性,也可以只是簡(jiǎn)單的告警。</p><p>
75、3.2.3 入侵防御技術(shù)</p><p> 網(wǎng)絡(luò)病毒頻繁爆發(fā),黑客攻擊水平日益提高,傳統(tǒng)的防火墻或入侵檢測(cè)技術(shù)(IDS)已顯得力不從心。入侵防御采取積極主動(dòng)的措施阻止從外部對(duì)IT資源的攻擊,將損失降到最小。使用IPS后,網(wǎng)絡(luò)管理員只需少數(shù)的幾次配置,也許就可以放心地隔岸觀火,由IPS系統(tǒng)來(lái)對(duì)付來(lái)自各處的攻擊了。</p><p> 簡(jiǎn)單地理解,可認(rèn)為IPS就是防火墻加上入侵檢測(cè)系統(tǒng)[7
76、]。但并不是說(shuō)IPS可以代替防火墻或入侵檢測(cè)系統(tǒng)。防火墻在基于TCP/IP協(xié)議的過(guò)濾方面表現(xiàn)出色,而且在大多數(shù)情況下,可以提供網(wǎng)絡(luò)地址轉(zhuǎn)換、服務(wù)代理、流量統(tǒng)計(jì)等功能,甚至有的防火墻還能提供VPN功能。和防火墻比較起來(lái),IPS的功能比較單一,它只能串聯(lián)在網(wǎng)絡(luò)上(類(lèi)似于通常所說(shuō)的網(wǎng)橋式防火墻),對(duì)防火墻所不能過(guò)濾的攻擊進(jìn)行過(guò)濾。這樣一個(gè)兩級(jí)的過(guò)濾模式,可以最大地保證系統(tǒng)的安全。在一些專(zhuān)業(yè)的機(jī)構(gòu),或?qū)W(wǎng)絡(luò)安全要求比較高的地方,入侵檢測(cè)系統(tǒng)和其
77、他審計(jì)跟蹤產(chǎn)品結(jié)合,可以提供針對(duì)企業(yè)信息資源全面的審計(jì)資料,這些資料對(duì)于攻擊還原、入侵取證、異常事件識(shí)別、網(wǎng)絡(luò)故障排除等等都有很重要的作用。IPS的檢測(cè)功能類(lèi)似于IDS,但I(xiàn)PS檢測(cè)到攻擊后會(huì)采取行動(dòng)阻止攻擊。 </p><p> 3.2.4 應(yīng)用信息安全保護(hù)機(jī)制</p><p> 目前傳統(tǒng)安全解決方案在保護(hù)應(yīng)用層信息安全主要利用兩種技術(shù):基于IPSec的VPN和基于TLS/SSL的
78、VPN。IPSec主要從IP層實(shí)現(xiàn)具有對(duì)數(shù)據(jù)包加密認(rèn)證的安全協(xié)議,可以為所有的TCP/IP協(xié)議數(shù)據(jù)包提供安全機(jī)制。TLS/SSL是從傳輸層提供的一種保證應(yīng)用數(shù)據(jù)包安全機(jī)密性的協(xié)議。</p><p> 3.2.4.1 IPSec</p><p> IPSec(1P Security)用于提供IP層的安全性。IPSec的工作原理類(lèi)似于包過(guò)濾防火墻。IPSec通過(guò)查詢(xún)SPD(Securit
79、y P01icy Database安全策略數(shù)據(jù)庫(kù))決定對(duì)接收到的IP數(shù)據(jù)包的處理。但是IPSec不同于包過(guò)濾防火墻的是,對(duì)IP數(shù)據(jù)包的處理方法除了丟棄,直接轉(zhuǎn)發(fā)(繞過(guò)IPSec)外,還有一種,即進(jìn)行IPSec處理。正是這新增添的處理方法提供了比包過(guò)濾防火墻更進(jìn)一步的網(wǎng)絡(luò)安全性。進(jìn)行IPSec處理意味著對(duì)IP數(shù)據(jù)包進(jìn)行加密和認(rèn)證。只有在對(duì)IP數(shù)據(jù)包實(shí)施了加密和認(rèn)證后,才能保證在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的機(jī)密性,真實(shí)性,完整性,通過(guò)Intern
80、et進(jìn)新安全的通信才成為可能。IPSec既可以只對(duì)IP數(shù)據(jù)包進(jìn)行加密,或只進(jìn)行認(rèn)證,也可以同時(shí)實(shí)施二者。</p><p> 3.2.4.2 TLS/SSL</p><p> 安全套接字層(SSL)是用來(lái)向因特網(wǎng)會(huì)話提供安全性和保密性的握手協(xié)議。它支持服務(wù)器和客戶(hù)機(jī)認(rèn)證,并且被設(shè)計(jì)成協(xié)商加密密鑰以及在交換任何數(shù)據(jù)之前認(rèn)證服務(wù)器。它使用加密、認(rèn)證和 MAC 來(lái)維護(hù)傳輸信道的完整性。雖然
81、SSL 最適合用于 HTTP,但它也可以用于 FTP 或其它相關(guān)協(xié)議。它在傳輸層運(yùn)行并且是獨(dú)立于應(yīng)用程序的,因此像 FTP 或 HTTP 之類(lèi)的相關(guān)協(xié)議可以放在該層之上。使用初始握手來(lái)對(duì)服務(wù)器進(jìn)行認(rèn)證。在這一過(guò)程中,服務(wù)器把證書(shū)提交到客戶(hù)機(jī)并指定要使用的首選密碼。然后,客戶(hù)機(jī)生成在即將進(jìn)行的會(huì)話期間使用的秘鑰,然后將它提交給服務(wù)器,并相應(yīng)地用服務(wù)器的公鑰對(duì)它加密。服務(wù)器使用其私鑰解密消息,恢復(fù)秘鑰,然后通過(guò)向客戶(hù)機(jī)發(fā)送一條使用該秘鑰加密
82、的消息來(lái)向客戶(hù)機(jī)認(rèn)證自己。使用這一達(dá)成協(xié)議的秘鑰對(duì)加密的數(shù)據(jù)進(jìn)行進(jìn)一步的交換。服務(wù)器可以發(fā)送一個(gè)質(zhì)詢(xún),客戶(hù)機(jī)對(duì)此做出響應(yīng),向服務(wù)器返回該質(zhì)詢(xún)的數(shù)字簽名和客戶(hù)機(jī)的公鑰證書(shū),以此來(lái)進(jìn)一步增加安全性。</p><p> 傳輸層安全性(TLS)協(xié)議基于 SSL 并與之相似。TLS 是獨(dú)立于應(yīng)用程序協(xié)議的,其使用的加密算法的種類(lèi)與 SSL 使用的相似。它的主要目標(biāo)是在兩個(gè)正在通信的應(yīng)用程序之間提供保密性和數(shù)據(jù)完整性。它由
83、兩層構(gòu)成。較低的層稱(chēng)為 TLS Record 協(xié)議,且位于某個(gè)可靠的傳輸協(xié)議(例如,TCP)上面。這一層有兩個(gè)基本特性,具體說(shuō)該連接是專(zhuān)用的并且是可靠的。它用于封裝各種更高級(jí)協(xié)議,但也可以不加密地使用。通常使用加密時(shí),生成的用于這個(gè)加密的秘鑰專(zhuān)用于每個(gè)連接,這些秘鑰基于由另一個(gè)協(xié)議(例如,更高級(jí)別的 TLS Handshake 協(xié)議)協(xié)商的秘鑰。TLS Handshake 協(xié)議提供了具有三個(gè)基本特性的連接安全性,即可以使用非對(duì)稱(chēng)密碼術(shù)來(lái)
84、認(rèn)證對(duì)等方的身份,共享密鑰的協(xié)商是安全的,以及協(xié)商是可靠的。TLS 協(xié)議的目標(biāo),按其優(yōu)先級(jí)順序來(lái)說(shuō),是密碼安全性、互操作性和可擴(kuò)展性。</p><p> 3.2.5 其他相關(guān)技術(shù)</p><p> (1)數(shù)據(jù)加密技術(shù)。它可以提高信息系統(tǒng)及資料的安全性和保密性, 防止秘密資料被外部破解。按作用的不同,數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)等四種。 &l
85、t;/p><p> (2)智能卡技術(shù)。由授權(quán)用戶(hù)所持有并由該用戶(hù)賦予它一個(gè)口令或密碼。當(dāng)口令與身份特征共同使用時(shí),智能卡的保密性還是相當(dāng)有效的。</p><p> (3)加強(qiáng)安全管理。網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)等防范措施都有一定的限度, 并不是越安全就越可靠。在看一個(gè)內(nèi)部網(wǎng)是否安全時(shí)不僅要考察其手段, 而更重要的是對(duì)該網(wǎng)絡(luò)所采取的各種措施, 其中不光是物理防范,還有人員的素質(zhì)等其它“軟”因素, 應(yīng)
86、對(duì)它們進(jìn)行綜合評(píng)估, 從而得出是否安全的結(jié)論。因此,對(duì)“網(wǎng)管”人員和其它相關(guān)人員的管理也非常重要,而不僅是簡(jiǎn)單的硬件和軟件方面的資金投入和安全措施的制定。</p><p> (4)反病毒技術(shù)。病毒檢測(cè)方法目前市面上常見(jiàn)的防毒軟件經(jīng)常使用的防毒技術(shù)一般分為以下幾種:特征代碼法、校驗(yàn)和法、行為檢測(cè)法、軟件模擬法、VICE先知掃描法等。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,基于網(wǎng)絡(luò)的病毒將逐步成為計(jì)算機(jī)病毒的主流,網(wǎng)絡(luò)反病毒技術(shù)也
87、將成為下一代防病毒技術(shù)的重點(diǎn),也是下一代防病毒軟件的發(fā)展趨勢(shì)。</p><p> 3.3 傳統(tǒng)安全解決方案在解決NGN安全問(wèn)題的局限性</p><p> 傳統(tǒng)安全解決方案為解決互聯(lián)網(wǎng)安全問(wèn)題做出了非常重要的貢獻(xiàn),使得黑客和病毒 并不能毫無(wú)遮攔的長(zhǎng)驅(qū)直入。另外,安全技術(shù)也在不斷的發(fā)展變化中,也有一些特別好的防護(hù)和防御技術(shù)思路被提出來(lái)。這些傳統(tǒng)的安全解決方案在為解決NGN的安全問(wèn)題有很好
88、的借鑒意義。因?yàn)镹GN同樣基于IP技術(shù)而搭建,許多常規(guī)網(wǎng)絡(luò)存在的安全問(wèn)題,在NGN中同樣存在,大部分防御技術(shù)可以直接用于NGN的安全保障體系中。</p><p> 但是傳統(tǒng)安全解決方案在解決NGN安全問(wèn)題也存在一些局限性,主要原因在于:(1)防御的出發(fā)點(diǎn)及安全需求有所區(qū)別。(2)所提供的應(yīng)用服務(wù)也有很大的差異?;ヂ?lián)網(wǎng)安全解決方案的提出,主要是將互聯(lián)網(wǎng)劃分為許許多多小網(wǎng)絡(luò),在基于內(nèi)網(wǎng)安全可靠而外網(wǎng)存在多種攻擊這樣
89、一個(gè)假設(shè)的前提下,所提出的如何來(lái)保證自己所保護(hù)的網(wǎng)絡(luò)不被互聯(lián)網(wǎng)上的其他用戶(hù)所攻擊,這是互聯(lián)網(wǎng)安全解決方案的出發(fā)點(diǎn),而NGN網(wǎng)絡(luò)安全的出發(fā)點(diǎn)是保證運(yùn)營(yíng)的核心骨干網(wǎng)絡(luò)和服務(wù)網(wǎng)絡(luò)不受接入用戶(hù)的攻擊,安全需求不一樣主要體現(xiàn)在互聯(lián)網(wǎng)的安全需求更看重的是保證服務(wù)器或所保護(hù)的其他系統(tǒng)不被入侵和攻擊,而NGN的安全需求除了互聯(lián)網(wǎng)所要求的安全需求外,更強(qiáng)調(diào)的是提供電信級(jí)的安全,保證服務(wù)和業(yè)務(wù)的不中斷。最后應(yīng)用層上較大的差異也使得傳統(tǒng)安全解決方案在對(duì)應(yīng)用層
90、的處理上存在很大的局限性,這種應(yīng)用差異體現(xiàn)到互聯(lián)網(wǎng)所提供的開(kāi)放的多樣化的靜態(tài)應(yīng)用,而NGN所提供的是具有極大相似性的比較統(tǒng)一的動(dòng)態(tài)的應(yīng)用。</p><p> 正是由于上面所列舉的原因,使得傳統(tǒng)安全解決方案不能完全解決NGN安全問(wèn)題,具體存在的局限性列舉如下:</p><p> (1)傳統(tǒng)安全方案破壞了網(wǎng)絡(luò)的可用性。</p><p> 傳統(tǒng)安全解決方案的基本前提
91、是網(wǎng)絡(luò)的應(yīng)用是靜態(tài)的和可預(yù)測(cè)的,所以它通過(guò)預(yù)先設(shè)置一些規(guī)則來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)防護(hù),但是隨著網(wǎng)絡(luò)的發(fā)展,出現(xiàn)了許多動(dòng)態(tài)的應(yīng)用。傳統(tǒng)安全解決方案嚴(yán)重限制了這種網(wǎng)絡(luò)應(yīng)用的發(fā)展,而NGN所提供的正是一個(gè)典型的具有這種動(dòng)態(tài)特點(diǎn)的網(wǎng)絡(luò)應(yīng)用。</p><p> (2)傳統(tǒng)安全方案沒(méi)有深層次的分析安全攻擊和防御。</p><p> 傳統(tǒng)安全解決方案更強(qiáng)調(diào)對(duì)應(yīng)用層以下攻擊的安全防護(hù),重點(diǎn)為傳輸層和網(wǎng)絡(luò)層,但在N
92、GN網(wǎng)絡(luò)中,應(yīng)用相對(duì)比較單一,并且為協(xié)議公開(kāi),所有NGN安全解決方案應(yīng)當(dāng)有應(yīng)用安全和應(yīng)用層安全的考慮。</p><p> (3)沒(méi)有將網(wǎng)絡(luò)安全與應(yīng)用安全綜合考慮。</p><p> 在早期的互聯(lián)網(wǎng)上,安全防御主要是保護(hù)網(wǎng)絡(luò)系統(tǒng)不受黑客的入侵和攻擊,以及避免蠕蟲(chóng)和病毒的危害,對(duì)于網(wǎng)絡(luò)信息傳輸和應(yīng)用層業(yè)務(wù)的安全考慮的比較少?,F(xiàn)在也出現(xiàn)了保護(hù)網(wǎng)絡(luò)信息傳輸和應(yīng)用的安全機(jī)制,并得到了一定的部署,
93、但實(shí)際上當(dāng)網(wǎng)絡(luò)安全方案和應(yīng)用信息安全方案同時(shí)部署的時(shí)候會(huì)出現(xiàn)很多的問(wèn)題,事實(shí)上它們?cè)诤芏鄷r(shí)候可以相互協(xié)同工作。應(yīng)當(dāng)有一個(gè)融合二者提供整體安全的綜合防御體系。</p><p> 4 NGN的安全問(wèn)題</p><p> NGN作為下一代通信網(wǎng)絡(luò),是未來(lái)信息傳遞的主要載體。NGN安全是信息安全問(wèn)題中的關(guān)鍵問(wèn)題之一。根據(jù)對(duì)目前NGN的分析研究和驗(yàn)證,發(fā)現(xiàn)存在非常大的安全隱患,安全考慮非常欠缺
94、。具體可能遇到的威脅可分為以下幾類(lèi)。</p><p><b> 4.1 黑客攻擊</b></p><p> 4.1.1 DOS/DDOS攻擊</p><p> 拒絕服務(wù)(DoS/DDoS)攻擊最早可追述到1996年,在2000年發(fā)展到極致。全球包括Yahoo、CNN、eBay在內(nèi)的十多個(gè)著名網(wǎng)站都遭遇過(guò)這種流量堵塞技術(shù)的攻擊,僅Yah
95、oo一家就造成了50萬(wàn)美元的損失。對(duì)于業(yè)界來(lái)說(shuō),DoS攻擊的原理極為簡(jiǎn)單,也早已為人們所熟知。不過(guò),至今為止仍然沒(méi)有一項(xiàng)技術(shù)能很好解決這類(lèi)簡(jiǎn)單攻擊,所以DoS/DDoS攻擊依然是網(wǎng)絡(luò)面臨的主要威脅。域名解析服務(wù)器是維系全球互聯(lián)網(wǎng)正確通信的命根子,如果攻擊得逞,整個(gè)互聯(lián)網(wǎng)世界將會(huì)崩潰[8]?!?lt;/p><p> DoS攻擊通過(guò)偽造超過(guò)服務(wù)器處理能力的訪問(wèn)數(shù)據(jù)耗盡系統(tǒng)資源而造成服務(wù)器響應(yīng)阻塞,使目標(biāo)計(jì)算機(jī)無(wú)法提供正
96、常的服務(wù)。從攻擊類(lèi)型來(lái)看,DoS攻擊主要分為針對(duì)一切網(wǎng)絡(luò)設(shè)備的流量型攻擊(這是目前主要的DoS攻擊形式)、針對(duì)主機(jī)的堆棧突破型攻擊和針對(duì)系統(tǒng)漏洞的特定型攻擊。典型流量型攻擊方法有SYN Flood、ACK Flood、UDP Flood、ICMP Flood和MStream Flood等;而堆棧突破型攻擊包括Winnnuke、Jolt、Teardrop等。</p><p> 流量型攻擊之所以屢屢得逞并很難預(yù)防,
97、在于它利用了TCP協(xié)議本身的弱點(diǎn)。以用小帶寬沖擊大帶寬的SYN Flood為例,TCP協(xié)議規(guī)定一次正常的傳輸需要在通話的雙方建立“三次握手”。第一次握手,客戶(hù)端向服務(wù)端提出連接請(qǐng)求;第二次握手,服務(wù)端做出回應(yīng),按照IP源地址返回?cái)?shù)據(jù)包;第三次握手,客戶(hù)端確認(rèn)收到服務(wù)端返回的數(shù)據(jù)包,至此雙方才算建立了完整的TCP連接。通常情況下,服務(wù)端的操作系統(tǒng)會(huì)使用一塊限定的內(nèi)存處理TCP連接請(qǐng)求,這個(gè)限定的內(nèi)存被稱(chēng)為T(mén)CP緩存,如果這個(gè)緩存隊(duì)列被填滿(mǎn)
98、,任何其他新的TCP連接請(qǐng)求都會(huì)被丟棄。當(dāng)DoS攻擊發(fā)生時(shí),黑客用偽造的IP地址向服務(wù)端發(fā)出請(qǐng)求,由于它的IP地址是假的,因此在第二次握手時(shí),數(shù)據(jù)包無(wú)法返回原來(lái)的IP地址,但服務(wù)端卻會(huì)不斷地嘗試“握手”直到超時(shí)為止(大約75秒),這形成了“半連接”。大量的“半連接”將目標(biāo)主機(jī)的TCP緩存隊(duì)列填滿(mǎn),而無(wú)法接受新連接,這就形成了一次成功的DoS攻擊。</p><p> 由于攻擊所針對(duì)的TCP協(xié)議層的缺陷短時(shí)無(wú)法改變
99、,因此DoS也就成為了流傳最廣,最難防范的攻擊方式。從它的攻擊方式可以看出,這種攻擊會(huì)導(dǎo)致資源的匱乏,無(wú)論服務(wù)器的處理速度多快、內(nèi)存容量多大、網(wǎng)絡(luò)帶寬的速度多快都無(wú)法避免這種攻擊帶來(lái)的后果。</p><p> 多數(shù)DoS攻擊形成的條件是需要大帶寬,單個(gè)黑客一般不具備此條件。但他可將其他大量計(jì)算機(jī)變成“僵尸”,自動(dòng)向目標(biāo)網(wǎng)站發(fā)送大量信息,這就是分布式DoS攻擊——DDoS攻擊。它依靠黑客開(kāi)發(fā)的各類(lèi)軟件實(shí)現(xiàn),它們多
100、數(shù)利用操作系統(tǒng)的漏洞,能像病毒一樣在網(wǎng)上傳染,還能夠像病毒一樣潛伏,更重要的是能讓“僵尸”計(jì)算機(jī)接收黑客發(fā)布的指令,在某一時(shí)刻向某個(gè)網(wǎng)站集體發(fā)動(dòng)攻擊。</p><p> 可以說(shuō),DDoS攻擊是由黑客集中控制發(fā)動(dòng)的一組DoS攻擊的集合,而DoS攻擊方式可由上述的各類(lèi)方式組成。 DDoS現(xiàn)在被稱(chēng)作“黑客的終極武器”,是目前最有效也最猖獗的攻擊形式,非常難以抵擋也非常難以查找攻擊源,只能從網(wǎng)絡(luò)源頭、網(wǎng)絡(luò)運(yùn)營(yíng)商一級(jí)通過(guò)
101、路由回溯等技術(shù)才能縮小包圍圈,但準(zhǔn)確定位攻擊源幾乎難以實(shí)現(xiàn)。 </p><p> 從某種程度上可以說(shuō),目前,針對(duì)DoS/DDoS攻擊從技術(shù)上沒(méi)有根本的解決辦法。一般采取的將大量的來(lái)自攻擊地址的連接請(qǐng)求截?cái)嗟姆椒ú⒉豢煽?,因?yàn)楹诳徒?jīng)常假冒某些合法用戶(hù)身份,如果將他們的連接請(qǐng)求截?cái)?,正好?shí)現(xiàn)了“拒絕服務(wù)”的目的?!?lt;/p><p> 綜上所述,拒絕服務(wù)是一種最簡(jiǎn)單而又最有效的攻擊方式,到目
102、前為止還沒(méi)有非常好的防御方式,所以這種攻擊成為網(wǎng)絡(luò)重要威脅之一。NGN作為基于互聯(lián)網(wǎng)技術(shù)的應(yīng)用系統(tǒng),當(dāng)然也不例外。拒絕服務(wù)攻擊方式有很多種,各種攻擊方式的危害程度不一,有的攻擊僅僅使得服務(wù)拒絕,有的攻擊可以使得終端死機(jī),有的攻擊可以使得網(wǎng)絡(luò)大規(guī)模癱瘓?,F(xiàn)在很多網(wǎng)絡(luò)專(zhuān)家正在致力于防御該攻擊的研究中,也推出了許多防御措施,但收效都不大。</p><p> 4.1.2 其他常見(jiàn)黑客攻擊</p><
103、;p> (1)系統(tǒng)代理攻擊:這種攻擊通常是針對(duì)單個(gè)主機(jī)發(fā)起的。</p><p> (2)非授權(quán)訪問(wèn)嘗試:是攻擊者對(duì)被保護(hù)文件進(jìn)行讀、寫(xiě)或執(zhí)行的嘗試,也包括為獲得被保護(hù)訪問(wèn)權(quán)限所做的嘗試。</p><p> (3)預(yù)探測(cè)攻擊:在連續(xù)的非授權(quán)訪問(wèn)嘗試過(guò)程中,攻擊者為了獲得網(wǎng)絡(luò)內(nèi)部的信息及網(wǎng)絡(luò)周?chē)男畔?,通常使用這種攻擊嘗試。</p><p> (4)可疑活
104、動(dòng):是通常定義的“標(biāo)準(zhǔn)”網(wǎng)絡(luò)通信范疇之外的活動(dòng),也可以指網(wǎng)絡(luò)上不希望有的活動(dòng)。</p><p> (5)協(xié)議解碼:協(xié)議解碼可用于以上任何一種非期望的方法中,網(wǎng)絡(luò)或安全管理員需要進(jìn)行解碼工作,并獲得相應(yīng)的結(jié)果,解碼后的協(xié)議信息可能表明期望的活動(dòng)。</p><p> 4.2 VOIP中的安全問(wèn)題</p><p> 目前,VoIP技術(shù)日趨成熟,已經(jīng)從實(shí)驗(yàn)階段轉(zhuǎn)向成
105、熟的商業(yè)應(yīng)用。但是在使用過(guò)程中,用戶(hù)和設(shè)備供應(yīng)商更多地會(huì)將精力放在如何改善話音質(zhì)量和同現(xiàn)有數(shù)據(jù)網(wǎng)絡(luò)的融合上面,很少考慮到VoIP所存在的安全隱患。究竟有那幾種因素會(huì)影響到VoIP呢?</p><p> 4.2.1 VoIP自身的缺陷</p><p> 目前VoIP技術(shù)最常用的話音建立和控制信令是H.323和SIP協(xié)議。它們都是開(kāi)放的協(xié)議體系。越是開(kāi)放的操作系統(tǒng),也就越容易受到病毒和惡
106、意攻擊的影響。尤其是某些設(shè)備需要提供基于Web的管理界面的時(shí)候[9]。</p><p> 4.2.2 基于開(kāi)放端口的DoS攻擊</p><p> 攻擊者向服務(wù)器發(fā)送相當(dāng)多數(shù)量的帶有虛假地址的服務(wù)請(qǐng)求,但因?yàn)樗幕貜?fù)地址是虛假的,服務(wù)器將等不到回傳的消息,直至所有的資源被耗盡。VoIP技術(shù)已經(jīng)有很多知名的端口,像1719、1720、5060等。還有一些端口是產(chǎn)品本身需要用于遠(yuǎn)端管理
107、或是私有信息傳遞的用途。有些管理員在設(shè)置防火墻的時(shí)候,為了圖簡(jiǎn)便,把所有的端口都打開(kāi)了,以防無(wú)意中封掉有用的端口影響VoIP通信。這樣就把整個(gè)設(shè)備暴露在網(wǎng)絡(luò)上,不用的那些端口很容易遭到拒絕服務(wù)攻擊。只要是攻擊者的PC和這些應(yīng)用端口在同一網(wǎng)段,就可以通過(guò)簡(jiǎn)單的掃描工具來(lái)獲得更詳細(xì)的信息。</p><p> 4.2.3 服務(wù)竊取防盜打</p><p> 防止IP電話被盜打是VoIP時(shí)代的
108、一個(gè)新問(wèn)題。雖然IP話機(jī)沒(méi)辦法通過(guò)并線的方式來(lái)打電話,但通過(guò)IP網(wǎng)絡(luò)管理的漏洞或者是通過(guò)Sniffer等軟件竊取IP 語(yǔ)音通信系統(tǒng)管理的密碼或IP話機(jī)的登錄密碼,同樣會(huì)使非法用戶(hù)獲取相應(yīng)的語(yǔ)音功能和權(quán)限。通常在IP話機(jī)首次登錄到系統(tǒng)時(shí),會(huì)要求提示輸入各人的分機(jī)號(hào)碼和密碼;當(dāng)密碼流失之后,任何人都可以用自己的軟電話登錄成為別人的分機(jī)號(hào)碼。要避免IP電話被盜打,就需要保護(hù)好自己的用戶(hù)名和密碼。</p><p> 如
109、今大多數(shù)VoIP廠商采用的SIP協(xié)議,在呼叫設(shè)置過(guò)程中可傳輸兩種重要的信息,即被叫方電話號(hào)碼和驗(yàn)證信息(如SIP用戶(hù)名和密碼)。多數(shù)VoIP廠商都假設(shè)SIP設(shè)備位于某種NAT路由器之后,并對(duì)其進(jìn)行相應(yīng)的優(yōu)化配置,這就大大減少了終端用戶(hù)需要進(jìn)行的配置。VoIP廠商通常擁有許多不同的呼叫網(wǎng)關(guān),它們可能位于不同位置,這是為了確保最大可用性和呼叫質(zhì)量。利用VoIP進(jìn)行呼叫時(shí),呼叫設(shè)置信息可暢通無(wú)阻地進(jìn)行傳輸,這使它具有了方便的可讀性。但這同時(shí)意
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 畢業(yè)論文——畢業(yè)論文管理系統(tǒng)
- 畢業(yè)論文汽車(chē)營(yíng)銷(xiāo)畢業(yè)論文
- 畢業(yè)論文市場(chǎng)營(yíng)銷(xiāo)畢業(yè)論文
- 軟件開(kāi)發(fā)畢業(yè)論文-畢業(yè)論文
- 關(guān)于閥門(mén)的畢業(yè)論文畢業(yè)論文
- 畢業(yè)論文——畢業(yè)論文管理系統(tǒng) (2)
- 【畢業(yè)論文】車(chē)床改進(jìn)畢業(yè)論文完成
- 畢業(yè)論文——畢業(yè)論文管理系統(tǒng) (2)
- 畢業(yè)論文——畢業(yè)論文管理系統(tǒng) (2)
- 參考畢業(yè)論文環(huán)境化學(xué)畢業(yè)論文
- 畢業(yè)論文
- 畢業(yè)論文
- 畢業(yè)論文
- 汽修畢業(yè)論文10000字 汽修畢業(yè)論文
- 子商務(wù)的畢業(yè)論文商務(wù)英語(yǔ)畢業(yè)論文商務(wù)管理畢業(yè)論文應(yīng)用電子畢業(yè)論文
- 畢業(yè)論文
- 畢業(yè)論文
- 輪機(jī)工程專(zhuān)業(yè)畢業(yè)論文畢業(yè)論文
- 青少年犯罪畢業(yè)論文畢業(yè)論文
- 包裝設(shè)計(jì)畢業(yè)論文包裝畢業(yè)論文
評(píng)論
0/150
提交評(píng)論