核心網(wǎng)安全技術(shù)探討?yīng)?/h1>

2017-09-25 22:41:32王宇??

中華建設(shè)科技訂閱 2017年8期 收藏

關(guān)鍵詞：安全機制網(wǎng)絡(luò)架構(gòu)核心網(wǎng)

王宇??

【摘要】移動通信網(wǎng)發(fā)展的目標(biāo)是為用戶提供質(zhì)量更佳的移動語音、寬帶移動數(shù)據(jù)和移動多媒體服務(wù)，提供更大的系統(tǒng)容量和更高的頻譜利用率，滿足人們對通信個性化的需求。為了適應(yīng)移動數(shù)據(jù)業(yè)務(wù)和多媒體業(yè)務(wù)的發(fā)展，核心網(wǎng)也將隨之發(fā)生相應(yīng)的變化。核心網(wǎng)將憑借先進的網(wǎng)絡(luò)架構(gòu)提供更好的語音服務(wù)，并可更好地處理數(shù)據(jù)業(yè)務(wù)和多媒體業(yè)務(wù)。本文闡述了核心網(wǎng)的體系結(jié)構(gòu)及安全域的劃分方式，核心網(wǎng)各安全域內(nèi)應(yīng)該包含的主要設(shè)備，并在此基上詳細(xì)分析了核心網(wǎng)安全性技術(shù)應(yīng)用。

【關(guān)鍵詞】核心網(wǎng)；網(wǎng)絡(luò)架構(gòu)；安全機制；安全域

Discussion on core network security technology

Wang Yu

（Tianyuan Ruixin Communication Technology Co.， LtdXi'anShaanxi710075）

【Abstract】Mobile communication network development goal is to provide users with better quality of mobile voice and broadband mobile data and mobile multimedia services， provide greater system capacity and higher spectrum efficiency， meet the personalized requirements of the communication. In order to adapt to the development of mobile data business and multimedia business， the core network will change accordingly. The core network will provide better voice services with the advanced network architecture and better handle the data business and multimedia business. This paper expounds the core network architecture and the classified methods of security domain， core network should contain the main equipment inside each security domain， and base on this core network security technology are analyzed in detail.

【Key words】Core network；Network architecture；Security mechanism；Security domain

1. 核心網(wǎng)技術(shù)組成以及核心安全

隨著移動通信、數(shù)據(jù)通信和光纖通信的飛速發(fā)展，通信業(yè)務(wù)需求日益膨脹。通信業(yè)務(wù)的不斷發(fā)展和頻譜資源的日益短缺，驅(qū)動了移動通信從最初的2G，發(fā)展到現(xiàn)在的5G，中間經(jīng)歷了各種不同技術(shù)的競爭，也出現(xiàn)了不同的發(fā)展方向。目前大家都在思考具體應(yīng)該使用哪種技術(shù)，哪種技術(shù)更適合我們，誰才是標(biāo)準(zhǔn)。不管是哪種傳輸技術(shù)，哪個頻段，最終應(yīng)用的目的都是使手機能夠連到互聯(lián)網(wǎng)上。任何跟互聯(lián)網(wǎng)有關(guān)的東西都不可避免地要受到病毒與攻擊的侵?jǐn)_，這已經(jīng)成為互聯(lián)網(wǎng)的一個揮之不去的陰影。尤其是在當(dāng)前全網(wǎng)IP化的趨勢下，該問題尤為突出。所以網(wǎng)絡(luò)安全問題，特別是核心網(wǎng)的安全問題很值得我們深思。

核心網(wǎng)包括了實現(xiàn)傳統(tǒng)語音業(yè)務(wù)的電路域和提供數(shù)據(jù)接入的分組域兩個部分。核心網(wǎng)具備處理所有與話音呼叫、數(shù)據(jù)連接以及與外部網(wǎng)絡(luò)相關(guān)的交換、連接、路由的功能，因而明確核心網(wǎng)安全域的劃分原則，并全面地分析核心網(wǎng)所面臨的安全威脅對于安全至關(guān)重要。

核心網(wǎng)的體系結(jié)構(gòu)主要包含以下網(wǎng)元實體：

1.1媒體網(wǎng)關(guān)MGW（Media Gateway）。

（1）CS-MGW用來定義CS域的媒體網(wǎng)關(guān)。針對一個定義的網(wǎng)絡(luò)來說，MGW可以認(rèn)為是PSTN/PLMN傳輸?shù)慕K止點，包含斷點承載和媒體處理設(shè)備（如碼轉(zhuǎn)換器、回波補償設(shè)備等）。

（2）MGW 可以終結(jié)從一個電路交換網(wǎng)絡(luò)和分組網(wǎng)絡(luò)（如，IP網(wǎng)中的RTP流等）的承載信道。在Iu接口上，MGW可以支持媒體轉(zhuǎn)化、承載控制和有效載荷處理（編解碼器、回升補償設(shè)備以支持不同的CS域業(yè)務(wù)的Iu接口選項 （基于AAL2/ATM，也可以基于 RTP/UDP/IP）。

1.2MSC sever。

MSC Server主要負(fù)責(zé)移動始發(fā)和移動終接的CS域呼叫的呼叫控制。 它終結(jié)用戶到網(wǎng)絡(luò)的信令并將其轉(zhuǎn)換成網(wǎng)絡(luò)到網(wǎng)絡(luò)的信令。它包含一個VLR以保持移動用戶的簽約數(shù)據(jù)以及CAMEL相關(guān)數(shù)據(jù)。

1.3GMSC Server （Gateway MSC Server）。

網(wǎng)關(guān)MSC（GMSC）是用于連接核心網(wǎng)CS域與外部的PSTN的實體。通過GMSC，可以完成CS域與PSTN的互通。它主要功能是為PSTN與CS域的互聯(lián)提供物理連接，并且在固定用戶呼叫移動用戶時具有向HLR要漫游號碼的功能。

1.4T-SGW（傳輸信令網(wǎng)關(guān)）。

當(dāng)電路域采用IP傳輸時，需要處理的是IP信令。T-SGW作為信令網(wǎng)關(guān)，處理3G-CN和PSTN/ISDN網(wǎng)之間的信令轉(zhuǎn)換。

1.5R-SGW（漫游信令網(wǎng)關(guān)）。

R-SGW作為漫游信令網(wǎng)關(guān)，完成2G PLMN和3G PLMN之間的漫游信令轉(zhuǎn)換。endprint

1.6SGSN。

SGSN 是GPRS業(yè)務(wù)支持節(jié)點，是PS域網(wǎng)絡(luò)的核心。它對MS的位置進行跟蹤，完成安全鑒權(quán)功能與接入控制，并與GGSN共同完成PDP連接的建立、維護與刪除工作。對于3G基站來說，SGSN是通過Iu接口與3G RNS相連接。

1.7GGSN。

GGSN是3G網(wǎng)關(guān)支持節(jié)點?？梢詫GSN理解為連接核心網(wǎng)分組域與外部網(wǎng)絡(luò)的網(wǎng)關(guān)。核心網(wǎng)PS域通過GGSN與外部的分組網(wǎng)相連。

1.8HLR/AuC。

（1）歸屬位置寄存器（HLR）是系統(tǒng)的數(shù)據(jù)中心，它存儲著所有在該HLR簽約的移動用戶的位置信息、業(yè)務(wù)數(shù)據(jù)、帳戶管理等信息，并可實時地提供對用戶位置信息的查詢和修改，及實現(xiàn)各類業(yè)務(wù)操作，包括位置更新、呼叫處理、鑒權(quán)、補充業(yè)務(wù)等，完成移動通信網(wǎng)中用戶移動性管理。

（2）鑒權(quán)中心（AuC）用于系統(tǒng)的安全性管理，AuC存儲著鑒權(quán)信息和加密密鑰，用來防止無權(quán)用戶接入系統(tǒng)和保證通過無線接口的移動用戶通信的安全。

1.9EIR。

移動設(shè)備識別寄存器（EIR）存儲著移動設(shè)備的國際移動設(shè)備識別碼（IMEI），通過核查白色清單、黑色清單或灰色清單這三種表格，在表格中分別列出準(zhǔn)許使用的、出現(xiàn)故障需監(jiān)視的、失竊不準(zhǔn)使用的移動設(shè)備的IMEI號碼，使得運營部門對于不管是失竊還是由于技術(shù)故障或誤操作而危及網(wǎng)絡(luò)正常運行的UE設(shè)備，都能采取及時的防范措施，以確保網(wǎng)絡(luò)內(nèi)所使用的移動設(shè)備的唯一性和安全性。

2.安全機制替代傳統(tǒng)模式

安全性是網(wǎng)絡(luò)系統(tǒng)中一項重要要求，傳統(tǒng)的思路并不將網(wǎng)絡(luò)安全性視為基礎(chǔ)架構(gòu)核心能力的組成部分。隨著網(wǎng)絡(luò)演進提速和安全威脅加劇，則需要改變傳統(tǒng)思維模式，確立以安全性為中心的理念，開展網(wǎng)絡(luò)構(gòu)架和相關(guān)元素的開發(fā)工作。

2.1針對網(wǎng)絡(luò)高速發(fā)展中面臨的安全隱患，應(yīng)該通過建立完整的不同于傳統(tǒng)模式的監(jiān)控機制來應(yīng)對安全隱患，防患于未然要比出了問題再處理更有效。啟用嚴(yán)格的網(wǎng)絡(luò)安全機制，通過隔離過濾、監(jiān)測、認(rèn)證等各種加密手段來降低用戶遭受攻擊的可能性，并且檢查和記錄攻擊發(fā)生的可溯源性。

2.2新技術(shù)組合的現(xiàn)身。目前針對核心網(wǎng)安全漏洞的全面監(jiān)測與治理機制已納入網(wǎng)絡(luò)安全解決方案的設(shè)計中，通過安全評估來指導(dǎo)網(wǎng)絡(luò)管理、滲透測試、集成工程設(shè)計，以保證網(wǎng)絡(luò)系統(tǒng)內(nèi)部不被入侵者突破最后防線。

2.3鏈接成為無線網(wǎng)絡(luò)安全新威脅。網(wǎng)絡(luò)鏈接已經(jīng)成為垃圾郵件和網(wǎng)絡(luò)釣魚活動的新媒介，部分原因是對部署這些服務(wù)的設(shè)備所采用的技術(shù)和程序防御措施尚不成熟，或未像應(yīng)用于其他平臺的防御措施那樣廣泛部署。對攻擊者而言，任何移動通信終端均可使用，與智能手機相比，它們擁有更龐大的目標(biāo)用戶群。解決辦法仍是設(shè)備級保證和小容量MSC技術(shù)。

2.4設(shè)備級保證。MSC SERVER硬件系統(tǒng)可采用單板備份、負(fù)荷分擔(dān)、冗余配置等可靠性設(shè)計方法，并通過優(yōu)化單板和系統(tǒng)來檢測和提高系統(tǒng)可維護性。軟件系統(tǒng)可采用模塊化設(shè)計，通過專業(yè)的容錯能力、對故障的監(jiān)視系統(tǒng)及對故障的合理處理來保證設(shè)備的可靠性。MGW中，可采用模塊化設(shè)計，使部分模塊變化不會對其他功能模塊造成影響。設(shè)備的業(yè)務(wù)單板應(yīng)支持多種備份和負(fù)荷分擔(dān)方式，避免單點故障。

2.5我國出臺的《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》中明確定義：災(zāi)難是由于人為或自然的原因，造成信息系統(tǒng)運行嚴(yán)重故障或癱瘓，使信息系統(tǒng)支持的業(yè)務(wù)功能停頓或服務(wù)水平不可接受、達到特定的時間的突發(fā)性事件，通常導(dǎo)致信息系統(tǒng)需要切換到備用場地運行。事實上，要保持業(yè)務(wù)連續(xù)性，最大的威脅是受到諸如人為錯誤、流程缺陷等事件的威脅。所以災(zāi)備系統(tǒng)的建設(shè)，不僅僅是IT技術(shù)上的實現(xiàn)，更多的是整個體系以及災(zāi)備流程的建設(shè)。

（1）基于存儲鏡像復(fù)制技術(shù)?；诖鎯︾R像復(fù)制技術(shù)的災(zāi)備方案的核心是利用存儲陣列自身的盤陣對盤陣的數(shù)據(jù)塊復(fù)制技術(shù)實現(xiàn)對生產(chǎn)數(shù)據(jù)的遠(yuǎn)程拷貝，從而實現(xiàn)生產(chǎn)數(shù)據(jù)的災(zāi)難保護。

（2）基于SAN網(wǎng)絡(luò)復(fù)制技術(shù)。基于SAN網(wǎng)絡(luò)復(fù)制技術(shù)，是近年來比較新的一種技術(shù)，此技術(shù)實質(zhì)是在SAN網(wǎng)絡(luò)中增加一個虛擬存儲管理設(shè)備。

（3）基于操作系統(tǒng)卷復(fù)制技術(shù)。基于操作系統(tǒng)卷復(fù)制技術(shù)工作在主機的卷管理器這一層，通過磁盤卷的鏡像或復(fù)制，實現(xiàn)數(shù)據(jù)的容災(zāi)。這種方式也不需要在兩邊采用同樣的存儲設(shè)備，具有一定的靈活性。

（4） 基于數(shù)據(jù)庫邏輯復(fù)制技術(shù)?；跀?shù)據(jù)庫的復(fù)制技術(shù)是一種邏輯復(fù)制技術(shù)，支持異構(gòu)存儲、甚至是異構(gòu)操作系統(tǒng)平臺。它的工作原理為通過分析生產(chǎn)數(shù)據(jù)庫的重做日志，生成通用或私有的SQL語句，然后傳輸?shù)絺浞輸?shù)據(jù)庫上進行APLY應(yīng)用。

（5）雙平面網(wǎng)元的安全保障仍需要加強。STP、TMSC、GMSC：單網(wǎng)元能力不足，單平面出現(xiàn)故障時，另一平面不能完全接管。 現(xiàn)有的技術(shù)體制要求匯接層面的網(wǎng)元都實行雙平面組網(wǎng)。隨著業(yè)務(wù)規(guī)模的發(fā)展，雙平面組網(wǎng)的網(wǎng)元通過擴容方式保持安全備份。

3. 核心網(wǎng)的安全域劃分方式

3.1安全域劃分的原則：安全域是指同一系統(tǒng)內(nèi)有相同的安全保護需求和安全等級，相互信任，并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)。相同的安全域共享一樣的安全策略。劃分安全域，可以限制系統(tǒng)中不同安全等級域之間的相互訪問，滿足不同安全等級域的安全需求，從而提高系統(tǒng)的安全性、可靠性和可控性。

3.2核心網(wǎng)域所包括的范圍：CS核心網(wǎng)、PS核心網(wǎng)；鑒于PS核心網(wǎng)結(jié)構(gòu)對GPRS核心網(wǎng)的繼承性以及互通要求，在安全要求部分將計劃改造的GPRS核心網(wǎng)也納入核心網(wǎng)域范圍。核心網(wǎng)CS核心網(wǎng)安全域劃分為：電路域、Gom域和計費接口域。核心網(wǎng)PS安全域劃分為：Gn域、Gp域、Gi域、Gom域和計費接口域。

3.3核心網(wǎng)安全威脅分析。

（1） CS域安全威脅分析。

電路安全域是CS核心網(wǎng)的核心，如果出現(xiàn)安全事故則直接影響業(yè)務(wù)和服務(wù)的提供。電路安全域又可以繼續(xù)細(xì)分為信令組網(wǎng)和承載組網(wǎng)兩部分。信令組網(wǎng)的安全更高于承載組網(wǎng)的安全。電路安全域組網(wǎng)可以是TDM或ATM或IP的方式，也可以是其中兩種或兩種以上的方式混合組網(wǎng)。對于TDM和ATM組網(wǎng)，因?qū)儆趯＞W(wǎng)組網(wǎng)或直接的點對點組網(wǎng)，安全性威脅不大。

（2）Gom域安全威脅分析。

基于通用操作系統(tǒng)平臺的主機，易遭受口令攻擊、端口掃描、IP欺騙、緩存溢出、木馬程序、蠕蟲病毒、等各種攻擊。外部流量通過竊聽、欺騙等手段獲取、篡改用戶數(shù)據(jù)并進行重放攻擊；由于帳號、口令管理存在的不安全因素造成從維護接口進來的攻擊計費接口域同Gom域。

（3）PS域安全威脅分析。

主要是Gp/Gn域的安全威脅，外部數(shù)據(jù)網(wǎng)絡(luò)對安全域內(nèi)設(shè)備的攻擊。

同Gn/Gp域相連的承載網(wǎng)，可能存在惡意入侵與攻擊類型，攻擊的目標(biāo)可能是Gn/Gp域設(shè)備。最常見的威脅有拒絕服務(wù)攻擊：產(chǎn)生大量的數(shù)據(jù)包發(fā)送到邊界網(wǎng)關(guān)，侵占邊界網(wǎng)關(guān)的帶寬，正常的業(yè)務(wù)無法通過，影響網(wǎng)絡(luò)的正常運行。拒絕攻擊同樣可以使DNS服務(wù)器和GTP數(shù)據(jù)溢出，大量的錯誤的DNS查詢使DNS服務(wù)器無法正常工作。

4. 結(jié)論

綜上所述， 核心網(wǎng)部分有可能引入新的安全風(fēng)險，因此在建網(wǎng)之前就要對核心網(wǎng)存在的安全威脅從不同層次、不同角度進行分析，并明確核心網(wǎng)安全域的劃分方式，從而為核心網(wǎng)建設(shè)、維護提供安全方面的指導(dǎo)和依據(jù)。

參考文獻

[1]萬曉榆，樊自甫. 下一代網(wǎng)絡(luò)安全技術(shù)[M]. 北京： 人民郵電出版社，2007： 56 - 57.

[2]郭愛鵬，周光濤，唐雄燕. 面向多層次的IP 承載網(wǎng)安全策略[C]. 北京： 2009 年北京青年通信科技，2009： 199- 202.

[3]饒元，李毅，張帆，王汝傳.LTE 網(wǎng)管系統(tǒng)安全威脅分析及安全域劃分[J].信息化研究，2010（01）.endprint

猜你喜歡

安全機制網(wǎng)絡(luò)架構(gòu)核心網(wǎng)

GSM-R核心網(wǎng)升級改造方案

鐵道通信信號(2019年6期)2019-10-08 09:02:34

5G移動通信核心網(wǎng)關(guān)鍵技術(shù)

通信電源技術(shù)(2018年3期)2018-06-26 08:06:54

通信核心網(wǎng)技術(shù)的應(yīng)用探討

電子測試(2018年1期)2018-04-18 11:53:49

基于電氣自動化技術(shù)的研究

中國科技博覽(2016年25期)2016-12-20 18:56:22

農(nóng)產(chǎn)品質(zhì)量安全追溯系統(tǒng)的混合模式研究

湖北農(nóng)業(yè)科學(xué)(2016年18期)2016-12-08 18:56:00

關(guān)于稅收應(yīng)用中的數(shù)據(jù)庫安全機制淺析

數(shù)字技術(shù)與應(yīng)用(2016年9期)2016-11-09 00:13:45

Domino安全策略研究

數(shù)字技術(shù)與應(yīng)用(2016年9期)2016-11-09 00:06:18

鐵路信號設(shè)備維護與安全機制分析

科學(xué)與財富(2016年28期)2016-10-14 23:11:19

論10kV配電線路接地故障分析及預(yù)防

科學(xué)與財富(2016年28期)2016-10-14 21:25:38

金融私有云網(wǎng)絡(luò)架構(gòu)研究

商(2016年21期)2016-07-06 17:08:38

中華建設(shè)科技2017年8期

中華建設(shè)科技的其它文章

隧道洞口仰坡失穩(wěn)類型及防治措施研究

UPS的選型及運行方式

淺析當(dāng)前的住宅設(shè)計要點

關(guān)于房地產(chǎn)開發(fā)工程項目管理的研究

新時期的合同管理工作研究

淺談BIM技術(shù)對造價咨詢行業(yè)的影響