毕业设计（论文）-NGN网络安全分析及应对策略.doc

ngn网络安全分析及应对策略 第 23 页目录目录i摘要iii关键字iiiabstractikeywordsi前言1第一章 ngn网络发展趋势及体系架构分层模型211 ngn网络发展趋势2111 我国ngn标准发展趋势2112 信令融合趋势2113 功能融合趋势312 ngn网络的体系架构313 ngn的分层模型5131 控制平面6132 管理平面6133 数据平面7第二章 ngn网络存在的安全问题821 网络安全问题822 关键设备安全问题823 信息安全问题824 服务质量安全问题925 网络结构安全问题926 业务开放安全问题927 终端网络管理安全问题9第三章 ngn网络安全应对策略1131 网络隔离1132 数据加密1133 服务质量体系结构1334 专网安全组网模式1335 安全服务平台的概念模型15351 安全服务平面16352 全局功能平面16353 分布功能平面17354 物理平面1736 健全的ngn的管理架构17第四章 结束语21参考文献22致谢23ngn网络安全分析及应对策略摘要ngn网络的安全问题主要包括网络安全和用户数据安全两个方面。网络安全是指ngn网络本身的安全，即保证网络中的媒体网关、软交换机、应用服务器设备不会受到非法攻击。由于基于软交换技术的ngn网选择了ip网作为承载网，网络安全问题尤其突出，必须在ip网上采用合适的安全策略，以保证软交换网的网络安全。用户数据安全是指用户的账户信息和通信信息的安全，即不会被非法的第三方窃取和监听。软交换网需采用必需的安全认证策略保证用户账户信息的安全，同时，无论是用户的账户信息还是用户的通信信息的安全均需要ip网的安全策略作为保证。本文重点分析了基于软交换并以ip作为承载的ngn网络的分层模型、网络安全、关键设备安全、信息安全、服务质量安全、网络结构安全、业务开放安全、终端网络管理安全，并对这些安全问题提出了应对策略的建议。关键字 ：ngn，安全问题，应对策略ngn security analysis and response strategyabstractngn security issues including network security and user data security. network security is the security of ngn, which is to ensure the network media gateways, soft switches,network,application server equipment from unlawful attacks. as soft switching technology based on the choice of network ngn ip network as a bearer network,network security is particularly prominent. ip internet must adopt appropriate security strategy to ensure that the soft switch network security. user data security is the user account information and communication of information security, that is not illegal wiretapping and theft of third parties. soft switching network has adopted the necessary safety certification strategy ensures that the users account information security, and whether the user account information, or users of telecommunications and information security will require ip network security strategy as a guarantee. this paper focuses on the analysis and exchange of soft ip as a carrier ngn layered model, network security, network key equipment safety, information security, service quality and safety, structural safety of the network, the opening of safe operations, terminal network management security, those safety problems coping strategies proposal. keywords: next generation network, security issues, strategies前言ngn是一个分组网络，它提供包括电信业务在内的多种业务，能够利用多种带宽和具有qos能力的传送技术，实现业务功能与底层传送技术的分离；它允许用户对不同业务提供商网络的自由接入，并支持通用移动性，实现用户对业务使用的一致性和统一性。ngn网络的安全问题主要包括网络安全和用户数据安全两个方面。网络安全是指ngn网络本身的安全，即保证网络中的媒体网关、软交换机、应用服务器设备不会受到非法攻击。由于基于软交换技术的ngn网选择了ip网作为承载网，网络安全问题尤其突出，必须在ip网上采用合适的安全策略，以保证软交换网的网络安全。用户数据安全是指用户的账户信息和通信信息的安全，即不会被非法的第三方窃取和监听。软交换网需采用必需的安全认证策略保证用户账户信息的安全，同时，无论是用户的账户信息还是用户的通信信息的安全均需要ip网的安全策略作为保证。第一章 ngn网络发展趋势及体系架构分层模型11 ngn网络发展趋势111 我国ngn标准发展趋势 ngn技术对中国通信产业的发展非常重要，中国已经从跟踪世界先进技术进入了自主创新时期。目前各个层面、各级领导都希望能进行创新，在ngn技术上我国是有可能有所创新的。 我国有可能在国际上提出建议和突破的方向包括以下部分：固定移动网络融合架构、软交换演进方向（包括pstn、isdn向基于软交换、cs的ngn演进的策略和场景、基于软交换的组网架构、软交换的未来演进方向等）、ims在固定网中的应用、ngn承载网技术、ngn业务、nat穿越技术等。 112 信令融合趋势承载网的发展趋势是从电路交换网络向分组交换网络演进，承载层将主要由ip网络为主的分组网络实现。传统ip网难以满足新业务的需求，由于没有流量工程，通常ip流按照最短路径走，这样会导致重负荷链路产生瓶颈。利用mpls和流量工程可以保证网络负荷均衡，使路由器间链路的使用最佳化。因此，mpls技术将成为构建ip承载网的主流首选方案。承载网和传输网融合有三种不同的模式。（1）重叠模型：又称客户-服务层模型，是itu和光互联论坛(oif)等国际标准组织所支持的网络演进结构，在这里客户层指承载层，服务层则指传输层。这种模型最适合那些传统的已具有大量sdh网络基础设施而同时又需要支持分组化数据的网络运营商。（2）对等模型：又称集成模型，是ietf支持的网络演进结构。这种模型较适合那些新兴的同时拥有光网络和ip网的isp运营商，从长远看，也适合于传统的电信运营商。（3）混合模型：即上述两种模型的混合模型，它采纳了客户-服务者模型的独立客户层和光传送层控制面的做法，又允许层间交换有限的路由信息。113 功能融合趋势在城域网业务的扩展中，数据业务的流量需求超速增长，利用传统pos提供数据接口的方式成本高且传输效率低。mstp将数据业务经过透传处理或经过二层交换，经gfp的成帧映射、链路容量调整及虚级联处理，映射到sdh层面。实现了数据层功能与传输层功能的有效融合，提高传输效率并降低成本，同时还可提供统一的网络管理，避免了数据网与传输网分别管理的困难。mstp除了满足各类城域数据业务外，还可提供vpn，满足2g业务及3g城域传输需求的功能。mstp适应数据业务传输，将部分承载层功能有效映射在传输层，实现这一功能的主要技术有虚级联（vc）、链路容量调整方案（lcas）、通用成帧规程（gfp）、透传/二层交换/内嵌rpr/内嵌mpls等。现有的数据业务是无连接的。为了能够在sdh传送数据业务时保证qos，有必要在以太网、ip网和sdh之间引入一个智能适配层，并通过该智能适配层来处理数据业务的qos要求。智能适配层的实现技术主要有多协议标签交换(mpls)和弹性分组环(rpr)两种。另外，需要考虑与sdh保护机制的协调。由于mstp满足数据业务发展的需要，在城域网应用中显现出强大的生命力；另一方面，技术本身的发展，同样需要管理体制的支持，mstp技术的发展和应用离不开传输网和承载网部门的相互配合。12 ngn网络的体系架构ngn的目标是不断提高对各种业务的创建、实现和管理的能力。要做到这一点，就需要把业务创建和实现的基础设施与传送基础设施分离。这种分离充分体现在ngn的体系架构中，即业务层和传送层的划分。图1是ngn的体系架构概要及管理范围。ngn的主要特征体现在14个方面：图1 ngn网络的体系架构（1）传送分组化。 （2）控制、承载、呼叫/会话和应用的分离。 （3）业务提供松耦合，通过开放接口互联。 （4）基于业务块的方式，支持多业务和应用（实时、流媒体、非实时、多媒体等）。 （5）具有端到端业务质量控制的宽带能力。 （6）实现与遗留网络的开放接口互联。 （7）具有移动性。 （8）多业务提供者的访问能力。 （9）多种识别方式。 （10）保持用户感知的业务的一致性。 （11）支持“最后一公里”接入技术的多样性。 （12）支持固网与移动的融合。 （13）实现业务功能与低层传送技术无关。 （14）支持各种管制政策的要求，如紧急通信、安全、隐私权等。 根据对上述高层需求的归纳，ngn的体系架构划分为2个大部分：业务层、传送层；并附带有管理平面。ngn业务层提供终端用户业务与应用的控制与管理。这些业务和应用可以是语音、数据或者视频的，可以是单独的业务，也可以是业务的组合。ngn终端用户的业务可以通过多个业务层的递归调用来实现。ngn release1所提供的业务包含以下6类： （1）多媒体业务。 （2）pstn/isdn仿真业务。 （3）pstn/isdn模拟业务。 （4）internet接入业务。 （5）公共业务，主要指从管制的角度需要提供的业务，如合法监听业务。 （6）其他业务，主要指由ngn网络提供的基于分组网络的多种数据业务，如虚拟专网业务。13 ngn的分层模型根据ngn的特点和基本功能描述，将ngn分为业务层、传送层两个层次，其功能模型如图2所示。图2 ngn网络分层业务功能部分，将业务与控制分离，同时业务控制与承载也各自独立，从而使系统具有基于标准的、开放的体系结构，上层业务与底层网络无关，可以灵活、有效地满足多样的、不断发展的业务需求；传送功能部分，承载网和传输网将共同实现下一代网络的传送功能，上层的业务功能与底层的承载网和传输网无关。这两层网中的任何一个网又都是由数据平面、控制平面和管理平面所组成 3。保证网络安全的必要条件是，这三个网的所有平面都必须是安全的。只有这些平面全部是安全的，网络才能是安全的。131 控制平面控制平面是网络的灵魂，只有控制平面安全才能保证网络的正常运行。威胁控制平面安全的因素主要有三个：（1）节点设备之间的信任关系，一个不可信任的节点设备进入网内，如果允许其交换控制信息，显然会对网络构成极大的威胁。举个例子来说，ip网内路由器之间路由信息的交换是通过控制平面来实现的，如果一个不可信任的路由器进入网内，恶意交换路由信息可将整个网络的路由搅乱，很显然这将会造成严重的问题。因而，要确保网络的安全，设备之间信任关系的建立是至关重要的。（2）控制平面、管理平面和数据平面之间的信息隔离。特别是数据平面和控制平面之间的信息隔离，控制平面绝对不能受到来自数据平面用户数据的影响。（3）控制平面、管理平面和数据平面之间必须保证其资源是独立的。管理平面和数据平面绝不能“挤占”控制平面所需要的资源，必须保证控制平面的资源需求9。132 管理平面管理平面是网络的另一个核心，通常情况下，管理平面和控制平面起着一个互补的作用。例如，网络的vpn可以通过信令来建立(控制平面)，也可以通过管理配置(管理平面)来实现，在这方面，两者有同等的重要性。当然，网管有五大功能，配置管理仅是其中之一，从这里也可以看出管理平面的重要性，它是构成网络安全的一个重要的环节。 与控制平面相同，威胁管理平面安全的因素也有三个。（1）管理设备与被管理设备之间的信任关系，一个不可信任的管理设备进入网内，显然会对网络构成极大的威胁。（2）管理平面、控制平面和数据平面之间的信息隔离。特别是数据平面和管理平面之间的信息隔离，管理平面绝对不能受到来自数据平面用户数据的影响。（3）管理平面、控制平面和数据平面之间必须保证其资源是独立的。控制平面和数据平面绝不能“挤占”控制平面所需要的资源，必须保证管理平面的资源需求。 与控制平面不同，管理平面还有两个方面的问题需要考虑，这就是人为因素造成的安全问题。人为因素之一是，网络管理员的操作不当或误操作，甚至是窃取管理员权利后的恶意操作。人为因素之二是通过不安全信道(如通过拨号，用电话的话带数据信道来传输管理命令)。当然，从严格意义上来说，这不是技术问题，要从行政管理、规章制度、人为因素等方面入手去解决。但这也是一个方面，也是保障网络安全的一个重要的环节。133 数据平面数据平面的安全性问题比较复杂，特别是业务网的数据平面，因存在两种类型业务网：一类业务网的数据平面的节点设备对用户数据不作任何处理(如电话业务网)，对用户数据进行透传即可。由于ip网的不安全性，导致ipsec等加密技术无节制地被滥用，这是用户数据加密的最大误区。另一类业务网的数据平面的节点设备对用户数据作处理(如电子信箱、web业务等)，其问题要复杂一些。业务网中的若干节点设备要对用户信息数据进行存储和处理加工等。例如，e-mail系统中要对用户的信件进行存储、分析和转发；又如web系统要对用户交互的数据信息进行处理，它不仅要将用户数据分组打开，还要进行分析处理并作出反应；再如流媒体系统中片源要加水印和其它数字版权保护技术，会议系统中要对多幅图像进行合成。在所有这些场合，用户数据中的内容数据将会对业务网数据平面的节点设备构成安全上的威胁，诸如可能受到病毒攻击的威胁及受到黑客攻击的威胁等。由于这些可能受到攻击的业务网节点和用户流是密不可分的，是整个数据流环节中的一个环节，缺了它业务流环节就不完整了。对于这些节点设备而引发的业务安全问题需要进行专门的考虑。对数据平面而言，海量数据攻击(dos)、病毒攻击和垃圾信息泛滥的作用是相同的，总体上表现为通信网资源耗尽导致网络出现安全问题 2。因而，将数据平面分为若干信息隔离、资源独立的子数据平面，可有效阻止不同业务网之间因资源耗尽而带来的安全威胁。第二章 ngn网络存在的安全问题21 网络安全问题由于缺乏合理有效的安全措施，以ip为基础的因特网网络安全事件十分频繁。黑客凭借网络工具和高超的技术，攻击网络上的关键设备，篡改上面的路由数据、用户数据等，导致路由异常，网络无法访问。基于软交换的ngn网络采用ip分组网作为传输承载，而且软交换网络提供的业务大部分属于实时业务，对网络的安全可靠性要求更高。当网络由于病毒导致带宽大量被占用，访问速度很慢甚至无法访问时，网络就无法为用户提供任何服务。 22 关键设备安全问题 软交换网络中的关键设备包括：软交换设备、媒体网关、信令网关、应用服务器、媒体服务器等。由于下一代网络选择分组网络作为承载网络，并且各种信息主要采用ip分组的方式进行传输，ip协议的简单性和通用性为网络上对关键设备的各种攻击提供了便利的条件。目前对网络设备常见的攻击有： （1）dos和ddos攻击 dos攻击：denialof service，也就是“拒绝服务”的意思，指通过过量的服务从而使软交换网络中的关键设备陷入崩溃的边缘或崩溃。ddos攻击：distributed denialof service，即“分布式拒绝服务”。它是一种基于dos的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式。它通过入侵一些具有漏洞的主机，并操控这些受害主机，以其为攻击平台向软交换网络中的关键设备发起大量的dos攻击，从而导致软交换网络中的关键设备因无法处理过多的服务请求而瘫痪 9。 （2）利用型攻击 此种攻击方式以通过窃取用户密码等方式获取关键设备的控制权为目的，主要包括口令猜测、特洛伊木马和缓冲区溢出等手段。23 信息安全问题 信息安全主要包括软交换与终端之间信令消息的安全、用户之间媒体信息的安全以及用户私有信息（包括用户名、密码等）的安全。由于软交换网络采用开放的ip网络传输信息，这样在网络上传输的数据就很容易被监听，如果软交换与终端之间的信令消息被监听，有可能导致终端用户私有信息的泄露，导致监听者可以利用监听到的信息伪造成合法用户接入网络；如果用户之间媒体信息被恶意监听，将导致用户私密信息的泄露。24 服务质量安全问题ip、atm 都是可供ngn网络选择的技术，其中 atm的qos问题解决得比较彻底，对实时性较高的业务会比较有利。但是，它由于是面向连接的技术，信令比较复杂，另外，atm 的问题很多并没有解决。因此，未来的承载网采用ip 的可能性极大。但是，ip 网本身亦有许多问题需要解决，如服务质量qos如何保证？目前的分组数据网是为传送非实时突发性数据业务而设计的，能否为下一代网络所承载的话音及视频等实时业务提供所需的qos 服务保证，是下一代网络发展所面临的主要问题。业务层端到端服务质量的提供离不开承载网服务质量的保障。ngn网络的承载网是基于分组网络(主要是ip网)，其特征是按照尽力而为策略提供业务的无连接网络，故存在先天性的安全问题5。提高服务质量（qos），目的是为了防止未经认证者使用系统资源并且防止由于未经认证的数据流产生阻塞而拒绝服务。25 网络结构安全问题ngn在组网设计时并没有能完美地解决安全的问题，在对核心控制设备的安全保护、内部网络的屏蔽安全风险限制、代理机制、安全区域隔离等方面还需要进行进一步的研究，在组网上提高安全性。26 业务开放安全问题与网络能力开放类似，ngn业务能力的开放也带来了一系列业务层特有的安全问题。如采用什么方法进行业务和网络能力提供方间的认证、数据的加密算法、应该采用什么方法进行权限控制等具体问题没有规范化，而业务能力开放对上述安全问题的要求更高，都需要相应的规范化的安全机制进行解决。27 终端网络管理安全问题大量终端设备的引入使得公开ipv4地址匮乏的矛盾更加突出。除地址问题外，如何实现对大量终端设备的网络管理也是ngn网络大规模商用所面临的难题。配置管理是网络管理的重要组成部分。与传统pstn终端不同，ngn网络中的终端都是智能终端，除需要进行ipv4地址配置外，还需要进行功能配置等配置管理操作。目前，采用dhcp方式配置终端ipv4地址和采用tftp服务器自动下载配置文件可以缓解静态配置所带来的巨大工作量问题，然而，终端的多样化给自动配置带来了巨大的挑战，也给终端设备提出了更高的要求。此外，终端的网络连接状态故障告警也是网络管理的重要内容。因此，如何在一个平台下保证终端多样化接入，以及保证网络故障定位的即时率和准确率是ngn网络运营所面临的关键问题。第三章 ngn网络安全应对策略31 网络隔离把ngn与其他网络进行物理隔离，即在物理上单独构建一个独立的网络，可以有效规避外部攻击，但是这种建网与维护成本显然较高，所以这种方法并不可取。近年来，随着vpn技术的成熟，在同一个物理网络上构建不同的vpn已经实际可行，可以采用mpls、vlan等vpn技术从分组数据物理网络中划分出一个独立逻辑网络作为ngn虚拟业务网络，把ngn从逻辑上与其他网络进行隔离，其他网络用户无法通过非法途径访问ngn网络，将可以避免来自其他网络特别是internet网络上用户对ngn网络的攻击与破坏。32 数据加密为了防止ngn中传送的信令和媒体信息被非法监听，可以采用目前互联网上通用的数据加密技术对信令流和媒体流进行加密。对于ip网络上的信令传输，目前提出的主要安全机制是ipsec协议。在megaco（media gateway control）协议规范（rfc3015）中，指定megaco协议的实现要采用ipsec协议保证媒体网关和软交换设备之间的通信安全1。在不支持ipsec的环境下，使用megaco提供的鉴权头（ah）鉴权机制对ip分组实施鉴权。在megaco协议中强调了如果支持ipsec就必须采用ipsec机制，并且指出ipsec的使用不会影响megaco协议进行交互接续的性能。ipsec是ipv4协议上的一个应用协议，ipv6直接支持ipsec选项。对于媒体流的传输，采用对rtp(realtime transport protocol)包进行加密，目前主要采用对称加密算法对rtp包进行加密。对于用户账号、密码等私有信息，目前采用的加密算法主要是md5，用于用户身份的认证。ipsec体系提供标准的、安全的、普遍的机制。可以保护主机之间、网关之间和主机与网关之间的数据包安全。由于涉及的算法为标准算法，故可以保证互通性，并且可以提供嵌套安全服务。整个ipsec协议体系可以表示为图3所示：图3 ipsec协议体系ipsec协议主要由ah（认证头）协议，esp（封装安全载荷）协议和负责密钥管理的ike（因特网密钥交换）协议三个协议组成。 认证头（ah）协议对在媒体网关/终端设备和软交换设备之间传送的消息提供数据源认证，无连接完整性保护和防重放攻击保护。数据完整性可以通过校验码（md5）来保证；数据身份认证通过在待认证数据中加入一个共享密钥来实现；报头中的序列号可以防止重放攻击。 解释域（doi）将所有的ipsec协议捆绑在一起，是ipsec安全参数的主要数据库。ipsec支持两种运行模式：传输模式和隧道模式。传输模式为上层协议提供安全保护，保护的是ip包的有效载荷，通常该模式用于端对端的安全通信。隧道模式由于是对整个ip包提供保护，故在ip包上再加报头，从而可以加强保护，通常该模式使用在至少一端是安全网关的时候。ah协议不对ip数据报进行加密，因此不提供机密性保护。但由于ah提供数据完整性校验、身份认证和防重放保护，因此提供ip认证，也可以为上层提供保护。 esp协议除了提供数据完整性校验、身份认证和防重放保护外，同时提供加密。esp的加密和认证是可选的，要求支持这两种算法中的至少一种算法，但不能同时置为空。根据要求，esp协议必须支持下列算法： （1）使用cbc模式的des算法 （2）使用md5的hmac算法 （3）使用sha-1的hmac算法 （4）空认证算法 （5）空加密算法 ah协议和esp协议在使用中都涉及到密钥管理。ike协议主要在通信双方建立连接时规定使用的ipsec协议类型、加密算法、加密和认证密钥等属性，并负责维护。ike采用自动模式进行管理，ike的实现可支持协商虚拟专业网（vpn），也可从用于在事先并不知道的远程访问接入方式。 如果低层协议不支持ipsec，则应建议采用过渡性ah方案，过渡性ah方案是在h.248协议头中定义可选的ah头来实现对协议连接的保护，过渡性ah方案只能提供一定程度的保护，例如该方案不能提供防窃听保护。33 服务质量体系结构ip服务质量体系结构主要有ietf建议的intserv(integrated services)体系和diffserv(differentiated services)体系。intserv模型使用资源预留协议(rsvp)，在传送数据之前，根据业务的服务质量需求进行网络资源预留，从而为改数据流提供端到端的服务质量保证。区分服务的基本思想是将用户的数据流按照服务质量要求划分等级，级别高的数据流在排队和占用资源时比级别低的数据流有更高的优先级。区分服务只包含有限数量的业务级别，状态信息数量少、实现简单、扩展性好。采用diffserv技术来改善互联网流量对ngn业务的冲击。根据实际情况混合采用以上技术，在骨干层使用mpls vpn技术，城域网内使用diffserv技术及部分建设专用网络。在与互联网共用设备的节点，根据ngn承载的实体，分别将骨干网上ngn vpn的lsp(layered service provider)，ngn业务的二层vlan，ngn业务的三层ip地址的优先级字段都设置为最高级别，网络节点通过优先级字段进行报文分类、流量整形、流量监管和队列调度，从而实现对ngn业务高优先级的处理，最大程度减少互联网的突发特性对ngn业务的冲击。另外，专用设备的建设用以保障在ngn业务量大的区域，隔离互联网对ngn业务的影响。34 专网安全组网模式如图4示，该组网模式的思路是将ngn关键网络设备如ss(soft switch)、sg(signaling gateway)和大中型媒体网关tg(trunk gateway)、ag(access gateway)等通过安全的数据通道技术如 mpls vpn、vlan，或专用数据链路，或结合mstp(many services transport plat)传输技术组成一个安全的内部网络。除了部署于端局的 ag外,对需要保证安全的，容量达到一定规模的大客户方部署的ag也可以通过该种方式组网8。分散的小型设备或分散的用户如iad(intergrated access device)和sip(session initialization protocol)用户则通过公用ip网接入。图4 专网安全组网图如采用 mpls vpn技术，sg、tg接入宽带 ip网的pe路由器在同一机房的可直接接入ngn控制网的局域网，ag可通过二层交换机汇聚后再接入pe路由器，在交换机上可以采用物理或逻辑接口vlan来隔离 ngn业务和原有的数据业务，由城域网骨干/汇聚层将接入层不同的业务通过pe映射到骨干层中的mplsvpn。也可以通过交换机和路由器为 ss、sg、tg和 ag等设备的通信组建专网。专用的数据通信网可以保证快速的数据转发，高安全性，并能一定程度上保证语音和多媒体通信所需的qos。如采用mstp技术，ngn控制中心与ag通过mstp组建一个安全的专网。在mstp上为各节点间的链路配置相应的传输带宽，对流量较大的节点间配置直通的传输通道，以提高网络的效率。通过 mstp建立专网，可以实现带宽保证，低时延和低丢包率，同时还具有50ms倒换时间的保护措施，配置比较简单，可以方便地增加容量，在性价比方面也具有一定的优势。分散的iad和sip用户通过公用 ip网接入该专网，采用公有ip地址。专网上的设备采用私有 ip地址，运营商必须对整个网络进行仔细的 ip地址规划。iad和sip用户与 ag、tg的用户互通即专网与公用ip网上的用户之间必须通过信令媒体代理设备实现媒体的中继。ag、tg之间的通信则可通过内部网络传送。35 安全服务平台的概念模型支持下一代网络业务能力开放的安全服务平台除了要解决上面提出的安全问题以外，它还需要从其相关角色的非功能性需求出发，满足下面这些基本要求，以使其构建、扩充和使用都能够尽可能地方便快捷。具有良好的可扩展性：下一代网络业务能力开放对安全性的要求将随着下一代网络自身的发展而不断发展，同时安全技术本身也在不断发展。因此，这个平台的体系结构应该是一种模块化的、可扩展的安全体系架构，它能够将业务能力开放中所需要应用的各种已有的或未来的安全技术集合在一起，为业务开发者和业务提供者构建安全的开放业务提供实用的方法。与具体的业务能力无关：随着下一代网络的发展，能够开放的业务能力种类将逐步丰富，针对某种、某类或某些业务的安全机制是无法适应这种局面的。与具体的分布式计算技术无关：在下一代网络中，业务和网络能力之间以及业务和业务之间交互所基于的分布计算技术并没有确定10。在未来的一段时间之内，业务层以及业务层和控制层之间，将会存在多种分布式计算技术以支持不同应用场景下的业务间交互。因此，其安全机制应该能够映射、应用于不同的分布计算环境；各种安全服务应该是易于使用的：它们不但能够允许业务开发者方便地在业务逻辑的开发过程中调用安全服务中提供的接口，而且能够允许业务提供者、业务零售者和业务定购者在不修改业务逻辑的前提下定制其对各种安全服务的需求。为满足上述要求，仿照智能网的概念模型，我们提出了一种业务能力开放安全服务平台体系结构的概念模型。该概念模型是一个四层平面模型，它包括安全服务层、全局功能层、分布功能层和物理层，使得人们可以从不同的角度来观察、分析和研究下一代网络中业务能力开放中涉及的安全需求、安全能力、安全机制以及相应的实现方法。该概念模型如图5所示.图5安全服务平台的概念模型351 安全服务平面 security service plane描述了安全服务用户眼中的服务外观。它说明安全服务的能力而与具体实现无关。安全服务的能力通过安全服务特征描述，安全服务特征是安全服务平面中的最小描述单位，一个安全服务是由一个或多个安全特征组成。安全服务特征是构建ngn业务层安全的基本安全元素，要从安全能力的层面完整地描述ngn业务开放的安全需求和安全体系结构，就必须对安全服务特征进行完整的划分和定义。在安全服务平面，除需要通过安全服务特征定义出安全服务的能力外，还需要定义安全服务对外提供的接口，此接口是与具体实现无关而且应该是易于使用的。它能够允许用户通过自身提供的api接口或者安全描述文件来方便地使用自己提供的服务。352 全局功能平面 global function plane主要面向安全服务开发者。在这个层面上，将 ngn 业务层的安全服务平台看成一个整体，提供对各种所需安全服务的支持。为方便各种安全服务的开发，在这个平面上可以定义多个可重用的安全服务构件，安全服务可由多个安全服务构件组合而成。安全服务构件可以是标准的，也可以是非标准的，可以是安全服务相关的，也可以是安全服务无关的，这就与智能中业务无关构件sib有了较大的区别。这样要求的主要原因有三个，一是安全服务间的共性比较少，难以抽象出通过有机组合就能够实现所有安全服务的服务无关构件；二是安全服务的数量较少，对安全服务提供的速度也不如对智能业务的要求那样高，因此开发一个新的服务从开发其构件开始是可以接受的；三是这种构件的粒度可以相对较高，因此可以较好地与安全服务平面中定义的安全服务特征相对应，从而使得两个平面间的对应关系更加清晰。353 分布功能平面 distributed function plane对业务能力开放中涉及的各种安全功能进行划分，从安全服务提供者的角度来描述其整体的功能结构。分布功能平面由一组安全功能实体组成，每个功能实体完成业务能力开放所需的安全功能的一部分，如策略管理功能、访问控制功能、安全需求协商功能等。各个功能实体间采用信息流进行交互，这些信息流需要进行规范化。354 物理平面 physical plane表明分布功能平面中的功能实体能够在哪些物理节点中实现，一个物理节点可以包括一到多个功能实体。为减少不同物理实体间交互的规范化工作，一个功能实体最好不要分布到多个物理实体中。36 健全的ngn的管理架构（1）健全的ngn管理架构原则与目标：1）通过管理融合和智能报告，使在不同网络技术之间适配工作最小化。 2）对网络事件的管理响应时间最小化。 3）管理信息流量的负载最小化。4）允许基于地理分布对网络运营的分权分域管理。 5）提供隔离机制让安全风险最小化。 6）提供隔离机制进行故障定位和实现容错。 7）改善对客户的业务帮助和交互能力。 8）在管理架构上进行业务分层。使得业务提供商可以通过业务构建模块灵活提供业务和业务绑定。9）支持各种在同一分布式计算平台上的应用或分布在整个网络中的应用。（2）健全的ngn管理功能：1）提供对ngn系统物理和逻辑资源的整个生命周期管理，具体包括核心网（如ims）、接入网、互连部分、客户网络及终端等。 2）以独立于传送层的方式提供管理ngn业务层资源的能力，使得运营组织能够提供ngn终端用户业务，并构建特色业务（可能来自多个业务提供者）。 3）支持在业务能力基础之上（包括来自多业务提供者）ngn终端用户进行业务管理和个性化业务生成的能力。 4）具有改善包括客户自助服务在内的终端用户服务的能力，如服务配置、故障报告、在线计费报告。 5）确保授权的用户对管理信息（包括客户与用户信息）的安全访问与使用。 6）在任何地点、任何时间对任何授权的组织或个人。确保管理业务的可用性（如计费记录724 h）。 7）基于商业角色（客户/业务提供者/中介/供货商等）支持价值网络（value network）。 8）允许一个业务提供商和个体在不同的价值网络或者某个具体的网络中具有多重角色（如零售和分销业务提供者）。 9）支持提供ngn业务组织之间的b2b流程。 10）集成对资源（网络/计算/应用）的抽象视图，屏蔽资源层中的技术多重性和复杂性。 11）支持运营商根据网络资源使用情况对计费数据进行收集，用于离线计费处理（offline charging）或是进行在线计费（online charging）和批价应用。 12）提供在网络事件（如网络调整、故障）修复期间的网络的可用性。 13）提供主动式的趋势监视能力。 14）提供管理客户网络的能力。 15）提供集成的端到端的业务配置能力。 16）提供自动和动态分配网络资源的能力。 17）提供基于业务质量的网络运营能力。 18）提供独立于公司组织（如部门职责分工）的管理能力，在组织形式变化（如部门的增减）时仍然能够保持一定的管理边界。 19）提供跨越网络环境的管理信息互通，如传送层和业务层面的界限、管理和控制平面的界限、组织管理区域（如集团总部、子公司）的界限。 20）在网元（业务层网元/传送层网元）上具有一致的跨技术的开放管理接口，采