NGN网络安全问题分析和对策[3]

  修改信息

  修改信息的入侵者经过某种特定的操作，使数据被破坏或者变成毫无用处。一般来说，这种修改是其他攻击的开始，比如拒绝服务攻击、伪装或者欺诈攻击。被修改的信息可以有很多个方面，比如，用户的通信内容、终端ID、网络设备ID、呼叫建立信息、路由信息、用户验证信息、服务验证信息、网络设备的验证信息以及用户注册时的交互信息等，都可能被修改。

  提高NGN安全的方法

  提高NGN网络的安全性，可以从两个方面入手：一是从网络部署方面入手，比如，使用防火墙等设备，使得非法用户无法进入合法的网络；二是使用安全的传输机制。

  网络部署

  要保证NGN网络的安全，首先要保证网络中核心设备的安全，包括信令网关、媒体网关、媒体服务器、软交换和网管等设备。由于这些网络核心设备置于开放的IP网络中，因此，其安全性很难保证。当然，可以让它们做到本身具备很好的防攻击能力，但设备成本会非常大。

  NGN定义了各种边缘，并保证通过这些边缘进入核心网络的数据都是安全的，以此达到NGN核心网络安全的目的。图2的NGN核心网络的边缘分为三类：一是边缘A，NGN网络与接入网（任何宽带接入、企业网、Internet等）的交界处，NGN网络通过这个边缘向所辖范围内的用户提供业务；二是边缘B，NGN网络之间的交界处，图中的其他NGN网络可以是另一管理域或另一运营商的NGN网络；三是边缘C，NGN网络与传统PSTN网的交界处。

  边缘C通常由信令网关、中继网关、综合接入网关以及对这些媒体网关的控制组成，普遍认为它是一个可以信赖的边界。但对于边缘A和边缘B，由于它们完全基于开放的IP数据技术，所以不值得完全信赖，对其用户的接入和业务访问，必须加以控制和管理，一旦允许用户接入，就应为其提供服务质量保证。所以，在边缘A和边缘B，可以设置一个边缘接入控制器（Board Access Controller） ，提供防火墙和其他业务的保护功能，包括验证接入设备的合法性，避免非法用户的接入；屏蔽网络内部的拓扑结构；地址转换（NAT）和业务穿透；网络资源的分配和确保；防范来自底层和高层的拒绝服务攻击等。

[1]  [2]  [3]  [4]