如何應(yīng)對(duì)平臺(tái)的安全隱患的分析過(guò)程[1]

  在下一代網(wǎng)絡(luò)（NGN）中，增值業(yè)務(wù)主要由NGN業(yè)務(wù)平臺(tái)提供。由于NGN的承載以分組網(wǎng)絡(luò)為基礎(chǔ)，基于IP/ATM網(wǎng)絡(luò)，其安全性不如傳統(tǒng)網(wǎng)絡(luò)；同時(shí)，下一代網(wǎng)絡(luò)的特點(diǎn)又要求NGN業(yè)務(wù)平臺(tái)是一個(gè)開放的平臺(tái)，能容納各種第三方應(yīng)用的接入；此外，下一代網(wǎng)絡(luò)中用戶終端的形式也趨于多樣化，包括普通話機(jī)、會(huì)話初始協(xié)議（SIP）終端、H.323終端、綜合接入設(shè)備（IAD）、PC等。這些因素客觀上使 NGN業(yè)務(wù)平臺(tái)被攻擊的可能性更大，因此，在建設(shè)NGN業(yè)務(wù)平臺(tái)時(shí)，需要從各方面充分考慮安全性。

  在現(xiàn)階段，運(yùn)營(yíng)商基于下一代網(wǎng)絡(luò)提供的增值業(yè)務(wù)基本上還是由設(shè)備制造商開發(fā)，直接運(yùn)行在NGN業(yè)務(wù)平臺(tái)上。這時(shí)由于雙方是內(nèi)部可信關(guān)系，因此不需要過(guò)多地考慮開放業(yè)務(wù)接口的安全性。但是NGN業(yè)務(wù)平臺(tái)提供的很多增值業(yè)務(wù)（如PC電話業(yè)務(wù)）是基于Internet的，終端種類也多種多樣，從安全性角度看，在業(yè)務(wù)使用中存在著很多安全隱患。這些隱患在傳統(tǒng)網(wǎng)絡(luò)中開展增值業(yè)務(wù)時(shí)一般不會(huì)遇到，但是在下一代網(wǎng)絡(luò)中卻需要認(rèn)真考慮解決。

  在下一代網(wǎng)絡(luò)中開展增值業(yè)務(wù)時(shí)，要實(shí)現(xiàn)絕對(duì)安全，需要付出的代價(jià)相當(dāng)大，而且對(duì)業(yè)務(wù)的整體性能會(huì)有很大的影響，所以在實(shí)際開展業(yè)務(wù)時(shí)需要在安全、性能和代價(jià)方面取得平衡。安全保證只針對(duì)重點(diǎn)安全隱患，不要求提供全部的安全防護(hù)。具體到設(shè)備層面，需要保證核心的NGN業(yè)務(wù)平臺(tái)及內(nèi)部網(wǎng)絡(luò)的安全和正常運(yùn)行，同時(shí)完成大部分的安全性檢測(cè)和防護(hù)功能。

  在NGN業(yè)務(wù)平臺(tái)上開展業(yè)務(wù)時(shí)面臨的主要安全問(wèn)題及其相應(yīng)的對(duì)策分析如下：

  對(duì)于用戶仿冒的問(wèn)題，NGN業(yè)務(wù)平臺(tái)現(xiàn)有的解決辦法是要求用戶在使用業(yè)務(wù)前進(jìn)行認(rèn)證，同時(shí)要求對(duì)認(rèn)證信息，如用戶賬號(hào)、密碼等在發(fā)送前進(jìn)行加密，這種方式基本沿用了傳統(tǒng)智能網(wǎng)絡(luò)的認(rèn)證方式，在NGN中安全性不夠。建議解決方式是針對(duì)每個(gè)NGN增值業(yè)務(wù)用戶頒發(fā)數(shù)字證書，NGN業(yè)務(wù)平臺(tái)通過(guò)用戶的數(shù)字證書信息來(lái)判斷用戶的合法性，以確保用戶終端的安全性。數(shù)字證書的頒發(fā)可以采取類似現(xiàn)在手機(jī)系統(tǒng)中頒發(fā)用戶識(shí)別模塊（SIM）卡的方式，由運(yùn)營(yíng)商在業(yè)務(wù)開通時(shí)頒發(fā)給合法用戶，合法用戶獲得數(shù)字證書后可以使用該運(yùn)營(yíng)商及與該運(yùn)營(yíng)商合作的業(yè)務(wù)提供商提供的各類業(yè)務(wù)。

[1]  [2]