|
|
3G网络安全的实现(IP骨干网篇)
当前有越来越多的人开始谈论3G这个热门话题,大家都在憧憬着3G时代的便利生活和3G带来的巨大商机。作为3G技术领航者之一,爱立信正在用更为敏锐、全面和专业的眼光去分析3G网络可能面临的方方面面的挑战,并加以解决,其中,安全问题显然具有特殊的位置。
回顾以往,众多有关IP网络安全的话题汇聚在一起,更像是一部消防员的传记,哪个网络被黑了,哪种新病毒又开始肆虐了,于是众多的安全专家挺身而出。他们都很优秀也很敬业,像消防员一样出现在最应该出现的地方,用专业的设备和专业的技能将损失控制在最小的范围内。英雄是出现了,但总让人觉得有几分苦涩!十个人中恐怕九个都会有这样的疑问:互联网真的就这样的脆弱和不堪一击吗?而剩下的一个人则有着进一步的思考,构建在IP技术上的3G,会不会也要面临同样的窘境呢?
要回答前九个人的问题,答案很简单,YES!原因同样很简单,互联网在设计之初,对其未来可能达到的规模以及可能面临的安全威胁均没有充分的准备,于是造成了现在的头痛医头、脚痛医脚,四处灭火打补丁的局面。现在要想彻底解决IP互联网的安全问题恐怕是难上加难!
而要消除最后一个人的顾虑,则不是那么简单了。众所周知,3G网络的特点确实就是IP化,3GPP标准的演进也的确是一个逐渐向IP迫近的过程,换句话说,最终所有的3G相关流量都要以IP作为承载。那么,如果IP承载网都不安全了,3G流量又有何安全可言?
问题显然变得复杂了!要想解决安全问题,就要从安全问题的源头说起。其实,IP的安全问题源自开放。互联网的开放性,决定了其必须永远要面对众多的安全挑战这一特性。那么,有没有可能将3G流量封闭起来呢?多数人听到这样的问题一定会认为这是个很愚昧的问题,3G怎么能够是封闭的呢?3G的特点就是在提供语音通信的同时提供高速的数据连接,这是需要开放的呀!说到这里,我们不由得对3GPP标准的制定者产生敬意,原先仅仅停留在纸面上的Gi、Gn、Gp、Nb、Nc、Mc等逻辑接口突然变得如此具有现实意义了。正是这些提前对流量的划分,为对流量加以区别对待和有选择的封闭创造了条件。其实,前面所讲的开放或是封闭,完全是针对INTERNET而言的,不同类型的流量对开放程度的需求是不同的。有些流量需要对外互通,但却不需要对INTERNET开放的逻辑接口,完全是可以封闭起来,当然这里的封闭还是对INTERNET而言。
举例来说,在一个运营商内部,Nb/Nc/Mc接口并不必与INTERNET有任何互通,PS域的Gn从某种意义上讲也一样,那么,这部分流量就可以被封闭起来,只在必要时,在出口处放置安全网关进行全面的安全防范,比如Gn/Gp的转换点。而那些需要对INTERNET开放的逻辑接口,比如Gi,则要对外完全开放,甚至连防火墙都不部署。
对比以前提出的简单的“多网合一”概念,我们可以称我们的方案为“Diffserv多网合一”,区别于原先概念中对不同流量的简单合并,对不同流量不同的安全需求、QoS需求、互联互通需求加以分析后,合并同类项并分别进行传输。这个理念有些类似于DifferservQoS模型中的BA和PHB之间的关系,但BA的分类条件扩大到了安全领域,PHB则可类比于不同的VPN。流量分类的原则大体有两条:能封闭的尽量封闭,能开放的尽量开放。换句话说,自我保护的最佳手段就是远离威胁,而对于那些天生与威胁“为伍”的流量,则要尽量将其剥离出去,用尽量简单、对业务影响最小、代价也最低的手段将这些威胁的影响范围控制在最小。
实现上述概念,显然对IP承载网提出了更高的要求。传统意义上的IP承载网,最重要的功能是提供高效可靠的联通,而3G承载网则需要在这个基础上能够将流量按照需求区别对待、分别传输。这就为已经很成熟但却并未得到太多实际应用的MPLSVPN技术提供了一展身手的舞台。
其实,国内运营商都早已建好了可提供MPLSVPN的骨干网。以中国移动为例,现有的CMNET作为GPRS的承载已经正常工作超过5年,通过多次升级改造,已经完全具备了部署MPLSVPN的能力。而正在建设当中的3G专用承载网,虽然未经GPRS的历练,但MPLS的能力应该不在CMNET之下。因此,作为中国移动来讲,就存在两种选择,既可以在VPN的层面上将流量分开,又能够在承载网的物理层面将流量分开。
再以中国电信为例,定位为3G承载网的CN2已经基本建成,由于不存在类似于中国移动的GPRS向3G的升级和互通问题,所有3G业务更适合在CN2上以MPLSVPN的方式加以传输,而CN2在设计阶段就确定的单一AS大平面的策略,为部署地跨全国的VPN提供了便利。可以说是万事俱备了,那还差什么呢?差的就是如何将不同类型的3G流量按照其安全需求归类,并用VPN加以隔离和传输。这实际上是将3G这一通信概念同VPN这一数据传输概念相结合,并最终形成3GVPN安全解决方案的过程,其核心思想就是在最大程度地发挥IP传输带来的便利的同时,最大限度地降低由于不同IP流量之间的相互影响造成的安全隐患。
左图详细勾勒出了爱立信站在网络安全的角度上,对3G流量在骨干网上传输的建议。其中,考虑到国内运营商基本上都已经部署了专用的网管网和计费网,作为对安全要求较高的网管和计费流量,建议直接用他们自己的专用网承载;Gi接口是需要向INTERNET开放的,建议直接与INTERNET连接,不经过VPN封装;至于3G中的其他流量,建议一并由一个核心网VPN,即CNVPN承载,这样既降低了运营维护的复杂程度,又兼顾了网络安全。CNVPN在运营商内部与外网之间并没有IP连接(Gp接口除外),最大限度地保障了网络安全。当然,如果运营商需要进一步细化流量分类和强化网络安全,VPN也可以分得更细。
任何一个网络设计,其核心是架构,好的架构可以对很多问题具有天生的免疫力,3G网络安全设计也不例外,其中,3G传输网的安全架构又是整体安全架构的重要组成部分。爱立信基于其全球3G网络设计经验,总结并创造了MPBN(MOBILEPACKETBACKBONENETWORK)——一套完整的3G解决方案。在这套方案中,3G网络安全被从各个角度进行了详细的诠释,不仅包括上面提到的IP传输网的角度,还包括了安全域的角度。相信来自爱立信全球的经验一定能够帮助中国的各家运营商构建起全球最安全的3G网络。
更多关于爱立信MPBN3G解决方案的信息,请访问www.ericsson.com.cn《解决方案》栏目。
全球93个WCDMA网络已投入商用服务,爱立信提供了其中50个(2006年4月)。全球开通了30个HSDPA网络,其中4个HSDPA网络已经投入商用服务,爱立信均为其最大供应商。其中,美国的Cingular于2005年底开通了HSDPA商用服务,成为商用最早、规模最大的运营商(2006年4月)。
爱立信完成了全球首次基于多输入多输出(MIMO)技术的高速分组接入(HSPA)演示,采用MIMO技术可把下行链路的传输速率提高至28Mbps(2006年4月)。爱立信是IMS领域的领先供应商,已获得19个商用合同和40个试验网络协议。据国际咨询公司评估排名,爱立信的IMS位列第一,其IMS产品被国际运营商西班牙电信、Sprint、意大利电信和沃达丰等选用(2006年4月)。
爱立信的EMP(爱立信移动平台)手机核心平台(芯片组和软件系统)应用于超过1,000万部WCDMA终端,市场占有率超过30%(2006年1月底)。
爱立信拥有全球移动通信领域最高的研发投入,有效支持运营商持续、稳定和高效地发展。
爱立信是全球最大的电信专业服务提供商,所管理的网络为全球6,000万用户提供服务(2006年4月)。
(人民邮电报)