NGN 攻防技术研究.docx

1、NGN 攻防技术研究NGN攻防技术研究目录NGN攻防技术研究 1一前言 3二NGN功能描述 32.1 NGN功能描述 32.2 IMS结构描述 42.3 NGN特点 5三NGN安全脆弱性分析 73.1 NGN网络架构 73.2 网元 83.3 协议实现脆弱性 83.4 管理 93.5 通信需求 9四NGN威胁和攻击方法研究 94.1 NGN威胁描述 104.2 NGN攻击描述 14五NGN安全防御 185.1 X.805端到端安全模型 195.2 组网安全 205.3 边界安全 215.4 接入安全 215.5 安全管理 215.6 NGN安全模型 22六结束语 24一前言随着信息产业的发展，

2、信息技术逐渐主导国民经济和社会的发展。世界各国都在积极应对信息化的挑战和机遇。信息化、网络化正在全球范围内形成一场新的技术、产业和社会革命。要发展信息化，就必须重视信息网络安全，它绝不仅仅是行业问题，而且是一个社会问题以及包括多学科系统安全工程的问题，它直接关系到国家安全。因此，知名安全专家沈昌祥院士呼吁要像重视两弹一星那样去重视信息安全问题。作为下一代通信网络，是未来信息传递的主要载体，因此在研究中安全将是最重要的课题之一。本报告在介绍NGN功能结构的基础上，从NGN安全威胁分析、NGN攻击方法研究以及NGN安全防御等几方面全面分析了NGN中可能的攻击方式，并对NGN安全防御给出了一些建设性

3、的意见。二NGN功能描述NGN（Next Generation Network）即下一代网络，这里特指下一代电信网络。ITU-T 2004年2月定义NGN是基于分组的网络；能够提供包括电信业务在内的多种业务；在业务相关功能与下层传送相关功能分离的基础上，能够利用多种宽带能力、有QoS支持能力的传送技术；能够为用户提供到多个运营商的无限制接入；能够支持普遍的移动性，确保用户的一致的、普遍的业务提供能力。2004年6月ITU-T FGNGN的第一次会议上已经确定了将IMS作为NGN核心网基于SIP会话的子系统的基本架构。2.1 NGN功能描述下图1显示了NGN功能结构。根据ITU-T Y.2011

4、，NGN功能分成服务层功能和传输层功能。图1中的盒子代表功能组。在功能组之间的控制链接代表高层逻辑交互。NGN支持通过应用功能和服务控制功能实现端用户服务的分发。在服务层中，又定义了应用层和服务层；在传输层中，同样了定义分组层（Package Layer）和链路层。 应用层应用层关注由服务提供商提供的基于网络的应用。这些应用可能包括Web浏览，Email，基本文件传输应用等。还包括第三方服务提供商提供的各种服务，包括语音、视频、文本、聊天等多媒体业务。 服务层服务层关注服务提供商提供给客户的各种服务。这些服务包括域名服务，增值服务、Qos等。安全层的安全应用是用来保护服务提供商和客户的。 分组

5、层（Package Layer）分组层关注网络设备发出的用来承载传输信息的数据包流。对于NGN来说，IP会成为主要的为端用户提供NGN服务和传统业务的协议。 链路层链路层关注直接连接的网络设备之间的帧数据传输。链路层的主要功能就是把传输设备看成一条线，而不关注上层的传输错误。它通过使用链路层发射器（Sender）来实现这个功能：把输入数据分成帧（一般是几百字节），连续地传输帧，处理接收器发送的认可帧。2.2 IMS结构描述IP多媒体子系统（IMS）是IP多媒体和电话的核心网络，它是接入独立的。3GPP、欧洲电信标准协会（ETSI）和Parlay论坛描述了它的基本结构。IMS框架中定义的网元包括

6、服务呼叫会话控制功能（S-CSCF）、代理呼叫会话控制功能（P-CSCF）、查询呼叫会话控制功能（I-CSCF）、媒体网关控制功能（MGCF）、归属用户服务器（HSS）、签约定位功能（SLF）、安全网关（SEG）等，还有实现多方会议的媒体资源功能控制器（MRFC）和媒体资源功能处理器（MRFP）等功能实体。具体如下图2所示：P-CSCF是UE接入IMS系统的入口，实现了在SIP协议中的Proxy和User Agent功能。S-CSCF在IMS核心网中处于核心的控制地位，负责对UE的注册鉴权和会话控制，执行针对主叫端及被叫端IMS用户的基本会话路由功能，并根据用户签约的IMS触发规则，在条件满足

7、时进行到应用服务器（AS）的增值业务触发及业务控制交互。I-CSCF在IMS核心网中起到关口节点的作用，提供本域用户服务节点分配、路由查询以及不同IMS域间拓扑隐藏等功能。确定哪个S-CSCF为用户提供服务就是I-CSCF通过HSS配置及各种组合条件决定的。归属用户服务器(HSS)是用户数据库系统，存放着用户的认证信息、用户的业务信息、用户的漫游信息等。HSS也用来记录用户的原始计费数据，并提供给分拣系统出账单。在注册和会话建立期间，签约定位功能(SLF)将被I-CSCF查询，SLF向I-CSCF提供存储用户具体数据的HSS的名字。IMS增加了4个新的功能实体，媒体网关控制功能(MGCF)、I

8、P多媒体网关功能(1M-MGW)、出口网关控制功能(BGCF)以及信令网关功能(SGW) 实现呼叫经过分组交换域(PS)正确到达使用电路交换(CS)的PSTN。IM-MGW可以终止来自电路交换网的承载信道和来自分组网的媒体流，同时支持媒体转换、承载控制和负荷处理。MGCF控制IM-MGW中的媒体信道的连接，负责与S-CSCF通信，并提供ISUP协议和IMS呼叫控制协议SIP间的转换。SGW完成传输层的信令转换，把基于SS7的信令与基于IP的信令进行转换。BGCF用于选择与PSTN接口点相连的网络。如果BGCF发现自己所在的网络与接口点相连，那么BGCF就选择一个MGCF，由该MGCF负责与PS

9、TN的交互。多方会议-媒体资源功能处理器(MRFP)和媒体资源功能控制器(MRFC)支持多方多媒体会议，并能体现媒体资源(例如，语音提示功能)的实际能力。MRFP处理和混合实际的媒体流，MRFC控制MRFP的媒体流资源。2.3 NGN特点NGN网络有以下几个特点1) 开放分布式网络结构采用业务与呼叫控制分离、呼叫控制与承载分离技术，实现开放分布式网络结构，使业务独立于网络。通过开放式协议和接口，可灵活、快速地提供业务，个人用户可自己定义业务特征，而不必关心承载业务的网络形式和终端类型。 2) 高速分组化核心承载核心承载网采用高速包交换网络，可实现电信网、计算机网和有线电视网三网融合，同时支持语

10、音、数据、视频等业务。 3) 独立的网络控制层网络控制层采用独立开放的计算机平台，将呼叫控制从媒体网关中分离出来，通过软件实现基本呼叫控制功能，包括呼叫选路、管理控制和信令互通，使业务提供者可自由结合承载业务与控制协议，提供开放的API接口，从而可使第三方快速、灵活、有效地实现业务提供4) 网络互通和网络设备网关化通过接入媒体网关、中继媒体网关和信令网关等网关，可实现与PSTN、PLMN、IN、Internet等网络的互通，有效地继承原有网络的业务。5) 多样化接入方式普通用户可通过智能分组话音终端、多媒体终端接入，通过接入媒体网关、综合接入设备（IAD）来满足用户的语音、数据和视频业务的共存

11、需求。 6) 通用移动性通用移动性是指用户可以从任何地方的任何接入点和接入终端获得在该环境下可能得到的业务（包括第三方提供的业务），不论在何处接入，用户有着相同的业务感受和操作，这些接入能力仅受所在网络的条件或需要事先预约的限制。这也意味着通信实现个人化，用户可以只使用同一个地址便可实现在不同位置不同的终端上接入不同的业务，至于在哪一种终端上接受和发出呼叫则基于用户的习惯和其当前所处状态。图1 NGN功能结构图2 IMS结构三NGN安全脆弱性分析基于IP技术的NGN在继承IP网络的脆弱性的同时，由于其接入的多样性、服务的开放性和集中管理等特点，给NGN带来了严重的安全威胁。本部分将从网络架构、

12、网元、协议实现、管理以及通信需求等方面详细分析NGN安全脆弱性。3.1 NGN网络架构NGN网络的接入多样性即NGN支持多种方式的接入，包括宽带接入，无线接入，互联网接入，ISDN接入、PSTN接入等。这种多样性的接入特别是具有诸多安全脆弱性的互联网的接入，使得NGN网络继承了互联网所有可能的脆弱性和安全威胁，使NGN面临着更多的安全威胁。同时各种网关和IAD的引入搭起了具有诸多不安全因素的互联网和可能具有很大脆弱性的SS7信令网络的桥梁，使得信令网络的脆弱性充分暴露出来。随着电信网络的封闭性被突破，电信网络固有的安全免疫性差的弱点可能被攻击者充分利用，电信网中原来可信的接入方（比如集团用户）

13、也可能被不可信的互联网用户控制。NGN已经采用3GPP提出的IMS（IP Multimedia Subsystem，IP多媒体子系统）体系，在IMS体系中，CSCF（Call Session Control Functions，呼叫会话控制功能）功能体系集中完成管理和呼叫控制，因此CSCF实体必须直接面对各种不同的用户，这在一定程度上是NGN网络的一个安全隐患，也是黑客攻击NGN网路的一个主要目标。如果CSCF实体的安全保护措施不到位，则CSCF实体可能会成为NGN网络安全的瓶颈，恶意攻击者可能通过对CSCF实体的攻击达到全网致瘫的目的。3.2 网元网元是指网络中所有独立的物理设备实体，在NG

14、N中包括所有的数据通信设备，NGN设备、网管设备、以及各种用户终端和操作维护终端。网元的安全威胁主要来自于设备自身，如操作系统没有及时打补丁、使用弱口令、开放没有使用的端口、防火墙配置不当等，几乎百分之八十的安全事故是由于网元自身不健壮而存在的安全漏洞所引起的。网元可能面临的安全威胁包括系统宕机、重启、服务拒绝或者服务异常、感染病毒蠕虫、入侵、被安装木马或者僵尸程序等。3.3 协议实现脆弱性协议实现脆弱性指网络中互相通信的协议本身存在的安全方面的不健全和协议实现中存在的漏洞问题。比较典型的协议漏洞为TCP/IP中的存在可能被SYNflood攻击的漏洞。在NGN中，包含多种多样的协议，主要的协议

15、包括H.248、SIP、MGCP、H.323、BICC、SIGtran等。每种协议都存在大量服务请求拒绝服务攻击。其中SIP、MGCP、H.248和RAS尤其重要，因为它们支持UDP承载，数据包不需要建立连接，所以发起UDPflood非常容易。尤其是SIP协议还不是很完善，采用明文传输，通信内容很容易被窃听或篡改。虽然采用了HTTP的认证方式，但是这种认证方式是单向认证，很容易冒充服务器进行各种欺骗等。另外在NGN网络中协议解码漏洞将是比较普遍的一个安全脆弱性，对于采用ASN.1描述语言描述的协议，由于描述的复杂性，很容易造成协议实现的漏洞。这在H.248和H.323更为明显，其他的协议也存在

16、类似这方面的问题。3.4 管理俗话说“三分技术，七分管理”，因此一个网络系统管理的好坏直接影响系统的安全。千里之堤，溃于蚁穴，配置再完善的防火墙、功能 再强大的入侵检测系统、结构再复杂的系统密码也挡不住内部人员从网管背后的一瞥。“微软被黑案”的事例证明，当前网络最大的安全漏洞来自内部管理的不严密。具体可以体现在以下几方面： 缺乏安全防范意识，从而就不可能采取主动的安全措施加以防范，完全处于被动挨打的位置。 对网络的安全现状不明确，不知道或不清楚网络存在的安全隐患，从而失去了防御攻击的先机。 安全防范没有形成完整的、组织化的体系结构，其缺陷给攻击者以可乘之机。 没有建立完善的管理体系，从而导致安

17、全体系和安全控制措施 不能充分有效地发挥效能。业务活动中存在安全疏漏，造成不必要的信息泄露，给攻击者以收集敏感。3.5 通信需求网络规模和容量的不断增加在带来效益的同时也引起设备的复杂化以及管理的复杂化，随之而来的便是为网络带来更多安全隐患。 随着国民经济的增长，通信需求不断扩大。我国电信网络已发展成全球最大固网和移动网络之一，运维如此一个巨大网络没有先例也没有参照对象，极有可能出现一些意想不到的安全问题。随着网络规模的扩大以及设备容量的扩大，设备越来越复杂，不可控因素随之增加。在一个规模空前的网络上因网管操作失误、用户恶意攻击、故障的不恰当处理等原因引起大量用户无法正常使用业务则会导致安全事

18、故的发生。而且最新型、大容量的新设备大多是引进产品，至少使用的芯片大多数是国外产品，引进产品、芯片的安全性无法评估，因此也使通信网络安全隐患难以预测。四NGN威胁和攻击方法研究本部分主要描述了NGN面临的威胁和可能遭到的攻击。由于NGN的接入必须经过严格的网络接入认证和业务认证，从而避免了互联网下匿名接入所带来的很多安全隐患。因此NGN的威胁和攻击主要来自恶意的合法用户，他们可能利用系统的安全漏洞、管理上的疏忽或一些黑客软件向NGN发起攻击，给NGN用户和服务造成一定的破坏。4.1 NGN威胁描述NGN中，威胁可以归纳为以下几种： 信息/资源的毁坏 信息的修改 信息/资源的失窃、移动、损耗 信

19、息的泄漏 服务的中断 业务干扰参考图1给出的ITU-T FGNGN工作组定义的NGN功能架构，NGN中共有4个接口： UNI用户网络接口 NNI网络间接口 ANI应用程序接口 INI内部网络接口以上述几种威胁为基准对四种接口分别进行具体分析，图3给出了各个接口可能的威胁。图3 NGN安全威胁表1描述了各个接口的安全威胁可能造成的后果。4.1.1 UNI相关威胁在UNI接口上可能存在以下几种安全威胁： 窃听获取用户的id或者/和认证信息或会话内容等。 利用得到的用户id，使被攻击者承受高昂的话费。 伪装成被攻击端，进行注销，造成被攻击端服务中断 攻击者可能会操作智能终端发动拒绝服务攻击，造成服务

20、中断。 利用系统漏洞，发送异常信令，使系统服务中断。4.1.2 NNI相关在NNI接口上可能存在以下几种安全威胁： 伪装成核心网的实体，对数据进行非法访问、修改、毁坏 向核心网络发起拒绝服务攻击 向核心网发送异常数据包或信令包 信令转换,异常SS7/ISUP消息可以导致网关或者传统的设备出现故障 窃听Internet或者其它NGN上合法用户的id，认证信息，会话内容等；窃听PSTN用户的会话内容4.1.3 ANI相关在ANI接口上可能存在以下几种安全威胁： 内容威胁，如色情信息服务，反动信息传播，网上赌博等违法内容。 攻击者可能会以应用程序为切口，利用程序的漏洞或者第三方应用接口平台的不完善，

21、使得异常应用造成服务中断。4.1.4 INI相关在INI接口上可能存在以下几种安全威胁： 攻击者伪装成核心网的实体，窃取核心网之间传送的信息。 攻击者伪装成核心网实体，取消当前的连接。信息/资源的毁坏信息的修改信息/资源的失窃、移动、损耗信息的泄漏服务的中断业务干扰端用户到核心网 端用户受到的威胁Internet对端用户 端对端 网络之外 UNI接口 Internet对核心网 其它NGN对核心网 Internet对核心网 其它NGN对核心网 NNI接口 ANI INI接口 表1 接口的安全威胁小结4.2 NGN攻击描述由于NGN的接入必须经过严格的网络接入认证和业务认证，因此，传统互联网上的一

22、些攻击技术可能会受到限制。但是聪明的黑客不会善罢甘休，他们会采取各种方式来攻击NGN。本部分主要描述了一些典型的攻击方法。4.2.1 操作系统漏洞攻击 WINDOWS操作系统是目前NGN网元中使用最多的，包括一些网管设备、计费系统以及终端等，但也有一部分网元使用Unix系统（包括solaris和AIX），这些操作系统本身有一定的漏洞，往往会成为黑客攻击的目标。随着黑客的技术手段日益高超，新的攻击手段也不断出现。有的是协议自身的问题，有的是系统自身设计不完善造成的，系统发布的时间越长，系统的漏洞也越来越多，也越来越为更多的人了解。4.2.2 协议实现漏洞攻击协议实现漏洞攻击指攻击者利用网络通信协

23、议本身安全方面的不健全和协议实现中存在的漏洞问题发起的攻击。比较典型的协议漏洞为TCP/IP中的存在可能被SYNflood攻击的漏洞。在NGN中，包含多种多样的协议，主要的协议包括H.248、SIP、MGCP、H.323、BICC、SIGtran等。每种协议都存在大量服务请求的拒绝服务攻击。这里以会话初始协议（SIP）为例说明可能的攻击。1 会话中断攻击如图4所示，攻击者获取并分析呼叫信令，发送伪造的SIP “BYE”信息给参与会话的UA。大多数的SIP UA不要求严格的鉴权，允许攻击者发送合适的BYE消息给2个UA，中断双方对话。2 注册会话劫持注册会话劫持就是攻击者会通过把合法的UA（用户

24、代理）注册地址替换为自己的地址的方式伪装成一个合法的UA注册。这个攻击造成所有的到来的呼叫被发送到由攻击者注册的UA。图5是对注册会话攻击的劫持。注册信息一般使用UDP，这就很容易去对请求进行欺骗。注册常常是不要求鉴权的，就算鉴权存在的话，也常常是很弱的（仅仅只要求用户名和密码）。根据RFC 3261，注册服务器在对注册请求的要求仅仅只是“RECOMMENDED（推荐使用）”。大多数的注册服务器要么不对请求验证，要么仅要求一个简单的用户名/密码，这个很可能被字典模式的攻击击破。一个字典模式的攻击是攻击者获得一个用户的用户名，下一步是通过对用户的资料的掌图4 SIP协议会话中断攻击握建立一个可能

25、的密码列表，进行配对猜测。一个外部的攻击者可以通过扫描用户的可注册UA地址建立一个字典。他可以建立一个扩展列表和使用SIP“OPTIONS”信息隐秘的建立一个用户字典。一些企业可能使用共享的，不牢固的或者“机械”产生的密码（例如加入一个额外单词的扩展密码）。这种情况下，一个知道密码的攻击者可以知道所有的内容。一个失败的注册不总是被记录的，SIP 代理服务器一般不会察觉目录扫描和注册会话劫持的企图。注册会话劫持会导致一个合法UA的呼叫的丢失。这个呼叫可能是一个用户的电话或者是一个紧急资源（例如：一个媒体网关，自动服务（AA），交互语音响应（IVR）或者VM系统）。这个伪装的UA也可以收集鉴权或其

26、他关键的信令信息。或者这个伪装的UA可以伪装成一个语音信箱系统，欺骗呼叫者留下信息。这个伪装UA也可以实施一个中间人攻击（MITM）。在这个攻击中，它处于呼叫UA和被叫UA之间，能够收集和修改信令以及媒体信息。另一种MITM攻击包括重定向一个到来的呼叫到媒体网关，产生资费欺骗。图5 注册会话劫持示例4.2.3 信令流攻击NGN网络中的流量可以分为信令流和媒体流两部分，信令流经过多级集中的Proxy Server或软交换进行转发来完成端到端呼叫的建立。目前，NGN使用的信令协议在安全性方面还不是很完善，攻击者很容易利用信令流的来对服务器发起各种攻击，典型的有以下两种方式：1畸形信令报文攻击基于N

27、GN信令协议栈实现漏洞，攻击者向代理服务器或注册服务器发送大量的畸形信令报文，如超长报文和含有异常字符的报文等，其目的是造成服务器解析错误或缓冲区溢出，使得正在工作的服务器突然死机或重新启动，严重时可以使整个网络瘫痪。2拒绝服务攻击NGN中的信令协议如SIP、MGCP和H.248等都采用无连接的UDP协议，而UDP不需要建立连接，一个攻击设备可以发送大量的呼叫请求报文，从而耗费软交换机或者其他被攻击设备的系统资源，从而使得不能为正常的请求服务。4.2.4 媒体流攻击RTP/RTCP实时流传送协议是语音数据在NGN网络中传输时的采用的媒体协议。由于协议本身是开放的，一般很少采用任何安全措施，虽然

28、SRTP协议已经出现有一段时间，但是在应用中还存在密钥协商等一些问题需要解决，以及使用的用户比较少等原因，现在广泛应用的还是RTP协议，因此一小段流媒体很容易被重放出来而不需要前后信息的关联。如果在媒体通道中通过Sniffer的方式记录所有信息并通过软件加以重放，会引起对话音通信的信任危机。总的来说媒体流攻击有以下几种方式： 1插音攻击攻击者构造和真实的RTP流具有相同特征的数据包，然后插入到正在传送的媒体流中，这些伪造的RTP包会在真实的数据流到来前被播放，而真实的语音流则被忽略。这就意味着攻击者可以播放任何所希望的语音，而到来的真正的语音数据却被看成是旧的数据包被丢弃。 2会话窃听将以太网

29、卡设成“混杂模式”选项，可以关掉过滤功能，从而检查途经网卡的所有数据包这是IP数据包窃听得以实现的根本原因 。攻击者在网络上捕获RTP流，并识别出RTP流的编码方式，就很容易重建语音流（甚至是实时的）。这样就可以监听/记录会话，监听DTMF(双音多频，这些频率就是当你按下电话按键面板时产生的频率)，可以给与攻击者机会去捕获语音Mail的密码，呼叫卡信息，信用卡信息或者其他使用DTMF的数据信息4.2.5 拒绝服务攻击拒绝服务是使一个实体不能正常提供服务，或者使这个实体阻碍其它实体正常提供服务。这种攻击可以是一般性的，即一个实体阻拦住所有的消息，或者是阻拦所有通向某个特定目标的消息。也可以通过产

30、生额外的消息来中断网络的正常运转。特别是当一个网络通过中继实体来进行路由，而路由决策又是建立在其它中继实体提供的报告的时候，这种产生额外消息的攻击方式就很有可能成功。拒绝服务攻击通常与其它攻击方式一起使用，特别是修改/伪造数据包。NGN中的拒绝服务攻击主要由以下几种方式：1协议实现漏洞拒绝服务攻击黑客发起这类攻击主要利用NGN协议实现上的漏洞如缺乏严格的鉴权如SIP协议的Re-INVITE攻击，即在同一个对话中，发送的新INVITE请求，这个请求可以要求修改地址或者端口，增加流媒体，删除流媒体等等。这样可以引入新的路由到当前会话连接路由中，从而窃取信令路径，随意拒绝来自某方的信令。也可以发展演

31、变为引入其他的参与者到会话中。SIP“RE-INVITE”信息也有可能被使用来修改媒体会话，重定向媒体到广播地址，从而造成一个DoS攻击。重定向媒体会话到一个媒体网关也可能造成一个DoS攻击。2SDP洪水攻击发起多个其他方加入的媒体会话，把其中的SDP的连接信息（C=网络类型地址类型连接地址）改为受害者的地址，这样所有的RTP流都会流向受害者，造成RTP洪水攻击，如图6所示。图6 SDP洪水攻击示意图 3传统的拒绝服务攻击 传统的拒绝服务攻击主要是基于TCP/IP协议的，包括SYN洪水攻击、UDP洪水攻击、Ping洪水攻击、ARP洪水攻击、ICMP广播特性攻击等，这里就不对每类攻击做具体介绍。4.2.6 病毒/木马在当今社会，电脑病毒已成为网络业发展的最大危害之一。病毒一般是