瞿有甜，鄒雪蘭

（浙江傳媒學(xué)院電子信息學(xué)院，浙江杭州 310018）

用戶規(guī)模的不斷增加和用戶需求的多樣化對(duì)網(wǎng)絡(luò)提出了越來(lái)越高的要求，如何向用戶提供寬帶、高速、高質(zhì)量的多媒體業(yè)務(wù)是網(wǎng)絡(luò)發(fā)展的趨勢(shì)。在這種背景下，網(wǎng)絡(luò)融合已經(jīng)成為全球一大發(fā)展趨勢(shì)，在融合的大趨勢(shì)下，電信網(wǎng)絡(luò)賦予NGN（next generation network，下一代網(wǎng)絡(luò)）更多的業(yè)務(wù)能力和可能的業(yè)務(wù)組合，ITU-T定義的NGN是一個(gè)分組網(wǎng)絡(luò)，向用戶提供具有QoS（quality of service，服務(wù)質(zhì)量）保證、無(wú)所不在的網(wǎng)絡(luò)服務(wù)[1]。為了滿足用戶需求，實(shí)現(xiàn)NGN的目標(biāo)，提供無(wú)所不在的網(wǎng)絡(luò)服務(wù)[2]，必須解決幾個(gè)關(guān)鍵技術(shù)問(wèn)題，主要包括服務(wù)質(zhì)量、網(wǎng)絡(luò)安全、個(gè)性化的通信能力、高速、寬帶接入能力等。QoS和網(wǎng)絡(luò)安全是開展一個(gè)可持續(xù)盈利的商業(yè)網(wǎng)絡(luò)必須解決的關(guān)鍵問(wèn)題，也是NGN的承載網(wǎng)IP網(wǎng)絡(luò)必須要解決的最關(guān)鍵的兩個(gè)問(wèn)題，本文對(duì)NGN QoS和網(wǎng)絡(luò)安全這兩個(gè)關(guān)鍵技術(shù)進(jìn)行討論。

1 NGN QoS解決方案

個(gè)性化通信是通信的理想藍(lán)圖，也是用戶的需求，當(dāng)前移動(dòng)通信的高速發(fā)展，移動(dòng)電話用戶超過(guò)固定電話用戶就是用戶對(duì)個(gè)性化服務(wù)需求的一個(gè)明顯例證。用戶接受的個(gè)性化服務(wù)必須是有質(zhì)量保證的，如何在基于分組交換的網(wǎng)絡(luò)上提供具有QoS保證的業(yè)務(wù)是NGN面臨的一大技術(shù)挑戰(zhàn)。用戶要求的QoS與網(wǎng)絡(luò)的可靠性、安全性密切相關(guān)，是端到端的QoS，由于傳輸技術(shù)的多樣性、業(yè)務(wù)服務(wù)商的多樣性，端到端路徑上的防火墻設(shè)置等因素，NGN的QoS不同于傳統(tǒng)的IP QoS，我們首先研究NGN的QoS問(wèn)題。

隨著電信業(yè)務(wù)IP化的趨勢(shì)，在網(wǎng)絡(luò)融合的推動(dòng)下，NGN的QoS逐漸成為人們關(guān)注的焦點(diǎn)。NGN能提供包括電信業(yè)務(wù)在內(nèi)的多種業(yè)務(wù)，對(duì)于電信業(yè)務(wù)來(lái)說(shuō)服務(wù)質(zhì)量是必須考慮的，NGN的QoS要求在IP網(wǎng)上為電信業(yè)務(wù)提供質(zhì)量保證。傳統(tǒng)的IP QoS研究通用流量的QoS，而NGN關(guān)注的是業(yè)務(wù)的QoS。為滿足語(yǔ)音業(yè)務(wù)、交互式數(shù)據(jù)業(yè)務(wù)和流媒體業(yè)務(wù)的不同要求，根據(jù)網(wǎng)絡(luò)性能參數(shù)IPTD（IP packet transfer delay，傳輸時(shí)延）、IPDV（IP packet delay variation，傳輸時(shí)延抖動(dòng)）、IPLR（IP packet loss ratio，丟包率）、IPER（IP packet error ratio，包差錯(cuò)率），ITU-T規(guī)范Y.1541定義了8類QoS，如表1所示，表中數(shù)值是相應(yīng)參數(shù)的上界[3]。由此可見，NGN的QoS涵蓋了主要的IP應(yīng)用，支持系統(tǒng)間的QoS協(xié)商，與IP的QoS機(jī)制有一定關(guān)系，是可實(shí)現(xiàn)的。

表1 IP網(wǎng)絡(luò)QoS分類（ITU-T Y.1541）

傳統(tǒng)的IP QoS一直是IP/Internet領(lǐng)域的研究熱點(diǎn)，從集成服務(wù)到分區(qū)服務(wù)，人們?cè)赒oS研究方面取得了大量的成果，然而，IP要提供真正有保障的QoS還有很長(zhǎng)的路要走。近年來(lái)，IP網(wǎng)的性能有了很大提高，究其原因，首先是IP網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備性能大大提高，路由處理、包交換中采用硬件技術(shù)，降低了路由器的包轉(zhuǎn)發(fā)時(shí)延，提高了IP網(wǎng)的性能；其次，傳輸技術(shù)的發(fā)展降低了傳輸成本，改善了IP網(wǎng)的傳輸環(huán)境，傳輸資源對(duì)于IP網(wǎng)絡(luò)來(lái)說(shuō)不再是緊缺資源，當(dāng)前網(wǎng)絡(luò)處于一個(gè)比較富裕的傳輸狀態(tài)；由于對(duì)IP網(wǎng)安全的擔(dān)憂，不敢加載重要的業(yè)務(wù)數(shù)據(jù)，不敢在IP網(wǎng)上承載電信業(yè)務(wù)，目前IP網(wǎng)絡(luò)處于一個(gè)輕載狀態(tài)，這使得近年來(lái)IP網(wǎng)的性能有了很大的提高，可以在IP上開展電話通信。這個(gè)結(jié)果證明IP網(wǎng)可以保證業(yè)務(wù)的服務(wù)質(zhì)量，針對(duì)不同的業(yè)務(wù)提供不同的服務(wù)質(zhì)量要求。然而，用戶對(duì)流量的需求是無(wú)窮的，光傳輸技術(shù)的發(fā)展為傳輸層提供了越來(lái)越寬的帶寬，而視頻通信、網(wǎng)絡(luò)存儲(chǔ)、在線游戲等應(yīng)用將會(huì)消耗掉網(wǎng)絡(luò)能夠提供的所有帶寬，事實(shí)證明，網(wǎng)絡(luò)的增長(zhǎng)帶寬都將很快被用戶的流量消耗掉?？紤]網(wǎng)絡(luò)的建設(shè)成本和運(yùn)營(yíng)成本，簡(jiǎn)單的過(guò)量提供和流量工程在短期內(nèi)能提供一個(gè)NGN QoS過(guò)渡解決方案，卻不是一個(gè)長(zhǎng)期的解決方案。

過(guò)量提供不能解決NGN QoS問(wèn)題，能否直接采用電信網(wǎng)絡(luò)的QoS機(jī)制呢？傳統(tǒng)的電信網(wǎng)承載業(yè)務(wù)比較單一，如PSTN僅承載話音業(yè)務(wù)，單一的業(yè)務(wù)特性使得網(wǎng)絡(luò)流量特征簡(jiǎn)單，容易預(yù)測(cè)；而NGN向用戶提供包括語(yǔ)音、數(shù)據(jù)、視頻在內(nèi)的多媒體業(yè)務(wù)，業(yè)務(wù)種類繁多，業(yè)務(wù)模式也不是單一的點(diǎn)對(duì)點(diǎn)的通信模式，增加了流量的復(fù)雜性和不可預(yù)測(cè)性。由此可見，若簡(jiǎn)單照搬電信網(wǎng)的經(jīng)驗(yàn)建立一套復(fù)雜的機(jī)制，能滿足業(yè)務(wù)的QoS要求，會(huì)導(dǎo)致IP網(wǎng)極度復(fù)雜，失去其靈活性，因此也不是NGN QoS解決之路。

NGN是基于分組交換技術(shù)的網(wǎng)絡(luò)，與傳統(tǒng)的電信網(wǎng)絡(luò)如PSTN、ATM、FR不同，NGN采用面向無(wú)連接的工作方式，用戶數(shù)據(jù)流在網(wǎng)絡(luò)中的傳輸路徑是不斷變化的，這導(dǎo)致網(wǎng)絡(luò)中流量的流向不可預(yù)測(cè)。傳統(tǒng)的IP網(wǎng)中流量的發(fā)送不受網(wǎng)絡(luò)控制，由終端控制，依靠用戶的自律，因此，很難建立一個(gè)逼近實(shí)際流量的預(yù)測(cè)模型使得網(wǎng)絡(luò)的規(guī)劃可以保證在網(wǎng)絡(luò)的傳輸路徑上不存在嚴(yán)重的擁塞。NGN要提供有效的QoS保證，必須解決網(wǎng)絡(luò)的擁塞問(wèn)題。對(duì)于網(wǎng)絡(luò)而言，流量管理的本質(zhì)是資源管理，因此實(shí)現(xiàn)NGN QoS的關(guān)鍵是合理調(diào)配網(wǎng)絡(luò)資源，滿足不同業(yè)務(wù)對(duì)網(wǎng)絡(luò)資源的需求，從而保證不同業(yè)務(wù)的服務(wù)質(zhì)量要求。IP的無(wú)連接特性使得任何面向連接的技術(shù)不僅違背IP網(wǎng)的設(shè)計(jì)初衷，而且增加了網(wǎng)絡(luò)的復(fù)雜度，因而宜采用面向無(wú)連接的技術(shù)，通過(guò)引導(dǎo)流的流向，限制網(wǎng)絡(luò)流量的進(jìn)入，根據(jù)不同業(yè)務(wù)要求對(duì)流量進(jìn)行管理和控制。典型的解決方案如建立業(yè)務(wù)專網(wǎng)，在應(yīng)用層提供解決方案。專網(wǎng)方案實(shí)現(xiàn)比較簡(jiǎn)單，但是在多業(yè)務(wù)的支持和擴(kuò)展性方面不靈活，另一方面該方案難以適應(yīng)業(yè)務(wù)的快速變化，與NGN個(gè)性化業(yè)務(wù)服務(wù)、靈活自由的業(yè)務(wù)組合特點(diǎn)不相符。隨著NGN QoS的深入研究，人們不斷提出新的解決方案，然而正如前面指出NGN是一個(gè)可持續(xù)發(fā)展的網(wǎng)絡(luò)，解決NGN QoS也是一個(gè)長(zhǎng)期的過(guò)程，需要不斷探索和創(chuàng)新。

2 NGN網(wǎng)絡(luò)安全

NGN的目標(biāo)是向用戶提供具有QoS保障、個(gè)性化的、自由接入的、包括電信業(yè)務(wù)在內(nèi)的多種業(yè)務(wù)，因此網(wǎng)絡(luò)安全對(duì)于NGN來(lái)說(shuō)至關(guān)重要。為了提高業(yè)務(wù)的擴(kuò)展性、端到端的各個(gè)設(shè)備之間的互操作性，NGN采用開放的體系結(jié)構(gòu)，不同的網(wǎng)絡(luò)、不同的設(shè)備都可以接入到NGN網(wǎng)絡(luò)。以IP為基礎(chǔ)的NGN網(wǎng)絡(luò)，設(shè)備和網(wǎng)絡(luò)之間連接方法是靈活可變的，例如，一臺(tái)PC機(jī)可以通過(guò)modem接入網(wǎng)絡(luò)來(lái)傳輸和接收數(shù)據(jù)，也可以通過(guò)遠(yuǎn)程登錄機(jī)制，控制遠(yuǎn)端的某個(gè)系統(tǒng)設(shè)備。由此可見，NGN的開放性使得網(wǎng)絡(luò)能夠滿足用戶的多樣化、個(gè)性化業(yè)務(wù)需求，同時(shí)這種開放式架構(gòu)使得網(wǎng)絡(luò)更容易受到安全威脅，這個(gè)威脅可能來(lái)自終端用戶，或者來(lái)自與NGN連接的Internet/Intranet，或者是其他運(yùn)營(yíng)商的網(wǎng)絡(luò)。因此，NGN面臨著更大的安全挑戰(zhàn)。

現(xiàn)有的網(wǎng)絡(luò)安全解決方案能為一個(gè)或多個(gè)應(yīng)用領(lǐng)域提供安全功能支持，卻無(wú)法為其他應(yīng)用領(lǐng)域提供支持，沒(méi)有一個(gè)為多領(lǐng)域應(yīng)用提供支持、統(tǒng)一的安全解決方案。NGN向用戶提供的是多樣化的服務(wù)，通信的含義也將超越目前的含義，因此，下一代網(wǎng)絡(luò)安全解決方案必須是同時(shí)滿足所有需求的系統(tǒng)解決方案，滿足用戶對(duì)更大吞吐量、更低時(shí)延、更高安全性能的要求。圖1是ITU-T規(guī)范X.805給出的網(wǎng)絡(luò)安全模型[4]，NGN的防衛(wèi)體系是立體的，分為3個(gè)面，每個(gè)面又分3個(gè)層，每個(gè)層又分8個(gè)安全維度；各個(gè)層或面之間互相獨(dú)立。該模型分管理面、控制面和用戶面；層分為基礎(chǔ)設(shè)施層、服務(wù)層和應(yīng)用層，8個(gè)安全維度包括接入控制、身份認(rèn)證、不可否認(rèn)性、數(shù)據(jù)機(jī)密性、通信安全、數(shù)據(jù)完整性、可用性和私密性。該安全模型的各個(gè)層或面互相獨(dú)立，在具體實(shí)現(xiàn)的時(shí)候哪些方面的安全措施必須強(qiáng)調(diào)或者說(shuō)尤為重要呢？首先我們來(lái)分析NGN眾多的安全威脅，可以把它們歸為兩類：一是針對(duì)網(wǎng)絡(luò)協(xié)議的威脅，可分為兩個(gè)子類，分別是底層協(xié)議攻擊和高層協(xié)議攻擊；另一個(gè)是一般安全威脅，例如拒絕服務(wù)攻擊，非法接入，竊聽、修改信息等。因此，保證NGN的網(wǎng)絡(luò)安全，可以從兩個(gè)方面解決：一是從網(wǎng)絡(luò)部署方面入手，拒絕非法用戶進(jìn)入網(wǎng)絡(luò)，保證NGN網(wǎng)絡(luò)核心設(shè)備的安全；二是采用安全的傳輸機(jī)制，保證用戶的通信數(shù)據(jù)不被修改（即保證數(shù)據(jù)的完整性）和不被竊聽。根據(jù)圖1所示的安全模型，主要是加強(qiáng)身份認(rèn)證和授權(quán)，只有經(jīng)過(guò)嚴(yán)格認(rèn)證、確認(rèn)用戶的身份后才可接入NGN網(wǎng)絡(luò)；采用邊緣接入控制或已有的其他技術(shù)如VPN技術(shù)保證數(shù)據(jù)的機(jī)密性和完整性；通過(guò)備份冗余保證網(wǎng)絡(luò)的可用性。

2007年4 月ITU-T在規(guī)范Y.2701中發(fā)布了NGN的安全需求，該規(guī)范根據(jù)X.805定義的8個(gè)安全維度描述了運(yùn)營(yíng)商對(duì)安全的需求，以及對(duì)硬件設(shè)備、日志、資源分配、審計(jì)等特定需求[5]。圖2是根據(jù)NGN系統(tǒng)單元的信任度建立的安全信任模型，分3個(gè)區(qū)，其中非信任區(qū)包含NGN運(yùn)營(yíng)商不能直接控制的用戶終端；在弱信任區(qū)運(yùn)營(yíng)商能控制設(shè)備，這些設(shè)備帶有防火墻等防御工具，可能會(huì)遭受來(lái)自外部的安全攻擊；信任區(qū)是由運(yùn)營(yíng)商控制的設(shè)備，其設(shè)備和用戶都是可信任的。網(wǎng)絡(luò)邊緣設(shè)備處于弱信任區(qū)，保護(hù)系統(tǒng)不受到來(lái)自非信任區(qū)的任何攻擊。隨著網(wǎng)絡(luò)的發(fā)展，信息安全越來(lái)越重要，不但影響公眾生活，而且影響國(guó)家利益和國(guó)家安全，NGN的安全除涉及技術(shù)標(biāo)準(zhǔn)、管理措施、網(wǎng)絡(luò)規(guī)劃、設(shè)備可靠性、業(yè)務(wù)特性、商業(yè)模式、加密強(qiáng)度、加密算法外，還涉及法律法規(guī)、有害信息定義等眾多領(lǐng)域。因此，網(wǎng)絡(luò)安全是NGN的重要基礎(chǔ)研究領(lǐng)域，需要人們長(zhǎng)期探索，不斷努力。

3 結(jié)束語(yǔ)

NGN是一個(gè)基于分組交換的網(wǎng)絡(luò)，可與現(xiàn)有網(wǎng)絡(luò)兼容，是一個(gè)可持續(xù)發(fā)展的網(wǎng)絡(luò)；NGN是一個(gè)可管理、可維護(hù)的網(wǎng)絡(luò)，向用戶提供具有QoS保證的多樣化的業(yè)務(wù)，并支持業(yè)務(wù)的個(gè)性化、移動(dòng)性、開放性和靈活性。本文分析和探討NGN的關(guān)鍵技術(shù)QoS和網(wǎng)絡(luò)安全問(wèn)題，服務(wù)質(zhì)量和網(wǎng)絡(luò)安全是開展一個(gè)可盈利的商業(yè)網(wǎng)絡(luò)必須解決的關(guān)鍵問(wèn)題，這兩個(gè)問(wèn)題也是NGN的承載網(wǎng)IP網(wǎng)絡(luò)必須要解決的最關(guān)鍵的兩個(gè)問(wèn)題。作為一個(gè)可持續(xù)發(fā)展的網(wǎng)絡(luò)，解決NGN關(guān)鍵技術(shù)、建設(shè)NGN是一個(gè)長(zhǎng)期的過(guò)程，需要不斷探索和創(chuàng)新。

[1]ITU-T Recommendation Y.2001,General overview of NGN [S].2004.

[2]M.Weiser.The computer for the 21st Century[J].IEEE Perva sive Computing，2002，99（1）：19-25.

[3]ITU-T Recommendation Y.1541,Network Performance Objectives for IP-Based Services[S].2006.

[4]ITU-T Recommendation X.805,Security architecture for systems providing end-to-end communications[S].2003.

[5]ITU-T Recommendation Y.2701,Security requirements for NGN release[S].2007.