下一代网络体系结构

下一代网络体系结构（共7篇）

下一代网络体系结构 篇1

摘要：计算机网络从发明到现在经历从无到有直至今日, 计算机网络作为一项影响世界的发明在现今世界中大放异彩, 但是随着科技的发展, 网络技术的进步, 原有的网络体系已经无法适应现在的发展势头, 因此, 需要在总结原有网络发展轨迹的基础上, 结合现今的网络的发展现状, 对下一代的网络体系结构开展研发工作。下文将就计算机网络的发展现状和对下一代的网络体系结构进行展望。

关键词：计算机网络,网络体系结构,发展展望

计算机网络体系结构从发明到现在只有区区几十年的时间, 经过这么多年的发展, 已经在世界上占有了举足轻重的位置, 例如:其中比较突出的就是互联网, 现如今互联网已经变成了一种将世界紧密联系、开放的世界性的网络, 对世界各国的政治、经济、科技和文化等领域都有着巨大的推进作用, 特别是近些年, 互联网在商业方面的飞速发展, 以及互联网的进一步普及和新的技术的涌现, 原有的互联网的体系结构中一些问题也逐渐暴漏出来了, 例如:网络的服务质量不稳定, 网络的透明性差, 网络安全问题日益严重等。因此我们应当对互联网结构有着清醒的认识, 总结互联网的发展历程, 并结合互联网发展的现状, 为下一代的互联网结构体系提出有价值的建议。下文将就互联网发展现状和下一点互联网结构体系的概念进行阐述。

1 互联网简介

计算机网络, 是指将地理位置不同的具有独立功能的多台计算机及其外部设备, 通过通信线路连接起来, 在网络操作系统, 网络管理软件及网络通信协议的管理和协调下, 实现资源共享和信息传递的计算机系统。关于计算机网络的最简单定义是:一些相互连接的、以共享资源为目的的、自治的计算机的集合。另外, 从逻辑功能上看, 计算机网络是以传输信息为基础目的, 用通信线路将多个计算机连接起来的计算机系统的集合, 一个计算机网络组成包括传输介质和通信设备。从用户角度看, 计算机网络它是这样定义的:存在着一个能为用户自动管理的网络操作系统。由它调用完成用户所调用的资源, 而整个网络像一个大的计算机系统一样, 对用户是透明的。从整体上来说计算机网络就是把分布在不同地理区域的计算机与专门的外部设备用通信线路互联成一个规模大、功能强的系统, 从而使众多的计算机可以方便地互相传递信息, 共享硬件、软件、数据信息等资源。简单来说, 计算机网络就是由通信线路互相连接的许多自主工作的计算机构成的集合体。

2 计算机网络发展历程

2.1 计算机网络发展进程。

计算机网络一共经历了4个发展阶段:第一代计算机网络———远程终端联机阶段;第二代计算机网络———计算机网络阶段;第三代计算机网络———计算机网络互联阶段;第四代计算机网络———国际互联网与信息高速公路阶段。其中因特网的基础结构经历了三个阶段的演进, 这三个阶段在时间上有部分重叠:从单个网络ARPAnet向互联网发展;建立三级结构的因特网;多级结构因特网的形成。

2.2 计算机网络的应用。

从计算机网络发明至今, 发展迅速的原因主要是计算机网络能够在多方面进行应用:a.商业运用, 可以实现资源共享最终打破地理位置束缚, 提供强大的通信媒介并提供电子商务活动和通过Internet与客户做各种交易。b.家庭运用, 个人之间的通信, 交互式娱乐和广义的电子商务。c.移动用户。

3 计算机网络的发展现状

现如今, 互联网已经发展成了覆盖全球大多数国家, 近30亿用户, 在人们的生产生活中都发挥着重大的作用。作为迄今为止唯一投入商业运行的计算机网络, 其本身有着不小的意义。研究互联网的发展历程不难发现, 互联网之所以能够这么成功, 除了其运营决策得当外, 最主要的是其网络结构适应了当时发展的需要, 但是随着科技和需求的发展, 时至今日, 其原有网络结构的一些问题逐渐暴漏出来了, 下文将就这些问题进行介绍:a.对于流通于互联网上的资源控制不足, 现有的互联网体系结构是在上世纪70、8 0年代建立的基础上建立起来的, 采用统计复用和存储转发为基础的分组交换技术, 而网络除了提供数据传输服务外并不提供其他的服务, 其他的一些复杂功能则是通过使用功能网络端系统来进行实现的。在当时, 并未对网络资源的控制和管理引起重视, 也并未建立起相应的高效和可行的资源控制方案, 因此在为上层应用提供的服务质量支持方面有所欠缺。特别是这些年来, 这一方面的不足日益显现出来。b.互联网的服务定制能力不足, 原先的计算机网络注重于研究网络系统的连接、传输等相关的功能。然而, 随着互联网在人们生活中所起作用的转变, 其由原来的单纯的通信的载体演变成现在的全球信息化的工具, 其原来所关注的连接、传输等相关的功能已经无法满足现在的需求。因此这种在互联网的服务定制能力方面的不足将会大大影响其发挥在信息化方面的作用。c.用户管理困难, 由于早期的互联网建设时并未考虑其无信任环境下的在用户方面的管理, 造成互联网发展到现在, 对用户的管理几乎无法进行。现如今, 由于当时并未对用户管理问题多加重视并且未制定出合理的保障方案, 造成现在随着互联网用户的增多, 规模的扩大以及其在世界范围内的应用, 造成互联网的信任问题日益突出。以上这些都为下一代的网络体系建设提供的良好的素材。根据研究资料说明, 在制定相关的网络体系参考模型时是在20世纪70、80年代, 但是以WWW技术为主体的应用在20世纪90年代才开始广泛应用起来, 由于制定网络体系时所处的时间与大规模应用时间相差十几年, 因此这必将会造成规则设计和实际的脱节, 因此这是当今互联网所面临问题的主要原因。因此, 在找到造成网络体系不足元凶的基础上, 研究人员一方面在想办法对原有的网络进行修补, 另一方面也在考虑研发新一代的网络体系结构。结合近些年来各国在上述两方面的努力, 总结出了以下两个崭新趋势:a.增强网络核心功能。b.下一代的网络体系应当注重在服务上下功夫, 因为从服务角度来研究下一代网络已经为互联网带来了新的发展契机。

4 应当从原有网络方面进行研究从而全方位重新认识计算机网络体系结构

从以上的分析中我们已经知道, 由于制定网络体系的时代和网络大规模应用的时代之间相差十几年, 因此在制定和应用方面存在着严重的脱节, 从而造成今天的互联网的网络体系结构和现在的应用环境之间造成矛盾重重。因此我们需要在回顾计算机网络发展历程的基础上结合当今网络的发展现状, 为下一代的网络建设提出指导性的意见。但是, 虽说人们已经意识到了这一点, 但是怎样系统、完整、全面地理解和把握网络体系结构这个抽象的概念呢?我们应当从以下几个方面进行解释:a.网络体系结构在所有的计算机网络研究中属于基础性研究。b.需要将网络体系结构和一个具体的网络系统进行结合进行研究。c.网络体系结构是一个抽象的概念, 它是落实于某一种具体的网络系统全部研究的总体概括, 它是一个抽象的概念而非具体的。d.在不同的时期, 网络体系结构关注的重点并不完全相同。以上就是网络体系的概念的新的总结, 我们需要在总结以前发展的基础上, 切实做好下一代网络体系的研究发展工作。

结束语

本文结合计算机网络发展的历程, 提出了计算机网络发展的现状以及在发展方面的不足, 并对研发中的下一代网络体系提出了新的认识, 从而为做好下一代新的网络体系做好的理论方面的储备。

参考文献

[1]李丽芬.计算机网络体系结构[M].北京:中国电力出版社, 2006, 2.

[2]Larry L.Peterson, Bruce S.Davie.Computer Networks:A Systems Approach, 3rd Edition[M].北京:机械工业出版社, 2005, 3.

下一代网络体系结构 篇2

音像、多媒体以及数据传输等业务融合起来形成下一代网络体系结构, 这种新的网络体系结构的主要特征有以下几点: (1) 业务开放。随着部件化的逐步发展, 在三大传统网络的基础之上, 将各个功能业务逐步开放, 根据具体的业务需求将功能部件自由组合起来, 从而建设所需要的网络, 这样可以很大程度上缩减成本。这种开放式的体系结构可以达到异构网之间通信的目的[1]。 (2) 业务开放。将业务、承载、呼叫等相互分离开来, 可以使网络中的各个业务独立出来, 从而满足不同的功能需求, 提供灵活的服务。 (3) 协议统一。三大传统网络不可能独自作为网络基础的平台, 将三大网络相互融合势在必行, 加上IP的快速发展, 肯定是IP的统一网络。将传统的网络结构升级为新的三网融合的网络体系结构工作量巨大, 并不是一蹴而就的事情。在传统网络体系结构的基础上, 需要按照功能需求进行分层设计, 从而形成下一代网络体系。分层设计: (1) 传输和接入层:用户接入网络所使用的手段。 (2) 传媒层:数据信息从传输接入层接收到后, 转换为与网络兼容的无差别数据信息。 (3) 处理层:控制处理低层的业务流。 (4) 应用和业务层:提供面向应用的业务和服务。

软交换技术要求尽量简单的应用和控制需求, 它能够提供各个业务的呼叫基本控制功能, 将应用设计在业务和应用层。

二、相关协议

一个网络体系结构的生存规则指的就是协议, 当前现有的网络协议主要有:非对等协议—H.248/MEGACO网关媒体控制协议, 对等协议—BICC、H.323、SIP等, 其中SIP凭借易拓展、通用、简单等优势, 成为发展的主流协议。

(1) H.248/MEGACO。/MEGACO和H.248属于网关媒体控制协议, 它的一端针对软交换同, 另一端是媒体终端和网关。H.248来自于ITU—T, 而MEGACO则来源于I-ETF, 它是完善和改进了MGCP得来的。IETF和ITU—T的网关媒体控制协议的设计过程是大致相同的。 (2) SIP。SIP也来源于IETF, 与H.248/MEGACO的设计思想不同, 它主要是吸收WEB的相关经验, 尽量减少网络系统中设备的复杂性。SIP协议是基于文本格式的C/S模式, 用文本来体现编码、语义以及语法等, 服务器对于终端发出的请求只做响应, 而没有其他的处理。SIP协议的应用主要是针对终端、软交换以及服务器等。

三、安全性

软交换的安全性问题并没有得到很好地解决, 寻找与SIP协议匹配的安全策略, 供大部分用户使用是必须的。SIP的安全性问题主要体现在以下几点: (1) 恶意注册。注册一个新用户需要SIP消息中包含的头字段来完成, 入侵者将注册信息进行修改, 用涉及记录地址的内容替代授权信息, 就会构成恶意注册, 这样就会严重损害合法注册人的利益。 (2) 服务器欺骗。处理业务在客户端进行时, 需要连接相应的服务器, 从而发出请求信息。但是客户端和服务器只知道请求信息的地址, 这样就会产生漏洞, 入侵者冒充服务器, 拦截客户端传来的信息。 (3) 会话切断。用户之间相互对话, 其中任何一方都能够发送终止对话的请求信息。当双方进行正常通话时, 恶意的第三方就会截获相关的会话参数, 破解信息内容, 在双方正常会话时, 插入一条终止会话的请求, 某一方受到请求信息, 以为来自于正常对话的另一方, 则就会终止会话。

SIP中数据的安全保护主要依靠以下3种加密方式[2]: (1) 在消息头及消息体的两个端口加密, 这样入侵者没法根据发送的请求追踪路由地址。 (2) SIP划分为多区域加密, 主要是因为消息头的实现方式是代理, 因此不能加密头域, 将请求划分为多个区域, 就会使入侵者很难辨析出消息的发送者和响应者。中间部分的代理则可以知道谁是发送者谁是响应者, 如果攻击网络流量, 就可以辨析出消息的请求与相应, 所以并不完善。

四、小结

本文将下一代网络体系结构和软交换的特点结合起来分析, 并且分析了相关的协议, 并且分析了软交换技术协议中存在的不安全因素, 进而提出了应对措施。

基于软交换技术的网络体系结构的发展正处在进行阶段, 所以对于软交换技术的在穿越私网、移动性以及收费等方面的研究也随之取得一定的进展。

参考文献

[1]夏海涛.新一代网络管理技术.北京邮电大学出版社, 2002

浅谈下一代网络 篇3

一、下一代网络的网络支持

1. 宽带接入:

NGN必须要有宽带接入技术的支持, 因为只有接入网的带宽瓶颈被打开, 各种宽带服务与应用才能开展起来, 网络容量的潜力才能真正发挥。GPON技术和城域网技术是NGN种不可忽视的部分。2.弹性分组环:弹性分组环是面向数据 (特别是以太网) 的一种光环新技术, 使用双环工作的方式。, 可扩展, 采用分布式的管理、拥塞控制与保护机制, 具备分服务等级的能力。能有效地分配带宽和处理数据, 从而降低运营商及其企业客户的成本。使运营商在城域网内通过以太网运行电信级的业务成为可能。分组设备的引用, 使得城域网环路保护, 提高网络性能, 提升客户感知, 降低网络成本, 优化了宽带网络。3.城域光网:城域光网是代表发展方向的城域网技术, 其目的是把光网在成本与网络效率方面的好处带给最终用户。城域光网是一个扩展性非常好并能适应未来的透明、灵活、可靠的多业务平台, 能提供动态的、基于标准的多协议支持, 同时具备高效的配置能力、生存能力和综合网络管理的能力。4.软交换:为了把控制功能与传送功能完全分开, NGN需要使用软交换技术。软交换的概念基于新的网络分层模型 (接入与传送层、媒体层、控制层与网络服务层四层) 概念, 通过各种接口协议, 使业务提供者可以非常灵活地将业务传送协议和控制协议结合起来, 实现业务融合和业务转移, 非常适用于不同网络并存互通的需要, 也适用于从话音网向多业务多媒体网的演进。

随着NGN技术本身在不断发展, 协议本身也需要根据业务需求不断完善和补充。不同厂家采用的协议不行同, 而设备要实现互联互通, 这是关键问题。互联互通至少包括3个方面的内容:水平互通、垂直互通以及信令网间的互通。

二、三网融合

三网融合是指电信网、广播电视网、互联网在向宽带通信网、数字电视网、下一代互联网演进过程中, 三大网络通过技术改造, 为用户提供语音、数据和广播电视等多种服务。数字技术的迅速发展和全面采用, 使电话、数据和图像信号都可以通过统一的编码进行传输和交换, 所有业务通过不同的网络来传输、交换、选路处理和提供, 并通过数字终端存储起来或以视觉、听觉的方式呈现在人们的面前。

1、宽带技术。

宽带技术的主体就是光纤通信技术。网络融合的目的之一是通过一个网络提供统一的业务。若要提供统一业务就必须要有能够支持音视频等各种多媒体 (流媒体) 业务传送的网络平台。宽带技术特别是光通信技术的发展为传送各种业务信息提供了必要的带宽、传输质量和低成本。作为当代通信领域的支柱技术, 光通信技术正以每10年增长100倍的速度发展, 具有巨大容量的光纤传输是“三网”理想的传送平台和未来信息高速公路的主要物理载体。。

2、软件技术。

软件技术是信息传播网络的神经系统, 软件技术的发展, 使得三大网络及其终端都能通过软件变更最终支持各种用户所需的特性、功能和业务。

3、IP技术。

通过IP技术在内容与传送介质之间搭起一座桥梁。IP技术 (特别是IPv6技术) 的产生, 满足了在多种物理介质与多样的应用需求之间建立简单而统一的映射需求, 可以顺利地对多种业务数据、多种软硬件环境、多种通信协议进行集成、综合、统一, 对网络资源进行综合调度和管理, 使得各种以IP为基础的业务都能在不同的网络上实现互通。光通信技术的发展, 为综合传送各种业务信息提供了必要的带宽和传输高质量, 成为三网业务的理想平台。

三、通信网未来发展方向

在现有的三网融合的基础上加入电网, 成为四网融合。“在国家十二五规划中, 明确提出了重点发展智能电网的规划, 可见智能电网发展的前景很好”, 据胡红升介绍, 在做智能电网概念的初期, 国家电网曾经提出四网融合的概念, 即广播电视网、互联网、电信网和智能电网四网融合。尽管最终没能进入三网融合方案, 但是, 国家电网的电力光纤入户概念即变身为“在实施智能电网的同时服务三网融合、降低三网融合实施成本的战略”。国家电网已经和包括中国联通、中国移动、中国电信等在内的运营商合作, 推出各项服务, 包括无线电力抄表、路灯控制、设备监控、负荷管理、智能巡检、移动信息化管理。拿路灯控制来说, 随着城市规模不断扩大, 路灯管理和维护成为重要的问题, 电信运营商无线路灯监控方案可实现终端自动报警, 报警信息实时传送到负责人手机;控制中心系统遥测;路灯防盗报警;路灯根据天气、季节以及突发情况远程调控;电压、电流等参数采集等功能, 可帮助市政部门有效提高道路照明质量, 保证城市整体亮灯率和设备完好率, 避免电能、人力物力无谓浪费。

四、总结

随着通信网络的数据化, 光纤化, 宽带化, 无线化, 分组化, 标准化, 综合化, 智能化的等多方向发展, 现代的接入网更趋向综合化, 现代通信网已影响了我们的生活, FTTH, 无线接入网, 下一代网络已经渗透到每家每户, 影响了我们的生活。三网融合业务也在大力推广, 随着无线接入网4 G.5G的大量投入使用, 接入网的应用将会越来越广泛。

参考文献

[1]陈学梁《大话核心网》电子工程出版社

下一代网络技术 篇4

上世纪末, Internet技术迅猛发展, IP电话、网络视频等具体业务也逐步向传统电信领域延伸, 在巨大的竞争压力下, 电信产业提出了关于下一代网络 (NGN-next generation network) 发展的新的构想。

1 NGN的概念及其总体架构

1.1 NGN的概念及特点

NGN泛指不同于目前一代的, 大量采用创新技术, 以IP为中心, 支持多种业务, 接口开放, 具有服务质量保证和支持通用移动性的网络, 是通信网络的下一代发展目标。

ITU (International Telecommunication Union, 国际电信联盟) 对于NGN定义如下:“NGN是一个分组网络, 它提供包括电信业务在内的多种业务, 能够利用多种带宽和具有QoS (quallity of service, 服务质量) 能力的传送技术, 实现业务功能与底层传送技术的分离;它提供用户对不同业务提供商网络的自由接入, 并支持通用移动性, 实现用户对业务使用的一致性和统一性”。

NGN是一个综合性的、开放性的平台, 具有以下特点:

(1) 开放性分布式的网络结构。

NGN采用软交换技术, 将传统交换机的功能模块分离为独立的网络部件, 各个部件可以按相应的功能划分各自独立发展。部件间的协议接口基于相应的标准。部件化使得原有的电信网络逐步走向开放, 运营商可以根据业务的需要自由组合各部分的功能产品来组建网络。部件间协议接口的标准化可以实现各种异构网的互通。

(2) 网络发展由业务驱动。

业务与呼叫控制分离, 呼叫与承载分离。分离的目标是使业务真正独立于网络, 灵活有效地实现业务的提供。用户可以自行配置和定义自己的业务特征, 不必关心承载业务的网络形式以及终端类型。使得业务和应用的提供有较大的灵活性。

(3) 基于统一协议的分组网络。

近几年随着IP技术的发展, 人们认识到电信网络、计算机网络及有线电视网络将最终汇集到统一的IP网络, 即人们通常所说的“三网”融合大趋势, IP协议使得各种以IP为基础的业务都能在不同的网上实现互通, 成为三大网都能接受的通信协议。

1.2 NGN的体系结构

NGN网络架构包括接入和传输层、媒体层、控制层、业务层。

(1) 接入和传输层

将用户连接至网络, 集中用户业务将它们传送至目的地, 包括各种接入手段。

(2) 媒体层

将信息转换成为能够在网络上传送的格式。

(3) 控制层

包含呼叫智能, 主要完成各种呼叫控制, 负责相应业务处理信息的传送。

(4) 业务层

在呼叫建立的基础上提供多种增值业务。

2 支撑NGN的主要技术

支撑NGN的主要技术包括软交换技术、高速路由/交换技术、大容量光传送技术和宽带接入技术等。其中软交换技术是NGN的核心技术。

(1) 软交换 (Softswitch) 技术

软交换的概念最早起源于美国。用户采用基于以太网的电话, 通过一套基于PC服务器的呼叫控制软件, 实现交换机功能。受其启发, 业界提出了这样一种思想:将传统的交换设备部件化, 分为呼叫控制与媒体处理, 二者之间采用标准协议且主要使用纯软件进行处理。于是, 软交换 (Softswitch) 技术应运而生。

(2) 高速路由/交换技术

高速路由器处于NGN的传送层, 实现高速多媒体数据流的路由和交换, 是NGN的交通枢纽。

NGN除了处理大容量、高带宽的传输、路由和交换以外, 还必须提供大大高于目前IP网络的服务质量。IPv6和MPLS提供了这个可能性。

NGN将基于IPv6协议。IPv6相对于IPv4的主要优势是:扩大了地址空间, 提高了网络的整体吞吐量, 服务质量得到很大改善, 安全性有了更好的保证, 支持即插即用和移动性, 更好地实现了多播功能。

MPLS是一种将网络第三层的IP选路/寻址与网络第二层的高速数据交换相结合的新技术。它集电路交换和现有选路方式的优势于一体, 能够解决当前网络中存在的很多问题, 尤其是服务质量和安全性问题。

(3) 大容量光传送技术

光纤传输:NGN需要更高的速率, 更大的容量。但到目前为止, 能够看到的, 并能实现的最理想的传送媒介仍然是光。因为只有利用光谱才能带来充裕的带宽。光纤高速传输技术现正沿着扩大单一波长传输容量、超长距离传输和密集波分复用 (DWDM) 系统三个方向在发展。

光交换与智能光网:只有高速传输是不够的, NGN需要更加灵活、更加有效的光传送网。组网技术现正从具有分插复用和交叉连接功能的光联网向利用光交换机构成的智能光网发展, 即从环形网向网状网发展, 从光-电-光交换向全光交换发展。智能光网能在容量灵活性、成本有效性、网络可扩展性、业务提供灵活性、用户自助性、覆盖性和可靠性等方面, 比点到点传输系统和光联网具有更多的优越性。

(4) 宽带接入技术

NGN必须有宽带接入技术的支持, 其中主要技术有高速数字用户线 (VDSL) , 基于以太网无源光网 (EPON) 的光纤到家 (FTTH) , 自由空间光系统 (FSO) 、无线局域网 (WLAN) 等。

3 NGN的主要协议

NGN的主要协议都已制定完成, 下面简要介绍几种主要协议:

(1) MGCP协议

MGCP (Media Gateway Control Protocol—媒体网关控制协议) 是由IETF的MEGACO工作组定义的。在软交换系统中, MGCP主要用于从功能的角度定义软交换和媒体网关或软交换与MGCP终端之间的行为, 软交换通过此协议控制媒体网关终端上的媒体/控制流的连接、建立和释放。MGCP实现简单, 但其互通性和支持业务的能力有限。

(2) H.248/MEGACO协议

H.248/MEGACO协议是由IETF的MEGACO工作组制定的, 它提供了控制媒体网关终端上的媒体/控制流的建立、连接、释放的命令与保证这些命令执行的机制, 同时也可以携带一些随路呼叫信令。 H.248/MEGACO功能灵活、支持业务能力强, 而且不断有新的附件补充其能力, 得到了广泛的厂商支持, 是目前媒体网关和软交换之间的主流协议。

(3) SIP协议

SIP (Session Initiation Protocol—初始会话协议) 主要是为互联网上的多媒体电视服务的, 用于建立互联网主机之间的会晤 (session) 。SIP协议是一种基于UDP/IP技术的应用层协议。SIP是完全基于文本的明文协议, 最大的特点是仅需利用已定义的消息头字段, 对其进行简单必要的扩充就能很方便地支持各项新业务和智能业务, 具有很强的灵活性和扩充性。SIP协议已被广泛接受为包括3G移动多媒体在内的多媒体业务与应用的核心协议。

4 NGN在国内的发展

NGN在国内的发展经过了两个阶段:初步试验期和快速发展期。

中国网通从2001年2月开始试验, 2001年底在北京、杭州、广州、宁波等地建设商用试验网;中国铁通于2002年3月开始其软交换商用试验网建设工作, 目前已开始试运营;中国电信也于2002年初开始在广州、深圳、上海、杭州四城市进行NGN试验。

2005年软交换技术在固定电话网 (PSTN) 改造中的广泛应用标志着NGN在国内进入了快速发展期。从2008年开始, 全国范围内将基本停止电路交换网的建设。2010年前后, 将完成电路交换网转型, 形成以分组交换为主、电路交换为辅, 软交换、IMS (IP多媒体子系统) 、PSTN共存的目标网络架构。

5 结束语

总的来说, 从现有的网络到NGN的演进将是一个不断摸索、不断改进的长期过程。随着业务需求以及技术的迅猛发展, NGN的内涵也会不断扩大和改变, 推陈出新是通信网络发展的永久动力。

参考文献

[1]陆力, 张鹏生, 张华, 等.NGN协议原理与应用[M].机械工业出版社, 2004.

下一代有线网络的构建 篇5

中国有线运营商经过了数十年的发展，正在进入一个新的时代，这期间有线运营商将被推入市场，直面核心业务的竞争和市场对企业化运作的考量。如何完成下一代有线运营商的转变是我们每位广电同仁迫切需要考虑的问题。

下一代有线运营商的核心竞争力在哪里?我认为应该打造出一个以交互视频作为核心的业务模式，包含成熟的商业模式、新一代的网络以及杀手级的应用。本文主要探讨的内容是如何构建新一代的网络。

如果把交互式视频局限在VOD和时移电视上，我们看不到明朗的前景，只有在网络中包含了各种元素的情况下才会找到新的机会。所以只有具备融合特点的新一代网络才会产生新的机遇。

数字化整体转换和宽带接入是新一代网络建立的基础。估计在今后的2到3年之内，中国的大部分有线运营商会完成电视的数字化整体转换，发达地区会完成大部分的接入网络双向改造以支持宽带应用。在这段时间里，有线运营商将充分从ISP运营中吸取双向业务运作经验，从数字化整体转换中积累数字视频运作经验。

新一代的网络就是把这两股动力形成合力，支持现有交互视频业务，进而去拓展新的交互视频应用，这是从量变到质变的关键一步。

2网络融合剖析

新一代网络就是构建一个融合的平台，所有的业务都通过这个网络平台部署。业务包括已知的业务和未知的业务。

我们为有线运营商网络的融合提出了“立足目前、放眼未来”要求，它需要我们构建这样一张区别于以前的骨干网络：

(1) 完全的双向网：这是有线运营商业务模式从单向到双向转变对骨干网络的必然要求。

(2) 持续的高带宽：视频服务的部署是需要足够的带宽作为保证的，如果说数据业务是以M作为单位部署的，广播视频就是以G作为单位部署的(假设200个频道包含高清和标清)，今后的双向业务将是以10G作为单位部署的(假设20万用户，10∶1的点播比)。面对爆炸式的带宽需求，我们需要构建的骨干网络具备支持持续高带宽扩充的能力。

(3) 十分的灵活性：杀手级应用可能已经出现、可能还在孕育中、可能南橘北枳，这个“可能”使得多少有线运营商犹豫不定、踌躇不前、最后贻误时机。构建一个具备十分灵活性的骨干网络，既能承载一般应用，又能试验各种新的应用，还能在适当时机完成对新应用的快速部署。时间和投资都能够做到最小化。

到底何种技术能够担当下一代骨干网络的主要角色呢?我认为是“IP+DWDM”。

密集波分复用(DWDM)为一种传输技术，能够提供骨干网络持续的带宽，现在的DWDM的传输容量大多>320G，注意，320G的带宽是通过32个波×10G计算出来的;32个波只占用了DWDM系统的一个C波段，还有L波段和R波段没有用到。DWDM作为传输系统，还具备了强大的通道保护功能。

相比之下，SDH系统一般只能支持到10G，再要增加带宽就得动网络结构(增加骨干链路)，不具备很强的扩展性，所以SDH网络不适合作为新一代网络的承载平台，可以考虑作为纯业务网络使用。

DWDM网络还可以缓解有线运营商光纤资源调度的压力。如果使用裸光纤，首先光纤的备份比较繁琐;而且每一次网络升级，都会碰到光纤链路不够、距离过长、衰减不够等问题。所以如果在一个规模不大城区中，可以考虑一下裸光纤;在省网、市到县以及较大规模的城区，通过裸光纤构建传输平台的做法是不可行的。

传统DWDM传输平台的成本比较高，这不光体现在初期投入上，还体现在后期扩容上。下一章我会介绍ROADM技术和CrossPonder技术，能从根本上降低DWDM传输平台在各个建设阶段的成本。另外，DWDM网络随着普及程度的提高，产生规模效应，价格已经明显呈下降趋势。

IP技术作为业务承载平台，最核心的优势在于它的无连接特性，形成了很强的灵活性，适应各种业务的部署。通过IP传输各类业务正在被越来越多的运营商采纳，首当其冲的就是电信;有线运营商的视频应用也将越来越趋向于通过IP进行承载。

所以IP+DWDM将是下一代有线网络骨干的核心技术，它使得网络骨干具备了双向、高带宽和灵活性的特点，同时也不排斥其他技术如SDH、ATM等，实现了真正意义上的网络融合。

下一章探讨的问题是如何通过IP+DWDM技术来构建下一代骨干网络。

3构建下一代骨干网络

如何构建下一代骨干网，我们可以参考如图1所示的模型。

从图1我们可以看到，下一代网络是一个开放式的平台，他以IP+DWDM作为核心单元，兼容了SDH/MSTP，同时支持以太网、HFC以及其他接入方式，实现了真正意义上的融合，以IP替代SDH的核心交换，以DWDM替代SDH的核心传输。虽然接入层只是下一代网络中的一部分，但却是投资最大的，也是最艰巨的任务。

3.1IP+DW DM网络的构建

传统DWDM网络主要部署在国家级干网和省级干网中，来解决长途光纤链路调度的问题。构建这样的DWDM网络其建设成本和建设难度是巨大的，主要体现在元器件为远距离传输考虑，价格昂贵;同时传统DWDM缺乏灵活性的考虑，每一路特定的波长对应特定的一组部件，部件不能共享，容易造成调整难度增大和维护成本上升。

I P+D W D M网络采用可重新配置的光复用器(ROADM)技术和Xponder模块应用在省到市、市到县和大型城域网的范围内，降低了建设成本和难度，同时提供了适合于IP业务的极高灵活性特点，使得IP+DWDM网络结合更加紧密。

ROADM技术通过全波长过滤器+全波长解复用器实现针对任意波长的调度，如图2所示。

通过ROADM技术可以实现端到端的波长灵活调度，用户可以在任意一个节点上调度到所需要的波长，如思科公司的ROADM技术可以实现32波长的任意调度。

实现ROADM技术的部件不针对特定的波长，可以共享备件和统一规划，所以当用户对波长需要较大时，ROADM技术可以大大节省成本。

随着技术的不断演进，ROADM凭借其高度灵活的波长调度机制，进一步可以帮助运营商实现高度灵活的DWDM拓扑。如图3, ROADM技术通过实现全交叉的波长交换，能够帮助运营商构建双环相切的DWDM网络。甚至更为复杂的网络。

另外，以往的DWDM系统是一个独立于IP网络的系统，在光层面完成复用，不能感知IP服务和完成IP复用，造成DWDM端口成本高(端口成本直接和波长挂钩)，并且利用效率低，不适合在业务量密集的区域使用。

Xponder模块和Muxponder新型模块是传统DWDM OTU模块的演进，在完成传统的OTU功能的同时，还能够提供上层的复用甚至交换的功能。

Muxponder提供SDH复用功能，同时提供多个客户端输入(支持SDH、以太、存储等)，把输入信号复用到1个2.5G或者10G的波长通道中去。

XPonder提供以太网复用和交换功能，同时提供多个客户端输入(GE或者10GE)，把输入信号复用到1个10G的波长通道中去，并能够同时完成本地交换，如图4所示。

通过ROADM和新型的Xponder和Muxponder模块，使得在业务密集的省到市、市到县和大型城域网的范围内部署IP+DWDM系统成为可能，图5就是一个通过新型的IP+DWDM系统部署数字电视广播的实例。

IP+DWDM网络构架适合于省到市的传输和市到县的多业务传输，相对于MSTP, IP+DWDM的构架能够提供足够的带宽和灵活性，为数字电视、数据业务和交互视频业务提供承载平台。

3.2案例分析

近几年通过IP+DWDM构建骨干网络的有线运营商越来越多，典型的代表主要包括美国和欧洲的各大有线运营商，这其中的主要原因是新兴的视频应用的部署和普及(高清、PVR和VOD)对高带宽和灵活性的需求。

美国第一大有线运营商Comcast是其中的代表，从2002年起，Comcast逐步建设起一张覆盖全美的IP+DWDM的骨干网络，图6是Comcast城域骨干网的概况。

Comcast的城域网络覆盖的区域为一个州，相当于中国的省级网络。由于交互式视频、交换式数字电视(SDV)、宽带服务、VoIP业务等公众业务需求不断增大，Comcast构建了这张以Cisco 7609路由器+ONS15454 DWDM为主的城域骨干网;使得网络具备了无限拓展、自我创新的能力;适应了公众业务的拓展需求，并且通过该网络部署了XDV、Targeted advertise、personalized TV等新的应用。

4总结

下一代网络体系结构 篇6

随着IPv4地址的耗尽,以及网络接入用户的不断庞大,向IPv6过渡已经是势在必行,IPv6作为新一代的网络协议,不仅具有海量的IP地址资源,而且由于其数据包可以更大,从而实现更可靠、更快速地进行数据的传输,同时通过在数据报头中添加流标记和业务级别大大地改善Qo S,且任何设备接入IPv6后即可获取相应的设置,大大地简化用户操作,满足移动性等要求,最重要的一点是,IPv6通过IPSec实现更高的安全性,实现了网络层的安全,但是这种安全并不绝对的,在新一代互联网中的安全威胁,还需要这个领域的专家找到完整的解决方案。

2 I Pv6关键技术研究

由于现阶段几乎所有的主流应用都是基于IPv4网络协议开发的,而新的IPv6协议与IPv4协议并不兼容,因此为了保障业务的连续性,也为了保障最终用户的上网体验,两个网络的并存需要持续很长一段时间,因此两网如何实现过渡和互通,成为运营商、数据中心和内容提供商关注的焦点,以下将就目前现存且常用的IPv4向IPv6过渡的几项关键技术作简单介绍。

2.1 双栈技术

所谓双栈技术,顾名思义,就是同时支持IPv4和IPv6两种协议的网络,即从用户端到业务终端连接的所有设备都需要支持两种协议。当两个端点通讯时会采用相应的协议进行数据的传输。双栈的解决方案同时支持IPv4与IPv6两种协议,无需考虑两者互通的问题。然而对于大型网络来说,由于涉及到产品的升级,甚至是需要更新换代,会耗费大量的财力人人力,因此可行性相对比较小,部署与规划都比较复杂,由于有两套协议,因此大大增加了网络管理人员的工作难度,另外由于主机上都需要支持两份协议,因此会消耗更多的内在和更多的CPU。此外,由于用户并未真正地迁移到IPv6网络上,因此对于IPv6的推广与发展直到了一定的阻碍作用。

2.2 翻译技术

翻译技术通常所指的就是NAT-PT,一般是在IPv4与IPv6的网络边缘部署翻译网关设备,实现IPv4与IPv6数据包的报文的翻译和转换,从而使IPv4用户可访问IPv6资源,同时IPv6用户也可去访问IPv4的资源。翻译网关的部署相对简单,且由于实现了多个IPv6的Host可以同时共用一个IPv4地址,一定程度上解决了地址枯竭的问题。然而由于网关是基于应用层的,针对不同的应用需要开发不同的ALG,而且现有的网络应用层出不穷,如果大范围的采用此方案,就需要实时的去开发满足各类应用的网关,成本较大。

2.3 隧道技术

隧道技术即将IPv4的数据包封装在IPv6数据包中进行传输,反之亦然,实现数据包在不同的网络中的顺利传送,隧道技术中包含6PE、6over4、隧道代理、ISATAP等多种方式。只要部署了足够多的隧道服务器,并有足够的网络带宽支撑,隧道的实现即是一种软件配置的过程,技术实现方式简单,能协助网络管理人员快速实现新一代协议的部署,并实现网络的优化。然而由于数据包需要封装和解封装,因此隧道设备一般都是成对部署的,与双栈方式相同的一个弊端就是不适用于大型网络的过渡。

2.4 Socks64技术

这种技术的基本原理是通过客户端与网关的通信,来实现IPv4与IPv6主机之间的互联互通。其中网关必须同时支持IPv4与IPv6两种协议栈,即在网关处需要同时接入IPv4与IPv6网络,来自客户端的数据包,无论是IPv4还是IPv6的,网关都可以进行处理,并转发至相应的目的端。由于网关来进行协议的转换与处理,因此一旦在大型网络中部署,必须要求这个网关的吞吐量、处理性能达到一定的标准,且在网络过渡时期,网关一般部署在网络边缘,便于能够更高效地处理用户请求。这种解决方案的优点即部署网关成功后,无需考虑用户端发起请求的类型,都可进行数据转发。但是客户端的推广安装成为一大问题,且由于是客户端与网关通讯的模式,因此会出现一定的性能瓶颈。

3 I Pv6网络安全研究

在传统的IPv6网络体系架构里,网络安全的策略,是在应用层上进行安全的防范,或对邮件进行加密,在访问网页时进行数据加密,并未对网络层进行处理。在1995年,IETF制定了在IP层的安全规范,即IPSec(IP Security)。由于IPv6集成了IPSec协议,因此在IPv6的安全体系架构中,IPSec便是核心。

3.1 I Pv6网络安全优势———I PSec

IPv6一个最大的优势就是,集成了IPSec,也就意味着它能够提供完备的安全服务,包括数据来源的强认证,保障数据传输的机密性和完整性,同时也可以进行数据的访问控制,抵御数据重复发送等攻击。如图1所示,为IPSec的体系结构,包含三个基本的协议,其中AH协议(验证头)用于保障数据的完整性和验证数据的来源;加密功能和机制是由ESP协议(封装安全载荷)来提供;同时ISAKMP协议(即密钥管理协议)主要用于实现前两种协议在交流时信息安全。

IPSec的实现方法是比较多样化的,一种方式是用硬件网关实现,一种方式是直接在主机上实现。无论采取哪一种方式,当IP数据包进入或是离开支持IPSec的接口时,相应的模块将以安全策略库中的设置来判断如何处理这个数据包,如图2所示。处理的方式包括:旁路、舍弃或者是根据安全关联处理。这种方式类似于IPv4网络中实现访问控制的防火墙功能,只需设置相应的规则库,即可对相应的数据包进行过滤处理。

3.2 I Pv6网络安全优势———地址可溯源

目前采用的IPv4地址协议,存在的最大问题,就是使用了大量的私有地址,通过NAT技术,多个私有地址,可能通过同一个公网IP去访问互联网,这种情况,就存在一个安全隐患,如果某一个用户发布了一条反动信息,或者非法言论,无法快速定位到IP,给网络管理人员造成很大的工作难度。IPv6海量的IP地址,完全摒弃了私有地址的概念,可为每一个终端分配一个单独使用的IP地址,一旦出现问题,将快速查找到源地址,保障网络的健康。

3.3 I Pv6网络安全优势———反侦察能力

大部分的黑客或者恶意程序,都会通过扫描某个子网来最终确定攻击的IP地址、应用和服务,而IP地址量相当大,可大大降低网络侦察的能力,有效地防范类似的网络攻击。

4 I Pv6网络可能存在的问题

4.1 无法解决网络层以上的安全问题

IPv6集成的IPSec功能,只是解决了网络层的安全问题,面对网络层以上的攻击,IPv6仍然无法解决的,如垃圾邮件、恶意代码、蠕虫、系统漏洞等攻击,还是需要相应的防病毒安全厂家来解决。

4.2 无法处理数据解密过程的攻击

IPv6采取对数据的加密,但是用户在正常接收数据后,需要解密,如何攻击者在解决过程中添加相关的干预手段,加长解密的时间,这将会消耗大量的系统资源,甚至可能造成系统瘫痪。

4.3 加密方面的安全隐患

IPSec中采用了加密算法和密钥的管理。对于加密算法,没有哪一个加密算法能够确保其是绝对安全的,这是本身的局限性,另一方面,对于密钥的管理,由于依赖于PKI,而此项技术目前还未在国际上形成统一完善的标准,因此安全性是否可靠也有待考证。

5 结束语

向IPv6的迁移是大势所趋,各项过渡技术都已发展成熟,并形成了相应的标准,但是均存在优缺点,需要将各项技术进行去长补短,综合利用,设计出一种通用易行的解决方案。对于IPv6的网络安全问题,本身其已经在网络层建立了一层安全壁垒,但仍存在其它方面的安全威胁,且在过渡过程中,对IPv4的网络体系中的设备也构成了一定的挑战。因此,无论是在IPv6的关键技术方面,还是在网络安全方面,都还需要业界人士的不断研究与验证,以实现平滑、安全的网络迁移。

参考文献

[1]Christian Huitema.新因特网协议IPv6(第二版).清华大学出版社,1999年4月12日出版:98-11.

[2]Pete Ldshin著.IPv6详解.北京:机械工业出版社,2000年4月1日出版:69-79.

[3]李津生,洪佩琳著.下一代Internet的网络技术.北京:人民邮电出版社,2001年3月出版.

[4]中科网威,许榕生,刘宝旭,毕学尧等.入侵防范研究的展望.互联网世界,2001年第2期.

下一代网络准入控制技术研究 篇7

近20 年来,信息网络技术发展迅速,在各行各业得到了广泛应用,不仅提高了工作效率,而且方便了日常生活,在推动社会进步和国民经济发展等方面发挥着极为重要的作用。但与此同时,也带来了诸多的信息网络安全问题和压力[1,2]。防火墙、防毒墙、流量清洗系统、Web应用防火墙、入侵防御系统(Intrusion Prevention System,IPS)、入侵检测系统(Intrusion Detection System,IDS)等安全防护设备应运而生,在网络边界构筑了一道道安全防线,起到了一定的防御作用。但是,网络安全威胁不仅仅局限于外部攻击,内部不安全因素的危害性更大。内部不安全因素的最大威胁是终端行为不可控、安全状态不达标、网络接入不规范,接入的终端及其行为不可信、不安全,没有从源头上进行安全防控。因此,网络准入技术成为安全研究的热点,并在网络安全中发挥了主动防御的作用,通过阻挡非法终端和违规应用,保证网络的整体防护和完整性,降低网络安全的脆弱性,进而大大减少网络的可攻击面。

然而,在实际应用中,现有的网络准入技术由于商业考虑或技术壁垒,各自有所偏重[3,4]。同时,网络攻击技术不断更新,手段愈加复杂,安全形势对准入技术提出了更高的要求。事实上,综合以往关于网络安全问题的研究,在完善和提升网络准入控制主动防御技术的同时,在其中融入被动防御技术,能够很好地满足整个网络的安全需求,这也是下一代网络准入控制技术要解决的问题[2,5]。

1 主要问题分析

近年来,网络攻击呈现智能化、系统化、综合化的趋势,新的攻击方式不断涌现,下一代网络准入控制技术应重点关注并解决以下几方面的问题。

1.1 终端信息的全面收集

研究表明,大部分组织和单位通常只了解网络中80% 的设备,且这些设备中约50% 都存在安全或配置问题,现代网络中设备、连接、用户、应用和行为的多样性更加剧了这种复杂性。要在多样化的网络环境中保证网络安全,首先要尽可能多地收集终端信息,全面、准确地掌握在网设备和终端的基本配置、运行状况、异常情况等信息,对网络安全问题及早做出准确判断并进行安全响应至关重要。

1.2 终端大数据的互操作

随着网络攻击方式的隐蔽性越来越强,网络安全态势和异常行为的判定愈加需要将诸多安全因素进行关联。利用丰富的终端信息进行大数据构建,并与网络中各类安全平台进行互操作,是安全判定计算和安全趋势响应的基础。

1.3 在防御高级持续性威胁攻击方面发挥作用

高级持续性威胁(Advanced Persistent Threat,APT)具有高度的隐蔽性[5,6],传统的基于特征库的防护手段很难发现其攻击行为,且其具有潜伏性和持续性,威胁巨大。然而,APT攻击并非不可防御,通过对终端漏洞进行控制、对网络中的异常行为进行监视以及与周边安全设备进行互操作,构筑一套纵深防御的安全体系,可有效降低APT攻击的风险。

2 下一代准入关键技术

2.1 终端信息收集技术

早期的网络准入技术通过客户端收集终端信息,但受客户端与平台之间兼容性等问题的影响,信息收集不全面。通过主动发现和被动发现技术,可以不依赖客户端即可实现现有网络准入技术的许多功能。

2.1.1 被动发现技术

将端口镜像技术(Mirror或Span)应用于下一代网络准入中,通过捕获网络中进出的所有流量,能够发现流量中的设备信息和各种异常行为,尤其是来自内网的终端信息。

2.1.2 主动发现技术

被动的镜像技术并不能发现设备的所有属性,因此下一代网络准入还需要主动向网络中的周边设备进行查询,以获取更多信息。

1)二、三层网络信息发现。通过动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)及地址解析协议(Address Resolution Protocol,ARP),监测并获取设备的数据链路层和网络层信息。

2)第四层和高层网络信息发现。将网络连接端扫描软件(Network Mapper,NMap)应用于下一代网络准入控制,用于探测网络层、传输层甚至是应用层的数据。

3)用户、组织结构及高级属性发现。 通过向网络中的认证服务器(包括活动目录(Active Directory,AD)、轻量目录访问协议(Lightweight Directory Access Protocol,LDAP)、远程用户拨号认证服务(Remote Authentication Dial In User Service,RADIUS)等)主动发起查询请求,可获取必要的应用信息,包括用户和设备信息。

4)安全及网络环境数据发现。向网络设备发起查询,包括防火墙、路由器、交换机、VPN等,通过Syslog、SNMP等接口获取终端设备的实时安全数据和网络环境信息。

2.2 终端大数据构建与互操作技术

关于终端大数据的构建,至少应覆盖以下信息。1物理层信息:包括交换机、VLAN、物理端口、802.1x、设备的共享端口和物理位置等信息;2设备信息:包括IP地址、MAC地址、主机名、设备类型(PC、移动设备、打印机、无线路由、其他附加属性等);3操作系统信息:包括操作系统类型、防病毒软件的更新状态、未打补丁的漏洞、开放的服务、内存中的进程等;4应用程序信息:包括应用程序、版本号、注册表信息、文件信息等;5用户信息:包括用户名、用户组、认证状态、Email地址、角色、部门等;6设备行为信息:包括网络策略、恶意行为以及各种即时行为特征等;7状态信息:包括时间、物理位置、属性、变更情况等。

构建的终端大数据的分享应该是双向的,即实现与以下技术手段/ 工具的互操作。1网络设备:包括交换机、路由器、防火墙、VPN、无线AP、打印机等;2网络服务:包括AD域、LDAP、域名系统(Domain Name System,DNS)、DHCP、RADIUS等;3 终端:包括Windows、Mac、Linux/UNIX、移动设备、虚拟设备等;4终端管理技术:包括补丁管理系统、移动设备管理(Mobile Device Management,MDM)等;5终端防护技术:包括防病毒技术、数据防泄露技术、主机IPS、加密产品等;6安全管理平台:包括安全信息和事件管理(Security Information and Event Management,SIEM)、漏洞评估、IDS/IPS、APT防御产品等。

2.3 缓解APT攻击技术

现今的黑客和网络犯罪明显呈现组织化、专业化的趋势,同时具有明确的目标和针对性。通过构建纵深安全防御体系,能够有效降低APT等攻击的风险[4,6]。

2.3.1 通过漏洞控制减少攻击范围

预先减少可能遭受攻击的范围是缓解APT攻击的有效办法,下一代网络准入控制技术能有效地发现违规终端或网络中的未知系统,可实现以下功能:

1)对违规行为进行告警;

2)把违规终端或漏洞终端从网络中隔离;

3)直接修复或通过第三方系统修复网络中的漏洞及错误的安全配置;

4)确保主机防护软件的安装、更新、正确配置以及正常运行。

当网络中出现未知设备时,网络准入控制系统能够对其进行准确定位。另外,通过网络准入控制提高各种设备和系统的安全水平,有助于减少可被攻击的覆盖面,从而降低总体的安全风险。

2.3.2 监测可疑的网络行为

通常,攻击者一旦攻破某台终端,就会利用这台终端进行扩展攻击。通过对终端异常网络行为进行监测(包括监测非正常端口扫描行为和通过非标准端口进行数据通信的行为),能够及时发现各种异常的大流量操作[4],甚至可利用下一代网络准入控制技术设定“虚拟蜜罐”,提供给服务或应用系统来诱捕非授权的网络探测行为。被恶意软件感染的终端往往会主动攻击“虚拟蜜罐”,此时攻击行为将被捕捉,并触发网络准入控制及时响应事件,如记录、报警甚至隔离等。2.3.3 与网络中的安全架构联合起来实现纵深防御

近10 年来,SIEM平台之外的大部分工具和控制手段(如网络运维平台、安全资产管理平台、安全风险管理平台等)都采用了独立的方法或手段对网络安全进行分割,容易造成各自为政的局面。安全管理现状如图1 所示。

通过对终端信息进行大数据构建处理,下一代网络准入控制技术能够将终端信息和网络环境信息分享给网络中的其他设备或安全系统。同时,多平台的互操作性又保证了网络准入控制系统收到来自这些系统的消息后,可以迅速触发相关策略,对威胁进行缓解或阻止。这样,下一代网络准入控制就成为SIEM之外的另一种网络安全中心。网络安全管理蓝图如图2 所示。

通过与众多的第三方工具共享终端信息、网络环境信息以及实时的威胁事件信息,可以很好地实现纵深防御。例如,下一代网络准入控制系统和下一代防火墙、Web防火墙、APT防护平台协作,可达到以下效果:

1)终端环境共享:上述安全系统都缺少对网络中终端状况的了解,包括终端身份、终端配置信息和安全状态,而下一代网络准入控制系统则可以共享这些信息;

2)风险控制:在大部分情况下,攻击或数据泄漏可能只会引发报警而得不到有效处理,将风险数据传入到下一代网络准入控制系统,可以直接阻断终端或封闭特殊端口,从而保存入侵证据并控制风险。

3 下一代网络准入技术优势分析

随着移动设备和智能终端的广泛应用,网络边界不断延伸,访问与操作已变得极其复杂,虚拟化、软件定义架构不断打破传统技术的限制。因此,在传统手段下能够得到充分管理的、完全安全的端点正逐渐减少。当内部用户和访客、远程和本地、有线和无线、虚拟和实物、PC和移动端、授权访问和非法访问并存时,利用传统方式控制网络安全的难度和工作量呈几何级增加。

而下一代网络准入控制技术可利用或开发更先进的技术来顺应网络、终端环境的发展,包括提出更具有适应性的技术架构、更具广度的大数据计算、更具开放性的对外接口等,并在APT攻击中起到关键的桥梁作用。现有网络准入控制技术与下一代网络准入控制技术对比见表1 所列。

4 结语

下一代网络准入控制技术应实现实时发现、分类和评估用户、设备以及应用,并匹配入网前和入网后的策略,与其他网络设备、安全设备、管理平台等共享所有入网端点的大数据信息,并为这些设备提供精确的网络环境信息,帮助它们做出判断和反应。同时,从外部源获取有用信息,并依此进行有效防御,如对终端进行网络强制和修复,以及通知其他系统进行防御等。

下一代网络准入控制技术并不是万能的,但其能够提供实时的网络可视化和应对多种新IT风险的控制手段,同时能够保证不对网络架构或已有安全资产构成影响,具有很好的应用前景。

摘要：现有网络准入技术由于商业考虑或技术壁垒,各自有所偏重,不能很好地满足安全形势发展变化的需求。为解决该问题,文章提出在下一代网络准入控制技术中融入被动防御技术,通过分析下一代准入技术应重点关注和解决的问题,深入研究终端信息收集、终端大数据构建与互操作、缓解APT攻击等下一代准入关键技术。结果表明,在下一代网络准入控制技术中融入被动防御技术能够全面地收集网络及终端信息,进而构建纵深安全防御体系。与现有准入技术相比,下一代准入控制技术具有广泛支持第三方平台、风险控制、缓解APT攻击等诸多优势。