CC BY
182
ОСОБЕННОСТИ ОРГАНИЗАЦИИ ЗАЩИТЫ ИНФОРМАЦИИ НА ОСНОВЕ MPLS-ТЕХНОЛОГИЙ В ПЕРСПЕКТИВНЫХ NGN-СЕТЯХ
А. Ю. Конева
Тамбовский государственный университет имени Г. Р. Державина, г. Тамбов, Россия
Архитектура информационной безопасности сетей NGN разрабатывается международными организациями по стандартизации телекоммуникаций МСЭ-Т и ETSI. МСЭ-Т утверждены ряд документов, среди них: Рекомендации X.805 «Архитектура безопасности для систем, обеспечивающих связь между оконечными устройствами», Y.2012 «Функциональные требования и архитектура NGN версии 1», Y.2701 «Требования к безопасности для сетей последующих поколений версии 1», Y.2704 «Механизмы и процедуры безопасности для сетей последующих поколений». В данных документах определены вопросы общей архитектуры безопасности и параметров при обеспечении межконцевой безопасности распределенных приложений, представлены требования к безопасности для сетей следующего поколения, определены функциональные объекты (FE), участвующие в построении сети.
В Y.2701 рассмотрена модель доверия безопасности (рис. 1).
В модели доверия безопасности определяются три зоны безопасности: доверенная; доверенная, но уязвимая; недоверенная, которые зависят от эксплуатационного управления, местоположения и возможности соединения с другими устройствами/элементами сети. Одним из главных способов достижения безопасности с помощью данной модели является метод передачи сигнализации, мультимедийной информации и трафика OAMP из недоверенного домена в доверенный домен [3].
В документе «ETSI TS 187 003: Telecommunications and Internet converged Services and Protocols for Advanced Networking (TISPAN); Security - Security Architecture» предложена схема построения архитектуры безопасности NGN, состоящая из нескольких ключевых элементов, их возможное расположение и отношения между ними (рис. 2).
Одно из действий шлюза безопасности -установление объемной ассоциации по безопасности (SA) между его доменом безопасности и следующим. SA используется, чтобы защитить всю передачу, которая передается через интерфейс в зоне действий (Za). Параметры, определенные в пределах SA, включают: методы аутентификации и ключи; алгоритмы шифрования и ключи; безопасные протоколы связи.
В пределах сети доступа, посещаемой сети NGN и домашней NGN, подсистема доступа к сети (NASS) и подсистема управления разрешением ресурса (RACS) соединены с сорасположенным SEGs через IMS/NGN Zb интерфейс, который защищен или не защищен в зависимости от политик оператора. Точно так же интерфейс Zb соединяет функции приложений (AF) с SEG в сетях поставщика услуг приложений NGN.
Соединения между различными операторами обозначены Za [4].
Одним из вопросов защиты информации в сетях NGN является обеспечение безопасности связи, реализованной с помощью многопротокольной коммутации по меткам (MPLS). Она позволяет решить следующие задачи: 1) аутентификация сторон; 2) проверка неизменности данных в пакете; 3) защита от атак - replay.
Безопасность связи обеспечивают механизмы, которые гарантируют отсутствие перехвата и незаконной передачи информации на сторону. Это обеспечивают, например, функции проверки связности [2] CV, используемые для обнаружения/диагностики всех типов дефектов связности тракта LSP (Label Switching Path), возникающих либо на нижних уровнях, либо в сетях уровня MPLS. Наряду с указанным, протокол MPLS не может обеспечить защиту против ошибок в конфигурации ядра сети и атак внутри ядра сети [1].
Рис. 1. Модель доверия безопасности
Рис. 2. Архитектура информационной безопасности NGN (TISPAN)
Распространить идеологию MPLS на оборудование мультиплексирования с временным уплотнением (TDM) позволяет технология GMPLS. Основная цель ее использования -эффективно использовать возможности современных оптических технологий для создания гибкой, динамически перестраиваемой и отказоустойчивой инфраструктуры. В качестве механизмов защиты и восстановления в GMPLS разработаны следующие методы:
- местное восстановление;
- защитная коммутация;
- быстрая перемаршрутизация.
Исследуем эффективность использования технологии GMPLS на основе алгоритма местного восстановления от источника. Его этапы:
1. Формирование входного потока информации, установление соединения с коммутатором LSR 1.
2. Установление соединения с LSR 2 и обеспечение надежной доставки путем применения режима повторной троекратной передачи.
3. При условии отсутствия надежной доставки пакета к LSR 2 выбор обходного пути.
4. Передача сообщения на обходной коммутатор LSRofe.
5. Исследование эффективности алгоритма на основе учета временных задержек и потерь пакетов.
Построив модель данного алгоритма, видим, что задержки во времени при интенсивности потока 60, 50, 40, 30, 20 и
15 составляют 27,475; 28,371; 30,016; 33,574; 48,678; 190,653, что в несколько раз ниже задержек без использования данного метода. Кроме того, отсутствуют потери пакетов.
Использование GMPLS позволяет обеспечить высокий уровень безопасности при передаче информации с гарантированным качеством обслуживания, что является важным фактором при переходе к мультисер-висным сетям.
Литература
1. Будылдина Н. В. Оптимизация сетей с многопротокольной коммутацией по меткам / Будылдина Н. В., Трибунский Д. С., Шувалов В. П. М.: Горячая линия - Телеком, 2010.
2. Пасечников И. И. Анализ и методы повышения информационной эффективности телекоммуникационных систем и сетей: монография. Тамбов: Издательский дом ТГУ им. Г. Р. Державина, 2010.
3. Рекомендация МСЭ-Т Y.2701 (2007). Требования к безопасности для сетей последующих поколений версии 1.
4. ETSI TS 187 003: Telecommunications and Internet converged Services and Protocols for Advanced Networking (TISPAN); Security - Security Architecture.
