Tải bản đầy đủ (.pdf) (122 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Nghiên cứu và đề xuất giải pháp an ninh đầu tư cuối cho NGN

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.39 MB, 122 trang )



i
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ


ĐẠI HỌC QUỐC GIA HÀ NỘI



Phạm Quý Phương






NGHIÊN CỨU VÀ ĐỀ XUẤT GIẢI PHÁP

AN NINH ĐẦU CUỐI CHO NGN












LUẬN VĂN THẠC SĨ












Hà Nội - 2010






ii

ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ




Phạm Quý Phương







NGHIÊN CỨU VÀ ĐỀ XUẤT GIẢI PHÁP

AN NINH ĐẦU CUỐI CHO NGN




Ngành : Công nghệ thông tin
Chuyên ngành : Truyền dữ liệu và mạng máy tính
Mã số : 60.48.15


LUẬN VĂN THẠC SĨ



NGƯỜI HƯỚNG DẪN KHOA HỌC: GS.TSKH Huỳnh Hữu Tuệ







Hà Nội - 2010







1
MỤC LỤC
Trang
Chương 1. MẠNG THẾ HỆ MỚI
5
1.1 Tóm tắt chương
5
1.2 Xu hướng của các dịch vụ Viễn thông
5
1.2.1 Các thách thức với các nhà cung cấp dịch vụ viễn thông
5
1.2.2 Những hạn chế của mạng hiện tại và nhu cầu phát triển NGN
6
1.3 Tổng quan về NGN
6
1.3.1 Định nghĩa NGN của ITU-T Y.2001
6
1.3.2 Các đặc điểm của NGN
6
1.3.3 Một số nguyên tắc tổ chức mạng NGN
6
1.4 Mô hình tham chiếu NGN
9
1.4.1 Mô hình tham chiếu NGN của ITU

9
1.4.1.1 Các chức năng tại tầng chuyển tải
9
1.4.1.2 Các chức năng tại tầng dịch vụ
11
1.4.1.3 Chức năng ứng dụng
11
1.4.1.4 Các chức năng quản lý
11
1.4.1.5 Các chức năng người sử dụng
12
1.4.2. Kiến trúc NGN theo ETSI
12
1.5. Kiến trúc mạng NGN mục tiêu
31
1.5.1 Lớp ứng dụng và dịch vụ
13
1.5.2 Lớp điều khiển
14
1.5.3 Lớp truyền tải
14
1.5.4. Lớp truy nhập
14
1.5.5 Các dịch vụ được cung cấp
14
1.5.6 Tổ chức mạng
15


2

1.5.6.1 Vùng phủ
15
1.5. 6.2 Mạng truyền tải và truy nhập khách hàng
16
1.6 Công nghệ truyền tải mạng NGN
17
1.6.1 Công nghệ IP over WDM
17
1.6.1.1 Nguyên lý cơ bản của hệ thống thông tin quang WDM
17
1.6.1.2 Các ưu điểm của IP over WDM
18
1.6.1.3 Ba giải pháp chính của IP over WDM
18
1.6.1.4 Kiến trúc IP/SDH/WDM
19
1.6.2 Công nghệ SDH
20
1.6.2.1 Đặc điểm chung của công nghệ SDH
20
1.6.2.2 Ưu điểm của công nghệ SDH
21
1.6.2.3 Nhược điểm của công nghệ SDH
21
1.6.3 Công nghệ NG-SDH
22
1.6.4 Công nghệ RRR
27
1.6.4.1 Động lực thúc đẩy phát triển công nghệ
28

1.6.4.2 Vòng RPR
28
1.6.4.3 Ưu điểm của RPR
29
1.6.4.4 Chức năng tái sử dụng băng thông
29
1.6.4.4 Chức năng chia sẻ băng thông công bằng
29
1.6.4.5 Chức năng bảo vệ phục hồi
30
1.7. Các phương thức truy nhập NGN
31
1.7.1 Xu hướng chuyển đổi của mạng truy nhập
31
1.7.2 Phương thức truy nhập xDSL
32
1.7.3 Phương thức truy nhập FTTx
34
1.7.4 Phương thức nhập không dây WiMAX
34
1.7.5 Triển khai các thiết bị IP DSLAM và MSAN cung cấp dịch vụ
35
1.7.5.1 Thiết bị truy nhập MSAN
35


3
1.7.5.2 Thiết bị truy nhập IPDSLAM
36
1.7.6 Các phương thức truy nhập khác

38
1.8 Tổ chức lớp điều khiển và dịch vụ trên mạng NGN
39
1.9 Kết luận chương
39


Chương 2. MẠNG ĐÔ THỊ
40
2.1 Tóm tắt chương
40
2.2 Tổng quan về mạng MAN và xu hướng phát triển mạng
40
2.2.1 Những yếu tố thúc đẩy sự phát triển mạng MAN
40
2.2.2 Xu hướng phát triển công nghệ Ethernet trên MAN
50
2.3 Ưu nhược điểm của mạng MAN
41
2.3.1 Ưu điểm của mạng MAN
41
2.3.2 Nhược điểm của mạng MAN
42
2.4. Kiến trúc mạng MAN của Cisco
42
2.4.1 Lớp truy nhập
43
2.4.2 Lớp kết tập
43
2.4.3 Lớp biên

44
2.4.4 Lớp lõi
44
2.4.5 Lớp ứng dụng và dịch vụ
44
2.5 Khuyến nghị TR-101
44
2.5.1 Tổng quan về TR-101
44
2.5.1.1 ATM và những vấn đề liên quan
45
2.5.1.2 Mô hình tham chiếu TR-101
46
2.6 Công nghệ Ethernet quang
49
2.7 802.1ad (QinQ)
50
2.8 Mô hình mạng MANE đích
71


4
2.8.1 Các yêu cầu chung đối với mạng MANE
52
2.8.2 Một số khuyến nghị cho lớp truy nhập
53
2.9 Cung cấp dịch vụ qua MANE
53
2.9.1 Kết nối IP DSLAM, MSAN, Switch lớp 2 vào mạng MANE
53

2.9.2 Cấu hình thiết bị trong mạng MANE để cung cấp dịch vụ
54
2.9.2.1 Dịch vụ HSI
54
2.9.2.2 Dịch vụ VPN L2
58
2.10 Kết luận chương
59


Chương 3. PHÂN TÍCH KIẾN TRÚC VÀ CÁC THÀNH PHẦN AN NINH
X.805 DO ITU-T ĐỀ XUẤT
60
3.1 Tóm tắt chương
60
3.2. Phân tích các lớp an ninh trong X.805
60
3.2.1 Lớp an ninh cơ sở hạ tầng
61
3.2.2 Lớp an ninh các dịch vụ
61
3.2.3 Lớp an ninh các ứng dụng
61
3.3 Phân tích các mặt phẳng an ninh trong X.805
62
3.3.1 Mặt phẳng an ninh quản lý
62
3.3.2 Mặt phẳng an ninh điều khiển
62
3.3.3 Mặt phẳng an ninh người sử dụng

62
3.4 Phân tích các nguy cơ (threat) an ninh trong X.805
62
3.5 Phân tích các giải pháp (dimension) an ninh trong X.805
63
3.5.1 Điều khiển truy nhập
63
3.5.2 Nhận thực người sử dụng
63
3.5.3 Chứng minh tránh phủ nhận
63
3.5.4 Bảo mật dữ liệu
63
3.5.5 Đảm bảo an toàn trong quá trình truyền dữ liệu
63


5
3.5.6 Đảm bảo toàn vẹn dữ liệu
63
3.5.7 Đảm bảo tịnh khả dụng
64
3.5.8 Đảm bảo tính riêng tư cho người sử dụng
64
3.6 Quan hệ giữa các nguy cơ và các giải pháp an ninh
64
3.7 Kết luận chương
65



Chương 4. PHÂN TÍCH ÁP DỤNG KHUYẾN NGHỊ X.805 CHO THIẾT
KẾ AN NINH MẠNG NGN
66
4.1 Tóm tắt chương
66
4.2 Một số thuật ngữ khái niệm cần thống nhất
66
4.2.1 Phần tử mạng
66
4.2.2 Yêu cầu an ninh
66
4.2.3 Phần tử an ninh
66
4.2.4 Miền an ninh
66
4.3 Hiện trạng nghiên cứu về an ninh NGN của các tổ chức chuẩn hoá
67
4.3.1 Lựa chọn framework an ninh
67
4.3.2 Phân tích khuyến nghị X.805
68
4.3.2.1 Đánh giá ưu nhược điểm của X.805
68
4.3.2.2 Miền an ninh
68
4.4 Các bổ sung cho X.805
69
4.4.1 Bổ sung về phân loại nguy cơ
69
4.4.2 Bổ sung về phân loại giải pháp

70
4.5 Quy trình xây dựng giải pháp an ninh mạng NGN
70
4.5.1 Module tiền xử lý
71
4.5.2 Module X.805
72
4.5.3 Module Tối ưu hoá
76
4.5.4 Danh sách tiêu chí và thứ tự ưu tiên
77


6
4.6 Kết luận chương
77
Chương 5. KẾT QUẢ ÁP DỤNG X.805 CHO MẠNG NGN
78
5.1 Tóm tắt chương
78
5.2. Kết quả áp dụng X.805 cho dịch vụ E-LINE
78
5.2.1 Xác định cầu hình hệ thống cung cấp dịch vụ
78
5.2.2 Miền an ninh thiết bị Access
78
5.3. Kết quả áp dụng X.805 cho dịch vụ E-LAN
81
5.3.1 Xác định cầu hình hệ thống cung cấp dịch vụ
81

5.3.2 Miền an ninh thiết bị Access
82
5.3.3 Miền an ninh thiết bị MANE
82
5.3.4 Tổng hợp giải pháp cho dịch vụ
83
5.4. Kết quả áp dụng X.805 cho dịch vụ HSI
83
5.4.1 Khách hàng cá nhân
83
5.4.1.1 Xác định cấu hình dịch vụ
83
5.4.1.2 Miền an ninh thiết bị Access
84
5.4.1.3 Miền an ninh thiết bị IP Core và dành riêng
86
5.4.1.4 Tổng hợp giải pháp cho dịch vụ
91
5.4.2 Khách hàng SMB (Small Business)
91
5.5. Kết luận chương
91


Chương 6. KẾT LUẬN VÀ KHUYẾN NGHỊ
92
6.1 Kết luận
92
6.1.1 Các vấn đề đã giải quyết được
92

6.1.2 Các đề xuất và khuyến nghị
92
6.1.2.1 Khuyến nghị đối với các nhà phát triển giải pháp an ninh mạng
92
6.1.2.2 Khuyến nghị đối với các nhà khai thác NGN
92
6.1.2.3 Khuyến nghị đối với các cơ quan quản lý nhà nước
92


7
6.2 Hướng nghiên cứu tiếp theo
92
PHỤ LỤC. GIẢI PHÁP CHỐNG DoS CỦA ARBOR
94


TÀI LIỆU THAM KHẢO

101



8
Danh Mục Từ Viết Tắt

Từ viết tắt
Từ gốc
Nghĩa tiếng việt
AAA

Authentication/Authorization/Accouting
Server
Máy chủ nhận thực/cho phép/kiểm
toán
ACL
Access Control List
Danh sách điều khiển truy nhập
ADSL
Asymmetrical Digital Subscriber Loop
Đường dây thuê bao số không đối
xứng
ADSL2+
Asymmetrical Digital Subscriber Loop
2 Plus
Mạch vòng thuê bao số không đối
xứng 2+
AF
Access Function
Chức năng truy nhập
API
Application Program Interface
Giao diện lập trình ứng dụng
ARP
Address Resolution Protocol
Giao thức phân giải địa chỉ
AS
Application Server
Máy chủ ứng dụng (dịch vụ)
ASBR
Autonomous System Border Router

Router biên của hệ thống tự trị
ASP
Application Service Provider
Nhà cung cấp dịch vụ ứng dụng
ATF
Access Transport Function
Chức năng chuyển tải truy nhập
ATM
Asynchronous Transfer Mode
Chế độ truyền dẫn không đồng bộ
BER
Bit Error Rate
Tỷ lệ lỗi bit
BGP
Border Gateway Protocol
Giao thức định tuyến cổng biên
B-ISDN
Broadband-ISDN
ISDN băng rộng
BNG
Broadband Network Gateway
Cổng mạng băng rộng
BPDU
Bridge Protocol Data Unit
Đơn vị dữ liệu giao thức cầu nối
BRAS
Broadband Remote Access Server
Máy chủ truy nhập từ xa băng rộng
CAC
Connection Admission Control

Điều khiển vào kết nối
CAM
Content Address Memory
Bộ nhớ quản lý địa chỉ MAC
CAPEX
Capital Expense
Chi phí đầu tư
CAR
Committed Access Rate
Tốc độ truy nhập cam kết
CDP
Cisco Dicovery Protocol
Giao thức phát hiện thiết bị của Cisco


9
CE-VLAN
Customer Edge VLAN
VLAN của khách hàng
CIR
Committed Information Rate
Tốc độ cam kết tối thiểu
CN
Core Network
Mạng lõi
CO
Connection Oriented
Kết nối có định hướng
CPE
Customer Premise Equipment

Thiết bị đầu cuối khách hàng
CS
Circuitv Switched
Chuyển mạch kênh
CTF
Core Transport Function
Chức năng chuyển tải lõi
CWDM
Coarse Wave Division Multiplexing

DdoS
Distribution Denial of Service
Tấn công từ chối dịch vụ phân tán
DHCP
Dynamic Host Configuration Protocol
Giao thức cấu hình host động
DNS
Domain Name System
Hệ thống tên miền
DoS
Denial of Service
Tấn công từ chối dịch vụ
DPRing
Dedicated Protection Ring
Vòng bảo vệ riêng hay vòng đơn
hướng
DPT
Dynamic Packet Transport
Công nghệ truyền tải gói động
DSLAM

Digital Subscriber Line Access
Multiplexer
Bộ ghép kênh truy nhập đường thuê
bao số
DWDM
Dense Wavelength Division
Multiplexing
Ghép kênh quang theo bước sóng
mật độ cao
EDFA
Erbium Doped Fiber Amplifier
Bộ khuếch đại quang được kích thích
bằng Erơi
EF
Edge Function
Chức năng biên
EMS
Ethernet Multipoint Service
Dịch vụ kết nối đa điểm-đa điểm
EoMPLS
Ethernet over MPLS
Công nghệ Ethernet trên MPLS
EOS
End Of Sequence
Kết thúc chuỗi
ERMS
Ethernet Relay Multipoint Service
Dịch vụ kết hợp giữa ERS và EMS.
ERS
Ethernet Relay Service

Dịch vụ kết nối điểm-đa điểm
ETSI
European Telecommunications
Sdandards Institute
Viện tiêu chuẩn viễn thông châu âu


10
EVC
Ethernet Virtual Connection
Kết nối Ethernet ảo
EWS
Ethernet Wire Serivce
Dịch vụ kết nối điểm-điểm
FE
Fast Ethernet
Ethernet nhanh
FMC
Fixed Mobile Convergence

FTP
File Transfer Protocol
Giao thức truyền file
GE
Gigabit Ethernet
Ethernet giga bit
GFP
Generic Framing Procedure
Thủ tục khung chung
HDSL

High-speed Digital Subscriber Line
Đường thuê bao số tốc độ cao
ICMP
Internet Control Message Protocol
Giao thức bản tin điều khiển Internet
IDS
Instrusion Detection System
Hệ thống phát hiện xâm nhập trái
phép
IETF
Internet Engineering Task Force
Nhóm đặc trách kỹ thuật Internet
IGMP
Internet Group Management Protocol
Giao thức quản lý nhóm Internet
IP
Internet Protocol
Giao thức Internet
IPoA
IP over ATM
Truyền IP trên ATM
IPS
Instrusion Protection System
Hệ thống bảo vệ xâm nhập trái phép
IPv4
Internet Protocol
IP phiên bản 4
IPv6
Internet Protocol
IP phiên bản 6

ISDN
Intergrated Services Digital Network
Mạng tích hợp các dịch vụ số
ISP
Internet Service Provider
Nhà cung cấp dịch vụ Internet
ITU
International Telecommunication
Union
Liên minh Viễn thông quốc tế
ITU-T
ITU Telecommunication
Standadization Sector
Liên minh Viễn thông quốc tế - Tiểu
ban chuẩn hoá Viễn thông
LCAS
Link Capacity Adjustment Scheme
Cơ chế điều chỉnh dung lượng tuyến
LCAS
Link Capacity Adjustment Scheme
Giao thức điều chỉnh dung lượng
tuyến
LCP
Local Convergence Point
Điểm phân phối sợi quang
LDP
Label Distribution Protocol
Giao thức phân bổ nhãn



11
LFIB
Label Forwarding Information Base
Cơ sở thông tin chuyển tiếp nhãn
LSP
Label Switched Path
Đường chuyển mạch nhãn
MAC
Medium Access Control
Điều khiển truy nhập môi trường
MAN
Metro Area Network
Mạng đô thị
MAN-E
Metro Area Network – Ethernet
Mạng đô thị sử dụng công nghệ
Ethernet
MHF
Media Handling Function
Chức năng quản lý Media
MPLS
Multiprotocol Lable Switching
Chuyển mạch nhãn đa giao thức
MSAN
Multi Service Access Node
Điểm truy cập đa dịch vụ
MSF
Multiservice Switching Forum
Diễn đàn chuyển mạch đa dịch vụ
MSS

Maximum Segment Size
Kích thước phân đoạn gói tin lớn nhất
NAC
Network Access Point
Điểm truy nhập mạng
NACF
Network Attachment Control Function
Chức năng điều khiển gắn kết mạng
NAT
Network Address Translation
Giao thức chuyển đổi địa chỉ mạng
NE
Network Element
Phần tử mạng
NGN
Next Generation Network
Mạng Viễn thông thế hệ sau
NII
National Information Infrastructure
Cơ sở hạn tầng thông tin quốc gia
NNI
Network to Network Interface
Giao diện giữa các mạng
NO
Network Operations
Điều hành mạng
OADM
Optical Add/Drop Multiplexer
Hệ thống sử dụng ghép/tách bước
sóng

Och
Optical Channel
Lớp kênh quang
ODF
Optical Distribution Frame
Dàn đấu dây quang
OFDM
Optical Frequency Division
Multiplexing
Kỹ thuật ghép kênh quang theo tần số
OIF
Optical Internetworking Forum
Diễn đàn kết nối mạng quang
OLT
Optical Line Termination
Trạm đầu cuối đường quang
OMS
Optical Multiplexing System
Hệ thống ghép kênh quang
ONU
Optical Network Unit
Đơn vị mạng quang/ Kết cuối mạng


12
quang
OPEX
Operation Expense
Chi phí vận hành
Optical NNI

Optical - Network to Network Interface
Giao diện quang giữa các mạng
Optical- UNI
Optical - User to Network Interface
Giao diện quang với người sử dụng
OSPF
Open Shortest Path First
Thuật toán tìm đường đi ngắn nhất
chuẩn mở
OTDM
Optical Time Division Multiplexing
Kỹ thuật ghép kênh quang theo thời
gian
OTS
Optical Transport System
Hệ thống truyền dẫn quang
PC
Personal Computer
Máy tính cá nhân
PLMN
Public Land Mobile Network
Mạng di động mặt đất công cộng
PON
Passive Optical Network
Công nghệ mạng quang thụ động
POST
Plain Old Telephone Service
Dịch vụ thoại truyền thống
PPPoE
Point-to-Point Protocol (PPP) Over

Ethernet
Giao thức điểm đến điểm (PPP) trên
Ethernet
PSTN
Public Switched Telepone Network
Mạng chuyển mạch thoại công cộng
PTQ
Primary Transit Queue
Hàng đợi truyền chính
QoS
Quality of Service
Chất lượng dịch vụ
RACF
Resource and Admission Control
Function
Chức năng điều khiển tài nguyên và
nhận vào
RADIUS
Remote Authentication Dial-In User
Service
Dịch vụ người sử dụng gọi đến được
chứng thực từ xa
RD
Route Distinguisher
Phân biệt tuyến đường
RFC
Request For Comments
Yêu cầu của các khuyến nghị (IETF)
RPR
Resilient Packet Ring

Vòng ring gói phục hồi
RSVP
Resource Reservation Protocol
Giao thức dành trước tài nguyên
RSVP-TE
Extended Resource Reservation
Protocol with Traffic Engineering
Giao thức dành trước tài nguyên với
kỹ thuật lưu lượng
SBP
Service Bandwidth Profile
Hình thái băng thông của dịch vụ
SC
Service Class
Phân lớp dịch vụ


13
SCF
Service Control Function
Chức năng điều khiển dịch vụ
SD
Security Domain
Miền an ninh
SDH
Synchromous Digital Hierarchy
Phân cấp số đồng bộ
SDH
Synchronous Digital Hierachy
Công nghệ truyền dần theo phân cấp

đồng bộ
SDH-NG
SDH Next Generation
SDH thế hệ kế tiếp
SLA
Service Level Agreement
Mức thoả thuận chất lượng dịch vụ
SNTP
Simple Network Time Protocol
Giao thức đồng bộ thời gian mạng
đơn giản
SP
Service Provider
Nhà cung cấp dịch vụ
SPRing
Shared Protection Ring
Vòng bảo vệ dùng chung
SP-VLAN
Service Provider VLAN
VLAN của nhà cung cấp dịch vụ
SR
Security Requirement
Yêu cầu an ninh
SRP
Spatial Reuse Protocol
Giao thức sử dụng lại không gian
STM-1
Synchronous Transport Module of
SDH with bitrate of 155 Mbit/s
Module vận chuyển đồng bộ của SDH

với tốc độ bit 155 Mbit/s
STP
Spanning Tree Protocol
Giao thức cây bao trùm
STQ
Secondary Transit Queue
Hàng đợi truyền thứ cấp
SUPF
Service User Profile Function
Chức năng quản lý User Profile dịch
vụ
TCN
Topology Change Notification
Thông báo thay đổi cấu hình
TCP
Transmission Control Protocol
Giao thức điều khiển truyền tải
TDM
Time Division Multiplexing
Ghép kênh phân chia theo thời gian
TDP
Tag Distribution Protocol
Giao thức phân phối nhãn
TE
Traffic Engineering
Kỹ thuật lưu lượng
TLS
Transparent LAN Services
Dịch vụ LAN thông suốt
TMS

Threat Management System
Hệ thống quản lý nguy cơ tấn công
TUPF
Transport User Profile Function
Chức năng quản lý User Profile lớp
chuyển tải


14
UDP
User Datagram Protocol
Giao trhức gói dữ liệu người dùng
UNI
User Network Interface
Giao diện mạng người dùng
VC
Virtual Circuit
Kênh ảo
VCAT
Virtual Concatenation
Liên kết ảo / Ghép chuỗi ảo
VCI
Virtual Circuit Indentify
Chỉ thị kênh ảo
VLAN
Virtual LAN
LAN ảo
VLL
Virtual Lead Line
Kênh thuê riêng ảo

VPI
Virtual Path Indentify
Chỉ thị đường ảo
VPLS
Virtual Private LAN Service
Dịch vụ LAN riêng ảo
VPN
Virtual Private Network
Mạng riêng ảo
VPN L2
Virtual Private Network Layer 2
Mạng riêng ảo lớp hai
VPN L3
Virtual Private Network Layer 3
Mạng riêng ảo lớp ba
VSI
Virtual Switching Instance
Thể hiện chuyển mạch ảo
VTP
Vlan Trunking Protocol
Giao thức Trunking VLan
WAN
Wide Area Network
Mạng diện rộng
WDM
Wavelength Division Multiplexing
Ghép kênh quang theo bước sóng
WLAN
Wireless Local Area Network
Mạng LAN không dây

3GPP
Third Generation Partnership Project




15
Danh Mục Các Hình Vẽ

Trang
Hình 1.1 Xu hướng của các dịch vụ Viễn thông
5
Hình 1.2 Sự hội tụ giữa thoại và số liệu, cố định và di động trong NGN
6
Hình 1.3 Xu hướng hội tụ các công nghệ mạng (theo 3GPP)
7
Hình 1.4 Xu hướng hội tụ các dịch vụ viễn thông (theo 3GPP)
7
Hình 1.5 Mô hình tham chiếu về mạng NGN của ITU-T
9
Hình 1.6 Mô hình tiến tới NGN từ các mạng hiện có theo ITU-T
12
Hình 1.7 Kiến trúc NGN theo ETSI
12
Hình 1.8 Kiến trúc mạng NGN mục tiêu
13
Hình 1.9 Topology mạng NGN mục tiêu
14
Hình 1.10 Vùng phủ của dịch vụ mạng NGN
15

Hình 1.11 Cấu trúc mạng truy nhập khách hàng
16
Hình 1.12 Mạng chuyển tải băng rộng
16
Hình 1.13 Nguyên lý cơ bản của hệ thống thông tin quang WDM
17
Hình 1.14 Ba giải pháp chính của IP over WDM
18
Hình 1.15 Mô hình phân lớp giao thức của kiến trúc IP/SDH/WDM
20
Hình 1.16 Các thành phần của NG-SDH
23
Hình 1.17Sơ đồ kết nối của 2 node NG-SDH
24
Hình 1.18 Cấu trúc ghép khung tổng quát
25
Hình 1.19 Quá trình ghép và chuyển tải các khung GFP vào VC container trong các
khung STM
26
Hình 1.20 Cấu trúc mạng và khả năng cung cấp dịch vụ RPR
28
Hình 1.21 Vòng RPR
29
Hình 1.22 Đường đi của dữ liệu sau khi wrap
30
Hình 1.23 Đường đi của dữ liệu sau khi phát hiện topology mới
31
Hình 1.24 Các phương thức truy nhập NGN
32



16
Hình 1.25 Cấu trúc mạng truy nhập DSL dùng thiết bị Ethernet – TR101
32
Hình 1.26 Truy nhập mạng broadband cố định
33
Hình 1.27 Truy nhập xDSL
33
Hình 1.28 Tuy nhập FTTx
34
Hình 1.29 Truy nhập qua MSAN
35
Hình 1.30 Kết nối mạng thiết bị truy nhập MSAN
36
Hình 1.31 Thiết bị truy nhập IPDSLAM
36
Hình 1.32 Phương án sử dụng thiết bị truy nhập IPDSLAM
37
Hình 1.33 Mô hình 1 Vlan cho IP DSLAM
37
Hình 1.34 Cấu hình mạng quang FTTx
38
Hình 1.35 Các hệ thống điều khiển riêng cho mỗi dịch vụ
39
Hình 2.1 Kiến trúc mạng MAN theo Cisco
43
Hình 2.2 Mô hình tham chiếu TR-205
45
Hình 2.3 Mô hình tham chiếu TR-059
45

Hình 2.4 Mô hình tham chiếu TR-101
46
Hình 2.5 Ngăn giao thức giao diện U
47
Hình 2.6 Chức năng kết nối ATM-Ethernet
48
Hình 2.7 Chồng giao thức giao diện V
48
Hình 2.8 Mô hình mạng thu gom Ethernet
49
Hình 2.9 Mô hình MANE đích
51
Hình 2.10 Sơ đồ tóm tắt các công nghệ có thể được sử dụng cho MANE
52
Hình 2.11 Các yêu cầu đối với mạng MANE
53
Hình 2.12 Sơ đồ tổng quan cơ chế hoạt động của dịch vụ HSI
54
Hình 2.13 Dịch vụ SMB, khách hàng có Gateway
55
Hình 2.14 Dịch vụ SMB, khách hàng không có Gateway
56
Hình 2.15 Sơ đồ tổng thể dịch vụ HSI trên IP DSLAM / MSAN
57


17
Hình 2.16 Sơ đồ tổng thể dịch vụ HSI trên Switch L2
57
Hình 2.17 Dịch vụ E-LINE

58
Hình 2.18 Dịch vụ E-LAN
59
Hình 3.1 Áp dụng các biện pháp an ninh vào các lớp an ninh
60
Hình 4.1 Phân loại nguy cơ an ninh
69
Hình 4.2 Phân loại giải pháp an ninh
70
Hình 4.3 Quy trình xây dựng giải pháp
71
Hình 4.4 Quy trình tiền xử lý
72
Hình 4.5 Quy trình X.805
73
Hình 4.6 Quy trình phát hiện các giao diện của một miền an ninh
74
Hình 4.7 Quy trình xây dựng giải pháp an ninh cho từng giao diện
75
Hình 5.1 Chồng giao thức dịch vụ E-LINE
78
Hình 5.2 Mô hình Giải pháp an ninh cho miền thiết bị dịch vụ E-LINE
81
Hình 5.3 Chồng giao thức dịch vụ E-LAN
82
Hình 5.4 Mô hình Giải pháp an ninh cho miền thiết bị dịch vụ E-LAN
83
Hình 5.5 Cấu hình khách hàng sử dụng giao diện xDSL trên cáp đồng
84
Hình 5.6 Cấu hình khách hàng sử dụng giao diện GPON trên cáp quang

84
Hình 5.7 Mô hình Giải pháp an ninh cho miền thiết bị dịch vụ HSI (khách hàng cá
nhân)
86
Hình 5.8 Mô hình Giải pháp an ninh cho miền thiết bị dành riêng dịch vụ HSI
90
Hình 5.9 Mô hình Giải pháp an ninh cho dịch vụ HSI (khách hàng cá nhân)
91
Hình P.1 Kiến trúc về giải pháp của Peakflow SP
94
Hình P.2 Xử lý luồng lưu lượng bị tấn công của Peakflow SP
95
Hình P.3 Năng lực làm việc của thiết bị Peakflow SP
96
Hình P.4 Triển khai thử nghiệm Peakflow tại Viễn thông Hồ Chí Minh năm 2006
97
Hình P.5 Giải pháp tổng thể của Arbor đối với mạng băng rộng
100



18
Danh Mục Bảng Biểu

Trang
Bảng 1.1. Hiệu suất sử dụng băng thông khi truyền dịch vụ Ethernet qua mạng
SDH
21
Bảng 3.1 Mối quan hệ giữa các nguy cơ và biện pháp an ninh
64

Bảng 4.1 Mẫu bảng ma trận Lớp-Mặt phẳng
74
Bảng 4.2 Mẫu bảng tổng hợp các giao thức
75
Bảng 4.3 Mẫu bảng tổng hợp các nguy cơ
75
Bảng 5.1 Ma trận lớp-mặt phẳng để phát hiện giao diện dịch vụ E-LINE
78
Bảng 5.2 Bảng tổng hợp các giao thức dịch vụ E-LINE
78
Bảng 5.3 Bảng tổng hợp các nguy cơ tấn công dịch vụ E-LINE từ phía khách hàng
79
Bảng 5.4 Ma trận lớp-mặt phẳng để phát hiện giao diện dịch vụ HSI
87







LỜI MỞ ĐẦU

Những năm qua với sự phát triển nhanh chóng của Công nghệ thông tin và truyền thông,
nhu cầu và yêu cầu về chất lượng dịch vụ của người dùng ngày càng cao trên các loại hình
dịch vụ như: thoại, truyền số liệu, gửi nhận Fax, các dịch vụ giá trị gia tăng mang tính chất
tích hợp, đa dạng và tiện lợi. Các dịch vụ cung cấp qua nhiều kênh phân phối, nhiều chủng
loại thiết bị đầu cuối khác nhau: truyền hình, điện thoại cố định, điện thoại di động, máy tính,
thiết bị cá nhân, các điểm truy cập dịch vụ…Các dịch vụ phải có thể sử dụng và truy cập
được tại bất kỳ đâu, không phụ thuộc vào không gian, thời gian.

Trong môi trường kinh doanh năng động và đầy cạnh trang như hiện nay các doanh nghiệp
rất cần các giải pháp và dịch vụ truyền thông chuyên nghiệp, hiện đại để giúp họ thu hút và
chăm sóc được khách hàng
 Khẳ năng cung cấp các kênh truyền thông để tự động phân phối thông tin về sản
phẩm, dịch vụ doanh nghiệp đến với khách hàng nhanh chóng và tiện lợi, cho phép
các doanh nghiệp nhận được các phản hồi từ khách hàng không hạn chế về thời
gian và không gian.
 Cung cấp các giải pháp và giao diện mở cho phép doanh nghiệp có thể dễ dàng
triển khai, tích hợp với hệ thống của các nhà cung cấp hạ tầng truyền thông, tài
chính ngân hàng và với các doanh nghiệp khác.


19
 Tiết kiệm chi phí đầu tư để phát triển hệ thống, đội ngũ kỹ thuật, cơ sở hạn tầng, ít
rủi ro, lợi nhuận cao và nhanh chóng thu hồi lại vốn.

Yêu cầu của nhà cung cấp dịch vụ Viễn thông
 Thu hút được nhiều khách hàng qua đó khai thác tối đa cơ sở hạ tầng truyền thông,
tài chính và mang lại nhiều doanh thu.
 Đáp ứng yêu cầu ngày càng cao về chất lượng và lọại hình dịch vụ vủa khách hàng.
Khi cơ sở hạ tầng mạng Viễn thông đã ổn định và bão hoà thì dịch vụ sẽ trở thành nguồn
doanh thu chính của các doanh nghiệp Viễn thông. Sự phong phú về dịch vụ sẽ là một trong
các yếu tố thu hút khách hàng. Các nhà khai thác mạng Viễn thông rất cần việc quản lý
mạng một cách tập trung qua đó có thể giám sát mạng và chất lượng một cách tốt nhất để
cung cấp cho các khách hàng của mình với dịch vụ tốt nhất.

Cấu trúc mạng Viễn thông hiện tại quá phức tạp
Mạng Viễn thông thế hệ cũ đã tồn tại và phát triển gần 100 năm, trong 100 năm đó ít có sự
thay đổi mang tính cách mạng và khoảng cách giữa các mốc chuyển đổi công nghệ cũng rất
xa nhau (từ chuyển mạch cơ sang mạch điệ tử analog rồi đến chuyển mạch số, chuyển

mạch gói, ).
Các nhà cung cấp công nghệ Viễn thông khác nhau đã tạo ra các mạng lõi cung cấp các
dịch vụ Viễn thông tồn tại dưới dạng những ”ốc đảo” như mạng chuyển mạch PSTN, mạng
X25, mạng di động Khái niệm “ốc đảo” ở đây không những chỉ bởi sự ngăn cách về mặt
công nghệ, sự cô lập về dịch vụ giữa các mạng (ví dụ: các dịch vụ trên mạng cố định và di
động). Các rào cản cho việc hợp nhất các mạng này là chưa có một công nghệ được chuẩn
hoá nào bao trùm được tất cả các công nghệ khác.

Cấu trúc mạng đóng tạo ra sự độc quyền của các nhà cung cấp hệ thống
Thời gian trước đây do công nghệ chưa phát triển, các thiết bị Viễn thông là độc quyền của
các công ty Viễn thông lớn. Các công nghệ (phần cứng/phần mềm) chuyên dụng được sử
dụng trong các thiết bị này thường là bí mật công nghệ của các hãng và không được công
bố rộng rãi. Do vậy, khi mua thiết bị chuyển mạch cơ sở của một hãng nào đó thì các thiết bị
cấu thành khác như: Các trạm lắp đặt thuê bao ở xa, các bộ tập trung, các module chuyển
mạch vệ tinh cũng phải chọn của chính hãng đó.
Rất nhiều công ty dùng chính những hạn chề này để ép khách hàng. Cũng vì cấu trúc của
các hệ thống chuyển mạch rất đóng nên các hãng sản xuất các phần cứng Viễn thông nhỏ lẻ
cũng không có cơ hội tồn tại vì không có khả năng tương thích với các thiết bị của các hãng
lớn khác.

Việc cung cấp dịch vụ mới chậm và có nhiều bất cập
Do kiến trúc ốc đảo trong mạng Viễn thông hiện tại nên các dịch vụ cũng chỉ giới hạn trong
các ốc đảo này vì các công nghệ của các mạng đó quá khác nhau. Các dịch vụ bởi vậy cũng
nghèo nàn và khó có cơ hội phát triển.


20
Mặt khác, các dịch vụ mạng hiện tại thường do nhà khai thác Viễn thông cung cấp, được
tích hợp luôn vào các thiết bị Viễn thông của nhà khai thác (ví dụ: các dịch vụ mạng thông
minh hay di động).


Quản lý mạng khó khăn
Các nhà khai thác mạng Viễn thông trong quá trình số hoá mạng Viễn thông trong những
năm qua đã cố gắng trang bị cơ sở hạ tầng Viễn thông số hiện đại và cố gắng tránh tình
huống bị ép giá bằng cách trang bị các tổng đài của nhiều hãng khác nhau. Điều này nảy
sinh sự phức tạp trong kiến trúc mạng, sự tương thích của các chủng loại thiết bị và sự phức
tạp trong quản lý.

Mạng NGN ra đời
Các yếu tố trên đây đưa mạng Viễn thông phát triển đến một giai đoạn bước ngoặt mới có
tính cách mạng đó là mạng Viễn thông thế hệ mới (NGN-Next Generation Network).
Mạng NGN là vấn đề đang thu hút sự quan tâm của nhiều tổ chức Viễn thông lớn nhằm cho
ra đời một mô hình cấu trúc mạng mới dựa trên nền tảng công nghệ hiện đại, đầu tư hiệu
quả và đáp ứng nhu cầu phong phú về dịch vụ. Các tổ chức có thể kể đến như: ITU-T (Các
nhóm SG16, SG11…)[1], IETF (Internet Engineering Task Force) [2], MSF (Multiservice
Switching Forum)[3], ETSI[4]



21
An ninh cho mạng NGN
Với sự phát triển của các dịch vụ trên NGN hiện tại và tương lai, việc xây dựng mạng cung
cấp dịch vụ cần đi kèm với việc thực hiện đảm bảo an toàn cho mạng. Đó chính là điểm khác
biệt tạo nên tính cạnh tranh giữa các nhà cung cấp dịch vụ. Hiện tại có thể nói các chuẩn
công nghệ về an ninh trong NGN đang thu hút nhiều sự quan tâm của nhiều tổ chức nghiên
cứu, song đa số vẫn đang còn nằm ở dưới dạng bản thảo nghiên cứu. Việc áp dụng trực
tiếp các chuẩn công nghệ để xây dựng nên giải pháp an ninh là khá khó khăn.
Vì vậy việc nghiên cứu tìm hiểu lựa chọn các chuẩn công nghệ để có thể áp dụng làm
framework trong việc xây dựng giải pháp an ninh cho kiến trúc mạng NGN hiện tại cũng như
trong tương lai là một vấn đè quan trọng cần được thực hiện.

Với mục đích đảm bảo an ninh cho mạng nói chung và mạng viễn thông nói riêng, có rất
nhiều các giải pháp đã được đưa ra nhưng nhìn nhận một cách khách quan là các phương
án đó thường không đầy đủ và chưa được xây dựng trên một nền tảng lý luận vững chắc về
bảo đảm an ninh đặc bịêt là cho NGN.
Trong bối cảnh đó, một khung làm việc liên quan đến đảm bảo an ninh cần phải được
nghiên cứu đó là X.805 được ITU đề xuất. Bản thân X.805 không chỉ ra cách thức đảm bảo
an ninh cho một đối tượng cụ thể (mạng, thiết bị) mà phân rã các nguy cơ, biện pháp và cơ
chể an ninh tổng quát cho mọi loại hình mạng từ nhiều góc độ, lớp và mặt cắt khác nhau rất
thuận tiện để phân tích cặn kẽ các vấn đề an ninh cho bất kỳ hệ thống nào không ngoại trừ
NGN.

Mục đích của luận văn
Luận văn này được Học viên đề xuất trên cơ sở nghiên cứu về mạng NGN cũng như phát
triển thử nghiệm các thực thể NGN trong một năm nghiên cứu về an ninh mạng NGN tại
Trung tâm Công nghệ Thông tin (thuộc Học viện Công nghệ Bưu chính Viễn thông) – CDiT
(Center for Development of Information Technology). Qua luận văn này Học viên mong
muốn giới thiệu các vấn đề công nghệ sau
 Mạng thế hệ mới (Next Generation Network - NGN)
o Xu hướng của các dịch vụ Viễn thông
o Mô hình tham chiếu NGN
o Công nghệ truyền tải mạng NGN
o Các phương thức truy nhập NGN
o Mô hình mạng NGN điển hình
 Mạng đô thị (Metro Arear Network - MAN)
o Những yếu tố thúc đẩy sự phát triển mạng MAN
o Xu hướng phát triển công nghệ Ethernet trên MAN
o Kiến trúc mạng MAN của Cisco
o Khuyến nghị TR-101
o Mô hình mạng MAN điển hình
o Cung cấp dịch vụ VPN L2 và HSI qua MANE



22
 An ninh trong NGN
o Xây dựng một quy trình đảm bảo an ninh dựa trên việc tổng hợp các ưu điểm
của khuyến nghị X.805.
o Phân tích các kịch bản tấn công từ phía khách hàng đối với các thiết bị mạng
của nhà cung cấp dịch vụ Viễn thông cho hai loại hình dịch vụ là VPN L2 và
HSI.
o Bước đầu áp dụng để đưa ra phương án đảm bảo an ninh cho một hệ thống
NGN điển hình với các dịch vụ VPN L2 và HSI.
Kết quả nghiên cứu cũng đồng thời là khuyến nghị cho các nhà khai thác Viễn thông ở Việt
Nam trong quá trình triển khai NGN.
Cấu trúc của luận văn
 Chương 1: MẠNG THẾ HỆ MỚI
o Chương này trình bày các vấn đề liên quan đến công nghệ và giải pháp mạng
NGN như đã nêu trong phần mục đích của luận văn.

 Chương 2: MẠNG ĐÔ THỊ
o Chương này trình bày các vấn đề liên quan đến công nghệ và giải pháp mạng
MAN, cách thức cung cấp dịch vụ VPN L2 và HSI qua mạng MAN như đã nêu
trong phần mục đích của luận văn.

 Chương 3: PHÂN TÍCH KIẾN TRÚC VÀ CÁC THÀNH PHẦN AN NINH X.805 DO
ITU-T ĐỀ XUẤT
o Chương này phân tích cách tiếp cận của X.805 về an ninh mạng theo các mặt
phẳng và lớp an ninh, đồng thời chỉ ra các nguy cơ có thể xảy ra đối với thực
thể mạng và các biện pháp phòng chống tương ứng.

 Chương 4: PHÂN TÍCH ÁP DỤNG KHUYẾN NGHỊ X.805 CHO THIẾT KẾ AN NINH

MẠNG NGN
o Chương này trình bày về quy trình áp dụng X.805 vào thiết kế giải pháp an
ninh mạng NGN do học viên và nhóm nghiên cứu tại CDiT đề xuất.
 Chương 5. KẾT QUẢ ÁP DỤNG X.805 CHO MẠNG NGN
o Chương này trình bày các kết quả áp dụng X.805 đối với các thiết bị trong
mạng NGN đối với các dịch vụ VPN L2 (E-LINE, E-LAN) và dịch vụ HSI.
 Chương 6. ĐÁNH GIÁ KẾT QUẢ ĐẠT ĐƯỢC VÀ KHUYẾN NGHỊ
o Chương này đánh giá các kết quả đạt được của luận văn, các khuyến nghị về
an ninh đầu cuối cho NGN đối với các nhà cung cấp dịch vụ Viễn thông
 Phụ Lục. GIẢI PHÁP CHỐNG DoS CỦA ARBOR
o Phần này giới thiệu giải pháp an ninh mạng băng rộng của Arbor.


23
Chương 1. MẠNG THẾ HỆ MỚI

1.1 Tóm tắt chương
Chương này trình bày những vấn đề liên quan đến mạng thế mới (NGN) gồm: mô hình tham
chiếu NGN theo ITU-T, một số công nghệ chủ đạo cho truyền tải và truy nhập NGN. Quan
trọng nhất là việc đề xuất một mô hình NGN điển hình có thể áp dụng với các nhà khai thác
và cung cấp dịch vụ Viễn thông, đặc biệt là ở Việt Nam.

1.2 Xu hướng của các dịch vụ Viễn thông
• Lưu lượng thoại truyền thống suy giảm, chuyển dịch sang các dịch vụ di động và
VoIP.
• Sự phát triển nhanh chóng của các phương thức truy nhập băng rộng càng gia tốc
thêm sự suy giảm của các dịch vụ truyền thống.











• Các dịch vụ băng rộng chiếm tài nguyên mạng hơn rất nhiều so với các dịch vụ
truyền thống.
• Tuy nhiên, trong tương lai gần 80% lợi nhuận của các nhà khai thác viễn thông vẫn
đến từ các dịch vụ truyền thống: TDM voice, Leased-line…

1.2.1 Các thách thức với các nhà cung cấp dịch vụ viễn thông
 Duy trì “sự trung thành” của các khách hàng hiện có.
 Tăng tỉ lệ ARPU bằng cách giới thiệu các gói dịch vụ, các loại hình dịch vụ mới, đa
dạng tới các đối tượng khách hàng khác nhau.
 Giảm chi phí đầu từ (CAPEX) và chi phí vận hành (OPEX) nhiều hơn so với các đối
thủ cạnh tranh.
 Xây dựng một cơ sở hạ tầng mạng thống nhất, vững chắc và đáp ứng sẵn sàng các
yêu cầu của các dịch vụ phát triển trong tương lai .
 Xu hướng tiến lên NGN là xu hướng tất yếu của các nhà cung cấp dịch vụ viễn thông
Hình 1.1 Xu hướng của các dịch vụ Viễn thông

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×