相比傳統(tǒng)的電信網(wǎng)，NGN面臨著眾多的安全威脅，NGN的業(yè)務(wù)安全也面臨著巨大的挑戰(zhàn)。業(yè)務(wù)的開發(fā)和部署需要考慮到更多的安全特性和安全功能。利用UML安全擴(kuò)展UMLsec對NGN中的業(yè)務(wù)安全需求進(jìn)行分析建模，提出了一種細(xì)粒度的安全需求分析方法，通過抽象出安全功能抽象類說明NGN業(yè)務(wù)的安全特性需求。并通過用例討論了基于安全應(yīng)用接口的安全需求實(shí)現(xiàn)，使得各種安全特性能夠更方便、更靈活地集成到業(yè)務(wù)中。

下一代網(wǎng)絡(luò)(NGN)是基于分組網(wǎng)絡(luò)的、多業(yè)務(wù)融合并開放網(wǎng)絡(luò)能力的電信網(wǎng)絡(luò)。其基于分組交換的核心網(wǎng)絡(luò)為業(yè)務(wù)融合提供了傳輸基礎(chǔ)設(shè)施;其網(wǎng)絡(luò)能力的開放提高了業(yè)務(wù)的擴(kuò)展性，為第三方業(yè)務(wù)提供者進(jìn)入電信業(yè)務(wù)市場提供了良好的契機(jī)。但NGN中相對于傳統(tǒng)電信網(wǎng)而言松耦合的、開放的業(yè)務(wù)結(jié)構(gòu)特性和豐富的業(yè)務(wù)功能恰好與NGN基于通用計(jì)算平臺和IP傳輸網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在安全架構(gòu)上形成了矛盾。采用基于IP的分組網(wǎng)絡(luò)作為業(yè)務(wù)的承載網(wǎng)絡(luò)使得許多針對IP網(wǎng)絡(luò)的攻擊行為在電信網(wǎng)絡(luò)中成為可能，采用通用計(jì)算設(shè)備作為網(wǎng)絡(luò)中的控制實(shí)體將計(jì)算機(jī)的安全問題引入到網(wǎng)絡(luò)中的各個(gè)節(jié)點(diǎn)[1]。網(wǎng)絡(luò)能力和業(yè)務(wù)能力的開放也帶來了一系列業(yè)務(wù)層特有的安全問題。

目前，已經(jīng)有眾多的安全機(jī)制用于保證網(wǎng)絡(luò)和計(jì)算設(shè)備的安全，但這些安全機(jī)制都是針對某一個(gè)或某幾個(gè)特定安全問題和特定的環(huán)境設(shè)計(jì)的，如密鑰分配、實(shí)體認(rèn)證、機(jī)密性保護(hù)、完整性保護(hù)等，NGN業(yè)務(wù)針對不同的業(yè)務(wù)特征和業(yè)務(wù)執(zhí)行環(huán)境有著不同的、綜合的安全需求。如何理清業(yè)務(wù)的安全需求，并盡量通過已有的網(wǎng)絡(luò)安全能力是業(yè)務(wù)開發(fā)者面臨的一個(gè)問題。

鑒于業(yè)務(wù)開發(fā)過程面臨的復(fù)雜的安全需求，本文提出使用形式化建模語言UMLsec[3，4]對業(yè)務(wù)安全需求進(jìn)行分析，利用建模語言將業(yè)務(wù)所需的安全特性抽象成安全感知的類，通過這些類表達(dá)細(xì)粒度的安全功能，通過這些類的組合表達(dá)業(yè)務(wù)的安全需求。這些類的功能通過安全應(yīng)用接口實(shí)現(xiàn)，如GSS-API[5]、NGSS-API[6]，從而將安全特征集成到業(yè)務(wù)中。以便業(yè)務(wù)開發(fā)者在業(yè)務(wù)開發(fā)過程中擺脫安全機(jī)制實(shí)現(xiàn)細(xì)節(jié)的困擾，并且使得開發(fā)出來的業(yè)務(wù)安全特征具備可移植性。

一、NGN業(yè)務(wù)安全需求分析

1.UMLsec擴(kuò)展

UMLsec是基于UML標(biāo)準(zhǔn)擴(kuò)展機(jī)制的一個(gè)UMLprofile，通過在UML元模型中增加安全相關(guān)的約束、標(biāo)簽、定型等建模元素，使用UML圖來表達(dá)安全相關(guān)的語義和系統(tǒng)需求與約束。但目前的UMLsec是基于計(jì)算機(jī)網(wǎng)絡(luò)的環(huán)境定義的，將其用于NGN業(yè)務(wù)安全分析中來還需要進(jìn)行相應(yīng)的擴(kuò)展。主要的擴(kuò)展在于在UMLsec的元素中增加具備與NGN環(huán)境相關(guān)的定義，使其能夠更明確、更有針對性地表達(dá)NGN業(yè)務(wù)的特點(diǎn)與需求。本文中將業(yè)務(wù)的承載、執(zhí)行節(jié)點(diǎn)定義為NGN中業(yè)務(wù)的基礎(chǔ)架構(gòu)，并在UML元模型中對這些元素進(jìn)行定義，如圖1所示。

圖1 NGN基礎(chǔ)架構(gòu)模型擴(kuò)展

該擴(kuò)展針對Link和Node和兩個(gè)元類增加了NGN中關(guān)于承載和節(jié)點(diǎn)的定型�？梢愿鶕�(jù)需要對該模型作進(jìn)一步擴(kuò)展，如可以增加關(guān)于接入網(wǎng)承載的定型等。

2.基于UMLsec的威脅分析

針對圖1中定義的定型以及對網(wǎng)絡(luò)安全構(gòu)成威脅的攻擊者的類型，可以定義出威脅函數(shù)TheatA(s)。其中A表示攻擊者類型，這里假定攻擊者為具備一般能力的外部攻擊者，即其可以竊聽到廣播信道上的數(shù)據(jù)流量，并可以插入或刪除數(shù)據(jù)流量，能夠利用系統(tǒng)漏洞入侵系統(tǒng);表示為模型中定義的定型威脅函數(shù)的值域?yàn)閧delete，read，insert，access}。根據(jù)NGN中承載網(wǎng)絡(luò)和計(jì)算節(jié)點(diǎn)的特性，我們可以得出如下威脅函數(shù)，如表1所示。

表1 NGN基礎(chǔ)架構(gòu)的威脅函數(shù)

攻擊者對于IP承載的數(shù)據(jù)能夠執(zhí)行讀寫和刪除操作，故其能夠針對IP承載的業(yè)務(wù)進(jìn)行攻擊。如攻擊者可以修改正常的SIP消息以改變呼叫的路由，發(fā)出BYE等SIP消息拆除正常的SIP會話，通過截獲RTP承載的語音包并解碼以實(shí)現(xiàn)竊聽，可以在IP網(wǎng)絡(luò)中插入大量數(shù)據(jù)降低VoIP的QoS實(shí)現(xiàn)DoS攻擊，等等。

軟設(shè)備通�；�于通用的操作系統(tǒng)、數(shù)據(jù)庫等軟件。這些通用軟件以及協(xié)議棧的實(shí)現(xiàn)都可能具備能被攻擊者利用的漏洞。通過這些安全漏洞，攻擊者可以對這些設(shè)備發(fā)起拒絕服務(wù)攻擊(DoS)或獲得設(shè)備的訪問權(quán)。

由于NGN的基礎(chǔ)設(shè)施針對一般攻擊者的攻擊函數(shù)值通常都不為空，因此需要在業(yè)務(wù)開發(fā)和部署時(shí)利用安全機(jī)制來保證業(yè)務(wù)的安全。