基于軟交換技術的網絡安全問題研究

摘要:軟交換位于網絡控制層，它的主要任務是在各點之間建立關系，例如與媒體層網關的交互，以及接收正在處理的呼叫信息和指示網關完成呼叫，軟交換所處理的主要是實時業務。該文基于此，對軟交換的網絡安全問題進行了初步研究。

關鍵詞:軟交換;網絡安全;用戶數據

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)36-10213-03

According to Soft Exchange a Safe Problem of Technical Network

LUO Jie-li

(Changde Polytechnical Institute， Changde 415000， China)

Abstract: The soft commutation locates the network control layer， its main mission is at at all point of establishment relation， for example close with medium layer net of hand over with each other， and receive just at the call sign information for handle and indicate the net pass completion call sign， the soft exchange handle of mainly is solid hour business. This text according to this， to soft commutation of network the safe problem carried on first step a research.

Key words: soft exchange; network safety; customer data

軟交換是下一代網絡的核心技術，它是一種基于軟件的分布式交換和控制平臺。軟交換最早提出時是基于兩點:一是將現有的電路交換網逐步地向IP網過渡，替代傳統的電路交換網。二是向IP電話提供更多的業務，獲得與傳統的電路交換網所能提供的相同的業務。經過不斷地發展，軟交換體系按功能已經得到確認，可分為四層:媒體接入層、傳送層、控制層、業務及應用層。媒體接入層的功能是通過各種接入手段將各類用戶連接至網絡，并將信息格式轉換為能夠在網絡中傳遞的信息格式。傳送層的功能是采用分組技術，提供一個高可靠性的、具有QOS保證、大容量的綜合傳送平臺，并將信息媒體流傳送至目的地。控制層的功能是利用軟交換機，以軟件的形式控制接入設備完成呼叫接續。業務及應用層的功能是利用各種設備為整個體系提供各種豐富的增值業務、相應的網絡管理及服務。

1 軟交換技術的發展現狀

作為一種潛力巨大的新型技術，人們對軟交換技術寄于了太多的期望，供應商期望基于軟交換的網絡具有高可靠性，并能夠根據業務量的需求，靈活擴展和組網，期望軟交換技術能夠有效利用網絡資源、降低網絡建設成本、降低運營維護成本、留住客戶、適應市場需求以帶來增加新收入的機會，而用戶則期望軟交換技術能夠降低使用費用;期望供應商能夠提供更優質的服務。這些是軟交換技術在社會上帶來的心理層面的影響。對于軟交換技術本身，軟交換體系涉及的協議眾多，系列標準的形成將對指導研發和網絡應用起到巨大的作用，直接影響著產品設計思路、業務的生成及互通。國際上，IETF、ITU-T、SoftSwitch Org等組織對軟交換及協議的研究工作一直起著積極的主導作用，許多關鍵協議都已制定完成。這些協議將規范整個軟交換界的研發工作，使產品從使用各廠家私有協議階段進入使用業界共同標準協議階段，各家之間產品互通成為可能，真正實現軟交換體系產生的初衷——提供一個標準、開放的體系結構，各網絡部件可獨立發展。

在軟交換技術的研究進展方面，我國處于世界同步水平。信息產業部“網絡與交換標準研究組”在1999年下半年就啟動了軟交換項目的研究，目前已完成了《軟交換設備總體技術要求》，此外“IP標準研究組”還正在研制有關中繼媒體網關(TG)、信令網關(SG)、接入網關(AG)、綜合接入設備(IAD)等設備技術規范。

在軟交換產品方面，軟交換技術最初由計算機網絡設備商提出，主要用于解決企業用戶的VOIP接入問題。隨著業界對軟交換的逐步肯定，傳統交換設備制造商紛紛加入到軟交換的研制隊伍中，并陸續推出針對運營商級的解決方案，使得軟交換設備規模從企業級應用邁向了運營級應用。目前各廠家使用內部協議或業界標準協議，對基本語音業務及補充業務都能予以支持，多媒體業務大多處于研發之中，在今后將會有所發展和完善。

2 軟交換的主要功能

1)呼叫控制功能

軟交換設備可以為基本呼叫的建立、維持和釋放提供控制功能，包括呼叫處理、連接控制、智能呼叫觸發檢測和資源控制等;可以接收來自業務交換功能的監視請求，并對其中與呼叫相關的事件進行處理，接收來自業務交換功能的呼叫控制相關信息，支持呼叫的建立和監視;支持基本的兩方呼叫，包括和多方呼叫的控制功能及處理，特殊邏輯關系、呼叫成員的加入/退出/隔離旁聽以及混音過程的控制等;能夠識別媒體網關報告的用戶摘機、撥號和掛機等事件;控制媒體網關向用戶發送各種信號音，如撥號音、振鈴音、回鈴音等;提供滿足運營商需求的撥號計劃。當軟交換設備內不包含信令網關時，軟交換應能夠采用SS7/IP協議轉換實現與外設的信令網關互通，完成整個呼叫的建立與釋放功能，其主要承載協議采用信令控制傳輸協議(SCTP);設備可以控制媒體網關發送交互式語音應答(IVR)，以完成諸如二次撥號等多種業務;可以同時直接與H.248終端、媒體網關控制協議(MGCP)終端和會話啟動協議(SIP)客戶終端進行連接，提供相應業務。當軟交換位于PSTN/ISDN本地網時，應具有本地電話交換設備的呼叫處理功能;當軟交換位于PSTN/ISDN長途網時，應具有長途電話交換設備的呼叫處理功能。

2)業務提供功能

軟交換應能夠提供PSTN/ISDN交換機提供的業務，包括話音和多媒體業務等基本補充業務，可以與現有智能網配合提供現有智能網提供的業務;可以與第三方合作，提供多種增值和智能業務。

3)業務交換功能

主要包括業務控制觸發的識別以及與SCF間的通信、管理呼叫控制和SCF之間的信令、按要求修改呼叫/連接處理功能、在SCF控制下處理IN業務請求、業務交互作用管理等。業務交換功能與呼叫控制功能相結合提供了呼叫控制功能和業務控制功能(SCF)之間通信所要求的一切功能。

4)協議功能

軟交換是一個開放的、多協議的實體，因此必須采用標準協議與各種媒體網關、終端和網絡進行通信，這些協議包括:H.248、SCTP、ISUP、TUP、INAP、H.323、Radius、SNMP、SIP、MTP3用戶配置協議(M3UA)、MGCP、與承載無關的呼叫控制(BICC)、ISDN、V5協議等。

5)互聯互通功能

軟交換應可以通過信令網關實現分組網與現有七號信令網的互通;通過信令網關與現有智能網互通，為用戶提供多種智能業務;允許SCF控制VoIP呼叫且對呼叫信息進行操作;可以通過軟交換中的互通模塊，采用H.323協議實現與現有H.323體系的IP電話網的互通;采用SIP協議實現與未來SIP網絡體系的互通;可以與其他軟交換設備互通互連，它們之間的協議可以采用SIP或BICC;可以提供IP網內H.248終端、SIP終端和MGCP終端之間的互通。

6)資源管理功能

軟交換應提供資源管理功能，對系統中的各種資源進行集中的管理，如資源的分配、釋放和控制等。

7)計費功能

軟交換應具有采集詳細話單及復式計次功能，并能夠按照運營商的需求將話單傳送到相應的計費中心。當使用計帳卡等業務時，軟交換應具備實時斷線功能。

8)認證與授權功能

軟交換應能夠與認證中心連接，并可以將所管轄區域內的用戶、媒體網關信息送往認證中心進行認證與授權，以防止非法用戶或設備的接入。

9)地址解析功能

軟交換設備應可以完成E.164地址至IP地址、別名地址至IP地址的轉換功能，同時也可以完成重定向功能。

10)語音處理功能

軟交換可以控制媒體網關采用語音壓縮，并提供可選擇的語音壓縮算法，算法至少應包括G.729、G.723等;可以控制媒體網關采用回波抵消技術;還可以向媒體網關提供包緩存區的大小，以減少抖動對語音質量的影響。

3 基于軟交換的安全問題

根據軟交換的網絡結構特點，可將安全問題分成三個部分:網絡安全，用戶數據安全和業務安全。

網絡安全是指軟交換網絡本身的安全，即保證軟交換網絡中的媒體網關、軟交換機、應用服務器設備不會受到非法攻擊。由于軟交換技術選擇了 IP網作為承載網，IP協議的簡單和通用為網絡黑客提供了便利條件。當軟交換選擇了開放的 IP網作為承載網時，網絡安全問題尤其突出，必須在 IP網上采用合適的安全策略，以保證軟交換網的網絡安全。

用戶數據安全是指用戶的簽約信息和通信信息的安全，即不會被非法的第三方竊取和監聽。首先，軟交換網需采用必需的安全認證策略保證用戶簽約信息的安全，同時，無論是用戶的簽約信息還是用戶的通信信息的安全均需要 IP網的安全策略作為保證。

業務安全是指防止業務的非法盜用，非法搶占帶寬，防止非法終端和設備訪問網絡。

3.1 網絡安全

網絡安全是指軟交換網絡本身的安全，既保證軟交換網絡中的媒體網關、軟交換設備、應用服務器、網管系統等設備不會受到非法攻擊。由于軟交換技術選擇了分組網絡作為承載網絡，并且各種信息主要采用 IP 分組的方式進行傳輸，IP 協議的簡單和通用性為網絡黑客提供了便利的條件。

網絡安全還要保障軟交換設備通信的安全，包括信令和媒體報文的源認證、完整性、保密性和防重放等，以及網絡內信息隱藏，包括地址、拓撲等。要保證軟交換網絡的安全，首先是要保證網絡中核心設備的安全，如果將核心的網絡設備置于開放的 IP 網絡中，網絡的安全性將很難保證，所以可以將網絡的核心設備放在專用網絡中，采用私有 IP 地址的方案。完全采用私有 IP 地址的方案也是不可行的，由于終端用戶的接入方式和接入地點比較靈活，因此軟交換設備要能夠接入和控制終端用戶，又要同時分配有對應的公有 IP 地址，這樣才能保證各種方式用戶的接入。為此，可以在核心網外側設置防火墻，并將軟交換網絡中少數需要與外界用戶進行通信的核心設備的私有地址映射到相應的公有地址，同時利用防火墻對進入核心網的數據包進行過濾，只允許特定端口號的數據包通過防火墻，這種方法可以對Ping of Death 等一系列的 DOS(分布式拒絕服務攻擊)攻擊進行過濾。[2]

在骨干網層面，可以采用目前相對比較成熟的技術――MPLS VPN 技術，構建相對獨立的 VPN 網絡。這樣可以對不同用戶間、用戶與公網間、業務子網和業務子網間的路由信息進行隔離，并且非 MPLS VPN 內的用戶無法訪問到軟交換域 VPN 內的網絡設備，從而可以保證網絡的安全。各種終端設備是軟交換網絡中最大的安全隱患，終端設備處于用戶端，存在被用來惡意攻擊軟交換網絡中核心網絡設備的可能性。可以在軟交換網絡的接入邊緣設置寬帶接入服務器(BAS――Broadband Access Server)，作為用戶接入網和骨干網之間的網關，終結來自用戶接入網的連接，并提供接入到寬帶核心業務網(主要是 IP 網和 ATM 網)的服務。寬帶接入服務器一般具有網絡安全模塊和業務管理模塊，網絡安全模塊可以包括 IP VPN 模塊和防火墻模塊，業務管理模塊包括網絡接入認證與授權模塊、計費模塊和統計模塊，另外有些寬帶接入服務器還可以提供流量管理和控制。利用寬帶接入服務器可以對終端用戶的接入進行控制和管理。

網管系統應具有不同級別的管理員權限管理機制，越權操作應予以禁止。對非法操作提供記錄信息，對系統可能造成潛在危害的請求，如多次認證失敗的連接、可疑的 IP 地址連接、頻發的大話務流量等，應能夠告警并采取相應的防范措施。

3.2 用戶數據安全

用戶信息的安全主要包括軟交換與終端之間傳輸協議的安全、用戶之間媒體信息的安全以及用戶私有信息(包括用戶名、密碼等)的安全，要保證這些信息不為非法用戶竊取和監聽。對于用戶的私人信息的安全問題，主要存在于接入層。因此應該從三個方面來保證用戶信息的安全。

第一，對用戶的數據流進行隔離，防止用戶的信息被非法用戶截取。可以采取二層的 VLAN技術，對用戶的數據流進行隔離，用 ACL(Access Control List)控制用戶之間的互訪。

第二，為防止媒體流被篡改、竊取，應實施適當的安全機制來保護媒體連接，解決辦法就是對音頻消息進行加密。但隨著寬帶終端數量的增加，一方面密鑰需求量會成倍增加，另一方面用戶每次通信可能會使用不同的密鑰，因為若用戶一次又一次的使用相同的密鑰與別人交換信息，則如果某人偶然地接觸到了用戶的密鑰，那么用戶曾經和另一個人交換的每一條消息都不再是保密的了，另一方面，使用一個特定密鑰加密的信息越多，提供給竊聽者的材料也就越多，這就增加了他們竊密的機會，所有這些都對密鑰的分發提供了嚴峻的考驗。一種比較好的解決方案就是采用 Kerberos 解決方案，它是由 MIT發明的，使保密密鑰的管理和分發變得十分容易。Kerberos 建立了一個安全的、可信任的密鑰分發中心(Key Distribution Center，KDC)，SIP終端/IAD 設備只要知道與 KDC 進行通信的密鑰就可以了，而不需要知道成百上千個不同的密鑰。

第三，為了防止未授權的實體利用這些協議建立非法呼叫或者干涉合法呼叫，需要對這些協議的傳輸建立安全機制。目前提出了兩種解決方案，一種是采用 IPsec 對協議傳輸進行安全保護。IPsec包括三個協議:加密協議、認證協議和密鑰交換協議。其中加密協議是封裝安全凈荷(ESP)協議對媒體網關/終端設備和軟交換設備之間傳送的消息提供加密;認證協議是認證頭(AH)協議對在媒體網關/終端設備和軟交換設備之間傳送的消息提供數據源認證，無連接完整性保護和可選的抗重發保護;密鑰交換協議是IKE協議提供媒體網關/終端設備和軟交換設備之間進行密鑰協商的機制。另一種是過渡性AH方案。如果低層協議不支持IPsec，則應建議采用過渡性AH方案，過渡性AH方案是在H.248協議頭中定義可選的AH頭來實現對協議連接的保護，過渡性AH方案只能提供一定程度的保護，例如該方案不能提供防竊聽保護。

3.3 業務的安全

業務的安全主要是防止業務的非法盜用，非法搶占帶寬，防止非法終端和設備訪問網絡，解決的辦法就是軟交換網絡對 SIP智能終端和 IAD設備進行身份認證。

在軟交換網絡中存在大量的終端設備，而且這些終端設備的接入地點和接入方式都非常靈活，這些終端都放置在用戶側，無法避免有些用戶利用非法終端或設備訪問網絡，占用網絡資源，非法享受業務和服務，并且某些用戶可能利用非法終端或設備向網絡發動攻擊，對網絡的安全造成威脅(如發送大量的 IP數據包等)。因此，要保證軟交換網絡的安全，需要對軟交換網絡中的終端設備進行鑒權和認證，主要是 IAD設備和 SIP/H.323 等終端設備。目前，對 IAD設備的鑒權和認證主要有以下幾種方式:

第一種方案是 IAD在向軟交換進行注冊時，軟交換設備可以從 IAD向軟交換設備發送的注冊信息中提取出 IP地址或域名，或者 IP地址與其它參數的組合，與自身數據庫中的數據進行比較。如果提取出來的信息在數據庫中不存在，那么判定該 IAD設備為非法終端，該 IAD設備的注冊將失敗。這種方案對于采用靜態 IP地址配置方式是可行的，但是為了 IAD設備配置的靈活，有些 IAD的 IP地址采用動態分配的方式，IP地址和 IAD設備之間沒有一一對應的關系，這樣通過 IP地址來對 IAD設備進行鑒權和認證就不可行了。

第二種方案是在 IAD設備向軟交換發送的注冊信息中攜帶 MAC地址信息。MAC 地址信息對于 IAD 設備來說是惟一的，而且能夠惟一地標識 IAD 設備，該方案也是目前應用比較廣泛的一種方案。軟交換在收到 IAD設備發送的注冊消息后，從中提取出 MAC地址信息，并與自身數據庫中所保存的信息進行比較。為了實施該方案，需要在正常標準的 H.248/MGCP 協議的注冊命令中增加一些擴展參數來攜帶MAC 地址信息。考慮到 MAC 地址信息在網絡上傳輸時可能會被竊取，因此需要對IAD 的 MAC 地址進行加密。[3]

第三種方案是 IAD設備在工作之前必須完成管理注冊和業務注冊。管理注冊就是IAD 設備在啟動后向網管站進行注冊，業務注冊就是 IAD 設備向軟交換進行注冊。從目前軟交換設備的情況來看，對 IAD設備的鑒權和認證主要是集中在第一和第二種方案，或者在這兩種方案基礎上的一些變種，基本上可以保證合法的 IAD設備接入到網絡。另外，有些廠家在 IAD設備向軟交換發送的所有協議消息中都攜帶有相關的鑒權和認證信息，更進一步加強了網絡的安全，但從一定程度上也加重了軟交換設備的處理負荷。

對于 SIP終端和 H.323終端來講，目前還缺少相應的規范。另外，在這些終端設備上集中了較多的智能，而且不僅有以硬終端形式出現的終端設備，還有以軟終端形式出現的終端設備(所謂軟終端即為可以安裝在計算機上仿 SIP終端或 H.323終端功能的軟件)，并且位置比較靈活。尤其是軟終端，對這種類型的終端采用類 IAD設備的鑒權和認證方案是不可行的。目前，對于這些終端鑒權和認證的方式主要是基于用戶名和密碼，使用這些終端的用戶在向軟交換設備發送注冊消息時，需要首先輸入用戶名和密碼信息，并對這些信息都采用加密方式進行傳送，這些終端只有通過軟交換的鑒權和認證才能使用網絡資源。

4 總結

本文首先綜述軟交換的體系結構。針對軟交換特有的網絡構造，軟交換的安全問題可分為三個部分:網絡安全、用戶數據安全和業務安全。網絡安全包括軟交換核心設備的安全和 IP承載網的安全。根據這三方面的安全特性，分析了可能的安全威脅和安全隱患，并根據這些安全問題提出了一些解決措施和技術方案，以保證軟交換網絡的安全性。

參考文獻:

[1] 林俐，朱曉潔，張鵬生，趙學軍.下一代網絡(NGN)組網技術手冊[M].北京:機械工業出版社，2009.

[2] 陳云坤，付光軒.軟交換中的網絡安全問題[J].貴州大學學報，2007(2).

[3] 費娟.軟交換中網絡安全的解決方案[J].網絡安全技術與應用，2006(9).