淺談軟交換的安全問題及解決策略

張?chǎng)?/p>

（中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司四平市分公司，吉林 四平 136000）

軟交換網(wǎng)絡(luò)一個(gè)很大的優(yōu)勢(shì)就是具有開放性的平臺(tái)和接口，這樣可以方便的進(jìn)行業(yè)務(wù)擴(kuò)展，這樣各種第三方的業(yè)務(wù)以及網(wǎng)絡(luò)都可以方便的和電信網(wǎng)絡(luò)實(shí)現(xiàn)無縫連接。這就導(dǎo)致電信網(wǎng)絡(luò)的規(guī)模以及業(yè)務(wù)類型十分的復(fù)雜，傳統(tǒng)互聯(lián)網(wǎng)所面臨的病毒、黑客等危險(xiǎn)也隨之蔓延到電信網(wǎng)絡(luò)上，從而給運(yùn)營(yíng)商的服務(wù)造成巨大的威脅。因此，對(duì)于軟交換來說，能否做好安全保障工作是一個(gè)非常重要的環(huán)節(jié)。隨著軟交換技術(shù)的使用以及推廣，這就導(dǎo)致軟交換面臨著傳統(tǒng)的網(wǎng)絡(luò)安全問題。同時(shí)，軟交換網(wǎng)絡(luò)和傳統(tǒng)網(wǎng)絡(luò)相比還有自身的一些特點(diǎn)，因此其安全問題也具有自身的一些特點(diǎn)。在進(jìn)行軟交換安全防護(hù)的過程當(dāng)中一般都是從軟交換設(shè)備本身以及網(wǎng)絡(luò)這兩個(gè)大的方面為切入點(diǎn)來進(jìn)行的。首先應(yīng)該確保軟交換的相關(guān)設(shè)備自身在設(shè)置上的安全，并且做好相應(yīng)的硬件和軟件防護(hù)工作，從而使軟交換設(shè)備自身具有一定的安全防護(hù)能力。而對(duì)于網(wǎng)絡(luò)的安全，則是對(duì)于軟交換的承載網(wǎng)絡(luò)安全采取相應(yīng)的措施，建立健全完善的保護(hù)機(jī)制，防止通過網(wǎng)絡(luò)對(duì)軟交換設(shè)備造成的攻擊。

在軟交換網(wǎng)絡(luò)建設(shè)過程當(dāng)中一定要同時(shí)抓好軟交換設(shè)備安全以及網(wǎng)絡(luò)安全，兩者相輔相成，缺一不可。運(yùn)營(yíng)商首先要在思想上引起足夠的重視，做好相應(yīng)的軟交換安全保障工作。

1 軟交換面臨的主要安全隱患

軟交換所面臨的安全問題十分多樣，種類層出不窮，但是大體可以分為以下幾個(gè)方面：第一，網(wǎng)絡(luò)安全，主要是軟交換網(wǎng)絡(luò)自身的安全；第二，終端安全，終端主要是指用戶側(cè)的終端設(shè)備。當(dāng)前對(duì)于用戶終端的病毒以及攻擊十分常見，由于軟交換網(wǎng)絡(luò)無法對(duì)其進(jìn)行有效的防范，因此往往利用終端對(duì)網(wǎng)絡(luò)發(fā)起攻擊，進(jìn)而對(duì)軟交換的設(shè)備產(chǎn)生影響；第三，設(shè)備安全，主要是指各種軟交換的承載設(shè)備自身的安全，這種安全隱患大多都是由于設(shè)備運(yùn)行不規(guī)范或者是外部對(duì)其進(jìn)行攻擊。

2 軟交換安全服務(wù)措施

由于軟交換所面臨的安全隱患十分繁多，因此必須做好相應(yīng)的防范工作，為用戶提供安全的服務(wù)，可以通過以下幾個(gè)方面的措施來實(shí)現(xiàn)。

2.1 保密性。應(yīng)該采取相應(yīng)的手段對(duì)軟交換網(wǎng)絡(luò)中傳遞的數(shù)據(jù)進(jìn)行相應(yīng)的加密，從而防止沒有經(jīng)過授權(quán)的用戶非法截留數(shù)據(jù)。這樣講數(shù)據(jù)以加密的形式傳遞，即使數(shù)據(jù)被截留，那么也沒法進(jìn)行解讀。除此之外，應(yīng)該做好相應(yīng)的數(shù)據(jù)傳輸端口的防護(hù)工作，防止非法對(duì)相應(yīng)的端口進(jìn)行監(jiān)聽，保護(hù)數(shù)據(jù)的安全性。

2.2 認(rèn)證。建立嚴(yán)密的身份認(rèn)證程序，防止用戶合法身份被盜用，而對(duì)資源進(jìn)行竊取。對(duì)于數(shù)據(jù)傳輸之前雙方的身份以及數(shù)據(jù)來源進(jìn)行認(rèn)證，從而保證通信雙方都具有相應(yīng)的合法身份和對(duì)應(yīng)的權(quán)限。將業(yè)務(wù)和實(shí)體身份進(jìn)行捆綁，防止身份被盜用或者是偽裝欺騙。

2.3 完整性。為了防止未經(jīng)授權(quán)的用戶對(duì)數(shù)據(jù)繼續(xù)非法修改，可以利用VPN技術(shù)進(jìn)行通信。為了防止數(shù)據(jù)受到損壞，可以積極采用數(shù)字簽名以及其它的完整性檢測(cè)技術(shù)地?cái)?shù)據(jù)完整性進(jìn)行檢測(cè)。

2.4 訪問控制。通過完善的授權(quán)機(jī)制對(duì)于網(wǎng)絡(luò)中的關(guān)鍵部分提供保護(hù)，對(duì)于相應(yīng)的訪問者進(jìn)行等級(jí)劃分，具備相應(yīng)的等級(jí)才能夠訪問相應(yīng)的資源，防止對(duì)于沒有權(quán)限的資源進(jìn)行使用。建立完善的數(shù)據(jù)庫(kù)，用于存儲(chǔ)安全認(rèn)證信息，用戶進(jìn)行認(rèn)證時(shí)需要將信息進(jìn)行嚴(yán)格的比對(duì)。對(duì)于認(rèn)證信息數(shù)據(jù)庫(kù)也應(yīng)該設(shè)立較高的等級(jí)，防止數(shù)據(jù)庫(kù)被非法篡改。

2.5 安全協(xié)議。目前應(yīng)用較多的是IPSEC,SSL/TLS。至于MPLS，嚴(yán)格地說它并不是一種安全協(xié)議，其主要用途是兼容和并存目前各種IP路由和ATM交換技術(shù)，提供一種更加具有彈性和擴(kuò)充性的、效率更高的交換路由技術(shù)，它對(duì)網(wǎng)絡(luò)安全貢獻(xiàn)應(yīng)主要在于流量方面。

3 軟交換安全方案

軟交換網(wǎng)絡(luò)安全的實(shí)現(xiàn)，有多種方案可供選擇，下面介紹的IPSEC(ESP遂道模式)+SSL/TLS+認(rèn)證服務(wù)器/策略服務(wù)器+FW/NAT是一種可運(yùn)營(yíng)解決方案。IPSec體系提供標(biāo)準(zhǔn)的、安全的、普遍的機(jī)制?？梢员Ｗo(hù)主機(jī)之間、網(wǎng)關(guān)之間和主機(jī)與網(wǎng)關(guān)之間的數(shù)據(jù)包安全。由于涉及的算法為標(biāo)準(zhǔn)算法，可以保證互通性，并且可以提供嵌套安全服務(wù)。另外對(duì)IPV6而言它是一個(gè)強(qiáng)制標(biāo)準(zhǔn)，是今后發(fā)展的一個(gè)趨勢(shì)。

IPSEC協(xié)議主要由AH(認(rèn)證頭)協(xié)議，ESP(封裝安全載荷)協(xié)議和負(fù)責(zé)密鑰管理的IKE(因特網(wǎng)密鑰交換)協(xié)議三個(gè)協(xié)議組成。認(rèn)證頭(AH)協(xié)議對(duì)在媒體網(wǎng)關(guān)/終端設(shè)備和軟交換設(shè)備之間傳送的消息提供數(shù)據(jù)源認(rèn)證，無連接完整性保護(hù)和防重放攻擊保護(hù)。ESP協(xié)議除了提供數(shù)據(jù)完整性校驗(yàn)、身份認(rèn)證和防重放保護(hù)外，同時(shí)提供加密。ESP的加密和認(rèn)證是可選的，要求支持這兩種算法中的至少一種算法，但不能同時(shí)置為空。根據(jù)要求，ESP協(xié)議必須支持下列算法：第一，使用CBC模式的DES算法。第二，使用MD5的HMAC算法。第三，使用SHA-1的HMAC算法。第四，空認(rèn)證算法。第五，空加密算法。數(shù)據(jù)完整性可以通過校驗(yàn)碼 (MD5)來保證；數(shù)據(jù)身份認(rèn)證通過在待認(rèn)證數(shù)據(jù)中加入一個(gè)共享密鑰來實(shí)現(xiàn)；報(bào)頭中的序列號(hào)可以防止重放攻擊。IKE協(xié)議主要在通信雙方建立連接時(shí)規(guī)定使用的IPSec協(xié)議類型、加密算法、加密和認(rèn)證密鑰等屬性，并負(fù)責(zé)維護(hù)。IKE采用自動(dòng)模式進(jìn)行管理，IKE的實(shí)現(xiàn)可支持協(xié)商虛擬專業(yè)網(wǎng)(VPN)，也可從用于在事先并不知道的遠(yuǎn)程訪問接入方式。

認(rèn)證系統(tǒng)和策略系統(tǒng)對(duì)商用軟交換系統(tǒng)而言是必不可少的。它們?cè)诠芾韺用嫔蠈?shí)施訪問控制、信息驗(yàn)證、信息保密性等措施，可以為網(wǎng)絡(luò)提供安全保證。同時(shí)，認(rèn)證服務(wù)可以提計(jì)費(fèi)的準(zhǔn)確性，保證網(wǎng)絡(luò)的商業(yè)運(yùn)營(yíng)。

防火墻/NAT是保證網(wǎng)絡(luò)安全必不可少的一部分。防火墻種類繁多，它在較交換中的竅越問題可以通過兩種方法實(shí)現(xiàn):一是使用TCP；二是用短于關(guān)閉墻口時(shí)長(zhǎng)為周期，不斷發(fā)送消息，維持端口開啟

結(jié)束語

基于軟交換的NGN網(wǎng)絡(luò)所存在的安全問題一直以來受到大家的關(guān)注。而作為數(shù)據(jù)網(wǎng)絡(luò)上的一種新興的應(yīng)用，以IP作為承載媒體的軟交換所面臨的一些安全隱患，實(shí)際是目前IP網(wǎng)絡(luò)上存在的若干問題的延續(xù)。只有很好地解決了網(wǎng)絡(luò)的安全問題，同時(shí)配合產(chǎn)品本身的一些安全認(rèn)證機(jī)制，軟交換才能夠在新的電信網(wǎng)中持久穩(wěn)定的發(fā)揮作用，并成為解決話音、數(shù)據(jù)、視頻多媒體通信需求的有效解決方法，并最終完成"三網(wǎng)合一"。

網(wǎng)絡(luò)安全工作是一個(gè)以管理為主的系統(tǒng)工程，靠的是"三分技術(shù)，七分管理"，因此必須制定一系列的安全管理制度、安全評(píng)估和風(fēng)險(xiǎn)處置手段、應(yīng)急預(yù)案等，這些措施應(yīng)覆蓋網(wǎng)絡(luò)安全的各個(gè)方面，達(dá)到能夠解決的安全問題及時(shí)解決，可以減輕的安全問題進(jìn)行加固，不能解決的問題編制應(yīng)急預(yù)案減少安全威脅。與此同時(shí)，需要強(qiáng)有力的管理來保障這些制度和手段落到實(shí)處。

[1]徐鵬，廖建新，吳乃星，馬旭濤.基于軟交換的集群媒體服務(wù)器的安全問題及其解決方案[J].計(jì)算機(jī)應(yīng)用研究，2006(6).

[2]姜華.NGN組網(wǎng)的安全性分析與安全策略[J].現(xiàn)代電信科技，2003(11).

[3]費(fèi)娟，軟交換網(wǎng)絡(luò)安全解決方案探析[J].現(xiàn)代通信，2006(8).