軟交換的網(wǎng)絡(luò)結(jié)構(gòu)及其安全方案探討

胡　宇　徐　曌

【摘 要】隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)建設(shè)的主要任務(wù)便是提供一個安全可靠的網(wǎng)絡(luò)環(huán)境，網(wǎng)絡(luò)的安全問題對于軟交換系統(tǒng)來說非常重要。文章基于此針對軟交換網(wǎng)絡(luò)的結(jié)構(gòu)和安全隱患進(jìn)行分析，并進(jìn)一步提出軟交換中網(wǎng)絡(luò)安全問題的解決方案，對軟交換的網(wǎng)絡(luò)安全問題的解決提供參考。

【關(guān)鍵詞】軟交換 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)通訊

1 軟交換的網(wǎng)絡(luò)結(jié)構(gòu)

軟交換網(wǎng)絡(luò)的主要思想是業(yè)務(wù)與控制、傳輸與接入相分離，各實(shí)體間通過標(biāo)準(zhǔn)的協(xié)議進(jìn)行連接和通信。軟交換位于網(wǎng)絡(luò)的控制層，提供各種業(yè)務(wù)的呼叫控制、連接以及部分應(yīng)用業(yè)務(wù)。整個網(wǎng)絡(luò)分為四個層面:業(yè)務(wù)應(yīng)用層、控制層、傳輸層和媒體接入層。

1.1媒體接入層

媒體接入層負(fù)責(zé)將各種不同的網(wǎng)絡(luò)及終端設(shè)備接入，主要是把現(xiàn)有網(wǎng)絡(luò)相關(guān)的各種網(wǎng)關(guān)或終端設(shè)備接入軟交換控制的網(wǎng)中。它能夠?qū)⒂脩暨B接到網(wǎng)絡(luò)，并把業(yè)務(wù)量集中后利用公共的傳輸平臺傳輸?shù)侥康牡亍＝尤雽拥脑O(shè)備包括各種不同的網(wǎng)絡(luò)、終端設(shè)備以及各種網(wǎng)關(guān)設(shè)備。

1.2傳輸層

傳輸層主要是為業(yè)務(wù)媒體流和控制信息流提供統(tǒng)一的、保證QoS的高速分組傳輸平臺.其任務(wù)主要是將軟交換網(wǎng)各網(wǎng)元，如接入層的各種媒體網(wǎng)關(guān)、控制層的軟交換機(jī)、業(yè)務(wù)應(yīng)用層的各種服務(wù)器平臺等連接起來。軟交換網(wǎng)的各網(wǎng)元間，采用IP數(shù)據(jù)包傳輸各種控制信息和業(yè)務(wù)數(shù)據(jù)信息，因而傳輸層實(shí)際上就是一個承載網(wǎng)絡(luò)。

1.3控制層

控制層完成各種呼叫控制功能，并負(fù)責(zé)相應(yīng)的業(yè)務(wù)處理信息的傳輸。該層最主要的設(shè)備就是軟交換系統(tǒng)，其地位相當(dāng)干傳統(tǒng)通信網(wǎng)中的交換機(jī)，是網(wǎng)絡(luò)的核心設(shè)備。軟交換系統(tǒng)的主要功能是完成對媒體接入層中所有媒體網(wǎng)關(guān)的業(yè)務(wù)控制及媒體網(wǎng)關(guān)之間通信的控制。

1.4業(yè)務(wù)應(yīng)用層

業(yè)務(wù)應(yīng)用層主要指面向用戶提供各種應(yīng)用和服務(wù)的設(shè)備。它采用開放、綜合的業(yè)務(wù)接入平臺。為下一代網(wǎng)絡(luò)提供各種增值業(yè)務(wù)、多媒體業(yè)務(wù)和第三方業(yè)務(wù)，同時還具有相應(yīng)的業(yè)務(wù)生成和維護(hù)環(huán)境。

軟交換是下一代網(wǎng)絡(luò)的核心設(shè)備之一，各運(yùn)營商在組建基于軟交換技術(shù)的網(wǎng)絡(luò)結(jié)構(gòu)時，必須考慮到與其它各種網(wǎng)絡(luò)的互通。

2 軟交換網(wǎng)絡(luò)中存在的安全問題

軟交換網(wǎng)絡(luò)中接入節(jié)點(diǎn)比較多，用戶的接入方式和接入地點(diǎn)都非常靈活，相對傳統(tǒng)網(wǎng)絡(luò)來說，軟交換的網(wǎng)絡(luò)環(huán)境更為復(fù)雜，所以軟交換網(wǎng)絡(luò)也就勢必將面臨著更加突出的安全問題。

2.1終端設(shè)備安全威脅

軟交換網(wǎng)絡(luò)中存在大量的終端設(shè)備。包括IAD設(shè)備、SIP/H.323終端和PC軟終端等。軟交換網(wǎng)絡(luò)接入靈活，任何可以接入IP網(wǎng)絡(luò)的地點(diǎn)均可以接入終端，但是這種特性在為用戶帶來方便的同時，也導(dǎo)致可能存在用戶利用非法終端或設(shè)備訪問網(wǎng)絡(luò)，占用網(wǎng)絡(luò)資源，非法使用業(yè)務(wù)和服務(wù)；同時，某些用戶可能使用非法終端或設(shè)備向網(wǎng)絡(luò)發(fā)起攻擊，對網(wǎng)絡(luò)的安全造成威脅。另外，由于接入與地點(diǎn)的無關(guān)性，使得安全威脅發(fā)生后，很難定位發(fā)起安全攻擊的確切地點(diǎn)，無法追查責(zé)任人。

2.2網(wǎng)絡(luò)安全威脅

由于缺乏合理有效的安全措施，以IP為基礎(chǔ)的因特網(wǎng)網(wǎng)絡(luò)安全事件十分頻繁，主要包括蠕蟲病毒的泛濫和黑客的攻擊。當(dāng)前互聯(lián)網(wǎng)病毒十分猖撅，每天都有新病毒出現(xiàn)，這些病毒輕則大量占用網(wǎng)絡(luò)資源和網(wǎng)絡(luò)帶寬，導(dǎo)致正常業(yè)務(wù)訪問緩慢，甚至無法訪問網(wǎng)絡(luò)資源，重則導(dǎo)致整個網(wǎng)絡(luò)癱瘓。造成無法彌補(bǔ)的損失。

軟交換網(wǎng)絡(luò)采用IP分組網(wǎng)作為傳輸承載，而且軟交換網(wǎng)絡(luò)提供的業(yè)務(wù)大部分屬于實(shí)時業(yè)務(wù)，對網(wǎng)絡(luò)的安全可靠性要求更高，當(dāng)網(wǎng)絡(luò)由于病毒導(dǎo)致帶寬大量占用、訪問速度很慢甚至無法訪問時，軟交換網(wǎng)絡(luò)就無法為用戶提供任何服務(wù)。

2.3關(guān)鍵設(shè)備安全威脅

軟交換網(wǎng)絡(luò)中的關(guān)鍵設(shè)備包括:軟交換設(shè)備、媒體網(wǎng)關(guān)、信令網(wǎng)關(guān)、應(yīng)用服務(wù)器、媒體服務(wù)器等，由于下一代網(wǎng)絡(luò)選擇分組網(wǎng)絡(luò)作為承載網(wǎng)路，并且各種信息主要采用IP分組的方式進(jìn)行傳輸。IP協(xié)議的簡單性和通用性為網(wǎng)絡(luò)上對關(guān)鍵設(shè)備的各種攻擊提供了便利的條件。

2.4信息安全威脅

信息安全主要包括軟交換與終端之間信令消息的安全、用戶之間媒體信息的安全以及用戶私有信息(包括用戶名、密碼等)的安全。由于軟交換網(wǎng)絡(luò)采用開放的IP網(wǎng)絡(luò)傳輸信息，在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)就很容易被監(jiān)聽，如果軟交換與終端之間的信令消息被監(jiān)聽，有可能導(dǎo)致終端用戶私有信息的泄漏，導(dǎo)致監(jiān)聽者可以利用監(jiān)聽到的信息偽造成合法用戶接入網(wǎng)絡(luò)；如果用戶之間媒體信息被惡意監(jiān)聽，將導(dǎo)致用戶私密信息的泄漏。

3 軟交換中網(wǎng)絡(luò)安全問題的解決方案

網(wǎng)絡(luò)中缺乏認(rèn)證系統(tǒng)或者認(rèn)證并不可靠；網(wǎng)絡(luò)的管理策略存在缺陷，網(wǎng)絡(luò)中部分協(xié)議的漏洞以及來自網(wǎng)絡(luò)內(nèi)部與外部的惡意攻擊。下面將針對以上這些因素，逐一提出在軟交換網(wǎng)絡(luò)中應(yīng)該采取何種解決方式來保證網(wǎng)絡(luò)的安全。

3.1認(rèn)證服務(wù)器和策略服務(wù)器的接入

在軟交換的應(yīng)用層添加認(rèn)證服務(wù)器和策略服務(wù)器，一方面可以保證認(rèn)證的有效性和可靠性，另一方面可以對整個網(wǎng)絡(luò)實(shí)行策略性的管理，從而降低軟交換中的不安全因素對其的影響。對于軟交換中的網(wǎng)絡(luò)安全來說，網(wǎng)絡(luò)管理起到了很重要的作用。一般來說一個合格的網(wǎng)絡(luò)管理系統(tǒng)至少應(yīng)該具備故障管理、配置管理、性能管理、計(jì)費(fèi)管理和安全管理等功能。而計(jì)費(fèi)和安全又是網(wǎng)絡(luò)管理和安全的重中之重。

通過接入認(rèn)證計(jì)費(fèi)服務(wù)器，實(shí)現(xiàn)認(rèn)證功能和計(jì)費(fèi)功能。對于認(rèn)證來說要能夠?qū)崿F(xiàn):接受用戶接入認(rèn)證請求，對用戶使用系統(tǒng)的權(quán)限進(jìn)行認(rèn)證，支持卡號用戶的漫游認(rèn)證。對于計(jì)費(fèi)功能來說，要實(shí)現(xiàn)接收來自數(shù)據(jù)采集點(diǎn)的用戶計(jì)費(fèi)信息，根據(jù)費(fèi)率及其相應(yīng)的計(jì)費(fèi)規(guī)則生成計(jì)費(fèi)賬單。通過接入策略服務(wù)器，可以更好的對整個網(wǎng)絡(luò)實(shí)行管理。可以針對不能級別的用戶，提供相應(yīng)的數(shù)據(jù)庫管理和服務(wù)。

3.2IPSec的休系結(jié)構(gòu)

IPSec是一個開放式的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，它在TCP/IP協(xié)議棧的IP層實(shí)現(xiàn)，可為上層協(xié)議無縫地提供安全保障，各種應(yīng)用程序可以享用IP層提供的安全服務(wù)和密鑰管理，而不必設(shè)計(jì)自己的安全機(jī)制。

IPSec體系提供標(biāo)準(zhǔn)的、安全的、普遍的機(jī)制。可以保護(hù)主機(jī)之間、網(wǎng)關(guān)之間和主機(jī)與網(wǎng)關(guān)之間的數(shù)據(jù)包安全。由于涉及的算法為標(biāo)準(zhǔn)算法，可以保證互通性，并且可以提供嵌套安全服務(wù)。

3.3軟交換中實(shí)現(xiàn)防火墻技術(shù)方案

防火墻是一類防范措施的總稱，它隔離了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，限制網(wǎng)絡(luò)之間的訪問，以此來保護(hù)內(nèi)部網(wǎng)絡(luò)。對常規(guī)防火墻來說，如果傳送的是TCP包，為了起到保護(hù)軟交換的目的，通常都是軟交換先往外部發(fā)送TCP包之后，才能打開相應(yīng)的外部主機(jī)要發(fā)往內(nèi)部主機(jī)的端口，而對于外部主機(jī)在這之前發(fā)往內(nèi)部的包一律做丟棄處理。軟交換的信令連接可使用TCP或者是UDP。如果使用的是UDP，并且通信雙方長時間沒有通信流量的情況下，就會面臨端口被定時關(guān)閉的問題。

4 結(jié)語

對于運(yùn)營商來說，軟交換網(wǎng)絡(luò)是一個融合的網(wǎng)絡(luò)架構(gòu)，采用軟交換網(wǎng)絡(luò)有利于網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化和網(wǎng)絡(luò)資源的整合，能避免重復(fù)建網(wǎng)，并降低建設(shè)投資和運(yùn)維成本。文章針對軟交換中來自網(wǎng)絡(luò)本身的安全問題、來自終端方面的安全問題、來自關(guān)鍵設(shè)備方面的問題及來自信息安全方面的安全隱患進(jìn)行分析，提出了相應(yīng)的對策。

參考文獻(xiàn)：[1]陳云坤，付光軒.軟交換中的網(wǎng)絡(luò)安全問題[J].貴州大學(xué)學(xué)報(bào)(自然科學(xué)報(bào))，2007，(2):79-183.

[2]莊振運(yùn).軟交換技術(shù)及其標(biāo)準(zhǔn)[J].電流技術(shù)，2001，(4):31-35.

[3]呂屹.軟交換業(yè)務(wù)實(shí)現(xiàn)防火墻和地址轉(zhuǎn)換設(shè)備穿越的技術(shù)方案[J].廣東通信技術(shù)，2004，(6):11-15.

（作者單位：重慶水利電力職業(yè)技術(shù)學(xué)院）