軟交換網絡結構設計相關安全問題探討

提要：目前，網絡建設的主要任務便是提供一個安全可靠的網絡環境，網絡的安全問題對于軟交換系統來說非常重要。文章基于此針對軟交換網絡的結構和安全隱患進行分析，并進一步提出軟交換中網絡安全問題的解決方案，對軟交換的網絡安全問題的解決提供參考。

關鍵詞：軟交換 網絡安全 網絡通訊

隨著通信網絡技術的飛速發展，人們對于寬帶及業務的要求也在迅速增長，為了向用戶提供更加靈活、多樣的現有業務和新增業務，提供給用戶更加個性化的服務，提出了下一代網絡的概念。

一、軟交換的網絡結構

1.媒體接入層。媒體接入層負責將各種不同的網絡及終端設備接入，主要是把現有網絡相關的各種網關或終端設備接入軟交換控制的網中。它能夠將用戶連接到網絡，并把業務量集中后利用公共的傳輸平臺傳輸到目的地。接入層的設備包括各種不同的網絡、終端設備以及各種網關設備。

2.傳輸層。傳輸層主要是為業務媒體流和控制信息流提供統一的、保證QoS的高速分組傳輸平臺.其任務主要是將軟交換網各網元，如接入層的各種媒體網關、控制層的軟交換機、業務應用層的各種服務器平臺等連接起來。軟交換網的各網元間，采用IP數據包傳輸各種控制信息和業務數據信息，因而傳輸層實際上就是一個承載網絡。

3.控制層。控制層完成各種呼叫控制功能，并負責相應的業務處理信息的傳輸。該層最主要的設備就是軟交換系統，其地位相當干傳統通信網中的交換機，是網絡的核心設備。軟交換系統的主要功能是完成對媒體接入層中所有媒體網關的業務控制及媒體網關之間通信的控制。

4.業務應用層。業務應用層主要指面向用戶提供各種應用和服務的設備。它采用開放、綜合的業務接入平臺。為下一代網絡提供各種增值業務、多媒體業務和第三方業務，同時還具有相應的業務生成和維護環境。

軟交換是下一代網絡的核心設備之一，各運營商在組建基于軟交換技術的網絡結構時，必須考慮到與其它各種網絡的互通。

二、軟交換網絡中存在的安全問題

軟交換網絡中接入節點比較多，用戶的接入方式和接入地點都非常靈活，相對傳統網絡來說，軟交換的網絡環境更為復雜，所以軟交換網絡也就勢必將面臨著更加突出的安全問題。

1.終端設備安全威脅

軟交換網絡中存在大量的終端設備。包括IAD設備、SIP/H.323終端和PC軟終端等。軟交換網絡接入靈活，任何可以接入IP網絡的地點均可以接入終端，但是這種特性在為用戶帶來方便的同時，也導致可能存在用戶利用非法終端或設備訪問網絡，占用網絡資源，非法使用業務和服務；同時，某些用戶可能使用非法終端或設備向網絡發起攻擊，對網絡的安全造成威脅。

2.網絡安全威脅

由于缺乏合理有效的安全措施，以IP為基礎的因特網網絡安全事件十分頻繁，主要包括蠕蟲病毒的泛濫和黑客的攻擊。當前互聯網病毒十分猖撅，每天都有新病毒出現，這些病毒輕則大量占用網絡資源和網絡帶寬，導致正常業務訪問緩慢，甚至無法訪問網絡資源，重則導致整個網絡癱瘓。造成無法彌補的損失。

軟交換網絡采用IP分組網作為傳輸承載，而且軟交換網絡提供的業務大部分屬于實時業務，對網絡的安全可靠性要求更高，當網絡由于病毒導致帶寬大量占用、訪問速度很慢甚至無法訪問時，軟交換網絡就無法為用戶提供任何服務。

3.關鍵設備安全威脅

軟交換網絡中的關鍵設備包括:軟交換設備、媒體網關、信令網關、應用服務器、媒體服務器等，由于下一代網絡選擇分組網絡作為承載網路，并且各種信息主要采用IP分組的方式進行傳輸。IP協議的簡單性和通用性為網絡上對關鍵設備的各種攻擊提供了便利的條件。

4.信息安全威脅

信息安全主要包括軟交換與終端之間信令消息的安全、用戶之間媒體信息的安全以及用戶私有信息(包括用戶名、密碼等)的安全。由于軟交換網絡采用開放的IP網絡傳輸信息，在網絡上傳輸的數據就很容易被監聽，如果軟交換與終端之間的信令消息被監聽，有可能導致終端用戶私有信息的泄漏，導致監聽者可以利用監聽到的信息偽造成合法用戶接入網絡；如果用戶之間媒體信息被惡意監聽，將導致用戶私密信息的泄漏。

三、軟交換中網絡安全問題的解決方案

1.認證服務器和策略服務器的接入

在軟交換的應用層添加認證服務器和策略服務器，一方面可以保證認證的有效性和可靠性，另一方面可以對整個網絡實行策略性的管理，從而降低軟交換中的不安全因素對其的影響。對于軟交換中的網絡安全來說，網絡管理起到了很重要的作用。一般來說一個合格的網絡管理系統至少應該具備故障管理、配置管理、性能管理、計費管理和安全管理等功能。而計費和安全又是網絡管理和安全的重中之重。

通過接入認證計費服務器，實現認證功能和計費功能。對于認證來說要能夠實現:接受用戶接入認證請求，對用戶使用系統的權限進行認證，支持卡號用戶的漫游認證。對于計費功能來說，要實現接收來自數據采集點的用戶計費信息，根據費率及其相應的計費規則生成計費賬單。通過接入策略服務器，可以更好的對整個網絡實行管理。可以針對不能級別的用戶，提供相應的數據庫管理和服務。

2.IPSec的體系結構

IPSec是一個開放式的網絡安全標準，它在TCP/IP協議棧的IP層實現，可為上層協議無縫地提供安全保障，各種應用程序可以享用IP層提供的安全服務和密鑰管理，而不必設計自己的安全機制。

IPSec體系提供標準的、安全的、普遍的機制。可以保護主機之間、網關之間和主機與網關之間的數據包安全。由于涉及的算法為標準算法，可以保證互通性，并且可以提供嵌套安全服務。

3.軟交換中實現防火墻技術方案

防火墻是一類防范措施的總稱，它隔離了內部網絡和外部網絡，限制網絡之間的訪問，以此來保護內部網絡。對常規防火墻來說，如果傳送的是TCP包，為了起到保護軟交換的目的，通常都是軟交換先往外部發送TCP包之后，才能打開相應的外部主機要發往內部主機的端口，而對于外部主機在這之前發往內部的包一律做丟棄處理。軟交換的信令連接可使用TCP或者是UDP。如果使用的是UDP，并且通信雙方長時間沒有通信流量的情況下，就會面臨端口被定時關閉的問題。

目前，我國的網絡與通信標準組正在積極開展對基于軟交換的網絡組網方面的研究。找到一種適合我國運營商的軟交換網絡組網方案將是下一個階段的研究重點。本文所涉及的關于軟交換方面存在的一些問題及解決措施，只是個人的一些觀點和看法。僅供參考。

參考文獻：

[1]莊振運.軟交換技術及其標準[J].電流技術，2001，(4):31-35.

[2]陳云坤，付光軒.軟交換中的網絡安全問題[J].貴州大學學報(自然科學報)，2007，(2):79-183.