淺談軟交換的安全問題及解決策略

張鑫

（中國聯合網絡通信有限公司四平市分公司，吉林 四平 136000）

軟交換網絡一個很大的優勢就是具有開放性的平臺和接口，這樣可以方便的進行業務擴展，這樣各種第三方的業務以及網絡都可以方便的和電信網絡實現無縫連接。這就導致電信網絡的規模以及業務類型十分的復雜，傳統互聯網所面臨的病毒、黑客等危險也隨之蔓延到電信網絡上，從而給運營商的服務造成巨大的威脅。因此，對于軟交換來說，能否做好安全保障工作是一個非常重要的環節。隨著軟交換技術的使用以及推廣，這就導致軟交換面臨著傳統的網絡安全問題。同時，軟交換網絡和傳統網絡相比還有自身的一些特點，因此其安全問題也具有自身的一些特點。在進行軟交換安全防護的過程當中一般都是從軟交換設備本身以及網絡這兩個大的方面為切入點來進行的。首先應該確保軟交換的相關設備自身在設置上的安全，并且做好相應的硬件和軟件防護工作，從而使軟交換設備自身具有一定的安全防護能力。而對于網絡的安全，則是對于軟交換的承載網絡安全采取相應的措施，建立健全完善的保護機制，防止通過網絡對軟交換設備造成的攻擊。

在軟交換網絡建設過程當中一定要同時抓好軟交換設備安全以及網絡安全，兩者相輔相成，缺一不可。運營商首先要在思想上引起足夠的重視，做好相應的軟交換安全保障工作。

1 軟交換面臨的主要安全隱患

軟交換所面臨的安全問題十分多樣，種類層出不窮，但是大體可以分為以下幾個方面：第一，網絡安全，主要是軟交換網絡自身的安全；第二，終端安全，終端主要是指用戶側的終端設備。當前對于用戶終端的病毒以及攻擊十分常見，由于軟交換網絡無法對其進行有效的防范，因此往往利用終端對網絡發起攻擊，進而對軟交換的設備產生影響；第三，設備安全，主要是指各種軟交換的承載設備自身的安全，這種安全隱患大多都是由于設備運行不規范或者是外部對其進行攻擊。

2 軟交換安全服務措施

由于軟交換所面臨的安全隱患十分繁多，因此必須做好相應的防范工作，為用戶提供安全的服務，可以通過以下幾個方面的措施來實現。

2.1 保密性。應該采取相應的手段對軟交換網絡中傳遞的數據進行相應的加密，從而防止沒有經過授權的用戶非法截留數據。這樣講數據以加密的形式傳遞，即使數據被截留，那么也沒法進行解讀。除此之外，應該做好相應的數據傳輸端口的防護工作，防止非法對相應的端口進行監聽，保護數據的安全性。

2.2 認證。建立嚴密的身份認證程序，防止用戶合法身份被盜用，而對資源進行竊取。對于數據傳輸之前雙方的身份以及數據來源進行認證，從而保證通信雙方都具有相應的合法身份和對應的權限。將業務和實體身份進行捆綁，防止身份被盜用或者是偽裝欺騙。

2.3 完整性。為了防止未經授權的用戶對數據繼續非法修改，可以利用VPN技術進行通信。為了防止數據受到損壞，可以積極采用數字簽名以及其它的完整性檢測技術地數據完整性進行檢測。

2.4 訪問控制。通過完善的授權機制對于網絡中的關鍵部分提供保護，對于相應的訪問者進行等級劃分，具備相應的等級才能夠訪問相應的資源，防止對于沒有權限的資源進行使用。建立完善的數據庫，用于存儲安全認證信息，用戶進行認證時需要將信息進行嚴格的比對。對于認證信息數據庫也應該設立較高的等級，防止數據庫被非法篡改。

2.5 安全協議。目前應用較多的是IPSEC,SSL/TLS。至于MPLS，嚴格地說它并不是一種安全協議，其主要用途是兼容和并存目前各種IP路由和ATM交換技術，提供一種更加具有彈性和擴充性的、效率更高的交換路由技術，它對網絡安全貢獻應主要在于流量方面。

3 軟交換安全方案

軟交換網絡安全的實現，有多種方案可供選擇，下面介紹的IPSEC(ESP遂道模式)+SSL/TLS+認證服務器/策略服務器+FW/NAT是一種可運營解決方案。IPSec體系提供標準的、安全的、普遍的機制。可以保護主機之間、網關之間和主機與網關之間的數據包安全。由于涉及的算法為標準算法，可以保證互通性，并且可以提供嵌套安全服務。另外對IPV6而言它是一個強制標準，是今后發展的一個趨勢。

IPSEC協議主要由AH(認證頭)協議，ESP(封裝安全載荷)協議和負責密鑰管理的IKE(因特網密鑰交換)協議三個協議組成。認證頭(AH)協議對在媒體網關/終端設備和軟交換設備之間傳送的消息提供數據源認證，無連接完整性保護和防重放攻擊保護。ESP協議除了提供數據完整性校驗、身份認證和防重放保護外，同時提供加密。ESP的加密和認證是可選的，要求支持這兩種算法中的至少一種算法，但不能同時置為空。根據要求，ESP協議必須支持下列算法：第一，使用CBC模式的DES算法。第二，使用MD5的HMAC算法。第三，使用SHA-1的HMAC算法。第四，空認證算法。第五，空加密算法。數據完整性可以通過校驗碼 (MD5)來保證；數據身份認證通過在待認證數據中加入一個共享密鑰來實現；報頭中的序列號可以防止重放攻擊。IKE協議主要在通信雙方建立連接時規定使用的IPSec協議類型、加密算法、加密和認證密鑰等屬性，并負責維護。IKE采用自動模式進行管理，IKE的實現可支持協商虛擬專業網(VPN)，也可從用于在事先并不知道的遠程訪問接入方式。

認證系統和策略系統對商用軟交換系統而言是必不可少的。它們在管理層面上實施訪問控制、信息驗證、信息保密性等措施，可以為網絡提供安全保證。同時，認證服務可以提計費的準確性，保證網絡的商業運營。

防火墻/NAT是保證網絡安全必不可少的一部分。防火墻種類繁多，它在較交換中的竅越問題可以通過兩種方法實現:一是使用TCP；二是用短于關閉墻口時長為周期，不斷發送消息，維持端口開啟

結束語

基于軟交換的NGN網絡所存在的安全問題一直以來受到大家的關注。而作為數據網絡上的一種新興的應用，以IP作為承載媒體的軟交換所面臨的一些安全隱患，實際是目前IP網絡上存在的若干問題的延續。只有很好地解決了網絡的安全問題，同時配合產品本身的一些安全認證機制，軟交換才能夠在新的電信網中持久穩定的發揮作用，并成為解決話音、數據、視頻多媒體通信需求的有效解決方法，并最終完成"三網合一"。

網絡安全工作是一個以管理為主的系統工程，靠的是"三分技術，七分管理"，因此必須制定一系列的安全管理制度、安全評估和風險處置手段、應急預案等，這些措施應覆蓋網絡安全的各個方面，達到能夠解決的安全問題及時解決，可以減輕的安全問題進行加固，不能解決的問題編制應急預案減少安全威脅。與此同時，需要強有力的管理來保障這些制度和手段落到實處。

[1]徐鵬，廖建新，吳乃星，馬旭濤.基于軟交換的集群媒體服務器的安全問題及其解決方案[J].計算機應用研究，2006(6).

[2]姜華.NGN組網的安全性分析與安全策略[J].現代電信科技，2003(11).

[3]費娟，軟交換網絡安全解決方案探析[J].現代通信，2006(8).