一、引言
　　為了能夠適應未來的通信發(fā)展需求，通信網(wǎng)絡的轉(zhuǎn)變勢在必行。當前的基于不同傳輸和控制技術的各種網(wǎng)絡必須融合為一個統(tǒng)一的、多業(yè)務的、以數(shù)據(jù)網(wǎng)絡為中心的、在開放的業(yè)務平臺上提供不同服務質(zhì)量業(yè)務的下一代網(wǎng)絡。而目前以軟交換為核心、光網(wǎng)絡和分組型傳送技術為基礎的開放式融合網(wǎng)成為業(yè)界選擇下一代網(wǎng)絡時的首要考慮對象。
　　目前，軟交換無論是標準還是設備都處在一個逐漸成熟的過程之中，國內(nèi)的運營公司所組建的軟交換網(wǎng)絡還主要是在試驗和試運行階段，在軟交換網(wǎng)絡中涉及的許多問題還有待深入地探討和研究，畢竟軟交換采用的是以IP網(wǎng)絡作為承載網(wǎng)絡的技術。IP技術本身存在的許多問題以及軟交換技術作為一個新的技術而存在的問題，都是軟交換技術在發(fā)展過程中需要面對和解決的問題。本文旨在通過對軟交換技術的跟蹤和研究，對軟交換網(wǎng)絡中所涉及的安全機制進行探討和分析。
　　軟交換網(wǎng)絡的承載網(wǎng)絡采用的是分組網(wǎng)絡，主要以IP網(wǎng)和ATM網(wǎng)作為承載網(wǎng)絡，通信協(xié)議和媒體信息主要采用IP數(shù)據(jù)包的形式進行傳送，軟交換網(wǎng)絡中接入節(jié)點比較多，用戶的接入方式和接入地點都非常靈活，所以軟交換網(wǎng)絡也就面臨著比較突出的安全問題，本文將從四個方面探討軟交換網(wǎng)絡中所涉及的安全機制。
二、網(wǎng)絡設備的安全
　　目前，關于軟交換安全方面的文章很少談到軟交換中網(wǎng)絡設備自身的安全問題，網(wǎng)絡設備是軟交換網(wǎng)絡中最為關鍵的設備，主要包括軟交換設備、中繼網(wǎng)關設備、信令網(wǎng)關設備、操作維護和網(wǎng)管設備等。為了充分保證軟交換網(wǎng)絡的安全，首先這些網(wǎng)絡設備本身要從物理設計層面上提供一定的安全機制，以便軟交換網(wǎng)絡能夠達到電信級網(wǎng)絡的要求。
　　軟交換技術采用呼叫和承載控制相分離的技術，網(wǎng)絡設備的處理能力有了很大的提高，可以處理更多的話務和承載更多的業(yè)務負荷，但隨之而來的問題就是安全性的問題。對于采用板卡方式設計的網(wǎng)絡設備，一塊單板在正常情況下能夠承載更多的話務和負荷，那么在發(fā)生故障時就有可能造成更大范圍內(nèi)的業(yè)務中斷和損失，所以對于處理類型的單板都需要做到備份處理。從目前對廠家所提供設備的情況了解來看，對于采用板卡方式設計的軟交換設備一般都提供相應的備份機制，在發(fā)生板卡的倒換時一般不會中斷現(xiàn)有的通話，但是對于中繼網(wǎng)關設備，當中繼網(wǎng)關設備的板卡發(fā)生倒換時，有可能造成實時通話中斷。這是因為在軟交換網(wǎng)絡中每個通話都分成了兩個層面，一個是呼叫控制層面（該功能由軟交換設備完成），一個是承載連接層面（這里主要由中繼網(wǎng)關設備完成），有的廠家對呼叫層面呼叫狀態(tài)的保持給予了重視但卻忽視了承載連接層面媒體連接狀態(tài)的保持。
　　在軟交換網(wǎng)絡中，隨著設備集成度的提高和ATM/IP技術的大量運用，物理端口和網(wǎng)絡端口的容量和密度都有了很大程度的提高，因此許多廠家在相關的設備中都提供了物理端口和網(wǎng)絡端口的備份。在已經(jīng)發(fā)布的《軟交換設備技術規(guī)范》中對此進行了明確的規(guī)定：“軟交換的IP出口設備應能夠支持以主備用的方式同時與分組承載網(wǎng)的網(wǎng)絡設備相連接，即要求支持IP接口單板間的熱備份機制”和“軟交換要支持端口級的熱備份機制”，物理端口和網(wǎng)絡端口的備份實現(xiàn)起來比較簡單，目前一般廠家的網(wǎng)絡設備都提供有相應的功能。
　　在軟交換網(wǎng)絡中最關鍵的設備--軟交換設備負責控制大量的設備和呼叫接續(xù)，處理能力和功能都非常強大，當軟交換設備出現(xiàn)問題和故障時，將給整個網(wǎng)絡造成非常大的影響。如何避免軟交換設備故障所造成的影響，需要考慮到雙歸屬或多歸屬的解決方案。首先，需要中繼網(wǎng)關、接入網(wǎng)關、綜合接入設備IAD等設備能夠檢測軟交換之間的連接性，這樣當這些設備檢測到和軟交換之間的連接丟失之后能夠向軟交換設備重新進行注冊。其次，需要這些設備能夠同時依次向多個軟交換設備進行注冊，這就需要中繼網(wǎng)關、接入網(wǎng)關和IAD設備在向軟交換設備注冊失敗之后，在有備份軟交換設備的情況下，網(wǎng)關設備能夠根據(jù)備份軟交換設備列表有序地向備份軟交換設備進行注冊，直到注冊成功為止，網(wǎng)關設備應該從多歸屬的軟交換設備上獲得完全相同的業(yè)務特征。在正常情況下，雙歸屬/多歸屬的軟交換設備各自承擔自己的業(yè)務，只有在一個軟交換設備失效的情況下才承擔另一個軟交換設備所承擔的業(yè)務，同時雙歸屬/多歸屬的軟交換設備在地理位置上應該位于不同的區(qū)域。
　　目前，對于雙歸屬/多歸屬功能的實現(xiàn)存在以下問題，一是連接性檢測問題。有些廠家生產(chǎn)的網(wǎng)關設備和IAD設備沒有連接性檢測機制，這樣從實際運營的角度來看雙歸屬/多歸屬功能的自動實現(xiàn)將存在問題，也給整個網(wǎng)絡的安全造成隱患；二是對于軟交換網(wǎng)絡中將大量存在的IAD設備，配置有軟交換接入列表的很少，有些IAD設備只配有一個所歸屬軟交換的IP地址，這樣對IAD設備也將無法實現(xiàn)雙歸屬/多歸屬的功能。如果采用啟動雙歸屬/多歸屬功能，需要互為備份歸屬的軟交換設備共用一個認證設備，以便對相應的網(wǎng)關設備、IAD設備統(tǒng)一進行認證。
　　有的廠家對軟交換設備的雙歸屬/多歸屬功能的重要性認識不夠，認為如果軟交換設備工作比較穩(wěn)定和可靠，就沒必要提供該功能，有的廠家干脆就不支持該功能，希望這些廠家能夠?qū)υ摴δ芤�起高度的重視。從網(wǎng)絡設備的安全運營角度來看，軟交換設備雙歸屬/多歸屬功能的支持是必需的，也是軟交換網(wǎng)絡安全運行必須考慮的一個環(huán)節(jié)。此外，需要考慮的是軟交換網(wǎng)絡中的操作維護、網(wǎng)管和軟件升級的安全。網(wǎng)管系統(tǒng)應具有不同級別的管理員權限管理機制，越權操作應予以禁止。對非法操作提供記錄信息，對系統(tǒng)可能造成潛在危害的請求，如多次認證失敗的連接、可疑的IP地址連接、頻發(fā)的大話務流量等，應能夠告警并采取相應的防范措施。
　　除了以上網(wǎng)絡設備需要考慮的安全問題之外，軟交換網(wǎng)絡中的核心設備（包括軟交換設備、媒體網(wǎng)關設備、服務器等）在IP網(wǎng)中的地位類似于網(wǎng)絡主機設備，因此要求這些核心網(wǎng)絡設備應具備數(shù)據(jù)網(wǎng)中主機設備所具有的安全措施，可以應用防火墻、入侵檢測、流量控制、安全日志與審計等技術實現(xiàn)對軟交換網(wǎng)絡核心設備的安全防護。
三、網(wǎng)絡的安全
　　網(wǎng)絡安全是指軟交換網(wǎng)絡本身的安全，既保證軟交換網(wǎng)絡中的媒體網(wǎng)關、軟交換設備、應用服務器、網(wǎng)管系統(tǒng)等設備不會受到非法攻擊。由于軟交換技術選擇了分組網(wǎng)絡作為承載網(wǎng)絡，并且各種信息主要采用IP分組的方式進行傳輸，IP協(xié)議的簡單和通用性為網(wǎng)絡黑客提供了便利的條件。
　　要保證軟交換網(wǎng)絡的安全，首先是要保證網(wǎng)絡中核心設備的安全，如果將核心的網(wǎng)絡設備置于開放的IP網(wǎng)絡中，網(wǎng)絡的安全性將很難保證，所以筆者認為網(wǎng)絡的核心設備必須放在專用網(wǎng)絡中，采用私有IP地址的方案。完全采用私有IP地址的方案也是不可行的，由于終端用戶的接入方式和接入地點比較靈活，因此軟交換設備要能夠接入和控制終端用戶，又要同時分配有對應的公有IP地址，這樣才能保證各種方式用戶的接入。為此，可以在核心網(wǎng)外側設置防火墻，并將軟交換網(wǎng)絡中少數(shù)需要與外界用戶進行通信的核心設備的私有地址映射到相應的公有地址，同時利用防火墻對進入核心網(wǎng)的數(shù)據(jù)包進行過濾，只允許特定端口號的數(shù)據(jù)包通過防火墻，這種方法可以對Ping of Death等一系列的DOS（分布式拒絕服務攻擊）攻擊進行過濾。
　　在骨干網(wǎng)層面，可以采用目前相對比較成熟的技術--MPLS VPN技術，構建相對獨立的VPN網(wǎng)絡。這樣可以對不同用戶間、用戶與公網(wǎng)間、業(yè)務子網(wǎng)和業(yè)務子網(wǎng)間的路由信息進行隔離，并且非MPLS VPN內(nèi)的用戶無法訪問到軟交換域VPN內(nèi)的網(wǎng)絡設備，從而可以保證網(wǎng)絡的安全。各種終端設備是軟交換網(wǎng)絡中最大的安全隱患，終端設備處于用戶端，存在被用來惡意攻擊軟交換網(wǎng)絡中核心網(wǎng)絡設備的可能性。建議在軟交換網(wǎng)絡的接入邊緣設置寬帶接入服務器（BAS--Broadband Access Server），作為用戶接入網(wǎng)和骨干網(wǎng)之間的網(wǎng)關，終結來自用戶接入網(wǎng)的連接，并提供接入到寬帶核心業(yè)務網(wǎng)（主要是IP網(wǎng)和ATM網(wǎng)）的服務。寬帶接入服務器一般具有網(wǎng)絡安全模塊和業(yè)務管理模塊，網(wǎng)絡安全模塊可以包括IP VPN模塊和防火墻模塊，業(yè)務管理模塊包括網(wǎng)絡接入認證與授權模塊、計費模塊和統(tǒng)計模塊，另外有些寬帶接入服務器還可以提供流量管理和控制。利用寬帶接入服務器可以對終端用戶的接入進行控制和管理。
　　軟交換網(wǎng)絡在邏輯上是與其它網(wǎng)絡相隔離的網(wǎng)絡，為了實現(xiàn)軟交換網(wǎng)絡的運營還要涉及與其它網(wǎng)絡的互通，不僅要和傳統(tǒng)的電信網(wǎng)絡（包括PSTN/PLMN，H.323網(wǎng)絡）和智能網(wǎng)的互通，還要涉及到與其它運營商的軟交換網(wǎng)絡、Internet網(wǎng)絡、企業(yè)網(wǎng)等網(wǎng)絡的互通。雖然針對上述的互通情況目前相關的規(guī)定和方案還不成熟，但有的廠家已經(jīng)提出了自己的解決方案，如實現(xiàn)媒體層面互通的網(wǎng)關和實現(xiàn)控制層面互通的網(wǎng)關設備，進行兩個不同網(wǎng)絡之間的地址變換、編解碼轉(zhuǎn)換和網(wǎng)絡的安全防護等功能，對這方面的方案和技術還有待進一步的研究。
四、信息的安全
　　信息的安全主要包括軟交換與終端之間傳輸協(xié)議的安全、用戶之間媒體信息的安全以及用戶私有信息（包括用戶名、密碼等）的安全，要保證這些信息不為非法用戶竊取和監(jiān)聽。
　　軟交換與終端之間的傳輸協(xié)議涉及H.248協(xié)議、MGCP協(xié)議、SIP協(xié)議和H.323協(xié)議，為了防止未授權的實體利用這些協(xié)議建立非法呼叫或者干涉合法呼叫，需要對這些協(xié)議的傳輸建立安全機制。當在IP網(wǎng)絡上傳輸H.248協(xié)議時，目前提出了兩種解決方案，一種是采用IPsec對協(xié)議傳輸進行安全保護。IPsec包括三個協(xié)議：加密協(xié)議、認證協(xié)議和密鑰交換協(xié)議。其中加密協(xié)議是封裝安全凈荷(ESP)協(xié)議對媒體網(wǎng)關/終端設備和軟交換設備之間傳送的消息提供加密；認證協(xié)議是認證頭（AH）協(xié)議對在媒體網(wǎng)關/終端設備和軟交換設備之間傳送的消息提供數(shù)據(jù)源認證，無連接完整性保護和可選的抗重發(fā)保護；密鑰交換協(xié)議是IKE協(xié)議提供媒體網(wǎng)關/終端設備和軟交換設備之間進行密鑰協(xié)商的機制。另一種是過渡性AH方案。如果低層協(xié)議不支持IPsec，則應建議采用過渡性AH方案，過渡性AH方案是在H.248協(xié)議頭中定義可選的AH頭來實現(xiàn)對協(xié)議連接的保護，過渡性AH方案只能提供一定程度的保護，例如該方案不能提供防竊聽保護。
　　當在IP網(wǎng)絡中傳送MGCP協(xié)議和SIP協(xié)議時，目前提出的主要安全機制也是IPsec協(xié)議。當軟交換設備和終端之間采用H.323協(xié)議時，按照H.323協(xié)議的相關描述，針對單個呼叫的安全性可采用AccessToken實現(xiàn)，即在信令消息中攜帶密鑰信息。
　　綜上所述，目前保證通信協(xié)議安全傳輸?shù)臋C制主要還是IPsec協(xié)議。有些廠家的軟交換設備和終端設備也能夠支持IPsec協(xié)議，但實際上并沒有使用該機制，主要是該機制所涉及到的一系列協(xié)議比較復雜，而且極大地增加了軟交換設備的負荷。
　　為了防止用戶之間的媒體信息被竊聽，可以對RTP包進行加密，目前主要采用對稱加密算法對RTP包進行加密。為了對RTP包進行加密，需要在呼叫建立過程中向終端傳送密鑰信息。隨著終端數(shù)量的增加，密鑰的需求量會成倍增加。為了能夠保證媒體信息的安全，用戶的媒體通信可能都需要使用不同的密鑰，所以對密鑰的分發(fā)提出了嚴峻的考驗，目前比較好的一種解決方案是采用Kerberos解決方案。Kerberos方案中提供一個安全的、可信任的密鑰分發(fā)中心（Key Distribution Center，KDC），SIP終端/IAD設備只要知道與KDC進行通信的密鑰就可以了，而不需要知道成百上千個不同的密鑰。使用該方案首先需要在軟交換網(wǎng)絡中提供一個新的設備--密鑰分發(fā)中心KDC，而且軟交換網(wǎng)絡中的終端設備需要支持和KDC之間的交互協(xié)議，并且該設備的安全也影響著整個系統(tǒng)的安全性，所以有關該方案還需要進一步的探討。
　　對于用戶私有信息包括用戶名、密碼、賬號等信息，目前主要采用的加密算法是MD5，用于用戶身份的認證。
　　為了保證信息的安全性，可以在軟交換用戶接入網(wǎng)絡側根據(jù)實際的網(wǎng)絡接入方式和網(wǎng)絡的實際情況采用某種接入網(wǎng)隔離技術，如采用虛擬局域網(wǎng)VLAN等隔離技術對用戶的數(shù)據(jù)流進行隔離，將用戶的語音信息和數(shù)據(jù)信息分別設置在不同的VLAN中，防止用戶的信息被非法用戶截取，并在一定程度上可以控制用戶之間的訪問。目前，VLAN技術已經(jīng)在網(wǎng)絡組織和網(wǎng)絡安全方面得到了廣泛的應用。
五、終端設備的安全
　　如上所述，在軟交換網(wǎng)絡中存在大量的終端設備，而且這些終端設備的接入地點和接入方式都非常靈活，這些終端都放置在用戶側，無法避免有些用戶利用非法終端或設備訪問網(wǎng)絡，占用網(wǎng)絡資源，非法享受業(yè)務和服務，并且某些用戶可能利用非法終端或設備向網(wǎng)絡發(fā)動攻擊，對網(wǎng)絡的安全造成威脅（如發(fā)送大量的IP數(shù)據(jù)包等）。因此，要保證軟交換網(wǎng)絡的安全，需要對軟交換網(wǎng)絡中的終端設備進行鑒權和認證，主要是IAD設備和SIP/H.323等終端設備。目前，對IAD設備的鑒權和認證主要有以下幾種方式：
　　第一種方式是IAD在向軟交換進行注冊時，軟交換設備可以從IAD向軟交換設備發(fā)送的注冊信息中提取出IP地址或域名，或者IP地址與其它參數(shù)的組合，與自身數(shù)據(jù)庫中的數(shù)據(jù)進行比較。如果提取出來的信息在數(shù)據(jù)庫中不存在，那么判定該IAD設備為非法終端，該IAD設備的注冊將失敗。這種方案對于采用靜態(tài)IP地址配置方式是可行的，但是為了IAD設備配置的靈活，有些IAD的IP地址采用動態(tài)分配的方式，IP地址和IAD設備之間沒有一一對應的關系，這樣通過IP地址來對IAD設備進行鑒權和認證就不可行了。
　　第二種方案是在IAD設備向軟交換發(fā)送的注冊信息中攜帶MAC地址信息。MAC地址信息對于IAD設備來說是惟一的，而且能夠惟一地標識IAD設備，該方案也是目前應用比較廣泛的一種方案。軟交換在收到IAD設備發(fā)送的注冊消息后，從中提取出MAC地址信息，并與自身數(shù)據(jù)庫中所保存的信息進行比較。為了實施該方案，需要在正常標準的H.248/MGCP協(xié)議的注冊命令中增加一些擴展參數(shù)來攜帶MAC地址信息�？紤]到MAC地址信息在網(wǎng)絡上傳輸時可能會被竊取，因此需要對IAD的MAC地址進行加密。
　　第三種方案是IAD設備在工作之前必須完成管理注冊和業(yè)務注冊。管理注冊就是IAD設備在啟動后向網(wǎng)管站進行注冊，業(yè)務注冊就是IAD設備向軟交換進行注冊，該方案具體可參見《IAD設備技術規(guī)范》中的資料性附錄C.3.3。
　　從目前各廠家所提供軟交換設備的情況來看，對IAD設備的鑒權和認證主要是集中在第一和第二種方案，或者在這兩種方案基礎上的一些變種，基本上可以保證合法的IAD設備接入到網(wǎng)絡。另外，有些廠家在IAD設備向軟交換發(fā)送的所有協(xié)議消息中都攜帶有相關的鑒權和認證信息，更進一步加強了網(wǎng)絡的安全，但從一定程度上也加重了軟交換設備的處理負荷。
　　對于SIP終端和H.323終端來講，目前還缺少相應的規(guī)范。另外，在這些終端設備上集中了較多的智能，而且不僅有以硬終端形式出現(xiàn)的終端設備，還有以軟終端形式出現(xiàn)的終端設備（所謂軟終端即為可以安裝在計算機上仿SIP終端或H.323終端功能的軟件），并且位置比較靈活。尤其是軟終端，對這種類型的終端采用類IAD設備的鑒權和認證方案是不可行的。目前，對于這些終端鑒權和認證的方式主要是基于用戶名和密碼，使用這些終端的用戶在向軟交換設備發(fā)送注冊消息時，需要首先輸入用戶名和密碼信息，并對這些信息都采用加密方式進行傳送，這些終端只有通過軟交換的鑒權和認證才能使用網(wǎng)絡資源。
六、結束語
　　軟交換網(wǎng)絡中的安全機制涉及的方面比較多，本文僅從四個方面對軟交換網(wǎng)絡中應該考慮的安全機制進行了闡述，并結合目前軟交換系統(tǒng)生產(chǎn)廠家具體實現(xiàn)情況，以及目前相關標準和規(guī)范的情況進行了探討和分析。安全機制是針對軟交換技術的研究，以及對軟交換網(wǎng)絡發(fā)展、軟交換網(wǎng)絡的運營都是必須要慎重考慮的問題。從以上分析來看，軟交換網(wǎng)絡中的安全機制有些方面還不太成熟，需要進一步地跟蹤和研究，以便提出切實可行的方案。

中國通信網(wǎng)(www.c114.net)—電信網(wǎng)技術