软交换网络中的安全机制_NGN及软交换

软交换网络中的安全机制

李海花 2003/12/31

　　摘要 从网络设备、网络、信息、终端设备四方面介绍了软交换网络中的安全机制问题。

　　关键词 软交换网络安全

一、引言

　　为了能够适应未来的通信发展需求，通信网络的转变势在必行。当前的基于不同传输和控制技术的各种网络必须融合为一个统一的、多业务的、以数据网络为中心的、在开放的业务平台上提供不同服务质量业务的下一代网络。而目前以软交换为核心、光网络和分组型传送技术为基础的开放式融合网成为业界选择下一代网络时的首要考虑对象。

　　目前，软交换无论是标准还是设备都处在一个逐渐成熟的过程之中，国内的运营公司所组建的软交换网络还主要是在试验和试运行阶段，在软交换网络中涉及的许多问题还有待深入地探讨和研究，毕竟软交换采用的是以IP网络作为承载网络的技术。IP技术本身存在的许多问题以及软交换技术作为一个新的技术而存在的问题，都是软交换技术在发展过程中需要面对和解决的问题。本文旨在通过对软交换技术的跟踪和研究，对软交换网络中所涉及的安全机制进行探讨和分析。

　　软交换网络的承载网络采用的是分组网络，主要以IP网和ATM网作为承载网络，通信协议和媒体信息主要采用IP数据包的形式进行传送，软交换网络中接入节点比较多，用户的接入方式和接入地点都非常灵活，所以软交换网络也就面临着比较突出的安全问题，本文将从四个方面探讨软交换网络中所涉及的安全机制。

二、网络设备的安全

　　目前，关于软交换安全方面的文章很少谈到软交换中网络设备自身的安全问题，网络设备是软交换网络中最为关键的设备，主要包括软交换设备、中继网关设备、信令网关设备、操作维护和网管设备等。为了充分保证软交换网络的安全，首先这些网络设备本身要从物理设计层面上提供一定的安全机制，以便软交换网络能够达到电信级网络的要求。

　　软交换技术采用呼叫和承载控制相分离的技术，网络设备的处理能力有了很大的提高，可以处理更多的话务和承载更多的业务负荷，但随之而来的问题就是安全性的问题。对于采用板卡方式设计的网络设备，一块单板在正常情况下能够承载更多的话务和负荷，那么在发生故障时就有可能造成更大范围内的业务中断和损失，所以对于处理类型的单板都需要做到备份处理。从目前对厂家所提供设备的情况了解来看，对于采用板卡方式设计的软交换设备一般都提供相应的备份机制，在发生板卡的倒换时一般不会中断现有的通话，但是对于中继网关设备，当中继网关设备的板卡发生倒换时，有可能造成实时通话中断。这是因为在软交换网络中每个通话都分成了两个层面，一个是呼叫控制层面（该功能由软交换设备完成），一个是承载连接层面（这里主要由中继网关设备完成），有的厂家对呼叫层面呼叫状态的保持给予了重视但却忽视了承载连接层面媒体连接状态的保持。

　　在软交换网络中，随着设备集成度的提高和ATM/IP技术的大量运用，物理端口和网络端口的容量和密度都有了很大程度的提高，因此许多厂家在相关的设备中都提供了物理端口和网络端口的备份。在已经发布的《软交换设备技术规范》中对此进行了明确的规定：“软交换的IP出口设备应能够支持以主备用的方式同时与分组承载网的网络设备相连接，即要求支持IP接口单板间的热备份机制”和“软交换要支持端口级的热备份机制”，物理端口和网络端口的备份实现起来比较简单，目前一般厂家的网络设备都提供有相应的功能。

　　在软交换网络中最关键的设备--软交换设备负责控制大量的设备和呼叫接续，处理能力和功能都非常强大，当软交换设备出现问题和故障时，将给整个网络造成非常大的影响。如何避免软交换设备故障所造成的影响，需要考虑到双归属或多归属的解决方案。首先，需要中继网关、接入网关、综合接入设备IAD等设备能够检测软交换之间的连接性，这样当这些设备检测到和软交换之间的连接丢失之后能够向软交换设备重新进行注册。其次，需要这些设备能够同时依次向多个软交换设备进行注册，这就需要中继网关、接入网关和IAD设备在向软交换设备注册失败之后，在有备份软交换设备的情况下，网关设备能够根据备份软交换设备列表有序地向备份软交换设备进行注册，直到注册成功为止，网关设备应该从多归属的软交换设备上获得完全相同的业务特征。在正常情况下，双归属/多归属的软交换设备各自承担自己的业务，只有在一个软交换设备失效的情况下才承担另一个软交换设备所承担的业务，同时双归属/多归属的软交换设备在地理位置上应该位于不同的区域。

　　目前，对于双归属/多归属功能的实现存在以下问题，一是连接性检测问题。有些厂家生产的网关设备和IAD设备没有连接性检测机制，这样从实际运营的角度来看双归属/多归属功能的自动实现将存在问题，也给整个网络的安全造成隐患；二是对于软交换网络中将大量存在的IAD设备，配置有软交换接入列表的很少，有些IAD设备只配有一个所归属软交换的IP地址，这样对IAD设备也将无法实现双归属/多归属的功能。如果采用启动双归属/多归属功能，需要互为备份归属的软交换设备共用一个认证设备，以便对相应的网关设备、IAD设备统一进行认证。

　　有的厂家对软交换设备的双归属/多归属功能的重要性认识不够，认为如果软交换设备工作比较稳定和可靠，就没必要提供该功能，有的厂家干脆就不支持该功能，希望这些厂家能够对该功能引起高度的重视。从网络设备的安全运营角度来看，软交换设备双归属/多归属功能的支持是必需的，也是软交换网络安全运行必须考虑的一个环节。此外，需要考虑的是软交换网络中的操作维护、网管和软件升级的安全。网管系统应具有不同级别的管理员权限管理机制，越权操作应予以禁止。对非法操作提供记录信息，对系统可能造成潜在危害的请求，如多次认证失败的连接、可疑的IP地址连接、频发的大话务流量等，应能够告警并采取相应的防范措施。

　　除了以上网络设备需要考虑的安全问题之外，软交换网络中的核心设备（包括软交换设备、媒体网关设备、服务器等）在IP网中的地位类似于网络主机设备，因此要求这些核心网络设备应具备数据网中主机设备所具有的安全措施，可以应用防火墙、入侵检测、流量控制、安全日志与审计等技术实现对软交换网络核心设备的安全防护。

三、网络的安全

　　网络安全是指软交换网络本身的安全，既保证软交换网络中的媒体网关、软交换设备、应用服务器、网管系统等设备不会受到非法攻击。由于软交换技术选择了分组网络作为承载网络，并且各种信息主要采用IP分组的方式进行传输，IP协议的简单和通用性为网络黑客提供了便利的条件。

　　要保证软交换网络的安全，首先是要保证网络中核心设备的安全，如果将核心的网络设备置于开放的IP网络中，网络的安全性将很难保证，所以笔者认为网络的核心设备必须放在专用网络中，采用私有IP地址的方案。完全采用私有IP地址的方案也是不可行的，由于终端用户的接入方式和接入地点比较灵活，因此软交换设备要能够接入和控制终端用户，又要同时分配有对应的公有IP地址，这样才能保证各种方式用户的接入。为此，可以在核心网外侧设置防火墙，并将软交换网络中少数需要与外界用户进行通信的核心设备的私有地址映射到相应的公有地址，同时利用防火墙对进入核心网的数据包进行过滤，只允许特定端口号的数据包通过防火墙，这种方法可以对Ping of Death等一系列的DOS（分布式拒绝服务攻击）攻击进行过滤。

　　在骨干网层面，可以采用目前相对比较成熟的技术--MPLS VPN技术，构建相对独立的VPN网络。这样可以对不同用户间、用户与公网间、业务子网和业务子网间的路由信息进行隔离，并且非MPLS VPN内的用户无法访问到软交换域VPN内的网络设备，从而可以保证网络的安全。各种终端设备是软交换网络中最大的安全隐患，终端设备处于用户端，存在被用来恶意攻击软交换网络中核心网络设备的可能性。建议在软交换网络的接入边缘设置宽带接入服务器（BAS--Broadband Access Server），作为用户接入网和骨干网之间的网关，终结来自用户接入网的连接，并提供接入到宽带核心业务网（主要是IP网和ATM网）的服务。宽带接入服务器一般具有网络安全模块和业务管理模块，网络安全模块可以包括IP VPN模块和防火墙模块，业务管理模块包括网络接入认证与授权模块、计费模块和统计模块，另外有些宽带接入服务器还可以提供流量管理和控制。利用宽带接入服务器可以对终端用户的接入进行控制和管理。

　　软交换网络在逻辑上是与其它网络相隔离的网络，为了实现软交换网络的运营还要涉及与其它网络的互通，不仅要和传统的电信网络（包括PSTN/PLMN，H.323网络）和智能网的互通，还要涉及到与其它运营商的软交换网络、Internet网络、企业网等网络的互通。虽然针对上述的互通情况目前相关的规定和方案还不成熟，但有的厂家已经提出了自己的解决方案，如实现媒体层面互通的网关和实现控制层面互通的网关设备，进行两个不同网络之间的地址变换、编解码转换和网络的安全防护等功能，对这方面的方案和技术还有待进一步的研究。

四、信息的安全

　　信息的安全主要包括软交换与终端之间传输协议的安全、用户之间媒体信息的安全以及用户私有信息（包括用户名、密码等）的安全，要保证这些信息不为非法用户窃取和监听。

　　软交换与终端之间的传输协议涉及H.248协议、MGCP协议、SIP协议和H.323协议，为了防止未授权的实体利用这些协议建立非法呼叫或者干涉合法呼叫，需要对这些协议的传输建立安全机制。当在IP网络上传输H.248协议时，目前提出了两种解决方案，一种是采用IPsec对协议传输进行安全保护。IPsec包括三个协议：加密协议、认证协议和密钥交换协议。其中加密协议是封装安全净荷(ESP)协议对媒体网关/终端设备和软交换设备之间传送的消息提供加密；认证协议是认证头（AH）协议对在媒体网关/终端设备和软交换设备之间传送的消息提供数据源认证，无连接完整性保护和可选的抗重发保护；密钥交换协议是IKE协议提供媒体网关/终端设备和软交换设备之间进行密钥协商的机制。另一种是过渡性AH方案。如果低层协议不支持IPsec，则应建议采用过渡性AH方案，过渡性AH方案是在H.248协议头中定义可选的AH头来实现对协议连接的保护，过渡性AH方案只能提供一定程度的保护，例如该方案不能提供防窃听保护。

　　当在IP网络中传送MGCP协议和SIP协议时，目前提出的主要安全机制也是IPsec协议。当软交换设备和终端之间采用H.323协议时，按照H.323协议的相关描述，针对单个呼叫的安全性可采用AccessToken实现，即在信令消息中携带密钥信息。

　　综上所述，目前保证通信协议安全传输的机制主要还是IPsec协议。有些厂家的软交换设备和终端设备也能够支持IPsec协议，但实际上并没有使用该机制，主要是该机制所涉及到的一系列协议比较复杂，而且极大地增加了软交换设备的负荷。

　　为了防止用户之间的媒体信息被窃听，可以对RTP包进行加密，目前主要采用对称加密算法对RTP包进行加密。为了对RTP包进行加密，需要在呼叫建立过程中向终端传送密钥信息。随着终端数量的增加，密钥的需求量会成倍增加。为了能够保证媒体信息的安全，用户的媒体通信可能都需要使用不同的密钥，所以对密钥的分发提出了严峻的考验，目前比较好的一种解决方案是采用Kerberos解决方案。Kerberos方案中提供一个安全的、可信任的密钥分发中心（Key Distribution Center，KDC），SIP终端/IAD设备只要知道与KDC进行通信的密钥就可以了，而不需要知道成百上千个不同的密钥。使用该方案首先需要在软交换网络中提供一个新的设备--密钥分发中心KDC，而且软交换网络中的终端设备需要支持和KDC之间的交互协议，并且该设备的安全也影响着整个系统的安全性，所以有关该方案还需要进一步的探讨。

　　对于用户私有信息包括用户名、密码、账号等信息，目前主要采用的加密算法是MD5，用于用户身份的认证。

　　为了保证信息的安全性，可以在软交换用户接入网络侧根据实际的网络接入方式和网络的实际情况采用某种接入网隔离技术，如采用虚拟局域网VLAN等隔离技术对用户的数据流进行隔离，将用户的语音信息和数据信息分别设置在不同的VLAN中，防止用户的信息被非法用户截取，并在一定程度上可以控制用户之间的访问。目前，VLAN技术已经在网络组织和网络安全方面得到了广泛的应用。

五、终端设备的安全

　　如上所述，在软交换网络中存在大量的终端设备，而且这些终端设备的接入地点和接入方式都非常灵活，这些终端都放置在用户侧，无法避免有些用户利用非法终端或设备访问网络，占用网络资源，非法享受业务和服务，并且某些用户可能利用非法终端或设备向网络发动攻击，对网络的安全造成威胁（如发送大量的IP数据包等）。因此，要保证软交换网络的安全，需要对软交换网络中的终端设备进行鉴权和认证，主要是IAD设备和SIP/H.323等终端设备。目前，对IAD设备的鉴权和认证主要有以下几种方式：

　　第一种方式是IAD在向软交换进行注册时，软交换设备可以从IAD向软交换设备发送的注册信息中提取出IP地址或域名，或者IP地址与其它参数的组合，与自身数据库中的数据进行比较。如果提取出来的信息在数据库中不存在，那么判定该IAD设备为非法终端，该IAD设备的注册将失败。这种方案对于采用静态IP地址配置方式是可行的，但是为了IAD设备配置的灵活，有些IAD的IP地址采用动态分配的方式，IP地址和IAD设备之间没有一一对应的关系，这样通过IP地址来对IAD设备进行鉴权和认证就不可行了。

　　第二种方案是在IAD设备向软交换发送的注册信息中携带MAC地址信息。MAC地址信息对于IAD设备来说是惟一的，而且能够惟一地标识IAD设备，该方案也是目前应用比较广泛的一种方案。软交换在收到IAD设备发送的注册消息后，从中提取出MAC地址信息，并与自身数据库中所保存的信息进行比较。为了实施该方案，需要在正常标准的H.248/MGCP协议的注册命令中增加一些扩展参数来携带MAC地址信息。考虑到MAC地址信息在网络上传输时可能会被窃取，因此需要对IAD的MAC地址进行加密。

　　第三种方案是IAD设备在工作之前必须完成管理注册和业务注册。管理注册就是IAD设备在启动后向网管站进行注册，业务注册就是IAD设备向软交换进行注册，该方案具体可参见《IAD设备技术规范》中的资料性附录C.3.3。

　　从目前各厂家所提供软交换设备的情况来看，对IAD设备的鉴权和认证主要是集中在第一和第二种方案，或者在这两种方案基础上的一些变种，基本上可以保证合法的IAD设备接入到网络。另外，有些厂家在IAD设备向软交换发送的所有协议消息中都携带有相关的鉴权和认证信息，更进一步加强了网络的安全，但从一定程度上也加重了软交换设备的处理负荷。

　　对于SIP终端和H.323终端来讲，目前还缺少相应的规范。另外，在这些终端设备上集中了较多的智能，而且不仅有以硬终端形式出现的终端设备，还有以软终端形式出现的终端设备（所谓软终端即为可以安装在计算机上仿SIP终端或H.323终端功能的软件），并且位置比较灵活。尤其是软终端，对这种类型的终端采用类IAD设备的鉴权和认证方案是不可行的。目前，对于这些终端鉴权和认证的方式主要是基于用户名和密码，使用这些终端的用户在向软交换设备发送注册消息时，需要首先输入用户名和密码信息，并对这些信息都采用加密方式进行传送，这些终端只有通过软交换的鉴权和认证才能使用网络资源。

六、结束语

　　软交换网络中的安全机制涉及的方面比较多，本文仅从四个方面对软交换网络中应该考虑的安全机制进行了阐述，并结合目前软交换系统生产厂家具体实现情况，以及目前相关标准和规范的情况进行了探讨和分析。安全机制是针对软交换技术的研究，以及对软交换网络发展、软交换网络的运营都是必须要慎重考虑的问题。从以上分析来看，软交换网络中的安全机制有些方面还不太成熟，需要进一步地跟踪和研究，以便提出切实可行的方案。

中国通信网(www.c114.net)—电信网技术