软交换的网络安全技术上的实现

8．8　软交换的网络安全技术上的实现

软交换网络的安全实现，需要从以下方面着手：

1．网络设备的安全

网络设备是软交换网络中最为关键的设备，主要包括软交换设备、中继网关设备、信令网关设备、操作维护和网管设备等。为了充分保证软交换网络的安全，首先这些网络设备本身要从物理设计层面上提供一定的安全机制，以便软交换网络能够达到电信级网络的要求。

对于采用板卡方式设计的网络设备，一块单板在正常情况下能够承载越多的话务和负荷，那么在发生故障时就有可能造成更大范围内的业务中断和损失，所以对于处理类似的单板都需要做到备份处理。

在软交换网络中，随着设备集成度的提高，物理端口和网络端口的容量和密度都有了很大程度的提高，因此许多设备中都提供了物理端口和网络端口的备份。在《软交换设备技术规范》中对此进行了明确的规定：软交换的IP出口设备应能够支持以主／备用的方式同时与分组承载网的网络设备相连接，即要求支持IP接口单板间的热备份机制和软交换要支持端口级的热备份机制。

为避免软交换设备故障所造成的影响，需要考虑到双归属或多归属的解决方案。双归属方案如图8．23所示，每个汇接层设备都和两个核心设备（S7510E）连接，当一条链路或核心设备出现故障时，可以通过另外一条链路和核心设备连接。因此，在双归属或多归属方案中，需要中继网关、接入网关、综合接入设备等能够检测软交换之间的连接性，这样当这些设备检测到和软交换之间的连接丢失之后能够向软交换设备重新进行注册。另外，需要这些设备能够同时依次向多个软交换设备进行注册，这就需要中继网关、接入网关和IAD在向软交换设备注册失败之后，在有备份软交换设备的情况下，网关设备能够根据备份软交换设备列表有序地向备份软交换设备进行注册，直到注册成功为止，网关设备应该从多归属的软交换设备上获得完全相同的业务特征。

除了以上网络设备需要考虑的安全问题之外，软交换网络中的核心设备（包括软交换设备、媒体网关设备、服务器等）在IP网中的地位类似于网络主机设备，因此要求这些核心网络设备应具备数据网中主机设备所具有的安全措施，可以应用防火墙、入侵检测、流量控制、安全日志与审计等技术实现对软交换网络核心设备的安全防护。

图8．23　双归属的网络结构

2．承载网络的安全

承载网络安全是指软交换网络本身的安全，即保证软交换网络中的媒体网关、软交换设备、应用服务器、网管系统等设备不会受到非法攻击。由于软交换技术选择了分组网络作为承载网络，并且各种信息主要采用IP分组的方式进行传输，IP协议的简单和通用性为网络黑客提供了便利的条件。

要保证软交换网络的安全，首先是要保证网络中核心设备的安全，如果将核心的网络设备置于开放的IP网络中，网络的安全性将很难保证，因此软交换设备要能够接入和控制终端用户。为此，可以在核心网外侧设置防火墙，并将软交换网络中少数需要与外界用户进行通信的核心设备的私有地址映射到相应的公有地址，同时利用防火墙对进入核心网的数据包进行过滤，只允许特定端口号的数据包通过防火墙，这种方法可以对Ping of Death等一系列的DoS（分布式拒绝服务攻击）攻击进行过滤。

在骨干网层面，可以采用目前相对比较成熟的技术——MPLSVPN技术，构建相对独立的VPN网络。这样可以对不同用户间、用户与公网间、业务子网和业务子网间的路由信息进行隔离，并且非MPLSVPN内的用户无法访问到软交换域VPN内的网络设备，从而可以保证网络的安全。各种终端设备是软交换网络中最大的安全隐患，终端设备处于用户端，存在被用来恶意攻击软交换网络中核心网络设备的可能。在软交换网络的接入边缘设置宽带接入服务器（Broadband Access Server，BAS），作为用户接入网和骨干网之间的网关，审查来自用户接入网的连接，并提供接入到宽带核心业务网（主要是IP网和ATM网）的服务。宽带接入服务器一般具有网络安全模块和业务管理模块，网络安全模块可以包括IPVPN模块和防火墙模块，业务管理模块包括网络接入认证与授权模块、计费模块和统计模块。另外，有些宽带接入服务器还可以提供流量管理和控制，利用宽带接入服务器可以对终端用户的接入进行控制和管理。

3．信息的安全

信息的安全主要包括软交换与终端之间传输协议的安全、用户之间媒体信息的安全以及用户私有信息（包括用户名、密码等）的安全，要保证这些信息不为非法用户窃取和监听。

软交换与终端之间的传输协议涉及H．248协议、MGCP协议、SIP协议和H．323协议，为了防止未授权的实体利用这些协议建立非法呼叫或者干涉合法呼叫，需要对这些协议的传输建立安全机制。当在IP网络上传输H．248协议时，目前提出了两种解决方案，一种是采用IPSec协议对传输进行安全保护，另一种是过渡性AH方案。

当在IP网络中传送MGCP协议和SIP协议时，主要采用的安全机制是IPSec协议。当软交换设备和终端之间采用H．323协议时，按照H．323协议的相关描述，针对单个呼叫的安全性可采用Access Token实现，即在信令消息中携带密钥信息。

为了防止用户之间的媒体信息被窃听，可以对RTP包进行加密，目前主要采用对称加密算法对RTP包进行加密。需要在呼叫建立过程中向终端传送密钥信息。随着终端数量的增加，密钥的需求量会成倍增加。为了能够保证媒体信息的安全，用户的媒体通信可能都需要使用不同的密钥，所以对密钥的分发提出了严峻的考验，目前比较好的一种解决方案是采用Kerberos解决方案。Kerberos方案中提供一个安全的、可信任的密钥分发中心（Key Distribution Center，KDC），SIP终端／IAD只要知道与KDC进行通信的密钥就可以了，而不需要知道成百上千个不同的密钥。使用该方案首先需要在软交换网络中提供一个新的设备——密钥分发中心（KDC），而且软交换网络中的终端设备需要支持和KDC之间的交互协议，并且该设备的安全也影响着整个系统的安全性，所以有关该方案还需要进一步的探讨。

对于用户私有信息包括用户名、密码、账号等信息，目前主要采用的加密算法是MD5，用于用户身份的认证。

为了保证信息的安全性，可以在软交换用户接入网络侧根据实际的网络接入方式和网络的实际情况采用某种接入网隔离技术，如采用虚拟局域网（VLAA）等隔离技术对用户的数据流进行隔离，将用户的话音信息和数据信息分别设置在不同的VLAA中，防止用户的信息被非法用户截取，并在一定程度上可以控制用户之间的访问。VLAA通过在数据包中的标签操作使交换机识别哪些数据包可以从哪些端口输出，从而将一个交换机的多个端口划分成多了虚拟网络，网络和网络之间的数据访问是被拒绝的，增强网络信息的安全性。

4．终端设备的安全

在软交换网络中存在大量的终端设备，而且这些终端设备的接入地点和接入方式都非常灵活，这些终端都放置在用户侧，无法避免有些用户利用非法终端或设备访问网络，占用网络资源，非法享受业务和服务，并且某些用户可能利用非法终端或设备向网络发动攻击，对网络的安全造成威胁（如发送大量的IP数据包等）。因此，要保证软交换网络的安全，需要对软交换网络中的终端设备进行鉴权和认证，主要是IAD和SIP／H．323等终端设备。目前，对IAD的鉴权和认证主要有以下几种方式：

第一种方式是IAD在向软交换进行注册时，软交换设备可以从IAD向软交换设备发送的注册信息中提取出IP地址或域名，或者IP地址与其他参数的组合，与自身数据库中的数据进行比较。如果提取出来的信息在数据库中不存在，那么判定该IAD为非法终端，该IAD的注册将失败，这种方案对于采用静态IP地址配置方式是可行的。但是，为了IAD配置的灵活，有些IAD的IP地址采用动态分配的方式，IP地址和IAD设备之间没有一一对应的关系，这样通过IP地址来对IAD设备进行鉴权和认证就不可行了。

第二种方案是在IAD设备向软交换发送的注册信息中携带MAC地址信息。MAC地址信息对于IAD来说是唯一的，而且能够唯一地标识IAD，该方案也是目前应用比较广泛的一种方案。软交换在收到IAD发送的注册消息后，从中提取出MAC地址信息，并与自身数据库中所保存的信息进行比较。为了实施该方案，需要在正常标准的H．248／MGCP协议的注册命令中增加一些扩展参数来携带MAC地址信息。考虑到MAC地址信息在网络上传输时可能会被窃取，因此需要对IAD的MAC地址进行加密。

对于SIP终端和H．323终端来讲，目前还缺少相应的规范。另外，在这些终端设备上集中了较多的智能，而且不仅有以硬终端形式出现的终端设备，还有以软终端形式出现的终端设备（所谓软终端即为可以安装在计算机上仿SIP终端或H．323终端功能的软件），并且位置比较灵活。尤其是软终端，对这种类型的终端采用类IAD的鉴权和认证方案是不可行的。目前，对于这些终端鉴权和认证的方式主要是基于用户名和密码，使用这些终端的用户在向软交换设备发送注册消息时，需要首先输入用户名和密码信息，并对这些信息都采用加密方式进行传送，这些终端只有通过软交换的鉴权和认证才能使用网络资源。