羅杰里

摘要:軟交換位于網(wǎng)絡(luò)控制層,它的主要任務(wù)是在各點之間建立關(guān)系,例如與媒體層網(wǎng)關(guān)的交互,以及接收正在處理的呼叫信息和指示網(wǎng)關(guān)完成呼叫,軟交換所處理的主要是實時業(yè)務(wù)。該文基于此,對軟交換的網(wǎng)絡(luò)安全問題進行了初步研究。

關(guān)鍵詞:軟交換;網(wǎng)絡(luò)安全;用戶數(shù)據(jù)

中圖分類號:TP393文獻標(biāo)識碼:A文章編號:1009-3044(2009)36-10213-03

According to Soft Exchange a Safe Problem of Technical Network

LUO Jie-li

(Changde Polytechnical Institute, Changde 415000, China)

Abstract: The soft commutation locates the network control layer, its main mission is at at all point of establishment relation, for example close with medium layer net of hand over with each other, and receive just at the call sign information for handle and indicate the net pass completion call sign, the soft exchange handle of mainly is solid hour business. This text according to this, to soft commutation of network the safe problem carried on first step a research.

Key words: soft exchange; network safety; customer data

軟交換是下一代網(wǎng)絡(luò)的核心技術(shù),它是一種基于軟件的分布式交換和控制平臺。軟交換最早提出時是基于兩點:一是將現(xiàn)有的電路交換網(wǎng)逐步地向IP網(wǎng)過渡,替代傳統(tǒng)的電路交換網(wǎng)。二是向IP電話提供更多的業(yè)務(wù),獲得與傳統(tǒng)的電路交換網(wǎng)所能提供的相同的業(yè)務(wù)。經(jīng)過不斷地發(fā)展,軟交換體系按功能已經(jīng)得到確認(rèn),可分為四層:媒體接入層、傳送層、控制層、業(yè)務(wù)及應(yīng)用層。媒體接入層的功能是通過各種接入手段將各類用戶連接至網(wǎng)絡(luò),并將信息格式轉(zhuǎn)換為能夠在網(wǎng)絡(luò)中傳遞的信息格式。傳送層的功能是采用分組技術(shù),提供一個高可靠性的、具有QOS保證、大容量的綜合傳送平臺,并將信息媒體流傳送至目的地?？刂茖拥墓δ苁抢密浗粨Q機,以軟件的形式控制接入設(shè)備完成呼叫接續(xù)。業(yè)務(wù)及應(yīng)用層的功能是利用各種設(shè)備為整個體系提供各種豐富的增值業(yè)務(wù)、相應(yīng)的網(wǎng)絡(luò)管理及服務(wù)。

1 軟交換技術(shù)的發(fā)展現(xiàn)狀

作為一種潛力巨大的新型技術(shù),人們對軟交換技術(shù)寄于了太多的期望,供應(yīng)商期望基于軟交換的網(wǎng)絡(luò)具有高可靠性,并能夠根據(jù)業(yè)務(wù)量的需求,靈活擴展和組網(wǎng),期望軟交換技術(shù)能夠有效利用網(wǎng)絡(luò)資源、降低網(wǎng)絡(luò)建設(shè)成本、降低運營維護成本、留住客戶、適應(yīng)市場需求以帶來增加新收入的機會,而用戶則期望軟交換技術(shù)能夠降低使用費用;期望供應(yīng)商能夠提供更優(yōu)質(zhì)的服務(wù)。這些是軟交換技術(shù)在社會上帶來的心理層面的影響。對于軟交換技術(shù)本身,軟交換體系涉及的協(xié)議眾多,系列標(biāo)準(zhǔn)的形成將對指導(dǎo)研發(fā)和網(wǎng)絡(luò)應(yīng)用起到巨大的作用,直接影響著產(chǎn)品設(shè)計思路、業(yè)務(wù)的生成及互通。國際上,IETF、ITU-T、SoftSwitch Org等組織對軟交換及協(xié)議的研究工作一直起著積極的主導(dǎo)作用,許多關(guān)鍵協(xié)議都已制定完成。這些協(xié)議將規(guī)范整個軟交換界的研發(fā)工作,使產(chǎn)品從使用各廠家私有協(xié)議階段進入使用業(yè)界共同標(biāo)準(zhǔn)協(xié)議階段,各家之間產(chǎn)品互通成為可能,真正實現(xiàn)軟交換體系產(chǎn)生的初衷——提供一個標(biāo)準(zhǔn)、開放的體系結(jié)構(gòu),各網(wǎng)絡(luò)部件可獨立發(fā)展。

在軟交換技術(shù)的研究進展方面,我國處于世界同步水平。信息產(chǎn)業(yè)部“網(wǎng)絡(luò)與交換標(biāo)準(zhǔn)研究組”在1999年下半年就啟動了軟交換項目的研究,目前已完成了《軟交換設(shè)備總體技術(shù)要求》,此外“IP標(biāo)準(zhǔn)研究組”還正在研制有關(guān)中繼媒體網(wǎng)關(guān)(TG)、信令網(wǎng)關(guān)(SG)、接入網(wǎng)關(guān)(AG)、綜合接入設(shè)備(IAD)等設(shè)備技術(shù)規(guī)范。

在軟交換產(chǎn)品方面,軟交換技術(shù)最初由計算機網(wǎng)絡(luò)設(shè)備商提出,主要用于解決企業(yè)用戶的VOIP接入問題。隨著業(yè)界對軟交換的逐步肯定,傳統(tǒng)交換設(shè)備制造商紛紛加入到軟交換的研制隊伍中,并陸續(xù)推出針對運營商級的解決方案,使得軟交換設(shè)備規(guī)模從企業(yè)級應(yīng)用邁向了運營級應(yīng)用。目前各廠家使用內(nèi)部協(xié)議或業(yè)界標(biāo)準(zhǔn)協(xié)議,對基本語音業(yè)務(wù)及補充業(yè)務(wù)都能予以支持,多媒體業(yè)務(wù)大多處于研發(fā)之中,在今后將會有所發(fā)展和完善。

2 軟交換的主要功能

1)呼叫控制功能

軟交換設(shè)備可以為基本呼叫的建立、維持和釋放提供控制功能,包括呼叫處理、連接控制、智能呼叫觸發(fā)檢測和資源控制等;可以接收來自業(yè)務(wù)交換功能的監(jiān)視請求,并對其中與呼叫相關(guān)的事件進行處理,接收來自業(yè)務(wù)交換功能的呼叫控制相關(guān)信息,支持呼叫的建立和監(jiān)視;支持基本的兩方呼叫,包括和多方呼叫的控制功能及處理,特殊邏輯關(guān)系、呼叫成員的加入/退出/隔離旁聽以及混音過程的控制等;能夠識別媒體網(wǎng)關(guān)報告的用戶摘機、撥號和掛機等事件;控制媒體網(wǎng)關(guān)向用戶發(fā)送各種信號音,如撥號音、振鈴音、回鈴音等;提供滿足運營商需求的撥號計劃。當(dāng)軟交換設(shè)備內(nèi)不包含信令網(wǎng)關(guān)時,軟交換應(yīng)能夠采用SS7/IP協(xié)議轉(zhuǎn)換實現(xiàn)與外設(shè)的信令網(wǎng)關(guān)互通,完成整個呼叫的建立與釋放功能,其主要承載協(xié)議采用信令控制傳輸協(xié)議(SCTP);設(shè)備可以控制媒體網(wǎng)關(guān)發(fā)送交互式語音應(yīng)答(IVR),以完成諸如二次撥號等多種業(yè)務(wù);可以同時直接與H.248終端、媒體網(wǎng)關(guān)控制協(xié)議(MGCP)終端和會話啟動協(xié)議(SIP)客戶終端進行連接,提供相應(yīng)業(yè)務(wù)。當(dāng)軟交換位于PSTN/ISDN本地網(wǎng)時,應(yīng)具有本地電話交換設(shè)備的呼叫處理功能;當(dāng)軟交換位于PSTN/ISDN長途網(wǎng)時,應(yīng)具有長途電話交換設(shè)備的呼叫處理功能。

2)業(yè)務(wù)提供功能

軟交換應(yīng)能夠提供PSTN/ISDN交換機提供的業(yè)務(wù),包括話音和多媒體業(yè)務(wù)等基本補充業(yè)務(wù),可以與現(xiàn)有智能網(wǎng)配合提供現(xiàn)有智能網(wǎng)提供的業(yè)務(wù);可以與第三方合作,提供多種增值和智能業(yè)務(wù)。

3)業(yè)務(wù)交換功能

主要包括業(yè)務(wù)控制觸發(fā)的識別以及與SCF間的通信、管理呼叫控制和SCF之間的信令、按要求修改呼叫/連接處理功能、在SCF控制下處理IN業(yè)務(wù)請求、業(yè)務(wù)交互作用管理等。業(yè)務(wù)交換功能與呼叫控制功能相結(jié)合提供了呼叫控制功能和業(yè)務(wù)控制功能(SCF)之間通信所要求的一切功能。

4)協(xié)議功能

軟交換是一個開放的、多協(xié)議的實體,因此必須采用標(biāo)準(zhǔn)協(xié)議與各種媒體網(wǎng)關(guān)、終端和網(wǎng)絡(luò)進行通信,這些協(xié)議包括:H.248、SCTP、ISUP、TUP、INAP、H.323、Radius、SNMP、SIP、MTP3用戶配置協(xié)議(M3UA)、MGCP、與承載無關(guān)的呼叫控制(BICC)、ISDN、V5協(xié)議等。

5)互聯(lián)互通功能

軟交換應(yīng)可以通過信令網(wǎng)關(guān)實現(xiàn)分組網(wǎng)與現(xiàn)有七號信令網(wǎng)的互通;通過信令網(wǎng)關(guān)與現(xiàn)有智能網(wǎng)互通,為用戶提供多種智能業(yè)務(wù);允許SCF控制VoIP呼叫且對呼叫信息進行操作;可以通過軟交換中的互通模塊,采用H.323協(xié)議實現(xiàn)與現(xiàn)有H.323體系的IP電話網(wǎng)的互通;采用SIP協(xié)議實現(xiàn)與未來SIP網(wǎng)絡(luò)體系的互通;可以與其他軟交換設(shè)備互通互連,它們之間的協(xié)議可以采用SIP或BICC;可以提供IP網(wǎng)內(nèi)H.248終端、SIP終端和MGCP終端之間的互通。

6)資源管理功能

軟交換應(yīng)提供資源管理功能,對系統(tǒng)中的各種資源進行集中的管理,如資源的分配、釋放和控制等。

7)計費功能

軟交換應(yīng)具有采集詳細(xì)話單及復(fù)式計次功能,并能夠按照運營商的需求將話單傳送到相應(yīng)的計費中心。當(dāng)使用計帳卡等業(yè)務(wù)時,軟交換應(yīng)具備實時斷線功能。

8)認(rèn)證與授權(quán)功能

軟交換應(yīng)能夠與認(rèn)證中心連接,并可以將所管轄區(qū)域內(nèi)的用戶、媒體網(wǎng)關(guān)信息送往認(rèn)證中心進行認(rèn)證與授權(quán),以防止非法用戶或設(shè)備的接入。

9)地址解析功能

軟交換設(shè)備應(yīng)可以完成E.164地址至IP地址、別名地址至IP地址的轉(zhuǎn)換功能,同時也可以完成重定向功能。

10)語音處理功能

軟交換可以控制媒體網(wǎng)關(guān)采用語音壓縮,并提供可選擇的語音壓縮算法,算法至少應(yīng)包括G.729、G.723等;可以控制媒體網(wǎng)關(guān)采用回波抵消技術(shù);還可以向媒體網(wǎng)關(guān)提供包緩存區(qū)的大小,以減少抖動對語音質(zhì)量的影響。

3 基于軟交換的安全問題

根據(jù)軟交換的網(wǎng)絡(luò)結(jié)構(gòu)特點,可將安全問題分成三個部分:網(wǎng)絡(luò)安全,用戶數(shù)據(jù)安全和業(yè)務(wù)安全。

網(wǎng)絡(luò)安全是指軟交換網(wǎng)絡(luò)本身的安全,即保證軟交換網(wǎng)絡(luò)中的媒體網(wǎng)關(guān)、軟交換機、應(yīng)用服務(wù)器設(shè)備不會受到非法攻擊。由于軟交換技術(shù)選擇了 IP網(wǎng)作為承載網(wǎng),IP協(xié)議的簡單和通用為網(wǎng)絡(luò)黑客提供了便利條件。當(dāng)軟交換選擇了開放的 IP網(wǎng)作為承載網(wǎng)時,網(wǎng)絡(luò)安全問題尤其突出,必須在 IP網(wǎng)上采用合適的安全策略,以保證軟交換網(wǎng)的網(wǎng)絡(luò)安全。

用戶數(shù)據(jù)安全是指用戶的簽約信息和通信信息的安全,即不會被非法的第三方竊取和監(jiān)聽。首先,軟交換網(wǎng)需采用必需的安全認(rèn)證策略保證用戶簽約信息的安全,同時,無論是用戶的簽約信息還是用戶的通信信息的安全均需要 IP網(wǎng)的安全策略作為保證。

業(yè)務(wù)安全是指防止業(yè)務(wù)的非法盜用,非法搶占帶寬,防止非法終端和設(shè)備訪問網(wǎng)絡(luò)。

3.1 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全是指軟交換網(wǎng)絡(luò)本身的安全,既保證軟交換網(wǎng)絡(luò)中的媒體網(wǎng)關(guān)、軟交換設(shè)備、應(yīng)用服務(wù)器、網(wǎng)管系統(tǒng)等設(shè)備不會受到非法攻擊。由于軟交換技術(shù)選擇了分組網(wǎng)絡(luò)作為承載網(wǎng)絡(luò),并且各種信息主要采用 IP 分組的方式進行傳輸,IP 協(xié)議的簡單和通用性為網(wǎng)絡(luò)黑客提供了便利的條件。

網(wǎng)絡(luò)安全還要保障軟交換設(shè)備通信的安全,包括信令和媒體報文的源認(rèn)證、完整性、保密性和防重放等,以及網(wǎng)絡(luò)內(nèi)信息隱藏,包括地址、拓?fù)涞?。要保證軟交換網(wǎng)絡(luò)的安全,首先是要保證網(wǎng)絡(luò)中核心設(shè)備的安全,如果將核心的網(wǎng)絡(luò)設(shè)備置于開放的 IP 網(wǎng)絡(luò)中,網(wǎng)絡(luò)的安全性將很難保證,所以可以將網(wǎng)絡(luò)的核心設(shè)備放在專用網(wǎng)絡(luò)中,采用私有 IP 地址的方案。完全采用私有 IP 地址的方案也是不可行的,由于終端用戶的接入方式和接入地點比較靈活,因此軟交換設(shè)備要能夠接入和控制終端用戶,又要同時分配有對應(yīng)的公有 IP 地址,這樣才能保證各種方式用戶的接入。為此,可以在核心網(wǎng)外側(cè)設(shè)置防火墻,并將軟交換網(wǎng)絡(luò)中少數(shù)需要與外界用戶進行通信的核心設(shè)備的私有地址映射到相應(yīng)的公有地址,同時利用防火墻對進入核心網(wǎng)的數(shù)據(jù)包進行過濾,只允許特定端口號的數(shù)據(jù)包通過防火墻,這種方法可以對Ping of Death 等一系列的 DOS(分布式拒絕服務(wù)攻擊)攻擊進行過濾。[2]

在骨干網(wǎng)層面,可以采用目前相對比較成熟的技術(shù)――MPLS VPN 技術(shù),構(gòu)建相對獨立的 VPN 網(wǎng)絡(luò)。這樣可以對不同用戶間、用戶與公網(wǎng)間、業(yè)務(wù)子網(wǎng)和業(yè)務(wù)子網(wǎng)間的路由信息進行隔離,并且非 MPLS VPN 內(nèi)的用戶無法訪問到軟交換域 VPN 內(nèi)的網(wǎng)絡(luò)設(shè)備,從而可以保證網(wǎng)絡(luò)的安全。各種終端設(shè)備是軟交換網(wǎng)絡(luò)中最大的安全隱患,終端設(shè)備處于用戶端,存在被用來惡意攻擊軟交換網(wǎng)絡(luò)中核心網(wǎng)絡(luò)設(shè)備的可能性?？梢栽谲浗粨Q網(wǎng)絡(luò)的接入邊緣設(shè)置寬帶接入服務(wù)器(BAS――Broadband Access Server),作為用戶接入網(wǎng)和骨干網(wǎng)之間的網(wǎng)關(guān),終結(jié)來自用戶接入網(wǎng)的連接,并提供接入到寬帶核心業(yè)務(wù)網(wǎng)(主要是 IP 網(wǎng)和 ATM 網(wǎng))的服務(wù)。寬帶接入服務(wù)器一般具有網(wǎng)絡(luò)安全模塊和業(yè)務(wù)管理模塊,網(wǎng)絡(luò)安全模塊可以包括 IP VPN 模塊和防火墻模塊,業(yè)務(wù)管理模塊包括網(wǎng)絡(luò)接入認(rèn)證與授權(quán)模塊、計費模塊和統(tǒng)計模塊,另外有些寬帶接入服務(wù)器還可以提供流量管理和控制。利用寬帶接入服務(wù)器可以對終端用戶的接入進行控制和管理。

網(wǎng)管系統(tǒng)應(yīng)具有不同級別的管理員權(quán)限管理機制,越權(quán)操作應(yīng)予以禁止。對非法操作提供記錄信息,對系統(tǒng)可能造成潛在危害的請求,如多次認(rèn)證失敗的連接、可疑的 IP 地址連接、頻發(fā)的大話務(wù)流量等,應(yīng)能夠告警并采取相應(yīng)的防范措施。

3.2 用戶數(shù)據(jù)安全

用戶信息的安全主要包括軟交換與終端之間傳輸協(xié)議的安全、用戶之間媒體信息的安全以及用戶私有信息(包括用戶名、密碼等)的安全,要保證這些信息不為非法用戶竊取和監(jiān)聽。對于用戶的私人信息的安全問題,主要存在于接入層。因此應(yīng)該從三個方面來保證用戶信息的安全。

第一,對用戶的數(shù)據(jù)流進行隔離,防止用戶的信息被非法用戶截取?？梢圆扇《拥?VLAN技術(shù),對用戶的數(shù)據(jù)流進行隔離,用 ACL(Access Control List)控制用戶之間的互訪。

第二,為防止媒體流被篡改、竊取,應(yīng)實施適當(dāng)?shù)陌踩珯C制來保護媒體連接,解決辦法就是對音頻消息進行加密。但隨著寬帶終端數(shù)量的增加,一方面密鑰需求量會成倍增加,另一方面用戶每次通信可能會使用不同的密鑰,因為若用戶一次又一次的使用相同的密鑰與別人交換信息,則如果某人偶然地接觸到了用戶的密鑰,那么用戶曾經(jīng)和另一個人交換的每一條消息都不再是保密的了,另一方面,使用一個特定密鑰加密的信息越多,提供給竊聽者的材料也就越多,這就增加了他們竊密的機會,所有這些都對密鑰的分發(fā)提供了嚴(yán)峻的考驗。一種比較好的解決方案就是采用 Kerberos 解決方案,它是由 MIT發(fā)明的,使保密密鑰的管理和分發(fā)變得十分容易。Kerberos 建立了一個安全的、可信任的密鑰分發(fā)中心(Key Distribution Center,KDC),SIP終端/IAD 設(shè)備只要知道與 KDC 進行通信的密鑰就可以了,而不需要知道成百上千個不同的密鑰。

第三,為了防止未授權(quán)的實體利用這些協(xié)議建立非法呼叫或者干涉合法呼叫,需要對這些協(xié)議的傳輸建立安全機制。目前提出了兩種解決方案,一種是采用 IPsec 對協(xié)議傳輸進行安全保護。IPsec包括三個協(xié)議:加密協(xié)議、認(rèn)證協(xié)議和密鑰交換協(xié)議。其中加密協(xié)議是封裝安全凈荷(ESP)協(xié)議對媒體網(wǎng)關(guān)/終端設(shè)備和軟交換設(shè)備之間傳送的消息提供加密;認(rèn)證協(xié)議是認(rèn)證頭(AH)協(xié)議對在媒體網(wǎng)關(guān)/終端設(shè)備和軟交換設(shè)備之間傳送的消息提供數(shù)據(jù)源認(rèn)證,無連接完整性保護和可選的抗重發(fā)保護;密鑰交換協(xié)議是IKE協(xié)議提供媒體網(wǎng)關(guān)/終端設(shè)備和軟交換設(shè)備之間進行密鑰協(xié)商的機制。另一種是過渡性AH方案。如果低層協(xié)議不支持IPsec,則應(yīng)建議采用過渡性AH方案,過渡性AH方案是在H.248協(xié)議頭中定義可選的AH頭來實現(xiàn)對協(xié)議連接的保護,過渡性AH方案只能提供一定程度的保護,例如該方案不能提供防竊聽保護。

3.3 業(yè)務(wù)的安全

業(yè)務(wù)的安全主要是防止業(yè)務(wù)的非法盜用,非法搶占帶寬,防止非法終端和設(shè)備訪問網(wǎng)絡(luò),解決的辦法就是軟交換網(wǎng)絡(luò)對 SIP智能終端和 IAD設(shè)備進行身份認(rèn)證。

在軟交換網(wǎng)絡(luò)中存在大量的終端設(shè)備,而且這些終端設(shè)備的接入地點和接入方式都非常靈活,這些終端都放置在用戶側(cè),無法避免有些用戶利用非法終端或設(shè)備訪問網(wǎng)絡(luò),占用網(wǎng)絡(luò)資源,非法享受業(yè)務(wù)和服務(wù),并且某些用戶可能利用非法終端或設(shè)備向網(wǎng)絡(luò)發(fā)動攻擊,對網(wǎng)絡(luò)的安全造成威脅(如發(fā)送大量的 IP數(shù)據(jù)包等)。因此,要保證軟交換網(wǎng)絡(luò)的安全,需要對軟交換網(wǎng)絡(luò)中的終端設(shè)備進行鑒權(quán)和認(rèn)證,主要是 IAD設(shè)備和 SIP/H.323 等終端設(shè)備。目前,對 IAD設(shè)備的鑒權(quán)和認(rèn)證主要有以下幾種方式:

第一種方案是 IAD在向軟交換進行注冊時,軟交換設(shè)備可以從 IAD向軟交換設(shè)備發(fā)送的注冊信息中提取出 IP地址或域名,或者 IP地址與其它參數(shù)的組合,與自身數(shù)據(jù)庫中的數(shù)據(jù)進行比較。如果提取出來的信息在數(shù)據(jù)庫中不存在,那么判定該 IAD設(shè)備為非法終端,該 IAD設(shè)備的注冊將失敗。這種方案對于采用靜態(tài) IP地址配置方式是可行的,但是為了 IAD設(shè)備配置的靈活,有些 IAD的 IP地址采用動態(tài)分配的方式,IP地址和 IAD設(shè)備之間沒有一一對應(yīng)的關(guān)系,這樣通過 IP地址來對 IAD設(shè)備進行鑒權(quán)和認(rèn)證就不可行了。

第二種方案是在 IAD設(shè)備向軟交換發(fā)送的注冊信息中攜帶 MAC地址信息。MAC 地址信息對于 IAD 設(shè)備來說是惟一的,而且能夠惟一地標(biāo)識 IAD 設(shè)備,該方案也是目前應(yīng)用比較廣泛的一種方案。軟交換在收到 IAD設(shè)備發(fā)送的注冊消息后,從中提取出 MAC地址信息,并與自身數(shù)據(jù)庫中所保存的信息進行比較。為了實施該方案,需要在正常標(biāo)準(zhǔn)的 H.248/MGCP 協(xié)議的注冊命令中增加一些擴展參數(shù)來攜帶MAC 地址信息?？紤]到 MAC 地址信息在網(wǎng)絡(luò)上傳輸時可能會被竊取,因此需要對IAD 的 MAC 地址進行加密。[3]

第三種方案是 IAD設(shè)備在工作之前必須完成管理注冊和業(yè)務(wù)注冊。管理注冊就是IAD 設(shè)備在啟動后向網(wǎng)管站進行注冊,業(yè)務(wù)注冊就是 IAD 設(shè)備向軟交換進行注冊。從目前軟交換設(shè)備的情況來看,對 IAD設(shè)備的鑒權(quán)和認(rèn)證主要是集中在第一和第二種方案,或者在這兩種方案基礎(chǔ)上的一些變種,基本上可以保證合法的 IAD設(shè)備接入到網(wǎng)絡(luò)。另外,有些廠家在 IAD設(shè)備向軟交換發(fā)送的所有協(xié)議消息中都攜帶有相關(guān)的鑒權(quán)和認(rèn)證信息,更進一步加強了網(wǎng)絡(luò)的安全,但從一定程度上也加重了軟交換設(shè)備的處理負(fù)荷。

對于 SIP終端和 H.323終端來講,目前還缺少相應(yīng)的規(guī)范。另外,在這些終端設(shè)備上集中了較多的智能,而且不僅有以硬終端形式出現(xiàn)的終端設(shè)備,還有以軟終端形式出現(xiàn)的終端設(shè)備(所謂軟終端即為可以安裝在計算機上仿 SIP終端或 H.323終端功能的軟件),并且位置比較靈活。尤其是軟終端,對這種類型的終端采用類 IAD設(shè)備的鑒權(quán)和認(rèn)證方案是不可行的。目前,對于這些終端鑒權(quán)和認(rèn)證的方式主要是基于用戶名和密碼,使用這些終端的用戶在向軟交換設(shè)備發(fā)送注冊消息時,需要首先輸入用戶名和密碼信息,并對這些信息都采用加密方式進行傳送,這些終端只有通過軟交換的鑒權(quán)和認(rèn)證才能使用網(wǎng)絡(luò)資源。

4 總結(jié)

本文首先綜述軟交換的體系結(jié)構(gòu)。針對軟交換特有的網(wǎng)絡(luò)構(gòu)造,軟交換的安全問題可分為三個部分:網(wǎng)絡(luò)安全、用戶數(shù)據(jù)安全和業(yè)務(wù)安全。網(wǎng)絡(luò)安全包括軟交換核心設(shè)備的安全和 IP承載網(wǎng)的安全。根據(jù)這三方面的安全特性,分析了可能的安全威脅和安全隱患,并根據(jù)這些安全問題提出了一些解決措施和技術(shù)方案,以保證軟交換網(wǎng)絡(luò)的安全性。

參考文獻:

[1] 林俐,朱曉潔,張鵬生,趙學(xué)軍.下一代網(wǎng)絡(luò)(NGN)組網(wǎng)技術(shù)手冊[M].北京:機械工業(yè)出版社,2009.

[2] 陳云坤,付光軒.軟交換中的網(wǎng)絡(luò)安全問題[J].貴州大學(xué)學(xué)報,2007(2).

[3] 費娟.軟交換中網(wǎng)絡(luò)安全的解決方案[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006(9).