陳川

92941部隊(duì)96分隊(duì) 遼寧 125000

0 引言

軟交換技術(shù)是將傳統(tǒng)的交換設(shè)備部件話，分為呼叫控制與媒體處理兩部分，二者之間采用 MGCP、H248等標(biāo)準(zhǔn)協(xié)議，使用純軟件進(jìn)行處理業(yè)務(wù)的技術(shù)。軟交換系統(tǒng)獨(dú)立于傳送網(wǎng)絡(luò)，采用標(biāo)準(zhǔn)化協(xié)議和應(yīng)用編程接口(API)的開放體系結(jié)構(gòu)，基于分組網(wǎng)利用程控軟件將呼叫控制功能從IT網(wǎng)關(guān)，即傳輸層中分離出來，通過軟件實(shí)現(xiàn)連接控制、翻譯和選路、網(wǎng)關(guān)管理、呼叫控制、帶寬管理、信令、安全性和呼叫詳細(xì)記錄等功能，并將網(wǎng)絡(luò)資源、網(wǎng)絡(luò)能力封裝起來，通過標(biāo)準(zhǔn)開放的業(yè)務(wù)接口和業(yè)務(wù)應(yīng)用層相連，不僅可以向用戶提供現(xiàn)有電路交換機(jī)所能提供的所有業(yè)務(wù)，還可以向第三方提供方便的可編程能力。

軟交換網(wǎng)絡(luò)充分利用現(xiàn)有的IP網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)備，具有功能多、操作靈活、接續(xù)快、話路多、成本低等優(yōu)點(diǎn)，而且隨著應(yīng)用的不斷擴(kuò)展，不僅能夠滿足移動(dòng)辦公、語音留言等需求，實(shí)現(xiàn)通過Email聽留言、看傳真，通過電話收傳真、聽Email，還可以將語音、數(shù)據(jù)和視頻結(jié)合在一起，實(shí)現(xiàn)多媒體會(huì)議等功能。

軟交換網(wǎng)絡(luò)采用基于ATM的多協(xié)議標(biāo)記交換技術(shù)，主要承載一下兩種語音業(yè)務(wù)：(1)通過VoIP技術(shù)，實(shí)現(xiàn)在綜合信息網(wǎng)中傳送語音，并與 PSTN網(wǎng)電話業(yè)務(wù)互聯(lián)；(2)通過VTOA技術(shù)，實(shí)現(xiàn)PSTN電話業(yè)務(wù)的網(wǎng)絡(luò)中繼傳送；另通過使用通信助理(CA)實(shí)現(xiàn)多樣化的通信應(yīng)用服務(wù)，提高效率和移動(dòng)性。

1 軟交換的網(wǎng)絡(luò)結(jié)構(gòu)

軟交換網(wǎng)絡(luò)的技術(shù)特點(diǎn)是業(yè)務(wù)與控制相分離、傳輸與接入相分離，各實(shí)體間通過標(biāo)準(zhǔn)的協(xié)議進(jìn)行連接和通信。軟交換位于網(wǎng)絡(luò)的控制層，提供各種業(yè)務(wù)的呼叫控制、連接以及部分應(yīng)用業(yè)務(wù)。整個(gè)網(wǎng)絡(luò)分為四個(gè)層面：業(yè)務(wù)應(yīng)用層、控制層、傳輸層和媒體接入層。

1.1 控制層

控制層完成各種呼叫控制功能，并負(fù)責(zé)相應(yīng)的業(yè)務(wù)處理信息的傳輸。該層最主要的設(shè)備就是軟交換系統(tǒng)，其地位相當(dāng)于傳統(tǒng)通信網(wǎng)中的交換機(jī)，是網(wǎng)絡(luò)的核心設(shè)備。軟交換系統(tǒng)的主要功能是完成對(duì)媒體接入層中所有媒體網(wǎng)關(guān)的業(yè)務(wù)控制及媒體網(wǎng)關(guān)之間通信的控制。

1.2 傳輸層

傳輸層主要是為業(yè)務(wù)媒體流和控制信息流提供統(tǒng)一的、保證QoS的高速分組傳輸平臺(tái)。其任務(wù)主要是將軟交換網(wǎng)各網(wǎng)元，如接入層的各種媒體網(wǎng)關(guān)、控制層的軟交換機(jī)、業(yè)務(wù)應(yīng)用層的各種服務(wù)器平臺(tái)等連接起來。軟交換網(wǎng)的各網(wǎng)元間，采用IP數(shù)據(jù)包傳輸各種控制信息和業(yè)務(wù)數(shù)據(jù)信息，因而傳輸層實(shí)際上就是一個(gè)承載網(wǎng)絡(luò)。

1.3 業(yè)務(wù)應(yīng)用層

業(yè)務(wù)應(yīng)用層主要指面向用戶提供各種應(yīng)用和服務(wù)的設(shè)備。它采用開放、綜合的業(yè)務(wù)接入平臺(tái)。為下一代網(wǎng)絡(luò)提供各種增值業(yè)務(wù)、多媒體業(yè)務(wù)和第三方業(yè)務(wù)，同時(shí)還具有相應(yīng)的業(yè)務(wù)生成和維護(hù)環(huán)境。

1.4 媒體接入層

媒體接入層負(fù)責(zé)將各種不同的網(wǎng)絡(luò)及終端設(shè)備接入，主要是把現(xiàn)有網(wǎng)絡(luò)相關(guān)的各種網(wǎng)關(guān)或終端設(shè)備接入軟交換控制的網(wǎng)中。它能夠?qū)⒂脩暨B接到網(wǎng)絡(luò)，并把業(yè)務(wù)量集中后利用公共的傳輸平臺(tái)傳輸?shù)侥康牡?。接入層的設(shè)備包括各種不同的網(wǎng)絡(luò)、終端設(shè)備以及各種網(wǎng)關(guān)設(shè)備，如IP PBX、IP Phone、PC等。

2 軟交換網(wǎng)絡(luò)運(yùn)行的安全分析

軟交換網(wǎng)絡(luò)以IP網(wǎng)作為承載網(wǎng)絡(luò)，通信協(xié)議和媒體信息主要采用IP數(shù)據(jù)包的形式進(jìn)行傳送。相對(duì)于封閉、使用專用系統(tǒng)的傳統(tǒng)電路交換網(wǎng)，架構(gòu)于IP網(wǎng)上的軟交換網(wǎng)絡(luò)由于接入節(jié)點(diǎn)比較多，用戶的接入方式和接入地點(diǎn)都非常靈活，更容易受到外來的入侵，而且IP網(wǎng)絡(luò)自身的安全和QoS問題還有待解決，所以軟交換網(wǎng)絡(luò)也就面臨著更多的安全威脅。

2.1 IP網(wǎng)絡(luò)對(duì)軟交換的影響

IP網(wǎng)絡(luò)是以基于TCP/IP協(xié)議的由路由器與交換機(jī)組成的網(wǎng)絡(luò)系統(tǒng)，是一個(gè)沒有質(zhì)量控制功能且資源有限的自由系統(tǒng)。當(dāng)大量的廣播數(shù)據(jù)包在網(wǎng)絡(luò)上無休止地傳輸時(shí)，便形成廣播風(fēng)暴，從而導(dǎo)致網(wǎng)絡(luò)性能下降，甚至癱瘓。廣播風(fēng)暴發(fā)生時(shí)，首先受害的就是IP電話等實(shí)時(shí)業(yè)務(wù)。軟交換IP電話系統(tǒng)對(duì)IP網(wǎng)絡(luò)質(zhì)量的最大容忍度為：丟包率≤30%，延時(shí)≤400ms。滿足這兩項(xiàng)指標(biāo)，IP電話就能夠順利接續(xù)和正常通話；反之，接續(xù)和通話就不好，或者電話不能正常接通，或者通話斷續(xù)、回音很大、話音不清。

2.2 非法終端接入

軟交換系統(tǒng)除支持本系列IP電話終端接入外，也支持第三方廠家提供的IP電話終端的接入。因?yàn)榫W(wǎng)絡(luò)是開放的，這就存在一個(gè)非本系統(tǒng)的IP話機(jī)試圖接入該軟交換系統(tǒng)，構(gòu)成非法終端接入問題。

2.3 網(wǎng)絡(luò)攻擊

IP網(wǎng)絡(luò)的開放性和自由性使其很容易遭到來自黑客的各種攻擊，與之連接的軟交換系統(tǒng)也就存在更加嚴(yán)重的威脅。他們可以通過探測(cè)掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開放的TCP端口號(hào)、系統(tǒng)用來保存用戶名和口令等安全信息的關(guān)鍵文件，或網(wǎng)絡(luò)監(jiān)聽等手段，獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取和修改內(nèi)部網(wǎng)絡(luò)中重要數(shù)據(jù)，并對(duì)網(wǎng)絡(luò)服務(wù)器進(jìn)行攻擊，使得服務(wù)器拒絕服務(wù)，甚至使網(wǎng)絡(luò)癱瘓。

2.4 病毒感染

一些IP網(wǎng)因管理及使用不善等多方面原因，造成計(jì)算機(jī)病毒、木馬程序開始在網(wǎng)內(nèi)出現(xiàn)并迅速泛濫。因接入終端中毒造成的網(wǎng)絡(luò)擁塞、傳播攻擊等危害網(wǎng)絡(luò)安全的事件時(shí)有發(fā)生。網(wǎng)絡(luò)病毒的傳播速度快，傳播范圍廣，危害性大，并且只要有一臺(tái)工作站的病毒未被徹底清除，整個(gè)網(wǎng)絡(luò)就有可能重新感染，對(duì)數(shù)據(jù)安全造成極大威脅，不僅影響軟交換網(wǎng)絡(luò)的正常運(yùn)行，而且病毒的擴(kuò)散甚至給整個(gè)網(wǎng)絡(luò)造成極大的危害。

3 保障軟交換網(wǎng)絡(luò)安全的幾點(diǎn)措施

3.1 采用觸發(fā)控制機(jī)制，保障接入的安全

為防止非法接入，軟交換控制中心采用IPSec策略的安全注冊(cè)觸發(fā)控制機(jī)制。凡是要接入軟交換中心的IP終端，連接到IP網(wǎng)絡(luò)上，首先要向軟交換中心提出注冊(cè)申請(qǐng)，接受軟交換中心的合法性驗(yàn)證。只有合法的IP電話終端才能連接到該軟交換中心；對(duì)于非法的 IP電話終端，軟交換中心不予接入。

軟交換中心 IPSec策略的合法性驗(yàn)證包括一下兩個(gè)方面：

(1) 源地址過濾。每個(gè)以太網(wǎng)接口都有一個(gè)全世界惟一的MAC地址，因此IP網(wǎng)絡(luò)的底層連接的合法性，就靠MAC地址來識(shí)別。在軟交換中心設(shè)置本系統(tǒng)合法終端的MAC地址表，當(dāng)網(wǎng)絡(luò)上有IP終端向軟交換中心申請(qǐng)接入時(shí)，該軟交換中心首先用合法終端的MAC地址表對(duì)這個(gè)源地址進(jìn)行過濾。如果該終端送來的MAC地址包含在合法MAC地址表中，則注冊(cè)有效，該終端被允許接入；如果不在表中，該終端被拒絕。

(2) 目的地址過濾。在軟交換中心設(shè)置一個(gè)加密的IP網(wǎng)絡(luò)地址對(duì)IP電話終端進(jìn)行注冊(cè)控制。當(dāng)IP終端連接上IP網(wǎng)絡(luò)后，輸入要接入的軟交換中心的IP網(wǎng)絡(luò)地址，才能向軟交換中心發(fā)送注冊(cè)請(qǐng)求。如果輸入的密碼不正確，該終端不能進(jìn)入軟交換中心IP地址的輸入程序；如果鍵入的IP地址不正確，則該終端無法通過目的地址過濾。這兩種情況均不能接入到軟交換中心。

3.2 保障系統(tǒng)服務(wù)器和數(shù)據(jù)安全

軟交換應(yīng)用軟件系統(tǒng)是一個(gè)專業(yè)而封閉的功能平臺(tái)。其面向連續(xù)的接續(xù)控制部分系統(tǒng)軟件，具有封閉的結(jié)構(gòu)特性，與其它應(yīng)用軟件隔離，一經(jīng)安裝，便不允許其它程序進(jìn)入，不與網(wǎng)絡(luò)上的其它功能部件發(fā)生連接和交流，有效地防止了網(wǎng)絡(luò)病毒的感染。且軟交換系統(tǒng)服務(wù)器采用LINUX操作系統(tǒng)，通過各種安全策略和防病毒措施，封掉有安全隱患的TCP及UDP端口。有效地防止了以WINDOWS操作系統(tǒng)和開放端口為攻擊目標(biāo)的病毒、木馬程序的入侵。

軟交換系統(tǒng)還采用IPSec的IP數(shù)據(jù)流類型過濾策略，只接受和處理符合如語音編譯嗎及語音壓縮協(xié)議(G.711、G.729等)，UDP/IP數(shù)據(jù)傳輸協(xié)議，實(shí)時(shí)控制協(xié)議(RTP/RTCP)，VoIP協(xié)議(SIP/MGCP/H.248等)等固定協(xié)議的IP數(shù)據(jù)包，不符合以上協(xié)議的數(shù)據(jù)包則被拒絕。而且即使通過協(xié)議過濾的 IP數(shù)據(jù)包，在軟交換系統(tǒng)中也被當(dāng)做媒體流處理，不會(huì)作為一個(gè)功能部件連接到軟件程序中。這樣，即使有病毒數(shù)據(jù)，也只能對(duì)本次接續(xù)或通話雙方傳送的話音和圖像質(zhì)量造成局部影響，不會(huì)危害到整個(gè)網(wǎng)絡(luò)。

3.3 提高網(wǎng)絡(luò)整體運(yùn)行質(zhì)量

軟交換基于業(yè)務(wù)繁忙的IP網(wǎng)絡(luò)，設(shè)備、管理混雜，要提高軟交換業(yè)務(wù)質(zhì)量，根本上還是要解決好網(wǎng)絡(luò)運(yùn)行的質(zhì)量問題。通過合理規(guī)劃和統(tǒng)一管理，減少盲目、隨機(jī)的建設(shè)和使用來理清網(wǎng)絡(luò)資源。合理地簡化網(wǎng)絡(luò)結(jié)構(gòu)層次，增加網(wǎng)路帶寬，降低網(wǎng)絡(luò)中的時(shí)延，提高網(wǎng)絡(luò)物理層的傳輸質(zhì)量，減少網(wǎng)絡(luò)傳輸中的損耗?？赡艹霈F(xiàn)的廣播風(fēng)暴對(duì)軟交換網(wǎng)絡(luò)的影響很大。廣播風(fēng)暴實(shí)際上就是網(wǎng)絡(luò)自激。源端發(fā)出的數(shù)據(jù)包，又從目的端返回到源端。網(wǎng)絡(luò)布線不良，個(gè)別網(wǎng)卡故障，網(wǎng)絡(luò)中存在環(huán)路等都可能引發(fā)廣播風(fēng)暴。我們可以通過劃分之網(wǎng)，使廣播包只在有限的范圍內(nèi)傳播或使用網(wǎng)關(guān)，對(duì)數(shù)據(jù)包進(jìn)行分揀等手段控制和減少廣播風(fēng)暴對(duì)IP電話的影響。

3.4 增強(qiáng)系統(tǒng)容災(zāi)備份保護(hù)能力

軟交換中心的工作原理基于IP媒體子系統(tǒng)。業(yè)務(wù)媒體數(shù)據(jù)(語音、圖像)采用P2P模式，在兩個(gè)IP終端之間直接傳送，連接控制由軟交換中心來完成。由于通話業(yè)務(wù)數(shù)據(jù)不經(jīng)過軟交換中心，因此，一個(gè)網(wǎng)絡(luò)中的兩個(gè)IP電話終端之間的接續(xù)，可由網(wǎng)絡(luò)中任意一個(gè)軟交換中心來完成。也就是說，網(wǎng)絡(luò)中只要有一個(gè)軟交換控制中心工作正常，系統(tǒng)通信就不會(huì)中斷。所以，我們可以在整個(gè)網(wǎng)絡(luò)中將軟交換控制中心進(jìn)行多點(diǎn)分布設(shè)置，網(wǎng)絡(luò)局部癱瘓，不會(huì)影響 IP電話系統(tǒng)的正常接續(xù)功能，從而極大地提高了軟交換系統(tǒng)的容災(zāi)備份保護(hù)能力。

4 結(jié)論

軟交換支持眾多的協(xié)議，可以對(duì)各種各樣的接入設(shè)備進(jìn)行控制，并能夠按照一定的策略對(duì)網(wǎng)絡(luò)特性進(jìn)行實(shí)時(shí)、智能、集中式的調(diào)整和干預(yù)，以保證整個(gè)網(wǎng)絡(luò)的穩(wěn)定性和可靠性。因此，軟交換可以依托通信網(wǎng)絡(luò)，開展多種業(yè)務(wù)應(yīng)用。加強(qiáng)軟交換網(wǎng)絡(luò)的安全監(jiān)控管理，必將在通信網(wǎng)絡(luò)中發(fā)揮出至關(guān)重要的作用。

[1]思科系統(tǒng)網(wǎng)絡(luò)技術(shù)有限公司.下一代網(wǎng)絡(luò)安全.北京郵電大學(xué)出版社.2009.

[2]趙學(xué)軍.軟交換技術(shù)與應(yīng)用.人民郵電出版社.2010.

[3]劉洪林.IP語音通信原理、設(shè)計(jì)及組網(wǎng)應(yīng)用.電子工業(yè)出版社.2010.