張鑫

（中國聯(lián)合網(wǎng)絡(luò)通信有限公司四平市分公司，吉林 四平 136000）

軟交換網(wǎng)絡(luò)一個很大的優(yōu)勢就是具有開放性的平臺和接口，這樣可以方便的進行業(yè)務(wù)擴展，這樣各種第三方的業(yè)務(wù)以及網(wǎng)絡(luò)都可以方便的和電信網(wǎng)絡(luò)實現(xiàn)無縫連接。這就導(dǎo)致電信網(wǎng)絡(luò)的規(guī)模以及業(yè)務(wù)類型十分的復(fù)雜，傳統(tǒng)互聯(lián)網(wǎng)所面臨的病毒、黑客等危險也隨之蔓延到電信網(wǎng)絡(luò)上，從而給運營商的服務(wù)造成巨大的威脅。因此，對于軟交換來說，能否做好安全保障工作是一個非常重要的環(huán)節(jié)。隨著軟交換技術(shù)的使用以及推廣，這就導(dǎo)致軟交換面臨著傳統(tǒng)的網(wǎng)絡(luò)安全問題。同時，軟交換網(wǎng)絡(luò)和傳統(tǒng)網(wǎng)絡(luò)相比還有自身的一些特點，因此其安全問題也具有自身的一些特點。在進行軟交換安全防護的過程當中一般都是從軟交換設(shè)備本身以及網(wǎng)絡(luò)這兩個大的方面為切入點來進行的。首先應(yīng)該確保軟交換的相關(guān)設(shè)備自身在設(shè)置上的安全，并且做好相應(yīng)的硬件和軟件防護工作，從而使軟交換設(shè)備自身具有一定的安全防護能力。而對于網(wǎng)絡(luò)的安全，則是對于軟交換的承載網(wǎng)絡(luò)安全采取相應(yīng)的措施，建立健全完善的保護機制，防止通過網(wǎng)絡(luò)對軟交換設(shè)備造成的攻擊。

在軟交換網(wǎng)絡(luò)建設(shè)過程當中一定要同時抓好軟交換設(shè)備安全以及網(wǎng)絡(luò)安全，兩者相輔相成，缺一不可。運營商首先要在思想上引起足夠的重視，做好相應(yīng)的軟交換安全保障工作。

1 軟交換面臨的主要安全隱患

軟交換所面臨的安全問題十分多樣，種類層出不窮，但是大體可以分為以下幾個方面：第一，網(wǎng)絡(luò)安全，主要是軟交換網(wǎng)絡(luò)自身的安全；第二，終端安全，終端主要是指用戶側(cè)的終端設(shè)備。當前對于用戶終端的病毒以及攻擊十分常見，由于軟交換網(wǎng)絡(luò)無法對其進行有效的防范，因此往往利用終端對網(wǎng)絡(luò)發(fā)起攻擊，進而對軟交換的設(shè)備產(chǎn)生影響；第三，設(shè)備安全，主要是指各種軟交換的承載設(shè)備自身的安全，這種安全隱患大多都是由于設(shè)備運行不規(guī)范或者是外部對其進行攻擊。

2 軟交換安全服務(wù)措施

由于軟交換所面臨的安全隱患十分繁多，因此必須做好相應(yīng)的防范工作，為用戶提供安全的服務(wù)，可以通過以下幾個方面的措施來實現(xiàn)。

2.1 保密性。應(yīng)該采取相應(yīng)的手段對軟交換網(wǎng)絡(luò)中傳遞的數(shù)據(jù)進行相應(yīng)的加密，從而防止沒有經(jīng)過授權(quán)的用戶非法截留數(shù)據(jù)。這樣講數(shù)據(jù)以加密的形式傳遞，即使數(shù)據(jù)被截留，那么也沒法進行解讀。除此之外，應(yīng)該做好相應(yīng)的數(shù)據(jù)傳輸端口的防護工作，防止非法對相應(yīng)的端口進行監(jiān)聽，保護數(shù)據(jù)的安全性。

2.2 認證。建立嚴密的身份認證程序，防止用戶合法身份被盜用，而對資源進行竊取。對于數(shù)據(jù)傳輸之前雙方的身份以及數(shù)據(jù)來源進行認證，從而保證通信雙方都具有相應(yīng)的合法身份和對應(yīng)的權(quán)限。將業(yè)務(wù)和實體身份進行捆綁，防止身份被盜用或者是偽裝欺騙。

2.3 完整性。為了防止未經(jīng)授權(quán)的用戶對數(shù)據(jù)繼續(xù)非法修改，可以利用VPN技術(shù)進行通信。為了防止數(shù)據(jù)受到損壞，可以積極采用數(shù)字簽名以及其它的完整性檢測技術(shù)地數(shù)據(jù)完整性進行檢測。

2.4 訪問控制。通過完善的授權(quán)機制對于網(wǎng)絡(luò)中的關(guān)鍵部分提供保護，對于相應(yīng)的訪問者進行等級劃分，具備相應(yīng)的等級才能夠訪問相應(yīng)的資源，防止對于沒有權(quán)限的資源進行使用。建立完善的數(shù)據(jù)庫，用于存儲安全認證信息，用戶進行認證時需要將信息進行嚴格的比對。對于認證信息數(shù)據(jù)庫也應(yīng)該設(shè)立較高的等級，防止數(shù)據(jù)庫被非法篡改。

2.5 安全協(xié)議。目前應(yīng)用較多的是IPSEC,SSL/TLS。至于MPLS，嚴格地說它并不是一種安全協(xié)議，其主要用途是兼容和并存目前各種IP路由和ATM交換技術(shù)，提供一種更加具有彈性和擴充性的、效率更高的交換路由技術(shù)，它對網(wǎng)絡(luò)安全貢獻應(yīng)主要在于流量方面。

3 軟交換安全方案

軟交換網(wǎng)絡(luò)安全的實現(xiàn)，有多種方案可供選擇，下面介紹的IPSEC(ESP遂道模式)+SSL/TLS+認證服務(wù)器/策略服務(wù)器+FW/NAT是一種可運營解決方案。IPSec體系提供標準的、安全的、普遍的機制?？梢员Ｗo主機之間、網(wǎng)關(guān)之間和主機與網(wǎng)關(guān)之間的數(shù)據(jù)包安全。由于涉及的算法為標準算法，可以保證互通性，并且可以提供嵌套安全服務(wù)。另外對IPV6而言它是一個強制標準，是今后發(fā)展的一個趨勢。

IPSEC協(xié)議主要由AH(認證頭)協(xié)議，ESP(封裝安全載荷)協(xié)議和負責(zé)密鑰管理的IKE(因特網(wǎng)密鑰交換)協(xié)議三個協(xié)議組成。認證頭(AH)協(xié)議對在媒體網(wǎng)關(guān)/終端設(shè)備和軟交換設(shè)備之間傳送的消息提供數(shù)據(jù)源認證，無連接完整性保護和防重放攻擊保護。ESP協(xié)議除了提供數(shù)據(jù)完整性校驗、身份認證和防重放保護外，同時提供加密。ESP的加密和認證是可選的，要求支持這兩種算法中的至少一種算法，但不能同時置為空。根據(jù)要求，ESP協(xié)議必須支持下列算法：第一，使用CBC模式的DES算法。第二，使用MD5的HMAC算法。第三，使用SHA-1的HMAC算法。第四，空認證算法。第五，空加密算法。數(shù)據(jù)完整性可以通過校驗碼 (MD5)來保證；數(shù)據(jù)身份認證通過在待認證數(shù)據(jù)中加入一個共享密鑰來實現(xiàn)；報頭中的序列號可以防止重放攻擊。IKE協(xié)議主要在通信雙方建立連接時規(guī)定使用的IPSec協(xié)議類型、加密算法、加密和認證密鑰等屬性，并負責(zé)維護。IKE采用自動模式進行管理，IKE的實現(xiàn)可支持協(xié)商虛擬專業(yè)網(wǎng)(VPN)，也可從用于在事先并不知道的遠程訪問接入方式。

認證系統(tǒng)和策略系統(tǒng)對商用軟交換系統(tǒng)而言是必不可少的。它們在管理層面上實施訪問控制、信息驗證、信息保密性等措施，可以為網(wǎng)絡(luò)提供安全保證。同時，認證服務(wù)可以提計費的準確性，保證網(wǎng)絡(luò)的商業(yè)運營。

防火墻/NAT是保證網(wǎng)絡(luò)安全必不可少的一部分。防火墻種類繁多，它在較交換中的竅越問題可以通過兩種方法實現(xiàn):一是使用TCP；二是用短于關(guān)閉墻口時長為周期，不斷發(fā)送消息，維持端口開啟

結(jié)束語

基于軟交換的NGN網(wǎng)絡(luò)所存在的安全問題一直以來受到大家的關(guān)注。而作為數(shù)據(jù)網(wǎng)絡(luò)上的一種新興的應(yīng)用，以IP作為承載媒體的軟交換所面臨的一些安全隱患，實際是目前IP網(wǎng)絡(luò)上存在的若干問題的延續(xù)。只有很好地解決了網(wǎng)絡(luò)的安全問題，同時配合產(chǎn)品本身的一些安全認證機制，軟交換才能夠在新的電信網(wǎng)中持久穩(wěn)定的發(fā)揮作用，并成為解決話音、數(shù)據(jù)、視頻多媒體通信需求的有效解決方法，并最終完成"三網(wǎng)合一"。

網(wǎng)絡(luò)安全工作是一個以管理為主的系統(tǒng)工程，靠的是"三分技術(shù)，七分管理"，因此必須制定一系列的安全管理制度、安全評估和風(fēng)險處置手段、應(yīng)急預(yù)案等，這些措施應(yīng)覆蓋網(wǎng)絡(luò)安全的各個方面，達到能夠解決的安全問題及時解決，可以減輕的安全問題進行加固，不能解決的問題編制應(yīng)急預(yù)案減少安全威脅。與此同時，需要強有力的管理來保障這些制度和手段落到實處。

[1]徐鵬，廖建新，吳乃星，馬旭濤.基于軟交換的集群媒體服務(wù)器的安全問題及其解決方案[J].計算機應(yīng)用研究，2006(6).

[2]姜華.NGN組網(wǎng)的安全性分析與安全策略[J].現(xiàn)代電信科技，2003(11).

[3]費娟，軟交換網(wǎng)絡(luò)安全解決方案探析[J].現(xiàn)代通信，2006(8).