浅谈软交换的安全问题及解决策略

张鑫

（中国联合网络通信有限公司四平市分公司，吉林 四平 136000）

软交换网络一个很大的优势就是具有开放性的平台和接口，这样可以方便的进行业务扩展，这样各种第三方的业务以及网络都可以方便的和电信网络实现无缝连接。这就导致电信网络的规模以及业务类型十分的复杂，传统互联网所面临的病毒、黑客等危险也随之蔓延到电信网络上，从而给运营商的服务造成巨大的威胁。因此，对于软交换来说，能否做好安全保障工作是一个非常重要的环节。随着软交换技术的使用以及推广，这就导致软交换面临着传统的网络安全问题。同时，软交换网络和传统网络相比还有自身的一些特点，因此其安全问题也具有自身的一些特点。在进行软交换安全防护的过程当中一般都是从软交换设备本身以及网络这两个大的方面为切入点来进行的。首先应该确保软交换的相关设备自身在设置上的安全，并且做好相应的硬件和软件防护工作，从而使软交换设备自身具有一定的安全防护能力。而对于网络的安全，则是对于软交换的承载网络安全采取相应的措施，建立健全完善的保护机制，防止通过网络对软交换设备造成的攻击。

在软交换网络建设过程当中一定要同时抓好软交换设备安全以及网络安全，两者相辅相成，缺一不可。运营商首先要在思想上引起足够的重视，做好相应的软交换安全保障工作。

1 软交换面临的主要安全隐患

软交换所面临的安全问题十分多样，种类层出不穷，但是大体可以分为以下几个方面：第一，网络安全，主要是软交换网络自身的安全；第二，终端安全，终端主要是指用户侧的终端设备。当前对于用户终端的病毒以及攻击十分常见，由于软交换网络无法对其进行有效的防范，因此往往利用终端对网络发起攻击，进而对软交换的设备产生影响；第三，设备安全，主要是指各种软交换的承载设备自身的安全，这种安全隐患大多都是由于设备运行不规范或者是外部对其进行攻击。

2 软交换安全服务措施

由于软交换所面临的安全隐患十分繁多，因此必须做好相应的防范工作，为用户提供安全的服务，可以通过以下几个方面的措施来实现。

2.1 保密性。应该采取相应的手段对软交换网络中传递的数据进行相应的加密，从而防止没有经过授权的用户非法截留数据。这样讲数据以加密的形式传递，即使数据被截留，那么也没法进行解读。除此之外，应该做好相应的数据传输端口的防护工作，防止非法对相应的端口进行监听，保护数据的安全性。

2.2 认证。建立严密的身份认证程序，防止用户合法身份被盗用，而对资源进行窃取。对于数据传输之前双方的身份以及数据来源进行认证，从而保证通信双方都具有相应的合法身份和对应的权限。将业务和实体身份进行捆绑，防止身份被盗用或者是伪装欺骗。

2.3 完整性。为了防止未经授权的用户对数据继续非法修改，可以利用VPN技术进行通信。为了防止数据受到损坏，可以积极采用数字签名以及其它的完整性检测技术地数据完整性进行检测。

2.4 访问控制。通过完善的授权机制对于网络中的关键部分提供保护，对于相应的访问者进行等级划分，具备相应的等级才能够访问相应的资源，防止对于没有权限的资源进行使用。建立完善的数据库，用于存储安全认证信息，用户进行认证时需要将信息进行严格的比对。对于认证信息数据库也应该设立较高的等级，防止数据库被非法篡改。

2.5 安全协议。目前应用较多的是IPSEC,SSL/TLS。至于MPLS，严格地说它并不是一种安全协议，其主要用途是兼容和并存目前各种IP路由和ATM交换技术，提供一种更加具有弹性和扩充性的、效率更高的交换路由技术，它对网络安全贡献应主要在于流量方面。

3 软交换安全方案

软交换网络安全的实现，有多种方案可供选择，下面介绍的IPSEC(ESP遂道模式)+SSL/TLS+认证服务器/策略服务器+FW/NAT是一种可运营解决方案。IPSec体系提供标准的、安全的、普遍的机制。可以保护主机之间、网关之间和主机与网关之间的数据包安全。由于涉及的算法为标准算法，可以保证互通性，并且可以提供嵌套安全服务。另外对IPV6而言它是一个强制标准，是今后发展的一个趋势。

IPSEC协议主要由AH(认证头)协议，ESP(封装安全载荷)协议和负责密钥管理的IKE(因特网密钥交换)协议三个协议组成。认证头(AH)协议对在媒体网关/终端设备和软交换设备之间传送的消息提供数据源认证，无连接完整性保护和防重放攻击保护。ESP协议除了提供数据完整性校验、身份认证和防重放保护外，同时提供加密。ESP的加密和认证是可选的，要求支持这两种算法中的至少一种算法，但不能同时置为空。根据要求，ESP协议必须支持下列算法：第一，使用CBC模式的DES算法。第二，使用MD5的HMAC算法。第三，使用SHA-1的HMAC算法。第四，空认证算法。第五，空加密算法。数据完整性可以通过校验码 (MD5)来保证；数据身份认证通过在待认证数据中加入一个共享密钥来实现；报头中的序列号可以防止重放攻击。IKE协议主要在通信双方建立连接时规定使用的IPSec协议类型、加密算法、加密和认证密钥等属性，并负责维护。IKE采用自动模式进行管理，IKE的实现可支持协商虚拟专业网(VPN)，也可从用于在事先并不知道的远程访问接入方式。

认证系统和策略系统对商用软交换系统而言是必不可少的。它们在管理层面上实施访问控制、信息验证、信息保密性等措施，可以为网络提供安全保证。同时，认证服务可以提计费的准确性，保证网络的商业运营。

防火墙/NAT是保证网络安全必不可少的一部分。防火墙种类繁多，它在较交换中的窍越问题可以通过两种方法实现:一是使用TCP；二是用短于关闭墙口时长为周期，不断发送消息，维持端口开启

结束语

基于软交换的NGN网络所存在的安全问题一直以来受到大家的关注。而作为数据网络上的一种新兴的应用，以IP作为承载媒体的软交换所面临的一些安全隐患，实际是目前IP网络上存在的若干问题的延续。只有很好地解决了网络的安全问题，同时配合产品本身的一些安全认证机制，软交换才能够在新的电信网中持久稳定的发挥作用，并成为解决话音、数据、视频多媒体通信需求的有效解决方法，并最终完成"三网合一"。

网络安全工作是一个以管理为主的系统工程，靠的是"三分技术，七分管理"，因此必须制定一系列的安全管理制度、安全评估和风险处置手段、应急预案等，这些措施应覆盖网络安全的各个方面，达到能够解决的安全问题及时解决，可以减轻的安全问题进行加固，不能解决的问题编制应急预案减少安全威胁。与此同时，需要强有力的管理来保障这些制度和手段落到实处。

[1]徐鹏，廖建新，吴乃星，马旭涛.基于软交换的集群媒体服务器的安全问题及其解决方案[J].计算机应用研究，2006(6).

[2]姜华.NGN组网的安全性分析与安全策略[J].现代电信科技，2003(11).

[3]费娟，软交换网络安全解决方案探析[J].现代通信，2006(8).