基于软交换技术的网络安全问题研究

摘要:软交换位于网络控制层,它的主要任务是在各点之间建立关系,例如与媒体层网关的交互,以及接收正在处理的呼叫信息和指示网关完成呼叫,软交换所处理的主要是实时业务。该文基于此,对软交换的网络安全问题进行了初步研究。

关键词:软交换;网络安全;用户数据

中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)36-10213-03

According to Soft Exchange a Safe Problem of Technical Network

LUO Jie-li

(Changde Polytechnical Institute, Changde 415000, China)

Abstract: The soft commutation locates the network control layer, its main mission is at at all point of establishment relation, for example close with medium layer net of hand over with each other, and receive just at the call sign information for handle and indicate the net pass completion call sign, the soft exchange handle of mainly is solid hour business. This text according to this, to soft commutation of network the safe problem carried on first step a research.

Key words: soft exchange; network safety; customer data

软交换是下一代网络的核心技术,它是一种基于软件的分布式交换和控制平台。软交换最早提出时是基于两点:一是将现有的电路交换网逐步地向IP网过渡,替代传统的电路交换网。二是向IP电话提供更多的业务,获得与传统的电路交换网所能提供的相同的业务。经过不断地发展,软交换体系按功能已经得到确认,可分为四层:媒体接入层、传送层、控制层、业务及应用层。媒体接入层的功能是通过各种接入手段将各类用户连接至网络,并将信息格式转换为能够在网络中传递的信息格式。传送层的功能是采用分组技术,提供一个高可靠性的、具有QOS保证、大容量的综合传送平台,并将信息媒体流传送至目的地。控制层的功能是利用软交换机,以软件的形式控制接入设备完成呼叫接续。业务及应用层的功能是利用各种设备为整个体系提供各种丰富的增值业务、相应的网络管理及服务。

1 软交换技术的发展现状

作为一种潜力巨大的新型技术,人们对软交换技术寄于了太多的期望,供应商期望基于软交换的网络具有高可靠性,并能够根据业务量的需求,灵活扩展和组网,期望软交换技术能够有效利用网络资源、降低网络建设成本、降低运营维护成本、留住客户、适应市场需求以带来增加新收入的机会,而用户则期望软交换技术能够降低使用费用;期望供应商能够提供更优质的服务。这些是软交换技术在社会上带来的心理层面的影响。对于软交换技术本身,软交换体系涉及的协议众多,系列标准的形成将对指导研发和网络应用起到巨大的作用,直接影响着产品设计思路、业务的生成及互通。国际上,IETF、ITU-T、SoftSwitch Org等组织对软交换及协议的研究工作一直起着积极的主导作用,许多关键协议都已制定完成。这些协议将规范整个软交换界的研发工作,使产品从使用各厂家私有协议阶段进入使用业界共同标准协议阶段,各家之间产品互通成为可能,真正实现软交换体系产生的初衷――提供一个标准、开放的体系结构,各网络部件可独立发展。

在软交换技术的研究进展方面,我国处于世界同步水平。信息产业部“网络与交换标准研究组”在1999年下半年就启动了软交换项目的研究,目前已完成了《软交换设备总体技术要求》,此外“IP标准研究组”还正在研制有关中继媒体网关(TG)、信令网关(SG)、接入网关(AG)、综合接入设备(IAD)等设备技术规范。

在软交换产品方面,软交换技术最初由计算机网络设备商提出,主要用于解决企业用户的VOIP接入问题。随着业界对软交换的逐步肯定,传统交换设备制造商纷纷加入到软交换的研制队伍中,并陆续推出针对运营商级的解决方案,使得软交换设备规模从企业级应用迈向了运营级应用。目前各厂家使用内部协议或业界标准协议,对基本语音业务及补充业务都能予以支持,多媒体业务大多处于研发之中,在今后将会有所发展和完善。

2 软交换的主要功能

1)呼叫控制功能

软交换设备可以为基本呼叫的建立、维持和释放提供控制功能,包括呼叫处理、连接控制、智能呼叫触发检测和资源控制等;可以接收来自业务交换功能的监视请求,并对其中与呼叫相关的事件进行处理,接收来自业务交换功能的呼叫控制相关信息,支持呼叫的建立和监视;支持基本的两方呼叫,包括和多方呼叫的控制功能及处理,特殊逻辑关系、呼叫成员的加入/退出/隔离旁听以及混音过程的控制等;能够识别媒体网关报告的用户摘机、拨号和挂机等事件;控制媒体网关向用户发送各种信号音,如拨号音、振铃音、回铃音等;提供满足运营商需求的拨号计划。当软交换设备内不包含信令网关时,软交换应能够采用SS7/IP协议转换实现与外设的信令网关互通,完成整个呼叫的建立与释放功能,其主要承载协议采用信令控制传输协议(SCTP);设备可以控制媒体网关发送交互式语音应答(IVR),以完成诸如二次拨号等多种业务;可以同时直接与H.248终端、媒体网关控制协议(MGCP)终端和会话启动协议(SIP)客户终端进行连接,提供相应业务。当软交换位于PSTN/ISDN本地网时,应具有本地电话交换设备的呼叫处理功能;当软交换位于PSTN/ISDN长途网时,应具有长途电话交换设备的呼叫处理功能。

2)业务提供功能

软交换应能够提供PSTN/ISDN交换机提供的业务,包括话音和多媒体业务等基本补充业务,可以与现有智能网配合提供现有智能网提供的业务;可以与第三方合作,提供多种增值和智能业务。

3)业务交换功能

主要包括业务控制触发的识别以及与SCF间的通信、管理呼叫控制和SCF之间的信令、按要求修改呼叫/连接处理功能、在SCF控制下处理IN业务请求、业务交互作用管理等。业务交换功能与呼叫控制功能相结合提供了呼叫控制功能和业务控制功能(SCF)之间通信所要求的一切功能。

4)协议功能

软交换是一个开放的、多协议的实体,因此必须采用标准协议与各种媒体网关、终端和网络进行通信,这些协议包括:H.248、SCTP、ISUP、TUP、INAP、H.323、Radius、SNMP、SIP、MTP3用户配置协议(M3UA)、MGCP、与承载无关的呼叫控制(BICC)、ISDN、V5协议等。

5)互联互通功能

软交换应可以通过信令网关实现分组网与现有七号信令网的互通;通过信令网关与现有智能网互通,为用户提供多种智能业务;允许SCF控制VoIP呼叫且对呼叫信息进行操作;可以通过软交换中的互通模块,采用H.323协议实现与现有H.323体系的IP电话网的互通;采用SIP协议实现与未来SIP网络体系的互通;可以与其他软交换设备互通互连,它们之间的协议可以采用SIP或BICC;可以提供IP网内H.248终端、SIP终端和MGCP终端之间的互通。

6)资源管理功能

软交换应提供资源管理功能,对系统中的各种资源进行集中的管理,如资源的分配、释放和控制等。

7)计费功能

软交换应具有采集详细话单及复式计次功能,并能够按照运营商的需求将话单传送到相应的计费中心。当使用计帐卡等业务时,软交换应具备实时断线功能。

8)认证与授权功能

软交换应能够与认证中心连接,并可以将所管辖区域内的用户、媒体网关信息送往认证中心进行认证与授权,以防止非法用户或设备的接入。

9)地址解析功能

软交换设备应可以完成E.164地址至IP地址、别名地址至IP地址的转换功能,同时也可以完成重定向功能。

10)语音处理功能

软交换可以控制媒体网关采用语音压缩,并提供可选择的语音压缩算法,算法至少应包括G.729、G.723等;可以控制媒体网关采用回波抵消技术;还可以向媒体网关提供包缓存区的大小,以减少抖动对语音质量的影响。

3 基于软交换的安全问题

根据软交换的网络结构特点,可将安全问题分成三个部分:网络安全,用户数据安全和业务安全。

网络安全是指软交换网络本身的安全,即保证软交换网络中的媒体网关、软交换机、应用服务器设备不会受到非法攻击。由于软交换技术选择了 IP网作为承载网,IP协议的简单和通用为网络黑客提供了便利条件。当软交换选择了开放的 IP网作为承载网时,网络安全问题尤其突出,必须在 IP网上采用合适的安全策略,以保证软交换网的网络安全。

用户数据安全是指用户的签约信息和通信信息的安全,即不会被非法的第三方窃取和监听。首先,软交换网需采用必需的安全认证策略保证用户签约信息的安全,同时,无论是用户的签约信息还是用户的通信信息的安全均需要 IP网的安全策略作为保证。

业务安全是指防止业务的非法盗用,非法抢占带宽,防止非法终端和设备访问网络。

3.1 网络安全

网络安全是指软交换网络本身的安全,既保证软交换网络中的媒体网关、软交换设备、应用服务器、网管系统等设备不会受到非法攻击。由于软交换技术选择了分组网络作为承载网络,并且各种信息主要采用 IP 分组的方式进行传输,IP 协议的简单和通用性为网络黑客提供了便利的条件。

网络安全还要保障软交换设备通信的安全,包括信令和媒体报文的源认证、完整性、保密性和防重放等,以及网络内信息隐藏,包括地址、拓扑等。要保证软交换网络的安全,首先是要保证网络中核心设备的安全,如果将核心的网络设备置于开放的 IP 网络中,网络的安全性将很难保证,所以可以将网络的核心设备放在专用网络中,采用私有 IP 地址的方案。完全采用私有 IP 地址的方案也是不可行的,由于终端用户的接入方式和接入地点比较灵活,因此软交换设备要能够接入和控制终端用户,又要同时分配有对应的公有 IP 地址,这样才能保证各种方式用户的接入。为此,可以在核心网外侧设置防火墙,并将软交换网络中少数需要与外界用户进行通信的核心设备的私有地址映射到相应的公有地址,同时利用防火墙对进入核心网的数据包进行过滤,只允许特定端口号的数据包通过防火墙,这种方法可以对Ping of Death 等一系列的 DOS(分布式拒绝服务攻击)攻击进行过滤。[2]

在骨干网层面,可以采用目前相对比较成熟的技术DDMPLS VPN 技术,构建相对独立的 VPN 网络。这样可以对不同用户间、用户与公网间、业务子网和业务子网间的路由信息进行隔离,并且非 MPLS VPN 内的用户无法访问到软交换域 VPN 内的网络设备,从而可以保证网络的安全。各种终端设备是软交换网络中最大的安全隐患,终端设备处于用户端,存在被用来恶意攻击软交换网络中核心网络设备的可能性。可以在软交换网络的接入边缘设置宽带接入服务器(BASDDBroadband Access Server),作为用户接入网和骨干网之间的网关,终结来自用户接入网的连接,并提供接入到宽带核心业务网(主要是 IP 网和 ATM 网)的服务。宽带接入服务器一般具有网络安全模块和业务管理模块,网络安全模块可以包括 IP VPN 模块和防火墙模块,业务管理模块包括网络接入认证与授权模块、计费模块和统计模块,另外有些宽带接入服务器还可以提供流量管理和控制。利用宽带接入服务器可以对终端用户的接入进行控制和管理。

网管系统应具有不同级别的管理员权限管理机制,越权操作应予以禁止。对非法操作提供记录信息,对系统可能造成潜在危害的请求,如多次认证失败的连接、可疑的 IP 地址连接、频发的大话务流量等,应能够告警并采取相应的防范措施。

3.2 用户数据安全

用户信息的安全主要包括软交换与终端之间传输协议的安全、用户之间媒体信息的安全以及用户私有信息(包括用户名、密码等)的安全,要保证这些信息不为非法用户窃取和监听。对于用户的私人信息的安全问题,主要存在于接入层。因此应该从三个方面来保证用户信息的安全。

第一,对用户的数据流进行隔离,防止用户的信息被非法用户截取。可以采取二层的 VLAN技术,对用户的数据流进行隔离,用 ACL(Access Control List)控制用户之间的互访。

第二,为防止媒体流被篡改、窃取,应实施适当的安全机制来保护媒体连接,解决办法就是对音频消息进行加密。但随着宽带终端数量的增加,一方面密钥需求量会成倍增加,另一方面用户每次通信可能会使用不同的密钥,因为若用户一次又一次的使用相同的密钥与别人交换信息,则如果某人偶然地接触到了用户的密钥,那么用户曾经和另一个人交换的每一条消息都不再是保密的了,另一方面,使用一个特定密钥加密的信息越多,提供给窃听者的材料也就越多,这就增加了他们窃密的机会,所有这些都对密钥的分发提供了严峻的考验。一种比较好的解决方案就是采用 Kerberos 解决方案,它是由 MIT发明的,使保密密钥的管理和分发变得十分容易。Kerberos 建立了一个安全的、可信任的密钥分发中心(Key Distribution Center,KDC),SIP终端/IAD 设备只要知道与 KDC 进行通信的密钥就可以了,而不需要知道成百上千个不同的密钥。

第三,为了防止未授权的实体利用这些协议建立非法呼叫或者干涉合法呼叫,需要对这些协议的传输建立安全机制。目前提出了两种解决方案,一种是采用 IPsec 对协议传输进行安全保护。IPsec包括三个协议:加密协议、认证协议和密钥交换协议。其中加密协议是封装安全净荷(ESP)协议对媒体网关/终端设备和软交换设备之间传送的消息提供加密;认证协议是认证头(AH)协议对在媒体网关/终端设备和软交换设备之间传送的消息提供数据源认证,无连接完整性保护和可选的抗重发保护;密钥交换协议是IKE协议提供媒体网关/终端设备和软交换设备之间进行密钥协商的机制。另一种是过渡性AH方案。如果低层协议不支持IPsec,则应建议采用过渡性AH方案,过渡性AH方案是在H.248协议头中定义可选的AH头来实现对协议连接的保护,过渡性AH方案只能提供一定程度的保护,例如该方案不能提供防窃听保护。

3.3 业务的安全

业务的安全主要是防止业务的非法盗用,非法抢占带宽,防止非法终端和设备访问网络,解决的办法就是软交换网络对 SIP智能终端和 IAD设备进行身份认证。

在软交换网络中存在大量的终端设备,而且这些终端设备的接入地点和接入方式都非常灵活,这些终端都放置在用户侧,无法避免有些用户利用非法终端或设备访问网络,占用网络资源,非法享受业务和服务,并且某些用户可能利用非法终端或设备向网络发动攻击,对网络的安全造成威胁(如发送大量的 IP数据包等)。因此,要保证软交换网络的安全,需要对软交换网络中的终端设备进行鉴权和认证,主要是 IAD设备和 SIP/H.323 等终端设备。目前,对 IAD设备的鉴权和认证主要有以下几种方式:

第一种方案是 IAD在向软交换进行注册时,软交换设备可以从 IAD向软交换设备发送的注册信息中提取出 IP地址或域名,或者 IP地址与其它参数的组合,与自身数据库中的数据进行比较。如果提取出来的信息在数据库中不存在,那么判定该 IAD设备为非法终端,该 IAD设备的注册将失败。这种方案对于采用静态 IP地址配置方式是可行的,但是为了 IAD设备配置的灵活,有些 IAD的 IP地址采用动态分配的方式,IP地址和 IAD设备之间没有一一对应的关系,这样通过 IP地址来对 IAD设备进行鉴权和认证就不可行了。

第二种方案是在 IAD设备向软交换发送的注册信息中携带 MAC地址信息。MAC 地址信息对于 IAD 设备来说是惟一的,而且能够惟一地标识 IAD 设备,该方案也是目前应用比较广泛的一种方案。软交换在收到 IAD设备发送的注册消息后,从中提取出 MAC地址信息,并与自身数据库中所保存的信息进行比较。为了实施该方案,需要在正常标准的 H.248/MGCP 协议的注册命令中增加一些扩展参数来携带MAC 地址信息。考虑到 MAC 地址信息在网络上传输时可能会被窃取,因此需要对IAD 的 MAC 地址进行加密。[3]

第三种方案是 IAD设备在工作之前必须完成管理注册和业务注册。管理注册就是IAD 设备在启动后向网管站进行注册,业务注册就是 IAD 设备向软交换进行注册。从目前软交换设备的情况来看,对 IAD设备的鉴权和认证主要是集中在第一和第二种方案,或者在这两种方案基础上的一些变种,基本上可以保证合法的 IAD设备接入到网络。另外,有些厂家在 IAD设备向软交换发送的所有协议消息中都携带有相关的鉴权和认证信息,更进一步加强了网络的安全,但从一定程度上也加重了软交换设备的处理负荷。

对于 SIP终端和 H.323终端来讲,目前还缺少相应的规范。另外,在这些终端设备上集中了较多的智能,而且不仅有以硬终端形式出现的终端设备,还有以软终端形式出现的终端设备(所谓软终端即为可以安装在计算机上仿 SIP终端或 H.323终端功能的软件),并且位置比较灵活。尤其是软终端,对这种类型的终端采用类 IAD设备的鉴权和认证方案是不可行的。目前,对于这些终端鉴权和认证的方式主要是基于用户名和密码,使用这些终端的用户在向软交换设备发送注册消息时,需要首先输入用户名和密码信息,并对这些信息都采用加密方式进行传送,这些终端只有通过软交换的鉴权和认证才能使用网络资源。

4 总结

本文首先综述软交换的体系结构。针对软交换特有的网络构造,软交换的安全问题可分为三个部分:网络安全、用户数据安全和业务安全。网络安全包括软交换核心设备的安全和 IP承载网的安全。根据这三方面的安全特性,分析了可能的安全威胁和安全隐患,并根据这些安全问题提出了一些解决措施和技术方案,以保证软交换网络的安全性。

参考文献:

[1] 林俐,朱晓洁,张鹏生,赵学军.下一代网络(NGN)组网技术手册[M].北京:机械工业出版社,2009.

[2] 陈云坤,付光轩.软交换中的网络安全问题[J].贵州大学学报,2007(2).

[3] 费娟.软交换中网络安全的解决方案[J].网络安全技术与应用,2006(9).