首頁>>>技術>>>NGN

軟交換網絡中的安全機制

李; 2003/12/31

  摘 要 從網絡設備、網絡、信息、終端設備四方面介紹了軟交換網絡中的安全機制問題。

  關鍵詞 軟交換 網絡 安全

一、引言

  為了能夠適應未來的通信發(fā)展需求,通信網絡的轉變勢在必行。當前的基于不同傳輸和控制技術的各種網絡必須融合為一個統(tǒng)一的、多業(yè)務的、以數據網絡為中心的、在開放的業(yè)務平臺上提供不同服務質量業(yè)務的下一代網絡。而目前以軟交換為核心、光網絡和分組型傳送技術為基礎的開放式融合網成為業(yè)界選擇下一代網絡時的首要考慮對象。

  目前,軟交換無論是標準還是設備都處在一個逐漸成熟的過程之中,國內的運營公司所組建的軟交換網絡還主要是在試驗和試運行階段,在軟交換網絡中涉及的許多問題還有待深入地探討和研究,畢竟軟交換采用的是以IP網絡作為承載網絡的技術。IP技術本身存在的許多問題以及軟交換技術作為一個新的技術而存在的問題,都是軟交換技術在發(fā)展過程中需要面對和解決的問題。本文旨在通過對軟交換技術的跟蹤和研究,對軟交換網絡中所涉及的安全機制進行探討和分析。

  軟交換網絡的承載網絡采用的是分組網絡,主要以IP網和ATM網作為承載網絡,通信協(xié)議和媒體信息主要采用IP數據包的形式進行傳送,軟交換網絡中接入節(jié)點比較多,用戶的接入方式和接入地點都非常靈活,所以軟交換網絡也就面臨著比較突出的安全問題,本文將從四個方面探討軟交換網絡中所涉及的安全機制。

二、網絡設備的安全

  目前,關于軟交換安全方面的文章很少談到軟交換中網絡設備自身的安全問題,網絡設備是軟交換網絡中最為關鍵的設備,主要包括軟交換設備、中繼網關設備、信令網關設備、操作維護和網管設備等。為了充分保證軟交換網絡的安全,首先這些網絡設備本身要從物理設計層面上提供一定的安全機制,以便軟交換網絡能夠達到電信級網絡的要求。

  軟交換技術采用呼叫和承載控制相分離的技術,網絡設備的處理能力有了很大的提高,可以處理更多的話務和承載更多的業(yè)務負荷,但隨之而來的問題就是安全性的問題。對于采用板卡方式設計的網絡設備,一塊單板在正常情況下能夠承載更多的話務和負荷,那么在發(fā)生故障時就有可能造成更大范圍內的業(yè)務中斷和損失,所以對于處理類型的單板都需要做到備份處理。從目前對廠家所提供設備的情況了解來看,對于采用板卡方式設計的軟交換設備一般都提供相應的備份機制,在發(fā)生板卡的倒換時一般不會中斷現有的通話,但是對于中繼網關設備,當中繼網關設備的板卡發(fā)生倒換時,有可能造成實時通話中斷。這是因為在軟交換網絡中每個通話都分成了兩個層面,一個是呼叫控制層面(該功能由軟交換設備完成),一個是承載連接層面(這里主要由中繼網關設備完成),有的廠家對呼叫層面呼叫狀態(tài)的保持給予了重視但卻忽視了承載連接層面媒體連接狀態(tài)的保持。

  在軟交換網絡中,隨著設備集成度的提高和ATM/IP技術的大量運用,物理端口和網絡端口的容量和密度都有了很大程度的提高,因此許多廠家在相關的設備中都提供了物理端口和網絡端口的備份。在已經發(fā)布的《軟交換設備技術規(guī)范》中對此進行了明確的規(guī)定:“軟交換的IP出口設備應能夠支持以主備用的方式同時與分組承載網的網絡設備相連接,即要求支持IP接口單板間的熱備份機制”和“軟交換要支持端口級的熱備份機制”,物理端口和網絡端口的備份實現起來比較簡單,目前一般廠家的網絡設備都提供有相應的功能。

  在軟交換網絡中最關鍵的設備--軟交換設備負責控制大量的設備和呼叫接續(xù),處理能力和功能都非常強大,當軟交換設備出現問題和故障時,將給整個網絡造成非常大的影響。如何避免軟交換設備故障所造成的影響,需要考慮到雙歸屬或多歸屬的解決方案。首先,需要中繼網關、接入網關、綜合接入設備IAD等設備能夠檢測軟交換之間的連接性,這樣當這些設備檢測到和軟交換之間的連接丟失之后能夠向軟交換設備重新進行注冊。其次,需要這些設備能夠同時依次向多個軟交換設備進行注冊,這就需要中繼網關、接入網關和IAD設備在向軟交換設備注冊失敗之后,在有備份軟交換設備的情況下,網關設備能夠根據備份軟交換設備列表有序地向備份軟交換設備進行注冊,直到注冊成功為止,網關設備應該從多歸屬的軟交換設備上獲得完全相同的業(yè)務特征。在正常情況下,雙歸屬/多歸屬的軟交換設備各自承擔自己的業(yè)務,只有在一個軟交換設備失效的情況下才承擔另一個軟交換設備所承擔的業(yè)務,同時雙歸屬/多歸屬的軟交換設備在地理位置上應該位于不同的區(qū)域。

  目前,對于雙歸屬/多歸屬功能的實現存在以下問題,一是連接性檢測問題。有些廠家生產的網關設備和IAD設備沒有連接性檢測機制,這樣從實際運營的角度來看雙歸屬/多歸屬功能的自動實現將存在問題,也給整個網絡的安全造成隱患;二是對于軟交換網絡中將大量存在的IAD設備,配置有軟交換接入列表的很少,有些IAD設備只配有一個所歸屬軟交換的IP地址,這樣對IAD設備也將無法實現雙歸屬/多歸屬的功能。如果采用啟動雙歸屬/多歸屬功能,需要互為備份歸屬的軟交換設備共用一個認證設備,以便對相應的網關設備、IAD設備統(tǒng)一進行認證。

  有的廠家對軟交換設備的雙歸屬/多歸屬功能的重要性認識不夠,認為如果軟交換設備工作比較穩(wěn)定和可靠,就沒必要提供該功能,有的廠家干脆就不支持該功能,希望這些廠家能夠對該功能引起高度的重視。從網絡設備的安全運營角度來看,軟交換設備雙歸屬/多歸屬功能的支持是必需的,也是軟交換網絡安全運行必須考慮的一個環(huán)節(jié)。此外,需要考慮的是軟交換網絡中的操作維護、網管和軟件升級的安全。網管系統(tǒng)應具有不同級別的管理員權限管理機制,越權操作應予以禁止。對非法操作提供記錄信息,對系統(tǒng)可能造成潛在危害的請求,如多次認證失敗的連接、可疑的IP地址連接、頻發(fā)的大話務流量等,應能夠告警并采取相應的防范措施。

  除了以上網絡設備需要考慮的安全問題之外,軟交換網絡中的核心設備(包括軟交換設備、媒體網關設備、服務器等)在IP網中的地位類似于網絡主機設備,因此要求這些核心網絡設備應具備數據網中主機設備所具有的安全措施,可以應用防火墻、入侵檢測、流量控制、安全日志與審計等技術實現對軟交換網絡核心設備的安全防護。

三、網絡的安全

  網絡安全是指軟交換網絡本身的安全,既保證軟交換網絡中的媒體網關、軟交換設備、應用服務器、網管系統(tǒng)等設備不會受到非法攻擊。由于軟交換技術選擇了分組網絡作為承載網絡,并且各種信息主要采用IP分組的方式進行傳輸,IP協(xié)議的簡單和通用性為網絡黑客提供了便利的條件。

  要保證軟交換網絡的安全,首先是要保證網絡中核心設備的安全,如果將核心的網絡設備置于開放的IP網絡中,網絡的安全性將很難保證,所以筆者認為網絡的核心設備必須放在專用網絡中,采用私有IP地址的方案。完全采用私有IP地址的方案也是不可行的,由于終端用戶的接入方式和接入地點比較靈活,因此軟交換設備要能夠接入和控制終端用戶,又要同時分配有對應的公有IP地址,這樣才能保證各種方式用戶的接入。為此,可以在核心網外側設置防火墻,并將軟交換網絡中少數需要與外界用戶進行通信的核心設備的私有地址映射到相應的公有地址,同時利用防火墻對進入核心網的數據包進行過濾,只允許特定端口號的數據包通過防火墻,這種方法可以對Ping of Death等一系列的DOS(分布式拒絕服務攻擊)攻擊進行過濾。

  在骨干網層面,可以采用目前相對比較成熟的技術--MPLS VPN技術,構建相對獨立的VPN網絡。這樣可以對不同用戶間、用戶與公網間、業(yè)務子網和業(yè)務子網間的路由信息進行隔離,并且非MPLS VPN內的用戶無法訪問到軟交換域VPN內的網絡設備,從而可以保證網絡的安全。各種終端設備是軟交換網絡中最大的安全隱患,終端設備處于用戶端,存在被用來惡意攻擊軟交換網絡中核心網絡設備的可能性。建議在軟交換網絡的接入邊緣設置寬帶接入服務器(BAS--Broadband Access Server),作為用戶接入網和骨干網之間的網關,終結來自用戶接入網的連接,并提供接入到寬帶核心業(yè)務網(主要是IP網和ATM網)的服務。寬帶接入服務器一般具有網絡安全模塊和業(yè)務管理模塊,網絡安全模塊可以包括IP VPN模塊和防火墻模塊,業(yè)務管理模塊包括網絡接入認證與授權模塊、計費模塊和統(tǒng)計模塊,另外有些寬帶接入服務器還可以提供流量管理和控制。利用寬帶接入服務器可以對終端用戶的接入進行控制和管理。

  軟交換網絡在邏輯上是與其它網絡相隔離的網絡,為了實現軟交換網絡的運營還要涉及與其它網絡的互通,不僅要和傳統(tǒng)的電信網絡(包括PSTN/PLMN,H.323網絡)和智能網的互通,還要涉及到與其它運營商的軟交換網絡、Internet網絡、企業(yè)網等網絡的互通。雖然針對上述的互通情況目前相關的規(guī)定和方案還不成熟,但有的廠家已經提出了自己的解決方案,如實現媒體層面互通的網關和實現控制層面互通的網關設備,進行兩個不同網絡之間的地址變換、編解碼轉換和網絡的安全防護等功能,對這方面的方案和技術還有待進一步的研究。

四、信息的安全

  信息的安全主要包括軟交換與終端之間傳輸協(xié)議的安全、用戶之間媒體信息的安全以及用戶私有信息(包括用戶名、密碼等)的安全,要保證這些信息不為非法用戶竊取和監(jiān)聽。

  軟交換與終端之間的傳輸協(xié)議涉及H.248協(xié)議、MGCP協(xié)議、SIP協(xié)議和H.323協(xié)議,為了防止未授權的實體利用這些協(xié)議建立非法呼叫或者干涉合法呼叫,需要對這些協(xié)議的傳輸建立安全機制。當在IP網絡上傳輸H.248協(xié)議時,目前提出了兩種解決方案,一種是采用IPsec對協(xié)議傳輸進行安全保護。IPsec包括三個協(xié)議:加密協(xié)議、認證協(xié)議和密鑰交換協(xié)議。其中加密協(xié)議是封裝安全凈荷(ESP)協(xié)議對媒體網關/終端設備和軟交換設備之間傳送的消息提供加密;認證協(xié)議是認證頭(AH)協(xié)議對在媒體網關/終端設備和軟交換設備之間傳送的消息提供數據源認證,無連接完整性保護和可選的抗重發(fā)保護;密鑰交換協(xié)議是IKE協(xié)議提供媒體網關/終端設備和軟交換設備之間進行密鑰協(xié)商的機制。另一種是過渡性AH方案。如果低層協(xié)議不支持IPsec,則應建議采用過渡性AH方案,過渡性AH方案是在H.248協(xié)議頭中定義可選的AH頭來實現對協(xié)議連接的保護,過渡性AH方案只能提供一定程度的保護,例如該方案不能提供防竊聽保護。

  當在IP網絡中傳送MGCP協(xié)議和SIP協(xié)議時,目前提出的主要安全機制也是IPsec協(xié)議。當軟交換設備和終端之間采用H.323協(xié)議時,按照H.323協(xié)議的相關描述,針對單個呼叫的安全性可采用AccessToken實現,即在信令消息中攜帶密鑰信息。

  綜上所述,目前保證通信協(xié)議安全傳輸的機制主要還是IPsec協(xié)議。有些廠家的軟交換設備和終端設備也能夠支持IPsec協(xié)議,但實際上并沒有使用該機制,主要是該機制所涉及到的一系列協(xié)議比較復雜,而且極大地增加了軟交換設備的負荷。

  為了防止用戶之間的媒體信息被竊聽,可以對RTP包進行加密,目前主要采用對稱加密算法對RTP包進行加密。為了對RTP包進行加密,需要在呼叫建立過程中向終端傳送密鑰信息。隨著終端數量的增加,密鑰的需求量會成倍增加。為了能夠保證媒體信息的安全,用戶的媒體通信可能都需要使用不同的密鑰,所以對密鑰的分發(fā)提出了嚴峻的考驗,目前比較好的一種解決方案是采用Kerberos解決方案。Kerberos方案中提供一個安全的、可信任的密鑰分發(fā)中心(Key Distribution Center,KDC),SIP終端/IAD設備只要知道與KDC進行通信的密鑰就可以了,而不需要知道成百上千個不同的密鑰。使用該方案首先需要在軟交換網絡中提供一個新的設備--密鑰分發(fā)中心KDC,而且軟交換網絡中的終端設備需要支持和KDC之間的交互協(xié)議,并且該設備的安全也影響著整個系統(tǒng)的安全性,所以有關該方案還需要進一步的探討。

  對于用戶私有信息包括用戶名、密碼、賬號等信息,目前主要采用的加密算法是MD5,用于用戶身份的認證。

  為了保證信息的安全性,可以在軟交換用戶接入網絡側根據實際的網絡接入方式和網絡的實際情況采用某種接入網隔離技術,如采用虛擬局域網VLAN等隔離技術對用戶的數據流進行隔離,將用戶的語音信息和數據信息分別設置在不同的VLAN中,防止用戶的信息被非法用戶截取,并在一定程度上可以控制用戶之間的訪問。目前,VLAN技術已經在網絡組織和網絡安全方面得到了廣泛的應用。

五、終端設備的安全

  如上所述,在軟交換網絡中存在大量的終端設備,而且這些終端設備的接入地點和接入方式都非常靈活,這些終端都放置在用戶側,無法避免有些用戶利用非法終端或設備訪問網絡,占用網絡資源,非法享受業(yè)務和服務,并且某些用戶可能利用非法終端或設備向網絡發(fā)動攻擊,對網絡的安全造成威脅(如發(fā)送大量的IP數據包等)。因此,要保證軟交換網絡的安全,需要對軟交換網絡中的終端設備進行鑒權和認證,主要是IAD設備和SIP/H.323等終端設備。目前,對IAD設備的鑒權和認證主要有以下幾種方式:

  第一種方式是IAD在向軟交換進行注冊時,軟交換設備可以從IAD向軟交換設備發(fā)送的注冊信息中提取出IP地址或域名,或者IP地址與其它參數的組合,與自身數據庫中的數據進行比較。如果提取出來的信息在數據庫中不存在,那么判定該IAD設備為非法終端,該IAD設備的注冊將失敗。這種方案對于采用靜態(tài)IP地址配置方式是可行的,但是為了IAD設備配置的靈活,有些IAD的IP地址采用動態(tài)分配的方式,IP地址和IAD設備之間沒有一一對應的關系,這樣通過IP地址來對IAD設備進行鑒權和認證就不可行了。

  第二種方案是在IAD設備向軟交換發(fā)送的注冊信息中攜帶MAC地址信息。MAC地址信息對于IAD設備來說是惟一的,而且能夠惟一地標識IAD設備,該方案也是目前應用比較廣泛的一種方案。軟交換在收到IAD設備發(fā)送的注冊消息后,從中提取出MAC地址信息,并與自身數據庫中所保存的信息進行比較。為了實施該方案,需要在正常標準的H.248/MGCP協(xié)議的注冊命令中增加一些擴展參數來攜帶MAC地址信息?紤]到MAC地址信息在網絡上傳輸時可能會被竊取,因此需要對IAD的MAC地址進行加密。

  第三種方案是IAD設備在工作之前必須完成管理注冊和業(yè)務注冊。管理注冊就是IAD設備在啟動后向網管站進行注冊,業(yè)務注冊就是IAD設備向軟交換進行注冊,該方案具體可參見《IAD設備技術規(guī)范》中的資料性附錄C.3.3。

  從目前各廠家所提供軟交換設備的情況來看,對IAD設備的鑒權和認證主要是集中在第一和第二種方案,或者在這兩種方案基礎上的一些變種,基本上可以保證合法的IAD設備接入到網絡。另外,有些廠家在IAD設備向軟交換發(fā)送的所有協(xié)議消息中都攜帶有相關的鑒權和認證信息,更進一步加強了網絡的安全,但從一定程度上也加重了軟交換設備的處理負荷。

  對于SIP終端和H.323終端來講,目前還缺少相應的規(guī)范。另外,在這些終端設備上集中了較多的智能,而且不僅有以硬終端形式出現的終端設備,還有以軟終端形式出現的終端設備(所謂軟終端即為可以安裝在計算機上仿SIP終端或H.323終端功能的軟件),并且位置比較靈活。尤其是軟終端,對這種類型的終端采用類IAD設備的鑒權和認證方案是不可行的。目前,對于這些終端鑒權和認證的方式主要是基于用戶名和密碼,使用這些終端的用戶在向軟交換設備發(fā)送注冊消息時,需要首先輸入用戶名和密碼信息,并對這些信息都采用加密方式進行傳送,這些終端只有通過軟交換的鑒權和認證才能使用網絡資源。

六、結束語

  軟交換網絡中的安全機制涉及的方面比較多,本文僅從四個方面對軟交換網絡中應該考慮的安全機制進行了闡述,并結合目前軟交換系統(tǒng)生產廠家具體實現情況,以及目前相關標準和規(guī)范的情況進行了探討和分析。安全機制是針對軟交換技術的研究,以及對軟交換網絡發(fā)展、軟交換網絡的運營都是必須要慎重考慮的問題。從以上分析來看,軟交換網絡中的安全機制有些方面還不太成熟,需要進一步地跟蹤和研究,以便提出切實可行的方案。

中國通信網(www.c114.net)—電信網技術

相關鏈接:
運營商如何向下一代網絡平滑過渡 2003-12-31
通產年度推薦:六個NGN解決方案 2003-12-31
基于SIP的VoIP在下一代網絡中的應用 2003-12-29
劉春輝:交換技術演進趨勢及未來展望 2003-12-29
中國電信韋樂平:NGN是運營商的必然選擇 2003-12-25

分類信息:     技術_NGN及軟交換_新聞   技術_NGN及軟交換_文摘