软交换网络通信的安全分析与措施

2011-03-19陈川

网络安全技术与应用 2011年7期

陈川

92941部队96分队辽宁 125000

0 引言

软交换技术是将传统的交换设备部件话，分为呼叫控制与媒体处理两部分，二者之间采用 MGCP、H248等标准协议，使用纯软件进行处理业务的技术。软交换系统独立于传送网络，采用标准化协议和应用编程接口(API)的开放体系结构，基于分组网利用程控软件将呼叫控制功能从IT网关，即传输层中分离出来，通过软件实现连接控制、翻译和选路、网关管理、呼叫控制、带宽管理、信令、安全性和呼叫详细记录等功能，并将网络资源、网络能力封装起来，通过标准开放的业务接口和业务应用层相连，不仅可以向用户提供现有电路交换机所能提供的所有业务，还可以向第三方提供方便的可编程能力。

软交换网络充分利用现有的IP网络和网络设备，具有功能多、操作灵活、接续快、话路多、成本低等优点，而且随着应用的不断扩展，不仅能够满足移动办公、语音留言等需求，实现通过Email听留言、看传真，通过电话收传真、听Email，还可以将语音、数据和视频结合在一起，实现多媒体会议等功能。

软交换网络采用基于ATM的多协议标记交换技术，主要承载一下两种语音业务：(1)通过VoIP技术，实现在综合信息网中传送语音，并与 PSTN网电话业务互联；(2)通过VTOA技术，实现PSTN电话业务的网络中继传送；另通过使用通信助理(CA)实现多样化的通信应用服务，提高效率和移动性。

1 软交换的网络结构

软交换网络的技术特点是业务与控制相分离、传输与接入相分离，各实体间通过标准的协议进行连接和通信。软交换位于网络的控制层，提供各种业务的呼叫控制、连接以及部分应用业务。整个网络分为四个层面：业务应用层、控制层、传输层和媒体接入层。

1.1 控制层

控制层完成各种呼叫控制功能，并负责相应的业务处理信息的传输。该层最主要的设备就是软交换系统，其地位相当于传统通信网中的交换机，是网络的核心设备。软交换系统的主要功能是完成对媒体接入层中所有媒体网关的业务控制及媒体网关之间通信的控制。

1.2 传输层

传输层主要是为业务媒体流和控制信息流提供统一的、保证QoS的高速分组传输平台。其任务主要是将软交换网各网元，如接入层的各种媒体网关、控制层的软交换机、业务应用层的各种服务器平台等连接起来。软交换网的各网元间，采用IP数据包传输各种控制信息和业务数据信息，因而传输层实际上就是一个承载网络。

1.3 业务应用层

业务应用层主要指面向用户提供各种应用和服务的设备。它采用开放、综合的业务接入平台。为下一代网络提供各种增值业务、多媒体业务和第三方业务，同时还具有相应的业务生成和维护环境。

1.4 媒体接入层

媒体接入层负责将各种不同的网络及终端设备接入，主要是把现有网络相关的各种网关或终端设备接入软交换控制的网中。它能够将用户连接到网络，并把业务量集中后利用公共的传输平台传输到目的地。接入层的设备包括各种不同的网络、终端设备以及各种网关设备，如IP PBX、IP Phone、PC等。

2 软交换网络运行的安全分析

软交换网络以IP网作为承载网络，通信协议和媒体信息主要采用IP数据包的形式进行传送。相对于封闭、使用专用系统的传统电路交换网，架构于IP网上的软交换网络由于接入节点比较多，用户的接入方式和接入地点都非常灵活，更容易受到外来的入侵，而且IP网络自身的安全和QoS问题还有待解决，所以软交换网络也就面临着更多的安全威胁。

2.1 IP网络对软交换的影响

IP网络是以基于TCP/IP协议的由路由器与交换机组成的网络系统，是一个没有质量控制功能且资源有限的自由系统。当大量的广播数据包在网络上无休止地传输时，便形成广播风暴，从而导致网络性能下降，甚至瘫痪。广播风暴发生时，首先受害的就是IP电话等实时业务。软交换IP电话系统对IP网络质量的最大容忍度为：丢包率≤30%，延时≤400ms。满足这两项指标，IP电话就能够顺利接续和正常通话；反之，接续和通话就不好，或者电话不能正常接通，或者通话断续、回音很大、话音不清。

2.2 非法终端接入

软交换系统除支持本系列IP电话终端接入外，也支持第三方厂家提供的IP电话终端的接入。因为网络是开放的，这就存在一个非本系统的IP话机试图接入该软交换系统，构成非法终端接入问题。

2.3 网络攻击

IP网络的开放性和自由性使其很容易遭到来自黑客的各种攻击，与之连接的软交换系统也就存在更加严重的威胁。他们可以通过探测扫描网络及操作系统存在的安全漏洞，如网络IP地址、应用操作系统的类型、开放的TCP端口号、系统用来保存用户名和口令等安全信息的关键文件，或网络监听等手段，获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取和修改内部网络中重要数据，并对网络服务器进行攻击，使得服务器拒绝服务，甚至使网络瘫痪。

2.4 病毒感染

一些IP网因管理及使用不善等多方面原因，造成计算机病毒、木马程序开始在网内出现并迅速泛滥。因接入终端中毒造成的网络拥塞、传播攻击等危害网络安全的事件时有发生。网络病毒的传播速度快，传播范围广，危害性大，并且只要有一台工作站的病毒未被彻底清除，整个网络就有可能重新感染，对数据安全造成极大威胁，不仅影响软交换网络的正常运行，而且病毒的扩散甚至给整个网络造成极大的危害。

3 保障软交换网络安全的几点措施

3.1 采用触发控制机制，保障接入的安全

为防止非法接入，软交换控制中心采用IPSec策略的安全注册触发控制机制。凡是要接入软交换中心的IP终端，连接到IP网络上，首先要向软交换中心提出注册申请，接受软交换中心的合法性验证。只有合法的IP电话终端才能连接到该软交换中心；对于非法的 IP电话终端，软交换中心不予接入。

软交换中心 IPSec策略的合法性验证包括一下两个方面：

(1) 源地址过滤。每个以太网接口都有一个全世界惟一的MAC地址，因此IP网络的底层连接的合法性，就靠MAC地址来识别。在软交换中心设置本系统合法终端的MAC地址表，当网络上有IP终端向软交换中心申请接入时，该软交换中心首先用合法终端的MAC地址表对这个源地址进行过滤。如果该终端送来的MAC地址包含在合法MAC地址表中，则注册有效，该终端被允许接入；如果不在表中，该终端被拒绝。

(2) 目的地址过滤。在软交换中心设置一个加密的IP网络地址对IP电话终端进行注册控制。当IP终端连接上IP网络后，输入要接入的软交换中心的IP网络地址，才能向软交换中心发送注册请求。如果输入的密码不正确，该终端不能进入软交换中心IP地址的输入程序；如果键入的IP地址不正确，则该终端无法通过目的地址过滤。这两种情况均不能接入到软交换中心。

3.2 保障系统服务器和数据安全

软交换应用软件系统是一个专业而封闭的功能平台。其面向连续的接续控制部分系统软件，具有封闭的结构特性，与其它应用软件隔离，一经安装，便不允许其它程序进入，不与网络上的其它功能部件发生连接和交流，有效地防止了网络病毒的感染。且软交换系统服务器采用LINUX操作系统，通过各种安全策略和防病毒措施，封掉有安全隐患的TCP及UDP端口。有效地防止了以WINDOWS操作系统和开放端口为攻击目标的病毒、木马程序的入侵。

软交换系统还采用IPSec的IP数据流类型过滤策略，只接受和处理符合如语音编译吗及语音压缩协议(G.711、G.729等)，UDP/IP数据传输协议，实时控制协议(RTP/RTCP)，VoIP协议(SIP/MGCP/H.248等)等固定协议的IP数据包，不符合以上协议的数据包则被拒绝。而且即使通过协议过滤的 IP数据包，在软交换系统中也被当做媒体流处理，不会作为一个功能部件连接到软件程序中。这样，即使有病毒数据，也只能对本次接续或通话双方传送的话音和图像质量造成局部影响，不会危害到整个网络。

3.3 提高网络整体运行质量

软交换基于业务繁忙的IP网络，设备、管理混杂，要提高软交换业务质量，根本上还是要解决好网络运行的质量问题。通过合理规划和统一管理，减少盲目、随机的建设和使用来理清网络资源。合理地简化网络结构层次，增加网路带宽，降低网络中的时延，提高网络物理层的传输质量，减少网络传输中的损耗。可能出现的广播风暴对软交换网络的影响很大。广播风暴实际上就是网络自激。源端发出的数据包，又从目的端返回到源端。网络布线不良，个别网卡故障，网络中存在环路等都可能引发广播风暴。我们可以通过划分之网，使广播包只在有限的范围内传播或使用网关，对数据包进行分拣等手段控制和减少广播风暴对IP电话的影响。

3.4 增强系统容灾备份保护能力

软交换中心的工作原理基于IP媒体子系统。业务媒体数据(语音、图像)采用P2P模式，在两个IP终端之间直接传送，连接控制由软交换中心来完成。由于通话业务数据不经过软交换中心，因此，一个网络中的两个IP电话终端之间的接续，可由网络中任意一个软交换中心来完成。也就是说，网络中只要有一个软交换控制中心工作正常，系统通信就不会中断。所以，我们可以在整个网络中将软交换控制中心进行多点分布设置，网络局部瘫痪，不会影响 IP电话系统的正常接续功能，从而极大地提高了软交换系统的容灾备份保护能力。