提要:目前,网络建设的主要任务便是提供一个安全可靠的网络环境,网络的安全问题对于软交换系统来说非常重要。文章基于此针对软交换网络的结构和安全隐患进行分析,并进一步提出软交换中网络安全问题的解决方案,对软交换的网络安全问题的解决提供参考。
关键词:软交换 网络安全 网络通讯
随着通信网络技术的飞速发展,人们对于宽带及业务的要求也在迅速增长,为了向用户提供更加灵活、多样的现有业务和新增业务,提供给用户更加个性化的服务,提出了下一代网络的概念。
一、软交换的网络结构
1.媒体接入层。媒体接入层负责将各种不同的网络及终端设备接入,主要是把现有网络相关的各种网关或终端设备接入软交换控制的网中。它能够将用户连接到网络,并把业务量集中后利用公共的传输平台传输到目的地。接入层的设备包括各种不同的网络、终端设备以及各种网关设备。
2.传输层。传输层主要是为业务媒体流和控制信息流提供统一的、保证QoS的高速分组传输平台.其任务主要是将软交换网各网元,如接入层的各种媒体网关、控制层的软交换机、业务应用层的各种服务器平台等连接起来。软交换网的各网元间,采用IP数据包传输各种控制信息和业务数据信息,因而传输层实际上就是一个承载网络。
3.控制层。控制层完成各种呼叫控制功能,并负责相应的业务处理信息的传输。该层最主要的设备就是软交换系统,其地位相当干传统通信网中的交换机,是网络的核心设备。软交换系统的主要功能是完成对媒体接入层中所有媒体网关的业务控制及媒体网关之间通信的控制。
4.业务应用层。业务应用层主要指面向用户提供各种应用和服务的设备。它采用开放、综合的业务接入平台。为下一代网络提供各种增值业务、多媒体业务和第三方业务,同时还具有相应的业务生成和维护环境。
软交换是下一代网络的核心设备之一,各运营商在组建基于软交换技术的网络结构时,必须考虑到与其它各种网络的互通。
二、软交换网络中存在的安全问题
软交换网络中接入节点比较多,用户的接入方式和接入地点都非常灵活,相对传统网络来说,软交换的网络环境更为复杂,所以软交换网络也就势必将面临着更加突出的安全问题。
1.终端设备安全威胁
软交换网络中存在大量的终端设备。包括IAD设备、SIP/H.323终端和PC软终端等。软交换网络接入灵活,任何可以接入IP网络的地点均可以接入终端,但是这种特性在为用户带来方便的同时,也导致可能存在用户利用非法终端或设备访问网络,占用网络资源,非法使用业务和服务;同时,某些用户可能使用非法终端或设备向网络发起攻击,对网络的安全造成威胁。
2.网络安全威胁
由于缺乏合理有效的安全措施,以IP为基础的因特网网络安全事件十分频繁,主要包括蠕虫病毒的泛滥和黑客的攻击。当前互联网病毒十分猖撅,每天都有新病毒出现,这些病毒轻则大量占用网络资源和网络带宽,导致正常业务访问缓慢,甚至无法访问网络资源,重则导致整个网络瘫痪。造成无法弥补的损失。
软交换网络采用IP分组网作为传输承载,而且软交换网络提供的业务大部分属于实时业务,对网络的安全可靠性要求更高,当网络由于病毒导致带宽大量占用、访问速度很慢甚至无法访问时,软交换网络就无法为用户提供任何服务。
3.关键设备安全威胁
软交换网络中的关键设备包括:软交换设备、媒体网关、信令网关、应用服务器、媒体服务器等,由于下一代网络选择分组网络作为承载网路,并且各种信息主要采用IP分组的方式进行传输。IP协议的简单性和通用性为网络上对关键设备的各种攻击提供了便利的条件。
4.信息安全威胁
信息安全主要包括软交换与终端之间信令消息的安全、用户之间媒体信息的安全以及用户私有信息(包括用户名、密码等)的安全。由于软交换网络采用开放的IP网络传输信息,在网络上传输的数据就很容易被监听,如果软交换与终端之间的信令消息被监听,有可能导致终端用户私有信息的泄漏,导致监听者可以利用监听到的信息伪造成合法用户接入网络;如果用户之间媒体信息被恶意监听,将导致用户私密信息的泄漏。
三、软交换中网络安全问题的解决方案
1.认证服务器和策略服务器的接入
在软交换的应用层添加认证服务器和策略服务器,一方面可以保证认证的有效性和可靠性,另一方面可以对整个网络实行策略性的管理,从而降低软交换中的不安全因素对其的影响。对于软交换中的网络安全来说,网络管理起到了很重要的作用。一般来说一个合格的网络管理系统至少应该具备故障管理、配置管理、性能管理、计费管理和安全管理等功能。而计费和安全又是网络管理和安全的重中之重。
通过接入认证计费服务器,实现认证功能和计费功能。对于认证来说要能够实现:接受用户接入认证请求,对用户使用系统的权限进行认证,支持卡号用户的漫游认证。对于计费功能来说,要实现接收来自数据采集点的用户计费信息,根据费率及其相应的计费规则生成计费账单。通过接入策略服务器,可以更好的对整个网络实行管理。可以针对不能级别的用户,提供相应的数据库管理和服务。
2.IPSec的体系结构
IPSec是一个开放式的网络安全标准,它在TCP/IP协议栈的IP层实现,可为上层协议无缝地提供安全保障,各种应用程序可以享用IP层提供的安全服务和密钥管理,而不必设计自己的安全机制。
IPSec体系提供标准的、安全的、普遍的机制。可以保护主机之间、网关之间和主机与网关之间的数据包安全。由于涉及的算法为标准算法,可以保证互通性,并且可以提供嵌套安全服务。
3.软交换中实现防火墙技术方案
防火墙是一类防范措施的总称,它隔离了内部网络和外部网络,限制网络之间的访问,以此来保护内部网络。对常规防火墙来说,如果传送的是TCP包,为了起到保护软交换的目的,通常都是软交换先往外部发送TCP包之后,才能打开相应的外部主机要发往内部主机的端口,而对于外部主机在这之前发往内部的包一律做丢弃处理。软交换的信令连接可使用TCP或者是UDP。如果使用的是UDP,并且通信双方长时间没有通信流量的情况下,就会面临端口被定时关闭的问题。
目前,我国的网络与通信标准组正在积极开展对基于软交换的网络组网方面的研究。找到一种适合我国运营商的软交换网络组网方案将是下一个阶段的研究重点。本文所涉及的关于软交换方面存在的一些问题及解决措施,只是个人的一些观点和看法。仅供参考。
参考文献:
[1]庄振运.软交换技术及其标准[J].电流技术,2001,(4):31-35.
[2]陈云坤,付光轩.软交换中的网络安全问题[J].贵州大学学报(自然科学报),2007,(2):79-183.