软交换的网络安全解决方案_李娟.docVIP

专题5数据通信6 2004年 第5期#27# 软交换的网络安全解决方案 李 娟 黄本雄 (华中科技大学电信系 武汉430074) 摘 要: 软交换技术是下一代网络的核心技术,采用分层、开放的体系结构,打破了传统电信网封闭的格局,实现了多种异构网络间的融合。IP技术本身存在的许多问题以及软交换作为一个新的技术而存在的问题,都是软交换技术在发展过程中需要面对和解决的问题,特别是软交换的安全问题。本文提出了软交换的网络安全构架及其有效的解决方案。 关键词: 软交换 IPSec MPLSVPN IAD 软交换采用的是以IP网络作为承载网络的技术。IP技术本身存在的许多问题以及软交换技术作为一个新的技术而存在的问题,都是软交换技术在发展过程中需要面对和解决的问题。软交换网络的承载网络采用的是分组网络,主要以IP网和ATM网作为承载网络,通信协议和媒体信息主要采用IP数据包的形式进行传送,软交换网络中接入节点比较多,用户的接入方式和接入地点都非常灵活,因此软交换网络也就面临着比较突出的安全问题,必须在IP网上采用合适的安全策略,以保证软交换网的网络安全。 1 背景 随着IP网的迅速发展,软交换将以IP网为骨干,在各种网络相互融合的基础上,以一种统一的方式灵活地提供业务。软交换控制器(Softswitch)是软交换体系中的控制核心,它独立于底层承载协议,主要完成呼叫控制、媒体网关接入控制、资源分配、协议处理、路由、认证、计费等主要功能,向用户提供现有网络的业务,并向业务支撑环境提供底层网络能力的访问接口。应用服务器则是软交换体系中业务支撑环境的主体,也是业务提供、开发和管理的核心。 软交换采用分层、开放的体系结构,将传统交换机的功能模块分离成独立的网络实体,各实体间采用开放的协议或API接口,从而打破了传统电信网封闭的格局,实现了多种异构网络间的融合。下一代网络的体系通过将业务与呼叫控制分离、呼叫控制与承载分离,实现相对独立的业务体系,上层业务与底层的异构网络无关,灵活、有效地实现业务的提供,满足人们多样的、不断发展的业务需求。可以说,软交换完全体现了业务驱动的思想和理念,很好地实现了多网的融合,提供了开放灵活的业务提供体系。 目前,软交换无论是标准还是设备上都处在一个逐渐成熟的过程之中,国内的运营公司所组建的软交换网络还在试验和试运行阶段,在软交换网络中涉及的许多问题还有待深入地探讨和研究,毕竟 2 软交换的网络安全构架 图1 软交换的网络安全构架 根据软交换网络构架的层次,建立三条安全防 #28#5数据通信6 2004年 第5期专题 线以保证软交换网络的安全策略的实施。网络设备防线:在接入口设置防火墙,保证软交换网络中的重要网络设备不受外界入侵;网络安全防线:运用一系列网络安全协议,保证分组数据的安全传输;接入安全防线:加密用户数据,加强认证机制,保证接入用户信息和业务的安全。根据三条防线,制定一些安全方面的解决方案。2.1 网络设备防线 网络节点设备是软交换网络中最为关键的设备,主要包括软交换设备、中继网关设备、接入网关设备、信令网关设备、应用服务器和各类服务器等。为了充分保证软交换网络的安全,首先要保证网络中核心设备的安全,如果将核心的网络设备置于开放的IP网络中,网络的安全性将很难保证,所以可以将网络的核心设备放在专用网络中,采用私有IP地址的方案。而完全采用私有IP地址的方案是不可行的,由于终端用户的接入方式和接入地点比较灵活,因此软交换设备要能够接入和控制终端用户,又要同时分配有对应的公有IP地址,这样才能保证各种方式用户的接入。为此,可以在核心网外侧设置防火墙,并将软交换网络中少数需要与外界用户进行通信的核心设备的私有地址映射到相应的公有地址,同时利用防火墙对进入核心网的数据包进行过滤,只允许特定端口号的数据包通过防火墙,这种方法可以对PingofDeath等一系列的DOS(分布式拒绝服务攻击)攻击进行过滤。也可以应用入侵检测、流量控制、安全日志与审计等技术实现对软交换网络核心设备的安全防护。 2.2 网络安全防线 网络安全是指软交换网络本身的安全。由于软交换技术选择了分组网络作为承载网络,各种信息主要采用IP分组的方式进行传输,IP协议的简单和通用性为网络黑客提供了便利的条件。2.2.1 利用IPSec技术提供安全保护 在Megaco协议规范(RFC3015)中,指定Mega-co协议的实现要采用IPSec协议保证媒体网关和软交换设备(即媒体网关控制器)之间的通信安全。在不支持IPSec的环境下,使用H.248PMegaco提供的鉴权头(AH)鉴权机制对IP分组实施鉴权。在Megaco协议中强调了如果支持IPSec就必须采用IPSec机制,并且指出IPSec的使用不会影响Mega-co 上的一个应用