《(安全生产)软交换网络中的安全机制》由会员分享,可在线阅读,更多相关《(安全生产)软交换网络中的安全机制(5页珍藏版)》请在金锄头文库上搜索。
1、软交换网络中的安全机制李 海 花李海花 信息产业部电信研究院通信标准研究所工程师摘 要 从网络设备、网络、信息、终端设备四方面介绍了软交换网络中的安全机制问题。关键词 软交换 网络 安全一、引 言为了能够适应未来的通信发展需求,通信网络的转变势在必行。当前的基于不同传输和控制技术的各种网络必须融合为一个统一的、多业务的、以数据网络为中心的、在开放的业务平台上提供不同服务质量业务的下一代网络。而目前以软交换为核心、光网络和分组型传送技术为基础的开放式融合网成为业界选择下一代网络时的首要考虑对象。目前,软交换无论是标准还是设备都处在一个逐渐成熟的过程之中,国内的运营公司所组建的软交换网络还主要是在
2、试验和试运行阶段,在软交换网络中涉及的许多问题还有待深入地探讨和研究,毕竟软交换采用的是以IP网络作为承载网络的技术。IP技术本身存在的许多问题以及软交换技术作为一个新的技术而存在的问题,都是软交换技术在发展过程中需要面对和解决的问题。本文旨在通过对软交换技术的跟踪和研究,对软交换网络中所涉及的安全机制进行探讨和分析。软交换网络的承载网络采用的是分组网络,主要以IP网和ATM网作为承载网络,通信协议和媒体信息主要采用IP数据包的形式进行传送,软交换网络中接入节点比较多,用户的接入方式和接入地点都非常灵活,所以软交换网络也就面临着比较突出的安全问题,本文将从四个方面探讨软交换网络中所涉及的安全机
3、制。二、网络设备的安全目前,关于软交换安全方面的文章很少谈到软交换中网络设备自身的安全问题,网络设备是软交换网络中最为关键的设备,主要包括软交换设备、中继网关设备、信令网关设备、操作维护和网管设备等。为了充分保证软交换网络的安全,首先这些网络设备本身要从物理设计层面上提供一定的安全机制,以便软交换网络能够达到电信级网络的要求。软交换技术采用呼叫和承载控制相分离的技术,网络设备的处理能力有了很大的提高,可以处理更多的话务和承载更多的业务负荷,但随之而来的问题就是安全性的问题。对于采用板卡方式设计的网络设备,一块单板在正常情况下能够承载更多的话务和负荷,那么在发生故障时就有可能造成更大范围内的业务
4、中断和损失,所以对于处理类型的单板都需要做到备份处理。从目前对厂家所提供设备的情况了解来看,对于采用板卡方式设计的软交换设备一般都提供相应的备份机制,在发生板卡的倒换时一般不会中断现有的通话,但是对于中继网关设备,当中继网关设备的板卡发生倒换时,有可能造成实时通话中断。这是因为在软交换网络中每个通话都分成了两个层面,一个是呼叫控制层面(该功能由软交换设备完成),一个是承载连接层面(这里主要由中继网关设备完成),有的厂家对呼叫层面呼叫状态的保持给予了重视但却忽视了承载连接层面媒体连接状态的保持。在软交换网络中,随着设备集成度的提高和ATM/IP技术的大量运用,物理端口和网络端口的容量和密度都有了
5、很大程度的提高,因此许多厂家在相关的设备中都提供了物理端口和网络端口的备份。在已经发布的软交换设备技术规范中对此进行了明确的规定:“软交换的IP出口设备应能够支持以主备用的方式同时与分组承载网的网络设备相连接,即要求支持IP接口单板间的热备份机制”和“软交换要支持端口级的热备份机制”,物理端口和网络端口的备份实现起来比较简单,目前一般厂家的网络设备都提供有相应的功能。在软交换网络中最关键的设备软交换设备负责控制大量的设备和呼叫接续,处理能力和功能都非常强大,当软交换设备出现问题和故障时,将给整个网络造成非常大的影响。如何避免软交换设备故障所造成的影响,需要考虑到双归属或多归属的解决方案。首先,
6、需要中继网关、接入网关、综合接入设备IAD等设备能够检测软交换之间的连接性,这样当这些设备检测到和软交换之间的连接丢失之后能够向软交换设备重新进行注册。其次,需要这些设备能够同时依次向多个软交换设备进行注册,这就需要中继网关、接入网关和IAD设备在向软交换设备注册失败之后,在有备份软交换设备的情况下,网关设备能够根据备份软交换设备列表有序地向备份软交换设备进行注册,直到注册成功为止,网关设备应该从多归属的软交换设备上获得完全相同的业务特征。在正常情况下,双归属/多归属的软交换设备各自承担自己的业务,只有在一个软交换设备失效的情况下才承担另一个软交换设备所承担的业务,同时双归属/多归属的软交换设
7、备在地理位置上应该位于不同的区域。目前,对于双归属/多归属功能的实现存在以下问题,一是连接性检测问题。有些厂家生产的网关设备和IAD设备没有连接性检测机制,这样从实际运营的角度来看双归属/多归属功能的自动实现将存在问题,也给整个网络的安全造成隐患;二是对于软交换网络中将大量存在的IAD设备,配置有软交换接入列表的很少,有些IAD设备只配有一个所归属软交换的IP地址,这样对IAD设备也将无法实现双归属/多归属的功能。如果采用启动双归属/多归属功能,需要互为备份归属的软交换设备共用一个认证设备,以便对相应的网关设备、IAD设备统一进行认证。有的厂家对软交换设备的双归属/多归属功能的重要性认识不够,
8、认为如果软交换设备工作比较稳定和可靠,就没必要提供该功能,有的厂家干脆就不支持该功能,希望这些厂家能够对该功能引起高度的重视。从网络设备的安全运营角度来看,软交换设备双归属/多归属功能的支持是必需的,也是软交换网络安全运行必须考虑的一个环节。此外,需要考虑的是软交换网络中的操作维护、网管和软件升级的安全。网管系统应具有不同级别的管理员权限管理机制,越权操作应予以禁止。对非法操作提供记录信息,对系统可能造成潜在危害的请求,如多次认证失败的连接、可疑的IP地址连接、频发的大话务流量等,应能够告警并采取相应的防范措施。除了以上网络设备需要考虑的安全问题之外,软交换网络中的核心设备(包括软交换设备、媒
9、体网关设备、服务器等)在IP网中的地位类似于网络主机设备,因此要求这些核心网络设备应具备数据网中主机设备所具有的安全措施,可以应用防火墙、入侵检测、流量控制、安全日志与审计等技术实现对软交换网络核心设备的安全防护。三、网络的安全网络安全是指软交换网络本身的安全,既保证软交换网络中的媒体网关、软交换设备、应用服务器、网管系统等设备不会受到非法攻击。由于软交换技术选择了分组网络作为承载网络,并且各种信息主要采用IP分组的方式进行传输,IP协议的简单和通用性为网络黑客提供了便利的条件。要保证软交换网络的安全,首先是要保证网络中核心设备的安全,如果将核心的网络设备置于开放的IP网络中,网络的安全性将很
10、难保证,所以笔者认为网络的核心设备必须放在专用网络中,采用私有IP地址的方案。完全采用私有IP地址的方案也是不可行的,由于终端用户的接入方式和接入地点比较灵活,因此软交换设备要能够接入和控制终端用户,又要同时分配有对应的公有IP地址,这样才能保证各种方式用户的接入。为此,可以在核心网外侧设置防火墙,并将软交换网络中少数需要与外界用户进行通信的核心设备的私有地址映射到相应的公有地址,同时利用防火墙对进入核心网的数据包进行过滤,只允许特定端口号的数据包通过防火墙,这种方法可以对Ping of Death等一系列的DOS(分布式拒绝服务攻击)攻击进行过滤。在骨干网层面,可以采用目前相对比较成熟的技术
11、MPLS VPN技术,构建相对独立的VPN网络。这样可以对不同用户间、用户与公网间、业务子网和业务子网间的路由信息进行隔离,并且非MPLS VPN内的用户无法访问到软交换域VPN内的网络设备,从而可以保证网络的安全。各种终端设备是软交换网络中最大的安全隐患,终端设备处于用户端,存在被用来恶意攻击软交换网络中核心网络设备的可能性。建议在软交换网络的接入边缘设置宽带接入服务器(BASBroadband Access Server),作为用户接入网和骨干网之间的网关,终结来自用户接入网的连接,并提供接入到宽带核心业务网(主要是IP网和ATM网)的服务。宽带接入服务器一般具有网络安全模块和业务管理模块
12、,网络安全模块可以包括IP VPN模块和防火墙模块,业务管理模块包括网络接入认证与授权模块、计费模块和统计模块,另外有些宽带接入服务器还可以提供流量管理和控制。利用宽带接入服务器可以对终端用户的接入进行控制和管理。软交换网络在逻辑上是与其它网络相隔离的网络,为了实现软交换网络的运营还要涉及与其它网络的互通,不仅要和传统的电信网络(包括PSTN/PLMN,H.323网络)和智能网的互通,还要涉及到与其它运营商的软交换网络、Internet网络、企业网等网络的互通。虽然针对上述的互通情况目前相关的规定和方案还不成熟,但有的厂家已经提出了自己的解决方案,如实现媒体层面互通的网关和实现控制层面互通的网
13、关设备,进行两个不同网络之间的地址变换、编解码转换和网络的安全防护等功能,对这方面的方案和技术还有待进一步的研究。四、信息的安全信息的安全主要包括软交换与终端之间传输协议的安全、用户之间媒体信息的安全以及用户私有信息(包括用户名、密码等)的安全,要保证这些信息不为非法用户窃取和监听。软交换与终端之间的传输协议涉及H.248协议、MGCP协议、SIP协议和H.323协议,为了防止未授权的实体利用这些协议建立非法呼叫或者干涉合法呼叫,需要对这些协议的传输建立安全机制。当在IP网络上传输H.248协议时,目前提出了两种解决方案,一种是采用IPsec对协议传输进行安全保护。IPsec包括三个协议:加密
14、协议、认证协议和密钥交换协议。其中加密协议是封装安全净荷(ESP)协议对媒体网关/终端设备和软交换设备之间传送的消息提供加密;认证协议是认证头(AH)协议对在媒体网关/终端设备和软交换设备之间传送的消息提供数据源认证,无连接完整性保护和可选的抗重发保护;密钥交换协议是IKE协议提供媒体网关/终端设备和软交换设备之间进行密钥协商的机制。另一种是过渡性AH方案。如果低层协议不支持IPsec,则应建议采用过渡性AH方案,过渡性AH方案是在H.248协议头中定义可选的AH头来实现对协议连接的保护,过渡性AH方案只能提供一定程度的保护,例如该方案不能提供防窃听保护。当在IP网络中传送MGCP协议和SIP
15、协议时,目前提出的主要安全机制也是IPsec协议。当软交换设备和终端之间采用H.323协议时,按照H.323协议的相关描述,针对单个呼叫的安全性可采用AccessToken实现,即在信令消息中携带密钥信息。综上所述,目前保证通信协议安全传输的机制主要还是IPsec协议。有些厂家的软交换设备和终端设备也能够支持IPsec协议,但实际上并没有使用该机制,主要是该机制所涉及到的一系列协议比较复杂,而且极大地增加了软交换设备的负荷。为了防止用户之间的媒体信息被窃听,可以对RTP包进行加密,目前主要采用对称加密算法对RTP包进行加密。为了对RTP包进行加密,需要在呼叫建立过程中向终端传送密钥信息。随着终
16、端数量的增加,密钥的需求量会成倍增加。为了能够保证媒体信息的安全,用户的媒体通信可能都需要使用不同的密钥,所以对密钥的分发提出了严峻的考验,目前比较好的一种解决方案是采用Kerberos解决方案。Kerberos方案中提供一个安全的、可信任的密钥分发中心(Key Distribution Center,KDC),SIP终端/IAD设备只要知道与KDC进行通信的密钥就可以了,而不需要知道成百上千个不同的密钥。使用该方案首先需要在软交换网络中提供一个新的设备密钥分发中心KDC,而且软交换网络中的终端设备需要支持和KDC之间的交互协议,并且该设备的安全也影响着整个系统的安全性,所以有关该方案还需要进一步的探讨。对于用户私有信息包括用户名、密码、账号等信息,目前主要采用的加密算法是MD5,用于用户身份的认证。为了保证信息的安全性,可以在软交换用户接入网络侧根据实际的网络接入方式和网络的实际情况采用某种接入网隔离技术,如采用虚拟局域网VLAN等
