近年來，以軟交換為核心的下一代網絡一直是研究的熱點，不僅設備制造商投入大量的金錢和人力研發設備，而且電信運營商也開展大量的測試和實驗，用來驗證設備的穩定性、協議的標準化程度以及規模組網的可行性。但是，隨著軟交換網絡大規模商用步伐的逐步推進，我們在看到軟交換網絡與傳統電信技術相比具有很多優點的同時，也發現基于IP的軟交換網絡實現電信級的運營，還存在一些問題，包括：網絡的QoS保證、網絡的安全性、控制層面的組網問題等，如果不很好地解決這些問題，將大大影響軟交換的商用速度。

以軟交換為核心的下一代網絡采用IP分組網絡承載，傳統的IP網絡是一個盡力傳送和開放自由的網絡，有些IP網絡用戶可以不經任何認證和鑒權就可以接入IP網絡，IP網絡用戶也不需要進行任何業務認證與鑒權。IP網絡的開放性是推動互聯網發展的重要因素，但同時也帶來了網絡的安全隱患。NGN采用IP承載網絡，如果在建設初期沒有合理規劃，將會存在更大的安全威脅。

NGN網絡安全威脅

終端設備安全威脅

軟交換網絡中存在大量的終端設備，包括IAD設備、SIP／H．323終端和PC軟終端等。軟交換網絡接入靈活，任何可以接入IP網絡的地點均可以接入終端。但是，這種特性在為用戶帶來方便的同時，也導致可能存在用戶利用非法終端或設備訪問網絡，占用網絡資源，非法使用業務和服務，同時，某些用戶可能使用非法終端或設備向網絡發起攻擊，對網絡的安全造成威脅。另外，由于接入與地點的無關性，使得安全威脅發生后，很難定位發起安全攻擊的確切地點，無法追查責任人。

網絡安全威脅

由于缺乏合理有效的安全措施，以IP為基礎的因特網網絡安全事件十分頻繁，主要包括蠕蟲病毒的泛濫和黑客的攻擊。當前互聯網病毒十分猖獗，每天都有新病毒出現，這些病毒輕則大量占用網絡資源和網絡帶寬，導致正常業務訪問緩慢，甚至無法訪問網絡資源；重則導致整個網絡癱瘓，造成無法彌補的損失。另外，黑客憑借網絡工具和高超的技術，攻擊網絡上的關鍵設備，篡改上面的路由數據、用戶數據等，導致路由異常，網絡無法訪問等。

軟交換網絡采用IP分組網作為傳輸承載，而且軟交換網絡提供的業務大部分屬于實時業務，對網絡的安全可靠性要求更高。當網絡由于病毒導致帶寬大量被占用，訪問速度很慢甚至無法訪問時，軟交換網絡就無法為用戶提供任何服務。

關鍵設備安全威脅

軟交換網絡中的關鍵設備包括：軟交換設備、媒體網關、信令網關、應用服務器、媒體服務器等。由于下一代網絡選擇分組網絡作為承載網絡，并且各種信息主要采用IP分組的方式進行傳輸，IP協議的簡單性和通用性為網絡上對關鍵設備的各種攻擊提供了便利的條件。目前對網絡設備常見的攻擊有：

――DoS和DDoS攻擊

DoS攻擊：DenialofService，也就是“拒絕服務”的意思，指通過過量的服務從而使軟交換網絡中的關鍵設備陷入崩潰的邊緣或崩潰。包括UDPflood、SYNflood、ICMPflood、Smurf攻擊、IP碎片攻擊、畸形消息攻擊等。DDoS攻擊：Distributed Denialof Service，即“分布式拒絕服務”。它是一種基于DoS的特殊形式的拒絕服務攻擊，是一種分布、協作的大規模攻擊方式。它通過入侵一些具有漏洞的主機，并操控這些受害主機，以其為攻擊平臺向軟交換網絡中的關鍵設備發起大量的DoS攻擊，從而導致軟交換網絡中的關鍵設備因無法處理過多的服務請求而癱瘓。

――利用型攻擊

此種攻擊方式以通過竊取用戶密碼等方式獲取關鍵設備的控制權為目的，主要包括口令猜測、特洛伊木馬和緩沖區溢出等手段。

由于目前軟交換網絡中的關鍵設備（如軟交換、網關和各種服務器等）的硬件實現普遍基于通用平臺（CompactPCI），各種應用服務器同樣基于業界流行的主機、服務器等，這就導致黑客可以利用一些已知的后門和漏洞來攻擊主機，非法獲取主機的口令和密碼，達到控制關鍵設備的目的。

信息安全威脅

信息安全主要包括軟交換與終端之間信令消息的安全、用戶之間媒體信息的安全以及用戶私有信息（包括用戶名、密碼等）的安全。由于軟交換網絡采用開放的IP網絡傳輸信息，這樣在網絡上傳輸的數據就很容易被監聽，如果軟交換與終端之間的信令消息被監聽，有可能導致終端用戶私有信息的泄露，導致監聽者可以利用監聽到的信息偽造成合法用戶接入網絡；如果用戶之間媒體信息被惡意監聽，將導致用戶私密信息的泄露。

NGN網絡安全解決方案

邊界隔離

★防火墻隔離

軟交換網絡關鍵設備如軟交換、應用服務器和網關等放置在IP網絡上，相當于IP網絡上的主機，存在著被攻擊的危險，為保證關鍵設備的安全，需要在重要的網絡設備前面放置防火墻以保證軟交換核心網絡設備的安全。

防火墻通常具有以下功能：

1）防火墻定義了單個的阻塞點，將未授權的用戶隔離在被保護的網絡之外，禁止潛在的易受攻擊的服務進入或離開網絡，并且對于不同類型的IP欺騙和選路攻擊提供保護。

2）防火墻提供了監視與安全有關事件的場所，在防火墻系統中可以實現審計和告警。

3）防火墻可以實現網絡地址轉換以及審計和記錄網絡使用日志的網絡管理功能。

防火墻最重要的功能就是包過濾功能，包過濾應該做到按照IP報文的如下屬性――源IP地址、目的IP地址、源端口、目的端口、傳輸層協議進行過濾；部分廠家的防火墻還可以做到基于報文內容的訪問控制，即可以檢查應用層協議信息并監控應用層協議狀態。

★信令媒體代理設備隔離

為保障軟交換網絡的安全，可以將軟交換網絡進行安全區域的劃分，根據軟交換網絡中設備的安全需求以及軟交換網絡的安全區域，劃分成內網區和外網區兩個安全區域。

軟交換網絡內網區：由軟交換、信令網關、應用服務器、媒體服務器、中繼網關、大容量用戶綜合接入網關等設備組成的網絡區域。該網絡區域設備面向大量用戶提供服務，安全等級要求高。

軟交換網絡外網區：由SIP終端、PC軟終端、普通用戶IAD等終端設備組成的網絡區域，該網絡區域設備放置在用戶側，面向個人用戶提供服務。

內網區和外網區的互通，通過信令媒體代理設備實現，信令媒體代理設備除進行外網區終端訪問軟交換和網關設備的信令、媒體轉發之外，同時在安全方面應具有以下功能：

1．設備應能支持基于SIP、MGCP和H．248協議的應用層攻擊防護。

2．設備應能對異常消息、異常流量等高風險行為進行識別并產生實時告警，供維護人員作進一步處理。

3．對于以下情況，設備應能進行識別并按照預定策略進行處理。

（a）應能根據用戶注冊狀態進行消息的處理，對未注冊用戶發送的非注冊消息進行丟棄處理；

（b）設備應能對注冊鑒權失敗的用戶終端建立監視列表，記錄IP地址／端口和用戶名，并能采取相應措施。

4．設備應具有防常見DoS攻擊能力。

網絡隔離

把NGN與其他網絡進行物理隔離，即在物理上單獨構建一個獨立的網絡，可以有效規避外部攻擊，但是這種建網與維護成本顯然較高，所以這種方法并不可取。近年來，隨著VPN技術的成熟，在同一個物理網絡上構建不同的VPN已經實際可行，可以采用MPLS、VLAN等VPN技術從分組數據物理網絡中劃分出一個獨立邏輯網絡作為NGN虛擬業務網絡，把NGN從邏輯上與其他網絡進行隔離，其他網絡用戶無法通過非法途徑訪問NGN網絡，將可以避免來自其他網絡特別是Internet網絡上用戶對NGN網絡的攻擊與破壞。

數據加密

為了防止NGN中傳送的信令和媒體信息被非法監聽，可以采用目前互聯網上通用的數據加密技術對信令流和媒體流進行加密。

對于IP網絡上的信令傳輸，目前提出的主要安全機制是IPSec協議。在Megaco協議規范（RFC3015）中，指定Megaco協議的實現要采用IPSec協議保證媒體網關和軟交換設備之間的通信安全。在不支持IPSec的環境下，使用Megaco提供的鑒權頭（AH）鑒權機制對IP分組實施鑒權。在Megaco協議中強調了如果支持IPSec就必須采用IPSec機制，并且指出IPSec的使用不會影響Megaco協議進行交互接續的性能。IPSec是IPv4協議上的一個應用協議，IPv6直接支持IPSec選項。

對于媒體流的傳輸，采用對RTP包進行加密，目前主要采用對稱加密算法對RTP包進行加密。

對于用戶賬號、密碼等私有信息，目前采用的加密算法主要是MD5，用于用戶身份的認證。

訪問控制

★接入用戶身份認證

軟交換終端用戶特別是智能終端、PC軟終端、桌面IAD等接入NGN網絡時必須經過嚴格的認證，確認用戶的身份后才允許用戶接入NGN網絡。

用戶接入認證時可以采用保密強度比較高的公開密鑰體系來進行，以保證用戶身份的可靠性。NGN系統認證確認用戶身份接入NGN網絡后，可以把用戶標志、IP地址等信息進行綁定并記錄到網絡安全日志中。這樣一旦用戶的身份在接入時得到了確認，即使個別用戶進行網絡破壞也很容易通過網絡的安全日志迅速定位和查處該用戶。通過這種方式從根源上基本可以杜絕從用戶側發起網絡攻擊而導致的網絡安全問題。另外，可以強制軟交換或終端網管設備對終端的IP地址、MAC地址與終端標志進行匹配，當終端標志正確，但是IP地址或MAC地址不正確時，也不予提供接入和服務。

★訪問控制

1．設備管理控制臺訪問

控制臺是設備提供的最基本的配置方式。控制臺擁有對設備最高配置權限，對控制臺訪問方式的權限管理應擁有最嚴格的方式。包括：用戶登錄驗證、控制臺超時注銷、控制臺終端鎖定。

2．異步輔助端口的本地、遠程撥號訪問嚴格控制通過設備的其他異步輔助端口對設備進行本地、遠程撥號的交互配置，缺省要求身份驗證。

3．TELNET訪問嚴格控制Telnet訪問

用戶、缺省要求身份驗證，以及限制Telnet終端的IP地址，限制同時Telnet用戶數目等。

NGN網絡安全建議

根據前面的論述，為了保證所構建的NGN網絡的安全性，必須做到以下幾點：

1．在網絡關鍵設備前放置防火墻和信令媒體代理設備，防止對網絡關鍵設備的攻擊；

2．把NGN與Internet等其他網絡進行隔離，保證除NGN設備和用戶外其他用戶無法通過非法途徑訪問NGN；

3．對用戶與軟交換交互的信令消息進行加密，確保無法被非法監聽；

4．在接入層對用戶接入和業務使用進行嚴格控制，用戶必須經過嚴格的鑒權和認證才可以接入NGN網絡，用戶的業務使用也必須經過嚴格的鑒權和認證。

軟交換、應用服務器和各種網關設備組成封閉的MPLSVPN網絡，對于內部大客戶可以通過專線直接接入，其他非信任區域的終端用戶只能通過信令媒體代理設備訪問，同時采用IPSec加密交互的信令消息。軟交換和信令媒體代理設備嚴格控制終端的接入，對終端標志、IP地址、MAC地址進行認證。

總之，下一代網絡的安全保證是一個系統工程，使用任何單獨的技術都無法完成這個任務，只有綜合運用加密、認證、防攻擊等各種安全保障手段，并且相互配合才可以構建一個安全的下一代網絡。（作者單位：中國電信股份有限公司北京研究院 ）