軟交換中的安全機制

2019-11-03 19:23:53

字體：大中小

來源：轉載

供稿：網友

郭謙王東輝

　　摘要目前以軟交換為核心的下一代網絡（NGN）因其投資少、見效快、配置靈活正在受到運營商和產品提供商的青睞。由于軟交換采用ip技術并建立在Internet網基礎上，為了系統自身的安全必須建立完備的安全機制。本文通過定義電信對網絡信息安全的需求，列舉目前流行的安全攻擊方式的基礎上，指出系統應提供的安全服務，并重點闡述安全機制的建立和涉及的相關技術。

　　關鍵詞軟交換對稱密鑰公開密鑰數字簽名 IPSec IKE

一、引言

　　以軟交換為核心的下一代網絡（NGN）所具有的優勢使得運營上在減少投資和加快建網進度的同時，能夠使服務提供商和廣大用戶受益。但是，目前雖然不少廠家推出軟交換的解決方案，各運營商也在積極進行建設，但由于該技術的提出和應用也就這十幾年的事情，在協議完善，業務開展上仍需要很長的時間來進行，尤其是NGN網絡以IP網絡作為承載話音的網絡時，如何解決現有的網絡安全就成為系統能否安全、穩定運行的關鍵。

　　為了防止未經授權的實體利用軟交換協議建立非法呼叫或干擾破壞合法呼叫，需要系統在軟交換的連接建立、維持和釋放上建立安全機制。由于IP網絡上的安全問題非常復雜，包括網絡核心設備安全、網絡接入設備安全、網絡自身安全、信息安全等方面，且涉及的技術很多，本文對以上各部分概述的同時，主要側重對軟交換中使用的IPSec協議作一個闡述。

二、安全需求

　　電信行業由于自身服務的需求，對網絡信息安全有著很高的需求。首先安全涉及很多方面，包括網絡系統的硬件、軟件及其系統中的數據應受到保護，不會遭到偶然的或者惡意的破壞、更改、泄露，系統能連續、可靠、正常地運行，網絡服務不中斷。網絡信息安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的邊緣性綜合學科。

　　從廣義來說，凡是涉及到網絡上信息的可靠性、可用性、保密性、完整性、真實性和可控性的相關技術和理論都是電信對網絡信息安全的要求。

　　·可靠性：是指網絡信息系統能在規定條件下和規定的時間內完成規定的功能。

　　·可用性：是指網絡信息可被授權實體訪問并按需求使用。

　　·保密性：是指網絡信息不泄露給非授權用戶、實體或過程，或供其利用。

　　·完整性：是指網絡信息未經授權不能進行改變。

　　·真實性：是指在網絡信息系統的信息交互過程中，確信參與者的真實統一性。

　　·可控性：是指對網絡信息的傳播及內容具有控制能力。

　　因此，網絡信息安全是一個涉及信息傳送、使用、傳播等多個方面的綜合概念。成功的網絡信息安全策略應當滿足以上各方面要求。

三、安全攻擊與安全服務

　　目前，針對IP網上的服務，主要會受到下列安全攻擊：

　　·中斷：系統資源遭到破壞或變得無法使用。這是一種可用性的攻擊。中斷涉及硬件和軟件部分。比如硬件破壞，通過使網絡核心或接入設備癱瘓、通信線路切斷來達到使服務終止的目的。軟件破壞可以采用Ping of Death等一系列的DOS（分布式拒絕服務攻擊）攻擊來耗盡系統和網絡資源從而使服務質量下降，直至停止。

　　·截?。何唇浭跈嗟挠脩臬@取到系統某些資源的訪問權。這是對機密性的攻擊。只要非法用戶通過技術手段獲取到通信建立的相關信息，就可以捕獲該通信鏈路上傳遞的信息，從而掌握一些機密信息。

　　·修改：相對于"截取"的被動攻擊，非法用戶可以在獲取某些資源信息的同時，采取主動攻擊，修改資源信息，造成更大破壞。這種方式可以直接修改數據文件，也可以通過修改正在傳送的數據而達到破壞目的。

　　·捏造：未經授權的用戶向系統中插入偽造的對象。這也是一種主動攻擊方式。非法用戶可以通過獲取合法用戶的身份驗證信息欺騙系統，建立合法連接，從而對數據的真實性進行攻擊。

　　針對以上各種安全攻擊，軟交換系統必須提供相應的安全服務，保證合法用戶的使用安全。主要手段如下：

　?。?）保密性。為了防止非法用戶在數據傳送和身份認證過程中獲取信息，必須對傳送的數據進行加密。通過將明文進行密碼加密，轉換成密文，從而使竊密者就是截取到數據也無法獲得信息。另外，如果對數據傳輸的源、目的地址、端口等信息進行屏蔽，使其無法“監聽”，就可以有效防止非法用戶獲取數據，從而達到更好的保密效果。本文介紹的IPSec VPN解決的是數據傳遞時的保密問題。

　　（2）認證。認證就是在雙方通訊之前相互確認對方的身份,明確數據來源，防止非法用戶盜用合法賬號獲取信息。認證服務包括實體身份認證和數據源認證兩類。實體認證主要保證發起通信的實體是否擁有合法身份及其相應權限；數據源認證可以使得業務與具體的實體捆綁，加強安全防范。使用VPN技術可以確定通信雙方的合法性，同時可以保證第三方無方偽裝。

　?。?）完整性。在端與端通信中提供VPN技術可以有效杜絕非法用戶修改傳輸數據。同時，通過數字簽名、完整性檢測技術，主動發現數據是否遭到破壞。

　　（4）訪問控制。提供完備的訪問控制，對于網絡中的關鍵部分應建立嚴格的授權體制，對于通過認證的實體應按照實現設定的權限使用資源，禁止對未授權部分的訪問。訪問控制的信息一般保存在安全認證數據庫中，故對該庫也要設置高等級的安全措施。

四、安全機制

　　建立和使用安全機制才能真正防備攻擊，獲得安全服務。比如使用核心設備熱備、邊界隔離、VPN等措施使網絡具備一定的反入侵能力；采用IPSec保證通信協議的安全傳送；采用加密機制來提供保密服務，以及用數字簽名技術來提供完整性和認證服務等。

　　邊界隔離首先要求媒體網關、軟交換等網絡設備應具備一定的反入侵能力以增強系統的安全性；同時需要配備專用的隔離設備，如網關、防火墻，達到內網與外網的隔離。H.248及SIP等協議真正的媒體連接信息是放在SDP（即IP包的負載）中傳遞的，針對以上協議的網絡隔離偏重兩種解決方案，一種是使用能夠解析相關應用協議（如SIP）的增強型NAT，即應用層網關（ALG）；另一種是在NAT的外側增加代理服務器。

　　數據加密方式應在網絡層和用戶層兩層實現。目前常用的加密機制有兩種：對稱密鑰機制和不對稱密鑰機制（公開密鑰）。對稱密鑰機制要求加解密雙方在加解密過程中要使用完全相同的密碼。對稱密鑰機制又分為兩個子類：分組密鑰算法和流密鑰算法。分組密鑰算法的基本操作單位是固定長度的明文比特流，而流密鑰算法的基本操作單位是每次只操作一個比特或字節。對稱密鑰的主要優點是運行效率較高，比較容易硬件實現，但是由于通信雙方在通信前需要擁有相同的密鑰，故密鑰的安全分發成為必須解決的問題，尤其在大量用戶同時參予時更加大密鑰管理的難度。公開密鑰正式為解決對稱密鑰存在的密鑰分發問題而開發的，由于其在加密和解密時采用不同的密鑰公鑰和私鑰，公鑰可以公開，私鑰由個人保存。公開密鑰機制可以用于身份認證，即數字簽名。

　　軟交換與媒體網關、應用服務器、終端之間的傳輸協議涉及H.248協議、MGCP協議、SIP協議和H.323協議，盡管協議之間有若干區別，但總體上都是一套開放的協議體系。設備廠家都會有獨立的組件來承載包括IP終端登陸注冊、關守和信令接續。這些產品有的采用Windows操作系統，也有的是基于linux或VxWorks。越是開放的操作系統，也就越容易受到惡意攻擊。尤其是某些設備需要提供基于Web的管理界面的時候，都會有機會采用Microsoft IIS或Apache來提供服務，而這些應用都是在產品出廠的時候已經安裝在設備當中，無法保證是最新版本或是承諾已經彌補了某些安全漏洞。未授權的實體就可以利用這些協議建立非法呼叫或者干涉合法呼叫，因此需要對這些協議的傳輸建立安全機制，IPSec協議體系可以對協議的傳輸進行安全保護。

五、IPSec協議體系

　　IPSec體系提供標準的、安全的、普遍的機制?？梢员Ｗo主機之間、網關之間和主機與網關之間的數據包安全。由于涉及的算法為標準算法，故可以保證互通性，并且可以提供嵌套安全服務。整個IPSec協議體系可以表示為圖1所示:

　　IPSec協議主要由AH（認證頭）協議，ESP（封裝安全載荷）協議和負責密鑰管理的IKE（因特網密鑰交換）協議三個協議組成。

　　認證頭（AH）協議對在媒體網關/終端設備和軟交換設備之間傳送的消息提供數據源認證，無連接完整性保護和防重放攻擊保護。數據完整性可以通過校驗碼（md5）來保證；數據身份認證通過在待認證數據中加入一個共享密鑰來實現；報頭中的序列號可以防止重放攻擊。

　　解釋域（DOI）將所有的IPSec協議捆綁在一起，是IPSec安全參數的主要數據庫。

　　IPSec支持兩種運行模式：傳輸模式和隧道模式。傳輸模式為上層協議提供安全保護，保護的是IP包的有效載荷，通常該模式用于端對端的安全通信。隧道模式由于是對整個IP包提供保護，故在IP包上再加報頭，從而可以加強保護，通常該模式使用在至少一端是安全網關的時候。

　　AH協議不對IP數據報進行加密，因此不提供機密性保護。但由于AH提供數據完整性校驗、身份認證和防重放保護，因此提供IP認證，也可以為上層提供保護。

　　 ESP協議除了提供數據完整性校驗、身份認證和防重放保護外，同時提供加密。ESP的加密和認證是可選的，要求支持這兩種算法中的至少一種算法，但不能同時置為空。根據要求，ESP協議必須支持下列算法：

　?。?）使用CBC模式的DES算法

　?。?）使用MD5的HMAC算法

　?。?）使用SHA-1的HMAC算法

　　（4）空認證算法

　?。?）空加密算法

　　AH協議和ESP協議在使用中都涉及到密鑰管理。IKE協議主要在通信雙方建立連接時規定使用的IPSec協議類型、加密算法、加密和認證密鑰等屬性，并負責維護。IKE采用自動模式進行管理，IKE的實現可支持協商虛擬專業網（VPN），也可從用于在事先并不知道的遠程訪問接入方式。

　　如果低層協議不支持IPSec，則應建議采用過渡性AH方案，過渡性AH方案是在H.248協議頭中定義可選的AH頭來實現對協議連接的保護，過渡性AH方案只能提供一定程度的保護，例如該方案不能提供防竊聽保護。

六、總結

　　基于軟交換的NGN網絡所存在的安全問題一直以來受到大家的關注。而作為數據網絡上的一種新興的應用，以IP作為承載媒體的軟交換所面臨的一些安全隱患，實際是目前IP網絡上存在的若干問題的延續。只有很好地解決了網絡的安全問題，同時配合產品本身的一些安全認證機制，軟交換才能夠在新的電信網中持久穩定的發揮作用，并成為解決話音、數據、視頻多媒體通信需求的有效解決方法，并最終完成“三網合一”。

----《中國數據通信》