软交换中网络安全论文

摘要:软交换位于网络控制层,它的主要任务是在各点之间建立关系,例如与媒体层网关的交互,以及接收正在处理的呼叫信息和指示网关完成呼叫,软交换所处理的主要是实时业务。该文基于此,对软交换的网络安全问题进行了初步研究。今天小编为大家精心挑选了关于《软交换中网络安全论文(精选3篇)》，欢迎大家借鉴与参考，希望对大家有所帮助！

软交换中网络安全论文 篇1：

软交换组网原则与其主要技术分析

摘 要 随着现代社会中计算机信息技术的发展，通信领域出现的一种软交换组网技术也不断发展成熟，应用的范围开始不断广泛。文章结合软交换组网的本身特点，对其组网原则与关键的技术点进行分析，为同行提供一些参考意见。

关键词 软交换组网；技术；原则；计算机信息

随着社会的不断发展，科技不断进步，通信产业与传统相比有了长足地进步，为我国现代化发展提供了坚实的基础。通信领域在硬件与软行区域内都有着明显的进步，而且更新速度不断加快，推进我国经济的不断发展。随着3G甚至4G网络的进入，移动与联通等电信运营商将会不断推出新的业务增长点，这些都促进了NGN的发展，为我国的电信领域网络带来了挑战。软交换技术问题在网络发展中不断暴露出存在的问题，需要做到改善与更新，才能真正适应现代社会的发展需求。

1 软交换组网概念

随着现代IP网络技术的不断发展，传统的电信业务已经开始向IP网络进行转移，而且将不会再向回发展。软交换是在分组传送网络的体系基础上与IP网络发展相适应的一种形式，利用软交换组建更新一代的网络，提供数据、图像以及更多信息的综合业务，将会成为各大运营商不断追求的目标。软交换的终端设备分布相对简单，业务开展的速度非常快，目前已经在很多地方得到应用。目前软交换组网在实际运营中的问题也受到业界专家越来越多的关注。如何进行网络组织来适应数据网络的特点也将成为一大话题。

根据国际转交换论坛，对软交换进行了一定的定义，它是在分组网基础上通过程控软件来发挥呼叫控制与媒体处理的功能的设备与系统。它的技术目标就是为了把呼叫功能从主要的业务传输层中进行分开，形成互不影响的体系，由软件来进行呼叫控制，保持呼叫的传输与控制的隔离性，有利于实现信息的单独传输，从而把控制、交换与软件可编程功能实现平面分离。

2 软交换组网意义分析

随着计算机信息技术的发展，窄带域与宽带域可以进行互通作用。从技术与运营角度上来讲，宽带组网方案尤其是基于SIP终端的宽带组网方案还尚未完全实现可运营与管理的电信级网络目标，在技术上还需要完善。软交换网络建设虽然才刚刚开始，但它展现出来的功能性与意义却是其他的传统网络难以企及。通过对目前已经实现的软交换网络进行探索，可以把软交换设备的语音应用更加成熟，在未来，软交换组网对于数据与多媒体数据的传输、储存都有着积极的作用。近年来，通信网络的接入能力不断提升，带宽升级更快，极大地方便了现代网络的更新与进步，软交换技术将在通信技术发展史中留下光辉的一页，促进现代通信技术的不断更新与发达。

3 软交换组网的原则

软交换组网通过软交换设备的连接，确定对SOFTSWITCH主要的模型，根据不同的地区的话务量与容量间的关系，来对承接的话务进行控制，确保网络中的话务均衡。软交换组网主要包括的设备有软交换控制点、中间网关，另外还包括信息令网关与SIP软硬终端等。软交换组网以省级行政中心为中心，通过网络向四周进行扩散。软交换组网建立在一定原则的基础上，才能真正发挥出系统的作用。

1）软交换组网根据的是电路开放的原则。传统的交换网络和软交换组网的电路对接组成了整个语音的业务电路。话务电路的主要工作是确保电信软交换网络与电信交换网络间的畅通。软交换与关口局实现中继直达，疏通了电信软交换网络与其他的运营商网络信息传送，从而确保了网间路由和号码的规范。

2）软交换组网坚持业务触发的原则。业务触发主要是为了保证软交换组网的实现。一般来讲，业务的触发都是在明确触发原则的前提下使用，如通过SOFTSWITCH与MS间的分组群开展。在软交换管理的用户区中，主叫管理为SHLR，被叫管理为归属SHLR，交换组的SOFTSWITCH可通过呼叫号码与地区来对用户的归属地进行查询。

3）路由原则。为了确保系统间的信息传输正常，需要在软交换与交换间、软交换与内部间均进行合理地对接。对接不良将会导致用户呼出异常，用户端将无法呼入，也有可能会造成呼出与呼入间存在一定的故障问题。所以在此时要制定相关的技术路线与路由原则。在同一SOFTSWITCH控制下的AG、IAD、SIP等路由间与网管内部进行通信，路由作为介入控制设备，进行交换呼叫软交换用户。

4）计费原则。软交换组网是为了实现经济价值，在计费方面，需要有一定的管理措施。在遵循一定原则的基础上建立统一的收费标准与要求。首先，计费话单应由SOFTSWITCH交换地，把话单存放在不同的科目中，才能进行提取。另外应该有一定的标准来对计费资费区分，对本地、长途及其他类型的软交换SOFTSWITCH，最后需要注意避免重复计费的问题。

4 软交换组网的关键技术

4.1 软交换的技术特点

软交换的技术特点主要表现在以下几点。

1）软交换能够支持公共电话交换网、异步传输方式与网络协议等多种处理系统，提供授权，从而避免了一些不法用户或其他不明设备的接入，造成信息的干扰或泄露。

2）软交换的适应性强，能够应用于多种计算机与操作系统上，对相关的标准协议均能够支持，这种适应性强的特点将会有利于实现广泛覆盖。

3）软交换非常灵活，可以通过多种网关来沟通于不同的设备，从而达到信息的传输无障碍。

4）由于软交换具有典型的标准接口，具有强大的开放性特点，通过灵活的号码接口，可以进行智能化运行，与更多的参数设备进行结合。

5）为了更进一步更新与发展，软交换并没有把通道打死，而是为第三方的开发人员留下了应用编程接口，可以进行多方向的进一步发展与应用，扩大功能需求。

6）软交换的策略服务器，能够对所有的软件组件进行合理科学严谨地管理。

4.2 软交换组网结构

软交换网络结构数量较多，一般均会包括软交换设备、中继网关、信令网关、综合接入设备、媒体服务器等。它们都基于专用网络的部署，可以实现软交换设备间的通信以及软交换设备与非软交换设备间的隔离，避免信息泄露。软交换网中的用户数据与路由信息将会分别储存在不同位置，为用户数据库与集中路由服务器。软交换机只是对网关资源的信息进行保留。目前很多电话交换设备提供企业都已经有了自己的软交换设备，如华为、中兴等，这些软交换设备供应商根据总体架构提供设备，只是在具体的实现方式上存在着细微的差别。软交换组网的目的就是把语音、数据与多媒体的业务与功能进行分离，但目前设备供应商在业务的提供上还与目标存在着着一定的不足，需要一定的发展过程与时间。目前语音在通信业务中占主要比例，也是电信运营商的盈利主要来源，随着3G时代的来临与覆盖，将会推动更多的数据、多媒体业务资费增加。

用户在进行业务请求发出时，专网上的TG与AG部分设备，都将会根据预设的地址把呼叫输送到相对应的软交换设备。软交换设备根据在HLR查询到的用户信息，判断用户是否有权进行呼叫与呼入，如果符合触发条件，将会根据访问结果去对RS进行访问，获得本次呼叫授权，把呼叫转移到下一级软交换设备以及业务平台上。被叫软交换设备收到请求后查询HLR，获得指定终端IP，接到终端，实现通话。IP网络作为3G网络的统一语音、视频与数据媒体等承载网络，可以实现多种业务数据流的融合与传输。

4.3 软交换组网关键技术

1）网络设备配置。在软交换设备中，包括最重要的软交换与媒体网关设备等都需要存在容量计算的问题。它的最终目的是实现软交换网络资源的利用与组织，从而实现维护与管理。软交换接入层设备的数据主要是指设备的链路的建立、多媒体数据的传送，对安全性的要求都较高，在实际的运行过程中，对传输带宽要求也高。只有通过分组网的带宽与服务质量，才能真正实现软交换的语音业务。合理的网络资源利用是分组网的基础，它包括网简短的点设备的处理能力、端口分配与中继电路带宽分配等，资源的配置定量依据是媒体流端到端的带宽要求。

2）异地容灾技术。异地容灾技术主要是指当软交换组网系统中的某个节发生故障问题时，服务依然能够得到保证的技术。媒体网关能够归属分别采用主不同机制的两个软交换设备管理，体制不同，控制方式存在着更多的可能，才能够实现系统的正常运行。网关一般会受到主软交换设备的控制，定期需要对运行的状态进行查询与监测。如果主软交换设备控制出现问题，媒体网关将会把预留的地上输送到从软交换设备，也就是实现了以从软交换设备来代替主软交换设备，进行控制与组织，以举能够保障系统的业务不受故障的影响而造成的中断问题。为了提高这种双重保护的效率，可以通过一定的方式来设定其他的软交换设备来作为备份软交换设备。

3）QOS问题。QOS即为服务质量，它是每一个网络的基础，同样也是软交换组网实现的保证。虽然软交换的设备提供者都表明系统支持对QOS服务服务质量的保证，但软交换网业务是在尽最大可能的前提下，IP网则无法实现软交换机的QOS策略。此时需要软交换IP承载网支持区分服务，才能保证交换网的业务服务质量。专用网络可以采用专线、专用IP地址网络、VPN等，通过虚拟专用网/多协议标签交换，需要提供QOS保障，也需要IP网络的设备支持。专线与专用IP网通过网络流量监控的方式进行预测与规划，对网络进行合理组织。

4）私网穿越解决方案。私网穿越解决方案中，第一要对私网用户的接入方式进行分类，一方面可以通过PSTN接入，不会牵扯到关于IP地址的相关问题，另一方面则是通过IP网接入，一般来讲，这些用户都会遇到NAT/FW相关方面的问题。这些问题的解决思路有很多，包括终端预写入IP地址、MIDCOM方式、应用层网关与信令媒体全代理等方式。这些方案中终端写入地址通过NAT设置的地址来形成静态配置。利用UPNP让NAT和终端设备间形成通信。

5）支撑系统建设方案。支撑系统建设方案能够选择软交换布点相对集中的设备，对分散的点进行本地管理，在软交换网管的基础上实现上系统全面建设。支撑系统的接口需要符合资源管理系统与业务支撑系统、112测试系统和告警功能的实现，如果管理不当将会在系统中形成严重的影响，危及到系统的运营与管理。只有把软交换组网与本地管理相结合，才能发挥出最好的效果。

5 软交换组网安全问题

软交换组网的安全问题主要集中在两个方面，首先是关于网络安全层面，另一方面则是用户的数据安全问题。随着现代经济发展过程中企业的产品机密性与商业机密性在商业活动中的作用越来明显，安全问题受到了更多的重视。

网络安全主要是指软交换组网的安全，通过系统可以对终端的用户进行交换设备、中继网关与接入网关的屏蔽，从而可以对网络中重要的设备进行保护，避免受到一些不法分子的攻击。软交换组网中，设备可以随着专用网络进行布置，而网络可以采用VPN或其他的协议技术进行虚拟组建，通过多处通信方式来实现不同的软交换设备间的信息传输，确保指定设备与非软交换设备间的信息隔离，避免系统受到互联网用户的攻击。

在软交换网络安全的前提下，用户的数据安全更容易实现。用户的数据主要包括其签约信息与通信信息安全。为了避免在通道内传输的信息被第三方获得，软交换网络需要对其进行不断地保护。一般来讲，软交换网络通过对用户的安全认证策略来保护用户的信息安全。所有的信息安全与签约信息安全都是建立在IP网的安全策略基础上进行的，如果基础环境恶劣，用户信息还是容易受到干扰或攻击，造成信息泄露。

6 结束语

在软交换网络建设初期，业务量很小，网络的规模也不大，需要独立设点，由点到面进行铺开。在多网并存的基础上，软交换面积较小，能够直接与之联系的软交换数量不多，这时网络建设多是采用无级网方式，通过路由服务器怀玉软交换进行合作设置。在网络建设的中期，业务量与网络规模也在扩大，软交换的节点数量呈现指数增长，这些节点串联与控制的软交换网与电路交换网的用户面不断扩大。

软交换组网在我国发展时间短，目前在发展过程中还存在着一些不足，在实践的过程中需要不断进行完善。重点是对软交换组网的遵循原则进行关注，对组网中使用到的关键技术研究透彻，才能在实际的组网建设中发挥出软交换系统的真正作用，促进我国数据传输与通信行业的发展。

参考文献

[1]路遥.本地交换网基于NGN网络改造的研究和实现[D].北京邮电大学，2010.

[2]邓郁.长春联通WCDMA网络中软交换技术的研究与改进[D].吉林大学，2011.

[3]田炜.MSCPool技术在移动软交换网络的研究和应用[D].内蒙古大学，2012.

[4]黄竞.基于软交换技术的茂名移动14A扩容工程设计与研究[D].北京邮电大学，2011.

[5]王敏.软交换技术在电力调度通信专网中的研究与应用[D].山东大学，2012.

[6]崔红莉.软交换容灾技术在移动通信网中应用研究[D].南京邮电大学，2012.

[7]刘俊杰.软交换技术及其在NGN建设中的应用[D].南京理工大学，2012.

[8]於少菲.GSM网络移动软交换组网研究[D].吉林大学，2007.

[9]陈志宏.软交换组网原则及关键技术探讨[J].科技创新导报，2011（17）：67.

作者简介

王富亮（1970-），男，汉族，山东新泰人，本科。

作者：王富亮

软交换中网络安全论文 篇2：

基于软交换技术的网络安全问题研究

摘要:软交换位于网络控制层,它的主要任务是在各点之间建立关系,例如与媒体层网关的交互,以及接收正在处理的呼叫信息和指示网关完成呼叫,软交换所处理的主要是实时业务。该文基于此,对软交换的网络安全问题进行了初步研究。

关键词:软交换;网络安全;用户数据

According to Soft Exchange a Safe Problem of Technical Network

LUO Jie-li

(Changde Polytechnical Institute, Changde 415000, China)

Key words: soft exchange; network safety; customer data

软交换是下一代网络的核心技术,它是一种基于软件的分布式交换和控制平台。软交换最早提出时是基于两点:一是将现有的电路交换网逐步地向IP网过渡,替代传统的电路交换网。二是向IP电话提供更多的业务,获得与传统的电路交换网所能提供的相同的业务。经过不断地发展,软交换体系按功能已经得到确认,可分为四层:媒体接入层、传送层、控制层、业务及应用层。媒体接入层的功能是通过各种接入手段将各类用户连接至网络,并将信息格式转换为能够在网络中传递的信息格式。传送层的功能是采用分组技术,提供一个高可靠性的、具有QOS保证、大容量的综合传送平台,并将信息媒体流传送至目的地。控制层的功能是利用软交换机,以软件的形式控制接入设备完成呼叫接续。业务及应用层的功能是利用各种设备为整个体系提供各种丰富的增值业务、相应的网络管理及服务。

1 软交换技术的发展现状

作为一种潜力巨大的新型技术,人们对软交换技术寄于了太多的期望,供应商期望基于软交换的网络具有高可靠性,并能够根据业务量的需求,灵活扩展和组网,期望软交换技术能够有效利用网络资源、降低网络建设成本、降低运营维护成本、留住客户、适应市场需求以带来增加新收入的机会,而用户则期望软交换技术能够降低使用费用;期望供应商能够提供更优质的服务。这些是软交换技术在社会上带来的心理层面的影响。对于软交换技术本身,软交换体系涉及的协议众多,系列标准的形成将对指导研发和网络应用起到巨大的作用,直接影响着产品设计思路、业务的生成及互通。国际上,IETF、ITU-T、SoftSwitch Org等组织对软交换及协议的研究工作一直起着积极的主导作用,许多关键协议都已制定完成。这些协议将规范整个软交换界的研发工作,使产品从使用各厂家私有协议阶段进入使用业界共同标准协议阶段,各家之间产品互通成为可能,真正实现软交换体系产生的初衷——提供一个标准、开放的体系结构,各网络部件可独立发展。

在软交换技术的研究进展方面,我国处于世界同步水平。信息产业部“网络与交换标准研究组”在1999年下半年就启动了软交换项目的研究,目前已完成了《软交换设备总体技术要求》,此外“IP标准研究组”还正在研制有关中继媒体网关(TG)、信令网关(SG)、接入网关(AG)、综合接入设备(IAD)等设备技术规范。

在软交换产品方面,软交换技术最初由计算机网络设备商提出,主要用于解决企业用户的VOIP接入问题。随着业界对软交换的逐步肯定,传统交换设备制造商纷纷加入到软交换的研制队伍中,并陆续推出针对运营商级的解决方案,使得软交换设备规模从企业级应用迈向了运营级应用。目前各厂家使用内部协议或业界标准协议,对基本语音业务及补充业务都能予以支持,多媒体业务大多处于研发之中,在今后将会有所发展和完善。

2 软交换的主要功能

1)呼叫控制功能

软交换设备可以为基本呼叫的建立、维持和释放提供控制功能,包括呼叫处理、连接控制、智能呼叫触发检测和资源控制等;可以接收来自业务交换功能的监视请求,并对其中与呼叫相关的事件进行处理,接收来自业务交换功能的呼叫控制相关信息,支持呼叫的建立和监视;支持基本的两方呼叫,包括和多方呼叫的控制功能及处理,特殊逻辑关系、呼叫成员的加入/退出/隔离旁听以及混音过程的控制等;能够识别媒体网关报告的用户摘机、拨号和挂机等事件;控制媒体网关向用户发送各种信号音,如拨号音、振铃音、回铃音等;提供满足运营商需求的拨号计划。当软交换设备内不包含信令网关时,软交换应能够采用SS7/IP协议转换实现与外设的信令网关互通,完成整个呼叫的建立与释放功能,其主要承载协议采用信令控制传输协议(SCTP);设备可以控制媒体网关发送交互式语音应答(IVR),以完成诸如二次拨号等多种业务;可以同时直接与H.248终端、媒体网关控制协议(MGCP)终端和会话启动协议(SIP)客户终端进行连接,提供相应业务。当软交换位于PSTN/ISDN本地网时,应具有本地电话交换设备的呼叫处理功能;当软交换位于PSTN/ISDN长途网时,应具有长途电话交换设备的呼叫处理功能。

2)业务提供功能

软交换应能够提供PSTN/ISDN交换机提供的业务,包括话音和多媒体业务等基本补充业务,可以与现有智能网配合提供现有智能网提供的业务;可以与第三方合作,提供多种增值和智能业务。

3)业务交换功能

主要包括业务控制触发的识别以及与SCF间的通信、管理呼叫控制和SCF之间的信令、按要求修改呼叫/连接处理功能、在SCF控制下处理IN业务请求、业务交互作用管理等。业务交换功能与呼叫控制功能相结合提供了呼叫控制功能和业务控制功能(SCF)之间通信所要求的一切功能。

4)协议功能

软交换是一个开放的、多协议的实体,因此必须采用标准协议与各种媒体网关、终端和网络进行通信,这些协议包括:H.248、SCTP、ISUP、TUP、INAP、H.323、Radius、SNMP、SIP、MTP3用户配置协议(M3UA)、MGCP、与承载无关的呼叫控制(BICC)、ISDN、V5协议等。

5)互联互通功能

软交换应可以通过信令网关实现分组网与现有七号信令网的互通;通过信令网关与现有智能网互通,为用户提供多种智能业务;允许SCF控制VoIP呼叫且对呼叫信息进行操作;可以通过软交换中的互通模块,采用H.323协议实现与现有H.323体系的IP电话网的互通;采用SIP协议实现与未来SIP网络体系的互通;可以与其他软交换设备互通互连,它们之间的协议可以采用SIP或BICC;可以提供IP网内H.248终端、SIP终端和MGCP终端之间的互通。

6)资源管理功能

软交换应提供资源管理功能,对系统中的各种资源进行集中的管理,如资源的分配、释放和控制等。

7)计费功能

软交换应具有采集详细话单及复式计次功能,并能够按照运营商的需求将话单传送到相应的计费中心。当使用计帐卡等业务时,软交换应具备实时断线功能。

8)认证与授权功能

软交换应能够与认证中心连接,并可以将所管辖区域内的用户、媒体网关信息送往认证中心进行认证与授权,以防止非法用户或设备的接入。

9)地址解析功能

软交换设备应可以完成E.164地址至IP地址、别名地址至IP地址的转换功能,同时也可以完成重定向功能。

10)语音处理功能

软交换可以控制媒体网关采用语音压缩,并提供可选择的语音压缩算法,算法至少应包括G.729、G.723等;可以控制媒体网关采用回波抵消技术;还可以向媒体网关提供包缓存区的大小,以减少抖动对语音质量的影响。

3 基于软交换的安全问题

根据软交换的网络结构特点,可将安全问题分成三个部分:网络安全,用户数据安全和业务安全。

网络安全是指软交换网络本身的安全,即保证软交换网络中的媒体网关、软交换机、应用服务器设备不会受到非法攻击。由于软交换技术选择了 IP网作为承载网,IP协议的简单和通用为网络黑客提供了便利条件。当软交换选择了开放的 IP网作为承载网时,网络安全问题尤其突出,必须在 IP网上采用合适的安全策略,以保证软交换网的网络安全。

用户数据安全是指用户的签约信息和通信信息的安全,即不会被非法的第三方窃取和监听。首先,软交换网需采用必需的安全认证策略保证用户签约信息的安全,同时,无论是用户的签约信息还是用户的通信信息的安全均需要 IP网的安全策略作为保证。

业务安全是指防止业务的非法盗用,非法抢占带宽,防止非法终端和设备访问网络。

3.1 网络安全

网络安全是指软交换网络本身的安全,既保证软交换网络中的媒体网关、软交换设备、应用服务器、网管系统等设备不会受到非法攻击。由于软交换技术选择了分组网络作为承载网络,并且各种信息主要采用 IP 分组的方式进行传输,IP 协议的简单和通用性为网络黑客提供了便利的条件。

网络安全还要保障软交换设备通信的安全,包括信令和媒体报文的源认证、完整性、保密性和防重放等,以及网络内信息隐藏,包括地址、拓扑等。要保证软交换网络的安全,首先是要保证网络中核心设备的安全,如果将核心的网络设备置于开放的 IP 网络中,网络的安全性将很难保证,所以可以将网络的核心设备放在专用网络中,采用私有 IP 地址的方案。完全采用私有 IP 地址的方案也是不可行的,由于终端用户的接入方式和接入地点比较灵活,因此软交换设备要能够接入和控制终端用户,又要同时分配有对应的公有 IP 地址,这样才能保证各种方式用户的接入。为此,可以在核心网外侧设置防火墙,并将软交换网络中少数需要与外界用户进行通信的核心设备的私有地址映射到相应的公有地址,同时利用防火墙对进入核心网的数据包进行过滤,只允许特定端口号的数据包通过防火墙,这种方法可以对Ping of Death 等一系列的 DOS(分布式拒绝服务攻击)攻击进行过滤。[2]

在骨干网层面,可以采用目前相对比较成熟的技术――MPLS VPN 技术,构建相对独立的 VPN 网络。这样可以对不同用户间、用户与公网间、业务子网和业务子网间的路由信息进行隔离,并且非 MPLS VPN 内的用户无法访问到软交换域 VPN 内的网络设备,从而可以保证网络的安全。各种终端设备是软交换网络中最大的安全隐患,终端设备处于用户端,存在被用来恶意攻击软交换网络中核心网络设备的可能性。可以在软交换网络的接入边缘设置宽带接入服务器(BAS――Broadband Access Server),作为用户接入网和骨干网之间的网关,终结来自用户接入网的连接,并提供接入到宽带核心业务网(主要是 IP 网和 ATM 网)的服务。宽带接入服务器一般具有网络安全模块和业务管理模块,网络安全模块可以包括 IP VPN 模块和防火墙模块,业务管理模块包括网络接入认证与授权模块、计费模块和统计模块,另外有些宽带接入服务器还可以提供流量管理和控制。利用宽带接入服务器可以对终端用户的接入进行控制和管理。

网管系统应具有不同级别的管理员权限管理机制,越权操作应予以禁止。对非法操作提供记录信息,对系统可能造成潜在危害的请求,如多次认证失败的连接、可疑的 IP 地址连接、频发的大话务流量等,应能够告警并采取相应的防范措施。

3.2 用户数据安全

用户信息的安全主要包括软交换与终端之间传输协议的安全、用户之间媒体信息的安全以及用户私有信息(包括用户名、密码等)的安全,要保证这些信息不为非法用户窃取和监听。对于用户的私人信息的安全问题,主要存在于接入层。因此应该从三个方面来保证用户信息的安全。

第一,对用户的数据流进行隔离,防止用户的信息被非法用户截取。可以采取二层的 VLAN技术,对用户的数据流进行隔离,用 ACL(Access Control List)控制用户之间的互访。

第二,为防止媒体流被篡改、窃取,应实施适当的安全机制来保护媒体连接,解决办法就是对音频消息进行加密。但随着宽带终端数量的增加,一方面密钥需求量会成倍增加,另一方面用户每次通信可能会使用不同的密钥,因为若用户一次又一次的使用相同的密钥与别人交换信息,则如果某人偶然地接触到了用户的密钥,那么用户曾经和另一个人交换的每一条消息都不再是保密的了,另一方面,使用一个特定密钥加密的信息越多,提供给窃听者的材料也就越多,这就增加了他们窃密的机会,所有这些都对密钥的分发提供了严峻的考验。一种比较好的解决方案就是采用 Kerberos 解决方案,它是由 MIT发明的,使保密密钥的管理和分发变得十分容易。Kerberos 建立了一个安全的、可信任的密钥分发中心(Key Distribution Center,KDC),SIP终端/IAD 设备只要知道与 KDC 进行通信的密钥就可以了,而不需要知道成百上千个不同的密钥。

第三,为了防止未授权的实体利用这些协议建立非法呼叫或者干涉合法呼叫,需要对这些协议的传输建立安全机制。目前提出了两种解决方案,一种是采用 IPsec 对协议传输进行安全保护。IPsec包括三个协议:加密协议、认证协议和密钥交换协议。其中加密协议是封装安全净荷(ESP)协议对媒体网关/终端设备和软交换设备之间传送的消息提供加密;认证协议是认证头(AH)协议对在媒体网关/终端设备和软交换设备之间传送的消息提供数据源认证,无连接完整性保护和可选的抗重发保护;密钥交换协议是IKE协议提供媒体网关/终端设备和软交换设备之间进行密钥协商的机制。另一种是过渡性AH方案。如果低层协议不支持IPsec,则应建议采用过渡性AH方案,过渡性AH方案是在H.248协议头中定义可选的AH头来实现对协议连接的保护,过渡性AH方案只能提供一定程度的保护,例如该方案不能提供防窃听保护。

3.3 业务的安全

业务的安全主要是防止业务的非法盗用,非法抢占带宽,防止非法终端和设备访问网络,解决的办法就是软交换网络对 SIP智能终端和 IAD设备进行身份认证。

在软交换网络中存在大量的终端设备,而且这些终端设备的接入地点和接入方式都非常灵活,这些终端都放置在用户侧,无法避免有些用户利用非法终端或设备访问网络,占用网络资源,非法享受业务和服务,并且某些用户可能利用非法终端或设备向网络发动攻击,对网络的安全造成威胁(如发送大量的 IP数据包等)。因此,要保证软交换网络的安全,需要对软交换网络中的终端设备进行鉴权和认证,主要是 IAD设备和 SIP/H.323 等终端设备。目前,对 IAD设备的鉴权和认证主要有以下几种方式:

第一种方案是 IAD在向软交换进行注册时,软交换设备可以从 IAD向软交换设备发送的注册信息中提取出 IP地址或域名,或者 IP地址与其它参数的组合,与自身数据库中的数据进行比较。如果提取出来的信息在数据库中不存在,那么判定该 IAD设备为非法终端,该 IAD设备的注册将失败。这种方案对于采用静态 IP地址配置方式是可行的,但是为了 IAD设备配置的灵活,有些 IAD的 IP地址采用动态分配的方式,IP地址和 IAD设备之间没有一一对应的关系,这样通过 IP地址来对 IAD设备进行鉴权和认证就不可行了。

第二种方案是在 IAD设备向软交换发送的注册信息中携带 MAC地址信息。MAC 地址信息对于 IAD 设备来说是惟一的,而且能够惟一地标识 IAD 设备,该方案也是目前应用比较广泛的一种方案。软交换在收到 IAD设备发送的注册消息后,从中提取出 MAC地址信息,并与自身数据库中所保存的信息进行比较。为了实施该方案,需要在正常标准的 H.248/MGCP 协议的注册命令中增加一些扩展参数来携带MAC 地址信息。考虑到 MAC 地址信息在网络上传输时可能会被窃取,因此需要对IAD 的 MAC 地址进行加密。[3]

第三种方案是 IAD设备在工作之前必须完成管理注册和业务注册。管理注册就是IAD 设备在启动后向网管站进行注册,业务注册就是 IAD 设备向软交换进行注册。从目前软交换设备的情况来看,对 IAD设备的鉴权和认证主要是集中在第一和第二种方案,或者在这两种方案基础上的一些变种,基本上可以保证合法的 IAD设备接入到网络。另外,有些厂家在 IAD设备向软交换发送的所有协议消息中都携带有相关的鉴权和认证信息,更进一步加强了网络的安全,但从一定程度上也加重了软交换设备的处理负荷。

对于 SIP终端和 H.323终端来讲,目前还缺少相应的规范。另外,在这些终端设备上集中了较多的智能,而且不仅有以硬终端形式出现的终端设备,还有以软终端形式出现的终端设备(所谓软终端即为可以安装在计算机上仿 SIP终端或 H.323终端功能的软件),并且位置比较灵活。尤其是软终端,对这种类型的终端采用类 IAD设备的鉴权和认证方案是不可行的。目前,对于这些终端鉴权和认证的方式主要是基于用户名和密码,使用这些终端的用户在向软交换设备发送注册消息时,需要首先输入用户名和密码信息,并对这些信息都采用加密方式进行传送,这些终端只有通过软交换的鉴权和认证才能使用网络资源。

4 总结

本文首先综述软交换的体系结构。针对软交换特有的网络构造,软交换的安全问题可分为三个部分:网络安全、用户数据安全和业务安全。网络安全包括软交换核心设备的安全和 IP承载网的安全。根据这三方面的安全特性,分析了可能的安全威胁和安全隐患,并根据这些安全问题提出了一些解决措施和技术方案,以保证软交换网络的安全性。

参考文献:

[1] 林俐,朱晓洁,张鹏生,赵学军.下一代网络(NGN)组网技术手册[M].北京:机械工业出版社,2009.

[2] 陈云坤,付光轩.软交换中的网络安全问题[J].贵州大学学报,2007(2).

[3] 费娟.软交换中网络安全的解决方案[J].网络安全技术与应用,2006(9).

作者：罗杰里

软交换中网络安全论文 篇3：

建设业务驱动型网络

随着国网智能电网战略的实施，各种技术的更新改造都会随着智能电网的发展而稳步进行。目前电力系统的语音通信网络还是以上世纪90年代后期逐步建设完成的电路交换网为主构建，该网络在过去历史时期内很好的完成了支持和保障电力生产的任务，但在面对新的智能电网需求时则出现了下列问题：业务单一、无法提供多媒体等新业务；不支持第三方业务，这将直接影响通信网络参与智能电网的管理工作。因此，电力语音通信网络的升级改造已经是势在必行。

一、智能电网对电力语音通信网的需求

智能电网的本质就是能源替代、兼容利用和互动经济，是最先进的通讯、IT、能源、新材料、传感器等产业的集成，也是配电网技术、网络技术、通信技术、传感器技术、电力电子技术、储能技术的合成，对于推动新技术革命具有直接的综合效果。

国家电网对智能电网的通信系统提出了这样的要求：

首先必须是“全覆盖”的通信网络。电网建到哪里，通信网就要延伸到哪里，这是智能电网数据采集、保护控制、用户互动的先决条件。

其次，必须拥有“高效、可靠、灵活、多元化”的通信手段，这是满足智能电网发电、输电、变电、配电、用电多样化互动需求的前提；

第三，必须是“可信、可管理”的一体化通信体系，这是保证通信网络有效覆盖、高效服务、可靠传输的保障体系。

因此，建设一个全覆盖、多业务的新型语音通信网是十二五期间的一项重要任务。

二、NGN技术的发展与演进

随着互联网的蓬勃发展和社会经济的信息化，数据及多媒体业务将迅速超越传统语音业务，成为巨大的通信需求。在此背景下，下一代网络（NGN）应运而生。NGN将基于IP与Internet，其核心控制层形态目前正在经历软交换与IP多媒体子系统（IMS）技术的竞争合作阶段。软交换是近年发展起来的一种新的呼叫控制技术。它具有分层的体系架构、基于分组传输、能提供多种接入方式等特点，并能综合提供语音、数据、多媒体业务。

IMS是NGN的主要技术之一。IMS不仅可将单一类型的移动网络融合到全IP，还是融合固定网、移动网和企业网的基础。同时由于IMS具有SIP标准化接口的特性，使其适应NGN业务与控制分离的基本原则，为支持各种业务奠定了基础，从而被当前业界公认为未来融合的控制平台，是面向未来多媒体通信的NGN核心技术。要解决好IMS与软交换网络的融合问题，需要了解它们的技术特点与差别。

2.1软交换

软交换的基本含义就是把呼叫控制功能从媒体网关中分离出来，通过服务器上的软件实现基本呼叫控制功能，从而实现呼叫控制与承载的分离。从广义上讲，软交换泛指一种体系结构，它包括四个功能层面：接入层、核心传输层、控制层和应用层。在NGN的组成元素中，软交换是一个重要组件，是新老网络实现融合的枢纽，是NGN业务的控制核心。

软交换的层次结构如图1所示。

2.2IMS

IMS（IP Multimedia Subsystem）是IP多媒体系统，是一种全新的多媒体业务形式，它能够满足现在的终端客户更新颖、更多样化多媒体业务的需求。目前，IMS被认为是下一代网络的核心技术，也是解决移动与固网融合，引入语音、数据、视频三重融合等差异化业务的重要方式。

IMS技术对控制层功能做了进一步分解，实现了会话控制实体和媒体网关控制实体在功能上的分离，使网络架构更为开放和灵活。IMS以其业务、控制、承载完全分离的水平架构，集中的用户属性和接入无关等特性，解决了用户移动性支持、标准开放的业务接口、灵活的IP多媒体业务提供等问题，使得IMS成为固定和移动网络融合演进的基础。

IMS是一个以SIP为中心的分布式网络架构。SIP是IMS的核心协议，SIP中定义了多种角色，而IMS中也有多种网元，SIP中的各种角色跟IMS中的各种网元没有严格的一一对应关系，但是SIP中定义的各种角色都在IMS中的各种网元中得到了融合、改进。IMS的体系结构如图2所示。

2.3软交换与IMS比较

IMS和软交换最大的区别在于以下几个方面。

（1）定位上的区别。软交换重点解决的是PSTN的IP化问题，同时考虑IP化后新业务的提供方式。关注的侧重点是语音类业务，同时有一些语音与IP网结合的业务。IMS重点考虑的是IP多媒体业务，包括文本、消息、视频、网络等综合业务。（2）网络架构上的区别。IMS和软交换的区别主要是在网络构架上。软交换网络体系基于主从控制的特点，使得其与具体的接入手段关系密切，而IMS体系由于终端与核心侧采用基于IP承载的SIP协议，IP技术与承载媒体无关的特性使得IMS体系可以支持各类接入方式，从而使得IMS的应用范围从最初始的移动网逐步扩大到固定领域。（3）SIP协议应用上的区别。软交换支持的SIP协议的功能子集主要是基于连接、基于呼叫的应用。IMS的SIP协议在业务触发方式上采用多种通信方式，是SIP协议的全面应用。在继承了软交换特点的同时， IMS具有更加开放的分层结构和完整的系统，可以用于组建大网，同时业务能力更加强大，可以开发基于会话的下一代多媒体业务网。

2.4软交换向IMS过渡

IMS本质上仍属于软交换技术范畴，但网络更加分布化，符合NGN的发展方向。软交换和IMS是固网向NGN发展的不同阶段。由于软交换对传统电话网继承的无缝性，所以在传统电话网向分组化、宽带化和智能化演进的过程中，软交换成为其不可逾越的阶段，同时IMS在支持固网方面仍存在一些问题，所以软交换与IMS将会在很长时间内共存。但由于IMS的诸多优点及其不断地成熟，软交换网络会逐渐向IMS过渡并实现网络的最终融合。

因此，如果说模拟交换网是第一代技术、数字交换网是第二代技术的话，那么软交换就是向IMS过渡的重要阶段。PSTN是发展的基础，软交换是一个不可逾越的重要阶段，而IMS是最终的目标架构，三者将先后出现在网络中，长期共存，最终统一在IMS。

三、电力语音通信网的演进模式探讨

积极建设软交换网络并逐步将其过渡到IMS是业界的共识。对于电力语音通信网来讲，我们已经有了坚实的PSTN基础，下一步的目标应该是建设软交换网络，同时关注IMS技术的发展，经过十二五也可能是十三五的努力，最终完成网络的NGN改造。

3.1技术路线

（1）采用先软交换后IMS的过渡模式。基于上述研讨，建议电力通信系统还是应该走先软交换再IMS的过渡模式。（2）对现有设备采用逐步升级改造方式。采用逐步过渡模式对现有的程控交换机自然淘汰，以保证既有投资能够最大化的发挥作用，具体如下：①中心局：如果网省公司的中心汇接局语音交换机已到更新期限，则用软交换直接替换原有的汇接局程控交换机；如果网省公司的中心汇接局语音交换机没有到更新期限，则酌情设置软交换系统，新设的软交换系统与原有的汇接局程控交换机形成双平面，这样，即可实现软交换的功能，又可以通过双平面使得网络可靠性大大增加。②端局：当软交换中心局建设完成后，应停止在端局升级改造过程中继续使用传统的程控交换机，取而代之的是大型接入网关AG。因AG具有设置灵活、价格低廉的特点，在软交换改造过程中将作为传统模拟话机的主要放号设备。（3）积极开展新业务的实验推广工作。在软交换网络建设的初期应开展新业务试验工作，力争利用软交换的开放性结构研发出有助于电力生产的新业务；在软交换网络逐步完善后应开展IMS的实验工作，通过实验探讨IMS在电力通信网络中的应用问题。

从上表可以看出，集中建网的优势要远大于各地市独立建网。运营商在建设省级网络时均采用集中建网方式，因此，建议电力行业采用“双归属”甚至“三归属”以解决中心点的可靠性问题。

（2）建设电信级的基础网络平台

软交换的运行要依靠IP网络作为基础，一个稳定可靠的IP网络是软交换运行的基础。

因此，电力NGN系统在建网时应尽量让软交换的运行环境尽量独立于传统的数据业务，当然，能够独立建设“通信路由网”是最好的。

图3中的“通信路由网”中集中了软交换的核心设备，即使受到条件限制不能独立建网，也应该将软交换的核心设备放置在一个独立的网段内。图中的SBC是“边缘会话控制器”用于安全隔离，是重要的软交换配套设备。

（3）中心局软交换的设置

软交换作为NGN网络的核心，负责控制中继网关TG和接入网关AG等设备，实现呼叫控制及路由管理，应放置在中心节点，同时作为本地语音网的应用，在网络位置上应平行于现有本地语音网。

①软交换的容量考虑：初期考虑，初期可根据投资规模和近期需求考虑容量；终装容量，应按照大于全省各单位的全员人数考虑终装容量。②设备类型：应尽量选择具有电信级可靠性的设备，采用冗余机制健全的专业服务器。③双归属：软交换的中心局应尽量采用双归属的体系架构，双归属体系架构可确保整个系统不会出现系统瘫痪状况，对提高系统可靠性是非常行之有效的措施。双归属的另一个核心点理论上应该远离现有的汇接中心，最好是省局的灾备中心。

（4）中继网关TG的设置

作为与PSTN的媒体互通点，中继网关将负责信令转换、媒体流的转换，实现TDM与VoIP业务流之间的编解码、打包/拆包、时延抖动滤除等功能。中继网关设置在省公司中心局和各地市局。

中继网关除应支持软交换的各种信令外，还应支持PSTN的各种信令。

（6）接入层面的考虑

大型软交换设备都具有接入SIP电话和综合接入设备IAD的能力，SIP电话可以直接连接到IP网络上面；IAD则可以将模拟话机连接到IP网络上面。这两种接入设备的使用都非常灵活，可以在软交换上面注册并用于变电站、供电所和小型办公机构中。

（7）其他问题的考虑

在软交换建设中还有网络安全、QoS保障、私网穿越、网络管理等，限于篇幅，不一一累述。

四、建设业务驱动型网络

4.1软交换提供业务的方式

软交换提供业务的方式主要有以下几类：（1）直接由软交换提供PSTN的基本业务和补充业务；（2）软交换系统充当SSP（智能网业务交换点）和现有智能网的SCP（智能网业务控制点）互通，实现PSTN的基本业务和补充业务以及智能网业务；（3）由ISP/ICP（互联网服务接入商/互联网信息服务商）或专用平台互连，提供ISP/ICP和专用平台的业务；（4）由第三方的应用服务器提供业务。

上述业务中第一类业务可以由软交换完成；第二类业务主要讲述了软交换和智能网结合的功能过渡，目前电力系统语音交换网虽使用了不少7号信令系统，但却从未真正涉及智能网业务；第三类业务通常是运营商所需要的公众业务，此类业务电力系统通常做移植就可以加以利用，例如国家电网推广的RTX业务；最后一类业务是我们真正关心的业务，如果应用得当，将对电力生产和智能电网的建设运行带来积极作用。

4.2第三方提供业务的方式简介

由第三方提供应用服务器已逐步成为NGN提供业务的主流，这种方式的优势是：（1）屏蔽厂家提供业务的不一致性；（2）根据用户的特殊需求定制业务；（3）某个业务的故障不会影响软交换系统的运行。

目前，主要的第三方应用服务器接口：（1）Parlay API；（2）SIP Servlet API；（3）OSA PAI；（4）JAIN API；（5）CAL；（6）Voice XML。

第三方提供业务的方式如图4。

4.3电力NGN系统新业务实现的步骤

电力NGN系统的业务建设可以按如下三个阶段来进行。第一期：新建软交换平台，通过软交换系统继承传统PSTN的基本业务和补充业务；第二期：建设业务服务器，提供视频电话、IP Centrex业务、企业多媒体协作会议业务以及其它NGN增值业务（如一号通、企业通讯助理、个人通讯助理、点击拨号、语音邮箱等业务），开展软电话的试用，通过多种类的接入方式和丰富的终端实现多业务的接入。第三期：建设针对NGN网络的OSP开放智能业务平台，利用第三方业务功能，开发服务于电力生产和智能电网的新业务，使得NGN网络真正成为提高管理效率、促进电力生产的智能化平台。

4.4智能电网与电力通信网

未来的电力通信网络应该是一个高效、可靠、灵活和多元化的一体化通信体系架构。该一体化体系架构将渗透到电力生产的各个环节，以满足智能电网从发电、输电、变电、配电、用电等全过程对电力通信业务的需求。它将是集成主网光纤、数据网络、配网光纤、电力线载波、公网3G无线接入等为一体的多元化通信平台，是以“电力主网通信资源为依托，融合其他公众通信资源”的一体化通信资源融合模式，如图5所示。

新型的软交换及其下一代产品IMS具有丰富的功能及多元化的接入手段，将能很好的胜任电力系统的一体化通信体系架构。软交换可以利用第三方业务服务器，以嵌入式技术将一体化通信架构渗透到电力生产的各个环节。这样，电力生产的相关信息可以利用高效、灵活和无处不在的通信体系架构快速反馈到相关管理岗位，从而大大提升对智能电网的坚强支撑作用。

作者：林苏蓉