陳川

92941部隊96分隊 遼寧 125000

0 引言

軟交換技術(shù)是將傳統(tǒng)的交換設(shè)備部件話，分為呼叫控制與媒體處理兩部分，二者之間采用 MGCP、H248等標準協(xié)議，使用純軟件進行處理業(yè)務(wù)的技術(shù)。軟交換系統(tǒng)獨立于傳送網(wǎng)絡(luò)，采用標準化協(xié)議和應(yīng)用編程接口(API)的開放體系結(jié)構(gòu)，基于分組網(wǎng)利用程控軟件將呼叫控制功能從IT網(wǎng)關(guān)，即傳輸層中分離出來，通過軟件實現(xiàn)連接控制、翻譯和選路、網(wǎng)關(guān)管理、呼叫控制、帶寬管理、信令、安全性和呼叫詳細記錄等功能，并將網(wǎng)絡(luò)資源、網(wǎng)絡(luò)能力封裝起來，通過標準開放的業(yè)務(wù)接口和業(yè)務(wù)應(yīng)用層相連，不僅可以向用戶提供現(xiàn)有電路交換機所能提供的所有業(yè)務(wù)，還可以向第三方提供方便的可編程能力。

軟交換網(wǎng)絡(luò)充分利用現(xiàn)有的IP網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)備，具有功能多、操作靈活、接續(xù)快、話路多、成本低等優(yōu)點，而且隨著應(yīng)用的不斷擴展，不僅能夠滿足移動辦公、語音留言等需求，實現(xiàn)通過Email聽留言、看傳真，通過電話收傳真、聽Email，還可以將語音、數(shù)據(jù)和視頻結(jié)合在一起，實現(xiàn)多媒體會議等功能。

軟交換網(wǎng)絡(luò)采用基于ATM的多協(xié)議標記交換技術(shù)，主要承載一下兩種語音業(yè)務(wù)：(1)通過VoIP技術(shù)，實現(xiàn)在綜合信息網(wǎng)中傳送語音，并與 PSTN網(wǎng)電話業(yè)務(wù)互聯(lián)；(2)通過VTOA技術(shù)，實現(xiàn)PSTN電話業(yè)務(wù)的網(wǎng)絡(luò)中繼傳送；另通過使用通信助理(CA)實現(xiàn)多樣化的通信應(yīng)用服務(wù)，提高效率和移動性。

1 軟交換的網(wǎng)絡(luò)結(jié)構(gòu)

軟交換網(wǎng)絡(luò)的技術(shù)特點是業(yè)務(wù)與控制相分離、傳輸與接入相分離，各實體間通過標準的協(xié)議進行連接和通信。軟交換位于網(wǎng)絡(luò)的控制層，提供各種業(yè)務(wù)的呼叫控制、連接以及部分應(yīng)用業(yè)務(wù)。整個網(wǎng)絡(luò)分為四個層面：業(yè)務(wù)應(yīng)用層、控制層、傳輸層和媒體接入層。

1.1 控制層

控制層完成各種呼叫控制功能，并負責相應(yīng)的業(yè)務(wù)處理信息的傳輸。該層最主要的設(shè)備就是軟交換系統(tǒng)，其地位相當于傳統(tǒng)通信網(wǎng)中的交換機，是網(wǎng)絡(luò)的核心設(shè)備。軟交換系統(tǒng)的主要功能是完成對媒體接入層中所有媒體網(wǎng)關(guān)的業(yè)務(wù)控制及媒體網(wǎng)關(guān)之間通信的控制。

1.2 傳輸層

傳輸層主要是為業(yè)務(wù)媒體流和控制信息流提供統(tǒng)一的、保證QoS的高速分組傳輸平臺。其任務(wù)主要是將軟交換網(wǎng)各網(wǎng)元，如接入層的各種媒體網(wǎng)關(guān)、控制層的軟交換機、業(yè)務(wù)應(yīng)用層的各種服務(wù)器平臺等連接起來。軟交換網(wǎng)的各網(wǎng)元間，采用IP數(shù)據(jù)包傳輸各種控制信息和業(yè)務(wù)數(shù)據(jù)信息，因而傳輸層實際上就是一個承載網(wǎng)絡(luò)。

1.3 業(yè)務(wù)應(yīng)用層

業(yè)務(wù)應(yīng)用層主要指面向用戶提供各種應(yīng)用和服務(wù)的設(shè)備。它采用開放、綜合的業(yè)務(wù)接入平臺。為下一代網(wǎng)絡(luò)提供各種增值業(yè)務(wù)、多媒體業(yè)務(wù)和第三方業(yè)務(wù)，同時還具有相應(yīng)的業(yè)務(wù)生成和維護環(huán)境。

1.4 媒體接入層

媒體接入層負責將各種不同的網(wǎng)絡(luò)及終端設(shè)備接入，主要是把現(xiàn)有網(wǎng)絡(luò)相關(guān)的各種網(wǎng)關(guān)或終端設(shè)備接入軟交換控制的網(wǎng)中。它能夠?qū)⒂脩暨B接到網(wǎng)絡(luò)，并把業(yè)務(wù)量集中后利用公共的傳輸平臺傳輸?shù)侥康牡?。接入層的設(shè)備包括各種不同的網(wǎng)絡(luò)、終端設(shè)備以及各種網(wǎng)關(guān)設(shè)備，如IP PBX、IP Phone、PC等。

2 軟交換網(wǎng)絡(luò)運行的安全分析

軟交換網(wǎng)絡(luò)以IP網(wǎng)作為承載網(wǎng)絡(luò)，通信協(xié)議和媒體信息主要采用IP數(shù)據(jù)包的形式進行傳送。相對于封閉、使用專用系統(tǒng)的傳統(tǒng)電路交換網(wǎng)，架構(gòu)于IP網(wǎng)上的軟交換網(wǎng)絡(luò)由于接入節(jié)點比較多，用戶的接入方式和接入地點都非常靈活，更容易受到外來的入侵，而且IP網(wǎng)絡(luò)自身的安全和QoS問題還有待解決，所以軟交換網(wǎng)絡(luò)也就面臨著更多的安全威脅。

2.1 IP網(wǎng)絡(luò)對軟交換的影響

IP網(wǎng)絡(luò)是以基于TCP/IP協(xié)議的由路由器與交換機組成的網(wǎng)絡(luò)系統(tǒng)，是一個沒有質(zhì)量控制功能且資源有限的自由系統(tǒng)。當大量的廣播數(shù)據(jù)包在網(wǎng)絡(luò)上無休止地傳輸時，便形成廣播風暴，從而導(dǎo)致網(wǎng)絡(luò)性能下降，甚至癱瘓。廣播風暴發(fā)生時，首先受害的就是IP電話等實時業(yè)務(wù)。軟交換IP電話系統(tǒng)對IP網(wǎng)絡(luò)質(zhì)量的最大容忍度為：丟包率≤30%，延時≤400ms。滿足這兩項指標，IP電話就能夠順利接續(xù)和正常通話；反之，接續(xù)和通話就不好，或者電話不能正常接通，或者通話斷續(xù)、回音很大、話音不清。

2.2 非法終端接入

軟交換系統(tǒng)除支持本系列IP電話終端接入外，也支持第三方廠家提供的IP電話終端的接入。因為網(wǎng)絡(luò)是開放的，這就存在一個非本系統(tǒng)的IP話機試圖接入該軟交換系統(tǒng)，構(gòu)成非法終端接入問題。

2.3 網(wǎng)絡(luò)攻擊

IP網(wǎng)絡(luò)的開放性和自由性使其很容易遭到來自黑客的各種攻擊，與之連接的軟交換系統(tǒng)也就存在更加嚴重的威脅。他們可以通過探測掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開放的TCP端口號、系統(tǒng)用來保存用戶名和口令等安全信息的關(guān)鍵文件，或網(wǎng)絡(luò)監(jiān)聽等手段，獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進而假冒內(nèi)部合法身份進行非法登錄，竊取和修改內(nèi)部網(wǎng)絡(luò)中重要數(shù)據(jù)，并對網(wǎng)絡(luò)服務(wù)器進行攻擊，使得服務(wù)器拒絕服務(wù)，甚至使網(wǎng)絡(luò)癱瘓。

2.4 病毒感染

一些IP網(wǎng)因管理及使用不善等多方面原因，造成計算機病毒、木馬程序開始在網(wǎng)內(nèi)出現(xiàn)并迅速泛濫。因接入終端中毒造成的網(wǎng)絡(luò)擁塞、傳播攻擊等危害網(wǎng)絡(luò)安全的事件時有發(fā)生。網(wǎng)絡(luò)病毒的傳播速度快，傳播范圍廣，危害性大，并且只要有一臺工作站的病毒未被徹底清除，整個網(wǎng)絡(luò)就有可能重新感染，對數(shù)據(jù)安全造成極大威脅，不僅影響軟交換網(wǎng)絡(luò)的正常運行，而且病毒的擴散甚至給整個網(wǎng)絡(luò)造成極大的危害。

3 保障軟交換網(wǎng)絡(luò)安全的幾點措施

3.1 采用觸發(fā)控制機制，保障接入的安全

為防止非法接入，軟交換控制中心采用IPSec策略的安全注冊觸發(fā)控制機制。凡是要接入軟交換中心的IP終端，連接到IP網(wǎng)絡(luò)上，首先要向軟交換中心提出注冊申請，接受軟交換中心的合法性驗證。只有合法的IP電話終端才能連接到該軟交換中心；對于非法的 IP電話終端，軟交換中心不予接入。

軟交換中心 IPSec策略的合法性驗證包括一下兩個方面：

(1) 源地址過濾。每個以太網(wǎng)接口都有一個全世界惟一的MAC地址，因此IP網(wǎng)絡(luò)的底層連接的合法性，就靠MAC地址來識別。在軟交換中心設(shè)置本系統(tǒng)合法終端的MAC地址表，當網(wǎng)絡(luò)上有IP終端向軟交換中心申請接入時，該軟交換中心首先用合法終端的MAC地址表對這個源地址進行過濾。如果該終端送來的MAC地址包含在合法MAC地址表中，則注冊有效，該終端被允許接入；如果不在表中，該終端被拒絕。

(2) 目的地址過濾。在軟交換中心設(shè)置一個加密的IP網(wǎng)絡(luò)地址對IP電話終端進行注冊控制。當IP終端連接上IP網(wǎng)絡(luò)后，輸入要接入的軟交換中心的IP網(wǎng)絡(luò)地址，才能向軟交換中心發(fā)送注冊請求。如果輸入的密碼不正確，該終端不能進入軟交換中心IP地址的輸入程序；如果鍵入的IP地址不正確，則該終端無法通過目的地址過濾。這兩種情況均不能接入到軟交換中心。

3.2 保障系統(tǒng)服務(wù)器和數(shù)據(jù)安全

軟交換應(yīng)用軟件系統(tǒng)是一個專業(yè)而封閉的功能平臺。其面向連續(xù)的接續(xù)控制部分系統(tǒng)軟件，具有封閉的結(jié)構(gòu)特性，與其它應(yīng)用軟件隔離，一經(jīng)安裝，便不允許其它程序進入，不與網(wǎng)絡(luò)上的其它功能部件發(fā)生連接和交流，有效地防止了網(wǎng)絡(luò)病毒的感染。且軟交換系統(tǒng)服務(wù)器采用LINUX操作系統(tǒng)，通過各種安全策略和防病毒措施，封掉有安全隱患的TCP及UDP端口。有效地防止了以WINDOWS操作系統(tǒng)和開放端口為攻擊目標的病毒、木馬程序的入侵。

軟交換系統(tǒng)還采用IPSec的IP數(shù)據(jù)流類型過濾策略，只接受和處理符合如語音編譯嗎及語音壓縮協(xié)議(G.711、G.729等)，UDP/IP數(shù)據(jù)傳輸協(xié)議，實時控制協(xié)議(RTP/RTCP)，VoIP協(xié)議(SIP/MGCP/H.248等)等固定協(xié)議的IP數(shù)據(jù)包，不符合以上協(xié)議的數(shù)據(jù)包則被拒絕。而且即使通過協(xié)議過濾的 IP數(shù)據(jù)包，在軟交換系統(tǒng)中也被當做媒體流處理，不會作為一個功能部件連接到軟件程序中。這樣，即使有病毒數(shù)據(jù)，也只能對本次接續(xù)或通話雙方傳送的話音和圖像質(zhì)量造成局部影響，不會危害到整個網(wǎng)絡(luò)。

3.3 提高網(wǎng)絡(luò)整體運行質(zhì)量

軟交換基于業(yè)務(wù)繁忙的IP網(wǎng)絡(luò)，設(shè)備、管理混雜，要提高軟交換業(yè)務(wù)質(zhì)量，根本上還是要解決好網(wǎng)絡(luò)運行的質(zhì)量問題。通過合理規(guī)劃和統(tǒng)一管理，減少盲目、隨機的建設(shè)和使用來理清網(wǎng)絡(luò)資源。合理地簡化網(wǎng)絡(luò)結(jié)構(gòu)層次，增加網(wǎng)路帶寬，降低網(wǎng)絡(luò)中的時延，提高網(wǎng)絡(luò)物理層的傳輸質(zhì)量，減少網(wǎng)絡(luò)傳輸中的損耗?？赡艹霈F(xiàn)的廣播風暴對軟交換網(wǎng)絡(luò)的影響很大。廣播風暴實際上就是網(wǎng)絡(luò)自激。源端發(fā)出的數(shù)據(jù)包，又從目的端返回到源端。網(wǎng)絡(luò)布線不良，個別網(wǎng)卡故障，網(wǎng)絡(luò)中存在環(huán)路等都可能引發(fā)廣播風暴。我們可以通過劃分之網(wǎng)，使廣播包只在有限的范圍內(nèi)傳播或使用網(wǎng)關(guān)，對數(shù)據(jù)包進行分揀等手段控制和減少廣播風暴對IP電話的影響。

3.4 增強系統(tǒng)容災(zāi)備份保護能力

軟交換中心的工作原理基于IP媒體子系統(tǒng)。業(yè)務(wù)媒體數(shù)據(jù)(語音、圖像)采用P2P模式，在兩個IP終端之間直接傳送，連接控制由軟交換中心來完成。由于通話業(yè)務(wù)數(shù)據(jù)不經(jīng)過軟交換中心，因此，一個網(wǎng)絡(luò)中的兩個IP電話終端之間的接續(xù)，可由網(wǎng)絡(luò)中任意一個軟交換中心來完成。也就是說，網(wǎng)絡(luò)中只要有一個軟交換控制中心工作正常，系統(tǒng)通信就不會中斷。所以，我們可以在整個網(wǎng)絡(luò)中將軟交換控制中心進行多點分布設(shè)置，網(wǎng)絡(luò)局部癱瘓，不會影響 IP電話系統(tǒng)的正常接續(xù)功能，從而極大地提高了軟交換系統(tǒng)的容災(zāi)備份保護能力。

4 結(jié)論

軟交換支持眾多的協(xié)議，可以對各種各樣的接入設(shè)備進行控制，并能夠按照一定的策略對網(wǎng)絡(luò)特性進行實時、智能、集中式的調(diào)整和干預(yù)，以保證整個網(wǎng)絡(luò)的穩(wěn)定性和可靠性。因此，軟交換可以依托通信網(wǎng)絡(luò)，開展多種業(yè)務(wù)應(yīng)用。加強軟交換網(wǎng)絡(luò)的安全監(jiān)控管理，必將在通信網(wǎng)絡(luò)中發(fā)揮出至關(guān)重要的作用。

[1]思科系統(tǒng)網(wǎng)絡(luò)技術(shù)有限公司.下一代網(wǎng)絡(luò)安全.北京郵電大學(xué)出版社.2009.

[2]趙學(xué)軍.軟交換技術(shù)與應(yīng)用.人民郵電出版社.2010.

[3]劉洪林.IP語音通信原理、設(shè)計及組網(wǎng)應(yīng)用.電子工業(yè)出版社.2010.