軟交換網(wǎng)絡(luò)中的安全機(jī)制
李;
2003/12/31
摘 要 從網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)、信息、終端設(shè)備四方面介紹了軟交換網(wǎng)絡(luò)中的安全機(jī)制問題。
關(guān)鍵詞 軟交換 網(wǎng)絡(luò) 安全
一、引言
為了能夠適應(yīng)未來的通信發(fā)展需求,通信網(wǎng)絡(luò)的轉(zhuǎn)變勢在必行。當(dāng)前的基于不同傳輸和控制技術(shù)的各種網(wǎng)絡(luò)必須融合為一個(gè)統(tǒng)一的、多業(yè)務(wù)的、以數(shù)據(jù)網(wǎng)絡(luò)為中心的、在開放的業(yè)務(wù)平臺(tái)上提供不同服務(wù)質(zhì)量業(yè)務(wù)的下一代網(wǎng)絡(luò)。而目前以軟交換為核心、光網(wǎng)絡(luò)和分組型傳送技術(shù)為基礎(chǔ)的開放式融合網(wǎng)成為業(yè)界選擇下一代網(wǎng)絡(luò)時(shí)的首要考慮對象。
目前,軟交換無論是標(biāo)準(zhǔn)還是設(shè)備都處在一個(gè)逐漸成熟的過程之中,國內(nèi)的運(yùn)營公司所組建的軟交換網(wǎng)絡(luò)還主要是在試驗(yàn)和試運(yùn)行階段,在軟交換網(wǎng)絡(luò)中涉及的許多問題還有待深入地探討和研究,畢竟軟交換采用的是以IP網(wǎng)絡(luò)作為承載網(wǎng)絡(luò)的技術(shù)。IP技術(shù)本身存在的許多問題以及軟交換技術(shù)作為一個(gè)新的技術(shù)而存在的問題,都是軟交換技術(shù)在發(fā)展過程中需要面對和解決的問題。本文旨在通過對軟交換技術(shù)的跟蹤和研究,對軟交換網(wǎng)絡(luò)中所涉及的安全機(jī)制進(jìn)行探討和分析。
軟交換網(wǎng)絡(luò)的承載網(wǎng)絡(luò)采用的是分組網(wǎng)絡(luò),主要以IP網(wǎng)和ATM網(wǎng)作為承載網(wǎng)絡(luò),通信協(xié)議和媒體信息主要采用IP數(shù)據(jù)包的形式進(jìn)行傳送,軟交換網(wǎng)絡(luò)中接入節(jié)點(diǎn)比較多,用戶的接入方式和接入地點(diǎn)都非常靈活,所以軟交換網(wǎng)絡(luò)也就面臨著比較突出的安全問題,本文將從四個(gè)方面探討軟交換網(wǎng)絡(luò)中所涉及的安全機(jī)制。
二、網(wǎng)絡(luò)設(shè)備的安全
目前,關(guān)于軟交換安全方面的文章很少談到軟交換中網(wǎng)絡(luò)設(shè)備自身的安全問題,網(wǎng)絡(luò)設(shè)備是軟交換網(wǎng)絡(luò)中最為關(guān)鍵的設(shè)備,主要包括軟交換設(shè)備、中繼網(wǎng)關(guān)設(shè)備、信令網(wǎng)關(guān)設(shè)備、操作維護(hù)和網(wǎng)管設(shè)備等。為了充分保證軟交換網(wǎng)絡(luò)的安全,首先這些網(wǎng)絡(luò)設(shè)備本身要從物理設(shè)計(jì)層面上提供一定的安全機(jī)制,以便軟交換網(wǎng)絡(luò)能夠達(dá)到電信級網(wǎng)絡(luò)的要求。
軟交換技術(shù)采用呼叫和承載控制相分離的技術(shù),網(wǎng)絡(luò)設(shè)備的處理能力有了很大的提高,可以處理更多的話務(wù)和承載更多的業(yè)務(wù)負(fù)荷,但隨之而來的問題就是安全性的問題。對于采用板卡方式設(shè)計(jì)的網(wǎng)絡(luò)設(shè)備,一塊單板在正常情況下能夠承載更多的話務(wù)和負(fù)荷,那么在發(fā)生故障時(shí)就有可能造成更大范圍內(nèi)的業(yè)務(wù)中斷和損失,所以對于處理類型的單板都需要做到備份處理。從目前對廠家所提供設(shè)備的情況了解來看,對于采用板卡方式設(shè)計(jì)的軟交換設(shè)備一般都提供相應(yīng)的備份機(jī)制,在發(fā)生板卡的倒換時(shí)一般不會(huì)中斷現(xiàn)有的通話,但是對于中繼網(wǎng)關(guān)設(shè)備,當(dāng)中繼網(wǎng)關(guān)設(shè)備的板卡發(fā)生倒換時(shí),有可能造成實(shí)時(shí)通話中斷。這是因?yàn)樵谲浗粨Q網(wǎng)絡(luò)中每個(gè)通話都分成了兩個(gè)層面,一個(gè)是呼叫控制層面(該功能由軟交換設(shè)備完成),一個(gè)是承載連接層面(這里主要由中繼網(wǎng)關(guān)設(shè)備完成),有的廠家對呼叫層面呼叫狀態(tài)的保持給予了重視但卻忽視了承載連接層面媒體連接狀態(tài)的保持。
在軟交換網(wǎng)絡(luò)中,隨著設(shè)備集成度的提高和ATM/IP技術(shù)的大量運(yùn)用,物理端口和網(wǎng)絡(luò)端口的容量和密度都有了很大程度的提高,因此許多廠家在相關(guān)的設(shè)備中都提供了物理端口和網(wǎng)絡(luò)端口的備份。在已經(jīng)發(fā)布的《軟交換設(shè)備技術(shù)規(guī)范》中對此進(jìn)行了明確的規(guī)定:“軟交換的IP出口設(shè)備應(yīng)能夠支持以主備用的方式同時(shí)與分組承載網(wǎng)的網(wǎng)絡(luò)設(shè)備相連接,即要求支持IP接口單板間的熱備份機(jī)制”和“軟交換要支持端口級的熱備份機(jī)制”,物理端口和網(wǎng)絡(luò)端口的備份實(shí)現(xiàn)起來比較簡單,目前一般廠家的網(wǎng)絡(luò)設(shè)備都提供有相應(yīng)的功能。
在軟交換網(wǎng)絡(luò)中最關(guān)鍵的設(shè)備--軟交換設(shè)備負(fù)責(zé)控制大量的設(shè)備和呼叫接續(xù),處理能力和功能都非常強(qiáng)大,當(dāng)軟交換設(shè)備出現(xiàn)問題和故障時(shí),將給整個(gè)網(wǎng)絡(luò)造成非常大的影響。如何避免軟交換設(shè)備故障所造成的影響,需要考慮到雙歸屬或多歸屬的解決方案。首先,需要中繼網(wǎng)關(guān)、接入網(wǎng)關(guān)、綜合接入設(shè)備IAD等設(shè)備能夠檢測軟交換之間的連接性,這樣當(dāng)這些設(shè)備檢測到和軟交換之間的連接丟失之后能夠向軟交換設(shè)備重新進(jìn)行注冊。其次,需要這些設(shè)備能夠同時(shí)依次向多個(gè)軟交換設(shè)備進(jìn)行注冊,這就需要中繼網(wǎng)關(guān)、接入網(wǎng)關(guān)和IAD設(shè)備在向軟交換設(shè)備注冊失敗之后,在有備份軟交換設(shè)備的情況下,網(wǎng)關(guān)設(shè)備能夠根據(jù)備份軟交換設(shè)備列表有序地向備份軟交換設(shè)備進(jìn)行注冊,直到注冊成功為止,網(wǎng)關(guān)設(shè)備應(yīng)該從多歸屬的軟交換設(shè)備上獲得完全相同的業(yè)務(wù)特征。在正常情況下,雙歸屬/多歸屬的軟交換設(shè)備各自承擔(dān)自己的業(yè)務(wù),只有在一個(gè)軟交換設(shè)備失效的情況下才承擔(dān)另一個(gè)軟交換設(shè)備所承擔(dān)的業(yè)務(wù),同時(shí)雙歸屬/多歸屬的軟交換設(shè)備在地理位置上應(yīng)該位于不同的區(qū)域。
目前,對于雙歸屬/多歸屬功能的實(shí)現(xiàn)存在以下問題,一是連接性檢測問題。有些廠家生產(chǎn)的網(wǎng)關(guān)設(shè)備和IAD設(shè)備沒有連接性檢測機(jī)制,這樣從實(shí)際運(yùn)營的角度來看雙歸屬/多歸屬功能的自動(dòng)實(shí)現(xiàn)將存在問題,也給整個(gè)網(wǎng)絡(luò)的安全造成隱患;二是對于軟交換網(wǎng)絡(luò)中將大量存在的IAD設(shè)備,配置有軟交換接入列表的很少,有些IAD設(shè)備只配有一個(gè)所歸屬軟交換的IP地址,這樣對IAD設(shè)備也將無法實(shí)現(xiàn)雙歸屬/多歸屬的功能。如果采用啟動(dòng)雙歸屬/多歸屬功能,需要互為備份歸屬的軟交換設(shè)備共用一個(gè)認(rèn)證設(shè)備,以便對相應(yīng)的網(wǎng)關(guān)設(shè)備、IAD設(shè)備統(tǒng)一進(jìn)行認(rèn)證。
有的廠家對軟交換設(shè)備的雙歸屬/多歸屬功能的重要性認(rèn)識不夠,認(rèn)為如果軟交換設(shè)備工作比較穩(wěn)定和可靠,就沒必要提供該功能,有的廠家干脆就不支持該功能,希望這些廠家能夠?qū)υ摴δ芤鸶叨鹊闹匾。從網(wǎng)絡(luò)設(shè)備的安全運(yùn)營角度來看,軟交換設(shè)備雙歸屬/多歸屬功能的支持是必需的,也是軟交換網(wǎng)絡(luò)安全運(yùn)行必須考慮的一個(gè)環(huán)節(jié)。此外,需要考慮的是軟交換網(wǎng)絡(luò)中的操作維護(hù)、網(wǎng)管和軟件升級的安全。網(wǎng)管系統(tǒng)應(yīng)具有不同級別的管理員權(quán)限管理機(jī)制,越權(quán)操作應(yīng)予以禁止。對非法操作提供記錄信息,對系統(tǒng)可能造成潛在危害的請求,如多次認(rèn)證失敗的連接、可疑的IP地址連接、頻發(fā)的大話務(wù)流量等,應(yīng)能夠告警并采取相應(yīng)的防范措施。
除了以上網(wǎng)絡(luò)設(shè)備需要考慮的安全問題之外,軟交換網(wǎng)絡(luò)中的核心設(shè)備(包括軟交換設(shè)備、媒體網(wǎng)關(guān)設(shè)備、服務(wù)器等)在IP網(wǎng)中的地位類似于網(wǎng)絡(luò)主機(jī)設(shè)備,因此要求這些核心網(wǎng)絡(luò)設(shè)備應(yīng)具備數(shù)據(jù)網(wǎng)中主機(jī)設(shè)備所具有的安全措施,可以應(yīng)用防火墻、入侵檢測、流量控制、安全日志與審計(jì)等技術(shù)實(shí)現(xiàn)對軟交換網(wǎng)絡(luò)核心設(shè)備的安全防護(hù)。
三、網(wǎng)絡(luò)的安全
網(wǎng)絡(luò)安全是指軟交換網(wǎng)絡(luò)本身的安全,既保證軟交換網(wǎng)絡(luò)中的媒體網(wǎng)關(guān)、軟交換設(shè)備、應(yīng)用服務(wù)器、網(wǎng)管系統(tǒng)等設(shè)備不會(huì)受到非法攻擊。由于軟交換技術(shù)選擇了分組網(wǎng)絡(luò)作為承載網(wǎng)絡(luò),并且各種信息主要采用IP分組的方式進(jìn)行傳輸,IP協(xié)議的簡單和通用性為網(wǎng)絡(luò)黑客提供了便利的條件。
要保證軟交換網(wǎng)絡(luò)的安全,首先是要保證網(wǎng)絡(luò)中核心設(shè)備的安全,如果將核心的網(wǎng)絡(luò)設(shè)備置于開放的IP網(wǎng)絡(luò)中,網(wǎng)絡(luò)的安全性將很難保證,所以筆者認(rèn)為網(wǎng)絡(luò)的核心設(shè)備必須放在專用網(wǎng)絡(luò)中,采用私有IP地址的方案。完全采用私有IP地址的方案也是不可行的,由于終端用戶的接入方式和接入地點(diǎn)比較靈活,因此軟交換設(shè)備要能夠接入和控制終端用戶,又要同時(shí)分配有對應(yīng)的公有IP地址,這樣才能保證各種方式用戶的接入。為此,可以在核心網(wǎng)外側(cè)設(shè)置防火墻,并將軟交換網(wǎng)絡(luò)中少數(shù)需要與外界用戶進(jìn)行通信的核心設(shè)備的私有地址映射到相應(yīng)的公有地址,同時(shí)利用防火墻對進(jìn)入核心網(wǎng)的數(shù)據(jù)包進(jìn)行過濾,只允許特定端口號的數(shù)據(jù)包通過防火墻,這種方法可以對Ping of Death等一系列的DOS(分布式拒絕服務(wù)攻擊)攻擊進(jìn)行過濾。
在骨干網(wǎng)層面,可以采用目前相對比較成熟的技術(shù)--MPLS VPN技術(shù),構(gòu)建相對獨(dú)立的VPN網(wǎng)絡(luò)。這樣可以對不同用戶間、用戶與公網(wǎng)間、業(yè)務(wù)子網(wǎng)和業(yè)務(wù)子網(wǎng)間的路由信息進(jìn)行隔離,并且非MPLS VPN內(nèi)的用戶無法訪問到軟交換域VPN內(nèi)的網(wǎng)絡(luò)設(shè)備,從而可以保證網(wǎng)絡(luò)的安全。各種終端設(shè)備是軟交換網(wǎng)絡(luò)中最大的安全隱患,終端設(shè)備處于用戶端,存在被用來惡意攻擊軟交換網(wǎng)絡(luò)中核心網(wǎng)絡(luò)設(shè)備的可能性。建議在軟交換網(wǎng)絡(luò)的接入邊緣設(shè)置寬帶接入服務(wù)器(BAS--Broadband Access Server),作為用戶接入網(wǎng)和骨干網(wǎng)之間的網(wǎng)關(guān),終結(jié)來自用戶接入網(wǎng)的連接,并提供接入到寬帶核心業(yè)務(wù)網(wǎng)(主要是IP網(wǎng)和ATM網(wǎng))的服務(wù)。寬帶接入服務(wù)器一般具有網(wǎng)絡(luò)安全模塊和業(yè)務(wù)管理模塊,網(wǎng)絡(luò)安全模塊可以包括IP VPN模塊和防火墻模塊,業(yè)務(wù)管理模塊包括網(wǎng)絡(luò)接入認(rèn)證與授權(quán)模塊、計(jì)費(fèi)模塊和統(tǒng)計(jì)模塊,另外有些寬帶接入服務(wù)器還可以提供流量管理和控制。利用寬帶接入服務(wù)器可以對終端用戶的接入進(jìn)行控制和管理。
軟交換網(wǎng)絡(luò)在邏輯上是與其它網(wǎng)絡(luò)相隔離的網(wǎng)絡(luò),為了實(shí)現(xiàn)軟交換網(wǎng)絡(luò)的運(yùn)營還要涉及與其它網(wǎng)絡(luò)的互通,不僅要和傳統(tǒng)的電信網(wǎng)絡(luò)(包括PSTN/PLMN,H.323網(wǎng)絡(luò))和智能網(wǎng)的互通,還要涉及到與其它運(yùn)營商的軟交換網(wǎng)絡(luò)、Internet網(wǎng)絡(luò)、企業(yè)網(wǎng)等網(wǎng)絡(luò)的互通。雖然針對上述的互通情況目前相關(guān)的規(guī)定和方案還不成熟,但有的廠家已經(jīng)提出了自己的解決方案,如實(shí)現(xiàn)媒體層面互通的網(wǎng)關(guān)和實(shí)現(xiàn)控制層面互通的網(wǎng)關(guān)設(shè)備,進(jìn)行兩個(gè)不同網(wǎng)絡(luò)之間的地址變換、編解碼轉(zhuǎn)換和網(wǎng)絡(luò)的安全防護(hù)等功能,對這方面的方案和技術(shù)還有待進(jìn)一步的研究。
四、信息的安全
信息的安全主要包括軟交換與終端之間傳輸協(xié)議的安全、用戶之間媒體信息的安全以及用戶私有信息(包括用戶名、密碼等)的安全,要保證這些信息不為非法用戶竊取和監(jiān)聽。
軟交換與終端之間的傳輸協(xié)議涉及H.248協(xié)議、MGCP協(xié)議、SIP協(xié)議和H.323協(xié)議,為了防止未授權(quán)的實(shí)體利用這些協(xié)議建立非法呼叫或者干涉合法呼叫,需要對這些協(xié)議的傳輸建立安全機(jī)制。當(dāng)在IP網(wǎng)絡(luò)上傳輸H.248協(xié)議時(shí),目前提出了兩種解決方案,一種是采用IPsec對協(xié)議傳輸進(jìn)行安全保護(hù)。IPsec包括三個(gè)協(xié)議:加密協(xié)議、認(rèn)證協(xié)議和密鑰交換協(xié)議。其中加密協(xié)議是封裝安全凈荷(ESP)協(xié)議對媒體網(wǎng)關(guān)/終端設(shè)備和軟交換設(shè)備之間傳送的消息提供加密;認(rèn)證協(xié)議是認(rèn)證頭(AH)協(xié)議對在媒體網(wǎng)關(guān)/終端設(shè)備和軟交換設(shè)備之間傳送的消息提供數(shù)據(jù)源認(rèn)證,無連接完整性保護(hù)和可選的抗重發(fā)保護(hù);密鑰交換協(xié)議是IKE協(xié)議提供媒體網(wǎng)關(guān)/終端設(shè)備和軟交換設(shè)備之間進(jìn)行密鑰協(xié)商的機(jī)制。另一種是過渡性AH方案。如果低層協(xié)議不支持IPsec,則應(yīng)建議采用過渡性AH方案,過渡性AH方案是在H.248協(xié)議頭中定義可選的AH頭來實(shí)現(xiàn)對協(xié)議連接的保護(hù),過渡性AH方案只能提供一定程度的保護(hù),例如該方案不能提供防竊聽保護(hù)。
當(dāng)在IP網(wǎng)絡(luò)中傳送MGCP協(xié)議和SIP協(xié)議時(shí),目前提出的主要安全機(jī)制也是IPsec協(xié)議。當(dāng)軟交換設(shè)備和終端之間采用H.323協(xié)議時(shí),按照H.323協(xié)議的相關(guān)描述,針對單個(gè)呼叫的安全性可采用AccessToken實(shí)現(xiàn),即在信令消息中攜帶密鑰信息。
綜上所述,目前保證通信協(xié)議安全傳輸?shù)臋C(jī)制主要還是IPsec協(xié)議。有些廠家的軟交換設(shè)備和終端設(shè)備也能夠支持IPsec協(xié)議,但實(shí)際上并沒有使用該機(jī)制,主要是該機(jī)制所涉及到的一系列協(xié)議比較復(fù)雜,而且極大地增加了軟交換設(shè)備的負(fù)荷。
為了防止用戶之間的媒體信息被竊聽,可以對RTP包進(jìn)行加密,目前主要采用對稱加密算法對RTP包進(jìn)行加密。為了對RTP包進(jìn)行加密,需要在呼叫建立過程中向終端傳送密鑰信息。隨著終端數(shù)量的增加,密鑰的需求量會(huì)成倍增加。為了能夠保證媒體信息的安全,用戶的媒體通信可能都需要使用不同的密鑰,所以對密鑰的分發(fā)提出了嚴(yán)峻的考驗(yàn),目前比較好的一種解決方案是采用Kerberos解決方案。Kerberos方案中提供一個(gè)安全的、可信任的密鑰分發(fā)中心(Key Distribution Center,KDC),SIP終端/IAD設(shè)備只要知道與KDC進(jìn)行通信的密鑰就可以了,而不需要知道成百上千個(gè)不同的密鑰。使用該方案首先需要在軟交換網(wǎng)絡(luò)中提供一個(gè)新的設(shè)備--密鑰分發(fā)中心KDC,而且軟交換網(wǎng)絡(luò)中的終端設(shè)備需要支持和KDC之間的交互協(xié)議,并且該設(shè)備的安全也影響著整個(gè)系統(tǒng)的安全性,所以有關(guān)該方案還需要進(jìn)一步的探討。
對于用戶私有信息包括用戶名、密碼、賬號等信息,目前主要采用的加密算法是MD5,用于用戶身份的認(rèn)證。
為了保證信息的安全性,可以在軟交換用戶接入網(wǎng)絡(luò)側(cè)根據(jù)實(shí)際的網(wǎng)絡(luò)接入方式和網(wǎng)絡(luò)的實(shí)際情況采用某種接入網(wǎng)隔離技術(shù),如采用虛擬局域網(wǎng)VLAN等隔離技術(shù)對用戶的數(shù)據(jù)流進(jìn)行隔離,將用戶的語音信息和數(shù)據(jù)信息分別設(shè)置在不同的VLAN中,防止用戶的信息被非法用戶截取,并在一定程度上可以控制用戶之間的訪問。目前,VLAN技術(shù)已經(jīng)在網(wǎng)絡(luò)組織和網(wǎng)絡(luò)安全方面得到了廣泛的應(yīng)用。
五、終端設(shè)備的安全
如上所述,在軟交換網(wǎng)絡(luò)中存在大量的終端設(shè)備,而且這些終端設(shè)備的接入地點(diǎn)和接入方式都非常靈活,這些終端都放置在用戶側(cè),無法避免有些用戶利用非法終端或設(shè)備訪問網(wǎng)絡(luò),占用網(wǎng)絡(luò)資源,非法享受業(yè)務(wù)和服務(wù),并且某些用戶可能利用非法終端或設(shè)備向網(wǎng)絡(luò)發(fā)動(dòng)攻擊,對網(wǎng)絡(luò)的安全造成威脅(如發(fā)送大量的IP數(shù)據(jù)包等)。因此,要保證軟交換網(wǎng)絡(luò)的安全,需要對軟交換網(wǎng)絡(luò)中的終端設(shè)備進(jìn)行鑒權(quán)和認(rèn)證,主要是IAD設(shè)備和SIP/H.323等終端設(shè)備。目前,對IAD設(shè)備的鑒權(quán)和認(rèn)證主要有以下幾種方式:
第一種方式是IAD在向軟交換進(jìn)行注冊時(shí),軟交換設(shè)備可以從IAD向軟交換設(shè)備發(fā)送的注冊信息中提取出IP地址或域名,或者IP地址與其它參數(shù)的組合,與自身數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行比較。如果提取出來的信息在數(shù)據(jù)庫中不存在,那么判定該IAD設(shè)備為非法終端,該IAD設(shè)備的注冊將失敗。這種方案對于采用靜態(tài)IP地址配置方式是可行的,但是為了IAD設(shè)備配置的靈活,有些IAD的IP地址采用動(dòng)態(tài)分配的方式,IP地址和IAD設(shè)備之間沒有一一對應(yīng)的關(guān)系,這樣通過IP地址來對IAD設(shè)備進(jìn)行鑒權(quán)和認(rèn)證就不可行了。
第二種方案是在IAD設(shè)備向軟交換發(fā)送的注冊信息中攜帶MAC地址信息。MAC地址信息對于IAD設(shè)備來說是惟一的,而且能夠惟一地標(biāo)識IAD設(shè)備,該方案也是目前應(yīng)用比較廣泛的一種方案。軟交換在收到IAD設(shè)備發(fā)送的注冊消息后,從中提取出MAC地址信息,并與自身數(shù)據(jù)庫中所保存的信息進(jìn)行比較。為了實(shí)施該方案,需要在正常標(biāo)準(zhǔn)的H.248/MGCP協(xié)議的注冊命令中增加一些擴(kuò)展參數(shù)來攜帶MAC地址信息?紤]到MAC地址信息在網(wǎng)絡(luò)上傳輸時(shí)可能會(huì)被竊取,因此需要對IAD的MAC地址進(jìn)行加密。
第三種方案是IAD設(shè)備在工作之前必須完成管理注冊和業(yè)務(wù)注冊。管理注冊就是IAD設(shè)備在啟動(dòng)后向網(wǎng)管站進(jìn)行注冊,業(yè)務(wù)注冊就是IAD設(shè)備向軟交換進(jìn)行注冊,該方案具體可參見《IAD設(shè)備技術(shù)規(guī)范》中的資料性附錄C.3.3。
從目前各廠家所提供軟交換設(shè)備的情況來看,對IAD設(shè)備的鑒權(quán)和認(rèn)證主要是集中在第一和第二種方案,或者在這兩種方案基礎(chǔ)上的一些變種,基本上可以保證合法的IAD設(shè)備接入到網(wǎng)絡(luò)。另外,有些廠家在IAD設(shè)備向軟交換發(fā)送的所有協(xié)議消息中都攜帶有相關(guān)的鑒權(quán)和認(rèn)證信息,更進(jìn)一步加強(qiáng)了網(wǎng)絡(luò)的安全,但從一定程度上也加重了軟交換設(shè)備的處理負(fù)荷。
對于SIP終端和H.323終端來講,目前還缺少相應(yīng)的規(guī)范。另外,在這些終端設(shè)備上集中了較多的智能,而且不僅有以硬終端形式出現(xiàn)的終端設(shè)備,還有以軟終端形式出現(xiàn)的終端設(shè)備(所謂軟終端即為可以安裝在計(jì)算機(jī)上仿SIP終端或H.323終端功能的軟件),并且位置比較靈活。尤其是軟終端,對這種類型的終端采用類IAD設(shè)備的鑒權(quán)和認(rèn)證方案是不可行的。目前,對于這些終端鑒權(quán)和認(rèn)證的方式主要是基于用戶名和密碼,使用這些終端的用戶在向軟交換設(shè)備發(fā)送注冊消息時(shí),需要首先輸入用戶名和密碼信息,并對這些信息都采用加密方式進(jìn)行傳送,這些終端只有通過軟交換的鑒權(quán)和認(rèn)證才能使用網(wǎng)絡(luò)資源。
六、結(jié)束語
軟交換網(wǎng)絡(luò)中的安全機(jī)制涉及的方面比較多,本文僅從四個(gè)方面對軟交換網(wǎng)絡(luò)中應(yīng)該考慮的安全機(jī)制進(jìn)行了闡述,并結(jié)合目前軟交換系統(tǒng)生產(chǎn)廠家具體實(shí)現(xiàn)情況,以及目前相關(guān)標(biāo)準(zhǔn)和規(guī)范的情況進(jìn)行了探討和分析。安全機(jī)制是針對軟交換技術(shù)的研究,以及對軟交換網(wǎng)絡(luò)發(fā)展、軟交換網(wǎng)絡(luò)的運(yùn)營都是必須要慎重考慮的問題。從以上分析來看,軟交換網(wǎng)絡(luò)中的安全機(jī)制有些方面還不太成熟,需要進(jìn)一步地跟蹤和研究,以便提出切實(shí)可行的方案。
中國通信網(wǎng)(www.c114.net)—電信網(wǎng)技術(shù)
相關(guān)鏈接:
感谢您访问我们的网站,您可能还对以下资源感兴趣:
欧美,精品,综合,亚洲,好吊妞视频免新费观看,免费观看三级吃奶,一级a片女人自慰免费看
老外毛片免费视频播放,人人狠狠综合久久亚洲,久艹在线视频,天天操夜操
婷婷激情在线,亚洲成a人片77777群色,狠狠躁天天躁,成年美女黄网站色大片免费看
黄色片aa,亚洲一区二区三区免费在线观看,久久青草精品一区二区三区,性感美女国产射精免费黄视频
日本一道本在线,视频二区三区国产情侣在线,国产精品色哟哟,青青草伊人
久久久久精品香蕉免费看,国产美女免费视频,成人免费xxx色视频,91精品国产综合久久消防器材