软交换组网相关技术问题

11.8.3　软交换组网相关技术问题

1）IP地址分配

各类软交换服务器和网关一般需要分配固定的公开IP地址，以便通过宽带IP网络把它们连接起来，实现分布式的业务控制和处理环境，为用户和终端提供开放的业务。有时为了完全的原因，可以把一些软交换设备集中在一起，放在防火墙后面。此时防火墙后面的设备间的内部接口可以使用私有IP地址。

用户终端IP地址的分配可以采用固定或动态分配两种方式。

对于IAD下挂接的终端，一般分配公开的IP地址。如果IAD端口数量较多，可以采用固定分配的方式；如果IAD端口数量较少，可以采用动态分配的方式，以便在多个IAD之间共享IP地址，避免过小的IP子网造成的IP地址浪费（主机号为全0和全1的地址被浪费。

当SIP终端等直接挂接在宽带IP网络上时，一般采用动态分配公开IP地址的方式。如果SIP终端位于一个子网内部（如企业网），SIP终端往往只有私有IP地址，需要在接入网关上使用网络地址转换（NAT，Network Address Translation）技术访问宽带IP网络，此时需要网关支持SIP对NAT的穿越。

2）NAT穿越

很多边缘接入网络使用NAT网关访问主干网络，NAT技术起到了网络层的屏蔽作用，保护了边缘网络的安全。位于边缘网络内部的SIP智能终端等设备，在边缘网络中使用私有地址，当它们访问软交换网络上其他设备时，需通过NAT进行公、私有地址之间的转换，以使IP分组能够在公用宽带IP网络上传输。但是由于普通NAT只能识别、修改UDP或TCP报文头部地址信息以实现内、外地址的转换（这是一种传输层网关），对于作为UDP或TCP报文内容的SIP等协议中地址信息则无法识别、修改，因此软交换网络中的信令SIP和H.323等将无法穿过传统的NAT网关。

一种解决方法是采用支持SIP的应用层网关（ALG，Application Layer Gateway）防火墙，使得NAT可以分析SIP，在转换时可以像处理IP分组头那样转换SIP协议中内嵌的相应地址信息字段。但这种方案需要对网络上众多NAT设备进行升级，具体实施较困难。

如何使SIP和H.323能穿过NAT网关，同时又不降低边缘网络的安全性，尚无标准的解决方案。

3）安全性问题

软交换网络除了具有IP网络一般的安全问题外，还有其特定的安全问题。

（1）SIP安全性问题

SIP自身的安全性也很脆弱。在默认的情况下，SIP消息是用明文传送的，故可被截获和篡改。当然SIP中也有安全选项，SIP消息也可以使用其他安全传输协议。但是目前还没有SIP安全机制协商办法。网络中的黑客有可能迫使通信双方使用低级别的安全特性，从而降低攻击的难度。

（2）实时传输协议（RTP，Real－Time Transport Protocol）安全性问题

在NGN中多媒体业务将使用RTP协议进行传输。RTP也是容易被攻击的，如源地址和目的地址就容易被篡改。曾经有人提出过临时加密方案，但是必须依赖于将来的低层安全协议。RTP的安全性问题，目前还没有明确的解决标准。

（3）代码和脚本攻击

软交换机、媒体网关、应用服务器等网络控制部件，容易受到可执行代码和脚本的攻击。这些代码可以用来操纵用户的定制信息、网络控制数据，或者传播其他类型的攻击，如DoS（拒绝服务）攻击。网络的可扩展性和软件更新特性也会造成了潜在的威胁。用可扩展标记语言XML写的脚本可以被黑客用来发动攻击。这在智能终端越来越多的情况下，更加严重，因为这些终端可能被黑客俘获，成为攻击源。目前IETF的媒体网关控制标准工作组正在对这些问题进行研究。

对于安全性问题，解决的思路是加强网络管理，强化业务使用时的注册、鉴权、加密。可以采取以下措施来保障安全性：

（1）加强用户接入的安全认证和信息加密措施。

（2）为了防范黑客的攻击，可在各个层面设置防火墙和入侵检测系统，保护应用服务器、软交换服务器、媒体网关、接入网络的安全。

（3）采用各种网络隔离措施，可消除IP遍在性带来的安全性问题：

①采用NAT技术，隔离边缘网络与核心IP网络，保护边缘网络的安全；

②采用VPN技术连接软交换终端、媒体网关、软交换服务器、应用服务器，使它们与IP网上普通Web网络等隔离，避免遭受大量常规IP黑客的攻击；

③在一个边缘网络内部，采用虚拟局域网（VLAN）技术，隔离数据业务、IP电话话音业务，避免IP电话用户密码被盗窃，话音媒体流等被窃听。

上述这些措施，虽然是常规互联网安全措施的具体应用，但须根据NGN的需要进行改进。例如，需要对传统NAT、防火墙、入侵检测技术进行改进和扩展，提升它们的性能，以解决SIP、RTP、XML等安全性问题。