事件
2005年7月25日,北京某网络信息技术服务有限公司(以下简称网络公司)与陈某订立《合作协议》,约定陈某根据该网络公司提供的界面风格,开发定制TurboMail企业邮件服务器软件,该版本只允许出现网络公司信息,供网络公司专用,陈某保留该软件的著作权。网络公司将其TurboMail企业邮件服务器软件的销售款按一定比例给陈某分成。
双方合作中,陈某为网络公司制作软件试用版,限制25 个用户。新用户下载试用版软件使用时,软件会提示用户向网络公司联系购买正式版。由陈某提供注册码,试用版倒入注册码后,即成为正式版,可以永久使用。网络公司将用户购买注册码的款项与陈某分成。TurboMail企业邮件服务器软件的试用版软件与正式版软件功能上没有差别,正式版软件会根据不同价格限定不同数量的使用用户。
2007年,陈某成立广州某软件科技有限公司(以下简称软件公司),并将TurboMail企业邮件服务器软件著作权转让给软件公司。网络公司一直延续与陈某的合作直至2008年4月。
2008年4月,网络公司与陈某发生合作纠纷,陈某不再给网络公司注册码,网络公司也不再向陈某汇分成款。2008年8月,网络公司在其企业期刊中收录员工撰写的《邮件系统升级简要》一文,该文后附链接可免费下载TurboMail企业邮件服务器软件试用版。
软件公司认为网络公司的行为侵害了其对TurboMail企业邮件服务器软件享有的信息网络传播权等著作权。网络公司主要辩称该软件为试用版,用于之前已购买了网络公司涉案软件用户的重新安装软件等后续维护服务,因此否认侵权。
法院认为网络公司在其与陈某合作结束之后,仍在网站提供涉案软件,使公众可在其个人选定的时间和地点免费下载该软件,侵犯了软件公司对该软件享有的信息网络传播权。
海淀法院判决网络公司赔偿软件公司经济损失及合理开支共计2万元。一审宣判后,双方均未上诉。
该案中,网络公司表示,其在网站上提供的涉案软件就是双方合作期间陈某为网络公司专门定制的软件的试用版,该试用版本身就是免费的,网络公司没有从中获利。该情况若是发生在双方合作期间,则网络公司的行为就有合同依据,不构成侵权。但若是发生在合同关系终止后,则是否构成侵权,就需要网络公司作进一步解释。
由于双方确认合作终止于2008年4月,网络公司于2008年8月仍在其网站上提供涉案贴牌软件试用版供人下载,显然超出了合作期限。网络公司提出,其在网站上提供涉案贴牌软件试用版供用户免费下载,是为了向之前已购买了网络公司涉案软件用户的重新安装软件等后续维护服务。对于消费者而言,软件销售者确实应履行相关售后服务义务。即使网络公司与陈某的合作结束,网络公司对双方合作期间购买贴牌的TurboMail企业邮件服务器软件也是有后续维护义务的,但网络公司在该案中的行为是否合法妥当,则是双方争议的重点。
法院认为,网络公司要履行其售后服务,完全可依用户的个别需求将其自己备份的基础软件以邮件等方式提供给这些用户,无需将该软件置于公开互联网上,置于公众可下载的范围。
同时,网络公司还提出,其提供的是试用版软件,本身就是可免费下载的。对此,法院注意到,试用版软件与正式版软件功能是一样的,仅在使用人数上限制在25人以内,正式版软件使用人数更多。可见,是试用版还是正式版并不会影响该软件的完整性,不会从本质上影响用户对该软件的体验,也不会影响该软件权利人自身应得的商业利益。因此,法院还是认定网络公司的行为构成侵权。
实质
贴牌软件实际上是一种委托开发的软件,由委托人和受托人通过合同方式约定权利归属、权利人标注信息等。与一般委托作品存在的不同是,贴牌软件的委托人通常是软件销售者,软件相关权利信息也会标注为委托人,实际受托人开发软件,通过委托人销售软件后与其分成获利。
贴牌软件所涉及的著作权纠纷在以下两个方面尤为突出,一是软件上的署名无法真实反映著作权人,二是侵权与否依赖于贴牌合作关系的存续。
著作权法的基本原则是,除非有相反证据,作品权利人是通过作品上的署名来确认的。但是,贴牌软件的开发者与销售者一旦发生争议,仅从软件本身的标注或署名往往无法明晰权利人。如该案中,网络公司表示,其网站上出现的TurboMail企业邮件服务器软件都标注了网络公司的商标,是其与陈某合作期间的试用版软件。在这种情况下,既然双方都认可是贴牌软件,在认定权利人时,必不可少需要审查双方贴牌合作当时所订立的合同。如该案双方约定软件著作权仍由开发者陈某保留。若是双方合同没有对软件著作权归属进行约定,按照《著作权法》的规定,软件著作权还由受托人,通常也就是开发者享有。
一般情况下,未经许可向用户提供他人软件下载属于侵权行为。如果供人下载的软件为贴牌软件,且软件提供方与提出侵权质疑方为贴牌软件合作双方,则是否发生侵权行为,毫无疑问需审查双方合同约定及合同存续情况。
针对软交换中的网络安全攻击,提出相关的安全机制,保障软交换网络的安全运行[2]。分析如:
(1)网络保密:为防止软交换中网络资源的破坏,采用安全加密机制,通过明文、密文的相互转化,加密软交换中的网络资源,即使非法用户窃取到软交换中的网络资源,也不能获取资源信息,而且防止非法用户的恶意坚挺,达到优质的保密标准;
(2)完整性控制:借助VPN技术,阻止非法用户的修改行为,保障软交换传输的安全性,在完整性控制中实行数字签名或检测技术,避免软交换内网络资源受到破坏;
(3)认证技术:有利于软交换中的相互认证,在认证的状态下完成软交换通讯,保障软交换的双方可以准确识别对方信息,确保电信网络用户的合法性,最主要的是利用认证技术维护软交换网络的权限,强化网络安全的防攻击能力;
(4)访问限制:对软交换中的网络实行授权体制,依照授权权限分配网络资源,禁止授权以外的用户访问软交换网络,实行高级别的安全防护。
二、软交换网络安全的系统方案
结合软交换网络安全的基本状态,设计强化网络安全的系统方案,大范围的保护软交换网络,进而维护下一代网络运行的稳定。
1、分离组网
分离组网是指利用高安全级别的网络组成核心控制网,在TG、AG的连接下达到安全传送的标准。核心控制网需要在分离的状态下进行安全保护,采取公用IP对软交换中的用户进行保护,确保软交换中的分离组网系统方案能够落实安全机制,引入入侵防护的方法,提高软交换网络安全的水平。
2、组网
软交换在网络安全中,通过组网的方式对用户进行汇总,推行Proxy、Relay方式,处理电信用户的各种请求。因为组网直接面对用户,可以管控软交换的内部网络,所以能够保护软交换网络的核心部分,防止其受到外部攻击的影响,进而降低了软交换中的网络风险。
3、安全组网
安全组网系统方案的思路是加强软交换设备的保护利用,形成加密状态的通道,维护需求安全并保障软交网络的容量。安全组网能够隔离软交换中的通信设备,降低了软交换中网络的攻击性,提高软交换网络的可靠性,还能优化软交换网络资源的应用,保护用户的网络安全。
三、结束语
【关键词】 软交换 网络安全 下一代网络
网络发展的目的是为用户提供多样化的服务,满足用户在网络方面的需求,而下一代网络正是通信网络的发展方向,软交换是下一代网络的关键,辅助实现了多项通信业务。软交换应用的过程中,需严谨控制网络安全,规避电信网络内潜在的安全风险,优化软交换运行的网络环境,改善软交换在下一代网络中的应用状态。
一、软交换中的网络安全
按照软交换在下一代网络中的应用,可以将软交换的网络安全划分为三个领域,即:用户、网络和业务,其中网络安全是软交换的重点,本文主要针对网络安全中的攻击进行研究,同时提出相关的安全机制,保护软交换中的网络安全。
1.1 网络安全攻击
软交换中的网络安全,按照攻击属性分类,大致可以分为四类…。分析如:(1)网络中断:软交换中的网络资源受到破坏,网络中形成了攻击性的行为,导致网络突然中断,终止软交换的具体服务,网络中断能够消耗软交换中的系统资源,直接降低了软交换的运行质量,出现了严重的破坏;(2)网络修改:此类网络攻击破坏具有非常大的攻击性,主要发生在资源窃取的过程中,非法用户自行修改软交换的资源信息,破坏软交换原有的系统结构,既可以通过直接修改的方式进行攻击,也能通过数据传输的方式进行,不利于软交换资源的有效维护;(3)网络截取:利用网络攻击的行为截取部分访问数据,以便非法获得访问权,网络截取在网络安全攻击中的频率较高,通过特定的技术手段就能截取网络信息;(4)网络捏造:向软交换网络中植入虚假的信息,同样属于主动攻击的范畴,攻击者捏造授权身份并连接到电信网络,随意攻击真实的数据信息。
1.2 网络安全机制
针对软交换中的网络安全攻击,提出相关的安全机制,保障软交换网络的安全运行。分析如:(1)网络保密:为防止软交换中网络资源的破坏,采用安全加密机制,通过明文、密文的相互转化,加密软交换中的网络资源,即使非法用户窃取到软交换中的网络资源,也不能获取资源信息,而且防止非法用户的恶意坚挺,达到优质的保密标准;(2)完整性控制:借助VPN技术,阻止非法用户的修改行为,保障软交换传输的安全性,在完整性控制中实行数字签名或检测技术,避免软交换内网络资源受到破坏;(3)认证技术:有利于软交换中的相互认证,在认证的状态下完成软交换通讯,保障软交换的双方可以准确识别对方信息,确保电信网络片j户的合法性,最主要的是利用认证技术维护软交换网络的权限,强化网络安全的防攻击能力;(4)访问限制:对软交换中的网络实行授权体制,依照授权权限分配网络资源,禁止授权以外的用户访问软交换网络,实行高级别的安全防护
二、软交换网络安全的系统方案
结合软交换网络安全的基本状态,设计强化网络安令的系统方案,大范围的保护软交换网络,进而维护下一代网络运行的稳定。
1、分离组网。分离组网是指利用高安全级别的网络组成核心控制网,在TG、AG的连接下达到安全传送的标准。核心控制网需要在分离的状态下进行安全保护,采取公用IP对软交换中的用户进行保护,确保软交换中的分离组网系统方案能够落实安全机制,引入入侵防护的方法,提高软交换网络安全的水平。
2、组网。软交换在网络安全中,通过组网的方式对用户进行汇总,推行Proxy、Relay方式,处理电信用户的各种请求。因为组网直接面对用户,可以管控软交换的内部网络,所以能够保护软交换网络的核心部分,防止其受到外部攻击的影响,进而降低了软交换中的网络风险。
3、安全组网。安全组网系统方案的思路是加强软交换设备的保护利用,形成加密状态的通道,维护需求安全并保障软交网络的容量。安全组网能够隔离软交换中的通信没备,降低了软交换中网络的攻击性,提高软交换网络的可靠性,还能优化软交换网络资源的应用,保护用户的网络安全。
摘要:软交换作为下一代网络中的语音业务、数据业务和视频业务呼叫、控制、业务提供的核心技术,其发展相当迅猛。各运营商在组建以软交换为核心的下一代网络时,要考虑到与现有网络和未来网络的互通问题。
关键词:软交换技术 互联互通 技术
软交换作为下一代网络中的语音业务、数据业务和视频业务呼叫、控制、业务提供的核心技术,其发展相当迅猛。但是PSTN(公众电话交换网)在技术、业务和价格上仍然有很强的优势。就目前通信现状来看,PSTN还未具备向软交换网络整体演进的条件,这两种网络将在很长一段时间内共存。因此,各运营商在组建以软交换为核心的下一代网络时,要考虑到与现有网络和未来网络的互通问题。
一、本地和长途业务的划分
传统的电路交换网,不管是固定网还是移动网,把本地网内的呼叫称为本地呼叫,按本地电路业务进行计费;经过长途网的呼叫称为长途呼叫,费用要包括本地电路业务的费用和长途电路网的费用。
对于软交换的组网,由于目前还没有标准规定未来软交换组网的网络架构,因此软交换组网的网络架构需要尽快确定,特别是软交换的组网采用了IP作为承载网,是否还需要类似PSTN的本地网和长途网的概念,是否需要还是就没有本地和长途的区分(除国际呼叫之外,所有的电话呼叫只有一种费率)都没有确定。这个问题需要电信管制部门和运营商一起来确定。
从服务的角度看,用户并不关心网络采用的是何种技术,如果电信运营商能够使用软交换组网的技术和保证质量的承载网,提供与电路交换网一样服务质量,还是可以把网络按照PSTN一样划为本地网和长途网的。从目前软交换提供的业务分析,还没有哪一种业务可以称为killer业务。因此,在软交换发展的初期,基本话音还是运营商争夺的焦点,而长途业务是获得利润的重中之重。
二、移动性
接入网络的终端大致可分为两类:一类是普通电话机通过接入网关或用户网关接入到网络,这种用户的用户线接口是网关提供的Z口;另一类是智能终端(例如SIP终端、H.323终端),它可以直接接入网络,这种用户的用户线接口是以太网口。如果将来的计费都是基于用户口,即类似PSTN的计费,用户线接口与用户捆绑进行计费,这种方式实现简单,但是不安全,可能出现偷打盗打电话的现象,此外作为未来的网络,也不能够提供用户的移动性。
软交换组网支持SIP终端用户的移动性,目前的实现方式是SIP终端用户离开自己的归属地游牧(有别于移动网的漫游,移动网的用户在接入网络后仍然可以移动,而固定网的用户在接入网络后就不能移动)到非归属地的网络之后,接入网络进行注册和认证,注册和认证通过后就可以获得网络的服务。但是目前的注册和认证并不经过游牧地的软交换,而是旁路游牧地的软交换,直接从终端到归属地的软交换进行注册和认证,因此呼叫建立的过程中也不经过游牧地的软交换。这种业务的提供方式的缺陷在于,游牧地向用户提供了接入服务和承载服务,但是由于这种缺陷使游牧地的运营商无法向用户归属地的运营商进行结算,得不到其应得的收费。这种移动性业务要得到发展,就应该按照移动网的漫游业务一样,用户接入注册到游牧地的软交换,认证去归属地进行认证,呼叫建立时,呼叫就应该通过游牧地的软交换,这样游牧地的软交换就可以产生CDR,游牧地的计费中心使用CDR进行计费。
三、编号
信息产业部于2000年11月了“YD/T 1088-2000 IP电话业务的编号”,本标准对于IP电话业务中以下3种情况的编号要求进行了规定:(1)基于IP网络的用户呼叫PSTN/ISDN/移动用户;(2)PSTN/ISDN/移动用户呼叫基于IP网络的用户;(3)PSTN/ISDN/移动用户之间进行通信,使用基于IP的网络在呼叫所涉及的用户之间进行连接。其中,(2)规定了IP用户采用网号的方式。但是这个标准当时并不是为软交换网的用户专门制定的,而且软交换支持的用户种类比较多,业务也非常丰富,将来可能从编号上需要区分开不同种类的用户。因此,软交换的编号是在运营商商用软交换技术商用之前需要信息产业部亟待规定的问题。
四、软交换的互联互通
软交换作为下一代网的控制核心,不可能是孤岛式地通过PSTN相互连接起来,而必须实现软交换之间的互联互通。目前软交换之间的互联互通协议主要是会话初始协议(SIP)和与承载无关的呼叫控制(BICC)。BICC是基于N-ISUP的信令协议,在不影响现有网的接口和端到端业务的情况下,在宽带网上支持窄带ISDN业务,与现有网络和携载语音消息的任何系统完全兼容。
SIP在软交换控制的网络中还是得到了很快的应用,甚至有人认为将来软交换之间采用的控制协议就是SIP。软交换发展的初期,出于能够提供相对于电路中继价格便宜的长途中继,使用了软交换控制IP分组电路代替电路交换网的长途中继。但是对于运营商而言,软交换的诱惑力,并不是长途IP电话的价格便宜,而是利用软交换特有的技术,能够向用户提供新的服务。多媒体业务是未来软交换能够提供的具有竞争力的业务,而SIP终端就是提供多媒体业务的一种终端,因此软交换要支持SIP终端,就需要支持SIP协议。如果软交换之间采用BICC,那么软交换网在支持传统的语音业务时,软交换就使用BICC,支持SIP终端的多媒体业务时就使用SIP。这样在软交换控制的网络中就会同时有两张网:BICC和SIP。对于运营商而言,要同时管理维护性质不同的两张网非常困难,也会遇到许多预想不到的问题,而采用一种核心控制协议应该是不错的选择,那就是SIP。
五、视频业务和终端
[关键词]软交换;网络安全;安全区
中图分类号:O152.2 文献标识码:A 文章编号:1009-914X(2013)33-0104-01
软交换网络一个很大的优势就是具有开放性的平台和接口,这样可以方便的进行业务扩展,这样各种第三方的业务以及网络都可以方便的和电信网络实现无缝连接。这就导致电信网络的规模以及业务类型十分的反正,传统互联网所面临的病毒、黑客等危险也随之蔓延到电信网络上,从而给运营商的服务造成巨大的威胁。因此,对于软交换来说,能否做好安全保障工作是一个非常重要的环节。随着软交换技术的使用以及推广,这就导致软交换面临着传统的网络安全问题。同时,软交换网络和传统网络相比还有自身的一些特点,因此其安全问题也具有自身的一些特点。在进行软交换安全防护的过程当中一般都是从软交换设备本身以及网络这两个大的方面为切入点来进行的。首先应该确保软交换的相关设备自身在设置上的安全,并且做好相应的硬件和软件防护工作,从而使软交换设备自身具有一定的安全防护能力。而对于网络的安全,则是对于软交换的承载网络安全采取相应的措施,建立健全完善的保护机制,防止通过网络对软交换设备造成的攻击。
在软交换网络建设过程当中一定要同时抓好软交换设备安全以及网络安全,两者相辅相成,缺一不可。运营商首先要在思想上引起足够的重视,做好相应的软交换安全保障工作。
1 软交换面临的主要安全隐患
软交换所面临的安全问题十分多样,种类层出不穷,但是大体可以分为以下几个方面:第一,网络安全,主要是软交换网络自身的安全;第二,终端安全,终端主要是指用户侧的终端设备。当前对于用户终端的病毒以及攻击十分常见,由于软交换网络无法对其进行有效的防范,因此往往利用终端对网络发起攻击,进而对软交换的设备产生影响;第三,设备安全,主要是指各种软交换的承载设备自身的安全,这种安全隐患大多都是由于设备运行不规范或者是外部对其进行攻击。
2 软交换安全服务措施
由于软交换所面临的安全隐患十分繁多,因此必须做好相应的防范工作,为用户提供安全的服务,可以通过以下几个方面的措施来实现。
2.1 保密性
应该采取相应的手段对软交换网络中传递的数据进行相应的加密,从而防止没有经过授权的用户非法截留数据。这样讲数据以加密的形式传递,即使数据被截留,那么也没法进行解读。除此之外,应该做好相应的数据传输端口的防护工作,防止非法对相应的端口进行监听,保护数据的安全性。
2.2 认证
建立严密的身份认证程序,防止用户合法身份被盗用,而对资源进行窃取。对于数据传输之前双方的身份以及数据来源进行认证,从而保证通信双方都具有相应的合法身份和对应的权限。将业务和实体身份进行捆绑,防止身份被盗用或者是伪装欺骗。
2.3 完整性
为了防止未经授权的用户对数据继续非法修改,可以利用VPN技术进行通信。为了防止数据受到损坏,可以积极采用数字签名以及其它的完整性检测技术地数据完整性进行检测。
2.4 访问控制
通过完善的授权机制对于网络中的关键部分提供保护,对于相应的访问者进行等级划分,具备相应的等级才能够访问相应的资源,防止对于没有权限的资源进行使用。建立完善的数据库,用于存储安全认证信息,用户进行认证时需要将信息进行严格的比对。对于认证信息数据库也应该设立较高的等级,防止数据库被非法篡改。
2.5 安全协议
目前应用较多的是IPSEC,SSL/TLS。至于MPLS, 严格地说它并不是一种安全协议, 其主要用途是兼容和并存目前各种IP路由和ATM交换技术, 提供一种更加具有弹性和扩充性的、效率更高的交换路由技术, 它对网络安全贡献应主要在于流量方面。
3 软交换安全方案
软交换网络安全的实现, 有多种方案可供选择,下面介绍的IPSEC(ESP遂道模式)+SSL/TLS+认证服务器/策略服务器+FW/NAT是一种可运营解决方案。IPSec 体系提供标准的、安全的、普遍的机制。可以保护主机之间、网关之间和主机与网关之间的数据包安全。由于涉及的算法为标准算法,可以保证互通性,并且可以提供嵌套安全服务。另外对IPV6 而言它是一个强制标准,是今后发展的一个趋势。
IPSec协议主要由AH (认证头)协议, ESP(封装安全载荷)协议和负责密钥管理的IKE(因特网密钥交换) 协议三个协议组成。认证头(AH)协议对在媒体网关/终端设备和软交换设备之间传送的消息提供数据源认证,无连接完整性保护和防重放攻击保护。ESP协议除了提供数据完整性校验、身份认证和防重放保护外, 同时提供加密。ESP 的加密和认证是可选的, 要求支持这两种算法中的至少一种算法, 但不能同时置为空。根据要求, ESP 协议必须支持下列算法: 第一,使用CBC 模式的DES算法。第二,使用MD5的HMAC算法。第三,使用SHA-1的HMAC算法。第四,空认证算法。第五,空加密算法。数据完整性可以通过校验码(MD5) 来保证;数据身份认证通过在待认证数据中加入一个共享密钥来实现;报头中的序列号可以防止重放攻击。IKE协议主要在通信双方建立连接时规定使用的IPSec协议类型、加密算法、加密和认证密钥等属性,并负责维护。IKE采用自动模式进行管理, IKE的实现可支持协商虚拟专业网(VPN),也可从用于在事先并不知道的远程访问接入方式。
认证系统和策略系统对商用软交换系统而言是必不可少的。它们在管理层面上实施访问控制、信息验证、信息保密性等措施,可以为网络提供安全保证。同时, 认证服务可以提计费的准确性,保证网络的商业运营。
防火墙/NAT 是保证网络安全必不可少的一部分。防火墙种类繁多,它在较交换中的窍越问题可以通过两种方法实现:一是使用TCP;二是用短于关闭墙口时长为周期,不断发送消息,维持端口开启
4 结束语
基于软交换的NGN 网络所存在的安全问题一直以来受到大家的关注。而作为数据网络上的一种新兴的应用,以IP作为承载媒体的软交换所面临的一些安全隐患, 实际是目前IP 网络上存在的若干问题的延续。只有很好地解决了网络的安全问题,同时配合产品本身的一些安全认证机制,软交换才能够在新的电信网中持久稳定的发挥作用,并成为解决话音、数据、视频多媒体通信需求的有效解决方法, 并最终完成“三网合一”。
网络安全工作是一个以管理为主的系统工程, 靠的是“三分技术,七分管理”, 因此必须制定一系列的安全管理制度、安全评估和风险处置手段、应急预案等, 这些措施应覆盖网络安全的各个方面,达到能够解决的安全问题及时解决,可以减轻的安全问题进行加固,不能解决的问题编制应急预案减少安全威胁。与此同时,需要强有力的管理来保障这些制度和手段落到实处。
参考文献
关键词:软交换;网络安全;安全区
中图分类号:F626.3 文献标识码:A
软交换网络一个很大的优势就是具有开放性的平台和接口,这样可以方便的进行业务扩展,这样各种第三方的业务以及网络都可以方便的和电信网络实现无缝连接。这就导致电信网络的规模以及业务类型十分的反正,传统互联网所面临的病毒、黑客等危险也随之蔓延到电信网络上,从而给运营商的服务造成巨大的威胁。因此,对于软交换来说,能否做好安全保障工作是一个非常重要的环节。随着软交换技术的使用以及推广,这就导致软交换面临着传统的网络安全问题。同时,软交换网络和传统网络相比还有自身的一些特点,因此其安全问题也具有自身的一些特点。在进行软交换安全防护的过程当中一般都是从软交换设备本身以及网络这两个大的方面为切入点来进行的。首先应该确保软交换的相关设备自身在设置上的安全,并且做好相应的硬件和软件防护工作,从而使软交换设备自身具有一定的安全防护能力。而对于网络的安全,则是对于软交换的承载网络安全采取相应的措施,建立健全完善的保护机制,防止通过网络对软交换设备造成的攻击。
在软交换网络建设过程当中一定要同时抓好软交换设备安全以及网络安全,两者相辅相成,缺一不可。运营商首先要在思想上引起足够的重视,做好相应的软交换安全保障工作。
1软交换面临的主要安全隐患
软交换所面临的安全问题十分多样,种类层出不穷,但是大体可以分为以下几个方面:第一,网络安全,主要是软交换网络自身的安全;第二,终端安全,终端主要是指用户侧的终端设备。当前对于用户终端的病毒以及攻击十分常见,由于软交换网络无法对其进行有效的防范,因此往往利用终端对网络发起攻击,进而对软交换的设备产生影响;第三,设备安全,主要是指各种软交换的承载设备自身的安全,这种安全隐患大多都是由于设备运行不规范或者是外部对其进行攻击。
2软交换安全服务措施
由于软交换所面临的安全隐患十分繁多,因此必须做好相应的防范工作,为用户提供安全的服务,可以通过以下几个方面的措施来实现。
2.1保密性。应该采取相应的手段对软交换网络中传递的数据进行相应的加密,从而防止没有经过授权的用户非法截留数据。这样讲数据以加密的形式传递,即使数据被截留,那么也没法进行解读。除此之外,应该做好相应的数据传输端口的防护工作,防止非法对相应的端口进行监听,保护数据的安全性。
2.2认证。建立严密的身份认证程序,防止用户合法身份被盗用,而对资源进行窃取。对于数据传输之前双方的身份以及数据来源进行认证,从而保证通信双方都具有相应的合法身份和对应的权限。将业务和实体身份进行捆绑,防止身份被盗用或者是伪装欺骗。
2.3完整性。为了防止未经授权的用户对数据继续非法修改,可以利用VPN技术进行通信。为了防止数据受到损坏,可以积极采用数字签名以及其它的完整性检测技术地数据完整性进行检测。
2.4 访问控制。通过完善的授权机制对于网络中的关键部分提供保护,对于相应的访问者进行等级划分,具备相应的等级才能够访问相应的资源,防止对于没有权限的资源进行使用。建立完善的数据库,用于存储安全认证信息,用户进行认证时需要将信息进行严格的比对。对于认证信息数据库也应该设立较高的等级,防止数据库被非法篡改。
2.5安全协议。目前应用较多的是IPSEC,SSL/TLS。至于MPLS, 严格地说它并不是一种安全协议, 其主要用途是兼容和并存目前各种IP路由和ATM交换技术, 提供一种更加具有弹性和扩充性的、效率更高的交换路由技术, 它对网络安全贡献应主要在于流量方面。
3软交换安全方案
软交换网络安全的实现, 有多种方案可供选择,下面介绍的IPSEC(ESP遂道模式)+SSL/TLS+认证服务器/策略服务器+FW/NAT是一种可运营解决方案。IPSec 体系提供标准的、安全的、普遍的机制。可以保护主机之间、网关之间和主机与网关之间的数据包安全。由于涉及的算法为标准算法,可以保证互通性,并且可以提供嵌套安全服务。另外对IPV6 而言它是一个强制标准,是今后发展的一个趋势。
IPSec协议主要由AH (认证头)协议, ESP(封装安全载荷)协议和负责密钥管理的IKE(因特网密钥交换) 协议三个协议组成。认证头(AH)协议对在媒体网关/终端设备和软交换设备之间传送的消息提供数据源认证,无连接完整性保护和防重放攻击保护。ESP协议除了提供数据完整性校验、身份认证和防重放保护外, 同时提供加密。ESP 的加密和认证是可选的, 要求支持这两种算法中的至少一种算法, 但不能同时置为空。根据要求, ESP 协议必须支持下列算法: 第一,使用CBC 模式的DES算法。第二,使用MD5的HMAC算法。第三,使用SHA-1的HMAC算法。第四,空认证算法。第五,空加密算法。数据完整性可以通过校验码(MD5) 来保证;数据身份认证通过在待认证数据中加入一个共享密钥来实现;报头中的序列号可以防止重放攻击。IKE协议主要在通信双方建立连接时规定使用的IPSec协议类型、加密算法、加密和认证密钥等属性,并负责维护。IKE采用自动模式进行管理, IKE的实现可支持协商虚拟专业网(VPN),也可从用于在事先并不知道的远程访问接入方式。
认证系统和策略系统对商用软交换系统而言是必不可少的。它们在管理层面上实施访问控制、信息验证、信息保密性等措施,可以为网络提供安全保证。同时, 认证服务可以提计费的准确性,保证网络的商业运营。
防火墙/NAT 是保证网络安全必不可少的一部分。防火墙种类繁多,它在较交换中的窍越问题可以通过两种方法实现:一是使用TCP;二是用短于关闭墙口时长为周期,不断发送消息,维持端口开启
4结束语
基于软交换的NGN 网络所存在的安全问题一直以来受到大家的关注。而作为数据网络上的一种新兴的应用,以IP作为承载媒体的软交换所面临的一些安全隐患, 实际是目前IP 网络上存在的若干问题的延续。只有很好地解决了网络的安全问题,同时配合产品本身的一些安全认证机制,软交换才能够在新的电信网中持久稳定的发挥作用,并成为解决话音、数据、视频多媒体通信需求的有效解决方法, 并最终完成“三网合一”。
网络安全工作是一个以管理为主的系统工程, 靠的是“三分技术,七分管理”, 因此必须制定一系列的安全管理制度、安全评估和风险处置手段、应急预案等, 这些措施应覆盖网络安全的各个方面,达到能够解决的安全问题及时解决,可以减轻的安全问题进行加固,不能解决的问题编制应急预案减少安全威胁。与此同时,需要强有力的管理来保障这些制度和手段落到实处。
参考文献:
[1] 徐鹏,廖建新,吴乃星,马旭涛.基于软交换的集群媒体服务器的安全问题及其解决方案[J].计算机应用研究,2006(6).
关键词:网络;软交换;安全机制;技术分析
中图分类号:TN915 文献标识码:A 文章编号:1009-2374(2013)24-0052-02
在新形势下,通信网络的发展需要跟上时代脚步,软交换网络的发展越来越重要。软交换网络的发展不仅给用户带来了更好的服务,同时也得到了广大运营商的一致好评,目前,它正处于一个不断进步的阶段,相信随着我国对相关安全机制问题的探究,一定会使软交换体系安全稳定的运行,从而使软交换网络尽快步入成熟阶段。下面我们首先来了解一下软交换的定义及功能,然后再来重点探讨软交换网络的安全问题及解决措施。
1 软交换网络的概括
1.1 软交换的定义
软交换简单来说是一种交换技术,它与传统的交换技术有所差异,它是采用全新形式的IP交换。从应用层面来说,它是一个功能实体,是下一代网络的核心,为下一代网络提供了呼叫控制、连接控制等主要功能。
1.2 软交换的主要功能
软交换体系包括控制设备、业务平台、信令网关等设备,软交换应用其设备实现了多种功能,主要功能有以下六方面:提供呼叫控制及连接控制功能;进行网关、带宽及资源管理功能;相关信息的记录功能;传送话单,实施计费的功能;预防非法接入,实施认证、授权的功能;提高话音质量,对话音具有处理功能。
2 软交换网络存在的安全问题
2.1 网络安全问题
网络安全问题,主要指的是软交换网络中主要设备的安全问题,包括控制设备、信令网关、应用服务器等。在软交换网络中,网络设备功能有所提高,承担的业务相对较多,这就给网络设备的安全性带来了新的挑战。在软交换网络设备之中,软交换设备尤为关键,它掌管着系统的控制功能、呼叫功能、处理功能等,有些网络设备是采用板卡方式进行设计的,这种方式有一定的局限性,在业务量增加的形势下容易发生故障,一旦软交换设备发生故障,会严重影响整个网络体系,从而导致不必要的损失,因此我们必须对软交换设备的安全问题给予高度重视,积极寻求有效的解决措施。另外,软交换网络采用的是IP交换,由于IP协议自身的性质给网络安全带来了一定的威胁,对IP地址问题我们要引起重视。
2.2 信息安全问题
信息安全问题既包括传输信息的安全,又包括传输协议的安全性,在信息传输过程中,倘若安全防范措施不到位,一些不合法的用户采取欺骗手段,在得知合法用户真实信息后进行连接,就会导致网络信息泄露给非法用户,信息被窃取后被其利用或对真实信息进行更改,从而严重影响了合法用户的个人利益。传输协议的安全主要包括媒体网关控制协议、SIP协议、H.323音视频协议等协议的安全性,如果协议的安全存在问题,就会使一些非法人员利用其进行合法呼叫,从而威胁着合法用户的切身利益。
2.3 终端设备的安全问题
在软交换网络中,有许多终端设备,这些终端设备大多放置在用户侧,这就容易被用户进行非法访问,从而未经授权享受相关服务,甚至会向网络发动攻击,威胁着网络的安全性,这就需要我们采取相关措施有效地解决该问题。
3 软交换网络的安全机制
3.1 加强网络安全的措施
要加强软交换网络的安全性,一定要做好网络设备的安全机制建设,使其达到相关业务要求。为了避免软交换设备发生不必要的损失,我们可以采取双归属或多归属的容灾措施,在实施过程中,我们不仅要解决相关的连接问题,还要考虑好综合接入设备的认证问题。在连接问题上,我们需要IP网关、综合接入设备等具备检测机制,能够检测到与软交换的连接性,只有这样才能及时发现连接丢失现象。在认证问题上,我们需要建设有效的备份机制,在发现相关设备向软交换设备注册未成功后,需要在备份环境下向软交换设备实施注册,从而避免故障的发生,确保软交换设备的正常运行。
要解决IP地址问题,一定要确保核心设备的安全性,不能将其置于开放IP网络中,应对其采取不完全私有IP地址,通过设置防火墙来实现数据包过滤,将一些不符合规定的数据包隔离在外,从而加强网络核心设备的安全性。对于骨干网,可以实施MPLS-VPN,利用MPLS技术构建IP专网,将公众网和专用网的优势进行缔结,隔离不同用户之间的信息,进一步增强了网络的安全性。
3.2 加强信息安全的措施
网络信息的安全性十分重要,它必须具备可靠性、保密性、完整性、真实性等特点,在网络信息的传输过程中,我们一定要做好信息防护措施,防止信息窃取、信息修改等恶意行为。为了保证数据传输过程中的安全性,我们要对传输的数据信息进行加密,从而建立有效的加密机制。在进行数据加密时,可以采用对称密钥和不对称密钥这两种措施,其中对称密钥也称作专用密钥,它要求发送方和接收方采用相同的密码来进行解密,这种加密方式最大的优势是效率高、易实现,但是也存在着密钥分发、管理方面的问题。非对称密钥也称作公开密钥,它包括公钥和私钥,数据信息加密时可采用公钥,接收方则利用私钥进行解密,这解决了密钥分发、管理的难题,具有较高的安全性。另外,在双方通讯前,为了防止网络攻击,需要双方进行认证服务,确认双方的真实身份,从而保证数据的安全性,为此我们可以采用实体认证、数据源认证等有效方式。
在传输协议安全问题中,虽然软交换网络中的传输协议各有不同,但也有其共同点,都具有开放性,在开放性的环境中,协议的安全性就越需要关注。为了防止协议被非法用户利用,我们可以采取IPSec协议体系对协议的传输进行有效的保护。IPSec协议体系也就是IP安全体系,它可以有效地保护数据信息的安全性,这一体系主要包括认证头协议、封装安全载荷协议及因特网密钥交换协议三部分。认证头协议主要提供IP认证功能,可以对信息完整性校验、实施身份认证等。而封装安全载荷协议除了具备IP认证功能外,还能够提供加密功能。因特网密钥交换协议主要负责协议体系类型、加密算法等有关规定及维护。整个IPSec协议体系实施传输模式和隧道模式,前者对上层协议有一定的保护功能,后者对整个IP包具有保护功能。
3.3 加强终端设备安全的措施
为了提高软交换网络的安全性,我们必须解决终端设备的安全问题,对相关终端设备进行有效的认证。在软交换网络中,终端设备主要包括IAD设备、SIP设备、H.323设备等,下面我们重点来讲一下IAD终端设备的认证问题,IAD设备常用的认证方式有以下两种:在采用静态IP地址配置时,我们根据IAD发送的信息与数据库中的信息进行对比,从而来判断设备是否合法;在IAD设备发来的信息中提取MAC地址信息,使其与数据信息进行比较。
4 结语
软交换网络是通信网络发展的必然产物,它给通信网络带来新的生命力,给商家和用户带来了更多的收益。为了使软交换网络完善起来,我们需要不断提高软交换网络的安全性,根据相关安全问题进行分析,寻求有效的解决途径,不断加强网络安全机制的建设,相信在不久的将来,软交换网络一定会发展成熟完善。
参考文献
[1] 李炳林,卜宪德,郭云飞.电力软交换系统安全问题及策略研究[J].计算机科学,2012.
[2] 姜尧.软交换网络攻击效果评估技术研究[D].北京邮电大学,2011.
[3] 周敏.电力公司软交换网络接入及安全策略的研究[D].华北电力大学,2010.
[4] 陈云坤.软交换中网络安全的研究[D].贵州大学,2008.
