軟交換設備還是比較常用的，于是我研究了一下軟交換設備的安全問題，在這里拿出來和大家分享一下，希望對大家有用。對于新建的專用網絡，可以進行帶寬規劃，配合以SS的呼叫數控制功能可實現網絡呼叫擁塞控制功能。

首先預先規劃好兩地之間軟交換設備業務可用的數據總帶寬;根據總帶寬、業務類型計算出可支持業務的同時連接總數S;當呼叫請求來到SS，SS首先判斷S當前是否為0，若S=0，則拒絕此次新呼叫，若S>0則繼續處理;當SS完成一個業務接續則S=S-1。若兩地之間數據帶寬發生變化，則應通知SS進行連接總數S的修正。

關于SS可靠性

對于承擔窄帶域呼叫控制功能的SS來說，采用主備用雙機工作方式。對于所控制用戶的用戶數據將集中存放在HLR中，路由數據集中存放在RS中，主機及備用機激活后都可訪問這部分數據，至于SS所使用的網關資源相關數據則必須預先在備用機中保留備份。該種方式是采用資源閑置冗余的方式獲得SS的可靠性。

對于承擔寬帶域呼叫控制功能的SS來說，可以采用前述的主備用雙機工作方式，但處于更高的設備使用效率考慮，還可以采用多機負荷分擔的工作方式。每個BAC負責n個SS設備(如同一省內采用SS進行寬帶域業務的負荷分擔處理)的控制信息分發，當其收到SIP用戶發來的呼叫請求后，會根據預先設定的話務分配原則(如輪詢等)，每個SS具有自己的IP地址，但只對BAC公布。這些SS的功能完全相同，處理BAC送來的呼叫請求，查詢統一的HLR獲得用戶業務屬性信息及用戶狀態、查詢RS獲得用戶IP地址進行路由或下一跳SS或業務平臺，以實現業務接續及控制。當某一SS出現故障將影響本次呼叫處理，下一次序新的呼叫請求將會由其他的SS進行處理，網絡業務處理能力將損失1/n，但不用空置部分SS資源。BAC實現至SS的呼叫控制信息動態分發功能，具有協議解析功能，能夠根據應用協議的參數識別哪些消息屬于同一呼叫，將其分發至同一SS進行呼叫處理。BAC自身的可靠性將通過多機備份得到保證。

對于部署在專網內的信令網關、中繼網關、大容量用戶綜合接入網關、重要客戶使用的IAD/小容量用戶綜合接入網關等設備，應支持在本機上設置備用SS地址的功能，當主用SS故障退出服務后應能夠將后續新的呼叫請求送到備用SS進行處理。

對于部署在公共Internet之上的各類SIP用戶及IAD終端，在用戶側只寫入需訪問的軟交換設備或各類管理及應用服務器(如IAD網管系統、文件服務器等)的域名而非IP地址，通過軟交換網絡的域名解析器DNS解析后返回相應的BAC設備的地址。BAC收到呼叫請求后將首先判別用戶類型(采用協議類型或是否帶有主機名進行判別)，對于IAD用戶的呼叫請求，BAC將根據預設值將呼叫指向主用SS;對于SIP用戶的呼叫請求，BAC將根據預設原則(如輪詢等)將呼叫均勻指向一組SS中的一個。

安全問題的解決

首先，軟交換、中繼媒體網關、綜合接入媒體網關、媒體服務器等設備基于專用網絡部署，該網絡可以是新建的專用網或采用MPLSVPN等技術的虛擬專用網，能通過各種手段來實現軟交換設備間的相互通信及軟交換設備和非軟交換設備間的消息隔離，大量的軟交換散戶及其他非軟交換網絡的設備難以直接訪問到這些軟交換網絡設備，大大減小了受互聯網用戶攻擊的可能。由于軟交換專用網絡中的設備可信任度高，通過信令協議保障(如認證)、設備管理等手段，基本可以避免專用網絡內用戶攻擊。

對于非重要客戶使用的IAD及SIP軟、硬終端等設備，由于設備數量多、分布廣，將通過各種接入方式快速收斂于BAC設備，通過BAC設備實現與專用網絡中其他設備的互通，此時BAC提供信令及媒體的代理功能及安全檢測及隔離功能。由于IAD及SIP終端分布于用戶側，對軟交換核心設備的安全存在極大的威脅，因此在本方案中，運營商對于IAD或SIP終端應采用用戶零配置方案，運營商應負責所有網絡及用戶數據的配置及后續的更新及修改，用戶無法自行修改數據。在用戶側只寫入需訪問的軟交換設備或各類管理及應用服務器(如IAD網管系統、文件服務器等)的域名而非IP地址，避免SS暴露IP地址易受到非法攻擊。在信令協議中啟動加密和鑒權機制，SS定期檢測用戶身份合法性，保證SS對網關及用戶的控制權，防止非法用戶對業務的盜用或干擾。

通過域名解析機制及BAC設備的信令及媒體的全代理功能，對基于公共Internet接入的用戶屏蔽軟交換、中繼媒體網關、綜合接入媒體網關、媒體服務器等設備的地址，保護重要的軟交換網絡設備。

BAC支持訪問控制列表(ACL)功能，能夠根據源、目的IP地址和端口號設置訪問控制規則進行報文過濾;能夠針對特定控制協議進行包過濾，阻擋非法設備及未經允許的協議對軟交換設備的訪問;能進行簡單的應用層攻擊防護，實現部分代理服務型防火墻功能，具體包括:根據用戶注冊狀態進行消息的處理，對未注冊用戶發送的非注冊消息進行丟棄處理;對注冊鑒權失敗的用戶終端建立監視列表，當失敗的注冊嘗試達到一定的頻率則采取相應措施;設置IP地址/端口允許的正常信令消息流量值，當1分鐘內收到同一源IP和端口的消息超過該值時，將該地址/端口列入黑名單并采取相應措施。具備根據業務需要、用戶安全需求和運營需求屏蔽通信對方地址的能力。

為配合安全的軟交換網絡的實施，各設備需要進行相應的改進，如支持多個網段，可以通過提供多個分離的物理端口或在一個物理端口上支持多個VLAN的方式實現;對媒體端口進行動態開閉管理;能進行最小化端口設置;面向用戶的服務可采取由Web或Portal面對用戶，進行業務代理方式來降低風險;設備需要專門的軟/硬件平臺設計等。

QoS問題的解決

目前的IP網絡技術還不能徹底地解決QoS問題，在現有的公共IP網絡上還不能為軟交換網絡提供大規模地有QoS保障的承載服務。本方案將采用專用網絡+BAC的信令媒體全代理功能對QoS問題進行一定程度的解決。

專用網絡組網可以采用專線、專用IP網、MPLSVPN等方式，MPLSVPN方式要提供QoS保障，仍然需要全IP網絡設備的支持，而目前的IP網絡還不能全程全網地提供QoS。專線和專用IP網方式可以通過網絡流量預測和規劃，按軟交換業務需求組織網絡，由于專網專用，使用過程中容易掌握業務流量和流向的變化，可以及時調整網絡，通過與軟交換設備呼叫數控制功能結合，可以有效解決網絡擁塞控制問題。如新建專用網絡，還可以在引進網絡設備時統一考慮設備QoS功能，區分對待不同業務等級的軟交換業務，設置為某些業務實現帶寬預留。

全代理設備可以根據不同用戶、不同業務分別對信令和媒體進行QoS標記，為后續IP網絡設備的QoS處理提供幫助。在今后的QoS解決方案中，該設備還可以接受軟交換設備或其他QoS控制設備的指令，在呼叫建立階段根據用戶QoS要求和網絡QoS狀況進行不同的后續處理(如接續、拒絕、重定向、更改編碼方式等)。

防止非法業務旁路

通過在PC機上加載一定的SIP通信軟件的SIP軟終端用戶，可以通過Internet的通達性在世界各地接入運營商的軟交換系統實現通信功能，當用戶在異地使用軟終端呼叫用戶歸屬地其他用戶時，運營商只能收到本地呼叫的費用，而無法收到國際或國內長途呼叫收入。另外，某些終端軟件也可能在獲得SS返回的對端用戶地址信息，停止與SS之間的繼續交互，通過獲得的被叫地址采用其他IP電話軟件直接進行通信，使得運營商幫助其完成了用戶尋址后話務被旁路而無法獲得收益。以上問題可以通過BAC在一定程度上得到改善。對于第一個問題的做法是，終端只配軟交換域名，通過DNS解析至應去所屬的SBC;SBC將本身及用戶的IP地址送給軟交換;軟交換設備進行IP地址分析，判斷用戶的IP地址與使用的BAC的IP地址是否匹配，若相匹配則呼叫接續繼續，若不匹配則呼叫拒絕。當然該解決辦法的前提是SS已經了解IP地址與地域之間的分布對應關系。

對于第二個問題的做法是，通過BAC設備從信令和媒體上屏蔽通信對端用戶的地址，可以有效防止業務旁路，并滿足某些業務(如匿名聊天)的特殊需求，該功能建議由邊緣業務接入設備完成。

結束語

本解決方案中的重要部件BAC已完成了企業設備規范制定，包括產品的功能、性能、相關的協議擴展等，目前已在信息產業部通信標準協會申請立項。已有設備制造商意識到該設備的重要性，完成了該設備的研制。