网站首页/网络技术列表/内容

综合讲解软交换设备中的安全机制

网络技术2022-07-01阅读
网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。 当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段。

软交换设备还是比较常用的,于是我研究了一下软交换设备中的安全机制,在这里拿出来和大家分享一下,希望对大家有用。IPSec体系提供标准的、安全的、普遍的机制。可以保护主机之间、网关之间和主机与网关之间的数据包安全。由于涉及的算法为标准算法,故可以保证互通性,并且可以提供嵌套安全服务。

IPSec协议主要由AH(认证头)协议,ESP(封装安全载荷)协议和负责密钥管理的IKE(因特网密钥交换)协议三个协议组成。认证头(AH)协议对在媒体网关/终端设备和软交换设备之间传送的消息提供数据源认证,无连接完整性保护和防重放攻击保护。数据完整性可以通过校验码(MD5)来保证;数据身份认证通过在待认证数据中加入一个共享密钥来实现;报头中的序列号可以防止重放攻击。解释域(DOI)将所有的IPSec协议捆绑在一起,是IPSec安全参数的主要数据库。

IPSec支持两种运行模式:传输模式和隧道模式。传输模式为上层协议提供安全保护,保护的是IP包的有效载荷,通常该模式用于端对端的安全通信。隧道模式由于是对整个IP包提供保护,故在IP包上再加报头,从而可以加强保护,通常该模式使用在至少一端是安全网关的时候。AH协议不对IP数据报进行加密,因此不提供机密性保护。但由于AH提供数据完整性校验、身份认证和防重放保护,因此提供IP认证,也可以为上层提供保护。

ESP协议除了提供数据完整性校验、身份认证和防重放保护外,同时提供加密。ESP的加密和认证是可选的,要求支持这两种算法中的至少一种算法,但不能同时置为空。根据要求,ESP协议必须支持下列算法:

(1)使用CBC模式的DES算法
(2)使用MD5的HMAC算法
(3)使用SHA-1的HMAC算法
(4)空认证算法
(5)空加密算法

AH协议和ESP协议在使用中都涉及到密钥管理。IKE协议主要在通信双方建立连接时规定使用的IPSec协议类型、加密算法、加密和认证密钥等属性,并负责维护。IKE采用自动模式进行管理,IKE的实现可支持协商虚拟专业网(VPN),也可从用于在事先并不知道的远程访问接入方式。

如果低层协议不支持IPSec,则应建议采用过渡性AH方案,过渡性AH方案是在H.248协议头中定义可选的AH头来实现对协议连接的保护,过渡性AH方案只能提供一定程度的保护,例如该方案不能提供防窃听保护。

总结

基于软交换的NGN网络所存在的安全问题一直以来受到大家的关注。而作为数据网络上的一种新兴的应用,以IP作为承载媒体的软交换设备所面临的一些安全隐患,实际是目前IP网络上存在的若干问题的延续。只有很好地解决了网络的安全问题,同时配合产品本身的一些安全认证机制,软交换设备才能够在新的电信网中持久稳定的发挥作用,并成为解决话音、数据、视频多媒体通信需求的有效解决方法,并最终完成“三网合一”。



网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。

相关阅读