軟交換設備還是比較常用的，于是我研究了一下軟交換設備中的安全機制，在這里拿出來和大家分享一下，希望對大家有用。IPSec體系提供標準的、安全的、普遍的機制。可以保護主機之間、網關之間和主機與網關之間的數據包安全。由于涉及的算法為標準算法，故可以保證互通性，并且可以提供嵌套安全服務。

IPSec協(xié)議主要由AH（認證頭）協(xié)議，ESP（封裝安全載荷）協(xié)議和負責密鑰管理的IKE（因特網密鑰交換）協(xié)議三個協(xié)議組成。認證頭（AH）協(xié)議對在媒體網關/終端設備和軟交換設備之間傳送的消息提供數據源認證，無連接完整性保護和防重放攻擊保護。數據完整性可以通過校驗碼（MD5）來保證；數據身份認證通過在待認證數據中加入一個共享密鑰來實現(xiàn)；報頭中的序列號可以防止重放攻擊。解釋域（DOI）將所有的IPSec協(xié)議捆綁在一起，是IPSec安全參數的主要數據庫。

IPSec支持兩種運行模式：傳輸模式和隧道模式。傳輸模式為上層協(xié)議提供安全保護，保護的是IP包的有效載荷，通常該模式用于端對端的安全通信。隧道模式由于是對整個IP包提供保護，故在IP包上再加報頭，從而可以加強保護，通常該模式使用在至少一端是安全網關的時候。AH協(xié)議不對IP數據報進行加密，因此不提供機密性保護。但由于AH提供數據完整性校驗、身份認證和防重放保護，因此提供IP認證，也可以為上層提供保護。

ESP協(xié)議除了提供數據完整性校驗、身份認證和防重放保護外，同時提供加密。ESP的加密和認證是可選的，要求支持這兩種算法中的至少一種算法，但不能同時置為空。根據要求，ESP協(xié)議必須支持下列算法：

（1）使用CBC模式的DES算法
（2）使用MD5的HMAC算法
（3）使用SHA-1的HMAC算法
（4）空認證算法
（5）空加密算法

AH協(xié)議和ESP協(xié)議在使用中都涉及到密鑰管理。IKE協(xié)議主要在通信雙方建立連接時規(guī)定使用的IPSec協(xié)議類型、加密算法、加密和認證密鑰等屬性，并負責維護。IKE采用自動模式進行管理，IKE的實現(xiàn)可支持協(xié)商虛擬專業(yè)網（VPN），也可從用于在事先并不知道的遠程訪問接入方式。

如果低層協(xié)議不支持IPSec，則應建議采用過渡性AH方案，過渡性AH方案是在H.248協(xié)議頭中定義可選的AH頭來實現(xiàn)對協(xié)議連接的保護，過渡性AH方案只能提供一定程度的保護，例如該方案不能提供防竊聽保護。

總結

基于軟交換的NGN網絡所存在的安全問題一直以來受到大家的關注。而作為數據網絡上的一種新興的應用，以IP作為承載媒體的軟交換設備所面臨的一些安全隱患，實際是目前IP網絡上存在的若干問題的延續(xù)。只有很好地解決了網絡的安全問題，同時配合產品本身的一些安全認證機制，軟交換設備才能夠在新的電信網中持久穩(wěn)定的發(fā)揮作用，并成為解決話音、數據、視頻多媒體通信需求的有效解決方法，并最終完成“三網合一”。