软交换设备还是比较常用的，于是我研究了一下软交换设备中的安全机制，在这里拿出来和大家分享一下，希望对大家有用。IPSec体系提供标准的、安全的、普遍的机制。可以保护主机之间、网关之间和主机与网关之间的数据包安全。由于涉及的算法为标准算法，故可以保证互通性，并且可以提供嵌套安全服务。

IPSec协议主要由AH（认证头）协议，ESP（封装安全载荷）协议和负责密钥管理的IKE（因特网密钥交换）协议三个协议组成。认证头（AH）协议对在媒体网关/终端设备和软交换设备之间传送的消息提供数据源认证，无连接完整性保护和防重放攻击保护。数据完整性可以通过校验码（MD5）来保证；数据身份认证通过在待认证数据中加入一个共享密钥来实现；报头中的序列号可以防止重放攻击。解释域（DOI）将所有的IPSec协议捆绑在一起，是IPSec安全参数的主要数据库。

IPSec支持两种运行模式：传输模式和隧道模式。传输模式为上层协议提供安全保护，保护的是IP包的有效载荷，通常该模式用于端对端的安全通信。隧道模式由于是对整个IP包提供保护，故在IP包上再加报头，从而可以加强保护，通常该模式使用在至少一端是安全网关的时候。AH协议不对IP数据报进行加密，因此不提供机密性保护。但由于AH提供数据完整性校验、身份认证和防重放保护，因此提供IP认证，也可以为上层提供保护。

ESP协议除了提供数据完整性校验、身份认证和防重放保护外，同时提供加密。ESP的加密和认证是可选的，要求支持这两种算法中的至少一种算法，但不能同时置为空。根据要求，ESP协议必须支持下列算法：

（1）使用CBC模式的DES算法
（2）使用MD5的HMAC算法
（3）使用SHA-1的HMAC算法
（4）空认证算法
（5）空加密算法

AH协议和ESP协议在使用中都涉及到密钥管理。IKE协议主要在通信双方建立连接时规定使用的IPSec协议类型、加密算法、加密和认证密钥等属性，并负责维护。IKE采用自动模式进行管理，IKE的实现可支持协商虚拟专业网（VPN），也可从用于在事先并不知道的远程访问接入方式。

如果低层协议不支持IPSec，则应建议采用过渡性AH方案，过渡性AH方案是在H.248协议头中定义可选的AH头来实现对协议连接的保护，过渡性AH方案只能提供一定程度的保护，例如该方案不能提供防窃听保护。

总结

基于软交换的NGN网络所存在的安全问题一直以来受到大家的关注。而作为数据网络上的一种新兴的应用，以IP作为承载媒体的软交换设备所面临的一些安全隐患，实际是目前IP网络上存在的若干问题的延续。只有很好地解决了网络的安全问题，同时配合产品本身的一些安全认证机制，软交换设备才能够在新的电信网中持久稳定的发挥作用，并成为解决话音、数据、视频多媒体通信需求的有效解决方法，并最终完成“三网合一”。