中国电信集团北京研究院 叶华 张园
运营商商用软交换的主要目的是希望减少投资、运营成本,寻求更多的业务增长点。但不可否认,到目前为止软交换的成熟性是制约其发展的主要因素,规模商用仍面临着种种亟待解决的问题,其主要挑战包括:兼容和互联尚未做到;新业务不很成熟;缺乏可行的QoS和网络安全方案及组大网经验;商业模型和运维管理的研究有待加强;软交换系统的总体投资仍高于TDM等。
安全问题
在软交换网络中,各种媒体流的承载均采用分组网,分组网的一系列的安全问题也就随之而来。软交换网络也就面临着被攻击、被假冒、抢占资源,用户的信息被窃听、被窜改等问题。在软交换的本地网络中,由于节点众多(主要是接入设备),分布广泛,面临的主要题包括几个方面:
软交换网络节点(包括软交换、各种媒体网关、IAD、各类终端)的安全,如网络节点被攻击、被假冒等;用户信息的安全,如用户的语音等信息被窃听、被窜改、账号被盗用等;业务的安全,如网络被非法用户使用、非法节点接入网络。
(1)网络节点设备的安全
对于软交换、各类媒体网关、计费、网管等设备,考虑到重要程度高、节点数量相对较少、位置比较集中,可以在网络外侧设置防火墙,对发给网络接点设备的数据包进行过滤,只允许特定端口号的数据包通过防火墙,这种方法可以对Ping of death等一系列的DoS(分布式拒绝服务攻击)攻击进行过滤。
网管系统应具有不同级别的管理员权限管理机制,越权操作应予以禁止。对非法操作提供记录信息,对系统可能造成潜在危害的请求,应能够告警并采取相应的防范措施。
对于一些未经授权的接入设备利用软交换的协议建立非法呼叫或者干涉合法呼叫,需要对软交换连接的传输建立安全机制。当在IP网络上传输本协议时,可以使用Ipsec对H.248或MGCP协议的传输进行保护。如果低层协议不支持Ipsec,应当在H.248协议头之中定义AH头来实现对协议连接的保护。
(2)用户信息的安全
对于用户的私人信息的安全问题,主要存在于接入层。因此应该从两个方面来保证用户信息的安全:
第一,对用户的数据流进行隔离,防止用户的信息被非法用户截取。可以采取二层的VLAN技术,对用户的数据流进行隔离,用ACL控制用户之间的互访。
第二,为防止媒体流被篡改、修改和窃取,应实施适当的安全机制来保护媒体连接,解决办法就是对音频消息进行加密。但随着宽带终端数量的增加,一方面密钥需求量会成倍增加,另一方面用户每次通信可能会使用不同的密钥,因为若用户一次又一次的使用相同的密钥与别人交换信息,则如果某人偶然地接触到了用户的密钥,那么用户曾经和另一个人交换的每一条消息都不再是保密的了,另一方面,使用一个特定密钥加密的信息越多,提供给窃听者的材料也就越多,这就增加了他们成功的机会,所有这些都对密钥的分发提供了严峻的考验。一种比较好的解决方案就是采用Kerberos解决方案,它是由MIT发明的,使保密密钥的管理和分发变得十分容易。
(3)业务的安全
业务的安全主要是防止业务的非法盗用,非法抢占带宽,防止非法终端和设备访问网络,解决的办法就是软交换网络对SIP智能终端和IAD设备进行身份认证。
对于IAD设备,可以采用MAC地址认证的方法。即在认证的数据库中将用户设备的MAC地址记录下来,当用户需要接入网络使用业务的时候,首先对用户设备的MAC地址进行认证,如果认证通过,才给其分配IP地址,允许其接入网络。如果用户的终端设备为非法设备,则无法接入网络。
对于SIP智能终端,则建议采用基于用户名和密码的认证方式,也称DHCP+方式,之所以成为DHCP+主要是针对网络发展的需要对传统的DHCP协议进行了改进,主要增加了认证功能,即DHCP服务器在将配置参数发给终端之前必须将终端提供的用户名和密码送往软交换进行认证,通过后才将配置信息发给用户终端。
QOS问题
软交换的承载网采用包交换网络(ATM或IP),而由于IP组网技术的简单、灵活、接入的业务丰富,因而目前城域网中主要采用IP技术。IP技术的“Best effort”机制带来的QoS问题也随之带给了软交换网络。目前的PSTN和ISDN网络可以提供端到端的服务质量的保证,软交换网络如果要大规模的应用,就必须提供端到端的服务质量的保证,因而QoS问题就显得更为重要。
目前,IP网中解决QoS问题的主要技术有Diffserv、802.1p/q、Interserve(RSVP)、MPLS技术。
我们可以在城域网的各个层次采用DiffServ、CAR、接入数量控制以及动态QoS策略等多种技术来保证NGN业务的端到端QoS。
在网络的接入层,可以采用802.1p/q技术。首先,应对数据流进行分类。数据流可以分为信令流、语音流和数据流等,要求NGN的网络设备(网关、IAD、SIP终端等)支持802.1p/q协议,可以根据端口号、IP地址等对数据流进行分类,对不同类别的数据流设置不同的VLAN,进行隔离。并且对不同类别的数据流设置不同的优先级,应对信令流设置最高的优先级,语音流其次,数据业务最后。这样可以保证信令消息和实时业务在L2或L3的网络中被优先转发。
在城域网的边缘层,要求网络设备支持Diffserv。网络设备应能根据多种信息对数据流进行分类,包括:VLAN ID、802.1p优先级、DS字段或TOS字段。网络的边缘设备根据预先设定好的策略,将各种信息映射为相应的DSCP值,高优先级的数据就能在网络中优先排队、优先转发,得到高级别的服务。
对于骨干层,目前各大运营商的IP骨干网流量不高,有比较充足的带宽。因此在骨干层可以采取保证充足的带宽和DiffServ的策略来保证业务的QoS。
虽然软交换网络的QoS问题是由承载层不可靠性引起的,我们也可以采用其它的机制来提高网络的QoS。
* 缓冲区的动态调整
在IP网中,由于路由不对称或分组在各个节点的处理时间不一致引起分组传输的端到端时延不一致,即产生抖动,如果不消除抖动的影响,会使话音有断续而影响通话质量。为此,接收端通常设定一个抖动缓冲区,以消除分组之间的时延差距,一般而言抖动缓冲是根据抖动的最差情况而设计的,这种做法的一个缺点是使端到端的时延过大,而端到端时延过大又能产生回声,因此缓冲区的设定应能根据网络的负载情况动态调整,以使网络的端到端时延在网络的当前条件下是最小的,因此软交换网络中的各个媒体网关应该具备动态调整缓冲大小的能力。
* 回声抑制和舒适噪音
IP网络中的各个节点对语音包的处理、排队及终端节点对语音包的缓冲都会给语音带来端到端的时延,当语音的时延超过25m时,就需要增加回声补偿机制,来减小回音。因此,通常要求网关、IAD、SIP终端等支持回声抑制、舒适噪音等功能,来提高语音质量。
* 拥塞处理
软交换作为呼叫控制的核心,应该能够根据网关的负荷状况,控制可接入的呼叫数量,H.248协议在附录Annex M.2中定义了媒体网关资源拥塞处理包(Me dia Gateway Resource Congestion Handling),此包作用于Root Termination上,此包中定义了MGCongestion事件,当MG拥塞时,就向软交换报告MGCongestion拥塞事件,软交换根据ObservedEventsDescriptor中reduction参数值来确定应该拒绝多少比例的呼叫。
*链路的动态检测
链路的动态检测是指网关设备利用RTCP的收、发报文监控统计包丢失率,网络时延抖动等网络性能参数。链路动态检测是网关进行QOS管理的重要依据,它将直接影响语音编码的动态转换,输入缓冲的动态调整等工作。
软交换网络管理
有效的网络管理和业务管理对运营商来说是十分重要的,而软交换网络的承载平台是基于数据网络,因此,实时业务和电信级服务的特点使软交换网络对数据网络的管理提出了更高的要求,此外,由于软交换网络采用的是分布式体系,要求网管系统不但能够提供平面化的管理,而且能够提供垂直化的系统管理,网络管理更加复杂。因此基于软交换的网络管理、业务管理和各种用户接入的管理也是软交换技术的研究重点。
目前的软交换设备厂家通常都能够提供对软交换网络设备(比如软交换、媒体网关等)的管理,但是很难提供网络级的管理,即对整个网络的安全管理、对网络的资源管理。由于软交换网络采用分层的体系结构,因此要求软交换的网管系统不但能对设备进行管理,而且能对软交换承载网络的资源进行管理,掌握设备及网络资源的使用情况,这将有利于网络QOS的管理及相关策略的实施。
目前,国内外设备制造商也在这一方面展开积极的研究和探索。有些厂家提出了建立基于承载网络的网络控制服务器,网络控制服务器提供网络级的话务量控制,它可以基于话务量统计数据和网络拓扑、路由信息计算每条路径需要预留的带宽。在承载网络的边缘设置网络访问控制设备,网络访问控制设备根据网络控制服务器计算的带宽来控制网络的流量,保证已经接入业务的QOS,并且,网络访问控制设备定期向网络控制服务器报告带宽使用情况,网络控制服务器根据报告的业务量重新计算需要预留的带宽,这样就可以实现对承载网络资源进行实时的管理和分配。但是,这些解决方案都有待进一步细化和在实际网络中检验。
终端
移动终端从普通通话终端向支持数据、媒体业务终端渐进过程显示,终端已成为业务发展的重要组成部分。因此从业务提供角度来讲,软交换的规模商用,不仅需要突破现有固定电话机只能提供单一的语音业务的瓶颈,还与终端的智能化、多媒体化、个性化程度密切相关。运营商应与终端制造商形成良性互动,共同培育市场。
目前NGN终端主要包括SIP终端、H.323终端,它们可以支持传统语音、视讯和多媒体业务,但在业务提供能力、互通性、安全性、可管理性等方面有待深入研究。
我们可以通过局域网供电的方式,通过双绞线为用户的终端设备供电。CDP(CISCO Delivery Pro-tocol)协议就是一种通过局域网给终端设备供电的协议。IEEE802.3af也在研究通过以太网的媒体接口(MDI:media dependent interface)用网络来给终端设备供电。
----《通信产业报》
|
