??? 摘 要: 軟交換" title="軟交換">軟交換和全IP網絡是通信技術發展的趨勢。介紹了應用于MGC和MG之間的H.248/Megaco協議,以及如何在TCP和UDP上傳輸該協議的各種消息。討論了提高該協議在IP網上傳輸安全性的兩種方法。
??? 關鍵詞: H.248/Megaco? 軟交換? 全IP網絡? 安全
?
??? 隨著IPv6技術的成熟和市場的發展,網絡的全IP化是未來通信網絡發展的必然趨勢,傳統電路交換網和互聯網也正在互相融合,電信網的核心部分將演化成為單一的分組網絡。作為下一代網絡(NGN)控制核心的軟交換,結合了傳統電話網絡可靠性和IP技術的靈活性、有效性等優點,是傳統的電路交換網向分組化網絡過渡的重要網絡概念。軟交換的核心思想就是通過業務與呼叫控制" title="呼叫控制">呼叫控制分離以及呼叫控制與承載分離實現相對獨立的業務體系,使業務真正獨立于網絡,靈活有效地實現業務的提供。因此將傳統的網關分解為媒體網關控制器MGC(Media Gateway Controller)和媒體網關MG(Media Gateway),這種結構的最大好處在于業務和網絡規模具有良好的可擴展性。
??? 媒體網關可以劃分為中繼媒體網關、ATM 中繼媒體網關和綜合業務媒體網關等類型,主要用于終結電路交換網的媒體流" title="媒體流">媒體流以及負責各種用戶或接入網的綜合接入。媒體網關控制器則對與媒體網關中的媒體通道的連接控制相關的呼叫狀態部分進行控制。目前,媒體網關控制器與媒體網關之間通過H.248/Megaco協議進行通信。媒體網關控制器可以通過它實現對媒體網關的控制,媒體網關也可以通過它向媒體網關控制器報告用戶端的事件,從而實現正常的通信。
1 軟交換的體系結構及H.248/Megaco協議
??? 軟交換設備(Soft Switch)也稱為呼叫服務器(Call Server)或者媒體網關控制器MGC,它是NGN的控制功能實體,為NGN提供具有實時性要求的業務呼叫控制和連接控制功能,是呼叫與控制的核心。MGC的功能主要包括呼叫控制功能、業務提供功能、業務交換功能、資源管理功能、互聯互通功能、SIP代理功能、媒體網關接入功能等。軟交換網絡從功能上可以分為應用層、控制層、傳輸層和接入層,如圖1所示。
?
??? 應用層利用底層的各種網絡資源為用戶提供豐富多樣的網絡業務。主要包括應用服務器AS(Application Server)、AAA服務器(Authority Authentication and Accounting Server)、策略服務器PS(Policy Server)和智能網SCP等。其中最主要的功能實體是應用服務器,它是軟交換網絡體系中業務的執行環境。
??? 控制層主要提供呼叫控制、連接控制、協議處理等能力,并為業務層提供訪問底層各種網絡資源的開放接口。該層的主要組成部分是MGC。
??? 傳輸層負責提供各種信令和媒體流傳輸的通道,網絡的核心傳輸網將是IP分組網絡。
??? 接入層提供各種網絡和設備接入到核心骨干網的方式和手段,主要包括信令網關、媒體網關、接入網關等多種接入設備。
??? 在通信系統中,控制是通過協商解決的,相應地就必須有協議。在NGN體系結構中,軟交換作為控制中心,正是通過支持H.248/Megaco、SIP、SIGTRAN、BICC、H.323等多種協議實現的。
??? 軟交換設備之間采用SIP(Session Initiation Protocol)協議或者BICC(Bearer Independent Call Control)協議,軟交換設備與信令網關之間采用信令傳送協議SIGTRAN(Signaling Transport)在IP網絡中傳遞電路交換信令。在軟交換設備與媒體網關、H.248終端以及接入網關之間則采用H.248/Megaco協議。
??? H.248/Megaco協議是 2000年由 ITU-T第 16工作組提出的媒體網關控制協議" title="媒體網關控制協議">媒體網關控制協議,它是在早期的 MGCP協議(RFC2705)基礎上結合其它媒體網關控制協議特點發展而成的一種協議。它提供控制媒體的建立、修改和釋放機制,同時也可攜帶某些隨路呼叫信令,支持傳統網絡終端的呼叫,解決了H.323的復雜、伸縮性差等問題,是下一代網絡關鍵的媒體網關控制協議。
??? H.248/Megaco的另一個特點是消息格式既可以采用文本格式,也可以采用ASN.1的二進制編碼格式。在對媒體流進行描述時,如果消息格式是文本格式,則采用SDP描述媒體流。如果消息格式是二進制編碼格式,則使用協議規定的編碼。因此在協議實現時,若要求各廠商設備互通,就需要實現兩種編碼方式。這一特點是IETF和ITU-T合作的結果。H.248/Megaco協議中的主要概念有終結點、關聯和包:
??? (1)終結點(Termination)是媒體網關上的一個邏輯實體,能夠發送和接收一種或多種媒體,如模擬用戶接入網關中的電話線、中繼網關中的中繼電路,一個終端在任一時刻屬于且只能屬于一個關聯。
??? (2)關聯(Context)是一些終端之間的聯系,描述了終端間拓撲關系和媒體混合/交換的參數,表示一組終結點之間的連接關系。在一個關聯中可以存在若干個終結點,其數目完全由媒體網關的特性決定。空關聯表示所有與其它終結點沒有聯系的終結點。
??? (3)包(Package)通過允許終結點具有可選的特性、事件、信號和數據,媒體網關控制協議實現了對具有不同特點的終結點的支持。同時,為了實現媒體網關與媒體網關控制器的互操作,這些可選項可以被組合成包。
??? H.248/Megaco協議建立了多種傳輸機制,保證了協議消息在媒體網關和媒體網關控制器之間的可靠傳輸。
2 TCP/UDP協議的區別及運用場合
??? H.248/Megaco定義的各種協議消息既可以在TCP上傳輸,也可以在UDP上傳輸,TCP和UDP之間的主要區別是可靠性和復雜度。
??? TCP協議可以提供端到端可靠的數據傳輸。TCP協議采用了多項提高可靠性的技術以克服底層IP網絡傳輸的不可靠性,它并不區分結構化的數據流,只支持數據流的傳輸。應用程序" title="應用程序">應用程序必須在連接之前了解數據流的內容,并對其格式進行協商,對數據流的進一步處理完全留給應用程序本身來完成。TCP也允許用戶指定連接的安全性和優先級,這兩個功能并非是現在所有的TCP產品中都有,但在TCP標準中作了定義。TCP協議還提供了全雙工聯接、向應用進程提供PUSH功能和流量控制。
??? UDP協議面向應用程序提供數據傳輸服務,并且支持組播。與IP層相比,IP層只負責互聯網上的一對主機之間的數據傳輸,實現主機間的通信;而UDP層通過端口機制標識同一主機上運行的多個進程,完成進程間通信。與TCP協議相比,它們同屬于傳輸層,都是完成面向進程的數據傳輸服務。不同之處在于,TCP協議提供的是面向連接的、可靠的數據傳輸服務,而UDP提供的是面向無連接的、不可靠的數據傳輸服務。
??? 所以,對廣播或多播應用程序必須使用UDP。此時任何期望的錯誤控制必須加入到應用程序中。UDP也可以用于較簡單的請求—應答式應用程序,但是應用程序內部必須有檢查錯誤的功能,至少涉及確認、超時和重傳。UDP不適用大量數據的傳輸,因為大量數據的傳輸要求將窗口式流控、擁塞避免和慢啟動等特性在應用程序中實現,這也意味著要在應用程序中重建TCP。
??? 利用UDP傳輸H.248/Megaco消息時,如果對等實體沒有提供相應的通信端口,各種指令應當被送到默認端口上:對于文本編碼的操作,端口號應當使用2944;對于二進制編碼操作,則端口號應當使用2945。在UDP 上傳輸消息可能會發生丟失,如果沒有及時響應的話,命令就會重復,從而導致MG狀態的不可預料性,所以,傳輸進程必須能夠提供一種“At- Most-Once”功能,以防止命令的重復執行。
??? 利用TCP傳輸H.248/Megaco消息時,如果對方沒有提供端口的話,各種指令應當被送到默認端口上。TCP 是一個基于流的協議,使用TPKT 來描述TCP 流中的各種消息。在面向事務的協議中,事務請求與響應消息仍然有可能由于這樣那樣的原因而丟失。因此,建議各種實體使用TCP 傳輸機制作為每一次請求和響應過程實現應用層的定時器,這一點與對UDP上應用層幀結構的描述是類似的。
??? 雖然在TCP上傳輸的消息不會發生傳輸丟失,但是事務請求或其響應消息的丟失在實際實現中仍然有可能發生。如果沒有及時響應的話,指令就會重復。大多數指令的操作要求是不一樣的。因此,MG的狀態是無法預料的,所以,在使用TCP時也應該提供“At- Most-Once”功能。
??? 另外,在協議中還加入了三次握手機制和計算重傳機制來進一步提高協議的可靠性。
3 協議傳輸安全與加密
??? 由于IP網絡是一個開放的網絡,極易受到非法攻擊。為了防止未經授權的實體利用媒體網關控制協議建立非法呼叫,或者干涉合法呼叫,應當建立一整套嚴密的安全機制,對此協議的傳輸進行保護。目前提出了兩種方案來解決在IP網絡上傳輸H.248/Megaco協議的安全問題:一種是采用IPsec對協議傳輸進行安全保護;另一種是采用過渡性AH方案。
??? 利用IPsec對H.248/Megaco消息的傳輸主要包括封裝安全載荷協議ESP(Encapsulating Security Payload)、網絡認證協議AH(Authentication Header)和密鑰管理協議IKE(Internet Key Exchange)三部分。它規定了如何在對等層之間選擇安全協議、確定安全算法和密鑰交換,向上提供了訪問控制、數據源認證、數據加密等網絡安全服務。
??? 封裝安全載荷協議ESP對媒體網關/終端設備和軟交換設備之間傳送的消息提供加密,為IP數據包提供完整性檢查、認證和加密,在MGC向MG傳送會話密鑰SK(Session Key)時用于加密包含密鑰的會話描述信息。
??? 網絡認證協議AH對在媒體網關/終端設備和軟交換設備之間傳送的消息提供數據源認證、無連接完整性保護和可選的抗重發保護。此協議還提供了數據完整性和反重插保證,能保護通信免受篡改,但不能防止竊聽,用于保護媒體網關控制器MGC和媒體網關MG之間的協議連接。
??? 密鑰管理協議IKE提供媒體網關/終端設備和軟交換設備之間進行密鑰協商的機制,以保證密鑰的安全性。
??? 如果底層協議不支持IPsec,則應建議采用過渡性AH方案。由于IPSec要求AH頭或ESP頭緊跟在IP包頭后面,這在應用層上的實現有一定難度,所以H.248/Megaco定義了一種折衷的AH頭,調整了數據完整性檢查的范圍,作為在底層操作系統或傳輸網絡不支持IPSec時的一種臨時解決方案。過渡性AH方案是在H.248/Megaco協議頭中定義可選的AH頭來實現對協議連接的保護,過渡性AH方案只能提供一定程度的保護,例如該方案不能提供防竊聽保護。同時,為了保護在媒體網關之間傳輸的媒體流免受由非法實體發起惡意攻擊,媒體網關控制器也可以通過媒體網關控制協議向媒體網關提供會話密鑰,用來對音頻消息進行加密。
??? 由于IPSec工作在網絡層,在當前的IPv4網絡上完全實現H.248/Megaco的安全機制有一定難度。另外,H.248/Megaco協議采用的IPSec對系統性能有較大的影響,這種影響在采用公鑰算法對數據包進行加解密時尤其明顯。與IPv4不同,IPv6已經把IPsec集成到了自身協議中,通過IPsec提供IP層的安全性。IPv6實現了認證頭AH和封裝安全載荷ESP兩種機制,前者實現數據的完整性及對IP數據包的來源的認證,保證分組確實來自源地址所標記的節點,后者提供數據加密功能,實現端到端的加密。
??? 3GPP已經決定以IPv6為基礎構筑下一代移動網絡,很多通信廠商正致力于構建基于IPv6的全IP的3G核心網(All-IP Core Network)。3GPP R4 以及隨后的R5結構中都將傳統的MSC分割成MGC和MG,它們之間采用H.248/Megaco等協議相互通信,從而實現呼叫控制和處理,與網絡承載相分離。因此基于IP的H.248/Megaco協議的應用,以及適應IPv6環境的進一步發展,是未來移動通信研究的一個重要課題。
參考文獻
1 Tom Taylor. Megaco/H.248: A New Standard for Media?Gateway Control. IEEE Communications Magazine[J],October?2000:124~132
2 Abdi R. Modarressi. Control and Management in Next-Gen-eration Networks: Challenges and Opportunities. IEEE Communications Magazine[J],October 2000:94~102
3 IETF RFC2705: Media Gateway Control Protocol (MGCP)?Version 1.0[S]. October 1999
4 IETF RFC3525: Gateway Control Protocol Version 1[S].June?2003
5 YD/T 1292-2003. 基于H.248的媒體網關控制協議技術要求[S]. 2003
6 石友康. 軟交換技術研究進展[J]. 電信科學,2004;(1)