H.248/Megaco協(xié)議在全I(xiàn)P網(wǎng)絡(luò)中的應(yīng)用

  摘要:軟交換和全I(xiàn)P網(wǎng)絡(luò)是通信技術(shù)發(fā)展的趨勢(shì)。介紹了應(yīng)用于MGC和MG之間的H.248/Megaco協(xié)議,以及如何在TCP和UDP上傳輸該協(xié)議的各種消息。討論了提高該協(xié)議在IP網(wǎng)上傳輸安全性的兩種方法。

  關(guān)鍵詞:H.248*Megaco 軟交換 全I(xiàn)P網(wǎng)絡(luò) 安全

  隨著IPv6技術(shù)的成熟和市場的發(fā)展,網(wǎng)絡(luò)的全I(xiàn)P化是未來通信網(wǎng)絡(luò)發(fā)展的必然趨勢(shì),傳統(tǒng)電路交換網(wǎng)和互聯(lián)網(wǎng)也正在正經(jīng)相融合,電信網(wǎng)的核心部分將演化成為單一的分組網(wǎng)絡(luò)。作為下一代網(wǎng)絡(luò)(NGN)控制核心的軟交換,結(jié)合了傳統(tǒng)電話網(wǎng)絡(luò)可靠性和IP技術(shù)的靈活性、有效性等優(yōu)點(diǎn),是傳統(tǒng)的電路交換網(wǎng)向分組化網(wǎng)絡(luò)過渡的重要網(wǎng)絡(luò)概念。軟交換的核心思路就是通過業(yè)務(wù)與呼叫控制分離能主呼叫控制與承載分離實(shí)現(xiàn)相對(duì)獨(dú)立的業(yè)務(wù)體系,使業(yè)務(wù)真正于網(wǎng)絡(luò),靈活有效地實(shí)現(xiàn)業(yè)務(wù)的提供。因此將傳統(tǒng)的網(wǎng)關(guān)分解為媒體網(wǎng)關(guān)控制器MGC(Media Gateway Controller)和媒體網(wǎng)關(guān)MG(Media Gateway),這種結(jié)構(gòu)的最大好處在于業(yè)務(wù)和網(wǎng)絡(luò)規(guī)模具有良好的可擴(kuò)展性。

  媒體網(wǎng)關(guān)可以劃分為中繼媒體網(wǎng)關(guān)、ATM中繼媒體網(wǎng)關(guān)和綜合業(yè)務(wù)媒體網(wǎng)關(guān)等類型,主要用于終結(jié)電路交換網(wǎng)的媒體流以及負(fù)責(zé)各種用戶或接入網(wǎng)的綜合接入。媒體網(wǎng)關(guān)控制器則對(duì)與媒體網(wǎng)關(guān)中的媒體通道的連接控制相關(guān)的呼叫狀態(tài)部分進(jìn)行控制。目前,媒體網(wǎng)關(guān)控制器與媒體網(wǎng)關(guān)之間通過H.248/Megaco協(xié)議進(jìn)行通信。媒體網(wǎng)關(guān)控制器可以通過它實(shí)現(xiàn)對(duì)媒體網(wǎng)關(guān)的控制,媒體網(wǎng)關(guān)也可以通過向媒體網(wǎng)關(guān)控制報(bào)告用戶端的事件,從而實(shí)現(xiàn)正常的通信。

  1 軟交換的體系結(jié)構(gòu)及H.248/Megaco協(xié)議

  軟交換設(shè)備(Soft Switch)也稱為呼叫服務(wù)器(Call Server)或者媒體網(wǎng)關(guān)控制器MGC,它是NGN的控制功能實(shí)體,為NGN提供具有實(shí)時(shí)性要求的業(yè)務(wù)呼叫控制和連接控制功能,是呼叫與控制的核心。MGC的功能主要包括呼叫控制功能、業(yè)務(wù)提供功能、業(yè)務(wù)交換功能、資源管理功能、互聯(lián)互通功能、SIP代理功能、媒全網(wǎng)關(guān)接入功能等。軟交換網(wǎng)絡(luò)從功能上可以分為應(yīng)用層、控制層、傳輸層和接入層,如圖1所示。

  應(yīng)用層利用底層的各種網(wǎng)絡(luò)資源為用戶提供豐富多樣的網(wǎng)絡(luò)業(yè)務(wù)。主要包括應(yīng)用服務(wù)器AS(Application Server)、AAA服務(wù)器(Authority Authentication and Accounting Server)、策略服務(wù)器PS(Policy Server)和智能網(wǎng)SCP等。其中最主要的功能實(shí)體是應(yīng)用服務(wù)器,它是軟件交換網(wǎng)絡(luò)體系中業(yè)務(wù)的執(zhí)行環(huán)境。

  控制層主要提供呼叫控制、連接控制、協(xié)議處理等能力,并為業(yè)務(wù)層提供訪問層各種網(wǎng)絡(luò)資源的開放接口。該層的主要組成部分是MGC。

  傳輸層負(fù)責(zé)提供各種信令和媒體流傳輸?shù)耐ǖ溃W(wǎng)絡(luò)的核心傳輸網(wǎng)將是IP分組網(wǎng)絡(luò)。

  接入層提供各種網(wǎng)絡(luò)和設(shè)備接入到核心骨干網(wǎng)的方式和手段,主要包括信令網(wǎng)關(guān)、媒體網(wǎng)關(guān)、接入網(wǎng)關(guān)等多種接入設(shè)備。

  在通信系統(tǒng)中,控制是通過協(xié)商解決的,相應(yīng)地就必須有協(xié)議。在NGN體系結(jié)構(gòu)中,軟交換作為控制中心,正是通過支持H.248/Megaco、SIP、SIGTRAN、BICC、H.323等多種協(xié)議實(shí)現(xiàn)的。

  軟交換設(shè)備之間采用SIP(Session Initiation Protocol)協(xié)議或者BICC(Bearer Independent Call Control)協(xié)議,軟交換設(shè)備與信令網(wǎng)關(guān)之間采用信令傳送協(xié)議SIGTRAN(Signaling Transport)在IP網(wǎng)絡(luò)中傳遞電路交換信令。在軟交換設(shè)備與媒體網(wǎng)關(guān)、H.248終端以及接入網(wǎng)關(guān)之間則采用H.248/Megaco協(xié)議。

  H.248/Megaco協(xié)議是2000年由ITU-T第16工作組提出的媒體網(wǎng)關(guān)控制協(xié)議,它是在早期的MGCP協(xié)議(RFC2705)基礎(chǔ)上結(jié)合其它媒體網(wǎng)關(guān)控制協(xié)議特點(diǎn)發(fā)展而成的種協(xié)議。它提供控制媒體的建立、修改和釋放機(jī)制,同時(shí)也可攜帶某些隨路呼叫信令,支持傳統(tǒng)網(wǎng)絡(luò)終端的呼叫,解決了H.323的復(fù)雜、伸縮性差著問題,是下一代網(wǎng)絡(luò)關(guān)鍵的媒體網(wǎng)關(guān)控制協(xié)議。

  H.248/Megaco的另一個(gè)特點(diǎn)是消息格式既可以采用文本格式,也可以采用ASN.1的二進(jìn)制編碼格式。在對(duì)媒體流進(jìn)行描述時(shí),如果消息格式是文本格式,則采用SDP描述媒體流。如果消息格式是二進(jìn)制編碼格式,則使用協(xié)議規(guī)定的編碼。因此在協(xié)議實(shí)現(xiàn)時(shí),若要求各廠商設(shè)備互通,就需要實(shí)現(xiàn)兩種編碼方式。這一特點(diǎn)是IETF和ITU-T合作的結(jié)果。

  H.248/Megaco協(xié)議中的主要概念有終結(jié)點(diǎn)、關(guān)聯(lián)和包:

 。1)終結(jié)點(diǎn)(Termination)是媒體網(wǎng)關(guān)上的一個(gè)邏輯實(shí)體,能夠發(fā)送和接收一種或多種媒體,如模擬用戶接入網(wǎng)關(guān)中的電話線、中繼網(wǎng)關(guān)中的中繼電路,一個(gè)終端在任一時(shí)刻屬于且只能屬于一個(gè)關(guān)聯(lián)。

 。2)關(guān)聯(lián)(Context)是一些終端之間的聯(lián)系,描述了終端間拓?fù)潢P(guān)系和媒體混合/交換的參數(shù),表示一組終結(jié)點(diǎn)之間的連接關(guān)系。在一個(gè)關(guān)聯(lián)中可以存在若干個(gè)終結(jié)點(diǎn),其數(shù)目完全由媒體網(wǎng)關(guān)的特性決定。空關(guān)聯(lián)表示所有與其它終點(diǎn)沒有聯(lián)系的終結(jié)點(diǎn)。

 。3)包(Package)通過允許終結(jié)點(diǎn)具有可選的特性、事件、信號(hào)和數(shù)據(jù),媒體網(wǎng)關(guān)控制協(xié)議實(shí)現(xiàn)了對(duì)具有不同特點(diǎn)的終結(jié)點(diǎn)的支持。同時(shí),為了實(shí)現(xiàn)媒體網(wǎng)關(guān)與媒體網(wǎng)關(guān)控制器的互操作,這些可選項(xiàng)可以被組合成包。

  H.248/Megaco協(xié)議建立了多種傳輸機(jī)制,保證了協(xié)議消息在媒體網(wǎng)關(guān)和媒體網(wǎng)關(guān)控制器之間的可靠傳輸。

  2 TCP/UDP協(xié)議的區(qū)別及運(yùn)用場合

  H.248/Megaco定義的各種協(xié)議消息既可以在TCP上傳輸,也可以在UDP上傳輸,TCP和UDP之間的主要區(qū)別是可靠性和復(fù)雜度。

  TCP協(xié)議可以提供端到端可靠的數(shù)據(jù)傳輸。TCP協(xié)議采用了多項(xiàng)提高可靠性的技術(shù)以克服底層IP網(wǎng)絡(luò)傳輸?shù)牟豢煽啃,它并不區(qū)分結(jié)構(gòu)化的數(shù)據(jù)流,只支持?jǐn)?shù)據(jù)流的傳輸。應(yīng)用程序必須在連接之前了解數(shù)據(jù)流的內(nèi)容,并對(duì)其格式進(jìn)行協(xié)商,對(duì)數(shù)據(jù)流的進(jìn)一步處理完全留給應(yīng)用程序本身來完成。TCP也允許用戶指定連接的安全性和優(yōu)先級(jí),這兩個(gè)功能并非是現(xiàn)在所有的TCP產(chǎn)品中都有,但在TCP標(biāo)準(zhǔn)中作了定義。TCP協(xié)議還提供了全雙工聯(lián)接、向應(yīng)用進(jìn)程提供PUSH功能和流量控制。

  UDP協(xié)議面向應(yīng)用程序提供數(shù)據(jù)傳輸服務(wù),并且支持組播。與IP層相比,IP層只負(fù)責(zé)互聯(lián)網(wǎng)上的一對(duì)主機(jī)之間的數(shù)據(jù)傳輸,實(shí)現(xiàn)主機(jī)間的通信;而UDP層通過端口機(jī)制標(biāo)識(shí)同一主機(jī)上運(yùn)行的多個(gè)進(jìn)程,完成進(jìn)程間通信。與TCP協(xié)議相比,它們同屬于傳輸層,都是完成面向進(jìn)程的數(shù)據(jù)傳輸服務(wù)。不同之處在于,TCP協(xié)議提供的是面向連接的、可靠的數(shù)據(jù)傳輸服務(wù),而UDP提供的是面向無連接的、不可靠的數(shù)據(jù)傳輸服務(wù)。

  所以,對(duì)廣播或多播應(yīng)用程序必須使用UDP。此時(shí)任何期望的錯(cuò)誤控制必須加入到應(yīng)用程序中。UDP也可以用于較簡單的請(qǐng)求一應(yīng)答式應(yīng)用程序,但是應(yīng)用程序內(nèi)部必須有檢查錯(cuò)誤的功能,至少涉及確認(rèn)、超時(shí)和重傳。UDP不適用大量數(shù)據(jù)的傳輸,因?yàn)榇罅繑?shù)據(jù)的傳輸要求將窗口式流控、擁塞避免和慢啟動(dòng)等特性在應(yīng)用程序中實(shí)現(xiàn),這也意味著要在應(yīng)用程序中重建TCP。

  利用UDP傳輸H.248/Megaco消息時(shí),如果對(duì)等實(shí)體沒有提供相應(yīng)的通信端口,各種指令應(yīng)當(dāng)被送到默認(rèn)端口上:對(duì)于文本編碼的操作,端口號(hào)應(yīng)當(dāng)使用2944;對(duì)于二進(jìn)制編碼操作;則端口號(hào)應(yīng)當(dāng)使用2945。在UDP上傳輸消息可能會(huì)發(fā)生丟失,如果沒有及時(shí)響應(yīng)的話,命令就會(huì)重復(fù),從而導(dǎo)致MG狀態(tài)的不可預(yù)料性,所以,傳輸進(jìn)程必須能夠提供一種“At-Most-Once”功能,以防止命令的重復(fù)執(zhí)行。

  利用TCP傳輸H.248/Megaco消息時(shí),如果對(duì)方?jīng)]有提供端口的話,各種指令應(yīng)當(dāng)被送到默認(rèn)端口上。TCP是一個(gè)基于流的協(xié)議,使用TPKT來描述TCP流中的各種消息。在面向事務(wù)的協(xié)議中,事務(wù)請(qǐng)求與響應(yīng)消息仍然有可能由于這樣那樣的原因而丟失。因此,建議各種實(shí)體使用TCP傳輸機(jī)制作為每一次請(qǐng)求和響應(yīng)過程實(shí)現(xiàn)應(yīng)用層的定時(shí)器,這一點(diǎn)與對(duì)UDP上應(yīng)用層幀結(jié)構(gòu)的描述是類似的。

  雖然在TCP上傳輸?shù)乃床綍?huì)發(fā)生傳輸丟失,但是事務(wù)請(qǐng)求或其響應(yīng)消息的丟失在實(shí)際實(shí)現(xiàn)中仍然有可能發(fā)生。如果沒有及時(shí)響應(yīng)的話,指令就會(huì)重復(fù)。大多數(shù)指令的操作要求是不一樣的。因此,MG的狀態(tài)是無法預(yù)料的,所以,在使用TCP時(shí)也應(yīng)該提供“At-Most-Once”功能。

  另外,在協(xié)議中還加入了三次握手機(jī)制和計(jì)算重傳機(jī)制來進(jìn)一步提高協(xié)議的可靠性。

  3 協(xié)議傳輸安全與加密

  由于IP網(wǎng)絡(luò)是一個(gè)開放的網(wǎng)絡(luò),極易受到非法攻擊。為了防止未經(jīng)授權(quán)的實(shí)體利用媒體網(wǎng)關(guān)控制協(xié)議建立非法呼叫,或者干涉合法呼叫,應(yīng)當(dāng)建立一整套嚴(yán)密的安全機(jī)制,對(duì)此協(xié)議的傳輸進(jìn)行保護(hù)。目前提出了兩種方案來解決在IP網(wǎng)絡(luò)上傳輸H.248/Megaco協(xié)議的安全問題:一種是采用IPsec對(duì)協(xié)議傳輸進(jìn)行安全保護(hù);另一種是采用過渡性AH方案。

  利用Ipsec對(duì)H.248/Megaco消息的傳輸主要包括封裝安全載荷協(xié)議ESP(Encapsulating Security Payload)、網(wǎng)絡(luò)認(rèn)證協(xié)議AH(Authentication Header)和密鑰管理協(xié)議IKE(Internet Key Exchange)三部分。它規(guī)定了如何在對(duì)等層之間選擇完全協(xié)議、確定安全算法和密鑰交換,向上提供了訪問控制、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。

  封裝安全載荷協(xié)議ESP對(duì)媒體網(wǎng)關(guān)/終端設(shè)備和軟交換設(shè)備之間傳送的消息提供加密,為IP數(shù)據(jù)包提供完整性檢查、認(rèn)證和加密,在MGC向MG傳送會(huì)話密鑰SK(Session Key)時(shí)用于加密包含密鑰的會(huì)話描述信息。

  網(wǎng)絡(luò)認(rèn)證協(xié)議AH對(duì)在媒體網(wǎng)關(guān)/終端設(shè)備和軟交換設(shè)備之間傳送的消息提供數(shù)據(jù)源認(rèn)證、無連接完整性保護(hù)和可選的抗重發(fā)保護(hù)。此協(xié)議還提供了數(shù)據(jù)完整性和反重插保證,能保證通信免受篡改,但不能防止竊聽,用于保護(hù)媒體網(wǎng)關(guān)控制器MGC和媒體網(wǎng)關(guān)之間的協(xié)議連接。

  密鑰管理協(xié)議IKE提供媒體網(wǎng)關(guān)/終端設(shè)備和軟交換設(shè)備之間進(jìn)行密鑰協(xié)商的機(jī)制,以保證密鑰的安全性。

  如果底層協(xié)議不支持IPsec,則應(yīng)建議采用過渡性AH方案。由于IPSec要求AH頭或ESP頭緊跟在IP包頭后面,這在應(yīng)用層上的實(shí)現(xiàn)有一定難度,所以H.248/Megaco定義了一種折衷的AH頭,調(diào)整了數(shù)據(jù)完整性檢查的范圍,作為在底層操作系統(tǒng)或傳輸網(wǎng)絡(luò)不支持IPSec時(shí)的一種臨時(shí)解決方案。過渡性AH方案是在H.248/Megaco協(xié)議頭中定義可選的AH頭來實(shí)現(xiàn)對(duì)協(xié)議連接的保護(hù),過渡性AH方案只能提供一定程序的保護(hù),例如該方案不能提供防竊聽保護(hù)。同時(shí),為了保護(hù)在媒體網(wǎng)關(guān)之間傳輸?shù)拿襟w流免受由非法實(shí)體發(fā)起惡意攻擊,媒體網(wǎng)關(guān)控制器也可以通過媒體網(wǎng)關(guān)控制協(xié)議向媒體網(wǎng)關(guān)提供會(huì)話密鑰,用來對(duì)音頻消息進(jìn)行加密。

  由于IPSes工作在網(wǎng)絡(luò)層,在當(dāng)前的IPv4網(wǎng)絡(luò)上完全實(shí)現(xiàn)H.248/Megaco的安全機(jī)制有一定難度。另外,H.248/Megaco協(xié)議采用的IPSec對(duì)系統(tǒng)性能有較大的影響,這種影響在采用公鑰算法對(duì)數(shù)據(jù)包進(jìn)行加解密時(shí)尤其明顯。與IPv4不同,IPv6已經(jīng)把Ipsec集成到了自身協(xié)議中,通過IPsec提供IP層的安全性。IPv6實(shí)現(xiàn)了認(rèn)證頭AH和封裝安全載荷ESP兩種機(jī)制,前者實(shí)現(xiàn)數(shù)據(jù)的完整性及對(duì)IP數(shù)據(jù)包的來源的認(rèn)證,保證分組確實(shí)來自源地址所標(biāo)記的節(jié)點(diǎn),后者提供數(shù)據(jù)加密功能,實(shí)現(xiàn)端到端的加密。

  3GPP已經(jīng)決定以IPv6為基礎(chǔ)構(gòu)筑下一代移動(dòng)網(wǎng)絡(luò),很多通信廠商正致力于構(gòu)建基于IPv6的全I(xiàn)P的3G核心網(wǎng)(A11-IP Core Network)。3GPP R4以及隨后的R5結(jié)構(gòu)中都將傳統(tǒng)的MSC分割成MGC和MG,它們之間采用H.248/Megaco等協(xié)議相互通信,從而實(shí)現(xiàn)呼叫控制和處理,與網(wǎng)絡(luò)承載相分離。因此基于IP的H.248/Megaco協(xié)議的應(yīng)用,以及適應(yīng)IPv6環(huán)境的進(jìn)一步發(fā)展,是未來移動(dòng)通信研究的一個(gè)重要課題。

作者:鄭州國家數(shù)學(xué)交換系統(tǒng)工程技術(shù)研究中心 黃 瓊 秦華俊 王洪建 來源:電子技術(shù)應(yīng)用


微信掃描分享本文到朋友圈
掃碼關(guān)注5G通信官方公眾號(hào),免費(fèi)領(lǐng)取以下5G精品資料
  • 1、回復(fù)“YD5GAI”免費(fèi)領(lǐng)取《中國移動(dòng):5G網(wǎng)絡(luò)AI應(yīng)用典型場景技術(shù)解決方案白皮書
  • 2、回復(fù)“5G6G”免費(fèi)領(lǐng)取《5G_6G毫米波測試技術(shù)白皮書-2022_03-21
  • 3、回復(fù)“YD6G”免費(fèi)領(lǐng)取《中國移動(dòng):6G至簡無線接入網(wǎng)白皮書
  • 4、回復(fù)“LTBPS”免費(fèi)領(lǐng)取《《中國聯(lián)通5G終端白皮書》
  • 5、回復(fù)“ZGDX”免費(fèi)領(lǐng)取《中國電信5GNTN技術(shù)白皮書
  • 6、回復(fù)“TXSB”免費(fèi)領(lǐng)取《通信設(shè)備安裝工程施工工藝圖解
  • 7、回復(fù)“YDSL”免費(fèi)領(lǐng)取《中國移動(dòng)算力并網(wǎng)白皮書
  • 8、回復(fù)“5GX3”免費(fèi)領(lǐng)取《R1623501-g605G的系統(tǒng)架構(gòu)1
  • 本周熱點(diǎn)本月熱點(diǎn)

     

      最熱通信招聘

    業(yè)界最新資訊


      最新招聘信息