實(shí)現(xiàn)ip軟交換網(wǎng)絡(luò)的可運(yùn)營和可管理�����,必須解決好VoIP軟交換網(wǎng)絡(luò)的用戶管理和控制��。這里所指的VoIP軟交換用戶是一個(gè)抽象概念�,它是針對(duì)VoIP軟交換網(wǎng)絡(luò)接人設(shè)備而言的����,主要包括網(wǎng)關(guān)設(shè)備(如中繼網(wǎng)關(guān)、信令網(wǎng)關(guān)����、接入網(wǎng)關(guān)等)以及用戶接人/終端設(shè)備(如IAD��、IP智能終端�����、多媒體軟終端等)�。
VoIP軟交換網(wǎng)絡(luò)的用戶管理涉及到多方面內(nèi)容�,包括用戶業(yè)務(wù)注冊、管理維護(hù)��、基本信息和安全保護(hù)等�。一項(xiàng)完善的用戶管理方案不僅僅涉及到VoIP軟交換網(wǎng)絡(luò)的核心控制設(shè)備,而且還涉及到相關(guān)的OSS系統(tǒng)��、終端設(shè)備和網(wǎng)關(guān)設(shè)備���。在VoIP軟交換網(wǎng)絡(luò)中�,保證終端接人的安全性和用戶服務(wù)的認(rèn)證至關(guān)重要�,因?yàn)檫@是對(duì)VoIP軟交換網(wǎng)絡(luò)構(gòu)成一個(gè)可運(yùn)營和可管理的安全業(yè)務(wù)體系的最基本要求。
為解決目前基于VoIP軟交換網(wǎng)絡(luò)提供電信網(wǎng)服務(wù)時(shí)存在的一些問題�,例如用戶旁路運(yùn)營商的問題、業(yè)務(wù)流的控制�����、網(wǎng)絡(luò)的安全性、QoS保證及私網(wǎng)穿越等問題�,業(yè)界提出了很多方案。其中比較有代表性的一個(gè)方案�����,也是正逐漸被運(yùn)營商認(rèn)可的一個(gè)方案�,就是在VoIP軟交換網(wǎng)絡(luò)核心傳送層建設(shè)具有一定安全性及QoS保證的專用承載網(wǎng)絡(luò),并在VoIP軟交換網(wǎng)絡(luò)接入層引入邊緣接入控制(BAC,BorderAccessController)設(shè)備���,如圖所示�����。
上圖中���,將VoIP軟交換網(wǎng)絡(luò)分成業(yè)務(wù)核心網(wǎng)(信任區(qū))和業(yè)務(wù)接入網(wǎng)(非信任區(qū))兩部分。VoIP軟交換設(shè)備�、信令網(wǎng)關(guān)、中繼網(wǎng)關(guān)���、接入網(wǎng)關(guān)、媒體服務(wù)器�����、重要客戶使用的IAD等設(shè)備基千核心網(wǎng)部署,該網(wǎng)絡(luò)可以是新建的物理專用網(wǎng)或是采用MPLSVPN等技術(shù)構(gòu)建的虛擬專用網(wǎng)���,能通過各種手段來保障VoIP軟交換設(shè)備間的相互通信及VoIP軟交換設(shè)備和非VoIP軟交換設(shè)備間的消息隔離���。
對(duì)于非重要客戶使用的IAD及IP智能終端等設(shè)備則部署于業(yè)務(wù)接入網(wǎng)。這類設(shè)備數(shù)最多�、分布廣,可通過各種接入方式快速收斂于BAC設(shè)備���,并基千BAC設(shè)備實(shí)現(xiàn)與核心網(wǎng)絡(luò)中其他設(shè)備的互通�。BAC設(shè)備介千VoIP軟交換核心網(wǎng)和業(yè)務(wù)接入網(wǎng)之間�����,它就像VoIP軟交換核心網(wǎng)的閘門一樣����,負(fù)責(zé)對(duì)試圖進(jìn)入VoIP軟交換核心網(wǎng)絡(luò)的非信任用戶的業(yè)務(wù)請求和業(yè)務(wù)流進(jìn)行合法性認(rèn)證。
一���、BAC設(shè)備功能概述
BAC設(shè)備是面向VoIP軟交換業(yè)務(wù)的新型接入控制設(shè)備�����,完成VoIP軟交換用戶的業(yè)務(wù)接入�、實(shí)現(xiàn)不同網(wǎng)絡(luò)環(huán)境下用戶業(yè)務(wù)的互通、保障核心層設(shè)備的安全�、支持QoS管理、媒體管理等功能����。BAC設(shè)備的主要功能特征如下。
1�、業(yè)務(wù)穿越功能
(1)支持VoIP軟交換用戶和VoIP軟交換設(shè)備處于不同網(wǎng)絡(luò)時(shí)的用戶業(yè)務(wù)穿越,具體包括以下3種情況:
? 用戶處于私網(wǎng)�����、VoIP軟交換設(shè)備處千公網(wǎng)�����;
? 用戶處千公網(wǎng)�����、VoIP軟交換設(shè)備處千私網(wǎng);
? 用戶處于私網(wǎng)�����,VoIP軟交換設(shè)備處于另一私網(wǎng)���。
(2)支持用戶注冊流程的穿越,用戶的認(rèn)證鑒權(quán)由VoIP軟交換設(shè)備執(zhí)行����。
(3)實(shí)現(xiàn)所有VoIP軟交換業(yè)務(wù)的穿越,不影響VoIP軟交換業(yè)務(wù)的實(shí)現(xiàn)��,不改變業(yè)務(wù)流程�����,不涉及業(yè)務(wù)邏輯的判斷�����,不引人業(yè)務(wù)安全隱患����。
2、安全保護(hù)功能
少能對(duì)終端用戶屏蔽VoIP軟交換設(shè)備、中繼網(wǎng)關(guān)�、接入網(wǎng)關(guān)、媒體服務(wù)器等設(shè)備的地址���,保護(hù)重要網(wǎng)元設(shè)備��。
(1)能阻擋非法設(shè)備對(duì)VoIP軟交換核心網(wǎng)的訪問����,阻斷非法協(xié)議對(duì)VoIP軟交換設(shè)備的訪問����。
(2)能進(jìn)行簡單的應(yīng)用層攻擊防護(hù),實(shí)現(xiàn)部分代理服務(wù)型防火墻功能�,隔離網(wǎng)絡(luò)層攻擊。
(3)具備根據(jù)業(yè)務(wù)需求����、用戶安全需求和運(yùn)營需求屏蔽通信對(duì)方地址的能力。
3�、QoS服務(wù)質(zhì)量保障功能
(1)支待對(duì)進(jìn)出設(shè)備消息的ToS/CoS(服務(wù)類型/服務(wù)等級(jí))的識(shí)別、標(biāo)記和重標(biāo)記功能�,能根據(jù)標(biāo)記優(yōu)先級(jí)進(jìn)行業(yè)務(wù)QoS處理。
(2)可支持鏈路QoS參數(shù)探測功能�,將QoS參數(shù)統(tǒng)計(jì)結(jié)果實(shí)時(shí)上報(bào)VoIP軟交換設(shè)備或其他指定設(shè)備���。
4、業(yè)務(wù)控制管理功能
(1)配合VoIP軟交換設(shè)備進(jìn)行業(yè)務(wù)和呼叫控制�����,能協(xié)助收集�、上報(bào)VoIP軟交換設(shè)備進(jìn)行呼叫處理需要的用戶參數(shù)����。
(2)支持對(duì)媒體流進(jìn)行控制管理,可以實(shí)現(xiàn)對(duì)媒體流的轉(zhuǎn)接控制�、統(tǒng)計(jì)、分析���、過濾����、帶寬控制等功能��。
1�、用戶管理功能
(1)可與終端配合進(jìn)行用戶存活狀態(tài)檢測,并將檢測結(jié)果上報(bào)VoIP軟交換設(shè)備處理����。
(2)在網(wǎng)絡(luò)組織上�,BAC設(shè)備根據(jù)用戶屋大小可放置在城域網(wǎng)匯聚層或接入層����,多個(gè)BAC設(shè)備間相互備份,當(dāng)一個(gè)設(shè)備受攻擊停止服務(wù)時(shí)��,可以通過DNS解析到網(wǎng)絡(luò)上的其他BAC設(shè)備接替提供服務(wù)��,備份不受BAC所處網(wǎng)絡(luò)位置的限制��。
二�、 基千BAC的呼叫處理流程
在VoIP軟交換網(wǎng)絡(luò)中引入BAC后,VoIP軟交換設(shè)備只對(duì)外公布其域名地址�����,而其IP地址僅對(duì)BAC公布��。BAC位于VoIP軟交換設(shè)備與用戶設(shè)備之間����,每個(gè)BAC負(fù)責(zé)多個(gè)VoIP軟交換設(shè)備的控制信息分發(fā),當(dāng)其收到VoIP軟交換用戶發(fā)來的呼叫請求后�,會(huì)根據(jù)預(yù)先設(shè)定的話務(wù)分配原則(如輪詢���、分類優(yōu)先等)向特定VoIP軟交換設(shè)備轉(zhuǎn)發(fā)呼叫請求CBAC具有協(xié)議解析功能,能夠根據(jù)應(yīng)用協(xié)議的參數(shù)識(shí)別哪些消息屬于同一呼叫���,然后將其分發(fā)至同一VoIP軟交換設(shè)備��,進(jìn)行呼叫處理)�����。同時(shí),為加強(qiáng)對(duì)用戶數(shù)據(jù)的管理�,仿照移動(dòng)網(wǎng)的用戶管理模式,可在VoIP軟交換網(wǎng)絡(luò)中引入HLR設(shè)備�����,集中存放用戶數(shù)據(jù)���,路由數(shù)據(jù)則集中存放在定位服務(wù)器中��。
在這種網(wǎng)絡(luò)組織方式下����,VoIP軟交換設(shè)備負(fù)責(zé)處理BAC送來的呼叫請求,查詢HLR獲得用戶業(yè)務(wù)屬性信息及用戶狀態(tài)���、查詢定位服務(wù)器獲得用戶IP地址或下一跳軟交換設(shè)備的路由信息�����,以實(shí)現(xiàn)業(yè)務(wù)接續(xù)及控制����?�;贐AC的呼叫處理流程如圖所示���。
(1)在發(fā)起1ilt務(wù)請求時(shí)���,用戶終端首先到VoIP軟交換網(wǎng)絡(luò)的DNS服務(wù)器進(jìn)行VoIP軟交換設(shè)備的域名解析;
(2)DNS解析VoIP軟交換設(shè)備的域名��,返回該用戶歸屬地(用戶所在地域或IP地址段)對(duì)應(yīng)的BAC設(shè)備的IP地址���;
(3)根據(jù)DNS返回的IP地址����,用戶終端將呼叫請求發(fā)送至該BAC設(shè)備(用戶終端認(rèn)為是在向VoIP軟交換設(shè)備發(fā)出呼叫請求);
(4)隨后BAC設(shè)備會(huì)查詢該用戶是否是已通過安全注冊的用戶���,若是����,則根據(jù)預(yù)設(shè)規(guī)則將該呼叫請求轉(zhuǎn)發(fā)至相應(yīng)VoIP軟交換設(shè)備進(jìn)行處理�;
(5)主叫VoIP軟交換設(shè)備首先會(huì)去HLR查詢用戶的業(yè)務(wù)相關(guān)信息,判別該用戶業(yè)務(wù)請求是否有權(quán)����,是否符合預(yù)設(shè)的業(yè)務(wù)觸發(fā)條件;
(6)主叫VoIP軟交換設(shè)備根據(jù)HLR查詢結(jié)果訪問定位服務(wù)器獲得本次呼叫的路由信息���;
(7)主叫VoIP軟交換設(shè)備將呼叫接續(xù)至被叫VoIP軟交換設(shè)備,后者收到呼叫請求后也通過查詢HLR,獲得被叫用戶當(dāng)前指定終端的IP地址�����,然后接至被叫終端�����。
