下一代网络的组网系统转让专利
申请号 : CN200410006537.5
文献号 : CN1665238B
文献日 : 2010-04-21
发明人 : 龙盘 , 吴东君
申请人 : 华为技术有限公司
摘要 :
一种下一代网络的组网系统包括若干网络分区,各个网络分区通过跨区域网络部件连接,且跨区域网络部件仅实现各个网络分区应用层互通进而实现各个网络分区的业务互通。该组网系统包括以下网络分区:非信任区,指用户可直接接入的网络以及未确定安全性的网络;信任区,指下一代网络的业务专用网络,与非信任区在网络层隔离;半信任区,通过防火墙与外部公众数据网连通的IP网络区域;操作维护区,独立的IP网络,一侧与操作维护服务器端设备连接,另一侧与客户端连接;运营支持系统网,专用网络,用于运营商全网设备的管理。本组网系统具有可行性,并实现接入网和应用服务器安全性,实现各个网络分区互通。
权利要求 :
1.一种下一代网络NGN的组网系统,其特征在于,将NGN的组网系统划分为若干网络分区,NGN网络部件根据各自的网络位置和功能连接到不同的网络分区中,各个网络分区之间在IP网络层上不互通,各个网络分区通过跨区域网络部件连接,且跨区域网络部件仅实现各个网络分区应用层互通进而实现各个网络分区的业务互通。
2.如权利要求1所述的下一代网络的组网系统,其特征在于,该组网系统包括以下网络分区:
非信任区,指用户可直接接入的网络以及未确定安全性的网络;
信任区,指下一代网络的业务专用网络,与非信任区在网络层隔离;
半信任区,通过防火墙与外部公众数据网连通的IP网络区域;
操作维护区,独立的IP网络,一侧与操作维护服务器端设备连接,另一侧与客户端连接;
运营支持系统网,专用网络,用于运营商全网设备的管理。
3.如权利要求2所述的下一代网络的组网系统,其特征在于,非信任区包括宽带接入网、企业网或校园网、互联网及其他运营商的下一代网络;信任区包括在核心网中建立的虚拟专用网络及专用于下一代网络业务的、物理上独立的IP网络。
4.如权利要求2所述的下一代网络的组网系统,其特征在于,信任区与半信任区实现业务互通的跨区域网络部件是应用业务网关,所述应用业务网关包括通过半信任区的物理端口与半信任区连接的第一协议适配模块、通过信任区物理端口与信任区连接的第二协议适配模块和连接第一、二协议适配模块的开放式应用接口模块。
5.如权利要求2所述的下一代网络的组网系统,其特征在于,信任区、操作维护区和运营支持系统网之间实现业务互通的跨区域网络部件是网络管理系统,所述网络管理系统采用三个业务接口模块通过不同的物理端口分别与信任区、操作维护区和运营支持系统网连接。
6.如权利要求5所述的下一代网络的组网系统,其特征在于,所述网络管理系统的业务接口模块包括通过运营支持系统网的物理端口与运营支持系统网连接的简单网络管理协议客户端模块、通过操作维护区的物理端口与操作维护区连接的管理服务器模块及通过信任区的物理端口与信任区连接的简单网络管理协议服务器模块,且简单网络管理协议客户端模块、管理服务器模块及简单网络管理协议服务器模块都与网络管理业务处理模块连接互通。
7.如权利要求2所述的下一代网络的组网系统,其特征在于,信任区与非信任区实现业务互通的跨区域网络部件是网络互通网关,网络互通网关的应用层包括采用会话控制层协议的第一应用层以及采用媒体传输层协议的第二应用层,其中第一应用层根据第一应用层处理结果控制第二应用层的业务互通。
8.如权利要求7所述的下一代网络的组网系统,其特征在于,所述会话控制层协议包括:会话初始协议、用于电话的会话初始协议、H.323、H.248及承载无关呼叫控制协议;所述媒体传输层协议包括:实时传输协议及实时传输控制协议。
9.如权利要求7所述的下一代网络的组网系统,其特征在于,所述网络互通网关包括相互分离的信令代理模块和媒体代理模块,所述信令代理模块用于终结一个网络分区的控制信令,解析控制信令的应用层信息,产生另一网络分区所需的控制信今并控制媒体流传送;所述媒体代理模块用于在信令代理模块控制下进行媒体流转发,并在转发过程进行媒体流格式的转换。
10.如权利要求9所述的下一代网络的组网系统,其特征在于,所述信今代理模块包括若干协议代理子模块,所述协议代理子模块终结一网络分区接收的协议报文,并产生另一网络分区所需的协议报文且根据信令处理结果创建媒体流处理策略。
11.如权利要求10所述的下一代网络的组网系统,其特征在于,信令处理结果指会话连接的成功或失败、成功后建立的媒体流数量、各个媒体流的端口号、各个媒体流的带宽、业务优先级及媒体流格式。
12.如权利要求10所述的下一代网络的组网系统,其特征在于,所述媒体代理模块包括:
媒体流处理策略管理模块,用于接收信令代理模块的媒体流处理策略,将所述媒体流处理策略分解为各种媒体流处理子策略;
媒体流处理模块,用于根据分解的媒体流处理子策略转发媒体流。
13.如权利要求12所述的下一代网络的组网系统,其特征在于,所述媒体流处理策略包括:地址转换策略,而媒体流处理策略管理模块包括地址转换策略模块,相应媒体流处理模块包括地址端口转换模块。
14.如权利要求13所述的下一代网络的组网系统,其特征在于,媒体流处理策略还包括:防火墙处理策略、媒体格式转换策略及业务质量控制策略,而媒体流处理策略管理模块相应还包括防火墙处理策略管理模块、媒体格式转换策略管理模块及业务质量控制策略管理模块,相应媒体流处理模块包括防火墙处理模块、媒体格式转换模块及业务质量控制模块。
15.如权利要求14所述的下一代网络的组网系统,其特征在于,该组网系统还包括设置在信任区或非信任区且用于业务质量控制的资源管理部件,在呼叫处理过程中,控制面部件向相应的网络分区的资源管理部件申请网络资源,所述控制面部件具体为NGN网络中的软交换设备,网络互通网关根据控制信令开放媒体流的转换和传送通道并配置相关的地址转换策略、防火墙处理策略、媒体格式转换策略及业务质量控制策略。
说明书 :
下一代网络的组网系统
技术领域
[0001] 本发明涉及下一代网络(NGN,Next Generation Network)的组网,尤指一种下一代网络的组网系统。
背景技术
[0002] NGN网络是一个建立在IP技术基础上的新型公共电信网络,能够容纳各种形式的信息,在统一的管理平台下,实现音频、视频、数据信号的传输和管理,具有下面几个重要的特点:
[0003] 承载与控制分离:将下一代网络划分为媒体传送、连接控制、应用业务三层,各层的网络设备各司其职,网络设备之间通过标准的、开放的接口通讯;
[0004] 网络设备部件化:下一代网络每层中按照功能划分为若干类网络部件。各层面、各功能的部件能独立发展,互不干涉,又能有机组合成一个网络整体。同时可以实现灵活的、弹性的组网,满足广泛的需求;
[0005] 承载分组化:各个网络部件之间的媒体流、控制流均承载于分组网络之上(目前一般认为是IP网络),网络部件之间的接口基于IP协议。
[0006] 在NGN框架下,网络中存在大量的网络部件。如媒体传送层各种不同容量的网关设备、媒体资源设备;连接控制层的软交换设备;应用业务层的各类应用服务器和管理服务器等。为满足复杂的组网需求,这些设备以分布式组网方式连接到IP网络中。IP网络的无处不在和开放性为NGN带来了组网灵活、开放的优势,同时也引出了网络安全与业务质量(QoS,Quality of Service)问题。
[0007] 在网络安全方面,攻击者可以从开放的IP网络接口进入NGN网络,通过开放的协议攻击NGN网络部件,威胁网络设备的安全及网络中其他用户的业务安全。这就要求NGN组网及相关的业务节点能够实现相应的安全特性。
[0008] 在QoS方面,由于IP协议本身的特性限制无法实现端到端的QoS,而只能通过分段的QoS保证实时业务的QoS。IP网络中各个段的组网情况各异(如区域或国家的不同),需要采用不同的QoS机制,这就要求IP网络中各个位置的NGN业务节点能够实现相应的QoS特性,才能对QoS进行控制。
[0009] 如图1所示,NGN部件包括有媒体网关(MG,Media Gateway)、信令网关(SG,Signaling Gateway)、软交换(SoftSwitch)、智能终端、综合接入设备(IAD,Integrated Access Device)、应用服务器(App Server)、网络管理系统(NMS,Network Management System)、媒体资源服务器(MRS,MediaResource Sever)、网络地址转换(NAT,Network Address Translation)设备、应用层网关(ALG,Application Level Gateway)等等。其中,媒体网关是将一种网络中的媒体转换成另一种网络所要求的媒体格式,媒体网关能够在电路交换网的承载通道和分组网的媒体流之间进行转换,任何业务都需要媒体网关在软交换的控制下实现。媒体网关包括中继媒体网关(TMG,Trunk MediaGateway)和接入媒体网关(AMG,Access Media Gateway)和分组终端。分组终端包括有软式电话(Soft Phone)、多媒体分组终端(SIP Phone)、会议电话(H.323Phone)等等,其中SIP(Session Description Protocol)是指会话初始协议。
[0010] 请继续参照图1,目前大多数NGN网络采用全开放、扁平化的方式组建,其中分组核心网为公众IP网络,各个NGN部件直接连接到分组核心网中。
[0011] 中继媒体网关、接入媒体网关、综合接入设备及各类智能终端在IP网络中分布式组网;
[0012] 软交换的控制接口直接向所有的网关部件开放;
[0013] 网关部件之间的媒体流接口相互开放;
[0014] NMS直接连接到网络中管理所有的NGN部件;
[0015] 应用服务器(AppServer)通过分组网络直接与软交换连接;
[0016] NAT/ALG通过普通防火墙设备接入私网中的NGN终端;
[0017] 本区域的软交换(SoftSwitch)通过分组核心网与其他区域的软交换互通;
[0018] NGN通过SG/TMG与公用交换网络(PSTN,Public Switch TelephoneNetwork)互通;
[0019] NGN部件接入同一个IP网络中,NGN网络中各个网络分段通过同样的策略保证QoS。
[0020] 请结合参照图2所示,现有技术通过实现在网络层或传输层互通进而实现业务互通,不解析应用层协议内容,也无法根据应用层信息对网络层/传输层的业务互通进行控制。其中物理层可以为双绞线或光纤,数据链路层可以为以太网,网络层可以为IP网,传输层采用用户数据报协议(UDP,User DatagramProtocol)或传输控制协议(TCP,Transmission Control Protocol)。网络分段1、2表示从地域或行政管理上划分的网络范围,如宽带接入网、宽带城域网、宽带广域网等。跨分段网络设备3采用不同的端口(图2中的第一、二端口)连接两个网络分段1、2,这里的端口可以为物理层端口或数据链路层端口(如VLAN)。跨分段网络设备3从网络层或传输层实现两个网络分段1、2之间的业务互通,典型跨分段网络设备3如路由器或防火墙设备。
[0021] 另外,现有技术中NAT/ALG部件的工作流程举例如下:
[0022] 私网(如,企业网或校园网)一般采用私有IP地址段,在需要与外部网络(如分组核心网)互通时需要采用NAT设备进行地址变换。普通NAT设备通过修改UDP或TCP报文头部地址信息实现地址的转换,但NGN网络中的部分多媒体会话应用在TCP/UDP负载中也携带地址信息。NGN终端在TCP/UDP报文负载中填写的是其自身地址,此地址信息在通过NAT设备时需要被修改为NAT设备上对外的地址。这种变化需要在NAT设备中启动一个ALG模块,针对某种协议解析应用层报文的内容,并对其中的内容进行更改,这样ALG模块能实现应用层互通,并不对应用层业务进行任何控制。
[0023] ALG功能目前主要驻留在一些NAT/防火墙(Firewall)设备中,使得这些设备具备识别应用的能力。对NGN业务应用,ALG需要支持IP语音和视频协议(H.323、SIP、MGCP/H.248等)的识别和对NAT/Firewall的控制,以使NGN应用层业务能够顺利地在私网与外部网络间互通。
[0024] 综上所述,以上组网系统基于NGN网络的理想模型,NGN终端不受控地接入NGN网络,所有的NGN部件在IP网络层不受控地互通。这样势必在网络安全、网络互通、QoS保证存在问题。
[0025] 1)NGN接入网的安全性问题
[0026] NGN接入网包括IAD及各类智能终端等NGN部件,这些NGN部件安装在用户桌面,所使用的IP网络接口暴露在用户的控制范围内。由于IP协议的开放性和NGN协议的开放性,攻击者可通过这些网络端口对NGN网络的安全性造成威胁。攻击方式举例如下:
[0027] 攻击网络设备,从开放的IP网络端口中输入攻击报文,对软交换、TMG、网管设备等NGN部件进行网络层或协议层的拒绝服务(DoS,Denial ofService)攻击;
[0028] 带宽盗用,通过开放的IP网络端口实现异地用户私有设备的互连,盗用分组核心网带宽,造成运营商数据业务收入分流并影响核心网中正常业务的运营;
[0029] 2)应用服务器的安全性问题
[0030] 应用服务器实现语音/数据融合型业务时需要与公众数据网络接口(如Internet),所处的环境不可能具有很高的安全性。如果应用服务器与软交换连接到同一个NGN网络中将会降低软交换的安全性。另外,众多的应用业务可能由第三方开发,在不能完全信任第三方软件安全性的情况下,向其开放NGN网络中的所有NGN部件也存在安全隐患。
[0031] 3)不同运营商之间的互通问题。
[0032] 不同运营商各自建设IP网络,由于IP地址分配、商业利益分配等多方面的原因,很多情况下不能直接互通。另外,不同运营商的NGN网络之间不具有相互的信任关系,一般情况下也不可能直接互通。因此现有组网方案无法解决多运营商之间的互通问题。
[0033] 4)跨区域的网络互通问题。
[0034] 同一运营商的各个地域之间IP网络的互连带宽一般较小,如跨城市、跨省的互连带宽远小于城域网内部的带宽。不同的带宽资源环境下需要采取各自的QoS策略,如城域接入网采用基于用户业务的InterServ(集成服务)模式实现QoS、城域骨干网采用DiffServ(区分服务)模式实现QoS,城域网之间通过基于呼叫的InterServ模式保证QoS,此时不能直接将跨地域的NGN网络在网络层连通。
发明内容
[0035] 本发明解决的问题是提供一种下一代网络的组网系统,解决NGN大规模组网和网络安全问题并且具有可行性。
[0036] 为解决上述问题,本发明将下一代网络NGN的组网系统划分为若干网络分区,NGN网络部件根据各自的网络位置和功能连接到不同的网络分区中,各个网络分区之间在IP网络层上不互通,各个网络分区通过跨区域网络部件连接,且跨区域网络部件仅实现各个网络分区应用层互通进而实现各个网络分区的业务互通。
[0037] 该组网系统包括以下网络分区:非信任区,指用户可直接接入的网络以及未确定安全性的网络;信任区,指下一代网络的业务专用网络,与非信任区在网络层隔离;半信任区,通过防火墙与外部公众数据网或第三方数据网连通的IP网络区域;操作维护区,独立的IP网络,一侧与操作维护服务器端设备连接,另一侧与客户端连接;运营支持系统网,专用网络,用于运营商全网设备的管理。
[0038] 信任区与半信任区实现业务互通的跨区域网络部件是应用业务网关;信任区、操作维护区和运营支持系统网之间实现业务互通的跨区域网络部件是网络管理系统,所述网络管理系统采用三个业务接口模块通过不同的物理端口分别与信任区、操作维护区和运营支持系统网连接。
[0039] 信任区与非信任区实现业务互通的跨区域网络部件是网络互通网关,网络互通网关的应用层包括采用会话控制层协议的第一应用层以及采用媒体传输层协议的第二应用层,其中第一应用层根据第一应用层处理结果控制第二应用层的业务互通。
[0040] 所述网络互通网关包括相互分离的信令代理模块和媒体代理模块,所述信令代理模块用于终结一个网络分区的控制信令,解析控制信令的应用层信息,产生另一网络分区所需的控制信令并控制媒体流传送;所述媒体代理模块用于在信令代理模块控制下进行媒体流转发,并在转发过程进行媒体流格式的转换。
[0041] 所述信令代理模块包括若干协议代理子模块,所述协议代理子模块终结一网络分区接收的协议报文,并产生另一网络分区所需的协议报文且根据信令处理结果创建媒体流处理策略。信令处理结果指会话连接的成功或失败、成功后建立的媒体流数量、各个媒体流的端口号、各个媒体流的带宽、业务优先级及媒体流格式。
[0042] 所述媒体代理模块包括:媒体流处理策略管理模块,用于接收信令代理模块的媒体流处理策略,将所述媒体流处理策略分解为各种媒体流处理子策略;媒体流处理模块,用于根据分解的媒体流处理子策略转发媒体流。媒体流处理模块还包括实时传输协议中继模块,所述实时传输协议中继模块接收一侧网络分区的媒体流报文,发送到另一侧网络分区,处理过程中未更改媒体流的内容。
[0043] 所述媒体流处理策略包括:地址转换策略,而媒体流处理策略管理模块包括地址转换策略模块,相应媒体流处理模块包括地址端口转换模块。媒体流处理策略还包括:防火墙处理策略、媒体格式转换策略及业务质量控制策略,而媒体流处理策略管理模块相应还包括防火墙处理策略管理模块、媒体格式转换策略管理模块及业务质量控制策略管理模块,相应媒体流处理模块包括防火墙处理模块、媒体格式转换模块及业务质量控制模块。
[0044] 该组网系统还包括设置在信任区或非信任区且用于业务质量控制的资源管理部件,在呼叫处理过程中,控制面部件向相应的网络分区的资源管理部件申请网络资源,所述控制面部件具体为NGN网络中的软交换设备,网络互通网关根据控制信令开放媒体流的转换和传送通道并配置相关的地址转换策略、防火墙处理策略、媒体格式转换策略及业务质量控制策略。
[0045] 所述网络互通网关进一步包括:报文分发模块和报文汇聚模块,其中报文分发模块用于从一网络分区接收报文,并对报文合法性进行检查,将分类后的合法报文发送给信令代理模块和媒体代理模块;报文汇聚模块用于将处理后的媒体流和信令发送给另一网络分区。
[0046] 所述网络互通网关进一步包括认证代理模块,用于在网络部件接入NGN时,对所述网络部件进行认证注册。
[0047] 所述网络互通网关进一步包括用于网络管理系统与非信任区网关之间的简单网络管理协议报文互通的简单网络管理协议中继模块,以对非信任区网关进行网络管理。
[0048] 与现有技术相比,本发明具有以下优点:
[0049] 1)实现NGN接入网的安全性
[0050] 本发明可通过网络互通网关的分布式组网和访问控制解决业务安全及带宽盗用问题。网络互通网关分布式地设置到各个接入小区(含企业网、校园网),在接入网中通过网络层的访问控制限制NGN终端所使用的网络接口仅能访问本小区的网络互通网关。由网络互通网关实现NGN应用层的访问控制,用户必须完成NGN业务认证流程后才能接入到NGN业务网(通过接入互通网关的注册认证代理功能实现)。同时网络互通网关对建立的连接进行带宽控制(通过上文中描述的NGN业务QoS保证机制实现),防止用户使用超出申请范围的带宽资源。
[0051] 采用分布式组网后,恶意用户只能够访问本小区的网络互通网关,因此安全威胁可以局限在小区中。安全问题的隔离和定位可提高NGN网络的安全性。
[0052] 2)实现应用服务器的安全性。
[0053] 本发明为第三方应用服务器和所有需要与Internet连接的应用服务器划分了半信任区,此区域与信任区之间通过应用层的Parlay接口网关互通。来自公众网络和第三方软件的安全威胁限制在半信任区内部,不会影响到整个NGN网络的安全。
[0054] 3)实现不同运营商之间的互通
[0055] 本发明使用网络互通网关隔离不同运营商的网络,此部件在各运营商的NGN网络中均表现为普通的媒体网关。从而解决IP地址转换、媒体流格式转换、信令协议转换等组网问题以及网络安全问题(通过网络互通网关的地址端口转换、媒体流格式转换等功能实现)。
[0056] 4)实现跨区域的网络互通
[0057] 技术框架中使用IP-IP GW实现不同地域NGN网络之间的互连,为网络中各段实施不同的QoS策略提供了可能。同时,这个架构下NGN网络被划分为较小的区域,简化了网络管理、测试、故障定位等操作的复杂度,提高了网络的可运营性。
[0058] 5)本发明下一代网络的组网系统具有可行性。
附图说明
[0059] 图1是现有技术中下一代网络的组网系统示意图。
[0060] 图2是现有技术中下一代网络互通示意图。
[0061] 图3是本发明下一代网络的组网系统示意图。
[0062] 图4是本发明下一代网络的组网系统信任区的一个实施例示意图。
[0063] 图5是本发明下一代网络的组网系统信任区的另一实施例示意图。
[0064] 图6是本发明下一代网络的组网系统中半信任区和信任区业务互通示意图。
[0065] 图7是本发明下一代网络的组网系统中操作维护区、运营支持系统网及信任区之间业务互通示意图。
[0066] 图8是本发明下一代网络的组网系统中信任区和非信任区业务互通原理图。
[0067] 图9是本发明下一代网络的组网系统中实现信任区和非信任区业务网络互通网关示意图。
[0068] 图10是本发明下一代网络的组网系统中实现信任区和非信任区业务互通的接入互通网关示意图。
[0069] 图11是本发明下一代网络的组网系统中实现信任区和非信任区业务互通的网间互通网关示意图。
[0070] 图12是本发明下一代网络的组网系统中实现业务质量控制的原理图。
具体实施方式
[0071] 现有技术方案中的安全措施借用了Internet业务的思路,未考虑NGN的特点,其安全措施主要实施在IP网络层。由于IP协议本身的缺陷,无法提供电信级的安全性;同时,由于网络部件间无法感知NGN业务会话,因此无法实施QoS策略。本发明下一代网络的组网系统,结合NGN网络业务的特点,在IP网络层对不同类型的NGN网络部件之间进行了彻底的隔离,而由跨区域网络部件实现应用业务层的互通,同时配合承载网的资源控制部件实现各网络区域内的QoS保证。
[0072] 为达到上述目的,本发明下一代网络的组网系统包括若干网络分区,各个网络分区通过跨区域网络部件连接,跨区域网络部件仅实现所跨网络分区之间的应用层互通,最终实现各个网络分区的业务互通。
[0073] NGN网络以地域为单位进行划分建设,该地域可以是一个城市或一个更大的地区,在同一地域内的IP网络具有很大的共性(如互连带宽、QoS控制方式等),同时在运营管理等方面具有紧密的联系。在一个地域内,为NGN业务构建若干个网络分区,NGN网络部件根据各自的网络位置和功能连接到不同的网络分区中。各个网络分区之间在网络层不互通,通过跨区域网络部件实现业务层的互通。请参照图3所示,下一代网络的组网系统包括以下网络分区:
[0074] 非信任区4,指用户可直接接入的网络以及未确定安全性的网络;
[0075] 信任区5,指下一代网络的业务专用网络,与非信任区在网络层隔离;
[0076] 半信任区6,通过防火墙与外部公众数据网连通的IP网络区域;
[0077] 操作维护区7,独立的IP网络,一侧与操作维护服务器端设备连接,另一侧与客户端连接;
[0078] 运营支持系统网(OSS)8,专用网络,用于运营商全网设备的管理,是运营商一有的网络分区。
[0079] 另外,该组网系统还包括PSTN网,为运营商已有的网络分区,通过中继媒体网关和信令网关于信任区互通。下面对各个网络分区具体描述。
[0080] 非信任区4包括宽带接入网、企业网或校园网、互联网及其他运营商的下一代网络。宽带接入网指从用户终端到宽带接入网汇聚点之间的网络,用户可直接接入;企业网/校园网指从用户终端到企业网/校园网出口之间的网络,用户可直接接入;互联网指所有与Internet连通的网络区域,安全性不可知;其他需要互通的专用网络,如其他运营商的NGN网络等,安全性不可知。
[0081] 连接到非信任区4的NGN网络部件包括桌面式综合接入设备(IAD,Integrated Access Device)、智能终端(如,软式电话(Soft Phone)、会议电话(H.323Phone)、多媒体分组终端(SIP Phone)等)以及从Internet接入的各类NGN终端设备。因为非信任区4网络技术多样、存在多种安全威胁,需要与信任区5在IP网络层隔离以便于针对性地实施安全保证措施和QoS机制。非信任区4通过网络互通网关连接到信任区5,后文会详细描述网络互通网关。
[0082] 信任区5包括在核心网中建立的虚拟专用网络(VPN,Virtual PrivateNetwork)或专用于下一代网络业务的、物理上独立的IP网络。实际组网应用中有以下两类网络实现方法:
[0083] VPN网络模式,在非信任区4的IP核心网中建立NGN的虚拟专用网络,可以采用二层VPN或三层VPN等多种技术手段。此模式下IP网络信任区构建在边缘路由器、核心路由器上;此模式下信任区5与非信任区4的区域划分如图4。
[0084] IP专网模式,即专用于NGN业务的、物理上独立的IP网络;此模式下IP网络信任区与非信任区的区域划分如图5。连接到信任区5中的NGN网络部件中的核心部件包括SoftSwitch、NMS、AMG、TMG、MRS、MCU、网间互通网关等;另外连接到信任区5中还包括本运营商拥有的、不需要与开放式网络互通的应用服务器。此网络分区内的网络部件接受运营商的严格管理和监控,网络部件之间具有信任关系,因此不需要在应用层实施额外的安全措施。在QoS控制方面,此区域内的设备连接到同一特性的IP网络中,可以实施同一套QoS机制。
[0085] 半信任区6,该网络分区为下一代网络中单独构建的独立网络,类似于企业网中的非军事区(DMZ)。半信任区6包括所有需要与公众数据网(如Internet)互通的以及第三方开发的应用服务器(不可信任)。半信任区6用于连接这两种应用服务器,且通过防火墙(Firewall)与公众数据网连通,具备一定级别的安全性。由于与公众网络互通,此网络分区存在来自Internet网络的安全威胁;另外,由于第三方提供的应用服务器与运营商的设备之间无法建立信任关系,因此半信任区6中的网络部件不能直接连入信任区5中。半信任区6通过应用业务网关(App Service GW)连接到信任区5,后文会详述。
[0086] 操作维护区7,此网络分区为NGN网络中单独构建的独立网络,用于连接操作维护服务器端设备和维护人员直接操作的客户端设备(PC机或工作站)此类设备由维护人员频繁操作并需要经常与外部进行数据交换,存在人为操作的威胁、病毒的威胁。因此需要构建单独网络以保证安全性。操作维护区7与NMS、SoftSwitch等NGN核心部件的操作维护接口连接,通过NMS与信任区5连接,后文会详述。
[0087] 运营支持系统网8,一般为独立的数据网,用于运营商全网设备的管理,完成远程网络管理和计费采集功能。从双方的安全性方面考虑,运营支持系统网8不能与信任区5直接连通。在本发明实施例中运营支持系统网8通过NMS与信任区5连接,后文会详述。
[0088] 网络分区之间业务互通由跨区域网络部件实现网络分区之间的业务互通,本实施例中实现网络分区之间的业务互通的跨区域网络部件主要为应用业务网关、NMS和网络互通网关。
[0089] 请参照图6所示,信任区5与半信任区6实现业务互通的跨区域网络部件是应用业务网关9。应用业务网关9采用两个不同得物理端口连接信任区5和半信任区6。所述应用业务网关9包括通过半信任区6的物理端口与半信任区6连接(例如与应用服务器连接)的第一协议适配模块91、通过信任区5物理端口与信任区5连接(例如与SoftSwitch连接)的第二协议适配模块93以及连接第一、二协议适配模块91、93的开放式应用接口模块92(如ParlayAPI)。当半信任区6中与第一协议适配模块91连接的下一代网络部件是可信任,(应用服务器可信任,如运营商自己的应用服务器且不与Internet网连接的情况),可以纳入信任区5。此时两侧的第一、二协议适配模块91、93均通过信任区5物理端口连入信任区5。
[0090] 另外,第一、二协议适配模块91、93不同。在半信任区6一侧的第一协议适配模块91为承载于IP之上的开放式应用接口协议,如Parlay接口协议等;在信任区5一侧的第二协议适配模块93为NGN网络的控制协议及其扩展协议,如SIP、H323等。
[0091] 数据流程:非信任区6一侧的应用服务器通过第一协议适配模块91向开放式应用接口模块92发出信令,如资源请求、状态查询或控制等,此指令满足一定的协议规范,如Parlay接口协议。开放式应用接口模块91解析此信令,分解为一系列的NGN控制信令,通过信任区5一侧的第二协议适配模块93送到相应的NGN网络部件(如SoftSwitch)。反之,返回的信息在开放式应用接口模块92处被封装为相应的协议送到相应网络分区的应用服务器。
[0092] 信任区5、操作维护区7和运营支持系统网8之间实现业务互通的跨区域网络部件是网络管理系统(NMS)10,所述网络管理系统10采用三个业务接口模块通过不同的物理端口分别与信任区5、操作维护区7和运营支持系统网8连接。其中,所述NMS 10实现全网的设备管理,包括数据配置、状态查询、维护操作等功能。
[0093] 所述网络管理系统10的业务接口模块包括通过运营支持系统网8的物理端口与运营支持系统网8连接的简单网络管理协议客户端(SNMP Client)模块101、通过操作维护区7的物理端口与操作维护区7连接的管理服务器(Manage Server)模块102及通过信任区5的物理端口与信任区5连接的简单网络管理协议服务器(SNMP Server)模块103,且简单网络管理协议客户端模块101、管理服务器模块102及简单网络管理协议服务器模块103都与网络管理业务处理模块104连接互通。
[0094] NMS 10中的核心模块为网络管理业务处理模块104,此模块需要与信任区5、操作维护区7和运营支持系统网8进行信息交互。简单网络管理协议客户端模块101,接受上级网关服务器的管理和查询,对外为标准接口。简单网络管理协议服务器模块103对本区域NGN网络部件进行网络管理,对外为标准接口。管理服务器模块102,通过MML(人机语言接口)与操作维护终端交互,对外为自定义接口。
[0095] 状态查询:网络管理业务处理模块104控制简单网络管理协议服务器模块103采集NGN网络中各个设备的状态信息,存放在模块内的信息库中;操作维护区7的操作维护客户端通过管理服务器模块102向网络管理业务处理模块104发出相关的信息请求,网络管理业务处理模块104解析命令后按照预定格式发出相关信息。同样,运营支持系统网8中的简单网络管理协议客户端模块101也可以通过SNMP协议发出类似的信息请求,网络管理业务处理模块104解析命令后按照预定格式发出相关信息。
[0096] 数据配置和控制命令下发:运营支持系统网8通过相关协议发出数据配置或控制命令,网络管理业务处理模块104解析命令,转换为SNMP命令下发到相应的NGN网络部件。
[0097] 请参照图8所示,信任区5与非信任区4实现业务互通的跨区域网络部件是网络互通网关11,网络互通网关11的应用层包括采用会话控制层协议的第一应用层110以及采用媒体传输层协议的第二应用层112,其中第一应用层110根据第一应用层110处理结果控制第二应用层112的业务互通。
[0098] 所述会话控制层协议包括:会话初始协议、用于电话的会话初始协议(SIP-T,Session Initiation Protocol for Telephones)、H.323、H.248及承载无关呼叫控制协议(BICC,Bearer Independent Call Control Protocol);所述媒体传输层协议包括:实时传输协议及实时传输控制协议。
[0099] 请参照图9所示,网络互通网关11包括相互分离的信令代理模块113和媒体代理模块114,所述信令代理模块113(包括控制信令应用层信息解析功能)用于终结一个网络分区的控制信令并产生另一网络分区所需的控制信令并控制媒体流传送;所述媒体代理模块114用于在信令代理模块113控制下进行媒体流转发,并在转发过程进行媒体流格式的转换。
[0100] 与媒体流相关的信息包含在各类NGN控制信令的SDP(会话描述协议)字段中,会话建立过程中主被叫双方确定SDP字段的内容,因此通过信令处理结果可以创建媒体流处理策略,一般在会话建立成功时才创建媒体流处理策略。信令处理结果指会话连接的成功或失败、成功后建立的媒体流数量、各个没提留的端口号、各个媒体流的带宽、业务优先级及媒体流格式。
[0101] 以下为一个实例,比如一个视频呼叫将会建立两条媒体流(双向共四条媒体流),其中一条为音频媒体流,端口号1234、带宽100Kbps、优先级为最高、媒体流格式为G.711;另一条为视频媒体流,端口号5678、带宽384Kbps、优先级为次高、媒体流格式为H.263。
[0102] 所述信令代理模块113包括若干协议代理子模块,所述协议代理子模块终结一网络分区接收的协议报文,并产生另一网络分区所需的协议报文且根据信令处理结果创建媒体流处理策略。协议代理子模块包括网关注册协议代理模块、会话初始协议代理模块、媒体网关控制协议(MGCP)代理模块、H.248协议代理模块、H.323协议代理模块、SIP-T协议代理模块、BICC协议代理模块、简单网络管理协议中继模块(SNMP Relay模块)等。
[0103] 所述媒体代理模块114包括媒体流处理策略管理模块115和媒体流处理模块116。所述媒体流处理策略管理模块115用于接收信令代理模块的媒体流处理策略,分解为媒体流处理策略;所述媒体流处理模块116用于根据分解的媒体流处理策略转发媒体流。
[0104] 所述媒体流处理策略包括:地址转换策略,而媒体流处理策略管理模块115包括地址转换策略模块,相应媒体流处理模块116包括地址端口转换模块,对接收报文的地址端口进行变换,获得地址端口转换信息,这样两侧的应用层即可互通。
[0105] 媒体流处理策略还包括:防火墙处理策略、媒体格式转换策略及业务质量控制策略,而媒体流处理策略管理模块115相应还包括防火墙处理策略、媒体格式转换策略及业务质量控制策略,相应媒体流处理模块116包括防火墙处理模块、媒体格式转换模块及业务质量控制模块,进而获得防火墙处理信息、媒体流格式转换信息及业务质量控制信息。业务质量控制模块对媒体流的会话带宽、优先级等参数进行控制,包括优先级重标记、速率控制等功能,用于与IP网络资源管理部件配合保证业务的QoS,后文会进一步描述;所述防火墙处理模块针对接收报文的源/目的IP、源/目的端口号进行过滤,以保证安全性,防止非法报文通过设备;媒体流格式转换模块对相应媒体流进行格式转换,如将G.711格式转为G.723格式,当网络两侧无法找到匹配的媒体流格式时采用,为可选。
[0106] 媒体流处理模块116还包括实时传输协议中继模块(RTP Relay模块)接收一侧网络分区的媒体流报文,发送到另一侧网络分区,处理过程中不对媒体流的内容进行任何更改,因此称为“中继”。处理过程中对以下几方面进行处理:判断是否为合法数据流,如果为非法数据流则抛弃;判断数据流量是否超出申请值,如果超出申请值则抛弃;更改报文头部TCP/IP层的信息。
[0107] 当信令代理模块113与媒体代理模块114合用同一物理端口时,还包括输入、输出接口的报文分发模块117和报文汇聚模块118,其中报文分发模块117用于从一网络分区接收报文,并对报文合法性进行检查,将分类后的合法报文发送给信令代理模块和媒体代理模块;报文汇聚模块118用于根据报文的IP地址协议类型和端口号进行分发汇聚,将处理后的媒体流和信令发送给另一网络分区。
[0108] 请参照图10、11所示,所述网络互通网关11根据在网络中位置不同分为接入互通网关12和网间互通网关13。其中信令代理模块113中用于对网络部件进行注册认证的网关注册协议代理模块对于接入互通网关12是必要的。实现接入网中网关的注册代理功能,即终结一侧的注册报文并在另一侧重新产生所需格式的注册报文,并保存网关的注册状态以及在接入网中的IP地址。
[0109] 接入互通网关12的注册报文进入网关注册协议代理模块后,此模块用自身的IP地址作为源地址,以接入互通网关12的用户名和密钥进行注册,如果注册成功,则记录接入互通网关的IP地址等相关注册信息,在呼叫过程中作为合法性检查的依据。如果某个源IP的网关短时间内多次注册失败,则认为恶意用户攻击网络,网关注册协议代理模块将此网关列入黑名单,一段时间内禁止再次注册,以保护软交换不会被大量的恶意注册报文淹没。
[0110] 另外,信令代理模块113中SNMP Relay模块对于接入互通网关12是必要的,用于对非信任区网关进行网络管理。此模块实现NMS与非信任区网关之间的网络管理报文互通。具体实现过程:一侧的网络简单网络管理协议报文进入网关管理中继模块之后,此模块提取报文应用层信息,用另一侧网络接口的IP地址作为源IP封装后发出。从而实现两侧网络简单网络管理协议报文的互通。
[0111] 请继续参照图10,接入互通网关12连接NGN网络中的信任区5和非信任区4。从信任区5中发起呼叫时,接入互通网关12向信任区5表现为被呼叫的目的媒体网关(MG),向非信任区4表现为SoftSwitch/GK(网守)和发起呼叫的源媒体网关(MG)。从非信任区4发起呼叫时,接入互通网关12向非信任区4表现为SoftSwitch/GK和被呼叫的目的媒体网关,向信任区5表现为发起呼叫的源媒体网关。
[0112] 这样,接入互通网关12实现如下功能:
[0113] 1)实现接入网中网关的注册代理功能,即终结一侧的注册报文并在另一侧重新产生所需格式的注册报文;并保存网关的注册状态以及在接入网中的IP地址;
[0114] 2)在控制面实现H.248、H.323、SIP、MGCP等NGN控制协议的代理功能,即终结一侧的控制信令并在另一侧重新产生呼叫所需的控制信令;
[0115] 3)在协议代理的处理过程中控制媒体流传送,即为呼叫建立成功的NGN业务会话进行媒体流转发;
[0116] 4)媒体流转发过程中实现基于NGN会话的QoS控制,控制参数包括会话带宽、优先级重标记、二层链路重标记等;
[0117] 5)媒体流转发过程中实现媒体流的网络地址及地址端口转换;
[0118] 6)实现网管代理功能,完成SNMP报文的中继转发,配合NGN网管系统对非信任区中的网关设备进行管理。
[0119] 请继续参照图10,网间互通网关13连接NGN网络中的信任区5和非信任区4,所述非信任区4如H.323网、其他运营商的NGN网、本运营商其他地域的NGN网、移动3G网等。
[0120] 从信任区5中发起呼叫时,网间互通网关13向信任区5表现为控制面部件和被呼叫的目的媒体网关,向非信任区4表现为SoftSwitch和源媒体网关。从非信任区4中发起呼叫时,网间互通网关13向非信任区4表现为SoftSwitch和被呼叫的目的媒体网关,向信任区5表现为发起呼叫的源媒体网关。
[0121] 这样,网间互通网关13总的来说实现以下功能:
[0122] 1)在控制面实现H.323、SIP-T、BICC等NGN网间互通控制协议的代理功能,即终结一侧的控制信令并在另一侧重新产生呼叫所需的控制信令;
[0123] 2)在协议代理的处理过程中控制媒体流传送,即为建立成功的NGN业务会话进行媒体流转发;
[0124] 3)媒体流转发过程中实现基于NGN会话的QoS控制,控制参数包括会话带宽、优先级重标记、二层链路重标记等;
[0125] 4)媒体流转发过程中实现媒体流的网络地址及地址端口转换;
[0126] 5)转发过程中实现媒体流格式的转换。
[0127] 请继续参照图9所示,这样,基于网络互通网关媒体报文的转发处理,以实时传输协议(RTP)报文为例,具体如下:
[0128] 网络互通网关11收到报文,首先进行报文的合法性检查,包括MAC地址合法性和IP报文的合法性检查,对于合法的报文进行后续处理,否则予以丢弃;
[0129] 随后报文分发模块117根据报文的目的端口号进行报文粗分类,对于属于RTP端口范围的报文则转RTP Relay模块进行处理;对于属于著名信令端口(用于监听从用户侧发过来的上行信令报文)和系统配置的信令端口范围(用于接收从SoftSwitch侧发过来的下行信令报文)及其它非RTP端口范围的报文送入报文分发模块117后续的输入报文处理;
[0130] 输入报文处理根据端口号进一步细分,将属于著名信令端口(用于监听从用户侧发过来的上行信令报文)和系统配置的信令端口范围(用于接收从SoftSwitch侧发过来的下行信令报文)的报文发给本机的各协议报文代理模块,如SIP/H.323/MGCP/H.248/BICC/SIP-T/REGISTER信令处理部分,其它报文则根据协议端口配置表送ICMP/SNMP/TELNET等其它管理维护部分;信令处理层和管理维护层对报文进行处理后,由报文汇聚模块将报文发送出去;
[0131] 在有效的实时传输协议(RTP)报文到达之前,信令代理模块113通过分析协议报文中会话描述协议(SDP)的信息感知媒体的描述,生成媒体流处理策略描述信息(媒体流的地址端口转换、会话带宽及流向等),一次会话共生成双向的RTP/RTCP(实时传输协议/实时传输控制协议)共四个媒体流转发控制策略(对于视频会话,则会生成更多的控制策略),由Call ID(标识本次会话)将此四个控制策略相互关联,下发给媒体代理模块114的媒体流处理策略管理模块115,生成对媒体流的控制哈希(Hash)表项,控制Hash表的索引为媒体流报文的三元组:源IP地址+目的IP地址+目的端口号,表项内容则为对该媒体流的安全(防火墙)、QoS控制、媒体格式转换和地址端口变换处理方式。
[0132] RTP Relay模块收到RTP报文后,通过三元组查询媒体流转发控制策略表得到针对此媒体流的安全(防火墙)、QoS控制、媒体格式转换和地址端口转换信息,媒体流处理模块、媒体流格式转换模块根据策略信息进行处理,然后由报文汇聚模块118进行IP层处理。
[0133] 会话结束后,协议代理模块(指包含于信令代理模块113中的各个协议代理子模块)下达媒体流控制策略删除请求,媒体流处理策略管理模块115根据Call ID删除与此次会话相关的媒体流控制Hash表项。若有后续的此RTP流,RTP Relay模块将因媒体流处理策略管理模块115匹配失败而将报文丢弃,禁止非法报文进入NGN业务网络信任区,达到保护业务安全的目的。若会话非正常结束,则媒体流处理策略管理模块115将对生成的媒体流Hash控制表项进行老化处理,或者在信令处理模块113超时释放控制块时删除流策略表项。
[0134] 请参照图12所示,在以上的网络分区划分和网络互通网关的基础之上,配合网络资源分配机制可以提供NGN业务的QoS保证,基本原理描述如下。
[0135] IP网络QoS分为两种实现模型:DiffServ和InterServ,DiffServ基于充足的网络资源,针对业务分类进行粗粒度的管理,此时IP网络中没有资源管理部件,各个IP网络节点对不同业务的转发行为通过静态配置下发,网络边缘设备完成业务类型的标记。InterServer模型基于业务会话进行资源分配,此时IP网络中需要设置资源管理部件(RM),网络边缘部件完成业务会话的识别和资源映射。IP-IP GW作为各个网络区域中的网络边缘部件,解析SoftSwitch的控制信令,根据其中信息实施相应的QoS控制行为。因为信任区5和非信任区4之间传送有媒体流,所以在信任区或非信任区配置有效的QoS控制。
[0136] 请继续参照图12所示,该组网系统还包括设置在信任区或非信任区且用于业务质量控制的资源管理部件14,在呼叫处理过程中,控制面部件(此部件作为各类网关的控制器,对呼叫连接的整个过程进行控制,如NGN网络中的软交换设备)向相应的网络分区的资源管理部件14申请网络资源,网络互通网关11根据控制信令开放媒体流的转换和传送通道并配置相关的地址转换策略、防火墙处理策略、媒体格式转换策略及业务质量控制策略。
[0137] 媒体网关A呼叫媒体网关B,两侧的网络互通网关11在媒体网关与SoftSwitch之间进行信令代理,同时记录会话的相关信息。SoftSwitch在呼叫处理过程中通过开放接口向各个网络分区的RM 14申请网络资源,当网关(包括媒体网关和网络互通网关)及各个网络分区的资源均具备后,SoftSwitch控制会话建立。网络互通网关11在信令解析和信令代理过程中根据SoftSwitch的控制信息开放媒体流的转换和传送通道,并配置相关的QoS控制、地址端口变换、媒体格式转换、防火墙功能。会话结束后SoftSwitch向RM 14释放网络资源,同时网络互通网关11根据控制信息删除相应的媒体流转换和传送通道。
[0138] 综上所述,本发明可以解决现有技术中的一系列NGN组网问题。
[0139] 1.NGN接入网的安全性问题。
[0140] 本发明可通过网络互通网关的分布式组网和访问控制解决业务安全及带宽盗用问题。网络互通网关分布式地设置到各个接入小区(含企业网、校园网),在接入网中通过网络层的访问控制限制NGN终端所使用的网络接口仅能访问本小区的网络互通网关。由网络互通网关实现NGN应用层的访问控制,用户必须完成NGN业务认证流程后才能接入到NGN业务网(通过接入互通网关的注册认证代理功能实现)。同时网络互通网关对建立的连接进行带宽控制(通过上文中描述的NGN业务QoS保证机制实现),防止用户使用超出申请范围的带宽资源。
[0141] 采用分布式组网后,恶意用户只能够访问本小区的网络互通网关,因此安全威胁可以局限在小区中。安全问题的隔离和定位可提高NGN网络的安全性。
[0142] 2.应用服务器的安全性问题。
[0143] 本发明为第三方应用服务器和所有需要与Internet连接的应用服务器划分了半信任区,此区域与信任区之间通过应用层的Parlay接口网关互通。来自公众网络和第三方软件的安全威胁限制在半信任区内部,不会影响到整个NGN网络的安全。
[0144] 3.不同运营商之间的互通问题。
[0145] 本发明使用网络互通网关隔离不同运营商的网络,此部件在各运营商的NGN网络中均表现为普通的媒体网关。从而解决IP地址转换、媒体流格式转换、信令协议转换等组网问题以及网络安全问题(通过网络互通网关的地址端口转换、媒体流格式转换等功能实现)。
[0146] 4.跨区域的网络互通问题。
[0147] 技术框架中使用IP-IP GW实现不同地域NGN网络之间的互连,为网络中各段实施不同的QoS策略提供了可能。同时,这个架构下NGN网络被划分为较小的区域,简化了网络管理、测试、故障定位等操作的复杂度,提高了网络的可运营性。