專利名稱:下一代網(wǎng)絡的組網(wǎng)系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及下一代網(wǎng)絡(NGN,Next Generation Network)的組網(wǎng)�����,尤指一種下一代網(wǎng)絡的組網(wǎng)系統(tǒng)�����。
背景技術:
NGN網(wǎng)絡是一個建立在IP技術基礎上的新型公共電信網(wǎng)絡��,能夠容納各種形式的信息�,在統(tǒng)一的管理平臺下,實現(xiàn)音頻��、視頻���、數(shù)據(jù)信號的傳輸和管理�,具有下面幾個重要的特點承載與控制分離將下一代網(wǎng)絡劃分為媒體傳送、連接控制���、應用業(yè)務三層���,各層的網(wǎng)絡設備各司其職,網(wǎng)絡設備之間通過標準的�、開放的接口通訊;網(wǎng)絡設備部件化下一代網(wǎng)絡每層中按照功能劃分為若干類網(wǎng)絡部件���。各層面���、各功能的部件能獨立發(fā)展,互不干涉�,又能有機組合成一個網(wǎng)絡整體。同時可以實現(xiàn)靈活的���、彈性的組網(wǎng)����,滿足廣泛的需求��;承載分組化各個網(wǎng)絡部件之間的媒體流����、控制流均承載于分組網(wǎng)絡之上(目前一般認為是IP網(wǎng)絡),網(wǎng)絡部件之間的接口基于IP協(xié)議��。
在NGN框架下��,網(wǎng)絡中存在大量的網(wǎng)絡部件�����。如媒體傳送層各種不同容量的網(wǎng)關設備����、媒體資源設備;連接控制層的軟交換設備����;應用業(yè)務層的各類應用服務器和管理服務器等。為滿足復雜的組網(wǎng)需求���,這些設備以分布式組網(wǎng)方式連接到IP網(wǎng)絡中���。IP網(wǎng)絡的無處不在和開放性為NGN帶來了組網(wǎng)靈活、開放的優(yōu)勢�,同時也引出了網(wǎng)絡安全與業(yè)務質量(QoS,Quality of Service)問題。
在網(wǎng)絡安全方面���,攻擊者可以從開放的IP網(wǎng)絡接口進入NGN網(wǎng)絡��,通過開放的協(xié)議攻擊NGN網(wǎng)絡部件�����,威脅網(wǎng)絡設備的安全及網(wǎng)絡中其他用戶的業(yè)務安全�����。這就要求NGN組網(wǎng)及相關的業(yè)務節(jié)點能夠實現(xiàn)相應的安全特性�。
在QoS方面����,由于IP協(xié)議本身的特性限制無法實現(xiàn)端到端的QoS,而只能通過分段的QoS保證實時業(yè)務的QoS��。IP網(wǎng)絡中各個段的組網(wǎng)情況各異(如區(qū)域或國家的不同)�,需要采用不同的QoS機制,這就要求IP網(wǎng)絡中各個位置的NGN業(yè)務節(jié)點能夠實現(xiàn)相應的QoS特性���,才能對QoS進行控制��。
如圖1所示�����,NGN部件包括有媒體網(wǎng)關(MG���,Media Gateway)、信令網(wǎng)關(SG�����,Signaling Gateway)���、軟交換(SoftSwitch)�、智能終端����、綜合接入設備(IAD,Integrated Access Device)�、應用服務器(App Server)、網(wǎng)絡管理系統(tǒng)(NMS����,Network Management System)����、媒體資源服務器(MRS�,MediaResource Sever)、網(wǎng)絡地址轉換(NAT�,Network Address Translation)設備、應用層網(wǎng)關(ALG�����,Application Level Gateway)等等��。其中����,媒體網(wǎng)關是將一種網(wǎng)絡中的媒體轉換成另一種網(wǎng)絡所要求的媒體格式,媒體網(wǎng)關能夠在電路交換網(wǎng)的承載通道和分組網(wǎng)的媒體流之間進行轉換����,任何業(yè)務都需要媒體網(wǎng)關在軟交換的控制下實現(xiàn)。媒體網(wǎng)關包括中繼媒體網(wǎng)關(TMG��,Trunk MediaGateway)和接入媒體網(wǎng)關(AMG��,Access Media Gateway)和分組終端��。分組終端包括有軟式電話(Soft Phone)、多媒體分組終端(SIP Phone)�����、會議電話(H.323 Phone)等等�����,其中SIP(Session Description Protocol)是指會話初始協(xié)議�����。
請繼續(xù)參照圖1��,目前大多數(shù)NGN網(wǎng)絡采用全開放���、扁平化的方式組建,其中分組核心網(wǎng)為公眾IP網(wǎng)絡��,各個NGN部件直接連接到分組核心網(wǎng)中�。
中繼媒體網(wǎng)關、接入媒體網(wǎng)關���、綜合接入設備及各類智能終端在IP網(wǎng)絡中分布式組網(wǎng)�����;軟交換的控制接口直接向所有的網(wǎng)關部件開放�����;
網(wǎng)關部件之間的媒體流接口相互開放�����;NMS直接連接到網(wǎng)絡中管理所有的NGN部件��;應用服務器(AppServer)通過分組網(wǎng)絡直接與軟交換連接�����;NAT/ALG通過普通防火墻設備接入私網(wǎng)中的NGN終端�;本區(qū)域的軟交換(SoftSwitch)通過分組核心網(wǎng)與其他區(qū)域的軟交換互通;NGN通過SG/TMG與公用交換網(wǎng)絡(PSTN����,Public Switch TelephoneNetwork)互通;NGN部件接入同一個IP網(wǎng)絡中����,NGN網(wǎng)絡中各個網(wǎng)絡分段通過同樣的策略保證QoS����。
請結合參照圖2所示�����,現(xiàn)有技術通過實現(xiàn)在網(wǎng)絡層或傳輸層互通進而實現(xiàn)業(yè)務互通�����,不解析應用層協(xié)議內容����,也無法根據(jù)應用層信息對網(wǎng)絡層/傳輸層的業(yè)務互通進行控制�。其中物理層可以為雙絞線或光纖,數(shù)據(jù)鏈路層可以為以太網(wǎng)����,網(wǎng)絡層可以為IP網(wǎng),傳輸層采用用戶數(shù)據(jù)報協(xié)議(UDP����,User DatagramProtocol)或傳輸控制協(xié)議(TCP,Transmission Control Protocol)���。網(wǎng)絡分段1��、2表示從地域或行政管理上劃分的網(wǎng)絡范圍���,如寬帶接入網(wǎng)����、寬帶城域網(wǎng)���、寬帶廣域網(wǎng)等�??绶侄尉W(wǎng)絡設備3采用不同的端口(圖2中的第一、二端口)連接兩個網(wǎng)絡分段1�����、2�����,這里的端口可以為物理層端口或數(shù)據(jù)鏈路層端口(如VLAN)����?����?绶侄尉W(wǎng)絡設備3從網(wǎng)絡層或傳輸層實現(xiàn)兩個網(wǎng)絡分段1����、2之間的業(yè)務互通�,典型跨分段網(wǎng)絡設備3如路由器或防火墻設備。
另外��,現(xiàn)有技術中NAT/ALG部件的工作流程舉例如下私網(wǎng)(如����,企業(yè)網(wǎng)或校園網(wǎng))一般采用私有IP地址段,在需要與外部網(wǎng)絡(如分組核心網(wǎng))互通時需要采用NAT設備進行地址變換�����。普通NAT設備通過修改UDP或TCP報文頭部地址信息實現(xiàn)地址的轉換���,但NGN網(wǎng)絡中的部分多媒體會話應用在TCP/UDP負載中也攜帶地址信息。NGN終端在TCP/UDP報文負載中填寫的是其自身地址�����,此地址信息在通過NAT設備時需要被修改為NAT設備上對外的地址。這種變化需要在NAT設備中啟動一個ALG模塊�,針對某種協(xié)議解析應用層報文的內容,并對其中的內容進行更改���,這樣ALG模塊能實現(xiàn)應用層互通���,并不對應用層業(yè)務進行任何控制。
ALG功能目前主要駐留在一些NAT/防火墻(Firewall)設備中�,使得這些設備具備識別應用的能力。對NGN業(yè)務應用����,ALG需要支持IP語音和視頻協(xié)議(H.323、SIP����、MGCP/H.248等)的識別和對NAT/Firewall的控制,以使NGN應用層業(yè)務能夠順利地在私網(wǎng)與外部網(wǎng)絡間互通���。
綜上所述��,以上組網(wǎng)系統(tǒng)基于NGN網(wǎng)絡的理想模型��,NGN終端不受控地接入NGN網(wǎng)絡��,所有的NGN部件在IP網(wǎng)絡層不受控地互通��。這樣勢必在網(wǎng)絡安全�����、網(wǎng)絡互通����、QoS保證存在問題。
1)NGN接入網(wǎng)的安全性問題NGN接入網(wǎng)包括IAD及各類智能終端等NGN部件�,這些NGN部件安裝在用戶桌面,所使用的IP網(wǎng)絡接口暴露在用戶的控制范圍內�����。由于IP協(xié)議的開放性和NGN協(xié)議的開放性�����,攻擊者可通過這些網(wǎng)絡端口對NGN網(wǎng)絡的安全性造成威脅��。攻擊方式舉例如下攻擊網(wǎng)絡設備�����,從開放的IP網(wǎng)絡端口中輸入攻擊報文��,對軟交換�����、TMG����、網(wǎng)管設備等NGN部件進行網(wǎng)絡層或協(xié)議層的拒絕服務(DoS,Denial ofService)攻擊�;帶寬盜用,通過開放的IP網(wǎng)絡端口實現(xiàn)異地用戶私有設備的互連��,盜用分組核心網(wǎng)帶寬�����,造成運營商數(shù)據(jù)業(yè)務收入分流并影響核心網(wǎng)中正常業(yè)務的運營�����;2)應用服務器的安全性問題應用服務器實現(xiàn)語音/數(shù)據(jù)融合型業(yè)務時需要與公眾數(shù)據(jù)網(wǎng)絡接口(如Internet)���,所處的環(huán)境不可能具有很高的安全性���。如果應用服務器與軟交換連接到同一個NGN網(wǎng)絡中將會降低軟交換的安全性�����。另外��,眾多的應用業(yè)務可能由第三方開發(fā)��,在不能完全信任第三方軟件安全性的情況下�����,向其開放NGN網(wǎng)絡中的所有NGN部件也存在安全隱患����。
3)不同運營商之間的互通問題����。
不同運營商各自建設IP網(wǎng)絡,由于IP地址分配�����、商業(yè)利益分配等多方面的原因����,很多情況下不能直接互通。另外�����,不同運營商的NGN網(wǎng)絡之間不具有相互的信任關系����,一般情況下也不可能直接互通。因此現(xiàn)有組網(wǎng)方案無法解決多運營商之間的互通問題��。
4)跨區(qū)域的網(wǎng)絡互通問題�����。
同一運營商的各個地域之間IP網(wǎng)絡的互連帶寬一般較小��,如跨城市�����、跨省的互連帶寬遠小于城域網(wǎng)內部的帶寬����。不同的帶寬資源環(huán)境下需要采取各自的QoS策略��,如城域接入網(wǎng)采用基于用戶業(yè)務的InterServ(集成服務)模式實現(xiàn)QoS�����、城域骨干網(wǎng)采用DiffServ(區(qū)分服務)模式實現(xiàn)QoS���,城域網(wǎng)之間通過基于呼叫的InterServ模式保證QoS,此時不能直接將跨地域的NGN網(wǎng)絡在網(wǎng)絡層連通����。
發(fā)明內容
本發(fā)明解決的問題是提供一種下一代網(wǎng)絡的組網(wǎng)系統(tǒng),解決NGN大規(guī)模組網(wǎng)和網(wǎng)絡安全問題并且具有可行性�。
為解決上述問題,本發(fā)明下一代網(wǎng)絡的組網(wǎng)系統(tǒng)包括若干網(wǎng)絡分區(qū)����,各個網(wǎng)絡分區(qū)通過跨區(qū)域網(wǎng)絡部件連接,且跨區(qū)域網(wǎng)絡部件僅實現(xiàn)各個網(wǎng)絡分區(qū)應用層互通進而實現(xiàn)各個網(wǎng)絡分區(qū)的業(yè)務互通����。
該組網(wǎng)系統(tǒng)包括以下網(wǎng)絡分區(qū)非信任區(qū),指用戶可直接接入的網(wǎng)絡以及未確定安全性的網(wǎng)絡����;信任區(qū)���,指下一代網(wǎng)絡的業(yè)務專用網(wǎng)絡�,與非信任區(qū)在網(wǎng)絡層隔離;半信任區(qū)���,通過防火墻與外部公眾數(shù)據(jù)網(wǎng)連通的IP網(wǎng)絡區(qū)域�����;操作維護區(qū)��,獨立的IP網(wǎng)絡����,一側與操作維護服務器端設備連接����,另一側與客戶端連接;運營支持系統(tǒng)網(wǎng)����,專用網(wǎng)絡�,用于運營商全網(wǎng)設備的管理�����。
信任區(qū)與半信任區(qū)實現(xiàn)業(yè)務互通的跨區(qū)域網(wǎng)絡部件是應用業(yè)務網(wǎng)關���;信任區(qū)�����、操作維護區(qū)和運營支持系統(tǒng)網(wǎng)之間實現(xiàn)業(yè)務互通的跨區(qū)域網(wǎng)絡部件是網(wǎng)絡管理系統(tǒng)�����,所述網(wǎng)絡管理系統(tǒng)采用三個業(yè)務接口模塊通過不同的物理端口分別與信任區(qū)���、操作維護區(qū)和運營支持系統(tǒng)網(wǎng)連接。
信任區(qū)與非信任區(qū)實現(xiàn)業(yè)務互通的跨區(qū)域網(wǎng)絡部件是網(wǎng)絡互通網(wǎng)關�,網(wǎng)絡互通網(wǎng)關的應用層包括采用會話控制層協(xié)議的第一應用層以及采用媒體傳輸層協(xié)議的第二應用層,其中第一應用層根據(jù)第一應用層處理結果控制第二應用層的業(yè)務互通���。
所述網(wǎng)絡互通網(wǎng)關包括相互分離的信令代理模塊和媒體代理模塊����,所述信令代理模塊用于終結一個網(wǎng)絡分區(qū)的控制信令,解析控制信令的應用層信息��,產生另一網(wǎng)絡分區(qū)所需的控制信令并控制媒體流傳送��;所述媒體代理模塊用于在信令代理模塊控制下進行媒體流轉發(fā)����,并在轉發(fā)過程進行媒體流格式的轉換�。
所述信令代理模塊包括若干協(xié)議代理子模塊,所述協(xié)議代理子模塊終結一網(wǎng)絡分區(qū)接收的協(xié)議報文�����,并產生另一網(wǎng)絡分區(qū)所需的協(xié)議報文且根據(jù)信令處理結果創(chuàng)建媒體流處理策略����。信令處理結果指會話連接的成功或失敗、成功后建立的媒體流數(shù)量�����、各個媒體流的端口號�、各個媒體流的帶寬、業(yè)務優(yōu)先級及媒體流格式。
所述媒體代理模塊包括媒體流處理策略管理模塊�����,用于接收信令代理模塊的媒體流處理策略�,分解為媒體流處理策略;媒體流處理模塊��,用于根據(jù)分解的媒體流處理策略轉發(fā)媒體流�����。媒體流處理模塊還包括實時傳輸協(xié)議中繼模塊�����,接收一側網(wǎng)絡分區(qū)的媒體流報文����,發(fā)送到另一側網(wǎng)絡分區(qū),處理過程中未更改媒體流的內容����。
所述媒體流處理策略包括地址轉換策略,而媒體流處理策略管理模塊包括地址轉換策略模塊����,相應媒體流處理模塊包括地址端口轉換模塊�����。媒體流處理策略還包括防火墻處理策略��、媒體格式轉換策略及業(yè)務質量控制策略��,而媒體流處理策略管理模塊相應還包括防火墻處理策略��、媒體格式轉換策略及業(yè)務質量控制策略����,相應媒體流處理模塊包括防火墻處理模塊、媒體格式轉換模塊及業(yè)務質量控制模塊。
該組網(wǎng)系統(tǒng)還包括設置在信任區(qū)或非信任區(qū)且用于業(yè)務質量控制的資源管理部件���,在呼叫處理過程中���,控制面部件向相應的網(wǎng)絡分區(qū)的資源管理部件申請網(wǎng)絡資源,網(wǎng)絡互通網(wǎng)關根據(jù)控制信令開放媒體流的轉換和傳送通道并配置相關的地址轉換策略�、防火墻處理策略、媒體格式轉換策略及業(yè)務質量控制策略�。
所述網(wǎng)絡互通網(wǎng)關進一步包括報文分發(fā)模塊和報文匯聚模塊��,其中報文分發(fā)模塊用于從一網(wǎng)絡分區(qū)接收報文��,并對報文合法性進行檢查����,將分類后的合法報文發(fā)送給信令代理模塊和媒體代理模塊�����;報文匯聚模塊用于將處理后的媒體流和信令發(fā)送給另一網(wǎng)絡分區(qū)�。
所述網(wǎng)絡互通網(wǎng)關進一步包括用于對網(wǎng)絡部件進行注冊認證的注冊代理模塊,用于網(wǎng)絡部件接入時�����。
所述網(wǎng)絡互通網(wǎng)關進一步包括用于網(wǎng)絡管理系統(tǒng)與非信任區(qū)網(wǎng)關之間的簡單網(wǎng)絡管理協(xié)議報文互通的簡單網(wǎng)絡管理協(xié)議中繼模塊���,以對非信任區(qū)網(wǎng)關進行網(wǎng)絡管理�����。
與現(xiàn)有技術相比���,本發(fā)明具有以下優(yōu)點1)實現(xiàn)NGN接入網(wǎng)的安全性本發(fā)明可通過網(wǎng)絡互通網(wǎng)關的分布式組網(wǎng)和訪問控制解決業(yè)務安全及帶寬盜用問題�����。網(wǎng)絡互通網(wǎng)關分布式地設置到各個接入小區(qū)(含企業(yè)網(wǎng)��、校園網(wǎng))�,在接入網(wǎng)中通過網(wǎng)絡層的訪問控制限制NGN終端所使用的網(wǎng)絡接口僅能訪問本小區(qū)的網(wǎng)絡互通網(wǎng)關�。由網(wǎng)絡互通網(wǎng)關實現(xiàn)NGN應用層的訪問控制,用戶必須完成NGN業(yè)務認證流程后才能接入到NGN業(yè)務網(wǎng)(通過接入互通網(wǎng)關的注冊認證代理功能實現(xiàn))����。同時網(wǎng)絡互通網(wǎng)關對建立的連接進行帶寬控制(通過上文中描述的NGN業(yè)務QoS保證機制實現(xiàn)),防止用戶使用超出申請范圍的帶寬資源�����。
采用分布式組網(wǎng)后����,惡意用戶只能夠訪問本小區(qū)的網(wǎng)絡互通網(wǎng)關��,因此安全威脅可以局限在小區(qū)中��。安全問題的隔離和定位可提高NGN網(wǎng)絡的安全性����。
2)實現(xiàn)應用服務器的安全性���。
本發(fā)明為第三方應用服務器和所有需要與Internet連接的應用服務器劃分了半信任區(qū),此區(qū)域與信任區(qū)之間通過應用層的Parlay接口網(wǎng)關互通���。來自公眾網(wǎng)絡和第三方軟件的安全威脅限制在半信任區(qū)內部����,不會影響到整個NGN網(wǎng)絡的安全����。
3)實現(xiàn)不同運營商之間的互通本發(fā)明使用網(wǎng)絡互通網(wǎng)關隔離不同運營商的網(wǎng)絡,此部件在各運營商的NGN網(wǎng)絡中均表現(xiàn)為普通的媒體網(wǎng)關���。從而解決IP地址轉換���、媒體流格式轉換、信令協(xié)議轉換等組網(wǎng)問題以及網(wǎng)絡安全問題(通過網(wǎng)絡互通網(wǎng)關的地址端口轉換�����、媒體流格式轉換等功能實現(xiàn))��。
4)實現(xiàn)跨區(qū)域的網(wǎng)絡互通技術框架中使用IP-IP GW實現(xiàn)不同地域NGN網(wǎng)絡之間的互連,為網(wǎng)絡中各段實施不同的QoS策略提供了可能��。同時����,這個架構下NGN網(wǎng)絡被劃分為較小的區(qū)域,簡化了網(wǎng)絡管理��、測試���、故障定位等操作的復雜度���,提高了網(wǎng)絡的可運營性。
5)本發(fā)明下一代網(wǎng)絡的組網(wǎng)系統(tǒng)具有可行性�����。
圖1是現(xiàn)有技術中下一代網(wǎng)絡的組網(wǎng)系統(tǒng)示意圖����。
圖2是現(xiàn)有技術中下一代網(wǎng)絡互通示意圖����。
圖3是本發(fā)明下一代網(wǎng)絡的組網(wǎng)系統(tǒng)示意圖�����。
圖4是本發(fā)明下一代網(wǎng)絡的組網(wǎng)系統(tǒng)信任區(qū)的一個實施例示意圖�����。
圖5是本發(fā)明下一代網(wǎng)絡的組網(wǎng)系統(tǒng)信任區(qū)的另一實施例示意圖����。
圖6是本發(fā)明下一代網(wǎng)絡的組網(wǎng)系統(tǒng)中半信任區(qū)和信任區(qū)業(yè)務互通示意圖���。
圖7是本發(fā)明下一代網(wǎng)絡的組網(wǎng)系統(tǒng)中操作維護區(qū)���、運營支持系統(tǒng)網(wǎng)及信任區(qū)之間業(yè)務互通示意圖。
圖8是本發(fā)明下一代網(wǎng)絡的組網(wǎng)系統(tǒng)中信任區(qū)和非信任區(qū)業(yè)務互通原理圖����。
圖9是本發(fā)明下一代網(wǎng)絡的組網(wǎng)系統(tǒng)中實現(xiàn)信任區(qū)和非信任區(qū)業(yè)務網(wǎng)絡互通網(wǎng)關示意圖。
圖10是本發(fā)明下一代網(wǎng)絡的組網(wǎng)系統(tǒng)中實現(xiàn)信任區(qū)和非信任區(qū)業(yè)務互通的接入互通網(wǎng)關示意圖�。
圖11是本發(fā)明下一代網(wǎng)絡的組網(wǎng)系統(tǒng)中實現(xiàn)信任區(qū)和非信任區(qū)業(yè)務互通的網(wǎng)間互通網(wǎng)關示意圖。
圖12是本發(fā)明下一代網(wǎng)絡的組網(wǎng)系統(tǒng)中實現(xiàn)業(yè)務質量控制的原理圖�。
具體實施例方式
現(xiàn)有技術方案中的安全措施借用了Internet業(yè)務的思路,未考慮NGN的特點,其安全措施主要實施在IP網(wǎng)絡層�。由于IP協(xié)議本身的缺陷,無法提供電信級的安全性���;同時���,由于網(wǎng)絡部件間無法感知NGN業(yè)務會話,因此無法實施QoS策略����。本發(fā)明下一代網(wǎng)絡的組網(wǎng)系統(tǒng),結合NGN網(wǎng)絡業(yè)務的特點����,在IP網(wǎng)絡層對不同類型的NGN網(wǎng)絡部件之間進行了徹底的隔離,而由跨區(qū)域網(wǎng)絡部件實現(xiàn)應用業(yè)務層的互通�����,同時配合承載網(wǎng)的資源控制部件實現(xiàn)各網(wǎng)絡區(qū)域內的QoS保證��。
為達到上述目的�,本發(fā)明下一代網(wǎng)絡的組網(wǎng)系統(tǒng)包括若干網(wǎng)絡分區(qū),各個網(wǎng)絡分區(qū)通過跨區(qū)域網(wǎng)絡部件連接�,跨區(qū)域網(wǎng)絡部件僅實現(xiàn)所跨網(wǎng)絡分區(qū)之間的應用層互通,最終實現(xiàn)各個網(wǎng)絡分區(qū)的業(yè)務互通。
NGN網(wǎng)絡以地域為單位進行劃分建設�����,該地域可以是一個城市或一個更大的地區(qū)����,在同一地域內的IP網(wǎng)絡具有很大的共性(如互連帶寬�、QoS控制方式等),同時在運營管理等方面具有緊密的聯(lián)系����。在一個地域內,為NGN業(yè)務構建若干個網(wǎng)絡分區(qū)�,NGN網(wǎng)絡部件根據(jù)各自的網(wǎng)絡位置和功能連接到不同的網(wǎng)絡分區(qū)中。各個網(wǎng)絡分區(qū)之間在網(wǎng)絡層不互通��,通過跨區(qū)域網(wǎng)絡部件實現(xiàn)業(yè)務層的互通�����。請參照圖3所示�����,下一代網(wǎng)絡的組網(wǎng)系統(tǒng)包括以下網(wǎng)絡分區(qū)非信任區(qū)4,指用戶可直接接入的網(wǎng)絡以及未確定安全性的網(wǎng)絡���;信任區(qū)5����,指下一代網(wǎng)絡的業(yè)務專用網(wǎng)絡���,與非信任區(qū)在網(wǎng)絡層隔離����;半信任區(qū)6���,通過防火墻與外部公眾數(shù)據(jù)網(wǎng)連通的IP網(wǎng)絡區(qū)域���;操作維護區(qū)7,獨立的IP網(wǎng)絡���,一側與操作維護服務器端設備連接��,另一側與客戶端連接����;運營支持系統(tǒng)網(wǎng)(OSS)8,專用網(wǎng)絡�����,用于運營商全網(wǎng)設備的管理�,是運營商一有的網(wǎng)絡分區(qū)��。
另外����,該組網(wǎng)系統(tǒng)還包括PSTN網(wǎng),為運營商已有的網(wǎng)絡分區(qū)����,通過中繼媒體網(wǎng)關和信令網(wǎng)關于信任區(qū)互通。下面對各個網(wǎng)絡分區(qū)具體描述��。
非信任區(qū)4包括寬帶接入網(wǎng)���、企業(yè)網(wǎng)或校園網(wǎng)�、互聯(lián)網(wǎng)及其他運營商的下一代網(wǎng)絡���。寬帶接入網(wǎng)指從用戶終端到寬帶接入網(wǎng)匯聚點之間的網(wǎng)絡���,用戶可直接接入���;企業(yè)網(wǎng)/校園網(wǎng)指從用戶終端到企業(yè)網(wǎng)/校園網(wǎng)出口之間的網(wǎng)絡,用戶可直接接入�����;互聯(lián)網(wǎng)指所有與Internet連通的網(wǎng)絡區(qū)域����,安全性不可知;其他需要互通的專用網(wǎng)絡����,如其他運營商的NGN網(wǎng)絡等,安全性不可知��。
連接到非信任區(qū)4的NGN網(wǎng)絡部件包括桌面式綜合接入設備(IAD��,Integrated Access Device)���、智能終端(如����,軟式電話(Soft Phone)、會議電話(H.323 Phone)��、多媒體分組終端(SIP Phone)等)以及從Internet接入的各類NGN終端設備�。因為非信任區(qū)4網(wǎng)絡技術多樣、存在多種安全威脅���,需要與信任區(qū)5在IP網(wǎng)絡層隔離以便于針對性地實施安全保證措施和QoS機制��。非信任區(qū)4通過網(wǎng)絡互通網(wǎng)關連接到信任區(qū)5,后文會詳細描述網(wǎng)絡互通網(wǎng)關���。
信任區(qū)5包括在核心網(wǎng)中建立的虛擬專用網(wǎng)絡(VPN�����,Virtual PrivateNetwork)或專用于下一代網(wǎng)絡業(yè)務的�、物理上獨立的IP網(wǎng)絡�。實際組網(wǎng)應用中有以下兩類網(wǎng)絡實現(xiàn)方法VPN網(wǎng)絡模式,在非信任區(qū)4的IP核心網(wǎng)中建立NGN的虛擬專用網(wǎng)絡�,可以采用二層VPN或三層VPN等多種技術手段。此模式下IP網(wǎng)絡信任區(qū)構建在邊緣路由器���、核心路由器上���;此模式下信任區(qū)5與非信任區(qū)4的區(qū)域劃分如圖4����。
IP專網(wǎng)模式����,即專用于NGN業(yè)務的、物理上獨立的IP網(wǎng)絡��;此模式下IP網(wǎng)絡信任區(qū)與非信任區(qū)的區(qū)域劃分如圖5����。連接到信任區(qū)5中的NGN網(wǎng)絡部件中的核心部件包括SoftSwitch、NMS���、AMG����、TMG�����、MRS���、MCU����、網(wǎng)間互通網(wǎng)關等;另外連接到信任區(qū)5中還包括本運營商擁有的����、不需要與開放式網(wǎng)絡互通的應用服務器。此網(wǎng)絡分區(qū)內的網(wǎng)絡部件接受運營商的嚴格管理和監(jiān)控���,網(wǎng)絡部件之間具有信任關系�����,因此不需要在應用層實施額外的安全措施。在QoS控制方面��,此區(qū)域內的設備連接到同一特性的IP網(wǎng)絡中�,可以實施同一套QoS機制。
半信任區(qū)6�,該網(wǎng)絡分區(qū)為下一代網(wǎng)絡中單獨構建的獨立網(wǎng)絡,類似于企業(yè)網(wǎng)中的非軍事區(qū)(DMZ)��。半信任區(qū)6包括所有需要與公眾數(shù)據(jù)網(wǎng)(如Internet)互通的以及第三方開發(fā)的應用服務器(不可信任)����。半信任區(qū)6用于連接這兩種應用服務器�,且通過防火墻(Firewall)與公眾數(shù)據(jù)網(wǎng)連通����,具備一定級別的安全性。由于與公眾網(wǎng)絡互通�,此網(wǎng)絡分區(qū)存在來自Internet網(wǎng)絡的安全威脅;另外���,由于第三方提供的應用服務器與運營商的設備之間無法建立信任關系��,因此半信任區(qū)6中的網(wǎng)絡部件不能直接連入信任區(qū)5中���。半信任區(qū)6通過應用業(yè)務網(wǎng)關(App Service GW)連接到信任區(qū)5,后文會詳述���。
操作維護區(qū)7�,此網(wǎng)絡分區(qū)為NGN網(wǎng)絡中單獨構建的獨立網(wǎng)絡���,用于連接操作維護服務器端設備和維護人員直接操作的客戶端設備(PC機或工作站)此類設備由維護人員頻繁操作并需要經常與外部進行數(shù)據(jù)交換���,存在人為操作的威脅��、病毒的威脅�����。因此需要構建單獨網(wǎng)絡以保證安全性��。操作維護區(qū)7與NMS��、SoftSwitch等NGN核心部件的操作維護接口連接�,通過NMS與信任區(qū)5連接�,后文會詳述。
運營支持系統(tǒng)網(wǎng)8�,一般為獨立的數(shù)據(jù)網(wǎng),用于運營商全網(wǎng)設備的管理�,完成遠程網(wǎng)絡管理和計費采集功能。從雙方的安全性方面考慮�,運營支持系統(tǒng)網(wǎng)8不能與信任區(qū)5直接連通����。在本發(fā)明實施例中運營支持系統(tǒng)網(wǎng)8通過NMS與信任區(qū)5連接,后文會詳述����。
網(wǎng)絡分區(qū)之間業(yè)務互通由跨區(qū)域網(wǎng)絡部件實現(xiàn)網(wǎng)絡分區(qū)之間的業(yè)務互通���,本實施例中實現(xiàn)網(wǎng)絡分區(qū)之間的業(yè)務互通的跨區(qū)域網(wǎng)絡部件主要為應用業(yè)務網(wǎng)關、NMS和網(wǎng)絡互通網(wǎng)關����。
請參照圖6所示,信任區(qū)5與半信任區(qū)6實現(xiàn)業(yè)務互通的跨區(qū)域網(wǎng)絡部件是應用業(yè)務網(wǎng)關9��。應用業(yè)務網(wǎng)關9采用兩個不同得物理端口連接信任區(qū)5和半信任區(qū)6��。所述應用業(yè)務網(wǎng)關9包括通過半信任區(qū)6的物理端口與半信任區(qū)6連接(例如與應用服務器連接)的第一協(xié)議適配模塊91���、通過信任區(qū)5物理端口與信任區(qū)5連接(例如與SoftSwitch連接)的第二協(xié)議適配模塊93以及連接第一����、二協(xié)議適配模塊91���、93的開放式應用接口模塊92(如ParlayAPI)�。當半信任區(qū)6中與第一協(xié)議適配模塊91連接的下一代網(wǎng)絡部件是可信任����,(應用服務器可信任,如運營商自己的應用服務器且不與Internet網(wǎng)連接的情況),可以納入信任區(qū)5�。此時兩側的第一、二協(xié)議適配模塊91��、93均通過信任區(qū)5物理端口連入信任區(qū)5�����。
另外�����,第一�����、二協(xié)議適配模塊91�、93不同。在半信任區(qū)6一側的第一協(xié)議適配模塊91為承載于IP之上的開放式應用接口協(xié)議��,如Parlay接口協(xié)議等����;在信任區(qū)5一側的第二協(xié)議適配模塊93為NGN網(wǎng)絡的控制協(xié)議及其擴展協(xié)議�,如SIP、H323等。
數(shù)據(jù)流程非信任區(qū)6一側的應用服務器通過第一協(xié)議適配模塊91向開放式應用接口模塊92發(fā)出信令����,如資源請求、狀態(tài)查詢或控制等����,此指令滿足一定的協(xié)議規(guī)范,如Parlay接口協(xié)議�。開放式應用接口模塊91解析此信令,分解為一系列的NGN控制信令�����,通過信任區(qū)5一側的第二協(xié)議適配模塊93送到相應的NGN網(wǎng)絡部件(如SoftSwitch)�。反之,返回的信息在開放式應用接口模塊92處被封裝為相應的協(xié)議送到相應網(wǎng)絡分區(qū)的應用服務器�。
信任區(qū)5、操作維護區(qū)7和運營支持系統(tǒng)網(wǎng)8之間實現(xiàn)業(yè)務互通的跨區(qū)域網(wǎng)絡部件是網(wǎng)絡管理系統(tǒng)(NMS)10��,所述網(wǎng)絡管理系統(tǒng)10采用三個業(yè)務接口模塊通過不同的物理端口分別與信任區(qū)5�����、操作維護區(qū)7和運營支持系統(tǒng)網(wǎng)8連接�����。其中,所述NMS 10實現(xiàn)全網(wǎng)的設備管理���,包括數(shù)據(jù)配置����、狀態(tài)查詢���、維護操作等功能�����。
所述網(wǎng)絡管理系統(tǒng)10的業(yè)務接口模塊包括通過運營支持系統(tǒng)網(wǎng)8的物理端口與運營支持系統(tǒng)網(wǎng)8連接的簡單網(wǎng)絡管理協(xié)議客戶端(SNMP Client)模塊101���、通過操作維護區(qū)7的物理端口與操作維護區(qū)7連接的管理服務器(Manage Server)模塊102及通過信任區(qū)5的物理端口與信任區(qū)5連接的簡單網(wǎng)絡管理協(xié)議服務器(SNMP Server)模塊103,且簡單網(wǎng)絡管理協(xié)議客戶端模塊101��、管理服務器模塊102及簡單網(wǎng)絡管理協(xié)議服務器模塊103都與網(wǎng)絡管理業(yè)務處理模塊104連接互通���。
NMS 10中的核心模塊為網(wǎng)絡管理業(yè)務處理模塊104����,此模塊需要與信任區(qū)5、操作維護區(qū)7和運營支持系統(tǒng)網(wǎng)8進行信息交互�����。簡單網(wǎng)絡管理協(xié)議客戶端模塊101�����,接受上級網(wǎng)關服務器的管理和查詢�����,對外為標準接口���。簡單網(wǎng)絡管理協(xié)議服務器模塊103對本區(qū)域NGN網(wǎng)絡部件進行網(wǎng)絡管理,對外為標準接口��。管理服務器模塊102����,通過MML(人機語言接口)與操作維護終端交互,對外為自定義接口���。
狀態(tài)查詢網(wǎng)絡管理業(yè)務處理模塊104控制簡單網(wǎng)絡管理協(xié)議服務器模塊103采集NGN網(wǎng)絡中各個設備的狀態(tài)信息��,存放在模塊內的信息庫中��;操作維護區(qū)7的操作維護客戶端通過管理服務器模塊102向網(wǎng)絡管理業(yè)務處理模塊104發(fā)出相關的信息請求�����,網(wǎng)絡管理業(yè)務處理模塊104解析命令后按照預定格式發(fā)出相關信息����。同樣,運營支持系統(tǒng)網(wǎng)8中的簡單網(wǎng)絡管理協(xié)議客戶端模塊101也可以通過SNMP協(xié)議發(fā)出類似的信息請求�,網(wǎng)絡管理業(yè)務處理模塊104解析命令后按照預定格式發(fā)出相關信息。
數(shù)據(jù)配置和控制命令下發(fā)運營支持系統(tǒng)網(wǎng)8通過相關協(xié)議發(fā)出數(shù)據(jù)配置或控制命令�����,網(wǎng)絡管理業(yè)務處理模塊104解析命令�����,轉換為SNMP命令下發(fā)到相應的NGN網(wǎng)絡部件�����。
請參照圖8所示���,信任區(qū)5與非信任區(qū)4實現(xiàn)業(yè)務互通的跨區(qū)域網(wǎng)絡部件是網(wǎng)絡互通網(wǎng)關11���,網(wǎng)絡互通網(wǎng)關11的應用層包括采用會話控制層協(xié)議的第一應用層110以及采用媒體傳輸層協(xié)議的第二應用層112�����,其中第一應用層110根據(jù)第一應用層110處理結果控制第二應用層112的業(yè)務互通。
所述會話控制層協(xié)議包括會話初始協(xié)議�、用于電話的會話初始協(xié)議(SIP-T,Session Initiation Protocol fpr Telephones)��、H.323�����、H.248及承載無關呼叫控制協(xié)議(BICC��,Bearer Independent Call Control Protocol)����;所述媒體傳輸層協(xié)議包括實時傳輸協(xié)議及實時傳輸控制協(xié)議。
請參照圖9所示��,網(wǎng)絡互通網(wǎng)關11包括相互分離的信令代理模塊113和媒體代理模塊114���,所述信令代理模塊113(包括控制信令應用層信息解析功能)用于終結一個網(wǎng)絡分區(qū)的控制信令并產生另一網(wǎng)絡分區(qū)所需的控制信令并控制媒體流傳送�����;所述媒體代理模塊114用于在信令代理模塊113控制下進行媒體流轉發(fā)���,并在轉發(fā)過程進行媒體流格式的轉換�。
與媒體流相關的信息包含在各類NGN控制信令的SDP(會話描述協(xié)議)字段中��,會話建立過程中主被叫雙方確定SDP字段的內容��,因此通過信令處理結果可以創(chuàng)建媒體流處理策略���,一般在會話建立成功時才創(chuàng)建媒體流處理策略�。信令處理結果指會話連接的成功或失敗��、成功后建立的媒體流數(shù)量���、各個沒提留的端口號���、各個媒體流的帶寬、業(yè)務優(yōu)先級及媒體流格式。
以下為一個實例����,比如一個視頻呼叫將會建立兩條媒體流(雙向共四條媒體流),其中一條為音頻媒體流�����,端口號1234�、帶寬100Kbps、優(yōu)先級為最高����、媒體流格式為G.711�;另一條為視頻媒體流,端口號5678�����、帶寬384Kbps����、優(yōu)先級為次高、媒體流格式為H.263��。
所述信令代理模塊113包括若干協(xié)議代理子模塊,所述協(xié)議代理子模塊終結一網(wǎng)絡分區(qū)接收的協(xié)議報文�,并產生另一網(wǎng)絡分區(qū)所需的協(xié)議報文且根據(jù)信令處理結果創(chuàng)建媒體流處理策略。協(xié)議代理子模塊包括網(wǎng)關注冊協(xié)議代理模塊����、會話初始協(xié)議代理模塊、媒體網(wǎng)關控制協(xié)議(MGCP)代理模塊����、H.248協(xié)議代理模塊、H.323協(xié)議代理模塊����、SIP-T協(xié)議代理模塊、BICC協(xié)議代理模塊�����、簡單網(wǎng)絡管理協(xié)議中繼模塊(SNMP Relay模塊)等���。
所述媒體代理模塊114包括媒體流處理策略管理模塊115和媒體流處理模塊116�。所述媒體流處理策略管理模塊115用于接收信令代理模塊的媒體流處理策略���,分解為媒體流處理策略���;所述媒體流處理模塊116用于根據(jù)分解的媒體流處理策略轉發(fā)媒體流���。
所述媒體流處理策略包括地址轉換策略,而媒體流處理策略管理模塊115包括地址轉換策略模塊����,相應媒體流處理模塊116包括地址端口轉換模塊,對接收報文的地址端口進行變換�����,獲得地址端口轉換信息��,這樣兩側的應用層即可互通���。
媒體流處理策略還包括防火墻處理策略、媒體格式轉換策略及業(yè)務質量控制策略����,而媒體流處理策略管理模塊115相應還包括防火墻處理策略、媒體格式轉換策略及業(yè)務質量控制策略�,相應媒體流處理模塊116包括防火墻處理模塊、媒體格式轉換模塊及業(yè)務質量控制模塊�,進而獲得防火墻處理信息、媒體流格式轉換信息及業(yè)務質量控制信息。業(yè)務質量控制模塊對媒體流的會話帶寬���、優(yōu)先級等參數(shù)進行控制��,包括優(yōu)先級重標記��、速率控制等功能�����,用于與IP網(wǎng)絡資源管理部件配合保證業(yè)務的QoS�,后文會進一步描述�;所述防火墻處理模塊針對接收報文的源/目的IP、源/目的端口號進行過濾����,以保證安全性,防止非法報文通過設備�����;媒體流格式轉換模塊對相應媒體流進行格式轉換���,如將G711格式轉為G723格式�,當網(wǎng)絡兩側無法找到匹配的媒體流格式時采用,為可選�。
媒體流處理模塊116還包括實時傳輸協(xié)議中繼模塊(RTP Relay模塊)接收一側網(wǎng)絡分區(qū)的媒體流報文,發(fā)送到另一側網(wǎng)絡分區(qū)���,處理過程中不對媒體流的內容進行任何更改���,因此稱為“中繼”。處理過程中對以下幾方面進行處理判斷是否為合法數(shù)據(jù)流�,如果為非法數(shù)據(jù)流則拋棄;判斷數(shù)據(jù)流量是否超出申請值����,如果超出申請值則拋棄;更改報文頭部TCP/IP層的信息��。
當信令代理模塊113與媒體代理模塊114合用同一物理端口時��,還包括輸入��、輸出接口的報文分發(fā)模塊117和報文匯聚模塊118���,其中報文分發(fā)模塊117用于從一網(wǎng)絡分區(qū)接收報文,并對報文合法性進行檢查�,將分類后的合法報文發(fā)送給信令代理模塊和媒體代理模塊���;報文匯聚模塊118用于根據(jù)報文的IP地址協(xié)議類型和端口號進行分發(fā)匯聚,將處理后的媒體流和信令發(fā)送給另一網(wǎng)絡分區(qū)���。
請參照圖10���、11所示,所述網(wǎng)絡互通網(wǎng)關11根據(jù)在網(wǎng)絡中位置不同分為接入互通網(wǎng)關12和網(wǎng)間互通網(wǎng)關13�����。其中信令代理模塊113中用于對網(wǎng)絡部件進行注冊認證的網(wǎng)關注冊協(xié)議代理模塊對于接入互通網(wǎng)關12是必要的�����。實現(xiàn)接入網(wǎng)中網(wǎng)關的注冊代理功能�����,即終結一側的注冊報文并在另一側重新產生所需格式的注冊報文�����,并保存網(wǎng)關的注冊狀態(tài)以及在接入網(wǎng)中的IP地址�。
接入互通網(wǎng)關12的注冊報文進入網(wǎng)關注冊協(xié)議代理模塊后���,此模塊用自身的IP地址作為源地址,以接入互通網(wǎng)關12的用戶名和密鑰進行注冊����,如果注冊成功,則記錄接入互通網(wǎng)關的IP地址等相關注冊信息�,在呼叫過程中作為合法性檢查的依據(jù)。如果某個源IP的網(wǎng)關短時間內多次注冊失敗�����,則認為惡意用戶攻擊網(wǎng)絡���,網(wǎng)關注冊協(xié)議代理模塊將此網(wǎng)關列入黑名單��,一段時間內禁止再次注冊��,以保護軟交換不會被大量的惡意注冊報文淹沒�。
另外���,信令代理模塊113中SNMP Relay模塊對于接入互通網(wǎng)關12是必要的���,用于對非信任區(qū)網(wǎng)關進行網(wǎng)絡管理。此模塊實現(xiàn)NMS與非信任區(qū)網(wǎng)關之間的網(wǎng)絡管理報文互通���。具體實現(xiàn)過程一側的網(wǎng)絡簡單網(wǎng)絡管理協(xié)議報文進入網(wǎng)關管理中繼模塊之后���,此模塊提取報文應用層信息,用另一側網(wǎng)絡接口的IP地址作為源IP封裝后發(fā)出���。從而實現(xiàn)兩側網(wǎng)絡簡單網(wǎng)絡管理協(xié)議報文的互通�。
請繼續(xù)參照圖10�,接入互通網(wǎng)關12連接NGN網(wǎng)絡中的信任區(qū)5和非信任區(qū)4。從信任區(qū)5中發(fā)起呼叫時�,接入互通網(wǎng)關12向信任區(qū)5表現(xiàn)為被呼叫的目的媒體網(wǎng)關(MG),向非信任區(qū)4表現(xiàn)為SoftSwitch/GK(網(wǎng)守)和發(fā)起呼叫的源媒體網(wǎng)關(MG)��。從非信任區(qū)4發(fā)起呼叫時��,接入互通網(wǎng)關12向非信任區(qū)4表現(xiàn)為SoftSwitch/GK和被呼叫的目的媒體網(wǎng)關��,向信任區(qū)5表現(xiàn)為發(fā)起呼叫的源媒體網(wǎng)關����。
這樣,接入互通網(wǎng)關12實現(xiàn)如下功能1)實現(xiàn)接入網(wǎng)中網(wǎng)關的注冊代理功能���,即終結一側的注冊報文并在另一側重新產生所需格式的注冊報文���;并保存網(wǎng)關的注冊狀態(tài)以及在接入網(wǎng)中的IP地址���;2)在控制面實現(xiàn)H.248、H.323�����、SIP�、MGCP等NGN控制協(xié)議的代理功能,即終結一側的控制信令并在另一側重新產生呼叫所需的控制信令�����;3)在協(xié)議代理的處理過程中控制媒體流傳送�����,即為呼叫建立成功的NGN業(yè)務會話進行媒體流轉發(fā)�����;4)媒體流轉發(fā)過程中實現(xiàn)基于NGN會話的QoS控制,控制參數(shù)包括會話帶寬���、優(yōu)先級重標記���、二層鏈路重標記等���;5)媒體流轉發(fā)過程中實現(xiàn)媒體流的網(wǎng)絡地址及地址端口轉換����;6)實現(xiàn)網(wǎng)管代理功能�����,完成SNMP報文的中繼轉發(fā)��,配合NGN網(wǎng)管系統(tǒng)對非信任區(qū)中的網(wǎng)關設備進行管理���。
請繼續(xù)參照圖10�����,網(wǎng)間互通網(wǎng)關13連接NGN網(wǎng)絡中的信任區(qū)5和非信任區(qū)4���,所述非信任區(qū)4如H.323網(wǎng)����、其他運營商的NGN網(wǎng)����、本運營商其他地域的NGN網(wǎng)、移動3G網(wǎng)等��。
從信任區(qū)5中發(fā)起呼叫時��,網(wǎng)間互通網(wǎng)關13向信任區(qū)5表現(xiàn)為控制面部件和被呼叫的目的媒體網(wǎng)關�,向非信任區(qū)4表現(xiàn)為SoftSwitch和源媒體網(wǎng)關。從非信任區(qū)4中發(fā)起呼叫時�����,網(wǎng)間互通網(wǎng)關13向非信任區(qū)4表現(xiàn)為SoftSwitch和被呼叫的目的媒體網(wǎng)關����,向信任區(qū)5表現(xiàn)為發(fā)起呼叫的源媒體網(wǎng)關。
這樣���,網(wǎng)間互通網(wǎng)關13總的來說實現(xiàn)以下功能1)在控制面實現(xiàn)H.323���、SIP-T��、BICC等NGN網(wǎng)間互通控制協(xié)議的代理功能�,即終結一側的控制信令并在另一側重新產生呼叫所需的控制信令�;2)在協(xié)議代理的處理過程中控制媒體流傳送,即為建立成功的NGN業(yè)務會話進行媒體流轉發(fā)��;3)媒體流轉發(fā)過程中實現(xiàn)基于NGN會話的QoS控制�,控制參數(shù)包括會話帶寬����、優(yōu)先級重標記、二層鏈路重標記等�;4)媒體流轉發(fā)過程中實現(xiàn)媒體流的網(wǎng)絡地址及地址端口轉換;5)轉發(fā)過程中實現(xiàn)媒體流格式的轉換�����。
請繼續(xù)參照圖9所示�,這樣,基于網(wǎng)絡互通網(wǎng)關媒體報文的轉發(fā)處理��,以實時傳輸協(xié)議(RTP)報文為例��,具體如下網(wǎng)絡互通網(wǎng)關11收到報文,首先進行報文的合法性檢查��,包括MAC地址合法性和IP報文的合法性檢查���,對于合法的報文進行后續(xù)處理�����,否則予以丟棄���;隨后報文分發(fā)模塊117根據(jù)報文的目的端口號進行報文粗分類,對于屬于RTP端口范圍的報文則轉RTP Relay模塊進行處理���;對于屬于著名信令端口(用于監(jiān)聽從用戶側發(fā)過來的上行信令報文)和系統(tǒng)配置的信令端口范圍(用于接收從SoftSwitch側發(fā)過來的下行信令報文)及其它非RTP端口范圍的報文送入報文分發(fā)模塊117后續(xù)的輸入報文處理���;輸入報文處理根據(jù)端口號進一步細分,將屬于著名信令端口(用于監(jiān)聽從用戶側發(fā)過來的上行信令報文)和系統(tǒng)配置的信令端口范圍(用于接收從SoftSwitch側發(fā)過來的下行信令報文)的報文發(fā)給本機的各協(xié)議報文代理模塊��,如SIP/H.323/MGCP/H.248/BICC/SIP-T/REGISTER信令處理部分����,其它報文則根據(jù)協(xié)議端口配置表送ICMP/SNMP/TELNET等其它管理維護部分;信令處理層和管理維護層對報文進行處理后��,由報文匯聚模塊將報文發(fā)送出去;在有效的實時傳輸協(xié)議(RTP)報文到達之前����,信令代理模塊113通過分析協(xié)議報文中會話描述協(xié)議(SDP)的信息感知媒體的描述,生成媒體流處理策略描述信息(媒體流的地址端口轉換��、會話帶寬及流向等)�����,一次會話共生成雙向的RTP/RTCP(實時傳輸協(xié)議/實時傳輸控制協(xié)議)共四個媒體流轉發(fā)控制策略(對于視頻會話�����,則會生成更多的控制策略)���,由Call ID(標識本次會話)將此四個控制策略相互關聯(lián),下發(fā)給媒體代理模塊114的媒體流處理策略管理模塊115���,生成對媒體流的控制哈希(Hash)表項�����,控制Hash表的索引為媒體流報文的三元組源IP地址+目的IP地址+目的端口號�����,表項內容則為對該媒體流的安全(防火墻)����、QoS控制、媒體格式轉換和地址端口變換處理方式���。
RTP Relay模塊收到RTP報文后��,通過三元組查詢媒體流轉發(fā)控制策略表得到針對此媒體流的安全(防火墻)���、QoS控制、媒體格式轉換和地址端口轉換信息��,媒體流處理模塊�����、媒體流格式轉換模塊根據(jù)策略信息進行處理����,然后由報文匯聚模塊118進行IP層處理。
會話結束后��,協(xié)議代理模塊(指包含于信令代理模塊113中的各個協(xié)議代理子模塊)下達媒體流控制策略刪除請求,媒體流處理策略管理模塊115根據(jù)Call ID刪除與此次會話相關的媒體流控制Hash表項�。若有后續(xù)的此RTP流,RTP Relay模塊將因媒體流處理策略管理模塊115匹配失敗而將報文丟棄���,禁止非法報文進入NGN業(yè)務網(wǎng)絡信任區(qū)����,達到保護業(yè)務安全的目的���。若會話非正常結束��,則媒體流處理策略管理模塊115將對生成的媒體流Hash控制表項進行老化處理����,或者在信令處理模塊113超時釋放控制塊時刪除流策略表項��。
請參照圖12所示����,在以上的網(wǎng)絡分區(qū)劃分和網(wǎng)絡互通網(wǎng)關的基礎之上��,配合網(wǎng)絡資源分配機制可以提供NGN業(yè)務的QoS保證���,基本原理描述如下����。
IP網(wǎng)絡QoS分為兩種實現(xiàn)模型DiffServ和InterServ,DiffServ基于充足的網(wǎng)絡資源�����,針對業(yè)務分類進行粗粒度的管理��,此時IP網(wǎng)絡中沒有資源管理部件����,各個IP網(wǎng)絡節(jié)點對不同業(yè)務的轉發(fā)行為通過靜態(tài)配置下發(fā),網(wǎng)絡邊緣設備完成業(yè)務類型的標記�����。InterServer模型基于業(yè)務會話進行資源分配�,此時IP網(wǎng)絡中需要設置資源管理部件(RM),網(wǎng)絡邊緣部件完成業(yè)務會話的識別和資源映射���。IP-IP GW作為各個網(wǎng)絡區(qū)域中的網(wǎng)絡邊緣部件���,解析SoftSwitch的控制信令����,根據(jù)其中信息實施相應的QoS控制行為����。因為信任區(qū)5和非信任區(qū)4之間傳送有媒體流,所以在信任區(qū)或非信任區(qū)配置有效的QoS控制�����。
請繼續(xù)參照圖12所示���,該組網(wǎng)系統(tǒng)還包括設置在信任區(qū)或非信任區(qū)且用于業(yè)務質量控制的資源管理部件14����,在呼叫處理過程中�,控制面部件(此部件作為各類網(wǎng)關的控制器,對呼叫連接的整個過程進行控制����,如NGN網(wǎng)絡中的軟交換設備)向相應的網(wǎng)絡分區(qū)的資源管理部件14申請網(wǎng)絡資源����,網(wǎng)絡互通網(wǎng)關11根據(jù)控制信令開放媒體流的轉換和傳送通道并配置相關的地址轉換策略���、防火墻處理策略、媒體格式轉換策略及業(yè)務質量控制策略�����。
媒體網(wǎng)關A呼叫媒體網(wǎng)關B���,兩側的網(wǎng)絡互通網(wǎng)關11在媒體網(wǎng)關與SoftSwitch之間進行信令代理���,同時記錄會話的相關信息。SoftSwitch在呼叫處理過程中通過開放接口向各個網(wǎng)絡分區(qū)的RM 14申請網(wǎng)絡資源����,當網(wǎng)關(包括媒體網(wǎng)關和網(wǎng)絡互通網(wǎng)關)及各個網(wǎng)絡分區(qū)的資源均具備后,SoftSwitch控制會話建立��。網(wǎng)絡互通網(wǎng)關11在信令解析和信令代理過程中根據(jù)SoftSwitch的控制信息開放媒體流的轉換和傳送通道�,并配置相關的QoS控制、地址端口變換�、媒體格式轉換、防火墻功能����。會話結束后SoftSwitch向RM 14釋放網(wǎng)絡資源�,同時網(wǎng)絡互通網(wǎng)關11根據(jù)控制信息刪除相應的媒體流轉換和傳送通道��。
綜上所述����,本發(fā)明可以解決現(xiàn)有技術中的一系列NGN組網(wǎng)問題。
1.NGN接入網(wǎng)的安全性問題�����。
本發(fā)明可通過網(wǎng)絡互通網(wǎng)關的分布式組網(wǎng)和訪問控制解決業(yè)務安全及帶寬盜用問題��。網(wǎng)絡互通網(wǎng)關分布式地設置到各個接入小區(qū)(含企業(yè)網(wǎng)���、校園網(wǎng))�����,在接入網(wǎng)中通過網(wǎng)絡層的訪問控制限制NGN終端所使用的網(wǎng)絡接口僅能訪問本小區(qū)的網(wǎng)絡互通網(wǎng)關�。由網(wǎng)絡互通網(wǎng)關實現(xiàn)NGN應用層的訪問控制���,用戶必須完成NGN業(yè)務認證流程后才能接入到NGN業(yè)務網(wǎng)(通過接入互通網(wǎng)關的注冊認證代理功能實現(xiàn))��。同時網(wǎng)絡互通網(wǎng)關對建立的連接進行帶寬控制(通過上文中描述的NGN業(yè)務QoS保證機制實現(xiàn))��,防止用戶使用超出申請范圍的帶寬資源����。
采用分布式組網(wǎng)后��,惡意用戶只能夠訪問本小區(qū)的網(wǎng)絡互通網(wǎng)關�����,因此安全威脅可以局限在小區(qū)中��。安全問題的隔離和定位可提高NGN網(wǎng)絡的安全性�����。
2.應用服務器的安全性問題�。
本發(fā)明為第三方應用服務器和所有需要與Internet連接的應用服務器劃分了半信任區(qū),此區(qū)域與信任區(qū)之間通過應用層的Parlay接口網(wǎng)關互通���。來自公眾網(wǎng)絡和第三方軟件的安全威脅限制在半信任區(qū)內部�,不會影響到整個NGN網(wǎng)絡的安全���。
3.不同運營商之間的互通問題���。
本發(fā)明使用網(wǎng)絡互通網(wǎng)關隔離不同運營商的網(wǎng)絡�,此部件在各運營商的NGN網(wǎng)絡中均表現(xiàn)為普通的媒體網(wǎng)關�����。從而解決IP地址轉換����、媒體流格式轉換、信令協(xié)議轉換等組網(wǎng)問題以及網(wǎng)絡安全問題(通過網(wǎng)絡互通網(wǎng)關的地址端口轉換��、媒體流格式轉換等功能實現(xiàn))���。
4.跨區(qū)域的網(wǎng)絡互通問題��。
技術框架中使用IP-IP GW實現(xiàn)不同地域NGN網(wǎng)絡之間的互連���,為網(wǎng)絡中各段實施不同的QoS策略提供了可能。同時�����,這個架構下NGN網(wǎng)絡被劃分為較小的區(qū)域,簡化了網(wǎng)絡管理�����、測試���、故障定位等操作的復雜度,提高了網(wǎng)絡的可運營性��。
權利要求
1.一種下一代網(wǎng)絡的組網(wǎng)系統(tǒng)����,其特征在于,該組網(wǎng)系統(tǒng)包括若干網(wǎng)絡分區(qū)����,各個網(wǎng)絡分區(qū)通過跨區(qū)域網(wǎng)絡部件連接,且跨區(qū)域網(wǎng)絡部件僅實現(xiàn)各個網(wǎng)絡分區(qū)應用層互通進而實現(xiàn)各個網(wǎng)絡分區(qū)的業(yè)務互通��。
2.如權利要求1所述的下一代網(wǎng)絡的組網(wǎng)系統(tǒng)���,其特征在于����,該組網(wǎng)系統(tǒng)包括以下網(wǎng)絡分區(qū)非信任區(qū),指用戶可直接接入的網(wǎng)絡以及未確定安全性的網(wǎng)絡�;信任區(qū),指下一代網(wǎng)絡的業(yè)務專用網(wǎng)絡�,與非信任區(qū)在網(wǎng)絡層隔離;半信任區(qū)���,通過防火墻與外部公眾數(shù)據(jù)網(wǎng)連通的IP網(wǎng)絡區(qū)域�����;操作維護區(qū)���,獨立的IP網(wǎng)絡,一側與操作維護服務器端設備連接����,另一側與客戶端連接;運營支持系統(tǒng)網(wǎng)����,專用網(wǎng)絡,用于運營商全網(wǎng)設備的管理��。
3.如權利要求2所述的下一代網(wǎng)絡的組網(wǎng)系統(tǒng)���,其特征在于��,非信任區(qū)包括寬帶接入網(wǎng)��、企業(yè)網(wǎng)或校園網(wǎng)�、互聯(lián)網(wǎng)及其他運營商的下一代網(wǎng)絡;信任區(qū)包括在核心網(wǎng)中建立的虛擬專用網(wǎng)絡及專用于下一代網(wǎng)絡業(yè)務的�、物理上獨立的IP網(wǎng)絡。
4.如權利要求2所述的下一代網(wǎng)絡的組網(wǎng)系統(tǒng)����,其特征在于����,信任區(qū)與半信任區(qū)實現(xiàn)業(yè)務互通的跨區(qū)域網(wǎng)絡部件是應用業(yè)務網(wǎng)關,所述應用業(yè)務網(wǎng)關包括通過半信任區(qū)的物理端口與半信任區(qū)連接的第一協(xié)議適配模塊��、通過信任區(qū)物理端口與信任區(qū)連接的第二協(xié)議適配模塊以及連接第一���、二協(xié)議適配模塊的開放式應用接口模塊����。
5.如權利要求4所述的下一代網(wǎng)絡的組網(wǎng)系統(tǒng)����,其特征在于�����,所述半信任區(qū)中與第一協(xié)議適配模塊連接的下一代網(wǎng)絡部件是可信任的網(wǎng)絡部件���,則第一協(xié)議適配模塊直接通過信任區(qū)物理端口與信任區(qū)連接。
6.如權利要求2所述的下一代網(wǎng)絡的組網(wǎng)系統(tǒng)��,其特征在于�����,信任區(qū)�、操作維護區(qū)和運營支持系統(tǒng)網(wǎng)之間實現(xiàn)業(yè)務互通的跨區(qū)域網(wǎng)絡部件是網(wǎng)絡管理系統(tǒng),所述網(wǎng)絡管理系統(tǒng)采用三個業(yè)務接口模塊通過不同的物理端口分別與信任區(qū)�、操作維護區(qū)和運營支持系統(tǒng)網(wǎng)連接。
7.如權利要求6所述的下一代網(wǎng)絡的組網(wǎng)系統(tǒng)���,其特征在于����,所述網(wǎng)絡管理系統(tǒng)的業(yè)務接口模塊包括通過運營支持系統(tǒng)網(wǎng)的物理端口與運營支持系統(tǒng)網(wǎng)連接的簡單網(wǎng)絡管理協(xié)議客戶端模塊、通過操作維護區(qū)的物理端口與操作維護區(qū)連接的管理服務器模塊及通過信任區(qū)的物理端口與信任區(qū)連接的簡單網(wǎng)絡管理協(xié)議服務器模塊���,且簡單網(wǎng)絡管理協(xié)議客戶端模塊���、管理服務器模塊及簡單網(wǎng)絡管理協(xié)議服務器模塊都與網(wǎng)絡管理業(yè)務處理模塊連接互通。
8.如權利要求2所述的下一代網(wǎng)絡的組網(wǎng)系統(tǒng)�,其特征在于,信任區(qū)與非信任區(qū)實現(xiàn)業(yè)務互通的跨區(qū)域網(wǎng)絡部件是網(wǎng)絡互通網(wǎng)關��,網(wǎng)絡互通網(wǎng)關的應用層包括采用會話控制層協(xié)議的第一應用層以及采用媒體傳輸層協(xié)議的第二應用層���,其中第一應用層根據(jù)第一應用層處理結果控制第二應用層的業(yè)務互通��。
9.如權利要求8所述的下一代網(wǎng)絡的組網(wǎng)系統(tǒng),其特征在于���,所述會話控制層協(xié)議包括會話初始協(xié)議�����、用于電話的會話初始協(xié)議�����、H.323�、H.248及承載無關呼叫控制協(xié)議;所述媒體傳輸層協(xié)議包括實時傳輸協(xié)議及實時傳輸控制協(xié)議����。
10.如權利要求8所述的下一代網(wǎng)絡的組網(wǎng)系統(tǒng),其特征在于����,所述網(wǎng)絡互通網(wǎng)關包括相互分離的信令代理模塊和媒體代理模塊,所述信令代理模塊用于終結一個網(wǎng)絡分區(qū)的控制信令����,解析控制信令的應用層信息,產生另一網(wǎng)絡分區(qū)所需的控制信令并控制媒體流傳送�;所述媒體代理模塊用于在信令代理模塊控制下進行媒體流轉發(fā),并在轉發(fā)過程進行媒體流格式的轉換���。
11.如權利要求10所述的下一代網(wǎng)絡的組網(wǎng)系統(tǒng)�,其特征在于����,所述信令代理模塊包括若干協(xié)議代理子模塊,所述協(xié)議代理子模塊終結一網(wǎng)絡分區(qū)接收的協(xié)議報文����,并產生另一網(wǎng)絡分區(qū)所需的協(xié)議報文且根據(jù)信令處理結果創(chuàng)建媒體流處理策略���。
12.如權利要求11所述的下一代網(wǎng)絡的組網(wǎng)系統(tǒng),其特征在于���,信令處理結果指會話連接的成功或失敗�、成功后建立的媒體流數(shù)量��、各個媒體流的端口號����、各個媒體流的帶寬、業(yè)務優(yōu)先級及媒體流格式�����。
13如權利要求11所述的下一代網(wǎng)絡的組網(wǎng)系統(tǒng)�,其特征在于�,所述媒體代理模塊包括媒體流處理策略管理模塊,用于接收信令代理模塊的媒體流處理策略�,分解為媒體流處理策略;媒體流處理模塊��,用于根據(jù)分解的媒體流處理策略轉發(fā)媒體流。
14如權利要求13所述的下一代網(wǎng)絡的組網(wǎng)系統(tǒng)���,其特征在于�����,所述媒體流處理策略包括地址轉換策略����,而媒體流處理策略管理模塊包括地址轉換策略模塊�,相應媒體流處理模塊包括地址端口轉換模塊。
15.如權利要求14所述的下一代網(wǎng)絡的組網(wǎng)系統(tǒng)���,其特征在于����,媒體流處理策略還包括防火墻處理策略���、媒體格式轉換策略及業(yè)務質量控制策略�����,而媒體流處理策略管理模塊相應還包括防火墻處理策略����、媒體格式轉換策略及業(yè)務質量控制策略,相應媒體流處理模塊包括防火墻處理模塊���、媒體格式轉換模塊及業(yè)務質量控制模塊�。
16.如權利要求15所述的下一代網(wǎng)絡的組網(wǎng)系統(tǒng)�,其特征在于,該組網(wǎng)系統(tǒng)還包括設置在信任區(qū)或非信任區(qū)且用于業(yè)務質量控制的資源管理部件���,在呼叫處理過程中���,控制面部件向相應的網(wǎng)絡分區(qū)的資源管理部件申請網(wǎng)絡資源,網(wǎng)絡互通網(wǎng)關根據(jù)控制信令開放媒體流的轉換和傳送通道并配置相關的地址轉換策略�����、防火墻處理策略�����、媒體格式轉換策略及業(yè)務質量控制策略�。
17.如權利要求15所述的下一代網(wǎng)絡的組網(wǎng)系統(tǒng)�,其特征在于���,媒體流處理模塊還包括實時傳輸協(xié)議中繼模塊,接收一側網(wǎng)絡分區(qū)的媒體流報文�����,發(fā)送到另一側網(wǎng)絡分區(qū)�����,處理過程中未更改媒體流的內容�。
18.如權利要求10所述的下一代網(wǎng)絡的組網(wǎng)系統(tǒng),其特征在于�,所述網(wǎng)絡互通網(wǎng)關進一步包括報文分發(fā)模塊和報文匯聚模塊,其中報文分發(fā)模塊用于從一網(wǎng)絡分區(qū)接收報文��,并對報文合法性進行檢查����,將分類后的合法報文發(fā)送給信令代理模塊和媒體代理模塊;報文匯聚模塊用于將處理后的媒體流和信令發(fā)送給另一網(wǎng)絡分區(qū)��。
19.如權利要求10至18任意一項所述的下一代網(wǎng)絡的組網(wǎng)系統(tǒng)����,其特征在于��,所述網(wǎng)絡互通網(wǎng)關進一步包括用于對網(wǎng)絡部件進行注冊認證的注冊代理模塊����,用于網(wǎng)絡部件接入時���。
20.如權利要求19所述的下一代網(wǎng)絡的組網(wǎng)系統(tǒng)���,其特征在于,所述網(wǎng)絡互通網(wǎng)關進一步包括用于網(wǎng)絡管理系統(tǒng)與非信任區(qū)網(wǎng)關之間的簡單網(wǎng)絡管理協(xié)議報文互通的簡單網(wǎng)絡管理協(xié)議中繼模塊��,以對非信任區(qū)網(wǎng)關進行網(wǎng)絡管理��。
全文摘要
一種下一代網(wǎng)絡的組網(wǎng)系統(tǒng)包括若干網(wǎng)絡分區(qū)�����,各個網(wǎng)絡分區(qū)通過跨區(qū)域網(wǎng)絡部件連接�����,且跨區(qū)域網(wǎng)絡部件僅實現(xiàn)各個網(wǎng)絡分區(qū)應用層互通進而實現(xiàn)各個網(wǎng)絡分區(qū)的業(yè)務互通����。該組網(wǎng)系統(tǒng)包括以下網(wǎng)絡分區(qū)非信任區(qū)����,指用戶可直接接入的網(wǎng)絡以及未確定安全性的網(wǎng)絡���;信任區(qū),指下一代網(wǎng)絡的業(yè)務專用網(wǎng)絡�����,與非信任區(qū)在網(wǎng)絡層隔離�;半信任區(qū),通過防火墻與外部公眾數(shù)據(jù)網(wǎng)連通的IP網(wǎng)絡區(qū)域���;操作維護區(qū)��,獨立的IP網(wǎng)絡����,一側與操作維護服務器端設備連接�,另一側與客戶端連接;運營支持系統(tǒng)網(wǎng)���,專用網(wǎng)絡����,用于運營商全網(wǎng)設備的管理。本組網(wǎng)系統(tǒng)具有可行性��,并實現(xiàn)接入網(wǎng)和應用服務器安全性����,實現(xiàn)各個網(wǎng)絡分區(qū)互通。
文檔編號H04L29/06GK1665238SQ20041000653
公開日2005年9月7日 申請日期2004年3月4日 優(yōu)先權日2004年3月4日
發(fā)明者龍盤, 吳東君 申請人:華為技術有限公司