摘 要 IAD(Integrated Access Device综合接入设备)作为NGN软交换中一个重要的用户层终端设备,以其分组型接入、宽带化接入、综合性接入等特点,成为软交换的一种主要的终端应用形式而得到厂商和运营商的关注。IAD作为用户级设备,具有数量大、分布广、种类多的特点,如何对其进行统一管理是当前接入网研究的一个重要研究方向。此外,IAD位于用户侧,其接入安全性的问题也需要引起足够的关注。本文就IAD统一管理系统的设计和如何解决IAD接入安全问题提出了一些观点,并给出实现方案。
关键词 下一代网络、统一管理系统、IAD、接入安全
0 引言
NGN充分利用了新技术在网络融合、业务融合、灵活计费以及快速生成业务方面的显着优势,将快速提高运营商的业务开展和网络盈利能力。其重要特征就是分组化、开放式、高带宽、多种媒体流统一承载,基于分组模式,是网络层分组模式与传送层电路模式的结合。NGN实现了业务功能与承载技术的分离,这样就使业务应用的开发、实施更加便利,完全改变了现有在智能网上开发业务的方式,利用宽带IP网统一承载话音业务、数据业务、视频业务,为用户提供了崭新的统一业务平台,使网络能够和电子商务、教育、医疗、娱乐、休闲、自动控制等应用结合起来。同时,提高了网络资源的利用率、增加了业务收入、降低了网络建设和运营成本,随着NGN核心技术的不断完善、成熟和成本的降低。在网络融合、业务融合、灵活计费以及快速生成业务方面的优势将逐步得以体现,将显着提高电信运营商的业务开展能力和网络盈利能力。NGN让电信运营商可以更灵活地为大量具有不同需求的用户提供有质量保证的电信业务。随着NGN的不断发展和国内NGN网的逐步建立,接入网在向综合化方向发展的同时,也需要具有向基于分组的统一网络管理的能力。
1 系统设计的目的及结构实现
IAD作为以软交换为核心的NGN的主要接入层设备,它将用户的数据、语音及视频等应用需求接入到分组交换网络中,在分组交换网络中完成相应的功能,为运营商提供理想的分组语音解决方案,受到了全球网络运营商和设备供应商的高度重视。作为用户端设备的IAD在网络中具有数量大、分布广和基于动态私网IP的特点,如何对这种用户侧的设备实现有效的管理是未来各大运营商将要面对的问题。目前,几乎所有的IAD设备制造厂家都能实现对自己厂家产品的有效管理,还有几个厂家联合提出IADMS(综合接入终端管理系统)规范草案,着重研究了如何对进入NGN的IAD实现跨厂商、跨品牌“即插即用”的统一网络管理。
IADMS的目的是要实现集中管理网络中的IAD的各种状态的有效管理,图1所示是网络体系结构,从图1中可以看出,IADMS只是NGN网络管理系统(NMS)中网元管理系统(EMS)的一个逻辑网元,如果直接采用软交换网元管理系统对全网的IAD进行集中管理,势必会给软交换网元管理系统造成压力并使其暴露在用户侧,因此采用专门的管理系统来对IAD进行管理是必要的,并引入逻辑网元的实现方法进行管理功能的会聚。
图1 网络体系结构
设计IADMS总体方案的总体思路,是使接入到网络的不同品牌和型号的IAD都能得到NMS的有效管理,同时还能提高(图1 网络体系结构图、图2 系统体系结构)系统体系结构管理及维护人员的工作效率,提升运营商的管理能力和盈利能力。将IAD的统一网络管理从NGN大网管中独立出来,成为软交换中的二级网管。 IADMS的目标是对所管辖的IAD进行配置、升级、重启等工作,并且对IAD 的性能进行统计(包括端口故障率、可用率,包的抖动、时延等),同时还具有告警监测和安全防范的功能。
整个系统由客户端层、服务器层和适配层三层组成,其中客户端负责用图形化方式的人机接口显示各种网络管理信息,响应网管人员提交的各种管理操作并将请求提交到服务器层;服务器层负责具体业务的逻辑实现,完成客户端提交的管理操作,将对设备的操作提交到适配层;适配层将服务器层的管理请求转换为设备相关的命令下发到相应的控制进程。此外,设备主动上报的信息到达适配层,适配层将上报的信息转换为统一网管系统的标准格式,然后调用服务器层中对象的函数,服务器层完成上报的信息的逻辑处理,并向
图2 系统体系结构
所有的客户端发送消息。客户端接收到消息之后,刷新界面显示,完成一个由设备上报驱动的自下而上的流程:通过将适配层从服务器层独立出来,完成不同设备的管理命令到统一的信息模型的映射。此外,服务器层和客户端层之问的接口可以根据运营商入网的要求有选择地对外开放。这样,服务器层自然成为上层网管的代理,从而方便地对上层网络级管理系统提供CORBA接口,实现网络的分级管理,满足运营商的要求。系统体系结构如图2所示。
系统围绕实时、可靠、高效、精确、方便管理和易于维护的思想来进行设计,将需要监测的告警信息和数据信息以最快的速度传送到管理中心的终端设备上,并根据设备情况完成远程控制功能,以便维护人员及时发现异常情况,并采取相应的措施;还可根据一段时问内数据参量的统计情况,分析出设备的使用和可用状况,尽早发现设备隐患,预防通信故障,增强网络效益。具体的特征有:采用先进的分布式计算;IS0分层思想,中间件的软件技术;基于TMN标准的要求及管理功能规范;满足信息产业部相关规范对系统的要求。
按照信息产业部和中国网络通信集团(CNC)相关国家及企业标准,以及ITU—T的TMN标准规范,管理系统主要用于对以软交换为核心的下一代网络的综合终端接入设备进行自动监控,其管理对象是综合终端接入设备。系统主要有五个功能模块:配置管理、性能管理、故障管理、安全管理和系统管理,其软件结构如图3所示。
图3 软件体系结构
具体功能
· 系统管理:在系统管理模块中主要有数据库管理、时钟校验、软件升级管理和系统资源配置管理等管理内容。
· 配置管理:通过SNMP可以调用软交换、信令网关和媒体网关设备上的MIB库并进行设置,从而实现对设备上相应功能模块的配置。软交换、信令网关和媒体网关远程配置管理可以通过Telnet来实现。软交换、信令网关和媒体网关应具有Telnet协议接口和口令等安全设施。配置管理包括IAD设备树管理、基本配置管理和软交换配置管理。
· 性能管理:通过对IAD的监控和轮询,获取有关网络以及终端接入设备运行的信息及统计数据,并能在所收集数据的基础上,提供网络以及终端接入设备的性能统计。性能管理包括端口性能管理、通道性能管理、协议性能管理和呼叫性能管理。
· 故障管理:IAD通过SNMP的trap机制向IADMS主动报告设备启动、状态变化等紧急事件。在告警管理方面可以提供对实时告警的监视呈现,对历史告警的汇总分析,对告警信息的详细描述等。故障管理包括实时告警采集和处理、多种方式呈现并处理告警、告警查询分析、告警设置和发布派修单
等。(可以将告警分成了各种级别,比如一般告警、重要告警、紧急告警,一般告警可以用黄颜色的告警条表示,重要告警可以用红颜色的告警条表示,而紧急告警可以要有警示声音,也就是急促的短鸣的声音提示有紧急告警)
· 安全管理:在安全管理方面,提供网管用户密码鉴权,用户网管功能权限分配和记录各类安全事件日志等措施。安全管理包括登录安全、用户操作的安全管理和日志管理。
系统从设计到实现都是按照TMN标准规范来进行的,从而具有了TMN标准规范的许多特征,同时具有的以下特征:实时监视IAD的工作状态,远程设置运行参数;故障监测、定位及系统自诊断;告警屏幕显示;大容量磁盘数据存储;生成统计报表、显示图形曲线;历史数据、告警查询;多级操作权限,自动记录用户重大操作;设置告警级别和告警参数;动态全中文联机帮助。
3 安全性分析及实现方案
IAD作为NGN中一种不可或缺的接入层设备,其涉及到的一些问题也需要认真地解决。整个系统是基于IP网络设计的,由于采用IP技术与基于ATM和SDH的承载网相比,其开放性特点非常适合网络业务的发展,但IP协议的开放性和公用性也使IAD不可避免地受到黑客或病毒程序的攻击或干扰,存在着如用户仿冒、IP地址盗用、破坏服务(如DOS
攻击) 、抢占资源等安全问题。
IAD所遇到的安全问题主要有3种:
· 接入安全:这通常是未经授权的用户通过监视、拦截、篡改、捏造、重播欺骗、克隆、重定向等手段,非法获取系统资源的访问权。建立非法呼叫、干扰破坏合法呼叫或窃听、抵赖服务费用、窃用服务等级等等。接入安全需要建立安全入网注册、预配置安全管理、安全网管、安全信令、安全媒体流等安全机制。也就是说,必须适当选择安全协议及密码学算法,严密的密钥管理体制,服务器及授权用户有效的相互认证方法,通过完善的认证机制来解决用户仿冒、IP盗用等问题。
· 恶意攻击:IAD接入端口是NGN业务网的最大的安全隐患,IAD处于用户端,存在被利用来恶意攻击运营商的关键网络设备和其它IAD的可能性,例如恶意的拒绝服务攻击(DoS)。对付恶意攻击的做法,可以通过物理安全来保证接入端口不被非法访问,同时在统筹规划整个NGN交换网络建设中,适当地考虑相关设备的安全保障机制,部署专门的VPN承载NGN业务,与Internet逻辑上隔离开,提高网络安全性。
· 电源供给:IAD位于用户端侧,不用专门的机房,一般放置于离用户较近的地方,如家庭、办公室、小区或商业楼宇的楼道。从IAD测试情况来看,困扰其稳定性的最大因素是电源问题。目前绝大部分IAD电源配置采用的是本地供电方式,一旦遇到区域断电,IAD将不能工作,失去一切通信联系。
后两种问题超出了本篇文章的讨论范围,在这里就不进行详细地论述了。
在接入安全上的解决思路是采取认证注册的方式,认证注册分为管理认证注册和业务认证注册两大部分。管理认证注册可以理解为IAD根据一些原始的配置参数向网管设备进行注册;业务认证注册是指在IAD提供服务前,向软交换进行认证注册。IAD上电后,同时发起管理注册和业务注册请求。管理注册成功后,IAD从网管处获得一些配置数据和文件;业务注册成功后,IAD可以使用软交换提供的业务。系统会在安全管理中的登录安全子模块中设置一项鉴权功能,用来对进入网络的IAD进行鉴权。IAD是靠近用户端的局供设备,在投入使用前需要进行配置(包括网管的IP地址、软交换的IP地址等)。对于IAD自身的IP地址通常有两种分配方法:一种是分配固定IP地址;另一种是通过DHCP((动态主机控制协议)分配IP地址。前者主要在校园网络中使用,而后者在小区宽带和电信业务中比较普遍。
在管理认证方面主要对IAD进行认证注册,在系统管理模块的升级管理子模块提供IAD的软件和版本升级的维护管理。现有的IAD网管都只能管自己品牌的IAD,而这套管理系统增加了一个认证接口适配器,将不同品牌的IAD即时进行管理认证注册。用来标识IAD的是MID(Managed Identifier),一般是指IP地址或域名。IAD注册时发起一个带有MID的SNMP(简单网络管理协议)trap请求,管理系统在自己的数据库中寻找相应的匹配项。管理系统如果找到匹配的MID或者接口适配器能将其转化成数据库中相应的匹配项,那么就给予注册;否则需要管理系统更改数据接口适配器,发出告警。
图4 业务认证的鉴权流程
如图4所示,IAD管理注册流程为:IAD向软交换发起管理注册请求,其中带有设备标识码;网管在数据库中寻找相应的匹配项,并比较两者的结果;如结果相同,发给IAD予以注册的命令;如果不同,则发回错误信息。如图4所示。由于目前的IP网络中非常容易获取IP地址,为了尽量避免非法用户注册成功,使用IAD标识码来作为IAD的惟一(图4 管理认证注册成功的流程、图5 业务认证的鉴权流程)标识。IAD的设备标识码是指能够惟一标识IAD的一串代码,它可以是MAC地址或者是一些含有特定信息的代码(如运营商的名称、IAD设备提供商和IAD的一些自身信息)。衡量标识码的可用性标准就是惟一性。为了防止网络侦听,泄漏IAD标识码,可以采取加密的方式在网络上传输。
在业务认证方面,由于业务认证强调的是IAD向软交换的认证注册,对于使用SIP的IAD来说,通过Digest鉴权来实现对SIP用户的注册、呼叫的认证,具体来说就是通过401和407消息,只有拥有合法用户名和密码的用户才能够使用NGN业务。而对于使用H.248协议的IAD来说,由于H.248协议本身并不像SIP提供用户鉴权的功能,所以如果想要对用户的使用进行鉴权的话,通常是通过厂商自己定义鉴权模式。可以采用H.248协议提供的一些命令来完成用户的鉴权,主要通过注册认证和心跳认证来确认中断的合法性,具体来说,就是在H.248注册命令中添加一些扩展项来进行鉴权。利用H.248协议中定义的扩展项,并且同时定义相同的加密算法和相同的设备标识码,如基于公钥的消息认证,通过注册认证和心跳认证来确认终端的合法性,也可以达到用户鉴权的目的。
图5 业务认证的鉴权流程
如图5所示,IAD通过注册命令方式进行用户鉴权的流程:IAD向软交换发起注册请求,其中带有经过加密的设备标识码;软交换用和IAD相同的加密算法进行计算,并比较两者的结果;如结果相同,发给IAD予以注册的命令;如果不同,则发回错误信息。对IAD进行业务认证需要IAD和相应的软交换匹配,不然将无法工作。但这都只是一种应用层上的安全保障方式,并不能从根本上解决安全问题,因此还需要与IPSec或TLS等底层协议相结合来解决。
4 结束语
下一代网络是面向服务的网络系统,对于IAD的统一网络管理由来已久,虽然争议颇多,但是统一的网管势在必行。综上所述,通过对实现对IAD的统一管理,不仅仅是分担了软交换网络在业务承载方面的负荷,提高了网络资源利用率,而且进一步提高运营商的服务质量,降低维护费用,有利于进行集中化的管理,是下一代网络管理发展的一个必然趋势。本文在这方面进行了一些前瞻性的研究,并给出了相应的系统软硬件方案,但是对IAD统一的网络管理还需要运营商和设备制造商各方面的共同努力。
参考文献
1 强磊等.基于软交换的下一代网络组网技术.北京:人民邮电出版社,2005
2 雷雪梅.现代网络管理.北京:国防工业出版社,2005
3 陈建亚.可编程交换技术.北京:北京邮电大学出版社.2001
4 赵学军等.软交换技术与应用.北京:北京邮电出版社.2004
5 Mo Li and Kumbesan Sandrasegaran.Institute of Information and Communication Technologies and Faculty of Engineering University of technology,Sydney.Network Management Challenges for Next Generation Networks.IEEE Computer Society.2005
6 Alex Gillespie,BT Laboratories.Simon Rees,Fujitsu Telecommunications Europe.Access Network Management Modeling.IEEE Communications Magazine·March 1996