0 引 言
运营商固话网络与移动通信网络仍然是当前规模最大、用户最多的话音通信网络。此外,铁路、电力、公安、党政等重要行业也建设了专用话音通信网络。这些话音通信网络的技术和管理体制不尽相同,往往具有不同的安全等级。随着移动办公、“互联网+”等新的业务模式的发展,行业用户对于专用话音通信网络与运营商话音通信网络的互联互通需求逐渐旺盛,受到了业内相关技术与解决方案提供商的关注[1-2]。
现有技术方案如软交换(Soft Switching)、IP多媒体子系统(IP Multimedia Subsystem,IMS)等,解决了不同话音通信网络之间的信令协议、媒体流与用户号码的异构性带来的互联互通问题[3-4],但对不同安全等级的互联互通问题却并未涉及。本文在对分析不同安全等级的话音通信网络互联互通问题的基础上,提出了一种基于安全话音通信网关的互联互通技术方案,并对安全话音通信网关的软硬件设计进行了说明,以供业内同行参考。
本文的组织结构如下:第1节分析了不同安全等级的话音通信网络互联互通问题,对基于安全话音通信网关的互联互通技术方案进行说明;第2节阐述了安全话音通信网关的硬件设计;第3节阐述了安全话音通信网关的软件设计;第4节对互联互通技术方案的安全性进行了分析;最后对全文进行总结。
1 基于安全话音通信网关的互联互通技术方案
1.1 不同安全等级的话音通信网络互联互通问题分析
专用话音通信网络往往是为铁路、公安、党政等重要行业的业务提供支撑,其安全性要求通常比运营商话音通信网络更高。因此,在分析不同话音通信网络的互联互通问题时,可以将专用话音通信网络视为高安全等级话音通信网络,将运营商话音通信网络视为低安全等级话音通信网络。不同安全等级的话音通信网络的互联互通需要解决以下几个方面的问题。
(1)不同信令协议之间的转换。运营商话音通信网络普遍采用SIP、H.323等承载在IP分组交换网络之上的呼叫控制协议,而专用话音通信网络可能采用No.7信令、中国一号信令等窄带信令。因此,需要完成不同信令协议之间的转换,才能实现跨网呼叫的信令正确转接。
(2)不同媒体流之间的转换。运营商话音通信网络普遍采用IP分组交换体制,通过RTP等流媒体传输协议封装和传输话音,而专用话音通信网络可能采用基于窄带电路交换体制,此外不同的话音通信网络可能采用不同的话音编码方式。因此,需要完成不同媒体流之间的转换与编码转换,才能实现跨网呼叫的话音传输与正确解码。
(3)不同用户号码集之间的映射。不同的话音通信网络可能具有不同的用户号码长度与编制方式,因此需要进行用户号码映射,才能正确发起跨网呼叫。
(4)跨网呼叫过程的控制。跨网呼叫具有人工转接、二次拨号和特殊号段拨号等多种呼叫控制方式,还需要支持遇忙回叫、呼叫转移、强插、特服号码和电话会议等特服功能,因此需要专门的呼叫控制功能模块进行处理。
(5)高安全等级域与低安全等级域之间的隔离。由于专用话音通信网络与运营商话音通信网络往往分属不同等级的安全域,需要进行不同安全域之间的安全隔离,防止恶意信令或媒体流中携带的恶意数据从低安全域进入高安全域[5]。
(6)满足高安全等级要求的安全防护措施。高安全域的话音通信网络往往具有较强的身份鉴别、数据传输保护、防窃听/泄漏等安全防护要求,互联互通方案应满足这些要求。
1.2 基于安全话音通信网关的互联互通技术方案
针对上述问题,设计了基于安全话音通信网关的互联互通技术方案。安全话音通信网关同时连接高安全等级话音通信网络和低安全等级话音通信网络,如图1所示。其中,高安全等级话音通信网络及其与安全话音通信网关的连接、相应接口构成高安全等级域(以下简称H域);低安全等级话音通信网络及其与安全话音通信网关的连接、相应接口构成低安全等级域(以下简称L域)。安全话音通信网关在完成信令协议转换、媒体流转换、用户号码映射与跨网呼叫控制的同时,实现H域与L域的安全隔离,并对于其与H域的连接及信令流、媒体流,提供满足H域要求的安全防护措施[6]。
通信网关可以分为控制面与数据面两大部分。控制面的主要功能是完成对H域和L域的信令协议的处理、转换,并完成对跨网呼叫过程的控制;在安全性方面,控制面实现H域和L域的信令流安全隔离,并提供对H域安全防护机制的管控策略。数据面的主要功能是按照控制面的指令,完成对H域和L域的媒体流的处理、转换与安全传输;在安全性方面,数据面实现对H域媒体流的加解密/加解扰等安全防护机制。
安全话音通信网关控制面的主要功能模块包括呼叫控制、号码映射、H域信令协议处理、L域信令协议处理、信令网关、信令安全防护、身份认证和加密/加扰控制等。其中,信令网关与信令安全防护模块对信令协议进行转换和安全性检查。只有经过合法性识别的信令消息,才允许进入呼叫控制模块进行处理,实现H域和L域信令的转换与安全隔离[7]。身份认证模块在与H域相连接时,通过安全接入协议进行身份认证,当认证通过后,才开启与H域的连接通道。呼叫过程中,控制面通过呼叫控制协议与H域建立连接并进行安全性协商,进而确定对H域媒体流的加解密/加解扰的策略。
安全话音通信网关数据面的主要功能模块包括媒体处理、媒体流加解密和媒体网关等。由于当前运营商话音通信网络普遍采用IP分组交换网络作为业务承载平台,如果专用话音通信网络采用窄带电路交换体制,需要通过媒体网关进行媒体流转换:在分组域采用RTP等流媒体传输协议进行封装,再封装成IP数据报包进行发送;在电路域则通过交换芯片采用窄带信令协商的时隙进行发送。如果H域和L域采用了不同的编解码方式,数据面还需要完成对媒体流的编解码转换处理。安全性方面,数据面根据控制面指示的媒体网关表项操作进行相应的加解密/加解扰等安全处理,为H域的媒体流提供传输安全保护。
2 安全话音通信网关的硬件设计
基于上述安全话音通信网关架构,具体设计安全话音通信网关的硬件、软件方案。为了确保H域与L域的安全隔离,提供一定的抗线路拥塞、用户数量灵活配置、可多台堆叠使用等能力。安全话音通信网关采用多板卡的硬件方案,主要包括控制交换、上行接口、下行接口、编码转换和加密/加扰等板卡,如图3所示。
控制交换板采用CPU+FPGA+交换模块的主体架构。各部分实现不同的系统功能并相互配合,共同完成协议处理、呼叫控制、多用户接入、信令与媒体流交换和安全防护等核心的控制与安全处理功能。
上行接口板是联接H域网络交换机的通道,提供SDH、以太网和多路E1等多种类型的接口,并完成安全呼叫协议处理。上行接口板主要由线路接口模块、FPGA和处理器模块组成。线路接口模块负责外部数据的物理接口转换工作,完成不同类型的外部物理接口数据收发,并统一转换为以太网接口引入交换机内部。线路接口模块有2路155M SDH、1路1 000M以太网、2路4E1复用等接口类型,可以根据实际使用需求进行选配。
下行接口板针对连接的不同L域网络提供No.7信令、中国一号信令或SIP信令数据转换功能。下行接口板提供8个物理端口,并捆绑映射为两个逻辑端口:物理端口1-4捆绑为逻辑端口1,物理端口5-8捆绑为逻辑端口2。对于同一逻辑端口,每增加一个物理端口自动增加2M带宽,一个逻辑端口最多提供8M带宽。下行接口板还可以外接安全设备,用于保护通信和业务数据的安全。
编码转换板主要完成话音编码方式的转换。支持的编码方式包括常用的64 kb/s PCM和占用带宽低、话音质量好的32 kb/s ADPCM等。
加密/加扰板主要完成安全话音通信网关与H域网络交换设备的相互认证,并对H域媒体流提供加密、加扰等安全保护,满足H域对于设备安全与话音传输安全的要求。
为了同时支持多路用户,需要对每路话音进行语音同步信息处理,并根据实际编码方式检测话音是否失步,进行加密/加扰控制、编码转换控制与回声抵消等处理。这需要CPU、FPGA与交换模块协同工作,确保正确的数据流,并完成各个转接过程的实时高效调度处理。各硬件模块之间的业务数据流如图4所示。
3 安全话音通信网关的软件设计
安全话音通信网关的软件系统主要由控制交换板软件和接口板软件两大部分组成,如图5所示。控制交换板软件完成整机的呼叫控制、协议处理、信令网关、安全控制、设备管理和接口处理等功能。接口板软件主要完成信令提取与处理、业务数据适配等功能。
呼叫控制模块是整个控制交换板软件的核心模块。它在整个软件系统中的控制数据流关系,如图6所示。它实现呼叫的发起、修改、接受、拒绝、取消以及终止等功能,并进行媒体网关配置;实现对整个流程的控制调度处理,宽窄带终端、交换机交互处理。呼叫控制模块需要支持宽度用户接入设备注册接入,支持窄带电话机终端通过信令网关接入,支持宽带电话机终端通过IP体制认证接入。呼叫控制模块还需要支持遇忙回叫、呼叫转移、接留守处、首长/秘书机、优先、强插、值班员、人工代拨、人工强插、特服号码和电话会议等特服功能。
协议处理模块完成设备内部处理用户安全认证、呼叫等消息传输功能。它协同呼叫控制模块完成安全接入协议、内部通信协议和安全相关协议的处理。根据处理信令的不同,信令转换又可分为中继信令转换和用户信令转换。中继信令转换实现多级网增强型中继信令信息的中继、转接和终结处理。中继信令转换对多级网增强型中继信令消息重新打包,形成联接的网络能够识别的信令格式。用户信令转换实现多级网用户信令信息的中继、转接和终结处理。用户信令转换对多级网用户信令消息重新打包,形成联接的网络能够识别的信令格式。
信令网关模块用于完成窄带信令(如No.7信令)与分组域信令协议(如SIP协议)的转换,主要支持MTP2、MTP3、TUP和ISUP等中继信令转换与用户信令转换,从而实现不同安全等级的话音通信网络之间的信令互通。
管理模块主要完成整板初始化、故障管理、文件管理、系统资源管理和热备管理等功能,完成各硬件模块的工作状态监测与软件模块的运行状态监测。当设备异常或受到攻击时,及时报告至网管系统进行干预。
4 安全性分析
基于安全话音通信网关的互联互通技术方案主要提供了以下安全防护能力:
(1)通过信令网关、信令安全防护模块,实现了H域与L域信令流的安全隔离,防止恶意信令攻击通过L域进入H域网络。
(2)采用安全接入协议与身份认证措施,实现了安全话音通信网关与H域网络的身份合法性鉴别,防止非法设备与非法用户接入网络。
(3)通过媒体网关实现了H域与L域媒体流的安全隔离,防止媒体流中携带的恶意数据通过L域进入H域网络。
(4)根据控制面与H域之间的信令协商,控制数据面对媒体流进行加密/加扰,实现H域的话音媒体流的安全传输。
5 结 语
铁路、公安、党政等重要行业的专用话音通信网络往往与运营商话音通信网络具有不同的技术体制与安全等级,但又需与运营商话音通信网络实现业务互联互通。基于安全话音通信网关的互联互通技术方案,在实现不同话音通信网络之间的信令互通、媒体互通、号码映射与呼叫控制的同时,重点解决了高安全等级域与低安全等级域之间的安全隔离、高安全等级域的话音安全传输、安全话音通信网关与高安全等级网络之间的身份认证等与互联互通相关的安全性问题,从而为不同安全等级的话音通信网络互联互通提供了完整的解决方案。其中,安全话音通信网关的具体硬件设计和软件设计方案可供有类似需求的业内同行参考。
参考文献:
[1] 王明嵩.统一通信调度平台的方案与应用[J].铁道通信信号,2016,52(s1):32-34.[2] 周立逾.电力通信交换技术的逐步演进[J].华东电力,2012,40(07):1189-1192.
[3] 宋璐璐,雒江涛.软交换技术在下一代网络NGN中的应用[J].通信技术,2007,40(05):34-35,45.
[4] 颜辰凡,刘晟,言语佳.IMS技术在电力系统交换网中的运用[J].通信技术,2017,50(07):1469-1473.
[5] 曹利峰.面向多级安全的网络安全通信模型及其关键技术研究[D].郑州:解放军信息工程大学,2013.
[6] GB/T22239-2008.信息安全技术 信息系统安全等级保护基本要求[S].北京:中国标准出版社,2007.
[7] 卫亚兵,苏宏,郝平.软交换系统中的SIP信令安全[J].信息安全与通信保密,2005(10):75-78.
作者简介:
莫李思,中国电子科技集团公司第三十研究所工程师,硕士,主要研究方向为软件工程与网络信息安全;
王 宏,中国电子科技集团公司第三十研究所研究员,电子科技大学信息与通信工程学院博士,主要研究方向为通信网络技术与网络安全;
徐世中,电子科技大学信息与通信工程学院教授,博士,主要研究方向为通信网络技术。
(本文选自《通信技术》2018年第七期)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。