1、下一代通信网络概念的形成和相关技术的发展为中国电信提供了一次重要的战略转型和发展的机遇。其特点是:(1)新业务层出不穷,数据业务快速发展,数据业务量迅速膨胀。在一些经济发达国家,数据业务量已经超过语音业务量。(2)新的语音压缩技术已经可将语音信号压缩在低于64kbit/s的信道上传递。这种技术已经在IP电话、第二代和第三代移动通信系统中得到广泛应用。未来网络的带宽资源将主要用于数据业务,而语音业务则可用固定不变的甚至更少的带宽。(3)计算机技术的发展和计算机互连需求的增加,使得基于IP或ATM的分组交换数据网日益发展壮大,这种分组交换网将适合各种类型信息的传送,而且网络资源利用率高。下一代网络
2、应该是:一个通过高速公共传输链路和路由器等节点,利用IP承载语音、数据和视频所有比特流的多业务网;一个能为各种业务提供有保证的服务质量的网络;一个在与网络传送层及接入层分开的服务平台上提供服务与应用的网络;一个向用户提供宽带接入,能充分发挥容量潜力的网络;一个具有后向兼容性,能充分挖掘现有网络设施潜力和保护已有投资,允许平滑演进的网络。NGN(下一代网络)的出现与发展不是革命,而是演进。从业务上看,应支持语音和视频业务及多媒体业务;从网络上看,在垂直方向应包括业务层和传送层,在水平方向应覆盖核心网和边缘网。下一代网络是可以提供包括语音、数据和多媒体等各种业务的综合开放的网络构架,有三大特征。(
3、1)将传统交换机的功能模块分离成为独立的网络部件,各个部件可以按相应的功能划分,各自独立发展。(2)部件间的协议接口基于相应的标准。(1)业务与呼叫控制分离。(2)呼叫与承载分离。3下一代网络是基于统一协议的分组网络目前ITU-T对NGN的定义是GII的外延,并建议有关GII/NGN的研究方向包括:(1)第一层和第二层的交换的研究,第一层指光网络基础设施引入光交换,第二层指引入MPLS的交换。(2)IP选路的研究。(3)在网络边缘提供业务平台的研究。(4)核心网络技术与相关协议体系结构的研究。(5)层间控制能力转化的研究。通常控制和管理的区别是有度的,例如交叉连接和交换是用电路颗粒和反应时间来
4、区别的,同样底层的保护倒换和IP层的动态选路之间的差别也有度。因此有必要研究层间功能的变化。(6)网络端到端业务的研究,研究QoS和带宽控制;控制和管理的融合,研究动态选路和保护倒换等。(7)接入网的研究。研究新业务、新技术和新结构在接入网传送分组数据和语音所需要的能力和接入网支持不同QoS业务的能力。基于以下一些原因,这种功能的分离是一种很好的作法:(1)致力于呼叫处理软件或分组交换硬件研究的小型企业可以提出创新的解决方案。相比之下,在电路交换领域大公司占据着支配地位。(2)提出了一个呼叫处理软件的普遍解决方案。在传输层上使用不同的分组语音形式以适用不同的网络环境,包括电路交换网和分组交换网
5、。(3)统一了计算平台、操作系统和开发环境,并由此带来了巨大的经济效益。(4)使运营商网络中的集中智能系统可以远程控制整个网络中的交换设备。(1)接入和传输层(Access and transport layer):将用户连接至网络,集中用户业务并将它们传递至目的地,包括各种接入手段。(2)媒体层(Media layer):将信息格式转换成为能够在网络上传递的格式。例如:将语音信号分割成ATM信元或IP包。此外,媒体层可以将信息选路至目的地。(3)控制层(Control layer):包含呼叫智能。此层决定用户收到的业务,并能控制低层网络元素对业务流的处理。(4)业 务/应 用 层(N e t
6、 w o r k Service/Application Layer):在呼叫建立的基础上提供额外的服务。但将现有网络演变成下一代网络并非一日之工,而原有的网络与新网络将并存,所以新网络还需能够和原有网络互通,这要求新的网络体系能够完成以下功能:与现有No.7信令网互通。与现有的业务(如智能网提供的业务)互通。与现有的PSTN体系融合。软交换是一种功能实体,为下一代网络(NGN)提供具有实时性要求的业务的呼叫控制和连接控制功能,是下一代网络呼叫与控制的核心。简单地看,软交换是实现传统程控交换机的“呼叫控制”功能的实体,但传统的“呼叫控制”功能是和业务结合在一起的,不同的业务所需要的呼叫控制功能
7、不同,而软交换则是与业务无关的,这要求软交换提供的呼叫控制功能是各种业务的基本呼叫控制。软交换技术实际上是一组由多个功能平面中的网元协同执行并完成交换功能(建立端到端的通信连接)的和有效集成电路交换与分组交换网并传送融合业务功能(提供语音、数据、传真和视频相结合的业务以及未来通过软交换的开放应用程序接口API提供的新业务)的技术。包含应用服务器、开放式可编程应用接口(API)和业务创建环境。主要由媒体网关控制器(MGC)组成,业界通常将其称为“软交换机”。由IP路由器/ATM交换机组成。包括媒体网关(MGW)、信令网关(SGW)和媒体服务器(MS)。软交换技术的优点可从以下几方面进行分析。(1
8、)软交换技术可以降低处理业务(特别是数据业务)的成本。(2)软交换技术具有优异的提供新业务的能力。(3)软交换技术具有良好的互操作性,有利于向IP网无缝演进。(4)软交换技术具有开放的结构。软交换技术可将软件与智能以及硬件、传送与交换层划分开来,故可不必依赖于个别制造商,从而为多厂商竞争基于软交换解决方案的下一代网络所需软硬件等提供开放的环境。对于多业务网,人们寄希望于基于分组交换的下一代网络。下一代通信网络的特点是基于IP技术的多厂商、多技术、不同体系结构的复杂融合体,软交换技术在这样一个异构网络中起着极为重要的作用。协议是诸如数字设备和某些面向软件的环境相互之间作用的方法,它是对许多因素的
9、描述不仅仅围绕着技术问题。产品销售商常常支持协议标准化是为了使潜在的客户和正在发展的用户相信他们的产品符合工业标准,且具有长期的用途和生存能力。N G N 是 一 个 融 合 网 络,包 括PSTN/ISDN,H.323,ATM/IP等网络,网络互通是NGN成功的必要条件。从广义上看,软交换泛指一种体系结构,利用该体系结构可以建立下一代网络框架,其功能可以涵盖的4个功能层面:传输接入层、媒体层面、控制层面和网络服务层面,它主要由软交换设备、信令网关、媒体网关、应用服务器、IAD等组成。从狭义上看,软交换指软交换设备,定位在控制层。随着传统的电路交换向分组交换转变的趋势逐步明朗,媒体网关控制协议
10、标准化进程的不断深入,“软交换”一词得到越来越多厂商的认可。在电路交换网中,呼叫控制、业务提供以及交换矩阵均集中在一个交换系统中,而软交换的主要设计思想是业务/控制与传送/接入分离,各实体之间通过标准的协议进行连接和通信,以便在网上更加灵活地提供业务。软交换主要有以下特点。网络发展的根本目的是提供业务。目前,许多厂家提供的软交换可以支持电路交换机提供的业务,如软交换自身可以提供诸如呼叫前转、主叫号码显示、呼叫等待、缩位拨号、呼出限制、免打扰服务等程控交换机提供的补充业务,软交换还可以与现有智能网配合提供现有智能网提供的业务等。所谓业务交换功能就是识别智能网呼叫并把它上报给业务控制功能(SCF)
11、,最终由SCF控制整个呼叫从而保证软交换网络内的用户享用现有智能业务。操作维护系统是软交换设备中负责系统的管理和操作维护的部分,是用户使用、配置、管理、监视软交换设备的工具集合。软交换具有根据计费对象进行计费和信息采集的功能,并负责将采集信息送往计费中心。软交换是下一代网络的核心设备,各运营商在组建以软交换为核心的软交换网络时,其网络体系架构可能有所不同,但必须考虑与其他各种网络的互通,如与现有7号信令网的互通、与现有智能网的互通,以及与采用H.323协议的IP电话网的互通等等。H.248和MEGACO协议均称为媒体网关控制协议,应用在媒体网关和软交换之间、软交换与H.248/MEGACO终端
12、之间,如图8.9所示。软交换H.248/MEGACO 终端媒体网关H.248H.248图8.9 H.248/MEGACO应用范围H.248协议包括以下八条命令:(1)添加(Add)(2)减去(Substract)(3)移动(Move)(4)修改(Modify)(5)审核值(Audit Value)(6)审核能力(Audit Capabilities)(8)业务改变(Service Change)MGCP协议是H.323电话网关分解的结果,由IETF的MEGACO工作组制定,具体内容可参考IETFRFC2705。MGCP命令分成连接处理和端点处理两类,共九条命令,它们分别是:(1)端点配置(En
13、dpoint Configuration)(2)通报请求(Notification Request)(3)通报(Notify)(4)创建连接(Create Connection)(5)通报连接(Notify Connection)(6)删除连接(Delete Connection)(7)审核端点(Audit Endpoint)(8)审核连接(Audit Connection)(9)重启进程(Restart lnProgress)SIP(会话初始协议)是IETF另一个小组提出的在IP网络上进行多媒体通信的应用层控制协议,其设计思想与H.248/MEGACO/MGCP完全不同。BICC协议的全称为
14、与承载无关的呼叫控制协议,它是由ITU-T第11组提出的信令协议。SCTP是IETF SIGTRAN小组提出的流控制传送协议,主要是在无连接的网络上传送PSTN信令消息,该协议可以在IP网上提供可靠的数据传输协议。M2PA(MTP2层用户对等适配层协议)是把No.7的MTP3层适配到SCTP层的协议,它描述的传输机制可使任何两个No.7节点通过IP网上的通信完成MTP3消息处理和信令网管理功能,因此能够在IP网连接上提供与MTP3协议的无缝操作。M3UA(MTP3层用户适配层协议)是把No.7的MTP3层用户信令适配到SCTP层的协议。它描述的传输机制支持全部MTP3用户消息(TUP,ISUP
15、,SCCP)的传送、MTP3用户协议对等层的无缝操作、SCTP传送偶联和话务的管理、多个软交换之间的故障倒换和负荷分担以及状态改变的异步报告。与传统电信网络相比较,软交换网络面临的一个重要问题就是服务质量,从根本而言,软交换网络本身并不能解决服务质量问题,服务质量的好坏很大程度上取决于软交换网络的承载网络,承载网络可以为ATM和IP两种方式,对于ATM承载方式,由于ATM技术从一开始就是为综合业务设计的,所以有很强的QoS机制,可以保证语音的服务质量,但是,就目前厂家设备的开发情况和网络的发展趋势来看,以IP作为软交换网络的承载网是大势所趋,因此建设软交换网络时必须考虑如何解决IP承载网络的Q
16、oS。对于传统运营商,引入软交换网络的一个很大驱动力是与传统网络相比较,软交换网络可提供更多的增值业务,目前看来,软交换网络主要有三种业务提供方式:在软交换内部直接实现、与现有智能网互通实现,以及与应用服务器配合实现。从软交换系统目前的实现情况来看,基本上采用SNMP作为软交换系统的网管协议,但是SNMP网管系统有一定的缺陷性,SNMP网管以静态管理为主,无法针对业务需求对所需各类设备进行综合协调管理,管理的实时性差,并且SNMP基于UDP承载方式,不能保证网管信息的可靠传输,但是,由于软交换网络提供的是实时业务,因此网管系统还需具备QoS管理能力,目前的软交换网管系统这方面的能力还比较差,还
17、有待于进一步的扩展才能满足用户对服务质量的要求。现有的电话通信网采用的是分层的网络模型,随着软交换网络规模的扩大,软交换网络到底采用什么样的组网方式目前也没有统一定论,目前大家的一个共识是软交换层面为不分层的网状网结构,但是软交换不分层并不意味着路由不分层,因为随着网络规模的扩大以及用户位置信息的经常变化,如果路由仍然采用软交换内部直接实现的方式,网络的扩展性就会非常差,为此,一些厂家针对大规模组网应用引入了专门提供路由服务的功能实体,但国际上尚没有形成统一的技术标准,因此,有关其大规模应用时的组网结构还需进行研究。软交换网络很重要的一个特点是开放性,这主要体现在软交换网络的各个网络元素之间采
18、用开放的协议进行通信,理论上只要各个厂家的设备都采用的是标准协议接口,运营商就可自由选择各个厂家的设备来构建自己的网络,但是,无论从协议的制定情况,还是厂家的开发情况来说,接口的标准化还有待完善,大多数协议还处于扩充阶段,厂家支持的程度也各不相同,就目前来说,离最终的开放网络还有一段距离。现行的各种网络将作为边缘网络并通过一个称作网关的技术接入到IP骨干网,从而实现全网的融合。网关的作用就是完成两个异构网络之间信息(包括媒体信息和用于控制的信令信息)的相互转换,以便使一个网络中的信息能够在另一网络中传输。(1)扩展性:运营商期望未来的IP电话系统能支持数百万用户,但现有网关大多只能支持几千用户
19、。其原因是网关既要支持媒体变换,又要支持媒体控制和信令,功能过于复杂;(2)与PSTN的无缝融合:运营商和用户都希望未来IP电话的使用方法和传统的PSTN完全相同,但现有IP电话系统均要求进行二次拨号,即先拨业务接入码和网关相接,然后才能拨被叫用户号码;(3)可用性:运营商要求系统业务中断时间和PSTN相仿,每年仅几分钟,但现有的网关结构缺乏故障保护机制,难以满足此要求;(4)No.7信令能力:运营商期望目前由7号信令网提供给PSTN用户的各种业务也能提供给IP电话用户,但现有许多网关,尤其是ISP提供的网关尚不能支持7号信令。媒体网关功能在物理上一端终接于PSTN电路,另一端则是作为IP网络
20、路由器所连接的终端。信令网关(SC)功能负责网络的信令处理,如它可以将No.7信令的ISUP消息转换为 H.323网络中的相应消息。媒体网关控制器功能控制整个网络,监视各种资源并控制所有连接,也负责用户认证和网络安全,媒体网关控制器功能发起和终接所有的信令控制。媒体网关在NGN中扮演着重要的角色,如果说软交换是NGN的“神经”,应用层是NGN的“大脑”,那么媒体网关就是NGN的“四肢”,任何业务都需要媒体网关在软交换的控制下实现。媒体网关在NGN中位于接入平面,将各种用户和网络接入到传输网络平面,同时媒体网关也要接受位于控制平面的软交换的控制。媒体网关涉及的功能可以归纳如下。媒体网关负责各种用
21、户或各种接入网络的综合接入,如普通电话用户、ISDN用户、ADSL接入、以太网用户接入或PSTN/ISDN网络接入、V5接入和3G网络接入等。媒体网关以宽带接入手段接入核心媒体网络。目前接入核心媒体网络主要通过ATM或IP接入。在NGN中,任何业务数据都被抽象成媒体流,媒体流可以是语音、视频信息,也可以是综合的数据信息。媒体网关受软交换的控制,它绝大部分的动作,特别是与业务相关的动作都是在软交换的控制下完成的,如编码、压缩算法的选择,呼叫的建立、释放、中断,特殊信号的检测和处理等。作为网络中的一员,媒体网关同样受到网管系统的统一管理,媒体网关也要向软交换或网管系统报告相关的统计信息。收集的统计
22、信息包括:(1)设备相关的统计信息(2)端口相关的统计信息(3)连接或终结点相关的统计信息媒体网关负责将各种用户或网络综合接入到核心网络,由于各种用户的接入方式多种多样,接入到核心网络的方式也有多种,媒体网关对多种媒体的处理方式也各有不同(即使对同一种媒体也有多种处理方法),同时软交换控制媒体网关采用的协议也有多种,因此可以把媒体网关主要涉及的协议分成5类:用户接入协议、核心网接入协议、控制层(软交换、网管)接口协议、媒体处理协议、管理和统计协议。NGN的重要特点之一就是综合业务接入能力,媒体网关必须提供多种方式的用户接入,包括:ISDN用户接入(BRA,PRA)、V5用户接入、模拟Z接口用户
23、接入、集中的语音数字中继接入。各种接入方式都有其对应的协议。(1)V5.2,V5UA协议(2)DSSI,IUA协议(3)El/T1(1)ATM和IP在媒体网关中,ATM和IP之间的争论主要集中在两者承载语音和视频的能力上,IP是Internet协议,本质是无连接的基于包的交换,传统的IP对QoS没有足够的保证,是一种“尽力而为”的机制,相比之下,ATM采用定长信元、面向连接的机制,提供完善的QoS保证和流量控制机制,ATM对各种业务的承载有着不可替代的优势。(2)RSVP和DiffservRTP用于一般多媒体通信(语音/图像/传真)信号的打包,它虽然能够为收发双方提供QoS的监测的能力,但本身
24、不能提供保证服务质量的手段。(1)媒体编码协议媒体流的映射功能是媒体网关的基本功能,由于用户接入和核心媒体之间的网络传送机制的不一致性,需要将一种媒体流映射成另一种网络要求的媒体流格式。(2)RTP协议RTP协议是由IETF的AVT(Audio Video Transmission)小组开发的,1996年成为RFC正式文档,为IP网上语音、图像、仿真数据等多种需实时传输的媒体数据提供点到点和点到多点的端到端的传输功能。媒体网关作为NGN网络中一个网络元素,应该接受网管中心的集中统一管理。目前网络使用最多的网管接口协议是SNMP。网关的作用就是完成两个网络之间信息(媒体信息和用于控制的信令信息)
25、的相互转换,以便一个网络中的信息能够在另一个网络中传输。图8.13所示是信令网关在应用中的通用 功 能 模 型,图 中 的 信 令 网 关 功 能(SGF)、媒体网关控制功能(MGCF)/软交换和媒体网关功能(MGF)是功能实体,它们可以采用分离的设备实现这些功能,也可以集成到一个设备中实现。IPSGFSGFMGCF/软交换MGCF/软交换MGFMGFRTP 流媒体流媒体流SCN 信令SCN 信令媒体流信令传输图8.13 信令网关使用的功能模型根据接入的SCN的信令类型是局间No.7信令和用户ISDN信令有不同的信令网关功能,这些不同的功能可以综合在一个信令网关实现,但是在实际应用中由于信令网
26、关在网络中所处的地位和使用的目的地不同,也可以采用不同的物理设备实现这些信令网关功能。No.7信令网关的功能是要完成No.7信令消息与IP网中信令消息的互通,图8.14中给出了功能实体在物理实体中的具体实现,信令网关通过其适配功能完成No.7信令网络层与IP网中Sigtran的互通,从而透明传送No.7信令高层消息(TUP/SUP或SCCP/TCAP)提供给VoIP 和网络接入服务器(NAS)等业务应用。Sigtran IP 网SigtranNo.7 信令No.7 信令No.7 信令No.7 信令TDM 媒体流TDM 媒体流TDM 媒体流SGMGC(软交换)STPSGMGC(软交换)/MGMG
27、C(软交换)SG/MGNo.7 信令IH.248/MGCP/MEGACOH.248/MGCP/MEGACOSTPMGGWGWGW(a)(b)(c)图8.14 支持连接控制的信令网关应用(1)与支持连接控制的No.7信令互通(2)与支持数据库访问的No.7信令的 互通(3)IPSTP信令网关的另一种应用是用于IP网的No.7信令转接点,简称IPSTP。在ISDN接入IP网时,信令通路与数据通路在一起进行携载,因此处理Q.931信令的信令网关与处理数据流的MG功能在同一个物理设备中,Q.931信令传送到MGC进行呼叫处理,信令传送(Sigtran)则用于SG和MGC间,如图8.17所示。H.248
28、/MGCP/MEGACO数据流SG/MG端点 MMWIP 网MGC(软交换)Sigtran图8.17 用户信令网关图8.18中给出了Sigtran协议体系图,原则上Sigtran封装在IP中进行传送,它由二个部件组成:(1)No.7信令适配层:支持特定的原语,例如,管理指示。(2)公共的信令传送协议,支持信令传送所需的公共且可靠的传送功能,它采用流控制传送协议(SCTP)提供这些功能。SigtranNo.7 信令适配层公共的信令传输协议标准的 IP图8.18 Sigtran的体系结构软交换本身可以提供现有电话网中的一些基本业务和补充业务,但由于软交换的灵活 性,它还可以与智能网的SCP相结合,
29、提供各种智能业务。(1)应用服务器(Application Server):提供增值业务的执行,管理和开发平台,处理与软交换间的接口信令。(2)媒体服务器(Media Server):提供特殊业务(如IVR、会议、传真)的资源平台,处理与媒体网关间的承载接口。软交换与应用服务器间可使用SIP协议进行通信。SIP协议具有建立、拆除和管理端点间会话的功能,所以软交换既能建立也可取消至应用服务器的呼叫。软交换和应用服务器间控制流交互的一般流程如下:(1)软交换触发决定呼叫是否切换至应用服务器进行增值业务处理。触发可基于主叫 方地址、被叫方地址或其它的软交换机制。(2)软交换根据触发信息确定应用服务器
30、的地址,并通过发送SIP请求信息(包括适当的呼叫信息)将呼叫转至目标应用服务器。(3)目标应用服务器收到SIP请求后,调用相应的增值业务逻辑。在此处,应用服务器可进行许多动作。除了软交换和应用服务器间使用SIP协议外,应用服务器间也使用SIP协议进行通信,这使得应用服务器之间也可以交互。(1)软交换可分派AIN/INSSP功能给应用服务器,将AIN/IN的业务交换点(SSP)功能置于应用服务器上,由应用服务器来负责适当的呼叫模式,这样,应用服务器既可以与AIN/IN的业务控制点(SCP)和智能外设(1P)进行交互来支持传统的业务,又可开发新的智能业务。(2)将各种应用编程接口置于应用服务器上,
31、为外部的应用提供编程接口,提供第三方应用的开发平台。ParlayAPI位于现有网络之上,现有网络的网络单元通过Parlay网关与应用服务器进行交互,从而提供第三方业务或综合的业务,Parlay网关与应用服务器之间的接口为ParlayAPI。Parlay网关与现有网络的网络单元之间的协议采用各个网络的现有协议。ParlayAPI是一种允许电信公司和独立的软件销售商(ISV)都能够创建应用的规范,而这些应用可以提供跨越无线网络、IP网络和PSTN等网络的业务,它允许应用开发人员访问网络业务,如消息处理、呼叫选路和控制,也支持应用开发人员在网络外部整合这些应用和数据。图8.30不仅表示了包含业务应用
32、、架构接口、业务接口、资源接口和网络化设备之间的相互关系的Parlay网络API的体系结构,还表示了需要通过“资源API”接入基于网络的资源来实现ParlayAPI。这里,资源API提供了一种结构化的方法,以便将网络资源集成到API的实现中。现有的特殊接口或API(如H.323或INAP等)可以插入到资源API中,从而允许ParlayAPI可以被运用到更加广泛的网络环境中,也能够避免重复开发功能。应用框架接口(发现,安全,管理性)业务接口(呼叫控制,移动性,消息)资源接口资源接口资源接口资源资源资源图8.30 ParlayAPI体系结构图Parlay规范是用统一建模语言(UML)编写的高层规范
33、。Parlay规范与技术完全无关的特性,保证了众多的市场参与者都能够提供先进的通信业务。ParlayAPI由两类接口组成:业务接口:允许业务接入一部分网络能力和信息;架构接口:提供保证业务接口安全、开放和可管理的能力。ParlayAPI包括四个角色:企业运行商、客户应用、业务提供商和架构运营商。前两者可归为客户,后两者组成提供商。安全机制应该保护媒体连接,支持软交换向媒体网关提供会话密钥,对音频消息进行加密。在IP网上传递信息时,可能会受到下列的安全攻击:(1)中断(2)截取(3)修改(4)捏造针对以上的安全攻击,安全系统一般需要提供的安全服务主要有以下几类:保密性。认证。完整性。不可否认性。
34、访问控制。要想获得这些安全服务,就应该实现和使用一些安全机制,比如用加密机制来提供保密服务,用数字签名技术来提供完整性和认证服务等。目前最常用的加密机制有两种:对称密钥(传统的)机制和不对称密钥(公开密钥)机制。对称密钥机制是传统、常用的算法。对称密钥机制的主要特点是:加解密双方在加解密过程中要使用完全相同的密码。研究和开发非对称密码算法的目的是为了克服对称密钥算法中存在的如何安全交换密钥的问题。在书面文件上签名是确认文件的一种手段,书面文件的签名的作用有两点,一是因为是自己的签名不能否认或难以否认,从而确认了文件已经签署这一事实;二是因为签名不易仿冒,从而确认了文件是事实文件这一事实。数字签
35、名与书面文件签名有相同之处。采用数字化签名,也能够确认下两点:(1)保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;(2)保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。IPSec主要由AH(认证头)协议,ESP(封装安全载荷)协议以及负责密钥管理的IKE(因特网密钥交换)协议三个协议组成,各协议之间的关系如图8.31所示。IPSec 体系ESPAH加密算法验证算法解释域(DOI)密钥管理图8.31 IPSec体系结构对于外出数据包,IPSec协议要先查询SPD,确定为数据包应使用的安全策略。如果检索到的数据策略是应用IPSec,再查询SAD,确定是否存在有效的S
36、A。(1)若存在有效的SA,则取出相应的参数,将数据包封装(包括加密、验证,添加IPSec头和IP头等),然后发送。(2)若尚未建立SA,则启动或触发IKE协商,协商成功后按(1)中的步骤处理,不成功则应将数据包丢弃,并记录出错信息。(3)存在SA但无效,将此信息向IKE通告,请求协商新的SA,协商成功后按(1)中的步骤处理,不成功则应将数据包丢弃,并记录出错信息。IPSec支持两种运行模式:传输模式和隧道模式,AH和ESP都支持这两种模式。(1)传输模式(2)隧道模式SA是两个通信实体经过协商建立起来的一种单向的逻辑“连接”,规定用来保护数据的IPSec协议类型、加密算法、认证方式、加密和认
37、证密钥、密钥的生存时间以及抗重播攻击的序列号等,为所承载的流量提供安全服务。安全联盟(SA)的概念是IPSec密钥管理的基础。由SA提供的安全服务取决于所选择的安全协议、SA模式、SA的终点以及协议内的可选服务。SA是单向的。一个SA通常用一个三元组唯一地表示:安全参数索引(SPI)、目的IP地址和安全协议(AH或ESP)。IPSec的实现必须维护两个与SA相关的数据库:(1)安全策略数据库(SPD)。SPD指定给IP数据流提供的安全服务,主要根据源地址、目的地址、入数据还是出数据等确定。(2)安全联盟数据库(SAD)。三网融合即电话交换网、因特网及有线电视网的有机网融合。其本质是建成国家信息
38、高速公路,实现网络从传输、接入到交换各个层面的宽带化。其表现为业务层互相渗透,应用层使用统一的通信协议,网络层互连互通技术上趋向一致。这可以从如下几方面体现。(1)数字技术的迅速发展和全面采用,使电话、数据和图像信号都可以通过统一的0/1比特流编码传输和交换。(2)半导体大规模集成电路存储技术和计算机技术的飞速发展,令著名的摩尔法则现在仍然适用,即在成本保持不变的情况下,每隔18个月半导体芯片的性能提高1倍。(3)光通信技术的发展,为综合传送各种业务信息提供了必要的带宽和传输质量。特别是密集波分复用技术的发展,成为三网业务的理想平台。(4)软件技术的发展,使得三大网络及其终端都能通过软件的变更
39、最终支持各种用户所需的特性、功能和业务。(5)统一的TCP/IP协议的普遍采用,使得各种以IP为基础的业务都能在不同的网上实现互通。传统的电信网(电话网)是以语音业务为主进行优化设计的,以SDH时分复用传输系统为基础,用程控交换机实现电路交换。有线电视网CATV是以传输电视节目为主的单向广播式网络,其入户带宽优势是传统电信网所无法比拟的。计算机网的连接方式和它所能提供的业务,在上述两种极端的情况之间实现了所有的可能。IP技术是一种面向非连接的分组/包交换网络技术,它对通信资源的利用率远远高于传统的基于电路交换的通信网络技术,通信费用也低得多,其最成功和最伟大的应用是Internet。光因特网是
40、一种比较适合多网长期共存环境的组网方案。光因特网最大的优点之一是可以适应IP数据业务的不对称性(不同波长上的数据速率可以不同)。另一特点是光纤环的两侧都能使用,使路由可获得全部带宽,在传大批量的突发数据时就不需要缓存,只有当光纤断裂时才会发生分组丢失。光因特网与光ATM比较的好处是,它避免了ATM网的高度复杂性,带宽利用率较高,管理成本较低。(1)充分利用已有的铜线资源。我国铜缆已有相当规模,国家为此付了巨大投资,若不考虑需求对铜缆完全改造,会因投资大而造成浪费。(2)注重窄带接入网向宽带接入网的平滑过渡。宽带接入网建设层次主要有:一是物理媒介层,主要应是光纤,应发展光纤接入网;二是传输通道层,从目前技术发展来看,应先取SDH和ATM;三是具体应用的接入设备,应根据技术发展情况加以选用。(3)规划好接入网的布局将接入网分为主干层、配线层和引入层三层,这样有利于接入网的规划和建设。(4)注重在光纤接入网中逐步实现电信网和CATV网的融合电信网和CATV网的拓扑结构不同,传输的业务也不同,但随着技术的发展,在宽带接入上可以联合建设,逐步融合。
