|
孙宏伟/文 VoLTE正在取代传统2G/3G网络和VoBB网络,以All IP的方式,更加廉价地为语音、传真、视频、多媒体业务提供新一代通信网络。相对于传统网络而言,其在安全性、用户容量、QoS、ICT融合方面均有较大变化。 SBC(Session Border Controller)作为VoLTE网络边界网关,横跨VoIP通信网络中的信令和媒体平面,一般作为独立的设备部署在网络边缘,支持终端用户之间的VoIP通信,也支持运营商网络之间的互联互通,同时提供安全防护,确保运营商网络能应对一系列潜在的安全威胁。 另外,根据T-Mobile给出的成本结构分析,在运营商对VoIP网络的投资中,SBC几乎占据整体投资的30%,在运营商网络中扮演着重要角色,需要快速适配网络的下述4个方面的变化,以满足业务层的需求。 多层联合防御,确保网络安全VoLTE基于All IP架构,支持LTE无线宽带、固定宽带、Web/Wi-Fi和企业网络等多种接入类型。All IP网络的开放性、SIP的易扩展性,以及LTE接入网络的扁平化特点,使得VoLTE网络相对于固定宽带网络受到的安全威胁发生了3个变化,即攻击源增多、攻击方式增多、攻击频率增大。 首先,用户如果安装被篡改过的、植入非法插件的应用,就会中毒,使得网络的攻击源呈指数级增多。 其次,攻击手段除传统的利用网络IP安全漏洞,发起常见的TCP/IP报文攻击、流量型攻击、畸形报文攻击、业务逻辑攻击等,还会随着网络架构变化、业务演进,呈现多样化趋势。如4G网络部署初期,覆盖盲区大量存在,用户不可避免地要在2G、3G和4G网络间单摆式地来回切换,引起注册风暴;IM、Presense等富媒体业务由于突发性强,且信息量小,SIP信令交互频繁,给VoLTE网络带来信令风暴冲击;非法攻击使用窃取的用户隐私信息,发起超短时间呼叫、不完整呼叫等恶意呼叫,拦截短信,以及利用第三方应用(电话黑白名单功能、垃圾电话/短信拦截等)直接干预用户会话等。 再次,攻击流量不断增长。根据华为云安全中心统计,攻击峰值流量已经超过100GB,并且每年以50%的速度增长。 面对VoLTE时代网络安全发展新趋势,下一代SBC作为VoLTE网络的“看门狗”,不能再沿用老一套的单层防御方法——“攻击哪里防哪里”,而需要具备独立安全分析模块和多层联动防御能力,能够基于用户行为和特征匹配进行深层检测,并结合业务需要进行独立的安全分析和安全处理,例如通过用户行为和业务识别超短呼叫、不完整呼叫等恶意呼叫事件,形成不同的安全策略,下发到IP层/传输层,从IP源直接进行防御,从而实现IP层、信令面、媒体面联动防御。 同时,为避免用户信息及隐私泄露,SBC还要支持传统的ACL、CAC、DoS/DDoS攻击防范,具备入侵检测与防御系统,提供强大的加解密能力,如IPSec AKA、SIP over TLS等,以保护合法用户安全地通过网络使用VoLTE业务。此外,SBC需具备智能化流控能力,以应对日益频繁的注册风暴冲击。 增强QoS、互通性及业务连续能力在4G时代,用户不再满足于语音和短消息业务,需要高清的语音、视频体验,需要即时消息、图片共享、视频共享等业务体验,且业务不受时间、地域的限制。为了满足用户的业务体验需求,下一代SBC作为“VoLTE网络用户接入板”,重点要在QoS质量保证、业务连续性和全球互通性方面提供相应的能力。 为了保障多媒体通信的高质量,SBC要具备内置P-CSCF能力和PCRF交互,实现端到端QoS。另外,在资源有限的情况下,要优先保证VIP用户的体验质量,SBC还需具备差异化带宽管理能力,防止网络资源被低价值业务消耗过多,并保证拥塞时高优先级用户的体验。 在业务连续性方面,因为VoLTE初始阶段的无线覆盖“少而不均”,从LTE网络到2G/3G网络的切换会频繁发生,4G语音将回落到3G,甚至在3G覆盖不足时回落到2G,如果处理不当,会导致切换时间长或更严重地出现掉话。因此,为了保证用户业务感知无中断,SBC需内置ATCF/ATGW,使信令面和媒体面切换在本地网进行,从而缩短信令面和媒体面切换时延,保证VoLTE用户切换过程“0”中断。 运营商的VoLTE网络商用后,会出现大量的与现网或其他运营商的2G/3G网,以及固定网络和IMS网络的互通需求。下一代SBC要支持丰富的音视频编解码能力(G.711、G.729、AMR、WB-AMR、H.264等),以及编解码转换能力,满足互通时不同网络的编解码转换要求。在移动网络支持国际漫游的前提下,根据GSMA和3GPP联合制定的IR.88和IR.65技术报告,SBC还要具备向IBCF/TrGW的演进能力,支持RAVEL架构中的OMR和TRF功能,优化用户漫游时的迂回路径,并且提供多样化的计费能力,比如支持按照时长、消耗带宽、消息数等计费模式,满足VoLTE用户漫游时的语音、视频、RCS业务计费需求。 高性能,资源弹性调配相对于固定宽带网络,VoLTE时代用户数得以数百万地增长,不再局限于“人与人”通信,转变为“人与物”、“物与物”通信。Infonetics的预测显示,从2012年到2017年,VoLTE用户复合增长率超145%。对此,SBC需要具备大容量能力,并能根据网络发展情况,通过灵活的单板或其他硬件增添方式,支持从几十万用户平滑扩容到几百万,并且支持所有用户的IPSec/AKA鉴权。以中国移动为例,其SBC部署分为两个阶段,2014年集中在省会城市建设,每台用户规模几十万;随着用户规模扩大,SBC会逐渐下移到各地市,用户容量和传统MGW容量类似,大约在100万左右。 在用户增长的同时,由于多媒体业务的普及,流量会迅速增长。以标清视频呼叫为例,如果采用VGA格式,每秒消耗的带宽资源超过1M,是高清语音的40倍。根据Infonetics的统计,未来几年,各种业务带来的总流量将以10倍速度增长,年度复合增长率超过60%。VoLTE核心网面临的将是数十倍的流量冲击,因此SBC要有处理几十G到100G大吞吐量的能力,具备智能流量控制机制,区分业务和用户优先级,保证VoLTE网络的可靠性。 又因为不同业务对资源的要求不一样,比如IM、Presense等业务,突发性强,但信息量小,消耗更多的是信令资源;而视频呼叫类业务,消耗更多的是媒体资源。因此,下一代SBC在具备大容量的同时,还要具备根据不同业务模型灵活调配信令和媒体资源的能力。 向WebRTC GW演进WebRTC(Web Real Time Communication)无需插件,可以实现浏览器之间的通信,意味着终端用户无需安装任何软件或应用,通过浏览器就能进行实时语音和视频通话。WebRTC的兴起使无处不在的Web终端将成为电信网络的新用户。 根据最新信息,2014年或2015年,微软IE和苹果Safari浏览器将支持WebRTC。WebRTC也会全面普及,连接终端有望超过10亿台,不仅实现Web浏览器用户之间的通信,也能实现Web用户同移动用户之间的通信,甚至通过“点击即可通话”的便捷方式嵌入到企业级应用中,从而产生重大的商业影响。 在实现Web用户同移动用户通信,或者Web用户访问运营商网络使用增值业务(如座席、会议等)时,会对运营商网络产生一些影响:第一,WebRTC会引发安全问题,无处不在的Web用户,通过不同终端、不同接入网络访问移动网络使用业务,容易被嗅探工具监控,造成个人隐私数据泄露;第二,WebRTC会增加网络拥堵,用户在任何支持常用浏览器的平台上都能进行音视频通信,这个过程将占用用户所连接网络的带宽,使无线网络受到音视频流量的冲击;第三,WebRTC要求Web协议同SIP等协议互通。 为了满足Web用户的通信需求,降低通信过程中的安全风险,在移动网络边缘需要部署一个设备——其能无缝实现Web用户的安全接入和实时通信的信令协议与媒体流的转换。根据3GPP R12协议,最终确定的架构基于P-CSCF,增强支持WebRTC的信令和媒体功能。这就要求下一代SBC具备演进到WebRTC网关的能力,支持信令面协议从Web信令(如HTTP、JSON over WebSocket等)到SIP的转换,支持媒体面从SRTP/DTLS到RTP转换,以及Web编解码OPUS/VP8到移动编解码G.7XX/H.264等转换,同时提供信令面和媒体面防火墙,实现Web用户安全接入。 |
|
|
来自: icecity1306 > 《可能用到系统》
