摘要:軟交換中IAD分配地址一般是固定的,為了合理地使用不多的IP地址資源,使IP地址不產(chǎn)生浪費,并且為安全考慮,引入了IAD動態(tài)IP地址處理。

關(guān)鍵詞:NGN;IAD;H248;動態(tài)IP

中圖分類號:TN915文獻標識碼:A

文章編號:1674-1145(2009)26-0154-02

在中興下一代網(wǎng)絡(luò)NGN中,H248模塊收到網(wǎng)關(guān)來的H248消息,調(diào)用接口GetNodeIdFromAddr如果成功說明是靜態(tài)配置的,或者是動態(tài)已經(jīng)認證成功的。此時MgId與IP地址已經(jīng)綁定成功。如果失敗,然后判斷是否是需要動態(tài)IP認證的(根據(jù)IP地址判斷是否是動態(tài)IP地址,可能需要數(shù)據(jù)提供接口,表明此IP是否需要認證),如果是則進行動態(tài)IP認證的處理,否則丟掉此H248非法包(數(shù)據(jù)庫無法提供此接口,原因是IP地址所有的范圍,提供不太現(xiàn)實,這樣可能產(chǎn)生的直接問題是H248不能區(qū)分一個合法的H248包,可能將一個非法包進行認證的處理),如果是需要動態(tài)IP地址認證的,進行動態(tài)IP地址的認證的處理,期間獲得其認證碼,調(diào)用數(shù)據(jù)庫的接口USE_PD_DevAuthorization獲得其網(wǎng)關(guān)號與其所在的處理板(所在的處理板需要通知NIC,以后NIC的處理會發(fā)向真正的處理板),期間如果認證失敗則認為注冊或事務(wù)失敗,H248可以給網(wǎng)關(guān)回某個錯誤值,例如505,同時置網(wǎng)關(guān)為不可用狀態(tài)(或者認證通過!),可以發(fā)送LINKDOWN(一旦認證失敗,需要將此網(wǎng)關(guān)的轉(zhuǎn)發(fā)表清除,已存在的呼叫拆掉,同時需要給后臺一個告警),由于無法提供判斷此網(wǎng)關(guān)是否是動態(tài)、靜態(tài)配置的,因此H248在調(diào)用GetNodeIdfromAddr時,即簡單的認為需要認證(而不是舍棄),然后進入認證函數(shù)的處理,獲得認證碼,調(diào)用一個數(shù)據(jù)接口,得到MgId與處理板的板號!如果認證、處理板分屬不同的板號且此事務(wù)中的Service Change注冊認證命令后還有其他命令,例如Notify等,由認證板將此整個事務(wù)消息發(fā)送至真正的處理板。否則將此ServiceChange消息發(fā)送至CA模塊,并接收CA進程來的REPLY消息。只要是動態(tài)IP地址來的包含有認證碼就需要進行一次認證處理。在網(wǎng)關(guān)成功注冊后,Softswitch可能需要主動進行一次(或周期性的)鑒權(quán)認證,認證的方式周期性要好些,可以防止IAD欺騙,方法可以是SS將認證碼通過某種算法加密,通過H248的Package發(fā)送給IAD,IAD經(jīng)過解密處理將認證碼在其應(yīng)答消息中帶過來,然后進行認證處理,如果沒有帶過來或者帶過來的信息不正確,則認為認證失敗?？赡苄枰狪AD定期的進行認證(這一點在IAD的鏈路檢測消息中添加即可),同樣的Softswitch獲得認證碼后就進行一次數(shù)據(jù)的認證。

流程解析:

IAD向Softswitch注冊內(nèi)含認證碼

MEGACO/1[168.1.14.28]:2944

Transaction = 37524

{

Context = -

{

ServiceChange = ROOT

{

Services

{

Method = Restart ,

Reason = 901 ,

Delay = 0 ,

Version = 1 ,

20020401T08463100 ,

ServiceChangeAddress = 2944 ,

Profile = AnalogLineProfile/1 ,

X-VENDER = ZTE ,

X-IDMETH = 1 ,

X-IDDATA = c03eecffffff460a08013e2233bfbe87b994ce96000128460000628fb99452e400015c5c00005c9db994317a00012d960000598db9948e88

}

}

}

}

Softswitch進行認證處理后回給IAD的應(yīng)答 MEGACO/1 [168.1.98.160]:2944 Reply =37524

{Context = - {ServiceChange = ROOT { Services {87654321T12345678}}}}

Softswitch ---> IAD

Send the authentication Code to the IAD

Softswitch 將認證碼按照某種算法加密后發(fā)送給IAD,等待IAD返回的認證碼。

MEGACO/1 [202.202.202.202]:2944

Transaction = 10001 {

Context = - {

Modify = ROOT {

Signals {auth/authreq{key=4568976031148111}}

}

}

}

IAD to softswitch

IAD analysis the authentication key and return the result to softswitch

IAD收到此認證碼后按照同樣的解密算法解出認證碼后帶回給Softswitch

MEGACO/1 [202.202.202.112]:2944

Reply = 10001 {

Context = - {Modify = ROOT{signals{auth/authreq{key=010203040506}}}}

}

關(guān)于語法查證了一下好像是可以的,此消息可能需要定期發(fā)送,類似于鏈路測試消息,這樣可以防止IAD欺騙。如此以來IAD的鏈路測試消息是否不必帶認證碼了?

H248 TTM的處理方式:先找到Service Change命令,ServiceChange前的命令可以丟棄,然后進行Service Change命令的認證,認證通過后獲得處理板的模塊號,如果處理板的模塊號與認證板的相同,則將此Service Change命令發(fā)送至CA進程,如果有后續(xù)的命令同樣處理,如果處理板的模塊號與認證板的不同,則由TTM將此消息完整的發(fā)送給處理板由處理板進行此消息的處理,此情況下在認證板的事務(wù)可刪除!

關(guān)于定期發(fā)送鑒權(quán)認證的消息,在TTM設(shè)立一個定時器( TTM清楚是否具有認證碼),定時器超時后由TTM給CA發(fā)送EV_P_H248_AUTH_REQ消息,CA收到此消息后,發(fā)送AUTH/AUTHREQ給網(wǎng)關(guān),內(nèi)帶一Key(SS、MG的Ip地址與一隨機值進行的組合),MG回來的消息中將Key帶回,可以只帶回RAND值,然后SS判斷帶回的KEY是否是自己所期望的,如果不是所期望的對此網(wǎng)關(guān)進行LINKDWON的處理,并且更改網(wǎng)關(guān)的狀態(tài)為退出服務(wù)!

參考文獻

[1]中興通訊股份有限公司.ZXMSG9000網(wǎng)關(guān)培訓(xùn)教材.

[2]中興通訊股份有限公司.ZXSS10 A/B培訓(xùn)教材.

作者簡介:鐘少新(1971- ),供職于中國電信股份有限公司普寧分公司,研究方向:S1240和中興軟交換維護。