H.248/Megaco协议在全IP网络中的应用
封装安全载荷协议ESP对媒体网关/终端设备和软交换设备之间传送的消息提供加密,为IP数据包提供完整性检查、认证和加密,在MGC向MG传送会话密钥SK(Session Key)时用于加密包含密钥的会话描述信息。
网络认证协议AH对在媒体网关/终端设备和软交换设备之间传送的消息提供数据源认证、无连接完整性保护和可选的抗重发保护。此协议还提供了数据完整性和反重插保证,能保证通信免受篡改,但不能防止窃听,用于保护媒体网关控制器MGC和媒体网关之间的协议连接。
密钥管理协议IKE提供媒体网关/终端设备和软交换设备之间进行密钥协商的机制,以保证密钥的安全性。
如果底层协议不支持IPsec,则应建议采用过渡性AH方案。由于IPSec要求AH头或ESP头紧跟在IP包头后面,这在应用层上的实现有一定难度,所以H.248/Megaco定义了一种折衷的AH头,调整了数据完整性检查的范围,作为在底层操作系统或传输网络不支持IPSec时的一种临时解决方案。过渡性AH方案是在H.248/Megaco协议头中定义可选的AH头来实现对协议连接的保护,过渡性AH方案只能提供一定程序的保护,例如该方案不能提供防窃听保护。同时,为了保护在媒体网关之间传输的媒体流免受由非法实体发起恶意攻击,媒体网关控制器也可以通过媒体网关控制协议向媒体网关提供会话密钥,用来对音频消息进行加密。
由于IPSes工作在网络层,在当前的IPv4网络上完全实现H.248/Megaco的安全机制有一定难度。另外,H.248/Megaco协议采用的IPSec对系统性能有较大的影响,这种影响在采用公钥算法对数据包进行加解密时尤其明显。与IPv4不同,IPv6已经把Ipsec集成到了自身协议中,通过IPsec提供IP层的安全性。IPv6实现了认证头AH和封装安全载荷ESP两种机制,前者实现数据的完整性及对IP数据包的来源的认证,保证分组确实来自源地址所标记的节点,后者提供数据加密功能,实现端到端的加密。
3GPP已经决定以IPv6为基础构筑下一代移动网络,很多通信厂商正致力于构建基于IPv6的全IP的3G核心网(A11-IP Core Network)。3GPP R4以及随后的R5结构中都将传统的MSC分割成MGC和MG,它们之间采用H.248/Megaco等协议相互通信,从而实现呼叫控制和处理,与网络承载相分离。因此基于IP的H.248/Megaco协议的应用,以及适应IPv6环境的进一步发展,是未来移动通信研究的一个重要课题
《H.248/Megaco协议在全IP网络中的应用(第3页)》
★读了本文的人也读了: