您当前的位置是:  首页 > 资讯 > 国内 >
 首页 > 资讯 > 国内 >

SBC作用之VoIP应急指挥系统&Internet互通通信安全保障方案规划建议书

2021-12-08 13:21:34   作者:   来源:CTI论坛   评论:0  点击:


  01一、建设背景
  当前的世界,有线通信网络已经无处不在,各种系统、各种设备的连接伴随着4G/5G、卫星等无线通信技术的发展,也从有线连接方式逐步朝着无线连接方式发展。原来很多独立封闭的系统只能在内部私有设备间进行通信,现在新的移动通信设备层出不穷,越来越多的依托于Internet这张开放的大网朝着多系统、多终端的融合迈进。
  基于具有灵活、易于实现、便于扩展特点的SIP通信协议,被广泛使用的常规应急指挥系统也伴随着互联网+的大潮迅猛发展走进了VoIP时代。新一代融合应急通信指挥调度平台将常规PSTN/IMS电话通信系统、4G/5G移动通信系统、天基卫星通信系统、无线集群对讲机系统、安防监控系统等原本各自分散独立的通信子系统,进行了规范的整合。实现固定与机动、有线与无线的有机融合,构建一套平台统一部署、多类型通信终端无缝接入的综合指挥调度平台。实现在应急处突时各种资源的统一监控、指挥调度,让一线临时应急指挥所等各职能组成单元与后方调度指挥中心体系快捷方便的组建融合,保障实时高效的沟通成为可能。
  但是众所周知,互联网的江湖从来都不是平静安宁的——窥探、拦截、窃取、破坏、攻击……这些安全隐患时刻都在我们的周边,稍有疏忽大意就会发生意想不到的灾难。设备宕机、系统瘫痪、机要信息泄露、非法呼叫或广播随时都有可能发生。面对如此恶劣的网络环境,现实又拥有如此丰富的通信终端设备,如何通过使用VoIP技术,安全有效的利用这些设备以及互联网资源,避免这些不利的安全因素发生,实现多种移动终端的现场可见、指挥可达的诉求,成为了应急通讯集成商亟待解决的一个课题。
  这样看来,通信安全与系统平台开放成为了取舍的主要矛盾——使用独立的专网安全可靠,但是成本高昂、与外部交互设备互通体验性非常差;移动单兵通信设备最方便快速的是依托4G/5G公网通信或移动卫星通信系统等互联网连接方式接入应急指挥平台,组网灵活并且兼容性好,但是网络传输环境多样,来自网络的安全问题也就显现了出来。
  因为在VoIP电话通信系统的业务中,由于SIP消息携带路由信息,基于IP的呼叫将造成用户的网络拓扑被暴露。攻击者可以利用SIP消息携带的网络拓扑进行网络侦探,寻机发动攻击。形象比喻一下:假如把应急指挥平台直接公开暴露在了互联网当中,这个平台在互联网的世界相当于就是在裸奔,也就等于毫无隐私可言了,免不了的就会受到一些窥探甚至恶意攻击。例如:恶意与非恶意的DoS/DDoS攻击,OPTION、INVITE、REGISTER等信令洪水攻击。攻击方式及手段千变万化,一旦被攻击者攻破,尤其是在关键的应急指挥过程中,系统遭受攻击导致宕机会造成严重且无法估量的灾难。公安、消防、监狱、部队、人防、安监、林业、交通、能源任何一个单位都不允许有安全隐患的存在。
  为预防及解决上述问题,既兼顾移动设备依托互联网资源的多种形式灵活接入,又保证内部网络及系统的安全稳定运行,还有就是在出现问题后也能及时高效快速定位予以处理。特此向以上行业单位及项目集成商建议选用北京云联信通公司出品的SBC(会话边界控制器)产品。
  02二、需求分析
  1. 能够依托VoIP技术,高效利用互联网资源,使得应急指挥系统与各子系统及各类终端设备方便快捷的融合互通;
  2. 保证用户单位内部网络的拓扑隐藏,能够实现多层防火墙的穿越,防范来自公网的SIP消息恶意攻击;
  3. 保证视频通信信号的清晰并且流畅,能够在一定的网络平均丢包率范围内保证音视频通信的无障碍沟通;
  4. 能够适应通信发展趋势,满足新技术要求,比如与微信公众号、小程序等资源的对接、对WebRTC技术的支持等等;
  5. 利用三大运营商即将互联互通实现商业化的VoLTE视频通话能力,无需下载任何客户端或者插件,直接通过任何一部智能手机发起现场紧急视频连线;
  6. 对存在话务呼叫不正常现象快速分析、定位问题现象节点,对问题个例,在绝大多数情况下,尽量的减少人员协调环节等工作量,高效率处置分析话务故障情况;
  7. 产品能够支持双机热备功能,保证应急通信过程的可靠稳定运行;
  8. 应急指挥系统的使用单位多以国家部门为主,要选择具有自主研发能力并拥有自主知识产权的国内厂家产品为主;
  03产品选型原则
  • 国产品牌自主可控、安全、稳定、高可靠;
  • 有完善的技术支持团队,能够提供强大及时的售后服务,包括及时的二次研发响应;
  • 拥有丰富成熟的大客户实际应用案例;
  • 采用的核心技术符合通信发展趋势,升级扩容灵活便捷;
  • 具有完善的常见操作系统SDK资源,可快速与第三方系统对接集成;
  • 满足用户的长远规划,能够高效利用现有资源。
  04系统方案设计拓扑结构
  
  05可实现的目标
  1、解决宽泛的SIP协议所带来的问题,保证与多厂商SIP终端的互通
  对于SIP协议来说,协议本身的要求比较宽泛,实际用户方面经常会要求保证业务终端的灵活性和业务的可扩展性,但是灵活意味着多样性,所以各厂商之间的不兼容问题随之而来,SBC在这种场景下能有效的适配各厂商的设备,使多厂商设备的环境能有效的融合,解决各种系统和设备的兼容性问题。
  2、SBC可以有效的进行网络隔离,保护核心网,拒绝公网各种SIP扫描攻击
  把SBC部署在公网和私网之间,用于隔离这两个不同的网络,避免核心网的网络拓扑暴露到公网。通过隐藏核心网的拓扑结构,可以有效避免核心网设备直接暴露给公网用户从而免受黑客的直接攻击,不让恶意攻击者获悉核心网的拓扑结构,提高网络的安全性,从而实现避免应急指挥平台被攻击瘫痪或密码被破解,非法呼叫或广播的发生。
  3、利用SBC可以有效的解决非信任网络之间的互通问题
  分散各地的使用者需要与机构间保持高效的互通,但是对企业本身来讲,实际终端用户的网络是外部网络或非信任的网络,SBC支持基于SIP信令的呼叫控制和媒体信息流穿过用户驻地网的NAT/FW设备,而无需改动任何NAT/FW设备的配置,也无需附加用户驻地设备。可穿越的NAT/FW层数不受限制(终端在NAT设备后,因为VoIP的技术特性,即媒体和信令是分离的,所以当终端在NAT后面时,会导致媒体不能穿越防火墙,对于用户来说在整个呼叫过程中会出现媒体单通——即只有一方可以听到通话,甚至双方都听不到通话内容的情况,这时SBC将能很好的处理NAT带来的这些问题)。所以在互联互通时必须考虑网络拓扑隐藏、安全等问题,SBC在这种场景下能很好的处理和非信任网络互通所带来的安全问题以及网络NAT问题。
  4、支持编码转换,保证公网传输音质
  支持Opus语音编码,该编码能够实现高保真语音的还原,通过匹配配套客户端,能够在公网平均20%丢包的情况下,实现语音的连贯性高清晰通话,从而将高保真的音质和低带宽的传输得以兼得。
  5、新业务新技术的支持
  • 紧扣通信发展趋势,同步支持WebRTC技术,实现在网页、微信公众号以及小程序的音视频接入能力;
  • 通过SDK快速实现应急指挥系统与客户私有客户端的集成能力;
  • 对接适配运营商的IMS线路资源,无需专用终端设备或专用客户端,可以实现智能手机直接发起VoLTE视频呼叫到指挥调度平台;
  • 以上这些通信能力,可以大大丰富指挥调度平台接入设备的能力,为用户开拓更多更好的应用场景体验;
  6、准确定位话务故障节点
  一个指挥平台下所有的通信终端,某些或者部分出现问题后只需通过在SBC上一个汇总抓包查看分析,即可实现快速定位问题节点。SBC本身支持抓包存储功能,对偶发的故障可以通过长时间转包获取可靠信息。明确问题是终端侧还是应急指挥平台侧,可以具体到通过数据包查看一通通话的详细呼叫流程,在哪个节点出的错误清晰可见;
  7、SBC双机热备高可靠
  • 保证业务接入,切换过程中已建立的呼叫不会中断丢失;
  • 06未来客户音视频通讯网络建设中SBC设备再利用评估
  • 用户远期规划音视频通讯网络建设时SBC设备可充分利用,既可用于运营商线路的接入,又能用于自建系统与各点之间的互联互通,还能用于内部网络的拓扑隐藏,实现公网用户的安全注册。
  07、SBC产品领域能扛得起民族品牌的大旗
  1. 通信安全刻不容缓,应以中兴、华为事件为鉴,SBC是针对SIP通信最重要的一道安全防线,产品本身的安全与否决定了使用单位的整体安全门槛;云联信通注册地是首都北京,是一家地地道道独立运营的中国企业,握联SBC系列产品的唯一授权总代理;
  2. 握联SBC系列产品是一款针对VoIP统一通信解决方案的会话边界接入控制器;
  3. 在IP网络边界对实时语音、视频和其它数据所构成的会话进行控制;
  4. 为企业边界网络提供接入控制、安全、QoS、音频编解码转换;
  5. 可以满足媒体防火墙、媒体/信令代理、NAT穿越、防火墙穿越、灵活路由、网络容灾、信令/媒体加密传输等功能。


 
  云联世界  信通未来
  www.cloudunicomm.com
【免责声明】本文仅代表作者本人观点,与CTI论坛无关。CTI论坛对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。

相关阅读:

专题

CTI论坛会员企业