• Keine Ergebnisse gefunden

IP-Netze der nächsten Generation Zu einem mobilen und sicheren Internet

N/A
N/A
Info
Herunterladen
Protected

Academic year: 2022

Aktie "IP-Netze der nächsten Generation Zu einem mobilen und sicheren Internet"

Copied!
5
0
0

Wird geladen.... (Jetzt Volltext ansehen)

Jetzt herunterladen ( 5 Seite )

Volltext

(1)

IP-Netze der nächsten Generation

Zu einem mobilen und sicheren Internet

Link zum interaktiven E-Learning :

http://antoine.delley.home.hefr.ch/Didacticiel_NGN- DE/index.html

Zusammenfassung

Die Betreiber von Mobilfunk- und Festnetzen müssen ihr Marktmodell regelmässig anpassen, wenn sie ihre Gewinn- spanne halten wollen. Um den zukünftigen Ansprüchen ge- recht zu werden, wurde das Konzept der Netze der nächsten Generation, der sogenannten NGN (Next Generation Net- works), entwickelt. Wegbereiter waren die im 3GPP (3rd Ge- neration Partnership Project) vereinten Leute der Mobilfunkte- lefonie mit dem Konzept der vollständig auf IP basierenden Multimediakommunikation IMS (IP Multimedia System). Die- ses Konzept wurde unter der Bezeichnung TISPAN (Tele- coms & Internet converged Services & Protocols for Advan- ced Networks) auf Festnetze ausgeweitet.

Abbildung 1: Evolutionsstrategie

In diesen Netzen wurden Mechanismen eingebaut, die ein schnelles und einfaches Schaffen und Bereitstellen von neu- en Diensten durch Betreiber und Drittanbieter, ja sogar durch Benutzer selbst erlauben. Dies ist dank offener Schnittstellen möglich, die eine Implementierung dieser neuen Dienste er- möglichen.

1. Warum NGN ?

Warum brauchen wir eine neue Generation von Netzen basie- rend auf der IP-Technologie?

• Die synchrone Technologie mit 64 kbit/s erfährt keine neue Entwicklung mehr. Der Unterhalt der Infrastruktur für Mobilfunk- und Festnetztelefonie ist gewährleistet, in

diesem Bereich wird jedoch keine bedeutende For- schung mehr betrieben.

• Das heutige Internet ist nicht in der Lage, eine ange- messene Dienstgüte für Echtzeitanwendungen anzubie- ten. Es begnügt sich mit der Qualität Best Effort, wäh- rend die IP-Technologie mehr zu bieten hat. Letztlich steht jedoch die Frage nach den Kosten im Mittelpunkt.

• Die für den Transport von Sprache über IP-Netze aus- gearbeiteten Standards garantieren die Vertraulichkeit der Transaktionen der Signalisierungsprotokolle nicht.

Die Audio- und Video-Datenströme können zwar ver- schlüsselt werden, aber die beim Aufbau der Verbin- dung während der Kommunikation und beim Abbau der Verbindung ausgetauschten Daten jedoch nicht. Dabei handelt es sich aber um die sensibelsten Daten, erlau- ben sie doch das Erstellen des Profils eines Teilnehmers oder eines Unternehmens auf der Basis seiner Ge- schäftsbeziehungen und anderer sensibler Informatio- nen, die mithilfe des SIP-Protokolls (Session Initiation Protocol) ausgetauscht werden.

• Die aus der Festnetz- und Mobilfunktelefonie stammen- den Nutzen nehmen ab, während die aus den Web- Diensten und dem Datenverkehr entstandenen Nutzen nachhaltig wachsen.

• Eine Revolution im Bereich der mobilen Anwendungen ist in Gang. Sie wurde durch das iPhone von Apple, dann durch Android von Google und zahlreiche weitere Imitationen eingeleitet. Das Telefon wird endlich zur be- nutzerfreundlichen Internetstation. Die Zahl der Anwen- dungen für die Kommunikation, für die Übertragung, für die Verarbeitung und für den Zugang zu Informationen wächst exponentiell. Das Herunterladen und Konfigurie- ren dieser Anwendungen sind zu einem Kinderspiel ge- worden.

2. Die Architektur eines Universalnetzes

Die heutigen Netze wurden unabhängig voneinander aufge- baut. Ihr Aufbau erfolgte aufgrund der anzubietenden Dienste und Anwendungen.

Unter dem Begriff Netze der nächsten Generation ist eine ho- rizontale Struktur entstanden, die mehrere Dienste in einer einzigen Netzstruktur integriert. Die NGN weisen eine konse- quente Trennung zwischen Netzzugang (optische Faser, Mo- bil 2G, 3G, 4G/LTE, bzw. DSL, CATV, WLAN, usw.), Trans- portnetz, Signalisierung und Zugriff auf die Dienste und An- wendungen.

(2)

Abbildung 2: Schichtenstruktur eines NGN

Die Protokolle der IP-Welt bilden das Rückgrat der NGN. Um den Anforderungen der NGN gerecht zu werden, mussten bestimmte Protokolle ergänzt werden. Dabei handelt es sich insbesondere um das SIP (Session Initiation Protocol) und um H.248/Megaco. Das SIP ist verantwortlich für die Signali- sierung, die auch als Steuerung der Anrufsitzung bezeichnet wird. H.248/Megaco kommt im Rahmen der Interoperabilität mit dem Telefonie- oder ISDN-Netz zum Einsatz. Es dient zur Steuerung der Media-Gateways. Andere Protokolle mussten entwickelt werden. Diameter ist eine Erweiterung des Radius- Protokolls. Es dient für die Authentifizierung, die Zugriffsbe- rechtigung und die Rückverfolgbarkeit oder Abrechnung (AAA: Authentication, Authorization and Accounting). COPS wird für die Vergabe der Ressourcen und zur Kontrolle ihrer Verwendung durch die Anwendungen benutzt.

3. Struktur des Signalisierungssystems

In den NGN wird das SIP für den Aufbau und die Verwaltung der Multimediaverbindungen verwendet. Diameter ist eine Verbesserung des RADIUS, das im Internet weit verbreitet ist und für die Authentifizierung, für die Zugriffserlaubnis und für die Rückverfolgbarkeit und die Abrechnung genutzt wird.

Bevor ein NGN-Endgerät eine Verbindung mit anderen Teil- nehmern herstellen kann, muss es eine Reihe von Voraus- setzungen erfüllen:

• Der Teilnehmer muss ein Abonnement abschliessen, wie es für die Festnetz- und Mobilfunktelefonie oder das Internet erforderlich ist.

• Das Endgerät muss die Verbindung mit dem IP- Zugangsnetz (optischer Zugang, DSL, CATV, WLAN, LTE, usw.) aktivieren. Dieser Vorgang beinhaltet auch die Zuweisung einer IP-Adresse.

• Das Endgerät startet anschliessend die Suchprozedur des P-CSCF-Servers, der sein Eintrittspunkt ins Netz und sein SIP-Proxy für die ganze Dauer der zukünftigen Anmeldung auf der Ebene des NGN sein wird. Diese Prozedur startet typischerweise mit dem Einschalten des Endgerätes.

• Danach meldet sich das Endgerät auf der SIP-Ebene im NGN an. Das NGN ist nun in der Lage, den Teilnehmer zu authentifizieren, gesicherte Tunnels herzustellen und den Aufbau von Sitzungen zu erlauben.

Abbildung 3: Signalisierungssystem

Sobald diese Bedingungen erfüllt sind, kann das Endgerät Verbindungen innerhalb seines eigenen Netzes oder zu an- deren NGN beziehungsweise zum Telefonnetz oder zum ISDN herstellen. Die SIP-Signalisierungsmeldungen, die durch das Endgerät erzeugt werden oder für dieses bestimmt sind, werden immer vom S-CSCF-Server seines eigenen Netzes verarbeitet, unabhängig davon, ob sich das Endgerät zu dem Zeitpunkt in diesem Netz befindet oder durch Ro- aming in ein anderes Netz wechselt. Die Adresse des geeig- neten S-CSCF-Signalisierungsservers wird durch den I- CSCF-Abfrageserver geliefert, nachdem Letzterer die Kon- taktdaten von der HSS/UPSF-Datenbank abgefragt hat.

4. Netzarchitektur der nächsten Generation

Die nachfolgend beschriebene Netzarchitektur der NGN ba- siert auf dem durch das 3GPP (3rd Generation Partnership Project) für Mobilfunknetze ausgearbeiteten IMS-Standard und auf dem Standard TISPAN, der durch das ETSI (Euro- pean Telecommunications Standards Institute) für Festnetz- anschlüsse spezifiziert wurde. TISPAN übernimmt im We- sentlichen die Architektur und Konzepte des IMS und vervoll-

(3)

ständigt sie insbesondere mit den Einheiten UPSF, NASS und RACS.

C-BGF (Core-Border Gateway Function) hat als Hauptaufga- be, den Netzzugriff zu kontrollieren (IP-Konnektivität).

CSCF (Call/Session Control Function): SIP-Signalisierungs- server. Die Signalisierung wird ebenfalls als "Steuerung der Anrufsitzung" bezeichnet.

P-CSCF (Proxy-CSCF): Alle vom Endgerät generierten oder für dieses bestimmten Anforderungen werden von ihm über- prüft.

I-CSCF (Interrogating-CSCF): Seine Hauptaufgaben beste- hen darin, bei der Anmeldung und bei Anfragen für externe Sitzungen nach der Abfrage beim HSS/UPSF dem Teilneh- mer die Verbindungsdetails des betroffenen S-CSCF- Signalisierungsservers mitzuteilen.

Abbildung 4: NGN-Netz gemäss den IMS/TISPAN-Standards

S-CSCF (Serving CSCF) bildet das zentrale Netzelement für die Signalisierung. Alle SIP-Meldungen vom und zum Teil- nehmer werden von diesem SIP-Server bearbeitet.

HSS/UPSF (Home Subscriber Server / User Profile Server Function): Diese Datenbanken enthalten die für die Authenti- fizierung der Teilnehmer und die Steuerung der Multimedia- Sitzungen notwendigen Daten.

BGCF (Breakout Gateway Control Function) kommt zum Zu- ge, wenn eine Verbindung zu einem leitungsvermittelten Netz oder dem ISDN hergestellt werden muss.

IBCF (Interconnection Border Gateway Control Function) und I-BGF (Interconnection-Border Gateway Function): Die Ver- netzung mit anderen SIP-Netzen erfolgt mithilfe des I-BGF- Gateways auf Transportebene respektive mithilfe des Gate- way-Controllers IBCF auf Signalisierungsebene.

MGCF (Media Gateway Control Function) ist der Steuerungs- knoten für die Interoperabilität mit dem Telefonnetz oder dem ISDN.

MRFC (Media Resource Function Controller) und MRFP (Me- dia Resource Function Processor) generieren gesprochene Texte für Telefonansagen, multiplexieren und umcodieren die Media-Datenströme unterschiedlicher Codecs.

NASS (Network Attachment SubSystem) beschafft dem Endgerät seine dynamische IP-Adresse und seine Konfigura- tionsparameter.

RACS (Ressource and Admission Control Subsystem) um- fasst die Prozeduren und Mechanismen bezüglich der Auf- nahme und der Reservierung von Ressourcen für den Uni- cast- und Multicast-Datenverkehr.

SGF (Signaling Gateway Function) wandelt die Protokolle der unteren Schichten zwischen NGN und Telefonnetz oder ISDN um.

SLF (Subscription Locator Function): Wenn mehrere HSS/UPSF-Datenbanken vorhanden sind, liefert die SLF die Identität der HSS/USPF, die das benötigte Profil des Benut- zers respektive des verlangten öffentlichen Dienstes enthält.

T-MGF (Trunking-Media Gateway Function) bildet die Medi- enschnittstelle mit dem Telefonnetz oder dem ISDN. Das Me- dia-Gateway führt auch eine Transcodierung durch, wenn verschiedene Codierungsalgorithmen für die Sitzung zwi- schen dem NGN und dem anderen Netz verwendet werden.

5. Sicherheit in den NGN

Der Ersatz der aktuellen Fest- und Mobilfunknetzinfrastruktu- ren durch IP-Infrastrukturen hat die Normierungsorganisatio- nen, die Betreiber und die Dienstanbieter dazu gezwungen, ihre Sicherheitskonzepte zu überdenken. Die aufgrund dieser neuen Netze zu erfüllenden Anforderungen sind viel höher als jene der klassischen Infrastrukturen. Die Gründe dafür sind einerseits die Risiken einer offenen Technologie und anderer- seits die fast unbegrenzte Kreativität von boshaften Teilneh- mern und kriminellen Organisationen, menschliche Fehlmani- pulationen oder Kinderkrankheiten der Ausrüstungen.

Abbildung 5: Die verschiedenen Sicherheitszonen der NGN

(4)

In der Trusted Zone sind die Systeme und Ressourcen des Netzes untergebracht, die unter der Kontrolle des NGN- Betreibers stehen. Es ist kein Kontakt mit den Ausrüstungen der Teilnehmer oder denjenigen eines anderen Netzes mög- lich. Diese Zone wird durch verschiedene Massnahmen ge- schützt. Dazu gehören zum Beispiel der physische Schutz der Netzelemente, die "Abschottung" der Systeme, der Einsatz einer gesicherten Signalisierung und Netzüberwachung und die Trennung der virtuellen privaten Netze (VPN: Virtual Pri- vate Network) in vertrauenswürdige und verwundbare Zonen.

Die Systeme und Ressourcen des Netzes der Trusted but vulnerable Zone werden durch den NGN-Netzbetreiber be- trieben und entweder durch den Betreiber selbst, oder durch den Teilnehmer kontrolliert. Ihre Hauptrolle ist der Schutz der NGN-Systeme und Ressourcen, die in der vertrauenswürdi- gen Zone platziert sind. Zusätzlich zu den Schutzmassnah- men der vertrauenswürdigen Zone verstärken folgende Me- chanismen und Ausrüstungen die Sicherheit: Nutzung von Firewalls und Gateways zur Filterung und eine Art von "Siche- rungen". Diese Letzteren werden bei der Erkennung eines Fehlverhaltens oder einer Minderung der vom Netz angebo- tenen Dienstgüte die Bitrate einschränken oder sogar den Da- tenstrom des Teilnehmers blockieren.

Die Untrusted Zone fasst die NGN-Systeme und Ressourcen zusammen, die weder vom NGN-Netzbetreiber betrieben werden, noch in seinen Anlagen untergebracht sind.

Abbildung 6: Sicherheit des NGN-Zugangs

Das System zur Kontrolle der Anrufsitzungen und die Daten- banken mit den Teilnehmerprofilen (HSS/UPSF) werden ganz besonders geschützt, da sie den lebenswichtigen Kern des NGN darstellen.

Der Zugang zum NGN und zu seinen Ressourcen ist nur für die authentifizierten Teilnehmer möglich. Die Authentifizierung wird basierend auf dem Kundenprofil der HSS-Datenbank vom S-CSCF-Server im Heimnetz des Teilnehmers vorge- nommen und nicht durch einen Server des besuchten Netzes.

Folglich verlassen die sensiblen Daten bezüglich des Teil- nehmers sein Heimnetz nicht.

Der Zugang zu den NGN-Ressourcen benötigt eine Autorisie- rung vom S-CSCF-Server des Heimnetzes des Teilnehmers.

Sie ist von den Informationen in der HSS-Datenbank und eventuell vorhanden Verträgen abhängig, die mit den Anwen- dungsservern für ein Dienstangebot abgeschlossen wurden.

Bei den mobilen Endgeräten (Mobiltelefone, drahtlose Endge- räte, mobile Systeme) wird das Übertragungssystem durch Verschlüsselung geschützt.

Abbildung 7: Vertraulichkeit und Integrität der Daten

Aufgrund der rechtlichen Forderungen zur Überwachung des Fernmeldeverkehrs (Laweful Interception) können die Signali- sierungs- und Kontrollmeldungen nicht in einem gesicherten Tunnel übertragen werden, der vom Roaming-Endgerät im besuchten Netz bis zum SIP-Server seines Heimnetzes reicht.

Die Kommunikation zwischen NGN-Netzen ist mithilfe von IP- sec-ESP-Tunnels gesichert. Das Signalisierungs- und Kon- trollsystem von Teilnehmerendgerät zu Teilnehmerendgerät kann als sicher angesehen werden, da die kritischen Seg- mente gesichert sind und sie im Kern des IMS jedes NGN enden.

Für die Verbindung mit herkömmlichen VoIP-Netzen wird für die Sicherung TLS benutzt. In diesem Fall aktualisiert der S- CSCF-Server dauernd eine Liste von VoIP-Teilnehmern, de- nen es erlaubt ist, sich mit dem NGN-Netz zu verbinden. Aus Sicherheitsgründen haben sie nicht Zugang zu allen Möglich- keiten, die den NGN-Teilnehmern angeboten werden.

6. Architektur der Applikationssteuerung

Die dem Teilnehmer angebotene Kommunikationsumgebung wird immer flexibler in der Parametrierung des Systems und seiner Nutzung und verfügt über immer vielfältigere und be- nutzer-freundlichere Schnittstellen

Der NGN-Teilnehmer kann seine abonnierten Anwendungen mithilfe eines Web-Browsers konfigurieren. Der Kern des NGN-Netzes verwaltet den Zugang zu den Diensten und den Ressourcen und garantiert die angemessene Dienstgüte.

(5)

Abbildung 8: Multimediadienstarchitektur

Die Kontrolle der Anwendungen ist in den Anwendungsser- vern (AS: Application Servers) integriert und basiert auf Filter- kriterien der SIP-Meldungen. Diese Filterung ist in die S- CSCF-Server eingebaut. Sie wird IFC genannt (Initial Filter Criteria). Bei der Öffnung jeder neuen SIP-Sitzung erlaubt die Filterung von spezifischen Feldern der benutzten SIP- Methode zu bestimmen, ob ein (oder mehrere) Anwendungs- server während der Sitzung involviert sein muss (müssen).

Bei einer SIP-Methode vom Typ MESSAGE und einem Teil- nehmer alex.durand@ngn4all.com könnten zum Beispiel ein Vorauszahlungsserver und ein E-Mail-Server in die Sitzung eingebunden sein.

Abbildung 9: Service Enablers und APIs

Die Service Enablers und APIs (Application Programming In- terface) stellen eine Programmierschnittstelle für Dienste dar, die erlauben, zu den Basisfunktionen der Protokolle zu gelan- gen, um integrierte Anwendungen mit unterschiedlichen Me- dientypen und Ressourcen zu erzeugen. Die Standardisie- rungsaktivitäten fokussieren sich auf die folgenden Themen:

Rich Communication Services: Die Multimediakommuni- kationsdienste (Sprache, Video, Bilder, SMS, MMS, Präsenz) werden vervollständigt durch bereichernde Funktionalitäten wie Telefonbuch (Telefonbuch mit Dienstinformationen und Lokalisierung von Kontakten), Textmitteilungen (z. B. einschliesslich Chat und chrono- logischem Überblick) und Kommunikation (z. B. Inhalts- teilung).

Converged and Multimedia Communication: Die Tele- kommunikationsumgebung entwickelt sich in Richtung Quatruple Play (4Play), die einer kombinierten Konver- genz der Medien und der Fest- und Mobilfunknetze ent- spricht.

Multi-Party Gaming: Dem Beispiel von Spielumgebun- gen im Internet folgend, stellen die NGN für verteilte Spiele im Netz eine ideale Zugangsplatt-form sowohl über das Fest- als auch über das Mobilfunknetz dar.

Seamless Services: Die Dienste befreien sich vom Trä- ger und sind von jedem Anschlusspunkt des Netzes aus sowohl über Festnetz- als auch über mobile Endgeräte zugänglich. Letztlich ist für den Teilnehmer nur wichtig, zum Beispiel mit demselben Smartphone auf alle abon- nierten Dienste zugreifen zu können.

7. Referenzen

ITU-Empfehlungen Y.2000 - Y2899 definieren den allgemei- nen Rahmen der NGN.

http://www.itu.int

IMS-Standards der 3GPP: 3GPP ist eine Partnerschaft für die Standardisierung der Mobilfunknetze. Sie hat den IMS- Standard ausgearbeitet, der vom ETSI publiziert wurde.

http://www.3gpp.org

TISPAN-Standards des ETSI: ETSI hat die Standards für Festnetze erarbeitet und publiziert. Diese basieren weitge- hend auf IMS.

http://www.etsi.org

Antoine Delley

Dozent für Informations- und Kommunikationstechnologien an der Fachhochschule West- schweiz (HES-SO//Fribourg) antoine.delley@hefr.ch

http://antoine.delley.home.hefr.ch/aufnahme.html

Link zum interaktiven E-Learning : http://antoine.delley.home.hefr.ch/Didacticiel_NGN-DE/index.html

Referenzen

Jetzt herunterladen ( PDF - 5 Seite - 4.76 MB )

ÄHNLICHE DOKUMENTE

Internet für Philologen. Eine Einführung in das Netz der Netze

"elektronischer Kummerkasten" erwähnt, der auf der Homepage des Erich Schmidt Verlages eingerichtet werden sollte, aber es wird auch deutlich gemacht, dass dort nur für

Based on the Interconnection of Ge

The water and [1,2-DAPH 2 ] 2+ cations are located within the channels and form hydrogen bonds to O atoms of the germanate framework.. The different channels are surrounded by Ge 9 O

Next generation border crossing: epassports and their impact on border control

In recent years, several Registered Traveller Programmes have proven the potential of biometrics for automated border control but most of the programmes were not integrated to

Kopplung von TK-Anlagen über ein IP-Netz

Es kann zum Beispiel mit Hilfe von RSVP vor einem Verbindungsaufbau die Verfügbarkeit der Ressourcen im gesamten IP-Netz auf der Strecke zwischen den Anlagen überprüft werden,

Schritte zu einem vertieften Ge-schichtsverständnis

Auf dem Hintergrund einer solchen Vertiefung kann nun die Bilderwelt der Geschichte auf der Suche nach Gestalten durchforscht werden, welche diese Befreiung des Herzens

TCP/IP - Sockets1. Verbindung erstellen

Franz Kohnle Seite 1 von

ISDN-Konfigurationsbeispiel - IP

Konsolenaufforderung des Remote-Routers aus.Name C4000 - Der Hostname des Remote- RoutersBeim Namen wird die Groß- und Kleinschreibung beachtet, und er muss mit dem

damit zu einem

Die zentralen Aspekte einer Evaluation Von den angebotenen Grundfunktio- nen sind sich viele Systeme auf den ers- ten Blick sehr ähnlich, aber sie unter- scheiden sich ganz