3G核心網安全隱患及其容災技術探討

本文詳細分析了WCDMA R99至R5各階段核心網的組網結構，根據各階段組網結構的不同提出相應的容災技術，并深入分析各容災技術的優缺點，最后對各容災技術適用條件提出建議，進而指導我們在3G不同階段如何根據自身的客觀條件采取最佳的容災技術。

關鍵詞　移動交換中心　媒體網關　池域

1　2G GSM/GPRS網絡的安全隱患

在GSM（全球移動通信系統）/GPRS（通用分組無線服務）網中，BSC（基站控制器）與MSC（移動交換中心）的網絡結構是一種樹形結構，每個BSC只能被一個MSC控制，如果MSC發生故障，則其管理的BSC就不能正常工作，造成該服務區內業務的中斷。

在2G系統中，主要考慮的是HLR（歸屬位置寄存器）的容災。對于MSC，2G系統中沒有針對MSC失效的安全性措施，只是通過MSC設備本身的可靠性措施，即設備的單板備份和端口備份來保證MSC網元的安全。為了減少出現問題時移動業務受影響的范圍，通常的解決方法是盡量采取小容量MSC的策略來規避風險，但這不能從根本上解決問題。因此2G網中存在著MSC的安全隱患。

由于移動公司只有GSM網絡，這就決定了未來3G制式不可能采用cdma 2000制式，而WCDMA和TD-SCDMA兩種制式的主要區別在于無線接入網，核心網部分基本一致，因此本文只討論WCDMA各版本的核心網。另外，WCDMA R5以后的版本離實際組網還有頗長的路，故本文只討論R99、R4和R5版本的容災技術。由于篇幅限制，本文主要討論核心網中MSC的容災技術，但有些MSC容災技術也適用于HLR、SGSN（GPRS服務支持節點）等網元。

2　R99階段容災技術

在WCDMA R99階段，核心網組網與GSM/GPRS

網絡基本一致，只是把原來的MSC進行軟硬件升級，以支持WCDMA的接入，因而仍存在著與GSM系統一樣的安全隱患，解決辦法仍是設備級保證和小容量MSC技術，設備級保證技術詳情見3.1節。

3　R4階段容災技術

在WCDMA R4階段，核心網引入了控制和承載分離的軟交換架構，將傳統2G網絡中的MSC分離成MSC Server（移動交換中心服務器）和MGW（媒體網關），其中MSC Server負責信令處理、路由和業務；MGW負責媒體流處理。接入網和核心網之間的Iu接口的網絡結構仍為樹形結構，下級節點只能被一個上級節點控制。如果MSC Server發生故障，則其管理的MGW和RNC（無線網絡控制器）都不能正常工作，將造成服務區內業務的中斷。

MSC Server是業務處理的中心，其容量一般都較大，且集中設置，是網絡、設備安全性的重點關注部分。為了防止單點故障引起大片區域業務中斷的情況，MSC Server除了要提供設備級的可靠性措施外，一般還需要提供網絡級的可靠性措施。而MGW一般按最佳的話務吸收點分散設置，其安全性方面的要求相對要低一些，一般通過板級和設備級的冗余備份來實現。

3.1　設備級保證

MSC Server硬件系統可采用單板的備份、負荷分擔、冗余配置等可靠性設計方法，并通過優化單板和系統的故障檢測/隔離技術來提高系統可維護性。軟件系統可采用模塊化設計，通過專業的容錯能力、對故障的監視系統及對故障的合理處理來保證設備的可靠性。

在MGW中，可采用模塊化設計，使部分模塊變化不會對其他功能模塊造成影響。設備的業務單板應支持多種備份和負荷分擔方式，避免單點故障。風扇和電源也應采用冗余設計，并提供多種告警處理機制。此外，還可通過多級用戶權限管理、防火墻功能、密鑰、鑒權等方式，提供業務安全性，從而提高系統性能和業務質量。

3.2　雙歸屬技術

MSC Server與MGW間有控制和被控制的關系，其網絡級可靠性措施比較復雜，一般采用MGW與MSC Server間的雙歸屬機制來實現。目前的雙歸屬方案有以下幾種。

（1）雙歸屬1+1主備模式：主MSC Server與備MSC Server同時運行相同的軟件和數據，備用MSC Server是主用MSC Server的鏡像，備用MSC Server與外部網元如HLR等的信令鏈路處于非激活態。一旦主用MSC Server出現故障，備用MSC Server將激活為主用MSC Server，MGW注冊接入新的MSC Server（如圖1所示）。

（2）雙歸屬1+1互助模式：兩個MSC Server都預留部分資源給對方作為非激活態的資源，一旦對方MSC Server出現故障，就激活預留的資源，接管對方管理的MGW等資源，原來獨立運行的端局將合二為一（如圖2所示）。

（3）雙歸屬N+1備份模式：雙歸屬N+1備份模式是指在由N個MSC Server組成的網絡中，設置一個備份用的MSC Server，平時N個MSC Server正常工作，備份用的MSC Server空轉。當N個正常工作的MSC Server中一個出現故障時，備用的MSC Server自動接管故障的MSC Server下管理的MGW和RNC（如圖3所示）。

（4）雙歸屬N+1互助模式：雙歸屬N+1互助模式中，采用N個主用MSC Server和1個容災MSC Server，而且容災MSC Server也處理本局業務。容災MSC Server實時備份N個主用的MSC Server的數據，一旦主用的MSC發生故障，容災MSC Server將接管故障的主用MSC Server中的所有用戶（如圖4所示）。

對于1+1主備模式，在資源上比較浪費，且如果主MSC Server和備MSC Server放置在同一機房，雖然在網絡配置上比較節約，但是容災的效果將大為降低。

對于1+1實時互備模式，目前移動通信網中應用的比較廣泛，屬互助方式，要求網元必須成對配置，每個MSC Server都要預留資源，這造成了平時MSC Server處理能力的閑置。該容災方式的網元配置數據比較復雜，也不夠經濟，將來可能向N+1備份方式轉變。

對于N+1主備模式和N+1互助模式，其缺陷是無法處理兩個MSC Server同時退網，雖然兩臺MSC Server由于自身原因同時出現故障的概率非常低，但在移動運營商的實際網絡中，由于局所的限制，大量網元可能設置在同一局所，甚至在同一機房。自然災害和社會災害可能會導致一個局所的設備都不可用。因此在現實中，出現2個以上MSC Server同時癱瘓的情況不可排除。在此情況下，N+1備份模式將不起作用。

3.3　VMGW

雙歸屬技術只是針對MSC Server宕機時的容災技術，而MGW宕機時，其服務的RNC將不可避免的受到影響。在R4階段，因為MGW設備的容量較大，為了避免宕機影響的用戶過多，類似于硬盤分區，可以將一個物理MGW區分為多個邏輯上獨立的VMGW（虛擬MGW）。每一個VMGW可以連接多個RNC，并且可以獨立注冊到MSC Server上，但是一個VMGW不能被多個MSC Server同時管理。這就大大減少了MGW宕機時造成的影響范圍，但它不能從根本上解決MGW宕機的安全隱患。

3.4　MGW負荷分擔

MGW負荷分擔技術主要是通過MGW互備方式來解決MGW的單點故障問題。

舉例說明，負荷分擔的MGW1、MGW2、MGW3組成一個MGW池（MGW Pool），由同一個MSC Server控制（MGW資源池的MGW的數目理論上不受限制）。RNC通過MGW1接入到核心網。MGW負荷分擔技術是指在RNC-MGW1連接線之外，增加了RNC-MGW2、RNC-MGW3兩條備份連接線。在正常工作時，RNC-MGW1是激活工作狀態，RNC-MGW2、RNC-MGW3處于非工作狀態。

MSC Server通過H.248的SCTP（基于IP的信令傳輸）連接和Iu接口的SCCP（信令連接控制部分）連接判斷Iu連接狀態，當所有H.248的SCTP連接和SCCP連接都斷了，并在一定的時間內不能恢復，即判斷出現故障，切換到備份MGW。而RNC則是通過Iu接口的MTP3B（基于ATM的信令傳輸），判斷對端MGW是否故障。當檢測到故障后，啟動切換流程，切換到備份MGW。

但是，當某一個MGW發生故障時，非故障的MGW將承擔兩個MGW的話務，這對于其業務提供能力來說，有可能難以滿足需求。因此，必須通過流控機制來保障設備免遭阻塞，但這會帶來用戶呼損率的增大。

4　R5階段容災技術

4.1　Iu-flex技術原理

在WCDMA R5階段，它繼承了R4的軟交換架構思想，而且提出了Iu-flex技術，引入了“池域”（Pool-Area）的概念（如圖5所示），一個池域就是由多個同類網元組成的共同控制一個或多個位置區的網元集合。核心網節點作為資源池，RNC可以連接多個MSC/SGSN網元、池域。RNC被池中的多個網元同時管理，RNC的終端用戶可以按照負載均衡的原則注冊到池中的任意一個節點。

在物理連接上，一個RNC可以與多個MGW有路由連接，以保證當其中一個MGW不可用時切換到別的MGW上。MGW可以和MSC Server分開放置，它們不必為一一對應關系，MGW和MSC Server可以是多對多的關系，一個MGW可受控于多個MSC Server。多個MSC Server形成一個池，一旦其中的一個MSC Server出現故障，此MSC Server所負責的用戶可以馬上被池域中的其他MSC Server接管，當用戶重新接入網絡時（位置更新、呼叫嘗試等），BSC／RNC將實時用戶分配至池中其他MSC Server，用戶感受不到網絡服務的中斷，實現了“零”宕機時間，從而保證其服務的連續性。

Iu-flex技術的提出，改變了R5之前版本中Iu接口的樹形結構，代之以分層網狀結構，這種分層網狀結構提供了樹形結構所不具備的容災技術，雖然這種分層組網結構會增加網元的數目和技術實現的復雜度。

Iu-flex和傳統組網方式的不同之處在于：

（1）Iu-flex不僅能解決網絡備份問題，也可以實現MSC之間的資源共享與互助。在池域中的多個MSC是并行服務于RNC的，而且相互之間分擔池域中的業務。

（2）池域技術不只適用于MSC，也適用于SGSN，且MSC和SGSN可以獨立組建池域，如圖6中的CS（電路交換）pool area 1和pool area 2以及PS（分組交換）pool area 1和pool area 2。

（3）MSC/SGSN池域之間的劃分可以重疊，如圖6中的CS（電路交換） pool area1和 pool area 2、PS （分組交換）pool area1和pool area 2。

4.2　Iu-flex技術優點

（1）實現MSC間的資源共享與互助，增大核心網絡的頑健性。

Iu-flex的多節點技術使得增加池域容量變得簡單容易，新增網元對現網少影響甚至不影響。而當池域中某一節點出現故障或擁塞，BSC/RNC可相應選擇池域內的其他可用節點出現接替，此時各個節點共同分擔故障節點的業務，避免了雙歸屬方式中容易出現的備份局點難以滿足兩個局點業務負荷的要求的情況。

（2）可以克服大城市用戶群的“潮汐效應”，節省MSC的設計容量。

在大城市，用戶群一般是在市中心的工作區工作而在市郊的居住區居住。這會導致市中心和市郊的MSC的負荷呈現“潮汐效應”。而傳統設計MSC容量時，為了使MSC滿足業務要求，都是按可能的最大容量來進行設計，這就導致了MSC資源的浪費。而Iu-flex能實現MSC之間資源共享與互助，在市中心和市郊部分的位置區組成一個池域，多個池域之間可以在市中心重疊，這就可以克服“潮汐效應”，大大節省了MSC的資源，提高MSC資源利用效率，也能提高市中心MSC的容量。

（3）減少MSC局間切換和到HLR的業務負擔。

與單節點服務區相比，Iu-flex大大減少位置登記信令交互以及局間切換過程，減少了MSC到HLR的信令負荷，還大大減少了跨局切換的次數。

（4）Iu-flex技術能與VMGW和IP承載技術配合使用。

Iu-flex技術能與VMGW配合組網，從而減少由于Iu接口物理連接的增加帶來Iu接口傳輸成本的增加。另外，Iu接口引入IP承載網將能更大的發揮Iu-flex技術的優勢。

4.3　Iu-flex技術的缺陷

（1）要支持Iu-flex技術，UTRAN和核心網除了需要進行軟件升級、支持相應的功能外，還需要增加一些支持池域的數據配置，在網絡規模比較大將非常復雜，需要全網升級，風險和難度均很大。因此，Iu-flex技術適合用于熱點地區或者小規模組網。

（2）在MSC故障之后至用戶重新發起位置登記之前用戶被叫無法接通，必須由用戶主動發起位置更新或者主呼后,更新HLR中用戶的MSC/VLR數據才能夠做被叫。

（3）跨地域MSC互助困難，網絡復雜度增高，擴容復雜，核心網局部的調整會導致接入網全網范圍的調整。

5　結論

VMGW和MGW負荷分擔技術主要是針對MGW的容災技術，而Iu-flex和雙歸屬技術還可以用于MSC Server中。

Iu-flex技術適合在熱點地區或小規模組網中應用，Iu-flex技術如果能和VMGW技術或者Iu口應用IP承載相結合，將能更大的發揮Iu-flex技術的優勢，同時減少引入Iu-flex帶來的問題。

在“大容量，少局所”的跨地域大本地網組網模式下，由于Iu-flex方案需要RNC將Iu接口同時連接到多個MGW，會引起Iu接口不必要的路由迂回，因此，這種情況下建議采用雙歸屬容災方案。