陶偉斌 趙婧 葉凌華

摘?要：基于程控技術(shù)的C&C08設(shè)備在網(wǎng)20多年，設(shè)備老化嚴重，同時此設(shè)備已停產(chǎn)停維，存在安全隱患。為保障公安系統(tǒng)內(nèi)部電話通信，文章研究采用IPPBX電話系統(tǒng)替換程控設(shè)備，為客戶提供一體化的多功能通信系統(tǒng)。

關(guān)鍵詞：IPPBX?USM?中繼網(wǎng)關(guān)?多功能

中圖分類號：TN929.5??文獻標識碼：A????文章編號：1003-9082（2020）08-00-01

一、系統(tǒng)架構(gòu)設(shè)計

1.系統(tǒng)基本網(wǎng)元

USM：統(tǒng)一會話管理，提供用戶的注冊、注冊、呼叫控制、語音業(yè)務(wù)、話務(wù)臺業(yè)務(wù)、呼叫路由等功能，同時提供用戶開戶銷戶、企業(yè)通訊錄、話單等能力。支持基于通用服務(wù)器部署。中繼網(wǎng)關(guān)：eSpace U1900系列網(wǎng)關(guān)提供E1中繼的互通能力，實現(xiàn)與運營商PSTN以及TDM-PBX的互通。IAD：基于IP的接入網(wǎng)關(guān)，提供基于IP網(wǎng)絡(luò)的高效、高質(zhì)量的話音服務(wù)，通過標準的SIP協(xié)議與IPPBX設(shè)備配合組網(wǎng)，實現(xiàn)模擬用戶接入到系統(tǒng)。

2.可靠性設(shè)計

2.1站點內(nèi)可靠性設(shè)計

USM：雙機備份采用A-S（Active-Standby）方式部署，用戶量小于等于10000，需要一個業(yè)務(wù)模塊，當用戶量超過10000用戶時，需部署多個業(yè)務(wù)模塊。各業(yè)務(wù)模塊按靜態(tài)規(guī)劃劃分分別處理一部分用戶的業(yè)務(wù)。每個業(yè)務(wù)模塊包含2個節(jié)點，兩個節(jié)點形成A-S備份。U1981：雙主控 支持手動切換和自動切換，當主CPU出現(xiàn)故障時，業(yè)務(wù)自動切換到備CPU上，保證通信系統(tǒng)的穩(wěn)定。本地再生：當U1981與USM通信系統(tǒng)之間通信中斷時，U1981自動接管本地的IAD上所有模擬分機電話，確保這些電話之間的通信正常，提高可靠性。

2.2異地容災(zāi)

采用A-S（Active-Standy）方式的異地容災(zāi)部署，即在不同物理地域各部署一套系統(tǒng)，當其中一個地域系統(tǒng)出現(xiàn)異常時，例如自然災(zāi)害引起整系統(tǒng)無法正常使用時，另一個地域的全套系統(tǒng)可以接管語音業(yè)務(wù)。

3.安全性設(shè)計

3.1安全架構(gòu)

安全架構(gòu)按照邏輯分層模型維護進行架構(gòu)，分別是管理層安全、基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全。

3.2業(yè)務(wù)安全

信令、RTP媒體加密傳輸：涉及語音/視頻通信的信令采用業(yè)務(wù)標準的SIP和H.323。通訊錄、IM、數(shù)據(jù)會議等業(yè)務(wù)數(shù)據(jù)加密傳輸：主要包含DH 密鑰交換算法、RAS非對稱加密算法、哈希運算認證碼。業(yè)務(wù)的用戶認證和權(quán)限控制機制：使用該套系統(tǒng)必須通過認證，為每個用戶或用戶組提供細粒度的業(yè)務(wù)權(quán)限控制。業(yè)務(wù)數(shù)據(jù)的防泄漏機制：根絕員工級別不同，設(shè)置通訊錄信息的訪問權(quán)限;支持按文件類型、文件名長度進行過濾;支持網(wǎng)絡(luò)區(qū)域間的業(yè)務(wù)訪問控制，即時消息傳輸和文件傳輸功能可以在網(wǎng)絡(luò)區(qū)域間進行控制。

3.3管理安全

獨立管理平面機制：服務(wù)器區(qū)域出口防火墻設(shè)置ACL，對業(yè)務(wù)和管理的協(xié)議端口進行區(qū)分，提供詳細的通信端口矩陣。安全管理協(xié)議和安全管理機制：全面支持主流的安全管理協(xié)議，例如基于HTTPS的Web管理、基于SSH的命令行管理等。在管理平面上實施嚴格的事前認證、事中控制、事后審計機制。面向客戶的安全資料和安全維護機制：定期對操作系統(tǒng)和數(shù)據(jù)庫的補丁進行兼容性驗證，并定期向客戶提供補丁升級機制。

3.4IP網(wǎng)絡(luò)安全

防火強需支持基于會話的ACL過濾。網(wǎng)絡(luò)設(shè)備接入交換機支持802.1X和防ARP欺騙的功能。在兩個節(jié)點的大型據(jù)點，承載網(wǎng)兩端部署SEG，在網(wǎng)絡(luò)層實現(xiàn)兩個節(jié)點間數(shù)據(jù)報文的認證和加密，本方案承載在公安專網(wǎng)內(nèi)部，采用MPLS-VPN技術(shù)與公安辦公內(nèi)網(wǎng)進行隔離，自主性、保密性級別較高。

3.5終端接入安全

內(nèi)網(wǎng)接入的安全機制：在網(wǎng)絡(luò)層面，可以利用原有的PC或手機終端準入策略和防病毒策略，確保華為云通信軟終端所在的終端安全接入，在業(yè)務(wù)層面設(shè)計通信用戶的業(yè)務(wù)接入認證機制。其他安全機制：針對終端上的業(yè)務(wù)數(shù)據(jù)，均提供加密存儲機制，采用AES加密算法，并提供隨機密鑰機制。對基于Android平臺的軟終端，通過技術(shù)手段規(guī)避反編譯風險;通過IP話機的液晶屏上的縣市，可提示用戶當前通話是否加密，增強了用戶對VoIP安全的可感知性。公安語音專網(wǎng)業(yè)務(wù)承載在公安內(nèi)網(wǎng)，內(nèi)部通過IP網(wǎng)絡(luò)方式實現(xiàn)語音互通，同時采用 MPLS-VPN技術(shù)與公安辦公內(nèi)網(wǎng)進行區(qū)分

三、功能介紹

1.語音功能

基本的語音業(yè)務(wù)：基本呼叫、短號呼叫、變長短號和短號長度擴展、緊急呼叫、主叫號碼顯示、主叫號碼顯示限制、群組號碼發(fā)送、自報號碼、多路呼叫、呼叫等待、被叫號碼顯示、呼叫等待、呼叫轉(zhuǎn)移、三方通話、遇忙前轉(zhuǎn)、無應(yīng)答前轉(zhuǎn)等功能。特殊的語音業(yè)務(wù)：全市公安5位短號直接撥打，與其他運營商短號可以直接隨意撥打，與本運營商手機短號直接隨意撥打，督查業(yè)務(wù)根據(jù)需求隨意設(shè)置。自動總機：又稱為IVR業(yè)務(wù)，用戶只要撥打管理員配置的號碼，就可根據(jù)語音操作提示進行相應(yīng)的操作。話務(wù)臺：安裝在PC終端上的應(yīng)用軟件，可以提供語音通話、呼叫轉(zhuǎn)移等功能。話機聯(lián)動：將桌面客戶端的界面操作便利性和IP話機的高清語音更好地結(jié)合起來，獲得更好的通信體驗。開啟聯(lián)動功能后，當用戶登錄桌面客戶端上執(zhí)行撥號、接聽、拒接、掛斷、保持與回復(fù)、偏移、轉(zhuǎn)移、加入會議等操作。

2.統(tǒng)一消息功能

統(tǒng)一消息業(yè)務(wù)，包括語音信息業(yè)務(wù)和傳真信箱業(yè)務(wù)。登記該業(yè)務(wù)的用戶可以在任何地點、任何時間，通過電話、傳真、手機或PC連接到系統(tǒng)，獲取語音留言或傳真留言。UMS服務(wù)器與統(tǒng)一網(wǎng)管通過SIP協(xié)議對接，實現(xiàn)語音信箱和傳真信箱業(yè)務(wù)。

3.統(tǒng)一通信功能

即時消息：兩個用戶之間可以發(fā)送即時消息，傳輸文件，發(fā)送短信等。富媒體消息：在文本即時消息基礎(chǔ)上擴展的多媒體格式消息，如圖片、語音消息、視頻消息。群組：應(yīng)用多人需要多次進行交流的場景。每次交流結(jié)束之后，群組不會立即被解散，成員可以下次繼續(xù)進入群組進行溝通?；谌航M可以進行文字交流、語音、多媒體溝通和協(xié)作，便于團體討論，廣播消息等。

4.融合會議功能

公安用戶在專網(wǎng)內(nèi)通過視頻電話隨時隨地參加語音/視頻/數(shù)據(jù)會議，開展交流和協(xié)作。用戶撥打會議接入碼并根據(jù)語音提示入會，或者通過單擊郵件會議通知中的鏈接入會。同時可以將會議中的視頻、音頻和輔流信號進行一體化的同步錄制、直播和點播，全面記錄會議內(nèi)容，給用戶的工作帶來了極大的便利。