問題已開啟
(普通問題)
更多
IMS
相關(guān)問題
• lte attach何時會攜帶IMSi 2020-10-30
• 關(guān)于IMS 2020-09-30
• IMSi碼怎么查 2020-06-01
• 如何查詢IMSI碼 2020-01-11
• VOLTE測試中發(fā)現(xiàn),鼎力軟件掉話上報原因RTP Inactivity,查看信令發(fā)現(xiàn)持續(xù)20s,RTP包單通,即IMS RTP SN and... 2019-11-25
• 華為怎么查詢IMSi 2019-04-20
• 誰有IMS認(rèn)證題庫 2019-04-10
• 怎么找到IMSI 2018-09-05
• 關(guān)于IMS 2020-09-30
• IMSi碼怎么查 2020-06-01
• 如何查詢IMSI碼 2020-01-11
• VOLTE測試中發(fā)現(xiàn),鼎力軟件掉話上報原因RTP Inactivity,查看信令發(fā)現(xiàn)持續(xù)20s,RTP包單通,即IMS RTP SN and... 2019-11-25
• 華為怎么查詢IMSi 2019-04-20
• 誰有IMS認(rèn)證題庫 2019-04-10
• 怎么找到IMSI 2018-09-05
問題答案
( 3 )
IMS,英文縮寫。IMS(IP Multimedia Subsystem)是IP多媒體系統(tǒng),是一種全新的多媒體業(yè)務(wù)形式,它能夠滿足現(xiàn)在的終端客戶更新穎、更多樣化多媒體業(yè)務(wù)的需求。另有相關(guān)圖書,同樣Independent Media Services,國際魔術(shù)師協(xié)會,信息管理系統(tǒng)等都有此簡寫。
目錄
大融合方案的網(wǎng)絡(luò)架構(gòu), 貝爾實驗室在IMS關(guān)鍵領(lǐng)域的創(chuàng)新——業(yè)務(wù)增強層的各種專利技術(shù),決定了朗訊IMS融合解決方案的先進(jìn)性。IMS解決方案相對于軟交換的解決方案有著非常多的優(yōu)勢,在NGN市場正占據(jù)越來越重要的角色。截至2003年,國際權(quán)威標(biāo)準(zhǔn)組織普遍將IMS作為NGN網(wǎng)絡(luò)融合以及業(yè)務(wù)和技術(shù)創(chuàng)新的核心標(biāo)準(zhǔn)。對于大規(guī)模商用部署而言,IMS從技術(shù)本身已足夠成熟。IMS不僅可以實現(xiàn)最初的VoIP業(yè)務(wù),更重要的是IMS將更有效地對網(wǎng)絡(luò)資源、用戶資源及應(yīng)用資源進(jìn)行管理,提高網(wǎng)絡(luò)的智能,使用戶可以跨越各種網(wǎng)絡(luò)并使用多種終端,感受融合的通信體驗。IMS作為一個通信架構(gòu),開創(chuàng)了全新的電信商業(yè)模式,拓展了整個信息產(chǎn)業(yè)的發(fā)展空間。在北美五大電信運營商中,迄今已有四家部署了朗訊的IMS技術(shù),對于無線和有線融合有著極為重要的象征性意義,標(biāo)志著IMS在全球的部署進(jìn)入到一個新的階段。當(dāng)然此項技術(shù)系統(tǒng)生長依然將注意力放在基礎(chǔ)運營服務(wù)上,實現(xiàn)全球的網(wǎng)絡(luò)統(tǒng)一還有很多需要改變的地方。
IMS,即IPMultimedia Subsystem,中文意義為IP多媒體子系統(tǒng),本質(zhì)上說是一種網(wǎng)絡(luò)結(jié)構(gòu)。該項技術(shù)植根于移動領(lǐng)域,最初是3GPP為移動網(wǎng)絡(luò)定義的,而在NGN的框架下,IMS應(yīng)同時支持固定接入和移動接入。涵蓋IMS增強特性的3GPPR6已經(jīng)基本凍結(jié),這標(biāo)志著IMS技術(shù)已經(jīng)走向成熟。
在NGN的框架中,終端和接入網(wǎng)絡(luò)是各種各樣的,而其核心網(wǎng)絡(luò)只有一個IMS,它的核心特點是采用SIP協(xié)議和與接入的無關(guān)性。
順應(yīng)網(wǎng)絡(luò)IP化的趨勢,IMS系統(tǒng)采用SIP協(xié)議進(jìn)行端到端的呼叫控制。IP技術(shù)在互 IMS
聯(lián)網(wǎng)上的應(yīng)用已經(jīng)非常成熟,是Internet的主導(dǎo)技術(shù),它能方便而靈活地提供各種信息服務(wù),并能根據(jù)客戶的需要快捷地創(chuàng)建新的服務(wù)。但是IP技術(shù)的一個最突出特性就是“盡力而為”,在數(shù)據(jù)傳輸的安全性和計費控制方面,卻顯得力不從心,而且只考慮固定接入方式。傳統(tǒng)的基于電路交換的移動網(wǎng)絡(luò),雖然具有接入的靈活性,可以隨時隨地進(jìn)行語音的交換,但由于無法支持IP技術(shù),所以只能形成一種垂直的業(yè)務(wù)展開方式,不同業(yè)務(wù)應(yīng)用的互操作性較低,而且需要較多的業(yè)務(wù)網(wǎng)關(guān)接入移動通信網(wǎng)絡(luò)。不同的業(yè)務(wù)分別進(jìn)行業(yè)務(wù)接入、網(wǎng)絡(luò)搭建、業(yè)務(wù)控制和業(yè)務(wù)應(yīng)用開發(fā),甚至包括業(yè)務(wù)計費等主要的網(wǎng)絡(luò)單元也必須建立獨立的運營系統(tǒng)。所以,直到現(xiàn)在電信業(yè)務(wù)的主流仍然是話音業(yè)務(wù)。新業(yè)務(wù)的部署,在的狀態(tài)下很容易招致更大的風(fēng)險和成本增加。在這種情況下,不論是移動網(wǎng)還是固定網(wǎng)均在向基于IP的網(wǎng)絡(luò)演進(jìn),已經(jīng)成為必然趨勢。
然而要將IP技術(shù)引入到電信級領(lǐng)域,就必須考慮到運營商實際網(wǎng)絡(luò)運營的需求,需要IMS網(wǎng)絡(luò)從網(wǎng)元功能、接口協(xié)議、QoS和安全、計費等方面全面支持固定的接入方式。從的研究看,SIP是具有簡單性、兼容性、模塊化設(shè)計和第三方控制性從而成為基于Internet通信市場的主流協(xié)議。所以基于SIP的IMS框架通過最大限度重用Internet技術(shù)和協(xié)議、繼承蜂窩移動通信系統(tǒng)特有的網(wǎng)絡(luò)技術(shù)和充分借鑒軟交換網(wǎng)絡(luò)技術(shù),使其能夠提供電信級的QoS保證、對業(yè)務(wù)進(jìn)行有效而靈活的計費,并具有了融合各類網(wǎng)絡(luò)綜合業(yè)務(wù)的強大能力。這樣,利用IMS系統(tǒng),電信運營商可以低成本地進(jìn)入其向往已久的移動領(lǐng)域,而移動運營商則可以在保證其原有的語音和短信業(yè)務(wù)質(zhì)量不受影響的前提下,輕松引入全新的豐富的多媒體業(yè)務(wù),即所謂的全業(yè)務(wù)運營。
至于接入的無關(guān)性,是指IMS借鑒軟交換網(wǎng)絡(luò)技術(shù),采用基于網(wǎng)關(guān)的互通方案,包括信令網(wǎng)關(guān)(SGW)、媒體網(wǎng)關(guān)(MGW)、媒體網(wǎng)關(guān)控制器(MGCF)等網(wǎng)元,而且在MGCF及MGW也采用IETF和ITU-T共同制訂的H.248/MEGACO協(xié)議。這樣的設(shè)計使得IMS系統(tǒng)的終端可以是移動終端,也可以是固定電話終端、多媒體終端、 PC機等,接入方式也不限于蜂窩射頻接口,可以是無線的WLAN,或者是有線的LAN、DSL等技術(shù)。另外,由于IMS在業(yè)務(wù)層采用軟交換網(wǎng)絡(luò)的開放式業(yè) 務(wù)提供構(gòu)架,可以完全支持基于應(yīng)用服務(wù)器的第三方業(yè)務(wù)提供,這意味著運營商可以在不改變現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)、不投入任何的設(shè)備成本條件下,輕松地開發(fā)新的業(yè) 務(wù),進(jìn)行應(yīng)用的升級。
HSS在IMS中作為用戶信息存儲的數(shù)據(jù)庫,主要存放用戶認(rèn)證信息、簽約用戶的特定信息、簽約用戶的動態(tài)信息、網(wǎng)絡(luò)策略規(guī)則和設(shè)備標(biāo)識寄存器信息,用于移動性管理和用戶業(yè)務(wù)數(shù)據(jù)管理。它是一個邏輯實體,物理上可以由多個物理數(shù)據(jù)庫組成。
2.呼叫會話控制功能CSCF(Call Session Control Function)
CSCF是IMS的核心部分,主要用于基于分組交換的SIP會話控制。在IMS中,CSCF負(fù)責(zé)對用戶多媒體會話進(jìn) 行處理,可以看作IETF架構(gòu)中的SIP服務(wù)器。根據(jù)各自不同的主要功能分為代理呼叫會話控制功能P.CSCF(Proxy CSCF)、問詢呼叫會話控制功能I-CSCF(Interrogation CSCF)和服務(wù)呼叫會話控制功能S.CSCF(Serving CSCF),三個功能在物理上可以分開,也可以獨立。
3.多媒體資源功能MRF(Multimedia Resource Function)
MRF主要完成多方呼叫與多媒體會議功能。MRF由多媒體資源功能控制器MRFC(Multimedia Resource Function Controller)和多媒體資源功能處理器MRFP(Multimedia Resource Function Processor)構(gòu)成,分別完成媒體流的控制和承載功能。MRFC解釋從S.CSCF收到的SIP信令,并且使用媒體網(wǎng)關(guān)控制協(xié)議指令來控制MRFP 完成相應(yīng)的媒體流編解碼、轉(zhuǎn)換、混合和播放功能。
4.網(wǎng)關(guān)功能
網(wǎng)關(guān)功能主要包括:出IMS網(wǎng)關(guān)控制功能BGCF(Breakout Gateway ControlFunction)、媒體網(wǎng)關(guān)控制功能MGCF(Media Gateway Control Function)、IMS媒體網(wǎng)關(guān)IMS.MGW(IMS Media Gateway)和信令網(wǎng)關(guān)SGW(SignalingGateway)。[2]
IMS由控制多媒體會話的網(wǎng)絡(luò)實體組成,在UMTS中IMS是提供IP多媒體服務(wù)的核心。IP多媒體服務(wù)使用GPRS網(wǎng)絡(luò)來進(jìn)行傳輸。網(wǎng)絡(luò)提供者同時為IP多媒體服務(wù)提供傳輸實體和網(wǎng)絡(luò)控制實體。網(wǎng)絡(luò)結(jié)構(gòu)同時允許為第三方提供附加的IP多媒體服務(wù)。
在UMTS版本5或更高的版本中,新增加的主要內(nèi)容就是添加了兩個全新的具有重要能力的IMS。第一,增加類似呼叫 狀態(tài)控制功能(CSCF)的新的網(wǎng)絡(luò)實體來提供基本的IP多媒體服務(wù),例如在兩個用戶間的多媒體會話的發(fā)起。第二,相互兼容已經(jīng)發(fā)展到可以提煉一些網(wǎng)絡(luò)實 體能力的階段,例如開放業(yè)務(wù)接入(OSA)服務(wù)能力。利用基本的IP多媒體服務(wù)和網(wǎng)絡(luò)提供的能力,OSA服務(wù)能力的功能被期望能夠激勵第三方新的IP多媒體服務(wù)的產(chǎn)生。
一個IMS包括一個或多個CSCF、媒體網(wǎng)關(guān)控制功能(MGCF)、IMS媒體網(wǎng)關(guān)、多媒體資源功能處理器(MRFC)、訂閱位置功能、中斷網(wǎng)關(guān)控制功能(BGCF)和應(yīng)用服務(wù)器。我們下面解釋IMS如何實現(xiàn)其主要功能和如何為UMTS增加支持多媒體業(yè)務(wù)。
IPv6--IMS的信令和會話業(yè)務(wù)都是通過IP承載的,但是,并不是任何版本的IP都是可以使用的,IMS要求只有IPv6才能在IMS域中使用。雖然這將使UMTS這一全球第一商業(yè)系統(tǒng)廣泛地發(fā)展IPv6,但是這仍將是一個大膽的要求,因為:
IMS中的IP尋址與分組域骨干網(wǎng)中使用的(例如IPv4)和電路域中使用的是不同的,所以IPv6和IPv4互通的問題需要解決。
用于移動臺接入IP多媒體服務(wù)的IP尋址范圍必須在IMS尋址域內(nèi),這個尋址域是在建立好IP連接時激活的PDP上下文中安排好的。IP地址可以從服務(wù)域而不是歸屬域的GGSN中獲得,從路由的效率來考慮,這是一個優(yōu)點。
呼叫/會話控制--CSCF使用SIP在呼叫控制中發(fā)揮了核心作用。CSCF可以比作電路域語音通話中移動交換中心的信令部分和控制部分。除了語音通信之外,它還能支持多媒體會話。SIP是在移動臺和CSCF之間、CSCF之間、CSCF和MGCF之間、CSCF和應(yīng)用服務(wù)器之間有關(guān)信令方面的協(xié)議。CSCF起到了很多作用:作為代理CSCF(P-CSCF),這是移動臺和IMS連接最初的一點;作為提供服務(wù)的CSCF(S-CSCF),可以用 IMS
于會話控制;作為詢問CSCF(I-CSCF),這是網(wǎng)絡(luò)中各個移動臺的有關(guān)IMS信令的一個主要的連接點。
PSTN互通--當(dāng)會話的一端為IMS用戶,而會話的另一端是公共電話交換網(wǎng)用戶時,網(wǎng)絡(luò)需要四個新的功能實體-IMS媒體網(wǎng)關(guān)、MGCF、信令網(wǎng)關(guān)和BGCF。BGCF具有支持PSTN與PS域之間的呼叫的功能。媒體網(wǎng)關(guān)用來完成在兩端用不同格式編碼的媒體信號的翻譯。MGCF控制IMS媒體網(wǎng)關(guān),提供在基于SIP的和基于ISUP信令之間應(yīng)用級的信令翻譯,并且與S-CSCF進(jìn)行通信。傳輸級的在基于IP的和基于SS7的信令翻譯由SGW完成。BGCF識別網(wǎng)絡(luò)和網(wǎng)絡(luò)中的MGCF,并確定進(jìn)入PSTN的位置。
處理用戶簽訂的信息和用戶狀態(tài)的信息--歸屬用戶服務(wù)器(HSS)是主要的數(shù)據(jù)庫,它存儲用戶簽訂的業(yè)務(wù)信息和本地信息。它可以被考慮為一個增強型GSM網(wǎng)絡(luò)中的歸屬位置寄存器。因為在網(wǎng)絡(luò)中有幾個HSS存在,在注冊和會話建立過程中,為了找到有目標(biāo)用戶信息的HSS,用戶位置功能被CSCF詢問。用戶位置功能不需要在單一的HSS環(huán)境下實現(xiàn),因為CSCF知道哪一個HSS會被使用。
可以使用各種不同的應(yīng)用服務(wù)器,包括基于SIP的應(yīng)用服務(wù)器和OSA應(yīng)用服務(wù)器,這 IMS構(gòu)架圖
些 應(yīng)用服務(wù)器可以實現(xiàn)各種服務(wù),例如語音提示服務(wù)和預(yù)付費服務(wù)。支持多種服務(wù)的應(yīng)用服務(wù)器還可以促進(jìn)新的業(yè)務(wù)的產(chǎn)生。在這兩種情況下,SIP為S-CSCF 的信令服務(wù),然而,在一個OSA應(yīng)用服務(wù)器的例子中,一個OSA容量服務(wù)器應(yīng)該插入在OSA應(yīng)用服務(wù)器和S-CSCF之間。
多方會議-媒體資源功能處理器(MRFP)和媒體資源功能控制器(MRFC)支持多方多媒體會議,并能體現(xiàn)媒體資源(例如,語音提示功能)的實際能力。MRFP處理和混合實際的媒體流,MRFC控制MRFP的媒體流資源。
其他問題-在設(shè)計和標(biāo)準(zhǔn)化UMTS的過程中,產(chǎn)生了很多復(fù)雜的問題。例如,在2000年底才確定下來一個用戶的服務(wù) 控制由它的歸屬網(wǎng)絡(luò)來執(zhí)行,并且,當(dāng)用戶漫游到國外網(wǎng)絡(luò)時,這個功能仍然適用,但是,因為存在僅僅由歸屬域控制產(chǎn)生的潛在的劣勢,例如,歸屬域的過載和處 理分組上的延遲,所以由訪問域進(jìn)行控制的問題也 IMS圖
已經(jīng)開始考慮了。而且,關(guān)于支持由訪問域和歸屬域通過IMS共同控制的問題,3GPP已經(jīng)討論了一段時間了。然而支持兩種模式必定會使網(wǎng)絡(luò)結(jié)構(gòu)更加復(fù)雜。因此,3GPP最終決定使用歸屬域來控制,但是,以后可能會重新進(jìn)行這一問題的討論。
總之,IMS為未來的ALL-IP網(wǎng)絡(luò)和與固網(wǎng)的無縫融合提供了可能,是下一代網(wǎng)絡(luò)和應(yīng)用的代名詞。
軟交換技 術(shù)從1998年就開始出現(xiàn)并且已經(jīng)歷了實驗、商用等多個發(fā)展階段,已比較成熟。全球范圍早已有多家電信運營商開展了軟交換試驗,發(fā)展至今,軟交換技術(shù)已經(jīng) 具備了替代電路交換機的能力,并具備一定的寬帶多媒體業(yè)務(wù)能力。在軟交換技術(shù)已發(fā)展如此成熟的今天,IMS的出路在何方?又該如何發(fā)展和定位呢?首先需要 對IMS和軟交換進(jìn)行較為全面的比較和分析。
如果從采用的基礎(chǔ)技術(shù)上看,IMS和軟交換有很大的相似性:都是基于IP分組網(wǎng);都實現(xiàn)了控制與承載的分離;大部分的協(xié)議都是相似或者完全相同的;許多網(wǎng)關(guān)設(shè)備和終端設(shè)備甚至是可以通用的。
IMS和軟交換最大的區(qū)別在于以下幾個方面。
(1)在軟交換控制與承載分離的基礎(chǔ)上,IMS更進(jìn)一步的實現(xiàn)了呼叫控制層和業(yè)務(wù)控制層的分離;
(2)IMS起源于移動通信網(wǎng)絡(luò)的應(yīng)用,因此充分考慮了對移動性的支持,并增加了外置數(shù)據(jù)庫——歸屬用戶服務(wù)器(HSS),用于用戶鑒權(quán)和保護(hù)用戶業(yè)務(wù)觸發(fā)規(guī)則;
(3)IMS全部采用會話初始協(xié)議(SIP)作為呼叫控制和業(yè)務(wù)控制的信令,而在軟交換中,SIP只是可用于呼叫控制的多種協(xié)議的一種,更多的使用媒體網(wǎng)關(guān)協(xié)議(MGCP)和H.248協(xié)議。
總體來講,IMS和軟交換的區(qū)別主要是在網(wǎng)絡(luò)構(gòu)架上。軟交換網(wǎng)絡(luò)體系基于主從控 制的特點,使得其與具體的接入手段關(guān)系密切,而IMS體系由于終端與核心側(cè)采用基于IP承載的SIP協(xié)議,IP技術(shù)與承載媒體無關(guān)的特性使得IMS體系可 以支持各類接入方式,從而使得IMS的應(yīng)用范圍從最初始的移動網(wǎng)逐步擴大到固定領(lǐng)域。此外,由于IMS體系架構(gòu)可以支持移動性管理并且具有一定的服務(wù)質(zhì)量 (QoS)保障機制,因此IMS技術(shù)相比于軟交換的優(yōu)勢還體現(xiàn)在寬帶用戶的漫游管理和QoS保障方面。
對IMS進(jìn)行標(biāo)準(zhǔn)化的國際標(biāo)準(zhǔn)組織主要有3GPP和高級網(wǎng)絡(luò)電信和互聯(lián)網(wǎng)融合業(yè)務(wù)和協(xié)議(TISPAN)。3GPP側(cè)重于從移動的角度對IMS進(jìn)行研究,而TISPAN則側(cè)重于從固定的角度對IMS提出需求,并統(tǒng)一由3GPP來完善。
3GPP對IMS的標(biāo)準(zhǔn)化是按照R5版本、R6版本、R7版本……這個過程來發(fā)布的,IMS首次提出是在R5版本 中,然后在R6、R7版本中進(jìn)一步完善。R5版本主要側(cè)重于對IMS基本結(jié)構(gòu)、功能實體及實體間的流程方面的研究;而R6版本主要是側(cè)重于IMS和外部網(wǎng) 絡(luò)的互通能力以及IMS對各種業(yè)務(wù)的支持能力等。相比于R5版本,R6版本的網(wǎng)絡(luò)結(jié)構(gòu)并沒有發(fā)生改變,只是在業(yè)務(wù)能力上有所增加。在R5的基礎(chǔ)上增加了部 分業(yè)務(wù)特性,網(wǎng)絡(luò)互通規(guī)范以及無線局域網(wǎng)接入特性等,其主要目的是促使IMS成為一個真正的可運營的網(wǎng)絡(luò) IMS
技術(shù)。R7階段更多的考慮了固定方面的特性要求,加強了對固定、移動融合的標(biāo)準(zhǔn)化制訂。R5版本和R6版本分別在2002年和2005年被凍結(jié),而R7版本也即將凍結(jié)。
在TISPAN定義的NGN體系架構(gòu)中,IMS是業(yè)務(wù)部件之一。TISPANIMS是在3GPPR6IMS核心規(guī)范 的基礎(chǔ)上對功能實體和協(xié)議進(jìn)行擴展的,支持固定接入方式。TISPAN的工作方式和3GPP相似,都是分階段發(fā)布不同版本。TISPAN已經(jīng)發(fā)布了R1版 本相關(guān)規(guī)范,從固定的角度向3GPP提出對IMS的修改建議;R2版本還處于需求分析階段。
TISPAN在許多文檔中都直接應(yīng)用了3GPP的相關(guān)文檔內(nèi)容,而3GPPR7版本中的很多內(nèi)容又都是在吸收了TISPAN的研究成果的基礎(chǔ)上形成的,所以一方對文檔內(nèi)容的修改都將直接影響另一方。此外,部分先進(jìn)的運營商(如德國電信、英國電信和法國電信)已經(jīng)明確了未來網(wǎng)絡(luò)和業(yè)務(wù)融合的戰(zhàn)略目標(biāo),并開始特別關(guān)注基于IMS的網(wǎng)絡(luò)融合研究。各大設(shè)備廠商也加大了對IMS在固網(wǎng)領(lǐng)域應(yīng)用的研究,正積極參與并大力推進(jìn)基于IMS的NGN的標(biāo)準(zhǔn)化工作。因此各個標(biāo)準(zhǔn)之間的協(xié)調(diào)一致的問題還需要進(jìn)一步探討。
應(yīng)用
IP媒體業(yè)務(wù)類型
IMS是一個在分組域(PS)上的多媒體控制/呼叫控制平臺,IMS使得PS具有電路域(CS)的部分功能,支持會 話類和非會話類的多媒體業(yè)務(wù)。IMS為未來的多媒體應(yīng)用提供了一個通用的業(yè)務(wù)平臺,典型的業(yè)務(wù)如呈現(xiàn)、消息、會議、一鍵通等等。將不同的業(yè)務(wù)進(jìn)行分組可以 得到以下一些類型。
(1)信息類業(yè)務(wù),這類業(yè)務(wù)對用戶來講已經(jīng)非常熟悉,而且為運營商帶來了良好的收益,IMS的信息類業(yè)務(wù)將帶給用戶 更多的選擇,在享用這些信息類業(yè)務(wù)的同時,用戶可以隨心所欲而且費用低廉的使用其他媒介,比如視頻和聲音等,同時可以靈活的選用實時業(yè)務(wù)或非實時業(yè)務(wù)進(jìn)行 溝通。
(2)多媒體呼叫話音業(yè)務(wù),這類業(yè)務(wù)可以給用戶在原有的話音業(yè)務(wù)操作和應(yīng)用上帶來全新的體驗。
(3)增強型呼叫管理,可以實現(xiàn)讓用戶自己來控制業(yè)務(wù),讓用戶的溝通更加靈活。
(4)群組業(yè)務(wù),將不同的通信媒介聚合起來,為用戶提供新的業(yè)務(wù)體驗,而且IMS還可以對業(yè)務(wù)進(jìn)行新的開發(fā)和組合;突破傳統(tǒng)的一對一的通信方式限制,可以提供基于群組的通信方式。
(5)信息共享,常見的郵件攜帶附件的溝通模式可以完成部分的信息共享功能,但是在許多情況下顯得不夠靈活,所以實時在線的信息共享通信應(yīng)運而生,多個用戶可以實時處理同一個數(shù)據(jù)文件。
(6)在線娛樂,移動終端可以直接和信息資源互聯(lián),IMS方式可以更好地呈現(xiàn)信息的更新和溝通,并可以隨著用戶需求 的增長對信息進(jìn)行必要的過濾;對于用戶的在線游戲,IMS可以為用戶提供從單機游戲到多用戶在線參與的在線娛樂方式,同時用戶還可以采用多種多媒體來溝通 交流。
IMS的主要應(yīng)用
隨著IMS技術(shù)和產(chǎn)品的逐漸成熟,已經(jīng)有一些運營商開始了IMS的商用,還有一些運營商在進(jìn)行相關(guān)的測試。從的商用和測試情況看,移動運營商已經(jīng)開始商用,而固網(wǎng)運營商還主要處于試驗階段。綜合考慮,IMS的應(yīng)用主要集中在以下幾個方面。
首先是在移動網(wǎng)絡(luò)的應(yīng)用,這類應(yīng)用是移動運營商為了豐富移動網(wǎng)絡(luò)的業(yè)務(wù)而開展的,主要是在移動網(wǎng)絡(luò)的基礎(chǔ)上用IMS來提供PoC、即時消息、視頻共享等多媒體增值業(yè)務(wù)。應(yīng)用重點集中在給企業(yè)客戶提供IPCENTREX和公眾客戶的VoIP第二線業(yè)務(wù)。
其次是固定運營商出于網(wǎng)絡(luò)演進(jìn)和業(yè)務(wù)的需要,通過IMS為企業(yè)用戶提供融合的企業(yè)的應(yīng)用(IPCENTREX業(yè)務(wù)),以及向固定寬帶用戶(例如ADSL用戶)提供VoIP應(yīng)用。
第三種典型的應(yīng)用是融合的應(yīng)用,主要體現(xiàn)在WLAN和3G的融合,以實現(xiàn)語音業(yè)務(wù)的連續(xù)性。在這種方式下,用戶擁有一個WLAN/WCDMA的雙模終端,在WLAN的覆蓋區(qū)內(nèi),一般優(yōu)先使用WLAN接入,因為這種方式用戶使用業(yè)務(wù)的資費更低,數(shù)據(jù)業(yè)務(wù)的帶寬更充足。當(dāng)離開WLAN的覆蓋區(qū)后,終端自動切換到WCDMA網(wǎng)絡(luò),從而實現(xiàn)語音在WLAN和WCDMA之間的連續(xù)性。這種方案的商用較少,但是許多運營商都在進(jìn)行測試。
在IMS中全部采用SIP協(xié)議,雖然SIP也可以實現(xiàn)最基本的VoIP,但是這種協(xié)議在多媒體應(yīng)用中所展現(xiàn)出來的優(yōu)勢表明,它天生就是為多媒體業(yè)務(wù)而生的。由于SIP協(xié)議非常靈活,所以IMS還存在許多潛在的業(yè)務(wù)。
基于IMS的網(wǎng)絡(luò)融合問題
隨著通信網(wǎng)絡(luò)的發(fā)展與演進(jìn),融合是不可避免的主題,固定和移動的融合(FMC)更是迫切要解決的問題。ETSI給FMC下的定義是:“固定移動融合是一種能提供與接入技術(shù)無關(guān)的網(wǎng)絡(luò)能力。 IMS
但這并不意味著一定是物理上的網(wǎng)絡(luò)融合,而只關(guān)心一個融合的網(wǎng)絡(luò)體系結(jié)構(gòu)和 相應(yīng)的標(biāo)準(zhǔn)規(guī)范。這些標(biāo)準(zhǔn)可以用來支持固定業(yè)務(wù)、移動業(yè)務(wù)以及固定移動混合的業(yè)務(wù)。固定移動融合的一個重要特征是,用戶的業(yè)務(wù)簽約和享用的業(yè)務(wù),將從不同 的接入點和終端上分離開來,以允許用戶從任何固定或移動的終端上,通過任何兼容的接入點訪問完全相同的業(yè)務(wù),包括在漫游時也能獲得相同的業(yè)務(wù)!盓TSI 在給FMC下定義的同時也對固定移動網(wǎng)絡(luò)的融合提出了相應(yīng)的要求。
IMS進(jìn)一步發(fā)揚了軟交換結(jié)構(gòu)中業(yè)務(wù)與控制分離、控制與承載分離的思想,比軟交換進(jìn)行了更充分的網(wǎng)絡(luò)解聚,網(wǎng)絡(luò)結(jié)構(gòu)更加清晰合理。網(wǎng)絡(luò)各個層次的不斷解聚是電信網(wǎng)絡(luò)發(fā)展的總體趨勢。網(wǎng)絡(luò)的解聚使得垂直業(yè)務(wù)模式被打破,有利于業(yè)務(wù)的發(fā)展;另外,不同類型網(wǎng)絡(luò)的解聚也為網(wǎng)絡(luò)在不同層次上的重新聚合創(chuàng)造了條件。這種重新聚合,就是網(wǎng)絡(luò)融合的過程。利用IMS實現(xiàn)對固定接入和移動接入的統(tǒng)一核心控制,主要是IMS具有以下特點。
(1)與接入無關(guān)性。雖然3GPPIMS是為移動網(wǎng)絡(luò)設(shè)計的,TISPANNGN是為固定xDSL寬帶接入設(shè)計的,但它們采用的IMS網(wǎng)絡(luò)技術(shù)卻可以做到與接入無關(guān),因而能確保對FMC的支持。從理論上可以實現(xiàn)不論用戶使用什么設(shè)備、在何地接入IMS網(wǎng)絡(luò),都可以使用歸屬地的業(yè)務(wù)。
(2)統(tǒng)一的業(yè)務(wù)觸發(fā)機制。IMS核心控制部分不實現(xiàn)具體業(yè)務(wù),所有的業(yè)務(wù)包括傳統(tǒng)概念上的補充業(yè)務(wù)都由業(yè)務(wù)應(yīng)用平 臺來實現(xiàn),IMS核心控制只根據(jù)初始過濾規(guī)則進(jìn)行業(yè)務(wù)觸發(fā),這樣消除了核心控制相關(guān)功能實體和業(yè)務(wù)之間的綁定關(guān)系,無論固定接入還是移動接入都可以使用 IMS中定義的業(yè)務(wù)觸發(fā)機制實現(xiàn)統(tǒng)一觸發(fā)。
(3)統(tǒng)一的路由機制。IMS中僅保留了傳統(tǒng)移動網(wǎng)中HLR的概念,而摒棄了VLR的概念,和用戶相關(guān)的數(shù)據(jù)信息只保存在用戶的歸屬地,這樣不僅用戶的認(rèn)證需要到歸屬地認(rèn)證,所有和用戶相關(guān)的業(yè)務(wù)也必須經(jīng)過用戶的歸屬地。
(4)統(tǒng)一用戶數(shù)據(jù)庫。HSS(歸屬業(yè)務(wù)服務(wù)器)是一個統(tǒng)一的用戶數(shù)據(jù)庫系統(tǒng),既可以存儲移動IMS用戶的數(shù)據(jù),也可以存儲固定IMS用戶的數(shù)據(jù),數(shù)據(jù)庫本身不再區(qū)分固定用戶和移動用戶。特別是業(yè)務(wù)觸發(fā)機制中使用的初始過濾規(guī)則,對IMS中所定義的數(shù)據(jù)庫來講完全是透明數(shù)據(jù)的概念,屏蔽了固定和移動用戶在業(yè)務(wù)屬性上的差異。
(5)充分考慮了運營商實際運營的需求,在網(wǎng)絡(luò)框架、QoS、安全、計費以及和其他網(wǎng)絡(luò)的互通方面都制定了相關(guān)規(guī)范。
(6)業(yè)務(wù)與承載分離,IMS定義了標(biāo)準(zhǔn)的基于SIP的ISC(IP multimedia Service Control)接口,實現(xiàn)了業(yè)務(wù)層與控制層的完全分離。IMS通過基于SIP的ISC接口,支持三種業(yè)務(wù)提供方式:獨立的SIP應(yīng)用服務(wù)器方式、OSA SCS方式和IM-SSF方式(接入傳統(tǒng)智能網(wǎng),體現(xiàn)業(yè)務(wù)繼承性)。 IMS的核心控制網(wǎng)元CSCF不再需要處理業(yè)務(wù)邏輯,而是通過基于規(guī)則的業(yè)務(wù)觸發(fā)機制,根據(jù)用戶的簽約數(shù)據(jù)的初始過濾規(guī)則(iFC),由CSCF分析并觸 發(fā)到規(guī)則指定的應(yīng)用服務(wù)器,由應(yīng)用服務(wù)器完成業(yè)務(wù)邏輯處理。
(7)基于SIP的會話機制。IMS的核心功能實體是呼叫會話控制功能(CSCF)單元,并向上層的服務(wù)平臺提供標(biāo) 準(zhǔn)的接口,使業(yè)務(wù)獨立于呼叫控制 。IMS采用基于IETF定義的會話初始協(xié)議(SIP)的會話控制能力,并進(jìn)行了移動特性方面的擴展 ,實現(xiàn)接入的獨立性及Internet互操作的平滑性。 IMS網(wǎng)絡(luò)的終端與網(wǎng)絡(luò)都支持SIP,SIP成為IMS域唯一的會話控制協(xié)議,這一特點實現(xiàn)了端到端的SIP信令互通 ,網(wǎng)絡(luò)中不再需要支持多種不同的呼叫信令 ,使網(wǎng)絡(luò)的業(yè)務(wù)提供和發(fā)布具有更大的靈活性。
IMS所具有這些特征可以同時為移動用戶和固定用戶所共用,這就為同時支持固定和移動接入提供了技術(shù)基礎(chǔ),使得網(wǎng)絡(luò)融合成為可能。
1、IMS存在的安全問題分析
傳統(tǒng)的電信網(wǎng)絡(luò)采用獨立的信令網(wǎng)來完成呼叫的建立、路由和控制等過程,信令網(wǎng)的安全能夠保證網(wǎng)絡(luò)的安全。而且傳輸采用時分復(fù)用(TDM)的專線,用戶之間采用面向連接的通道進(jìn)行通信,避免了來自其他終端用戶的各種竊聽和攻擊。
而IMS網(wǎng)絡(luò)與互聯(lián)網(wǎng)相連接,基于IP協(xié)議和開放的網(wǎng)絡(luò)架構(gòu)可以將語音、數(shù)據(jù)、多媒體等多種不同業(yè)務(wù),通過采用多種 不同的接入方式來共享業(yè)務(wù)平臺,增加了網(wǎng)絡(luò)的靈活性和終端之間的互通性,不同的運營商可以有效快速地開展和提供各種業(yè)務(wù)。由于IMS是建立在IP基礎(chǔ)上, 使得IMS的安全性要求比傳統(tǒng)運營商在獨立網(wǎng)絡(luò)上運營要高的多,不管是由移動接入還是固定接入,IMS的安全問題都不容忽視。
IMS的安全威脅主要來自于幾個方面:未經(jīng)授權(quán)地訪問敏感數(shù)據(jù)以破壞機密性;未經(jīng)授權(quán)地篡改敏感數(shù)據(jù)以破壞完整性; 干擾或濫用網(wǎng)絡(luò)業(yè)務(wù)導(dǎo)致拒絕服務(wù)或降低系統(tǒng)可用性;用戶或網(wǎng)絡(luò)否認(rèn)已完成的操作;未經(jīng)授權(quán)地接入業(yè)務(wù)等。主要涉及到IMS的接入安全(3GPP TS33.203),包括用戶和網(wǎng)絡(luò)認(rèn)證及保護(hù)IMS終端和網(wǎng)絡(luò)間的業(yè)務(wù);以及IMS的網(wǎng)絡(luò)安全(3GPP TS33.210),處理屬于同一運營商或不同運營商網(wǎng)絡(luò)節(jié)點之間的業(yè)務(wù)保護(hù)。除此之外,還對用戶終端設(shè)備和通用集成電路卡/IP多媒體業(yè)務(wù)身份識別模塊(UICC/ISIM)安全構(gòu)成威脅。
2、IMS安全體系
IMS系統(tǒng)安全的主要應(yīng)對措施是IP安全協(xié)議(IPSec), 通過IPSec提供了接入安全保護(hù),使用IPSec來完成網(wǎng)絡(luò)域內(nèi)部的實體和網(wǎng)絡(luò)域之間的安全保護(hù)。3GPP IMS實質(zhì)上是疊加在原有核心網(wǎng)分組域上的網(wǎng)絡(luò),對PS域沒有太大的依賴性,在PS域中,業(yè)務(wù)的提供需要移動設(shè)備和移動網(wǎng)絡(luò)之間建立一個安全聯(lián)盟(SA) 后才能完成。對于IMS系統(tǒng),多媒體用戶也需要與IMS網(wǎng)絡(luò)之間先建立一個獨立的SA之后才能接入多媒體業(yè)務(wù)。
3GPP終端的核心是通用集成電路卡(UICC),它包含多個邏輯應(yīng)用,主要有用戶識別模塊(SIM)、UMTS用戶業(yè)務(wù)識別模塊(USIM)和ISIM。ISIM中包含了IMS系統(tǒng)用戶終端在系統(tǒng)中進(jìn)行操作的一系列參數(shù)(如身份識別、用戶授權(quán)和終端設(shè)置數(shù)據(jù)等),而且存儲了共享密鑰和相應(yīng)的AKA(Authentication and Key Agreement)算法。其中,保存在UICC上的用戶側(cè)的IMS認(rèn)證密鑰和認(rèn)證功能可以獨立于PS域的認(rèn)證密鑰和認(rèn)證功能,也可和PS使用相同的認(rèn)證密鑰和認(rèn)證功能。IMS的安全體系如圖1所示。
圖1中顯示了5個不同的安全聯(lián)盟用以滿足IMS系統(tǒng)中不同的需求,分別用①、②、③、④、⑤來加以標(biāo)識。①提供終端用戶和IMS網(wǎng)絡(luò)之間的相互認(rèn)證。
②在UE和P-CSCF之間提供一個安全鏈接(Link)和一個安全聯(lián)盟(SA),用以保護(hù)Gm接口,同時提供數(shù)據(jù)源認(rèn)證。
③在網(wǎng)絡(luò)域內(nèi)為Cx接口提供安全。
④為不同網(wǎng)絡(luò)之間的SIP節(jié)點提供安全,并且這個安全聯(lián)盟只適用于代理呼叫會話控制功能(P-CSCF)位于拜訪網(wǎng)絡(luò)(VN)時。
⑤為同一網(wǎng)絡(luò)內(nèi)部的SIP節(jié)點提供安全,并且這個安全聯(lián)盟同樣適用于P-CSCF位于歸屬網(wǎng)絡(luò)(HN)時。
除上述接口之外,IMS中還存在其他的接口,在上圖中未完整標(biāo)識出來,這些接口位于安全域內(nèi)或是位于不同的安全域之間。這些接口(除了Gm接口之外)的保護(hù)都受IMS網(wǎng)絡(luò)安全保護(hù)。
SIP信令的保密性和完整性是以逐跳的方式提供的,它包括一個復(fù)雜的安全體系,要求每個代理對消息進(jìn)行解密。SIP使用兩種安全協(xié)議:傳輸層安全協(xié)議(TLS)和IPSec,TLS可以實現(xiàn)認(rèn)證、完整性和機密性,用TLS來保證安全的請求必須使用可靠的傳輸層協(xié)議,如傳輸控制協(xié)議(TCP)或流控制傳輸協(xié)議(SCTP);IPSec通過在IP層對SIP消息提供安全來實現(xiàn)認(rèn)證、完整性和機密性,它同時支持TCP和用戶數(shù)據(jù)報協(xié)議(UDP)。在IMS核心網(wǎng)中,可通過NDS/IP來完成對網(wǎng)絡(luò)中SIP信令的保護(hù);而第一跳,即UE和P-CSCF間的信令保護(hù)則需要附加的測量,在3GPP TS 33.203中有具體描述。
3、IMS的接入安全
IMS用戶終端(UE)接入到IMS核心網(wǎng)需經(jīng)一系列認(rèn)證和密鑰協(xié)商過 程,具體而言,UE用戶簽約信息存儲在歸屬網(wǎng)絡(luò)的HSS中,且對外部實體保密。當(dāng)用戶發(fā)起注冊請求時,查詢呼叫會話控制功能(I-CSCF)將為請求用戶 分配一個服務(wù)呼叫會話控制功能(S-CSCF),用戶的簽約信息將通過Cx接口從HSS下載到S-CSCF中。當(dāng)用戶發(fā)起接入IMS請求時,該S- CSCF將通過對請求內(nèi)容與用戶簽約信息進(jìn)行比較,以決定用戶是否被允許繼續(xù)請求。
在IMS接入安全中,IPSec封裝安全凈荷(ESP)將在IP層為UE和P-CSCF間所有SIP信令提供機密性 保護(hù),對于呼叫會話控制功能(CSCF)之間和CSCF和HSS之間的加密可以通過安全網(wǎng)關(guān)(SEG)來實現(xiàn)。同時,IMS還采用IPSec ESP為UE和P-CSCF間所有SIP信令提供完整性保護(hù),保護(hù)IP層的所有SIP信令,以傳輸模式提供完整性保護(hù)機制。
在完成注冊鑒權(quán)之后,UE和P-CSCF之間同時建立兩對單向的SA,這些SA由TCP和UDP共享。其中一對用于UE端口為客戶端、 P-CSCF端口作為服務(wù)器端的業(yè)務(wù)流,另一對用于UE端口為服務(wù)器、P-CSCF端口作為客戶端的業(yè)務(wù)流。用兩對SA可以允許終端和P-CSCF使用 UDP在另一個端口上接收某個請求的響應(yīng),而不是使用發(fā)送請求的那個端口。同時,終端和P-CSCF之間使用TCP連接,在收到請求的同一個TCP連接上 發(fā)送響應(yīng);而且通過建立SA實現(xiàn)在IMS AKA提供的共享密鑰以及指明在保護(hù)方法的一系列參數(shù)上達(dá)成一致。SA的管理涉及到兩個數(shù)據(jù)庫,即內(nèi)部和外部數(shù)據(jù)庫(SPD和SAD)。SPD包含所有入 站和出站業(yè)務(wù)流在主機或安全網(wǎng)關(guān)上進(jìn)行分類的策略。SAD是所有激活SA與相關(guān)參數(shù)的容器。SPD使用一系列選擇器將業(yè)務(wù)流映射到特定的SA,這些選擇器 包括IP層和上層(如TCP和UDP)協(xié)議的字段值。
與此同時,為了保護(hù)SIP代理的身份和網(wǎng)絡(luò)運營商的網(wǎng)絡(luò)運作內(nèi)部細(xì)節(jié),可通過選擇網(wǎng)絡(luò)隱藏機制來隱藏其網(wǎng)絡(luò)內(nèi)部拓?fù),歸屬網(wǎng)絡(luò)中的所有I-CSCF將共享一個加密和解密密鑰。
在通用移動通信系統(tǒng)(UMTS)中相互認(rèn)證機制稱為UMTS AKA,在AKA過程中采用雙向鑒權(quán)以防止未經(jīng)授權(quán)的“非法”用戶接入網(wǎng)絡(luò),以及未經(jīng)授權(quán)的“非法”網(wǎng)絡(luò)為用戶提供服務(wù)。AKA協(xié)議是一種挑戰(zhàn)響應(yīng)協(xié)議,包含用戶鑒權(quán)五元參數(shù)組的挑戰(zhàn)由AUC在歸屬層發(fā)起而發(fā)送到服務(wù)網(wǎng)絡(luò)。
UMTS系統(tǒng)中AKA協(xié)議,其相同的概念和原理被IMS系統(tǒng)重用,我們稱之為IMS AKA。AKA實現(xiàn)了ISIM和AUC之間的相互認(rèn)證,并建設(shè)了一對加密和完整性密鑰。用來認(rèn)證用戶的身份是私有的身份(IMPI),HSS和ISIM共 享一個與IMPI相關(guān)聯(lián)的長期密鑰。當(dāng)網(wǎng)絡(luò)發(fā)起一個包含RAND和AUTN的認(rèn)證請求時,ISIM對AUTN進(jìn)行驗證,從而對網(wǎng)絡(luò)本身的真實性進(jìn)行驗證。 每個終端也為每一輪認(rèn)證過程維護(hù)一個序列號,如果ISIM檢測到超出了序列號碼范圍之外的認(rèn)證請求,那么它就放棄該認(rèn)證并向網(wǎng)絡(luò)返回一個同步失敗消息,其 中包含了正確的序列號碼。
為了響應(yīng)網(wǎng)絡(luò)的認(rèn)證請求,ISIM將密鑰應(yīng)用于隨機挑戰(zhàn)(RAND),從而產(chǎn)生一個認(rèn)證響應(yīng)(RES)。網(wǎng)絡(luò)對 RES進(jìn)行驗證以認(rèn)證ISIM。此時,UE和網(wǎng)絡(luò)已經(jīng)成功地完成了相互認(rèn)證,并且生成了一對會話密鑰:加密密鑰(CK)和完整性密鑰(IK)用以兩個實體 之間通信的安全保護(hù)。
4、IMS的網(wǎng)絡(luò)安全
在第二代移動通信系統(tǒng)中,由于在核心網(wǎng)中缺乏標(biāo)準(zhǔn)的安全解決方案,使得安全問題尤為突出。雖然在無線接入過程中,移動用戶終端和基站之間通?捎杉用軄肀Wo(hù),但是在核心網(wǎng)時,系統(tǒng)的節(jié)點之間卻是以明文來傳送業(yè)務(wù)流,這就讓攻擊者有機可乘,接入到這些媒體的攻擊者可以輕而易舉對整個通信過程進(jìn)行竊聽。
針對2G系統(tǒng)中的安全缺陷,第三代移動通信系統(tǒng)中采用NDS對核心網(wǎng)中的所有IP數(shù)據(jù)業(yè)務(wù)流進(jìn)行保護(hù)?梢詾橥ㄐ欧⻊(wù)提供保密性、數(shù)據(jù)完整性、認(rèn)證和防止重放攻擊,同時通過應(yīng)用在IPSec中的密碼安全機制和協(xié)議安全機制來解決安全問題。
在NDS中有幾個重要的概念,它們分別是安全域(Security Domains)、安全網(wǎng)關(guān)(SEG)。
4.1 安全域
NDS中最核心的概念是安全域,安全域是一個由單獨的管理機構(gòu)管理運營的網(wǎng)絡(luò)。在同一安全域內(nèi)采用統(tǒng)一的安全策略來 管理,因此同一安全域內(nèi)部的安全等級和安全服務(wù)通常是相同的。大多情況下,一個安全域直接對應(yīng)著一個運營商的核心網(wǎng),不過,一個運營商也可以運營多個安全 域,每個安全域都是該運營商整個核心網(wǎng)絡(luò)中的一個子集。在NDS/IP中,不同的安全域之間的接口定義為Za接口,同一個安全域內(nèi)部的不同實體之間的安全 接口則定義為Zb接口。其中Za接口為必選接口,Zb接口為可選接口。兩種接口主要完成的功能是提供數(shù)據(jù)的認(rèn)證和完整性、機密性保護(hù)。
4.2 安全網(wǎng)關(guān)
SEG位于IP安全域的邊界處,是保護(hù)安全域之間的邊界。業(yè)務(wù)流通過一個SEG進(jìn)入和離開安全域,SEG被用來處理 通過Za接口的通信,將業(yè)務(wù)流通過隧道傳送到已定義好的一組其他安全域。這稱為輪軸-輻條(hub-and-spoke)模型,它為不同安全域之間提供逐 跳的安全保護(hù)。SEG負(fù)責(zé)在不同安全域之間傳送業(yè)務(wù)流時實施安全策略,也可以包括分組過濾或者防火墻等的功能。IMS核心網(wǎng)中的所有業(yè)務(wù)流都是通過SEG進(jìn)行傳送,每個安全域可以有一個或多個SEG,網(wǎng)絡(luò)運營商可以設(shè)置多個SEG以避免某獨立點出現(xiàn)故障或失敗。當(dāng)所保護(hù)的IMS業(yè)務(wù)流跨越不同安全域時,NDS/IP必須提供相應(yīng)的機密性、數(shù)據(jù)完整性和認(rèn)證。
4.3 基于IP的網(wǎng)絡(luò)域安全體系[2]
NDS/IP體系結(jié)構(gòu)最基本的思想就是提供上從一跳到下一跳的安全,逐跳的安全也簡化了內(nèi)部和面向其他外部安全域分離的安全策略的操作。
在NDS/IP中只有SEG負(fù)責(zé)與其他安全域中的實體間進(jìn)行直接通信。兩個SEG之間的業(yè)務(wù)被采用隧道模式下的 IPSec ESP安全聯(lián)盟進(jìn)行保護(hù),安全網(wǎng)關(guān)之間的網(wǎng)絡(luò)連接通過使用IKE來建立和維護(hù)[3]。網(wǎng)絡(luò)實體(NE)能夠面向某個安全網(wǎng)關(guān)或相同安全域的其他安全實體, 建立維護(hù)所需的ESP安全聯(lián)盟。所有來自不同安全域的網(wǎng)絡(luò)實體的NDS/IP業(yè)務(wù)通過安全網(wǎng)關(guān)被路由,它將面向最終目標(biāo)被提供逐跳的安全保護(hù)[5]。其網(wǎng) 絡(luò)域安全體系結(jié)構(gòu)如圖2所示。
4.4 密鑰管理和 分配機制[5]每個SEG負(fù)責(zé)建立和維護(hù)與其對等SEG之間的IPSec SA。這些SA使用因特網(wǎng)密鑰交換(IKE)協(xié)議進(jìn)行協(xié)商,其中的認(rèn)證使用保存在SEG中的長期有效的密鑰來完成。每個對等連接的兩個SA都是由SEG維 護(hù)的:一個SA用于入向的業(yè)務(wù)流,另一個用于出向的業(yè)務(wù)流。另外,SEG還維護(hù)了一個單獨的因特網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議(ISAKMP)SA,這個SA 與密鑰管理有關(guān),用于構(gòu)建實際的對等主機之間的IPSec SA。對于ISAKMP SA而言,一個關(guān)鍵的前提就是這兩個對等實體必須都已經(jīng)通過認(rèn)證。在NDS/IP中,認(rèn)證是基于預(yù)先共享的密鑰。
NDS/IP中用于加密、數(shù)據(jù)完整性保護(hù)和認(rèn)證的安全協(xié)議是隧道模式的IPSec ESP。在隧道模式的ESP中,包括IP頭的完整的IP數(shù)據(jù)包被封裝到ESP分組中。對于三重DES加密(3DES)算法是強制使用的,而對于數(shù)據(jù)完整性 和認(rèn)證,MD5和SHA-1都可以使用。
4.5 IPSec安全體系中的幾個重要組成和概念[5]
1)IPSec:IPSec在IP層(包括IPv4和IPv6)提供了多種安全服務(wù),從而為上層協(xié)議提供保護(hù)。IPSec一般用來保護(hù)主機和安全網(wǎng)關(guān)之間的通信安全,提供相應(yīng)的安全服務(wù)。
2)ISAKMP:ISAKMP用來對SA和相關(guān)參數(shù)進(jìn)行協(xié)商、建立、修改和刪除。它定義了SA對等認(rèn)證的創(chuàng)建和管理過程以及包格式,還有用于密鑰產(chǎn)生的技術(shù),它還包括緩解某些威脅的機制。
3)IKE:IKE是一種密鑰交換協(xié)議,和ISAKMP一起,為SA協(xié)商認(rèn)證密鑰材料。IKE可以使用兩種模式來建立第一階段ISAKMP SA,即主模式和侵略性模式。兩種模式均使用短暫的Diffie-Hellman密鑰交換算法來生成ISAKMP SA的密鑰材料。
4)ESP:ESP用來在IPv4和IPv6中提供安全服務(wù)。它可以單獨使用或與AH一起使用,可提供機密性(如加 密)或完整性(如認(rèn)證)或同時提供兩種功能。ESP可以工作在傳送模式或隧道模式。在傳送模式中,ESP頭插入到IP數(shù)據(jù)報中IP頭后面、所有上層協(xié)議頭 前面的位置;而在隧道模式中,它位于所封裝的IP數(shù)據(jù)報之前。
標(biāo)準(zhǔn)化組織對IMS的安全體系和機制做了相應(yīng)規(guī)定,其中UE和P-CSCF之間的安全由接入網(wǎng)絡(luò)安全機制提 供,IMS網(wǎng)絡(luò)之上的安全由IP網(wǎng)絡(luò)的安全機制保證,UE與IMS的承載層分組網(wǎng)絡(luò)安全仍由原來的承載層安全機制支持。所有IP網(wǎng)絡(luò)端到端安全基于 IPSec,密鑰管理基于IKE協(xié)議。對于移動終端接入IMS之前已經(jīng)進(jìn)行了相應(yīng)的鑒權(quán),所以安全性更高一些。但是對于固定終端來說,由于固定接入不存在 類似移動網(wǎng)絡(luò)空中接口的鑒權(quán),P-CSCF將直接暴露給所有固定終端,這使P-CSCF更易受到攻擊。為此,在IMS的接入安全方面有待于進(jìn)一步的研究, 需要不斷完善IMS的安全機制。
目錄
編輯本段定義
IMS即(INTELLIGENT MOTION SYSTENM)微步進(jìn)電機,是一款技術(shù)領(lǐng)先的帶有集成電子裝置的一體化無刷步進(jìn)電機,采用了先進(jìn)的第二代電流控制技術(shù),實現(xiàn)無與倫比的平穩(wěn)性和性能。[1]通過最新的電流控制技術(shù),使得電機在整個速度范圍內(nèi),共振現(xiàn)象明顯減小,運行噪音亦有所降低,更大的工作溫度范圍使其可在苛刻的環(huán)境中長期無故障的工作。[2-3]編輯本段庫存管理系統(tǒng)
IMS(Inventory Management System)庫存管理系統(tǒng)。庫存管理系統(tǒng)是生產(chǎn)、計劃和控制的基礎(chǔ)。本系統(tǒng)通過對倉庫、貨位等帳務(wù)管理及入/出庫類型、入/出庫單據(jù)的管理,及時反映各種物資的倉儲、流向情況,為生產(chǎn)管理和成本核算提供依據(jù)。通過庫存分析,為管理及決策人員提供庫存資金占用情況、物資積壓情況、短缺/超儲情況、ABC分類情況等不同的統(tǒng)計分析信息.通過對批號的跟蹤,實現(xiàn)專批專管,保證質(zhì)量跟蹤的貫通。編輯本段子系統(tǒng)
IMS即IP是由朗訊(Lucent)提出的下一代通信網(wǎng)(NGN)實現(xiàn) IMS大融合方案的網(wǎng)絡(luò)架構(gòu), 貝爾實驗室在IMS關(guān)鍵領(lǐng)域的創(chuàng)新——業(yè)務(wù)增強層的各種專利技術(shù),決定了朗訊IMS融合解決方案的先進(jìn)性。IMS解決方案相對于軟交換的解決方案有著非常多的優(yōu)勢,在NGN市場正占據(jù)越來越重要的角色。截至2003年,國際權(quán)威標(biāo)準(zhǔn)組織普遍將IMS作為NGN網(wǎng)絡(luò)融合以及業(yè)務(wù)和技術(shù)創(chuàng)新的核心標(biāo)準(zhǔn)。對于大規(guī)模商用部署而言,IMS從技術(shù)本身已足夠成熟。IMS不僅可以實現(xiàn)最初的VoIP業(yè)務(wù),更重要的是IMS將更有效地對網(wǎng)絡(luò)資源、用戶資源及應(yīng)用資源進(jìn)行管理,提高網(wǎng)絡(luò)的智能,使用戶可以跨越各種網(wǎng)絡(luò)并使用多種終端,感受融合的通信體驗。IMS作為一個通信架構(gòu),開創(chuàng)了全新的電信商業(yè)模式,拓展了整個信息產(chǎn)業(yè)的發(fā)展空間。在北美五大電信運營商中,迄今已有四家部署了朗訊的IMS技術(shù),對于無線和有線融合有著極為重要的象征性意義,標(biāo)志著IMS在全球的部署進(jìn)入到一個新的階段。當(dāng)然此項技術(shù)系統(tǒng)生長依然將注意力放在基礎(chǔ)運營服務(wù)上,實現(xiàn)全球的網(wǎng)絡(luò)統(tǒng)一還有很多需要改變的地方。
基本信息
中文譯名:IP多媒體子系統(tǒng)IMS,即IPMultimedia Subsystem,中文意義為IP多媒體子系統(tǒng),本質(zhì)上說是一種網(wǎng)絡(luò)結(jié)構(gòu)。該項技術(shù)植根于移動領(lǐng)域,最初是3GPP為移動網(wǎng)絡(luò)定義的,而在NGN的框架下,IMS應(yīng)同時支持固定接入和移動接入。涵蓋IMS增強特性的3GPPR6已經(jīng)基本凍結(jié),這標(biāo)志著IMS技術(shù)已經(jīng)走向成熟。
在NGN的框架中,終端和接入網(wǎng)絡(luò)是各種各樣的,而其核心網(wǎng)絡(luò)只有一個IMS,它的核心特點是采用SIP協(xié)議和與接入的無關(guān)性。
順應(yīng)網(wǎng)絡(luò)IP化的趨勢,IMS系統(tǒng)采用SIP協(xié)議進(jìn)行端到端的呼叫控制。IP技術(shù)在互 IMS
聯(lián)網(wǎng)上的應(yīng)用已經(jīng)非常成熟,是Internet的主導(dǎo)技術(shù),它能方便而靈活地提供各種信息服務(wù),并能根據(jù)客戶的需要快捷地創(chuàng)建新的服務(wù)。但是IP技術(shù)的一個最突出特性就是“盡力而為”,在數(shù)據(jù)傳輸的安全性和計費控制方面,卻顯得力不從心,而且只考慮固定接入方式。傳統(tǒng)的基于電路交換的移動網(wǎng)絡(luò),雖然具有接入的靈活性,可以隨時隨地進(jìn)行語音的交換,但由于無法支持IP技術(shù),所以只能形成一種垂直的業(yè)務(wù)展開方式,不同業(yè)務(wù)應(yīng)用的互操作性較低,而且需要較多的業(yè)務(wù)網(wǎng)關(guān)接入移動通信網(wǎng)絡(luò)。不同的業(yè)務(wù)分別進(jìn)行業(yè)務(wù)接入、網(wǎng)絡(luò)搭建、業(yè)務(wù)控制和業(yè)務(wù)應(yīng)用開發(fā),甚至包括業(yè)務(wù)計費等主要的網(wǎng)絡(luò)單元也必須建立獨立的運營系統(tǒng)。所以,直到現(xiàn)在電信業(yè)務(wù)的主流仍然是話音業(yè)務(wù)。新業(yè)務(wù)的部署,在的狀態(tài)下很容易招致更大的風(fēng)險和成本增加。在這種情況下,不論是移動網(wǎng)還是固定網(wǎng)均在向基于IP的網(wǎng)絡(luò)演進(jìn),已經(jīng)成為必然趨勢。
然而要將IP技術(shù)引入到電信級領(lǐng)域,就必須考慮到運營商實際網(wǎng)絡(luò)運營的需求,需要IMS網(wǎng)絡(luò)從網(wǎng)元功能、接口協(xié)議、QoS和安全、計費等方面全面支持固定的接入方式。從的研究看,SIP是具有簡單性、兼容性、模塊化設(shè)計和第三方控制性從而成為基于Internet通信市場的主流協(xié)議。所以基于SIP的IMS框架通過最大限度重用Internet技術(shù)和協(xié)議、繼承蜂窩移動通信系統(tǒng)特有的網(wǎng)絡(luò)技術(shù)和充分借鑒軟交換網(wǎng)絡(luò)技術(shù),使其能夠提供電信級的QoS保證、對業(yè)務(wù)進(jìn)行有效而靈活的計費,并具有了融合各類網(wǎng)絡(luò)綜合業(yè)務(wù)的強大能力。這樣,利用IMS系統(tǒng),電信運營商可以低成本地進(jìn)入其向往已久的移動領(lǐng)域,而移動運營商則可以在保證其原有的語音和短信業(yè)務(wù)質(zhì)量不受影響的前提下,輕松引入全新的豐富的多媒體業(yè)務(wù),即所謂的全業(yè)務(wù)運營。
至于接入的無關(guān)性,是指IMS借鑒軟交換網(wǎng)絡(luò)技術(shù),采用基于網(wǎng)關(guān)的互通方案,包括信令網(wǎng)關(guān)(SGW)、媒體網(wǎng)關(guān)(MGW)、媒體網(wǎng)關(guān)控制器(MGCF)等網(wǎng)元,而且在MGCF及MGW也采用IETF和ITU-T共同制訂的H.248/MEGACO協(xié)議。這樣的設(shè)計使得IMS系統(tǒng)的終端可以是移動終端,也可以是固定電話終端、多媒體終端、 PC機等,接入方式也不限于蜂窩射頻接口,可以是無線的WLAN,或者是有線的LAN、DSL等技術(shù)。另外,由于IMS在業(yè)務(wù)層采用軟交換網(wǎng)絡(luò)的開放式業(yè) 務(wù)提供構(gòu)架,可以完全支持基于應(yīng)用服務(wù)器的第三方業(yè)務(wù)提供,這意味著運營商可以在不改變現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)、不投入任何的設(shè)備成本條件下,輕松地開發(fā)新的業(yè) 務(wù),進(jìn)行應(yīng)用的升級。
功能實體
1.本地用戶服務(wù)器HSS(Home Subscription Server)HSS在IMS中作為用戶信息存儲的數(shù)據(jù)庫,主要存放用戶認(rèn)證信息、簽約用戶的特定信息、簽約用戶的動態(tài)信息、網(wǎng)絡(luò)策略規(guī)則和設(shè)備標(biāo)識寄存器信息,用于移動性管理和用戶業(yè)務(wù)數(shù)據(jù)管理。它是一個邏輯實體,物理上可以由多個物理數(shù)據(jù)庫組成。
2.呼叫會話控制功能CSCF(Call Session Control Function)
CSCF是IMS的核心部分,主要用于基于分組交換的SIP會話控制。在IMS中,CSCF負(fù)責(zé)對用戶多媒體會話進(jìn) 行處理,可以看作IETF架構(gòu)中的SIP服務(wù)器。根據(jù)各自不同的主要功能分為代理呼叫會話控制功能P.CSCF(Proxy CSCF)、問詢呼叫會話控制功能I-CSCF(Interrogation CSCF)和服務(wù)呼叫會話控制功能S.CSCF(Serving CSCF),三個功能在物理上可以分開,也可以獨立。
3.多媒體資源功能MRF(Multimedia Resource Function)
MRF主要完成多方呼叫與多媒體會議功能。MRF由多媒體資源功能控制器MRFC(Multimedia Resource Function Controller)和多媒體資源功能處理器MRFP(Multimedia Resource Function Processor)構(gòu)成,分別完成媒體流的控制和承載功能。MRFC解釋從S.CSCF收到的SIP信令,并且使用媒體網(wǎng)關(guān)控制協(xié)議指令來控制MRFP 完成相應(yīng)的媒體流編解碼、轉(zhuǎn)換、混合和播放功能。
4.網(wǎng)關(guān)功能
網(wǎng)關(guān)功能主要包括:出IMS網(wǎng)關(guān)控制功能BGCF(Breakout Gateway ControlFunction)、媒體網(wǎng)關(guān)控制功能MGCF(Media Gateway Control Function)、IMS媒體網(wǎng)關(guān)IMS.MGW(IMS Media Gateway)和信令網(wǎng)關(guān)SGW(SignalingGateway)。[2]
發(fā)展歷程
國際第三代移動通信組織3GPP一直在進(jìn)行它稱為IP多媒體子系統(tǒng)IMS的標(biāo)準(zhǔn)化研究。在3GPP的文件R5中,IMS是UMTS核心網(wǎng)絡(luò)中提供端到端多媒體業(yè)務(wù)和集群多媒體業(yè)務(wù)的中心。在3GPP的R6中,IMS已經(jīng)被定義為支持所有IP接入網(wǎng)的多媒體業(yè)務(wù)核心網(wǎng),可以支持任何一種移動的或固定的、有線的或無線的IP-CAN(IP Connectivity Access Networks),包括W-CDMA,CDMA2000,Ethernet,xDSL以及Wireless LAN等等。IMS由控制多媒體會話的網(wǎng)絡(luò)實體組成,在UMTS中IMS是提供IP多媒體服務(wù)的核心。IP多媒體服務(wù)使用GPRS網(wǎng)絡(luò)來進(jìn)行傳輸。網(wǎng)絡(luò)提供者同時為IP多媒體服務(wù)提供傳輸實體和網(wǎng)絡(luò)控制實體。網(wǎng)絡(luò)結(jié)構(gòu)同時允許為第三方提供附加的IP多媒體服務(wù)。
在UMTS版本5或更高的版本中,新增加的主要內(nèi)容就是添加了兩個全新的具有重要能力的IMS。第一,增加類似呼叫 狀態(tài)控制功能(CSCF)的新的網(wǎng)絡(luò)實體來提供基本的IP多媒體服務(wù),例如在兩個用戶間的多媒體會話的發(fā)起。第二,相互兼容已經(jīng)發(fā)展到可以提煉一些網(wǎng)絡(luò)實 體能力的階段,例如開放業(yè)務(wù)接入(OSA)服務(wù)能力。利用基本的IP多媒體服務(wù)和網(wǎng)絡(luò)提供的能力,OSA服務(wù)能力的功能被期望能夠激勵第三方新的IP多媒體服務(wù)的產(chǎn)生。
一個IMS包括一個或多個CSCF、媒體網(wǎng)關(guān)控制功能(MGCF)、IMS媒體網(wǎng)關(guān)、多媒體資源功能處理器(MRFC)、訂閱位置功能、中斷網(wǎng)關(guān)控制功能(BGCF)和應(yīng)用服務(wù)器。我們下面解釋IMS如何實現(xiàn)其主要功能和如何為UMTS增加支持多媒體業(yè)務(wù)。
IPv6--IMS的信令和會話業(yè)務(wù)都是通過IP承載的,但是,并不是任何版本的IP都是可以使用的,IMS要求只有IPv6才能在IMS域中使用。雖然這將使UMTS這一全球第一商業(yè)系統(tǒng)廣泛地發(fā)展IPv6,但是這仍將是一個大膽的要求,因為:
IMS中的IP尋址與分組域骨干網(wǎng)中使用的(例如IPv4)和電路域中使用的是不同的,所以IPv6和IPv4互通的問題需要解決。
用于移動臺接入IP多媒體服務(wù)的IP尋址范圍必須在IMS尋址域內(nèi),這個尋址域是在建立好IP連接時激活的PDP上下文中安排好的。IP地址可以從服務(wù)域而不是歸屬域的GGSN中獲得,從路由的效率來考慮,這是一個優(yōu)點。
呼叫/會話控制--CSCF使用SIP在呼叫控制中發(fā)揮了核心作用。CSCF可以比作電路域語音通話中移動交換中心的信令部分和控制部分。除了語音通信之外,它還能支持多媒體會話。SIP是在移動臺和CSCF之間、CSCF之間、CSCF和MGCF之間、CSCF和應(yīng)用服務(wù)器之間有關(guān)信令方面的協(xié)議。CSCF起到了很多作用:作為代理CSCF(P-CSCF),這是移動臺和IMS連接最初的一點;作為提供服務(wù)的CSCF(S-CSCF),可以用 IMS
于會話控制;作為詢問CSCF(I-CSCF),這是網(wǎng)絡(luò)中各個移動臺的有關(guān)IMS信令的一個主要的連接點。
PSTN互通--當(dāng)會話的一端為IMS用戶,而會話的另一端是公共電話交換網(wǎng)用戶時,網(wǎng)絡(luò)需要四個新的功能實體-IMS媒體網(wǎng)關(guān)、MGCF、信令網(wǎng)關(guān)和BGCF。BGCF具有支持PSTN與PS域之間的呼叫的功能。媒體網(wǎng)關(guān)用來完成在兩端用不同格式編碼的媒體信號的翻譯。MGCF控制IMS媒體網(wǎng)關(guān),提供在基于SIP的和基于ISUP信令之間應(yīng)用級的信令翻譯,并且與S-CSCF進(jìn)行通信。傳輸級的在基于IP的和基于SS7的信令翻譯由SGW完成。BGCF識別網(wǎng)絡(luò)和網(wǎng)絡(luò)中的MGCF,并確定進(jìn)入PSTN的位置。
處理用戶簽訂的信息和用戶狀態(tài)的信息--歸屬用戶服務(wù)器(HSS)是主要的數(shù)據(jù)庫,它存儲用戶簽訂的業(yè)務(wù)信息和本地信息。它可以被考慮為一個增強型GSM網(wǎng)絡(luò)中的歸屬位置寄存器。因為在網(wǎng)絡(luò)中有幾個HSS存在,在注冊和會話建立過程中,為了找到有目標(biāo)用戶信息的HSS,用戶位置功能被CSCF詢問。用戶位置功能不需要在單一的HSS環(huán)境下實現(xiàn),因為CSCF知道哪一個HSS會被使用。
可以使用各種不同的應(yīng)用服務(wù)器,包括基于SIP的應(yīng)用服務(wù)器和OSA應(yīng)用服務(wù)器,這 IMS構(gòu)架圖
些 應(yīng)用服務(wù)器可以實現(xiàn)各種服務(wù),例如語音提示服務(wù)和預(yù)付費服務(wù)。支持多種服務(wù)的應(yīng)用服務(wù)器還可以促進(jìn)新的業(yè)務(wù)的產(chǎn)生。在這兩種情況下,SIP為S-CSCF 的信令服務(wù),然而,在一個OSA應(yīng)用服務(wù)器的例子中,一個OSA容量服務(wù)器應(yīng)該插入在OSA應(yīng)用服務(wù)器和S-CSCF之間。
多方會議-媒體資源功能處理器(MRFP)和媒體資源功能控制器(MRFC)支持多方多媒體會議,并能體現(xiàn)媒體資源(例如,語音提示功能)的實際能力。MRFP處理和混合實際的媒體流,MRFC控制MRFP的媒體流資源。
其他問題-在設(shè)計和標(biāo)準(zhǔn)化UMTS的過程中,產(chǎn)生了很多復(fù)雜的問題。例如,在2000年底才確定下來一個用戶的服務(wù) 控制由它的歸屬網(wǎng)絡(luò)來執(zhí)行,并且,當(dāng)用戶漫游到國外網(wǎng)絡(luò)時,這個功能仍然適用,但是,因為存在僅僅由歸屬域控制產(chǎn)生的潛在的劣勢,例如,歸屬域的過載和處 理分組上的延遲,所以由訪問域進(jìn)行控制的問題也 IMS圖
已經(jīng)開始考慮了。而且,關(guān)于支持由訪問域和歸屬域通過IMS共同控制的問題,3GPP已經(jīng)討論了一段時間了。然而支持兩種模式必定會使網(wǎng)絡(luò)結(jié)構(gòu)更加復(fù)雜。因此,3GPP最終決定使用歸屬域來控制,但是,以后可能會重新進(jìn)行這一問題的討論。
總之,IMS為未來的ALL-IP網(wǎng)絡(luò)和與固網(wǎng)的無縫融合提供了可能,是下一代網(wǎng)絡(luò)和應(yīng)用的代名詞。
概念
IMS(IP Multimedia Subsystem)是IP多媒體系統(tǒng),是一種全新的多媒體業(yè)務(wù)形式,它能夠滿足的終端客戶更新穎、更多樣化多媒體業(yè)務(wù)的需求。IMS被認(rèn)為是下一代網(wǎng)絡(luò)的核心技術(shù),也是解決移動與固網(wǎng)融合,引入語音、數(shù)據(jù)、視頻三重融合等差異化業(yè)務(wù)的重要方式。但是,全球IMS網(wǎng)絡(luò)多數(shù)處于初級階段,應(yīng)用方式也處于業(yè)界探討當(dāng)中。定位
IMS在3GPPRelease 5版本中提出,是對IP多媒體業(yè)務(wù)進(jìn)行控制的網(wǎng)絡(luò)核心層邏輯功能實體的總稱。3GPP R5主要定義IMS的核心結(jié)構(gòu),網(wǎng)元功能、接口和流程等內(nèi)容:R6版本增加了部分IMS業(yè)務(wù)特性、IMS與其他網(wǎng)絡(luò)的互通規(guī)范和無線局域網(wǎng)(WLAN)接入特性等;R7版本加強了對固定、移動融合的標(biāo)準(zhǔn)化制訂,要求IMS支持數(shù)字用戶線(xDSL)、電纜調(diào)制解調(diào)器等固定接入方式。軟交換技 術(shù)從1998年就開始出現(xiàn)并且已經(jīng)歷了實驗、商用等多個發(fā)展階段,已比較成熟。全球范圍早已有多家電信運營商開展了軟交換試驗,發(fā)展至今,軟交換技術(shù)已經(jīng) 具備了替代電路交換機的能力,并具備一定的寬帶多媒體業(yè)務(wù)能力。在軟交換技術(shù)已發(fā)展如此成熟的今天,IMS的出路在何方?又該如何發(fā)展和定位呢?首先需要 對IMS和軟交換進(jìn)行較為全面的比較和分析。
如果從采用的基礎(chǔ)技術(shù)上看,IMS和軟交換有很大的相似性:都是基于IP分組網(wǎng);都實現(xiàn)了控制與承載的分離;大部分的協(xié)議都是相似或者完全相同的;許多網(wǎng)關(guān)設(shè)備和終端設(shè)備甚至是可以通用的。
IMS和軟交換最大的區(qū)別在于以下幾個方面。
(1)在軟交換控制與承載分離的基礎(chǔ)上,IMS更進(jìn)一步的實現(xiàn)了呼叫控制層和業(yè)務(wù)控制層的分離;
(2)IMS起源于移動通信網(wǎng)絡(luò)的應(yīng)用,因此充分考慮了對移動性的支持,并增加了外置數(shù)據(jù)庫——歸屬用戶服務(wù)器(HSS),用于用戶鑒權(quán)和保護(hù)用戶業(yè)務(wù)觸發(fā)規(guī)則;
(3)IMS全部采用會話初始協(xié)議(SIP)作為呼叫控制和業(yè)務(wù)控制的信令,而在軟交換中,SIP只是可用于呼叫控制的多種協(xié)議的一種,更多的使用媒體網(wǎng)關(guān)協(xié)議(MGCP)和H.248協(xié)議。
總體來講,IMS和軟交換的區(qū)別主要是在網(wǎng)絡(luò)構(gòu)架上。軟交換網(wǎng)絡(luò)體系基于主從控 制的特點,使得其與具體的接入手段關(guān)系密切,而IMS體系由于終端與核心側(cè)采用基于IP承載的SIP協(xié)議,IP技術(shù)與承載媒體無關(guān)的特性使得IMS體系可 以支持各類接入方式,從而使得IMS的應(yīng)用范圍從最初始的移動網(wǎng)逐步擴大到固定領(lǐng)域。此外,由于IMS體系架構(gòu)可以支持移動性管理并且具有一定的服務(wù)質(zhì)量 (QoS)保障機制,因此IMS技術(shù)相比于軟交換的優(yōu)勢還體現(xiàn)在寬帶用戶的漫游管理和QoS保障方面。
發(fā)展應(yīng)用
發(fā)展對IMS進(jìn)行標(biāo)準(zhǔn)化的國際標(biāo)準(zhǔn)組織主要有3GPP和高級網(wǎng)絡(luò)電信和互聯(lián)網(wǎng)融合業(yè)務(wù)和協(xié)議(TISPAN)。3GPP側(cè)重于從移動的角度對IMS進(jìn)行研究,而TISPAN則側(cè)重于從固定的角度對IMS提出需求,并統(tǒng)一由3GPP來完善。
3GPP對IMS的標(biāo)準(zhǔn)化是按照R5版本、R6版本、R7版本……這個過程來發(fā)布的,IMS首次提出是在R5版本 中,然后在R6、R7版本中進(jìn)一步完善。R5版本主要側(cè)重于對IMS基本結(jié)構(gòu)、功能實體及實體間的流程方面的研究;而R6版本主要是側(cè)重于IMS和外部網(wǎng) 絡(luò)的互通能力以及IMS對各種業(yè)務(wù)的支持能力等。相比于R5版本,R6版本的網(wǎng)絡(luò)結(jié)構(gòu)并沒有發(fā)生改變,只是在業(yè)務(wù)能力上有所增加。在R5的基礎(chǔ)上增加了部 分業(yè)務(wù)特性,網(wǎng)絡(luò)互通規(guī)范以及無線局域網(wǎng)接入特性等,其主要目的是促使IMS成為一個真正的可運營的網(wǎng)絡(luò) IMS
技術(shù)。R7階段更多的考慮了固定方面的特性要求,加強了對固定、移動融合的標(biāo)準(zhǔn)化制訂。R5版本和R6版本分別在2002年和2005年被凍結(jié),而R7版本也即將凍結(jié)。
在TISPAN定義的NGN體系架構(gòu)中,IMS是業(yè)務(wù)部件之一。TISPANIMS是在3GPPR6IMS核心規(guī)范 的基礎(chǔ)上對功能實體和協(xié)議進(jìn)行擴展的,支持固定接入方式。TISPAN的工作方式和3GPP相似,都是分階段發(fā)布不同版本。TISPAN已經(jīng)發(fā)布了R1版 本相關(guān)規(guī)范,從固定的角度向3GPP提出對IMS的修改建議;R2版本還處于需求分析階段。
TISPAN在許多文檔中都直接應(yīng)用了3GPP的相關(guān)文檔內(nèi)容,而3GPPR7版本中的很多內(nèi)容又都是在吸收了TISPAN的研究成果的基礎(chǔ)上形成的,所以一方對文檔內(nèi)容的修改都將直接影響另一方。此外,部分先進(jìn)的運營商(如德國電信、英國電信和法國電信)已經(jīng)明確了未來網(wǎng)絡(luò)和業(yè)務(wù)融合的戰(zhàn)略目標(biāo),并開始特別關(guān)注基于IMS的網(wǎng)絡(luò)融合研究。各大設(shè)備廠商也加大了對IMS在固網(wǎng)領(lǐng)域應(yīng)用的研究,正積極參與并大力推進(jìn)基于IMS的NGN的標(biāo)準(zhǔn)化工作。因此各個標(biāo)準(zhǔn)之間的協(xié)調(diào)一致的問題還需要進(jìn)一步探討。
應(yīng)用
IP媒體業(yè)務(wù)類型
IMS是一個在分組域(PS)上的多媒體控制/呼叫控制平臺,IMS使得PS具有電路域(CS)的部分功能,支持會 話類和非會話類的多媒體業(yè)務(wù)。IMS為未來的多媒體應(yīng)用提供了一個通用的業(yè)務(wù)平臺,典型的業(yè)務(wù)如呈現(xiàn)、消息、會議、一鍵通等等。將不同的業(yè)務(wù)進(jìn)行分組可以 得到以下一些類型。
(1)信息類業(yè)務(wù),這類業(yè)務(wù)對用戶來講已經(jīng)非常熟悉,而且為運營商帶來了良好的收益,IMS的信息類業(yè)務(wù)將帶給用戶 更多的選擇,在享用這些信息類業(yè)務(wù)的同時,用戶可以隨心所欲而且費用低廉的使用其他媒介,比如視頻和聲音等,同時可以靈活的選用實時業(yè)務(wù)或非實時業(yè)務(wù)進(jìn)行 溝通。
(2)多媒體呼叫話音業(yè)務(wù),這類業(yè)務(wù)可以給用戶在原有的話音業(yè)務(wù)操作和應(yīng)用上帶來全新的體驗。
(3)增強型呼叫管理,可以實現(xiàn)讓用戶自己來控制業(yè)務(wù),讓用戶的溝通更加靈活。
(4)群組業(yè)務(wù),將不同的通信媒介聚合起來,為用戶提供新的業(yè)務(wù)體驗,而且IMS還可以對業(yè)務(wù)進(jìn)行新的開發(fā)和組合;突破傳統(tǒng)的一對一的通信方式限制,可以提供基于群組的通信方式。
(5)信息共享,常見的郵件攜帶附件的溝通模式可以完成部分的信息共享功能,但是在許多情況下顯得不夠靈活,所以實時在線的信息共享通信應(yīng)運而生,多個用戶可以實時處理同一個數(shù)據(jù)文件。
(6)在線娛樂,移動終端可以直接和信息資源互聯(lián),IMS方式可以更好地呈現(xiàn)信息的更新和溝通,并可以隨著用戶需求 的增長對信息進(jìn)行必要的過濾;對于用戶的在線游戲,IMS可以為用戶提供從單機游戲到多用戶在線參與的在線娛樂方式,同時用戶還可以采用多種多媒體來溝通 交流。
IMS的主要應(yīng)用
隨著IMS技術(shù)和產(chǎn)品的逐漸成熟,已經(jīng)有一些運營商開始了IMS的商用,還有一些運營商在進(jìn)行相關(guān)的測試。從的商用和測試情況看,移動運營商已經(jīng)開始商用,而固網(wǎng)運營商還主要處于試驗階段。綜合考慮,IMS的應(yīng)用主要集中在以下幾個方面。
首先是在移動網(wǎng)絡(luò)的應(yīng)用,這類應(yīng)用是移動運營商為了豐富移動網(wǎng)絡(luò)的業(yè)務(wù)而開展的,主要是在移動網(wǎng)絡(luò)的基礎(chǔ)上用IMS來提供PoC、即時消息、視頻共享等多媒體增值業(yè)務(wù)。應(yīng)用重點集中在給企業(yè)客戶提供IPCENTREX和公眾客戶的VoIP第二線業(yè)務(wù)。
其次是固定運營商出于網(wǎng)絡(luò)演進(jìn)和業(yè)務(wù)的需要,通過IMS為企業(yè)用戶提供融合的企業(yè)的應(yīng)用(IPCENTREX業(yè)務(wù)),以及向固定寬帶用戶(例如ADSL用戶)提供VoIP應(yīng)用。
第三種典型的應(yīng)用是融合的應(yīng)用,主要體現(xiàn)在WLAN和3G的融合,以實現(xiàn)語音業(yè)務(wù)的連續(xù)性。在這種方式下,用戶擁有一個WLAN/WCDMA的雙模終端,在WLAN的覆蓋區(qū)內(nèi),一般優(yōu)先使用WLAN接入,因為這種方式用戶使用業(yè)務(wù)的資費更低,數(shù)據(jù)業(yè)務(wù)的帶寬更充足。當(dāng)離開WLAN的覆蓋區(qū)后,終端自動切換到WCDMA網(wǎng)絡(luò),從而實現(xiàn)語音在WLAN和WCDMA之間的連續(xù)性。這種方案的商用較少,但是許多運營商都在進(jìn)行測試。
在IMS中全部采用SIP協(xié)議,雖然SIP也可以實現(xiàn)最基本的VoIP,但是這種協(xié)議在多媒體應(yīng)用中所展現(xiàn)出來的優(yōu)勢表明,它天生就是為多媒體業(yè)務(wù)而生的。由于SIP協(xié)議非常靈活,所以IMS還存在許多潛在的業(yè)務(wù)。
基于IMS的網(wǎng)絡(luò)融合問題
隨著通信網(wǎng)絡(luò)的發(fā)展與演進(jìn),融合是不可避免的主題,固定和移動的融合(FMC)更是迫切要解決的問題。ETSI給FMC下的定義是:“固定移動融合是一種能提供與接入技術(shù)無關(guān)的網(wǎng)絡(luò)能力。 IMS
但這并不意味著一定是物理上的網(wǎng)絡(luò)融合,而只關(guān)心一個融合的網(wǎng)絡(luò)體系結(jié)構(gòu)和 相應(yīng)的標(biāo)準(zhǔn)規(guī)范。這些標(biāo)準(zhǔn)可以用來支持固定業(yè)務(wù)、移動業(yè)務(wù)以及固定移動混合的業(yè)務(wù)。固定移動融合的一個重要特征是,用戶的業(yè)務(wù)簽約和享用的業(yè)務(wù),將從不同 的接入點和終端上分離開來,以允許用戶從任何固定或移動的終端上,通過任何兼容的接入點訪問完全相同的業(yè)務(wù),包括在漫游時也能獲得相同的業(yè)務(wù)!盓TSI 在給FMC下定義的同時也對固定移動網(wǎng)絡(luò)的融合提出了相應(yīng)的要求。
IMS進(jìn)一步發(fā)揚了軟交換結(jié)構(gòu)中業(yè)務(wù)與控制分離、控制與承載分離的思想,比軟交換進(jìn)行了更充分的網(wǎng)絡(luò)解聚,網(wǎng)絡(luò)結(jié)構(gòu)更加清晰合理。網(wǎng)絡(luò)各個層次的不斷解聚是電信網(wǎng)絡(luò)發(fā)展的總體趨勢。網(wǎng)絡(luò)的解聚使得垂直業(yè)務(wù)模式被打破,有利于業(yè)務(wù)的發(fā)展;另外,不同類型網(wǎng)絡(luò)的解聚也為網(wǎng)絡(luò)在不同層次上的重新聚合創(chuàng)造了條件。這種重新聚合,就是網(wǎng)絡(luò)融合的過程。利用IMS實現(xiàn)對固定接入和移動接入的統(tǒng)一核心控制,主要是IMS具有以下特點。
(1)與接入無關(guān)性。雖然3GPPIMS是為移動網(wǎng)絡(luò)設(shè)計的,TISPANNGN是為固定xDSL寬帶接入設(shè)計的,但它們采用的IMS網(wǎng)絡(luò)技術(shù)卻可以做到與接入無關(guān),因而能確保對FMC的支持。從理論上可以實現(xiàn)不論用戶使用什么設(shè)備、在何地接入IMS網(wǎng)絡(luò),都可以使用歸屬地的業(yè)務(wù)。
(2)統(tǒng)一的業(yè)務(wù)觸發(fā)機制。IMS核心控制部分不實現(xiàn)具體業(yè)務(wù),所有的業(yè)務(wù)包括傳統(tǒng)概念上的補充業(yè)務(wù)都由業(yè)務(wù)應(yīng)用平 臺來實現(xiàn),IMS核心控制只根據(jù)初始過濾規(guī)則進(jìn)行業(yè)務(wù)觸發(fā),這樣消除了核心控制相關(guān)功能實體和業(yè)務(wù)之間的綁定關(guān)系,無論固定接入還是移動接入都可以使用 IMS中定義的業(yè)務(wù)觸發(fā)機制實現(xiàn)統(tǒng)一觸發(fā)。
(3)統(tǒng)一的路由機制。IMS中僅保留了傳統(tǒng)移動網(wǎng)中HLR的概念,而摒棄了VLR的概念,和用戶相關(guān)的數(shù)據(jù)信息只保存在用戶的歸屬地,這樣不僅用戶的認(rèn)證需要到歸屬地認(rèn)證,所有和用戶相關(guān)的業(yè)務(wù)也必須經(jīng)過用戶的歸屬地。
(4)統(tǒng)一用戶數(shù)據(jù)庫。HSS(歸屬業(yè)務(wù)服務(wù)器)是一個統(tǒng)一的用戶數(shù)據(jù)庫系統(tǒng),既可以存儲移動IMS用戶的數(shù)據(jù),也可以存儲固定IMS用戶的數(shù)據(jù),數(shù)據(jù)庫本身不再區(qū)分固定用戶和移動用戶。特別是業(yè)務(wù)觸發(fā)機制中使用的初始過濾規(guī)則,對IMS中所定義的數(shù)據(jù)庫來講完全是透明數(shù)據(jù)的概念,屏蔽了固定和移動用戶在業(yè)務(wù)屬性上的差異。
(5)充分考慮了運營商實際運營的需求,在網(wǎng)絡(luò)框架、QoS、安全、計費以及和其他網(wǎng)絡(luò)的互通方面都制定了相關(guān)規(guī)范。
(6)業(yè)務(wù)與承載分離,IMS定義了標(biāo)準(zhǔn)的基于SIP的ISC(IP multimedia Service Control)接口,實現(xiàn)了業(yè)務(wù)層與控制層的完全分離。IMS通過基于SIP的ISC接口,支持三種業(yè)務(wù)提供方式:獨立的SIP應(yīng)用服務(wù)器方式、OSA SCS方式和IM-SSF方式(接入傳統(tǒng)智能網(wǎng),體現(xiàn)業(yè)務(wù)繼承性)。 IMS的核心控制網(wǎng)元CSCF不再需要處理業(yè)務(wù)邏輯,而是通過基于規(guī)則的業(yè)務(wù)觸發(fā)機制,根據(jù)用戶的簽約數(shù)據(jù)的初始過濾規(guī)則(iFC),由CSCF分析并觸 發(fā)到規(guī)則指定的應(yīng)用服務(wù)器,由應(yīng)用服務(wù)器完成業(yè)務(wù)邏輯處理。
(7)基于SIP的會話機制。IMS的核心功能實體是呼叫會話控制功能(CSCF)單元,并向上層的服務(wù)平臺提供標(biāo) 準(zhǔn)的接口,使業(yè)務(wù)獨立于呼叫控制 。IMS采用基于IETF定義的會話初始協(xié)議(SIP)的會話控制能力,并進(jìn)行了移動特性方面的擴展 ,實現(xiàn)接入的獨立性及Internet互操作的平滑性。 IMS網(wǎng)絡(luò)的終端與網(wǎng)絡(luò)都支持SIP,SIP成為IMS域唯一的會話控制協(xié)議,這一特點實現(xiàn)了端到端的SIP信令互通 ,網(wǎng)絡(luò)中不再需要支持多種不同的呼叫信令 ,使網(wǎng)絡(luò)的業(yè)務(wù)提供和發(fā)布具有更大的靈活性。
IMS所具有這些特征可以同時為移動用戶和固定用戶所共用,這就為同時支持固定和移動接入提供了技術(shù)基礎(chǔ),使得網(wǎng)絡(luò)融合成為可能。
問題分析
IP多媒體子系統(tǒng)(IMS)是3GPP在R5規(guī)范中提出的,旨在建立一個與接入無關(guān)、基于開放的SIP/IP協(xié)議及支持多種多媒體業(yè)務(wù)類型的平臺來提供豐富的業(yè)務(wù)。它將蜂窩移動通信網(wǎng)絡(luò)技術(shù)、傳統(tǒng)固定網(wǎng)絡(luò)技術(shù)和互聯(lián)網(wǎng)技術(shù)有機結(jié)合起來,為未來的基于全I(xiàn)P網(wǎng)絡(luò)多媒體應(yīng)用提供了一個通用的業(yè)務(wù)智能平臺,也為未來網(wǎng)絡(luò)發(fā)展過程中的網(wǎng)絡(luò)融合提供了技術(shù)基礎(chǔ)。IMS的諸多特點使得其一經(jīng)提出就成為業(yè)界的研究熱點,是業(yè)界普遍認(rèn)同的解決未來網(wǎng)絡(luò)融合的理想方案和發(fā)展方向,但對于IMS將來如何提供統(tǒng)一的業(yè)務(wù)平臺實現(xiàn)全業(yè)務(wù)運營,IMS的標(biāo)準(zhǔn)化及安全等問題仍需要進(jìn)一步的研究和探討。1、IMS存在的安全問題分析
傳統(tǒng)的電信網(wǎng)絡(luò)采用獨立的信令網(wǎng)來完成呼叫的建立、路由和控制等過程,信令網(wǎng)的安全能夠保證網(wǎng)絡(luò)的安全。而且傳輸采用時分復(fù)用(TDM)的專線,用戶之間采用面向連接的通道進(jìn)行通信,避免了來自其他終端用戶的各種竊聽和攻擊。
而IMS網(wǎng)絡(luò)與互聯(lián)網(wǎng)相連接,基于IP協(xié)議和開放的網(wǎng)絡(luò)架構(gòu)可以將語音、數(shù)據(jù)、多媒體等多種不同業(yè)務(wù),通過采用多種 不同的接入方式來共享業(yè)務(wù)平臺,增加了網(wǎng)絡(luò)的靈活性和終端之間的互通性,不同的運營商可以有效快速地開展和提供各種業(yè)務(wù)。由于IMS是建立在IP基礎(chǔ)上, 使得IMS的安全性要求比傳統(tǒng)運營商在獨立網(wǎng)絡(luò)上運營要高的多,不管是由移動接入還是固定接入,IMS的安全問題都不容忽視。
IMS的安全威脅主要來自于幾個方面:未經(jīng)授權(quán)地訪問敏感數(shù)據(jù)以破壞機密性;未經(jīng)授權(quán)地篡改敏感數(shù)據(jù)以破壞完整性; 干擾或濫用網(wǎng)絡(luò)業(yè)務(wù)導(dǎo)致拒絕服務(wù)或降低系統(tǒng)可用性;用戶或網(wǎng)絡(luò)否認(rèn)已完成的操作;未經(jīng)授權(quán)地接入業(yè)務(wù)等。主要涉及到IMS的接入安全(3GPP TS33.203),包括用戶和網(wǎng)絡(luò)認(rèn)證及保護(hù)IMS終端和網(wǎng)絡(luò)間的業(yè)務(wù);以及IMS的網(wǎng)絡(luò)安全(3GPP TS33.210),處理屬于同一運營商或不同運營商網(wǎng)絡(luò)節(jié)點之間的業(yè)務(wù)保護(hù)。除此之外,還對用戶終端設(shè)備和通用集成電路卡/IP多媒體業(yè)務(wù)身份識別模塊(UICC/ISIM)安全構(gòu)成威脅。
2、IMS安全體系
IMS系統(tǒng)安全的主要應(yīng)對措施是IP安全協(xié)議(IPSec), 通過IPSec提供了接入安全保護(hù),使用IPSec來完成網(wǎng)絡(luò)域內(nèi)部的實體和網(wǎng)絡(luò)域之間的安全保護(hù)。3GPP IMS實質(zhì)上是疊加在原有核心網(wǎng)分組域上的網(wǎng)絡(luò),對PS域沒有太大的依賴性,在PS域中,業(yè)務(wù)的提供需要移動設(shè)備和移動網(wǎng)絡(luò)之間建立一個安全聯(lián)盟(SA) 后才能完成。對于IMS系統(tǒng),多媒體用戶也需要與IMS網(wǎng)絡(luò)之間先建立一個獨立的SA之后才能接入多媒體業(yè)務(wù)。
3GPP終端的核心是通用集成電路卡(UICC),它包含多個邏輯應(yīng)用,主要有用戶識別模塊(SIM)、UMTS用戶業(yè)務(wù)識別模塊(USIM)和ISIM。ISIM中包含了IMS系統(tǒng)用戶終端在系統(tǒng)中進(jìn)行操作的一系列參數(shù)(如身份識別、用戶授權(quán)和終端設(shè)置數(shù)據(jù)等),而且存儲了共享密鑰和相應(yīng)的AKA(Authentication and Key Agreement)算法。其中,保存在UICC上的用戶側(cè)的IMS認(rèn)證密鑰和認(rèn)證功能可以獨立于PS域的認(rèn)證密鑰和認(rèn)證功能,也可和PS使用相同的認(rèn)證密鑰和認(rèn)證功能。IMS的安全體系如圖1所示。
圖1中顯示了5個不同的安全聯(lián)盟用以滿足IMS系統(tǒng)中不同的需求,分別用①、②、③、④、⑤來加以標(biāo)識。①提供終端用戶和IMS網(wǎng)絡(luò)之間的相互認(rèn)證。
②在UE和P-CSCF之間提供一個安全鏈接(Link)和一個安全聯(lián)盟(SA),用以保護(hù)Gm接口,同時提供數(shù)據(jù)源認(rèn)證。
③在網(wǎng)絡(luò)域內(nèi)為Cx接口提供安全。
④為不同網(wǎng)絡(luò)之間的SIP節(jié)點提供安全,并且這個安全聯(lián)盟只適用于代理呼叫會話控制功能(P-CSCF)位于拜訪網(wǎng)絡(luò)(VN)時。
⑤為同一網(wǎng)絡(luò)內(nèi)部的SIP節(jié)點提供安全,并且這個安全聯(lián)盟同樣適用于P-CSCF位于歸屬網(wǎng)絡(luò)(HN)時。
除上述接口之外,IMS中還存在其他的接口,在上圖中未完整標(biāo)識出來,這些接口位于安全域內(nèi)或是位于不同的安全域之間。這些接口(除了Gm接口之外)的保護(hù)都受IMS網(wǎng)絡(luò)安全保護(hù)。
SIP信令的保密性和完整性是以逐跳的方式提供的,它包括一個復(fù)雜的安全體系,要求每個代理對消息進(jìn)行解密。SIP使用兩種安全協(xié)議:傳輸層安全協(xié)議(TLS)和IPSec,TLS可以實現(xiàn)認(rèn)證、完整性和機密性,用TLS來保證安全的請求必須使用可靠的傳輸層協(xié)議,如傳輸控制協(xié)議(TCP)或流控制傳輸協(xié)議(SCTP);IPSec通過在IP層對SIP消息提供安全來實現(xiàn)認(rèn)證、完整性和機密性,它同時支持TCP和用戶數(shù)據(jù)報協(xié)議(UDP)。在IMS核心網(wǎng)中,可通過NDS/IP來完成對網(wǎng)絡(luò)中SIP信令的保護(hù);而第一跳,即UE和P-CSCF間的信令保護(hù)則需要附加的測量,在3GPP TS 33.203中有具體描述。
3、IMS的接入安全
IMS用戶終端(UE)接入到IMS核心網(wǎng)需經(jīng)一系列認(rèn)證和密鑰協(xié)商過 程,具體而言,UE用戶簽約信息存儲在歸屬網(wǎng)絡(luò)的HSS中,且對外部實體保密。當(dāng)用戶發(fā)起注冊請求時,查詢呼叫會話控制功能(I-CSCF)將為請求用戶 分配一個服務(wù)呼叫會話控制功能(S-CSCF),用戶的簽約信息將通過Cx接口從HSS下載到S-CSCF中。當(dāng)用戶發(fā)起接入IMS請求時,該S- CSCF將通過對請求內(nèi)容與用戶簽約信息進(jìn)行比較,以決定用戶是否被允許繼續(xù)請求。
在IMS接入安全中,IPSec封裝安全凈荷(ESP)將在IP層為UE和P-CSCF間所有SIP信令提供機密性 保護(hù),對于呼叫會話控制功能(CSCF)之間和CSCF和HSS之間的加密可以通過安全網(wǎng)關(guān)(SEG)來實現(xiàn)。同時,IMS還采用IPSec ESP為UE和P-CSCF間所有SIP信令提供完整性保護(hù),保護(hù)IP層的所有SIP信令,以傳輸模式提供完整性保護(hù)機制。
在完成注冊鑒權(quán)之后,UE和P-CSCF之間同時建立兩對單向的SA,這些SA由TCP和UDP共享。其中一對用于UE端口為客戶端、 P-CSCF端口作為服務(wù)器端的業(yè)務(wù)流,另一對用于UE端口為服務(wù)器、P-CSCF端口作為客戶端的業(yè)務(wù)流。用兩對SA可以允許終端和P-CSCF使用 UDP在另一個端口上接收某個請求的響應(yīng),而不是使用發(fā)送請求的那個端口。同時,終端和P-CSCF之間使用TCP連接,在收到請求的同一個TCP連接上 發(fā)送響應(yīng);而且通過建立SA實現(xiàn)在IMS AKA提供的共享密鑰以及指明在保護(hù)方法的一系列參數(shù)上達(dá)成一致。SA的管理涉及到兩個數(shù)據(jù)庫,即內(nèi)部和外部數(shù)據(jù)庫(SPD和SAD)。SPD包含所有入 站和出站業(yè)務(wù)流在主機或安全網(wǎng)關(guān)上進(jìn)行分類的策略。SAD是所有激活SA與相關(guān)參數(shù)的容器。SPD使用一系列選擇器將業(yè)務(wù)流映射到特定的SA,這些選擇器 包括IP層和上層(如TCP和UDP)協(xié)議的字段值。
與此同時,為了保護(hù)SIP代理的身份和網(wǎng)絡(luò)運營商的網(wǎng)絡(luò)運作內(nèi)部細(xì)節(jié),可通過選擇網(wǎng)絡(luò)隱藏機制來隱藏其網(wǎng)絡(luò)內(nèi)部拓?fù),歸屬網(wǎng)絡(luò)中的所有I-CSCF將共享一個加密和解密密鑰。
在通用移動通信系統(tǒng)(UMTS)中相互認(rèn)證機制稱為UMTS AKA,在AKA過程中采用雙向鑒權(quán)以防止未經(jīng)授權(quán)的“非法”用戶接入網(wǎng)絡(luò),以及未經(jīng)授權(quán)的“非法”網(wǎng)絡(luò)為用戶提供服務(wù)。AKA協(xié)議是一種挑戰(zhàn)響應(yīng)協(xié)議,包含用戶鑒權(quán)五元參數(shù)組的挑戰(zhàn)由AUC在歸屬層發(fā)起而發(fā)送到服務(wù)網(wǎng)絡(luò)。
UMTS系統(tǒng)中AKA協(xié)議,其相同的概念和原理被IMS系統(tǒng)重用,我們稱之為IMS AKA。AKA實現(xiàn)了ISIM和AUC之間的相互認(rèn)證,并建設(shè)了一對加密和完整性密鑰。用來認(rèn)證用戶的身份是私有的身份(IMPI),HSS和ISIM共 享一個與IMPI相關(guān)聯(lián)的長期密鑰。當(dāng)網(wǎng)絡(luò)發(fā)起一個包含RAND和AUTN的認(rèn)證請求時,ISIM對AUTN進(jìn)行驗證,從而對網(wǎng)絡(luò)本身的真實性進(jìn)行驗證。 每個終端也為每一輪認(rèn)證過程維護(hù)一個序列號,如果ISIM檢測到超出了序列號碼范圍之外的認(rèn)證請求,那么它就放棄該認(rèn)證并向網(wǎng)絡(luò)返回一個同步失敗消息,其 中包含了正確的序列號碼。
為了響應(yīng)網(wǎng)絡(luò)的認(rèn)證請求,ISIM將密鑰應(yīng)用于隨機挑戰(zhàn)(RAND),從而產(chǎn)生一個認(rèn)證響應(yīng)(RES)。網(wǎng)絡(luò)對 RES進(jìn)行驗證以認(rèn)證ISIM。此時,UE和網(wǎng)絡(luò)已經(jīng)成功地完成了相互認(rèn)證,并且生成了一對會話密鑰:加密密鑰(CK)和完整性密鑰(IK)用以兩個實體 之間通信的安全保護(hù)。
4、IMS的網(wǎng)絡(luò)安全
在第二代移動通信系統(tǒng)中,由于在核心網(wǎng)中缺乏標(biāo)準(zhǔn)的安全解決方案,使得安全問題尤為突出。雖然在無線接入過程中,移動用戶終端和基站之間通?捎杉用軄肀Wo(hù),但是在核心網(wǎng)時,系統(tǒng)的節(jié)點之間卻是以明文來傳送業(yè)務(wù)流,這就讓攻擊者有機可乘,接入到這些媒體的攻擊者可以輕而易舉對整個通信過程進(jìn)行竊聽。
針對2G系統(tǒng)中的安全缺陷,第三代移動通信系統(tǒng)中采用NDS對核心網(wǎng)中的所有IP數(shù)據(jù)業(yè)務(wù)流進(jìn)行保護(hù)?梢詾橥ㄐ欧⻊(wù)提供保密性、數(shù)據(jù)完整性、認(rèn)證和防止重放攻擊,同時通過應(yīng)用在IPSec中的密碼安全機制和協(xié)議安全機制來解決安全問題。
在NDS中有幾個重要的概念,它們分別是安全域(Security Domains)、安全網(wǎng)關(guān)(SEG)。
4.1 安全域
NDS中最核心的概念是安全域,安全域是一個由單獨的管理機構(gòu)管理運營的網(wǎng)絡(luò)。在同一安全域內(nèi)采用統(tǒng)一的安全策略來 管理,因此同一安全域內(nèi)部的安全等級和安全服務(wù)通常是相同的。大多情況下,一個安全域直接對應(yīng)著一個運營商的核心網(wǎng),不過,一個運營商也可以運營多個安全 域,每個安全域都是該運營商整個核心網(wǎng)絡(luò)中的一個子集。在NDS/IP中,不同的安全域之間的接口定義為Za接口,同一個安全域內(nèi)部的不同實體之間的安全 接口則定義為Zb接口。其中Za接口為必選接口,Zb接口為可選接口。兩種接口主要完成的功能是提供數(shù)據(jù)的認(rèn)證和完整性、機密性保護(hù)。
4.2 安全網(wǎng)關(guān)
SEG位于IP安全域的邊界處,是保護(hù)安全域之間的邊界。業(yè)務(wù)流通過一個SEG進(jìn)入和離開安全域,SEG被用來處理 通過Za接口的通信,將業(yè)務(wù)流通過隧道傳送到已定義好的一組其他安全域。這稱為輪軸-輻條(hub-and-spoke)模型,它為不同安全域之間提供逐 跳的安全保護(hù)。SEG負(fù)責(zé)在不同安全域之間傳送業(yè)務(wù)流時實施安全策略,也可以包括分組過濾或者防火墻等的功能。IMS核心網(wǎng)中的所有業(yè)務(wù)流都是通過SEG進(jìn)行傳送,每個安全域可以有一個或多個SEG,網(wǎng)絡(luò)運營商可以設(shè)置多個SEG以避免某獨立點出現(xiàn)故障或失敗。當(dāng)所保護(hù)的IMS業(yè)務(wù)流跨越不同安全域時,NDS/IP必須提供相應(yīng)的機密性、數(shù)據(jù)完整性和認(rèn)證。
4.3 基于IP的網(wǎng)絡(luò)域安全體系[2]
NDS/IP體系結(jié)構(gòu)最基本的思想就是提供上從一跳到下一跳的安全,逐跳的安全也簡化了內(nèi)部和面向其他外部安全域分離的安全策略的操作。
在NDS/IP中只有SEG負(fù)責(zé)與其他安全域中的實體間進(jìn)行直接通信。兩個SEG之間的業(yè)務(wù)被采用隧道模式下的 IPSec ESP安全聯(lián)盟進(jìn)行保護(hù),安全網(wǎng)關(guān)之間的網(wǎng)絡(luò)連接通過使用IKE來建立和維護(hù)[3]。網(wǎng)絡(luò)實體(NE)能夠面向某個安全網(wǎng)關(guān)或相同安全域的其他安全實體, 建立維護(hù)所需的ESP安全聯(lián)盟。所有來自不同安全域的網(wǎng)絡(luò)實體的NDS/IP業(yè)務(wù)通過安全網(wǎng)關(guān)被路由,它將面向最終目標(biāo)被提供逐跳的安全保護(hù)[5]。其網(wǎng) 絡(luò)域安全體系結(jié)構(gòu)如圖2所示。
4.4 密鑰管理和 分配機制[5]每個SEG負(fù)責(zé)建立和維護(hù)與其對等SEG之間的IPSec SA。這些SA使用因特網(wǎng)密鑰交換(IKE)協(xié)議進(jìn)行協(xié)商,其中的認(rèn)證使用保存在SEG中的長期有效的密鑰來完成。每個對等連接的兩個SA都是由SEG維 護(hù)的:一個SA用于入向的業(yè)務(wù)流,另一個用于出向的業(yè)務(wù)流。另外,SEG還維護(hù)了一個單獨的因特網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議(ISAKMP)SA,這個SA 與密鑰管理有關(guān),用于構(gòu)建實際的對等主機之間的IPSec SA。對于ISAKMP SA而言,一個關(guān)鍵的前提就是這兩個對等實體必須都已經(jīng)通過認(rèn)證。在NDS/IP中,認(rèn)證是基于預(yù)先共享的密鑰。
NDS/IP中用于加密、數(shù)據(jù)完整性保護(hù)和認(rèn)證的安全協(xié)議是隧道模式的IPSec ESP。在隧道模式的ESP中,包括IP頭的完整的IP數(shù)據(jù)包被封裝到ESP分組中。對于三重DES加密(3DES)算法是強制使用的,而對于數(shù)據(jù)完整性 和認(rèn)證,MD5和SHA-1都可以使用。
4.5 IPSec安全體系中的幾個重要組成和概念[5]
1)IPSec:IPSec在IP層(包括IPv4和IPv6)提供了多種安全服務(wù),從而為上層協(xié)議提供保護(hù)。IPSec一般用來保護(hù)主機和安全網(wǎng)關(guān)之間的通信安全,提供相應(yīng)的安全服務(wù)。
2)ISAKMP:ISAKMP用來對SA和相關(guān)參數(shù)進(jìn)行協(xié)商、建立、修改和刪除。它定義了SA對等認(rèn)證的創(chuàng)建和管理過程以及包格式,還有用于密鑰產(chǎn)生的技術(shù),它還包括緩解某些威脅的機制。
3)IKE:IKE是一種密鑰交換協(xié)議,和ISAKMP一起,為SA協(xié)商認(rèn)證密鑰材料。IKE可以使用兩種模式來建立第一階段ISAKMP SA,即主模式和侵略性模式。兩種模式均使用短暫的Diffie-Hellman密鑰交換算法來生成ISAKMP SA的密鑰材料。
4)ESP:ESP用來在IPv4和IPv6中提供安全服務(wù)。它可以單獨使用或與AH一起使用,可提供機密性(如加 密)或完整性(如認(rèn)證)或同時提供兩種功能。ESP可以工作在傳送模式或隧道模式。在傳送模式中,ESP頭插入到IP數(shù)據(jù)報中IP頭后面、所有上層協(xié)議頭 前面的位置;而在隧道模式中,它位于所封裝的IP數(shù)據(jù)報之前。
標(biāo)準(zhǔn)化組織對IMS的安全體系和機制做了相應(yīng)規(guī)定,其中UE和P-CSCF之間的安全由接入網(wǎng)絡(luò)安全機制提 供,IMS網(wǎng)絡(luò)之上的安全由IP網(wǎng)絡(luò)的安全機制保證,UE與IMS的承載層分組網(wǎng)絡(luò)安全仍由原來的承載層安全機制支持。所有IP網(wǎng)絡(luò)端到端安全基于 IPSec,密鑰管理基于IKE協(xié)議。對于移動終端接入IMS之前已經(jīng)進(jìn)行了相應(yīng)的鑒權(quán),所以安全性更高一些。但是對于固定終端來說,由于固定接入不存在 類似移動網(wǎng)絡(luò)空中接口的鑒權(quán),P-CSCF將直接暴露給所有固定終端,這使P-CSCF更易受到攻擊。為此,在IMS的接入安全方面有待于進(jìn)一步的研究, 需要不斷完善IMS的安全機制。
回答者:
OscarDon
回答時間:2013-06-07 21:18
40 37
IMS:IP Multimedia Subsystem是一個全球性的、接入獨立并且基于標(biāo)準(zhǔn)的IP通道和業(yè)務(wù)控制體系.核心是SIP協(xié)議
3GPP在R5中引入了IMS,可以與現(xiàn)存的話音和數(shù)據(jù)網(wǎng)絡(luò)互通,不論是固定用戶還是移動用戶,使得各種類型的客戶都可以建立起對等的IP通信。IMS成了IP核心網(wǎng)的核心。
傳輸層采用IP網(wǎng)絡(luò)的IPv4和IPv6標(biāo)準(zhǔn)
控制層采用了因特網(wǎng)工程任務(wù)組(IETF)所制定的初始會話協(xié)議(SIP)和源描述協(xié)議(SDP);
應(yīng)用層采用了多個組織的標(biāo)準(zhǔn),比如OMA的PoC協(xié)議、Fetion協(xié)議等
3GPP在R5中引入了IMS,可以與現(xiàn)存的話音和數(shù)據(jù)網(wǎng)絡(luò)互通,不論是固定用戶還是移動用戶,使得各種類型的客戶都可以建立起對等的IP通信。IMS成了IP核心網(wǎng)的核心。
傳輸層采用IP網(wǎng)絡(luò)的IPv4和IPv6標(biāo)準(zhǔn)
控制層采用了因特網(wǎng)工程任務(wù)組(IETF)所制定的初始會話協(xié)議(SIP)和源描述協(xié)議(SDP);
應(yīng)用層采用了多個組織的標(biāo)準(zhǔn),比如OMA的PoC協(xié)議、Fetion協(xié)議等
回答者:
wwwmscbsccom
回答時間:2013-06-07 21:37
33 30
中文譯名:IP多媒體子系統(tǒng)
IMS,即IPMultimedia Subsystem,中文意義為IP多媒體子系統(tǒng),本質(zhì)上說是一種網(wǎng)絡(luò)結(jié)構(gòu)。該項技術(shù)植根于移動領(lǐng)域,最初是3GPP為移動網(wǎng)絡(luò)定義的,而在NGN的框架下,IMS應(yīng)同時支持固定接入和移動接入。
IMS,即IPMultimedia Subsystem,中文意義為IP多媒體子系統(tǒng),本質(zhì)上說是一種網(wǎng)絡(luò)結(jié)構(gòu)。該項技術(shù)植根于移動領(lǐng)域,最初是3GPP為移動網(wǎng)絡(luò)定義的,而在NGN的框架下,IMS應(yīng)同時支持固定接入和移動接入。
回答者:
zhangshiqin
回答時間:2013-06-08 14:07
41 38
• 西安長河通訊有限責(zé)任公司
聘:網(wǎng)絡(luò)優(yōu)化工程師
需求人數(shù):4 人 地點:渭南市,商洛市,漢中市,安康市
• 重慶信科通信工程有限公司 聘:江西電信原廠高級后臺
需求人數(shù):2 人 地點:九江市
• 成都旗訊通信技術(shù)有限公司 聘:招聘督導(dǎo)、傳輸、維護(hù)轉(zhuǎn)網(wǎng)優(yōu)中高級
需求人數(shù):12 人 地點:寧夏,湖南省,甘肅省,廣西省,青海省
• 北京電旗通訊技術(shù)股份有限公司 聘:網(wǎng)優(yōu)實習(xí)生通信應(yīng)屆生(云南)
需求人數(shù):1 人 地點:昆明市,思茅市,昭通市
• 吉訊股份有限公司 聘:網(wǎng)絡(luò)優(yōu)化負(fù)責(zé)人
需求人數(shù):3 人 地點:山西省
• 浙江省郵電工程建設(shè)有限公司 聘:寧夏中興5G網(wǎng)優(yōu)中高級工程師
需求人數(shù):10 人 地點:寧夏
• 錦華技術(shù)(蘭州)有限公司 聘:杭州5G中興中級/高級后臺
需求人數(shù):5 人 地點:杭州市,寧波市,嘉興市,溫州市,紹興市
• 安徽引途科技有限公司 聘:福建測試/1個月
需求人數(shù):2 人 地點:福建省
• 河南創(chuàng)賽通信科技有限公司 聘:人事招聘咨詢專員
需求人數(shù):53 人 地點:鄭州市
• 福州弘宇信合通信技術(shù)有限公司 聘:“1+N項目”高級網(wǎng)優(yōu)工程師
需求人數(shù):1 人 地點:清遠(yuǎn)市
需求人數(shù):4 人 地點:渭南市,商洛市,漢中市,安康市
• 重慶信科通信工程有限公司 聘:江西電信原廠高級后臺
需求人數(shù):2 人 地點:九江市
• 成都旗訊通信技術(shù)有限公司 聘:招聘督導(dǎo)、傳輸、維護(hù)轉(zhuǎn)網(wǎng)優(yōu)中高級
需求人數(shù):12 人 地點:寧夏,湖南省,甘肅省,廣西省,青海省
• 北京電旗通訊技術(shù)股份有限公司 聘:網(wǎng)優(yōu)實習(xí)生通信應(yīng)屆生(云南)
需求人數(shù):1 人 地點:昆明市,思茅市,昭通市
• 吉訊股份有限公司 聘:網(wǎng)絡(luò)優(yōu)化負(fù)責(zé)人
需求人數(shù):3 人 地點:山西省
• 浙江省郵電工程建設(shè)有限公司 聘:寧夏中興5G網(wǎng)優(yōu)中高級工程師
需求人數(shù):10 人 地點:寧夏
• 錦華技術(shù)(蘭州)有限公司 聘:杭州5G中興中級/高級后臺
需求人數(shù):5 人 地點:杭州市,寧波市,嘉興市,溫州市,紹興市
• 安徽引途科技有限公司 聘:福建測試/1個月
需求人數(shù):2 人 地點:福建省
• 河南創(chuàng)賽通信科技有限公司 聘:人事招聘咨詢專員
需求人數(shù):53 人 地點:鄭州市
• 福州弘宇信合通信技術(shù)有限公司 聘:“1+N項目”高級網(wǎng)優(yōu)工程師
需求人數(shù):1 人 地點:清遠(yuǎn)市
熱點問題
更多精彩
聯(lián)系我們 - 問通信專家 | Powered by MSCBSC 移動通信網(wǎng) © 2006 - |