IP 多媒体子系统.doc

下载

下载

16积分

20积分

下载

20积分

VIP价：16积分

IP 多媒体子系统 IMS 1. 前言 在经历了十几年的高速发展后，移动运营商越来越认清了一条重要的规律，那就是电信 业务必须不断地发展以不断满足经济发展以及人们生活、工作和娱乐的通信和信息需求。目 前，Yahoo! Messenger 和腾讯 QQ 等多媒体业务早已风靡全球。然而，它们是建立在固定 Internet 网络良好能力的基础上的，没有任何通信和接入的质量保证，因此，迅速开发移动 IP 多媒体业务是当前电信运营商的当务之急。 IMS 的全称是“IP Multimedia Subsystem” ，即基于 IP 的多媒体系统，也称 IP 多媒体 子系统。IMS 系统为下一代基于 IP 的移动网络提供了面向分组数据包交换的多媒体服务及 平台。它能够满足现在的终端客户更新颖、更多样化多媒体业务的需求。目前，IMS 被认为 是下一代网络的核心技术，也是解决移动与固网融合，引入语音、数据、视频三重融合等差 异化业务的重要方式。但是，目前全球 IMS 网络多数处于初级阶段，应用方式也处于业界 探讨当中。(IMS 的概念引入) 2. IMS 的定位(技术特点和结构组成) IMS 在 3GPP(国际第三代移动通信组织)Release 5 版本中提出，，旨在提供增强型 IP 服 务的一个全方位框架，是对 IP 多媒体业务进行控制的网络核心层逻辑功能实体的总称。它 的初衷是以目前的全球移动系统通信（GSM）核心网络为基础，重点开发面向第三代移动 系统的通信规范，及支持该系统的无线电接入技术。后来经过修改，其任务又涉及 GSM 规 范及其相关无线电接入技术的维护与开发工作。R5 主要定义 IMS 的核心结构，网元功能、 接口和流程等内容；R6 版本增加了部分 IMS 业务特性、IMS 与其他网络的互通规范和无线 局域网（WLAN）接入特性等；R7 版本加强了对固定、移动融合的标准化制订，要求 IMS 支持数字用户线（xDSL）、电缆调制解调器等固定接入方式。 软交换技术从 1998 年就开始出现并且已经历了实验、商用等多个发展阶段，目前已比 较成熟。全球范围早已有多家电信运营商开展了软交换试验，发展至今，软交换技术已经具 备了替代电路交换机的能力，并具备一定的宽带多媒体业务能力。在软交换技术已发展如此 成熟的今天，IMS 的出路在何方?又该如何发展和定位呢?首先需要对 IMS 和软交换进行较 为全面的比较和分析。 如果从采用的基础技术上看，IMS 和软交换有很大的相似性：都是基于 IP 分组网；都 实现了控制与承载的分离；大部分的协议都是相似或者完全相同的；许多网关设备和终端设 备甚至是可以通用的。 IMS 和软交换最大的区别在于以下几个方面。 （1）在软交换控制与承载分离的基础上，IMS 更进一步的实现了呼叫控制层和业务控 制层的分离； （2）IMS 起源于移动通信网络的应用，因此充分考虑了对移动性的支持，并增加了外 置数据库——归属用户服务器（HSS），用于用户鉴权和保护用户业务触发规则； （3）IMS 全部采用会话初始协议（SIP）作为呼叫控制和业务控制的信令，而在软交换 中，SIP 只是可用于呼叫控制的多种协议的一种，更多的使用媒体网关协议（MGCP）和 协议。 总体来讲，IMS 和软交换的区别主要是在网络构架上。软交换网络体系基于主从控制的 特点，使得其与具体的接入手段关系密切，而 IMS 体系由于终端与核心侧采用基于 IP 承载 的 SIP 协议，IP 技术与承载媒体无关的特性使得 IMS 体系可以支持各类接入方式，从而使 得 IMS 的应用范围从最初始的移动网逐步扩大到固定领域。此外，由于 IMS 体系架构可以 支持移动性管理并且具有一定的服务质量（QoS）保障机制，因此 IMS 技术相比于软交换 的优势还体现在宽带用户的漫游管理和 QoS 保障方面。（将软交换同 IMS 相比较，意在帮 助理解 IMS） 一个 IMS 包括一个或多个 CSCF（呼叫会话控制功能）、MGCF（媒体网关控制功能）、 IMS 媒体网关、MRFC（多媒体资源功能处理器）、SLF（订购关系定位功能）、中断网关控 制功能和应用服务器。 图 IMS 分层体系结构 IMS 主要使用了如下组件：归属用户服务、呼叫会话控制功能、安全网关、IP 媒体服 务器、及应用服务器。 归属用户服务(HSS)主要存储用户和服务相关的数据，如用户身份、注册信息、接 入参数和服务触发（service-triggering）信息等。HSS 还具备：  用户定位功能――定位分组和公共陆地移动网络（PLMN）的用户地址，并存储 客户所使用的电话类型，及使用服务时所在位置等信息。  身份验证功能――存储移动用户的密钥并可为每名用户生成动态密码。 HSS 通常存储了高达每名用户 10 KB 的内容。所以一个支持 100 万名用户的 HSS 可能 就需要 64 位线性寻址能力，以便能够快速地存取内存高速缓存中的信息。 呼叫会话控制功能由几个“子组件”组成，它们负责处理所有与建立和结束呼叫相关 的信令，以及基本的 SIP 讯息交换。CSCF 还可以处理控制 IP 媒体本身的信令，以及会话初 始化管理等。这些子组件包括代理 CSCF（P-CSCF）、询问 CSCF（I-CSCF）和服务 CSCF （S-CSCF）。 代理 CSCF 是用户设备的唯一连结点。用户发出的所有讯息均须经由 P-CSCF 进入 IMS，P-CSCF 执行如下功能：  通过查询 HSS 来实现初步的安全保护  验证 SIP 讯息  执行 IPSec 完整性保护，以创建可信的讯息  压缩讯息以减少延迟  创建计费信息 目前，P-CSCF 一般位于归属网络中，未来也许会被移植到被访问网络。 询问 CSCF 是归属网络内的第一连结点，I-CSCF 负责联系 HSS 以便为具体用户确定 服务-CSCF 的位置。I-CSCF 可能会提供一个拓扑隐藏网际网关（THIG），它可以通过加密 SIP 讯息中的一些内部 IP 地址和其它网络信息，帮助保护 IMS 网络拓扑。 I-CSCF 通常位于归属网络。如果使用 THIG，则 I-CSCF 一般位于被访问网络。 服务 CSCF 负责处理终端之间的所有 SIP 信令，并执行如下功能：  提供 SIP 路由，具体是将公共用户身份（目前是电话号码，将来也许会改变）转 换为终端 IP 地址，并向应用服务器发送讯息  保持会话的畅通，将用户地址（例如，用户设备的 IP 地址）与 SIP 记录地址（公 共用户身份）紧密相连  控制会话  阻止未授权用户使用服务 S-CSCF 总是位于归属网络。 安全网关是电信网络之间，以及企业与电信网络之间的通信通道。它主要控制讯息 在 NAT（网络地址转换）服务器和防火墙的出入，也可能会承担一些其它的安全功能，如 数据包过滤等。此外，安全网关还具备以下功能：  强化 IMS 域之间的安全政策  保护出入 IMS 域的控制平面讯息  设置并维护 IPSec 安全关联（SA） IP 媒体服务器具备所有的流媒体功能，可提供丰富的多媒体讯息：如视频、语音和 文本。它负责管理相关的编码器（编码/解码）和流媒体的代码转换工作，以及回声消除、 声音侦测和声音生成等工作。 IP 媒体服务器还能够提供流倍增和流广播，以满足会议应用的需要，它还可以连结至 电路交换网络。 应用服务器为 IMS 网络提供多媒体服务，它主要提供所有其它 IMS 组件如 SIP Servlet 的访问权限。应用服务器也可用来部署新服务，由于 IMS 采用模块化架构，因此只 需更换或升级应用服务器即可完成新服务部署。这样的战略完全不同于之前的垂直模式，在 垂直模式中，服务总是作为单点解决方案来部署，每项服务都使用自己的一套专有设备。 应用服务器可以位于归属网络，也可以位于第三方网络，如果位于第三方网络，它们 就不能与 HSS 接合。因为应用服务器属于 OSA（开放服务架构）应用服务器，所以它们可 以安全地从外部网络接入 IMS 并连接到 GSM CAMEL（移动增强逻辑定制应用）服务器。 3. IMS 的发展与应用 IMS 标准的发展 对 IMS 进行标准化的国际标准组织主要有 3GPP 和高级网络电信和互联网融合业务和 协议（TISPAN）。3GPP 侧重于从移动的角度对 IMS 进行研究，而 TISPAN 则侧重于从固定 的角度对 IMS 提出需求，并统一由 3GPP 来完善。 3GPP 对 IMS 的标准化是按照 R5 版本、R6 版本、R7 版本……这个过程来发布的，IMS 首次提出是在 R5 版本中，然后在 R6、R7 版本中进一步完善。R5 版本主要侧重于对 IMS 基本结构、功能实体及实体间的流程方面的研究；而 R6 版本主要是侧重于 IMS 和外部网络 的互通能力以及 IMS 对各种业务的支持能力等。相比于 R5 版本，R6 版本的网络结构并没 有发生改变，只是在业务能力上有所增加。在 R5 的基础上增加了部分业务特性，网络互通 规范以及无线局域网接入特性等，其主要目的是促使 IMS 成为一个真正的可运营的网络技 术。R7 阶段更多的考虑了固定方面的特性要求，加强了对固定、移动融合的标准化制订。R5 版本和 R6 版本分别在 2002 年和 2005 年被冻结，而 R7 版本也即将冻结。 在 TISPAN 定 义 的 NGN 体 系 架 构 中 ， IMS 是 业 务 部 件 之 一 。 TISPANIMS 是 在 3GPPR6IMS 核心规范的基础上对功能实体和协议进行扩展的，支持固定接入方式。TISPAN 的工作方式和 3GPP 相似，都是分阶段发布不同版本。目前，TISPAN 已经发布了 R1 版本 相关规范，从固定的角度向 3GPP 提出对 IMS 的修改建议；R2 版本目前还处于需求分析阶 段。 TISPAN 在许多文档中都直接应用了 3GPP 的相关文档内容，而 3GPPR7 版本中的很多 内容又都是在吸收了 TISPAN 的研究成果的基础上形成的，所以一方对文档内容的修改都将 直接影响另一方。此外，部分先进的运营商（如德国电信、英国电信和法国电信）已经明确 了未来网络和业务融合的战略目标，并开始特别关注基于 IMS 的网络融合研究。各大设备 厂商也加大了对 IMS 在固网领域应用的研究，正积极参与并大力推进基于 IMS 的 NGN 的 标准化工作。因此各个标准之间的协调一致的问题还需要进一步探讨。 IP 媒体业务类型 IMS 是一个在分组域（PS）上的多媒体控制/呼叫控制平台，IMS 使得 PS 具有电路域 （CS）的部分功能，支持会话类和非会话类的多媒体业务。IMS 为未来的多媒体应用提供 了一个通用的业务平台，典型的业务如呈现、消息、会议、一键通等等。将不同的业务进行 分组可以得到以下一些类型。 （1）信息类业务，这类业务对用户来讲已经非常熟悉，而且目前为运营商带来了良好 的收益，IMS 的信息类业务将带给用户更多的选择，在享用这些信息类业务的同时，用户可 以随心所欲而且费用低廉的使用其他媒介，比如视频和声音等，同时可以灵活的选用实时业 务或非实时业务进行沟通。 （2）多媒体呼叫话音业务，这类业务可以给用户在原有的话音业务操作和应用上带来 全新的体验。 （3）增强型呼叫管理，可以实现让用户自己来控制业务，让用户的沟通更加灵活。 （4）群组业务，将不同的通信媒介聚合起来，为用户提供新的业务体验，而且 IMS 还 可以对业务进行新的开发和组合；突破传统的一对一的通信方式限制，可以提供基于群组的 通信方式。 （5）信息共享，常见的邮件携带附件的沟通模式可以完成部分的信息共享功能，但是 在许多情况下显得不够灵活，所以实时在线的信息共享通信应运而生，多个用户可以实时处 理同一个数据文件。 （6）在线娱乐，移动终端可以直接和信息资源互联，IMS 方式可以更好地呈现信息的 更新和沟通，并可以随着用户需求的增长对信息进行必要的过滤；对于用户的在线游戏，IMS 可以为用户提供从单机游戏到多用户在线参与的在线娱乐方式，同时用户还可以采用多种多 媒体来沟通交流。 IMS 的主要应用 随着 IMS 技术和产品的逐渐成熟，已经有一些运营商开始了 IMS 的商用，还有一些运 营商在进行相关的测试。从目前的商用和测试情况看，移动运营商已经开始商用，而固网运 营商还主要处于试验阶段。综合考虑，IMS 的应用主要集中在以下几个方面。 首先是在移动网络的应用，这类应用是移动运营商为了丰富移动网络的业务而开展的， 主要是在移动网络的基础上用 IMS 来提供 PoC、即时消息、视频共享等多媒体增值业务。 应用重点集中在给企业客户提供 IPCENTREX 和公众客户的 VoIP 第二线业务。 其次是固定运营商出于网络演进和业务的需要，通过 IMS 为企业用户提供融合的企业 的应用（IPCENTREX 业务），以及向固定宽带用户（例如 ADSL 用户）提供 VoIP 应用。 第三种典型的应用是融合的应用，主要体现在 WLAN 和 3G 的融合，以实现语音业务 的连续性。在这种方式下，用户拥有一个 WLAN/WCDMA 的双模终端，在 WLAN 的覆盖 区内，一般优先使用 WLAN 接入，因为这种方式用户使用业务的资费更低，数据业务的带 宽更充足。当离开 WLAN 的覆盖区后，终端自动切换到 WCDMA 网络，从而实现语音在 WLAN 和 WCDMA 之间的连续性。目前，这种方案的商用较少，但是许多运营商都在进行 测试。 在 IMS 中全部采用 SIP 协议，虽然 SIP 也可以实现最基本的 VoIP，但是这种协议在多 媒体应用中所展现出来的优势表明，它天生就是为多媒体业务而生的。由于 SIP 协议非常灵 活，所以 IMS 还存在许多潜在的业务。 IMS 独辟蹊径 与其它在 IP 上简单提供的电路服务不同，采用 IMS 框架的运营商可以在 IP 上建立一 个开放的服务基础设施，进而简单地部署丰富的媒体通信服务。 IMS 可以满足网络和用户的如下要求：  提供人与人的实时 IP 多媒体通信，如语音或视频电话；以及人机通信，如游戏、 视频点播和网上冲浪等。  全面集成各种实时通信，如即时流传输和即时聊天，及其它非实时多媒体。  支持多种服务和应用的互动，例如，视频会议和游戏或者实时视频和即时通讯。  轻松地提高通信会话体验，例如，通过“单击”将即时通讯会话转变为语音会话。 1．即时通 (Push to talk) 又叫做一键通业务，该服务使得手机终端用户能够在分组交换网络上，通过只按一个 按键就进行一对一或群体即时通话。该服务采取 “ 半双工 ” 模式，也就是说同一时间只有 一人能够讲话，从而更便于群体交流，该服务可以使用户能够在通话群中灵活地选定或者变 换通话对象。从而用户可以轻易地与通话群体中所有人或选择部分人进行 Push to talk 通话。 它是一种全数字传输的 VoIP 技术，其完全基于 SIP 协议和 IMS 的设计，很好的保证了互 通性、可量测性和向未来 3G 的平滑过渡。 2．IP 电话业务 随着宽带 IP 接入的普及，IP 终端电话成为新的热点，例如现在一些运营商正在推广的 IP 超市(类似于 IP 公用电话亭)，基于 的 IP 终端电话未能普及除了以前缺乏 IP 宽带 接入这个原因外，还因为 的用户认证一直是一个问题，另外 终端价格昂贵也 是一个原因。现在采用 SIP 基本上克服了这些问题，SIP 软件被免费集成在 Microsoft WinXP 操作系统中，因为 SIP 如此简单，甚至有运行在 Linux ， PocketPc（便携 PC） ，Symbian 上的 SIP Client 软件，使得手持终端上的 SIP 应用也成为可能，而且 SIP 还支持完善的用户 认证机制。所以基于 SIP 的 IMS 完全可以被用来作为 IP 终端电话系统。 3．串行振铃和并行振铃业务 因为一个 SIP 用户可以同时在很多终端上注册，比如他可能有几个固定办公电话，还有 无绳电话，移动电话，便携 PC 等，每种终端可以实现不同的功能，比如便携 PC 支持视频 而固定 SIP 电话可能连 P&M 都不支持，用户不需要总是带着所有终端，在各种情况下他只 带着其中一些，比如开会时他可能只带着便携 PC。 串行振铃业务是当另外一个用户呼叫该用户时，系统会根据该用户设定的次序和等待 时间依次振铃该用户的各种终端，直到该用户接通为止。 而并行振铃业务则是系统同时振铃该用户的所有注册终端，直到该用户接通为止。 4．会晤转移业务 会晤转移业务包括无条件转移，无应答转移和遇忙转移，该用户可以定制转移的统一 资源标识(URI)，当条件符合时，呼叫被转移到设定的目标。这种业务和传统电话呼叫转移 业务功能相同，只是增加了新的媒体类型。 5．主叫标识显示业务 和传统电话的主叫号码显示意义相同，只不过显示在被叫终端上的不只是主叫的 SIPURI，而可能是任何媒体，比如一张主叫的照片、一段声音或者视频片断。根据系统的 提示，主叫可以事先将要传送的标识上传到系统中存储，当主叫呼叫被叫时，SIP 消息报文 将主叫标识的统一资源地址(URL)传到被叫，被叫终端自动打开该 URL，从而看到主叫的标 识。 当前 IMS 的重要性正与日俱增，这是因为网络运营商需要将传统的服务，如语音呼叫 和短信服务（SMS）和数据服务，如电子邮件、上网和即时通讯（IM）进行融合。正如电 缆提供商正在探索着同时推出视频服务和电信服务一样，网络运营商也在尝试着提供视频服 务，以保持竞争力。此外，客户也期待着服务的融合，而 IMS 正好为网络运营商提供了一 个难得的机遇。 的优势 IMS 具有诸多优势，尤为明显的有四点：移动管理、服务质量、服务控制和开发商界 接口。 移动管理 IMS 可以在 IP 基础设施范围内的任何地理位置，搜索用户并建立会话。它有一个组件 负责保存用户数据，及用户（或服务器）之间的搜索与通信。它还有另外一个组件负责协助 建立和管理会话，并转发 IMS 网络之间的讯息。这两个组件共同实现了高效的移动管理。 服务质量 服务质量（QoS）是 IP 电信系统的一个常见问题。由带宽不足和其它原因引发的有损 质量的因素，如延迟、波动、数据包丢失和回声等，会使传输质量难以接受。 IP 语音（VoIP）之所以能够迅速普及，是因为开发面世的 QoS 机制能够控制这些不利 因素，以保持一定的质量水平。IMS 融入了控制实时移动 IP 通信质量的特殊机制，可通过 控制此处数据包网络和与其互动来确保质量的可接受性。 服务控制 移动服务提供商网络非常复杂，因为提供商必须提供各种不同的服务，以高效地满足 广大客户的要求。因此提供商必须能够一目了然地对这些服务进行管理、控制和计费。 在优化服务交付方面，IMS 侧重的是提供服务的效率。当客户访问移动提供商的 IMS 网络时，网络会提供一份个人资料以供下载。一旦系统拥有了这份资料，就会知道客户有权 使用的服务范围，就可以决定这些服务的执行顺序，如果有必要，还可以获得网络上提供这 些服务的应用服务器资料。借助这一相对简单的系统，移动运营商就可以控制和管理极大型 网络中极其复杂的服务交付工作。 标准接口 由于 IMS 采用的是标准化架构来支持部署增强的 IP 服务，因此第三方可以独立为任 何 IMS 部署开发各种服务。这有利于实现更大范围的服务集成、互操作性和漫游，也有利 于创新者形成强大的网络以解决服务提供商的各种要求。 IMS 中的 IP 寻址与分组域骨干网中使用的(例如 IPv4)和电路域中使用的是不同的，所 以 IPv6 和 IPv4 互通的问题需要解决。 缺少 IPv6 的实践经验。 用于移动台接入 IP 多媒体服务的 IP 寻址范围必须在 IMS 寻址域内，这个寻址域是在 建立好 IP 连接时激活的 PDP（策略决策点）上下文中安排好的。IP 地址可以从服务域而不 是归属域的 GGSN 中获得，从路由的效率来考虑，这是一个优点。 5.基于 IMS 的网络融合问题 随着通信网络的发展与演进，融合是不可避免的主题，固定和移动的融合（FMC）更 是迫切要解决的问题。ETSI（欧洲电信标准化协会）给 FMC 下的定义是：“固定移动融合 是一种能提供与接入技术无关的网络能力。但这并不意味着一定是物理上的网络融合，而只 关心一个融合的网络体系结构和相应的标准规范。这些标准可以用来支持固定业务、移动业 务以及固定移动混合的业务。固定移动融合的一个重要特征是，用户的业务签约和享用的业 务，将从不同的接入点和终端上分离开来，以允许用户从任何固定或移动的终端上，通过任 何兼容的接入点访问完全相同的业务，包括在漫游时也能获得相同的业务。”在给 FMC 下定 义的同时也对固定移动网络的融合提出了相应的要求。 IMS 进一步发扬了软交换结构中业务与控制分离、控制与承载分离的思想，比软交换进 行了更充分的网络解聚，网络结构更加清晰合理。网络各个层次的不断解聚是电信网络发展 的总体趋势。网络的解聚使得垂直业务模式被打破，有利于业务的发展；另外，不同类型网 络的解聚也为网络在不同层次上的重新聚合创造了条件。这种重新聚合，就是网络融合的过 程。利用 IMS 实现对固定接入和移动接入的统一核心控制，主要是 IMS 具有以下特点。 （1）与接入无关性。虽然 3GPPIMS 是为移动网络设计的，TISPANNGN 是为固定 xDSL 宽带接入设计的，但它们采用的 IMS 网络技术却可以做到与接入无关，因而能确保对 FMC 的支持。从理论上可以实现不论用户使用什么设备、在何地接入 IMS 网络，都可以使用归 属地的业务。 （2）统一的业务触发机制。IMS 核心控制部分不实现具体业务，所有的业务包括传统 概念上的补充业务都由业务应用平台来实现，IMS 核心控制只根据初始过滤规则进行业务触 发，这样消除了核心控制相关功能实体和业务之间的绑定关系，无论固定接入还是移动接入 都可以使用 IMS 中定义的业务触发机制实现统一触发。 （3）统一的路由机制。IMS 中仅保留了传统移动网中 HLR（归属位置寄存器）的概 念，而摒弃了 VLR（采访位置寄存器）的概念，和用户相关的数据信息只保存在用户的归属 地，这样不仅用户的认证需要到归属地认证，所有和用户相关的业务也必须经过用户的归属 地。 （4）统一用户数据库。HSS（归属业务服务器）是一个统一的用户数据库系统，既可 以存储移动 IMS 用户的数据，也可以存储固定 IMS 用户的数据，数据库本身不再区分固定 用户和移动用户。特别是业务触发机制中使用的初始过滤规则，对 IMS 中所定义的数据库 来讲完全是透明数据的概念，屏蔽了固定和移动用户在业务属性上的差异。 （5）充分考虑了运营商实际运营的需求，在网络框架、QoS（服务质量）、安全、计费 以及和其他网络的互通方面都制定了相关规范。 IMS 所具有这些特征可以同时为移动用户和固定用户所共用，这就为同时支持固定和 移动接入提供了技术基础，使得网络融合成为可能。 目前电信业务的发展已经到达了个人通信的重要阶段，传统的多媒体业务结构无法支持 移动(个人化的)多媒体通信的需求，3GPP R5/R6 采用的 SIP 体系结构和 IP 多媒体子系统为 满足下一代的电信业务需求打下了基础，结合 OSA 技术和虚拟驻地环境技术，电信用户可 以获得他们急需的新的移动多媒体通信业务，电信运营商也将在第三代移动通信上找到自己 的业务增长点。 存在的安全问题分析 受累于 DNS 　　其实，本质上讲，安全的实现就是在 IMS 和公众互联网之间所设立的一道墙，以 防止一切可疑内容的通过。3GPP /3GPP2 在 IMS 安全问题上进行了详细的定义，包括 SIM 应用和认证程序。但很遗憾，3GPP /3GPP2 并没有对如何防止拒绝服务对 DNS 的攻击作相 关定义，这给 IMS 留下了巨大的安全隐患。3GPP /3GPP2 在 IMS 安全规范中也提到了“应该” 防范虚假地址欺骗，但并没有说明“如何”进行防范。除了安全缺陷之外，这还形成另一个问 题，就是不同 IMS 网络或者 IMS 网络与互联网 SIP 用户之间是否能够协同工作的问题。 　　在互联网上，DNS 是黑客们经常攻击的对象。这主要是因为，在互联网的世界里 存在大量的、相互独立的 DNS 服务器，不管你是增加、删除还是重新配置一台 DNS 服务器 都是非常简单的事情，当然也包括恶意攻击。可以说，在开发使用 DNS 技术的同时，我们 也为自己铺设了一个安全陷阱，虽然 DNS 技术给我们解决了许多问题，而且使用起来也非 常简单。 　　在 DNS 系统中，缓存中毒是非常普遍的现象。以前通常通过限制递归式 DNS 的 使用来进行防范，这是不对的，因为这将大大降低整个 DNS 系统的弹性。另一种防范方式 是“以毒攻毒”，即以同样的虚假地址向将要受到攻击的 DNS 服务器“海量”请求，从而将恶 意攻击淹没。这样做的后果很明显，在防范了恶意攻击的同时也拖垮了目标服务器。 　　同互联网一样，IMS 通过使用 DNS 来实现不同语言的 URL 链接和传统电话号码 与 IP 地址之间的解析，而且 IMS 对 DNS 的依赖相比互联网有过之而无不及。 　　如 IMS 安全规范所描述的那样，数据包在通过 PCSCF 时需要进行加密，而且这 一行为与有没有恶意攻击无关。这样一来，会使 PCSCF 实体中的防火墙功能大打折扣。（编 者注：CSCF——会话服务控制，是 IMS 的功能实体之一，它包括 PCSCF——代理 CSCF、 ICSCF——查询 CSCF 以及 SCSCF——服务 CSCF 等类型，在物理上可以是合一的，也可以 分别设置。）而且，为了满足电信级应用的要求，IMS 使用的是私有 DNS 服务器，还增加 了 ENUM（电话号码映射）设备。专家认为，这样做的危险性其实更大，因为一旦运营商 的 DNS 出现问题，整个网络的正常工作都将受到影响。 协同工作问题 　　另外一个相关的问题就是就是 IMS 网络与互联网 SIP 用户的协同工作问题。IMS 利用 ENUM 功能进行 SIP URL 的查询。但此类查询可以“由内往外”进行，却无法“由外往 内”。即查询可以从运营商的内网透传到互联网，却无法从互联网透传到电信运营商的私有 DNS，除非运营商的网络与公共互联网之间没有防火墙，这种情况令人费解。而且，向外查 询也十分的费劲，或者需要运营商在其网络和公共互联网之间设置防火墙，或者 IMS 的安 全模式需要重新定义。对于这个问题，3GPP 和 IETF 已经开始着手对 SIP 标准进行派生以 实现在 IMS 的环境下进行 SIP URL 的真正跨网查询。 传统的电信网络采用独立的 TDM 的专线，用户之间采用面向连接的通道进行通信，避 免了来自其他终端用户的各种窃听和攻击。 而 IMS 网络与互联网相连接，基于 IP 协议和开放的网络架构可以将语音、数据、多媒体等 多种不同业务，通过采用多种不同的接入方式来共享业务平台，增加了网络的灵活性和终端 之间的互通性，不同的移动接入还是固定接入，IMS 的安全问题都不容忽视。 IMS 的安全威胁主要来自于几个方面：未经授权地访问敏感数据以破坏机密性；未经授权地 篡改敏感数据以破坏完整性；干扰或滥用网络业务导致拒绝服务或降低系统可用性；用户或 网络否认已完成的操作；未经授权地接入业务等[1]。主要涉及到 IMS 的接入安全（3GPP ），包括用户和网络认证及保护 IMS 终端和网络间的业务；以及 IMS 的网络安全 （3GPP ）[2]，处理属于同一运营商或不同运营商网络节点之间的业务保护。除此 之外，还对用户终端设备和通用集成电路卡/IP 多媒体业务身份识别模块（UICC/ISIM）安 全构成威胁。 IMS 安全体系 IMS 系统安全的主要应对措施是 IP 安全协议（IPSec），通过 IPSec 提供了接入安全保护， 使用 IPSec 来完成网络域内部的实体和网络域之间的安全保护。3GPP IMS 实质上是叠加在 原有核心网分组域上的网络，对 PS 域没有太大的依赖性，在 PS 域中，业务的提供需要移 动设备和移动网络之间建立一个安全联盟（SA）后才能完成。对于 IMS 系统，多媒体用户 也需要与 IMS 网络之间先建立一个独立的 SA 之后才能接入多媒体业务。 3GPP 终端的核心是通用集成电路卡（UICC），它包含多个逻辑应用，主要有用户识别模块 （SIM）、UMTS 用户业务识别模块（USIM）和 ISIM。ISIM 中包含了 IMS 系统用户终端 在系统中进行操作的一系列参数（如身份识别、用户授权和终端设置数据等），而且存储了 共享密钥和相应的 AKA（Authentication and Key Agreement）算法。其中，保存在 UICC 上 的用户侧的 IMS 认证密钥和认证功能可以独立于 PS 域的认证密钥和认证功能，也可和 PS 使用相同的认证密钥和认证功能。IMS 的安全体系如图 1 所示。 图 1　IMS 安全体系结构图 图 1 中显示了 5 个不同的安全联盟用以满足 IMS 系统中不同的需求，分别用①、①、①、①、 ①来加以标识。 ①提供终端用户和 IMS 网络之间的相互认证。 ①在 UE 和 P-CSCF 之间提供一个安全链接（Link）和一个安全联盟（SA），用以保护 Gm 接口，同时提供数据源认证。 ①在网络域内为 Cx 接口提供安全。 ①为不同网络之间的 SIP 节点提供安全，并且这个安全联盟只适用于代理呼叫会话控制功能 （P-CSCF）位于拜访网络（VN）时。 ①为同一网络内部的 SIP 节点提供安全，并且这个安全联盟同样适用于 P-CSCF 位于归属网 络（HN）时。 除上述接口之外，IMS 中还存在其他的接口，在上图中未完整标识出来，这些接口位于安全 域内或是位于不同的安全域之间。这些接口（除了 Gm 接口之外）的保护都受 IMS 网络安 全保护。 SIP 信令的保密性和完整性是以逐跳的方式提供的，它包括一个复杂的安全体系，要求每个 代理对消息进行解密。SIP 现在使用两种安全协议：传输层安全协议（TLS）和 IPSec，TLS 可以实现认证、完整性和机密性，用 TLS 来保证安全的请求必须使用可靠的传输层协议， 如传输控制协议（TCP）或流控制传输协议（SCTP）；IPSec 通过在 IP 层对 SIP 消息提供 安全来实现认证、完整性和机密性，它同时支持 TCP 和用户数据报协议（UDP）。在 IMS 核心网中，可通过 NDS/IP 来完成对网络中 SIP 信令的保护；而第一跳，即 UE 和 P-CSCF 间的信令保护则需要附加的测量，在 3GPP TS 中有具体描述。 IMS 的接入安全 IMS 用户终端（UE）接入到 IMS 核心网需经一系列认证和密钥协商过程，具体而言， UE 用户签约信息存储在归属网络的 HSS 中，且对外部实体保密。当用户发起注册请求时， 查询呼叫会话控制功能（I-CSCF）将为请求用户分配一个服务呼叫会话控制功能 （S-CSCF），用户的签约信息将通过 Cx 接口从 HSS 下载到 S-CSCF 中。当用户发起接入 IMS 请求时，该 S-CSCF 将通过对请求内容与用户签约信息进行比较，以决定用户是否被允 许继续请求。 在 IMS 接入安全中，IPSec 封装安全净荷（ESP）将在 IP 层为 UE 和 P-CSCF 间所有 SIP 信 令提供机密性保护，对于呼叫会话控制功能（CSCF）之间和 CSCF 和 HSS 之间的加密可以 通过安全网关（SEG）来实现。同时，IMS 还采用 IPSec ESP 为 UE 和 P-CSCF 间所有 SIP 信令提供完整性保护，保护 IP 层的所有 SIP 信令，以传输模式提供完整性保护机制。 在完成注册鉴权之后，UE 和 P-CSCF 之间同时建立两对单向的 SA，这些 SA 由 TCP 和 UDP 共享。其中一对用于 UE 端口为客户端、P-CSCF 端口作为服务器端的业务流，另一对用于 UE 端口为服务器、P-CSCF 端口作为客户端的业务流。用两对 SA 可以允许终端和 P-CSCF 使用 UDP 在另一个端口上接收某个请求的响应，而不是使用发送请求的那个端口。同时， 终端和 P-CSCF 之间使用 TCP 连接，在收到请求的同一个 TCP 连接上发送响应；而且通过 建立 SA 实现在 IMS AKA 提供的共享密钥以及指明在保护方法的一系列参数上达成一致。 SA 的管理涉及到两个数据库，即内部和外部数据库（SPD 和 SAD）。SPD 包含所有入站和 出站业务流在主机或安全网关上进行分类的策略。SAD 是所有激活 SA 与相关参数的容器。 SPD 使用一系列选择器将业务流映射到特定的 SA，这些选择器包括 IP 层和上层（如 TCP 和 UDP）协议的字段值。 与此同时，为了保护 SIP 代理的身份和网络运营商的网络运作内部细节，可通过选择网 络隐藏机制来隐藏其网络内部拓扑，归属网络中的所有 I-CSCF 将共享一个加密和解密密钥。 在通用移动通信系统（UMTS）中相互认证机制称为 UMTS AKA，在 AKA 过程中采用双向 鉴权以防止未经授权的“非法”用户接入网络，以及未经授权的“非法”网络为用户提供服务。 AKA 协议是一种挑战响应协议，包含用户鉴权五元参数组的挑战由 AUC 在归属层发起而发 送到服务网络。 UMTS 系统中 AKA 协议，其相同的概念和原理被 IMS 系统重用，我们称之为 IMS AKA。AKA 实现了 ISIM 和 AUC 之间的相互认证，并建设了一对加密和完整性密钥。用来 认证用户的身份是私有的身份（IMPI），HSS 和 ISIM 共享一个与 IMPI 相关联的长期密钥。 当网络发起一个包含 RAND 和 AUTN 的认证请求时，ISIM 对 AUTN 进行验证，从而对网 络本身的真实性进行验证。每个终端也为每一轮认证过程维护一个序列号，如果 ISIM 检测 到超出了序列号码范围之外的认证请求，那么它就放弃该认证并向网络返回一个同步失败消 息，其中包含了正确的序列号码。 为了响应网络的认证请求，ISIM 将密钥应用于随机挑战（RAND），从而产生一个认 证响应（RES）。网络对 RES 进行验证以认证 ISIM。此时，UE 和网络已经成功地完成了 相互认证，并且生成了一对会话密钥：加密密钥（CK）和完整性密钥（IK）用以两个实体 之间通信的安全保护。 IMS 的网络安全 在第二代移动通信系统中，由于在核心网中缺乏标准的安全解决方案，使得安全问题尤 为突出。虽然在基站之间通常可由加密来保护，但是在核心网时，系统的节点之间却是以明 文来传送业务流，这就让攻击者有机可乘，接入到这些媒体的攻击者可以轻而易举对整个通 信过程进行窃听。 针对 2G 系统中的安全缺陷，第三代移动通信系统中采用 NDS 对核心网中的所有 IP 数据业 务流进行保护。可以为通信服务提供保密性、数据完整性、认证和防止重放攻击，同时通过 应用在 IPSec 中的密码安全机制和协议安全机制来解决安全问题。 在 NDS 中有几个重要的概念，它们分别是安全域（Security Domains）、安全网关 （SEG）。 　安全域 NDS 中最核心的概念是安全域，安全域是一个由单独的管理机构管理运营的网络。在 同一安全域内采用统一的安全策略来管理，因此同一安全域内部的安全等级和安全服务通常 是相同的。大多情况下，一个安全域直接对应着一个运营商的核心网，不过，一个运营商也 可以运营多个安全域，每个安全域都是该运营商整个核心网络中的一个子集。在 NDS/IP 中， 不同的安全域之间的接口定义为 Za 接口，同一个安全域内部的不同实体之间的安全接口则 定义为 Zb 接口。其中 Za 接口为必选接口，Zb 接口为可选接口。两种接口主要完成的功能 是提供数据的认证和完整性、机密性保护。 　安全网关 SEG 位于 IP 安全域的边界处，是保护安全域之间的边界。业务流通过一个 SEG 进入和 离开安全域，SEG 被用来处理通过 Za 接口的通信，将业务流通过隧道传送到已定义好的一 组其他安全域。这称为轮轴-辐条（hub-and-spoke）模型，它为不同安全域之间提供逐跳的 安全保护。SEG 负责在不同安全域之间传送业务流时实施安全策略，也可以包括分组过滤 或者防火墙等的功能。IMS 核心网中的所有业务流都是通过 SEG 进行传送，每个安全域可 以有一个或多个 SEG，网络运营商可以设置多个 SEG 以避免某独立点出现故障或失败。当 所保护的 IMS 业务流跨越不同安全域时，NDS/IP 必须提供相应的机密性、数据完整性和认 证。 　基于 IP 的网络域安全体系 NDS/IP 体系结构最基本的思想就是提供上从一跳到下一跳的安全，逐跳的安全也简化了内 部和面向其他外部安全域分离的安全策略的操作。 在 NDS/IP 中只有 SEG 负责与其他安全域中的实体间进行直接通信。两个 SEG 之间的业务 被采用隧道模式下的 IPSec ESP 安全联盟进行保护，安全网关之间的网络连接通过使用 IKE 来建立和维护[3]。网络实体（NE）能够面向某个安全网关或相同安全域的其他安全实体， 建立维护所需的 ESP 安全联盟。所有来自不同安全域的网络实体的 NDS/IP 业务通过安全网 关被路由，它将面向最终目标被提供逐跳的安全保护[5]。其网络域安全体系结构如图 2 所 示。 图 2　基于 IP 的网络域安全体系 密钥管理和分配机制 每个 SEG 负责建立和维护与其对等 SEG 之间的 IPSec SA。这些 SA 使用因特网密钥交 换（IKE）协议进行协商，其中的认证使用保存在 SEG 中的长期有效的密钥来完成。每个 对等连接的两个 SA 都是由 SEG 维护的：一个 SA 用于入向的业务流，另一个用于出向的业 务流。另外，SEG 还维护了一个单独的因特网安全联盟和密钥管理协议（ISAKMP）SA， 这个 SA 与密钥管理有关，用于构建实际的对等主机之间的 IPSec SA。对于 ISAKMP SA 而 言，一个关键的前提就是这两个对等实体必须都已经通过认证。在 NDS/IP 中，认证是基于 预先共享的密钥。 NDS/IP 中用于加密、数据完整性保护和认证的安全协议是隧道模式的 IPSec ESP。在隧道模 式的 ESP 中，包括 IP 头的完整的 IP 数据包被封装到 ESP 分组中。对于三重 DES 加密（3DES） 算法是强制使用的，而对于数据完整性和认证，MD5 和 SHA-1 都可以使用。 　IPSec 安全体系中的几个重要组成和概念 1）IPSec：IPSec 在 IP 层（包括 IPv6）提供了多种安全服务，从而为上层协议提供保护。IPSec 一般用来保护主机和安全网关之间的通信安全，提供相应的安全服务。 2）ISAKMP：ISAKMP 用来对 SA 和相关参数进行协商、建立、修改和删除。它定义了 SA 对等认证的创建和管理过程以及包格式，还有用于密钥产生的技术，它还包括缓解某些威胁 的机制。 3）IKE：IKE 是一种密钥交换协议，和 ISAKMP 一起，为 SA 协商认证密钥材料。IKE 可 以使用两种模式来建立第一阶段 ISAKMP SA，即主模式和侵略性模式。两种模式均使用短 暂的 Diffie-Hellman 密钥交换算法来生成 ISAKMP SA 的密钥材料。 4）ESP：ESP 用来在 IPv4 和 IPv6 中提供安全服务。它可以单独使用或与 AH 一起使用，可 提供机密性（如加密）或完整性（如认证）或同时提供两种功能。ESP 可以工作在传送模式 或隧道模式。在传送模式中，ESP 头插入到 IP 数据报中 IP 头后面、所有上层协议头前面的 位置；而在隧道模式中，它位于所封装的 IP 数据报之前。 结束语 标准化组织对 IMS 的安全体系和机制做了相应规定，其中 UE 和 P-CSCF 之间的安全由接入 网络安全机制提供，IMS 网络之上的安全由 IP 网络的安全机制保证，UE 与 IMS 的承载层 分组网络安全仍由原来的承载层安全机制支持。所有 IP 网络端到端安全基于 IPSec，密钥管 理基于 IKE 协议。对于移动终端接入 IMS 之前已经进行了相应的鉴权，所以安全性更高一 些。但是对于固定终端来说，由于固定接入不存在类似移动网络空中接口的鉴权，P-CSCF 将直接暴露给所有固定终端，这使 P-CSCF 更易受到攻击。为此，在 IMS 的接入安全方面 有待于进一步的研究，需要不断完善 IMS 的安全机制。 术语缩写（按字母排列） ARPU-------------------------------每用户平均收入 ATCA-------------------------------高级电信计算架构（AdvancedTCA） CAMEL----------------------------移动增强逻辑定制应用 CSCF--------------------------------呼叫会话控制功能 GSM---------------------------------全球移动通信系统 HSS----------------------------------归属用户服务 I-CSCF-----------------------------询问 CSCF IETF--------------------------------互联网工程任务组 IM-----------------------------------即时通讯 IMS---------------------------------多媒体子系统 IPSec--------------------------------IP 安全性 MGCP------------------------------媒体网关控制协议 NAT---------------------------------网络地址转换 OSA---------------------------------开放服务架构 P-CSCP----------------------------代理 CSCF PICMG ----------------------------PCI 工业计算机制造商组织 PLMN------------------------------分组和公共陆地移动网络 PSTN-------------------------------公用电话交换网 QoS---------------------------------服务质量 RTP---------------------------------实时传输协议 SA-----------------------------------安全关联 S-CSCF----------------------------服务 CSCF SIM---------------------------------用户识别模块 SIP----------------------------------会话初始化协议 SSL---------------------------------安全套接层 TEM-------------------------------电信设备制造商 THIG------------------------------拓扑隐藏网际网关 TLS--------------------------------透明局域网服务 VoIP -----------------------------IP 语音 3GPP ------------------------------第三代合作伙伴计划