名詞解釋
IMS即IP是由朗訊(Lucent)提出的下一代通信網(NGN)實現大融合方案的網路架構, 貝爾實驗室在IMS關鍵領域的創新——業務增強層的各種專利技術,決定了朗訊IMS融合解決方案的先進性。IMS解決方案相對於軟交換的解決方案有著非常多的優勢,在NGN市場正占據越來越重要的角色。截至2003年,國際權威標準組織普遍將IMS作為NGN網路融合以及業務和技術創新的核心標準。對於大規模商用部署而言,IMS從技術本身已足夠成熟。IMS不僅可以實現最初的VoIP業務,更重要的是IMS將更有效地對網路資源、用戶資源及套用資源進行管理,提高網路的智慧型,使用戶可以跨越各種網路並使用多種終端,感受融合的通信體驗。IMS作為一個通信架構,開創了全新的電信商業模式,拓展了整個信息產業的發展空間。在北美五大電信運營商中,迄今已有四家部署了朗訊的IMS技術,對於無線和有線融合有著極為重要的象徵性意義,標誌著IMS在全球的部署進入到一個新的階段。當然此項技術系統生長依然將注意力放在基礎運營服務上,實現全球的網路統一還有很多需要改變的地方。
本質說明
本質上說是一種網路結構。該項技術植根於移動領域,最初是3GPP為行動網路定義的,而在NGN的框架下,IMS應同時支持固定接入和移動接入。涵蓋IMS增強特性的3GPPR6已經基本凍結,這標誌著IMS技術已經走向成熟。
在NGN的框架中,終端和接入網路是各種各樣的,而其核心網路只有一個IMS,它的核心特點是採用SIP協定和與接入的無關性。
順應網路IP化的趨勢,IMS系統採用SIP協定進行端到端的呼叫控制。IP技術在網際網路上的套用已經非常成熟,是Internet的主導技術,它能方便而靈活地提供各種信息服務,並能根據客戶的需要快捷地創建新的服務。但是IP技術的一個最突出特性就是“盡力而為”,在數據傳輸的安全性和計費控制方面,卻顯得力不從心,而且只考慮固定接入方式。傳統的基於電路交換的行動網路,雖然具有接入的靈活性,可以隨時隨地進行語音的交換,但由於無法支持IP技術,所以只能形成一種垂直的業務展開方式,不同業務套用的互操作性較低,而且需要較多的業務網關接入移動通信網路。不同的業務分別進行業務接入、網路搭建、業務控制和業務套用開發,甚至包括業務計費等主要的網路單元也必須建立獨立的運營系統。所以,直到現在電信業務的主流仍然是話音業務。新業務的部署,在的狀態下很容易招致更大的風險和成本增加。在這種情況下,不論是移動網還是固定網均在向基於IP的網路演進,已經成為必然趨勢。
然而要將IP技術引入到電信級領域,就必須考慮到運營商實際網路運營的需求,需要IMS網路從網元功能、接口協定、QoS和安全、計費等方面全面支持固定的接入方式。從的研究看,SIP是具有簡單性、兼容性、模組化設計和第三方控制性從而成為基於Internet通信市場的主流協定。所以基於SIP的IMS框架通過最大限度重用Internet技術和協定、繼承蜂窩移動通信系統特有的網路技術和充分借鑑軟交換網路技術,使其能夠提供電信級的QoS保證、對業務進行有效而靈活的計費,並具有了融合各類網路綜合業務的強大能力。這樣,利用IMS系統,電信運營商可以低成本地進入其嚮往已久的移動領域,而移動運營商則可以在保證其原有的語音和簡訊業務質量不受影響的前提下,輕鬆引入全新的豐富的多媒體業務,即所謂的全業務運營。
至於接入的無關性,是指IMS借鑑軟交換網路技術,採用基於網關的互通方案,包括信令網關(SGW)、媒體網關(MGW)、媒體網關控制器(MGCF)等網元,而且在MGCF及MGW也採用IETF和ITU-T共同制訂的H.248/MEGACO協定。這樣的設計使得IMS系統的終端可以是移動終端,也可以是固定電話終端、多媒體終端、PC機等,接入方式也不限於蜂窩射頻接口,可以是無線的WLAN,或者是有線的LAN、DSL等技術。另外,由於IMS在業務層採用軟交換網路的開放式業務提供構架,可以完全支持基於套用伺服器的第三方業務提供,這意味著運營商可以在不改變現有的網路結構、不投入任何的設備成本條件下,輕鬆地開發新的業務,進行套用的升級。
主要特徵
如下圖所示。
•接入無關:IMS支持多種固定/移動接入方式的融合。從理論上說,不論你使用什麼設備、在什麼地方,都可以接入IMS網路。
•歸屬地控制:IMS採用歸屬地控制,區別於軟交換的拜訪地控制,和用戶相關的數據信息只保存在用戶的歸屬地。用戶鑒權認證、呼叫控制和業務控制都由歸屬地網路完成,從而保證業務提供的一致性,易於實現私有業務的擴展,促進歸屬運營商積極提供吸引用戶的業務。
•業務提供能力:IMS將業務層與控制層完全分離,有利於靈活、快速地提供各種業務套用,更利於業務融合。IMS的業務還可以通過開放的套用編程接口提供給第三方,可以為廣大的用戶開發出更加豐富多彩的套用。只要你願意,你也可以開發IMS的業務喔。
•安全機制:IMS網路部署了多種安全接入機制、安全域間信令保護機制以及網路拓撲隱藏機制。
•統一策略控制:IMS網路具有統一的QoS、安全和計費策略控制機制。
功能實體
如下圖所示。
IMS的系統架構由六部分組成:
•業務層:業務層與控制層完全分離,主要由各種不同的套用伺服器組成,除了在IMS網路內實現各種基本業務和補充業務(SIP-AS方式)外,還可以將傳統的窄帶智慧型網業務接入IMS網路中(IM-SSF方式),並為第三方業務的開發提供標準的開放的套用編程接口(OSA SCS方式),從而使第三方套用提供商可以在不了解具體網路協定的情況下,開發出豐富多彩的個性化業務。
•運營支撐:由線上計費系統(OCS)、計費網關(CG)、網元管理系統(EMS)、域名系統(DNS)以及歸屬用戶伺服器(HSS/SLF)組成,為IMS網路的正常運行提供支撐,包括IMS用戶管理、網間互通、業務觸發、線上計費、離線計費、統一的網管、DNS查詢、用戶簽約數據存放等功能。
•控制層:完成IMS多媒體呼叫會話過程中的信令控制功能,包括用戶註冊、鑒權、會話控制、路由選擇、業務觸發、承載面QoS、媒體資源控制以及網路互通等功能。
•互通層:完成IMS網路與其他網路的互通功能,包括公共交換電話網(PSTN)、公共陸地移動網(PLMN)、其他IP網路等。
•接入和承載控制層:主要由路由設備以及策略和計費規則功能實體(PCRF)組成,實現IP承載、接入控制、QoS控制、用量控制、計費控制等功能。
•接入網路:提供IP接入承載,可由邊界網關(A-SBC)接入多種多樣的終端,包括PSTN/ISDN用戶、SIP UE、FTTX/LAN以及Wimax/Wifi等。
IMS系統中涉及的主要功能實體有:
•本地用戶伺服器HSS(Home SubscriberServer)
•HSS在IMS中作為用戶信息存儲的資料庫,主要存放用戶認證信息、簽約用戶的特定信息、簽約用戶的動態信息、網路策略規則和設備標識暫存器信息,用於移動性管理和用戶業務數據管理。它是一個邏輯實體,物理上可以由多個物理資料庫組成。
•呼叫會話控制功能CSCF(Call Session Control Function)
•CSCF是IMS的核心部分,主要用於基於分組交換的SIP會話控制。在IMS中,CSCF負責對用戶多媒體會話進行處理,可以看作IETF架構中的SIP伺服器。根據各自不同的主要功能分為代理呼叫會話控制功能P.CSCF(Proxy CSCF)、問詢呼叫會話控制功能I-CSCF(Interrogation CSCF)和服務呼叫會話控制功能S.CSCF(Serving CSCF),三個功能在物理上可以分開,也可以獨立。
•多媒體資源功能MRF(Multimedia Resource Function)
•MRF主要完成多方呼叫與多媒體會議功能。MRF由多媒體資源功能控制器MRFC(Multimedia Resource Function Controller)和多媒體資源功能處理器MRFP(Multimedia Resource Function Processor)構成,分別完成媒體流的控制和承載功能。MRFC解釋從S.CSCF收到的SIP信令,並且使用媒體網關控制協定指令來控制MRFP完成相應的媒體流編解碼、轉換、混合和播放功能。
•網關功能
•網關功能主要包括:出IMS網關控制功能BGCF(Breakout Gateway ControlFunction)、媒體網關控制功能MGCF(Media Gateway Control Function)、IMS媒體網關IMS.MGW(IMS Media Gateway)和信令網關SGW(SignalingGateway)。
發展歷程
國際第三代移動通信組織3GPP一直在進行它稱為IP多媒體子系統IMS的標準化研究。在3GPP的檔案R5中,IMS是UMTS核心網路中提供端到端多媒體業務和集群多媒體業務的中心。在3GPP的R6中,IMS已經被定義為支持所有IP接入網的多媒體業務核心網,可以支持任何一種移動的或固定的、有線的或無線的IP-CAN(IP Connectivity Access Networks),包括W-CDMA,CDMA2000,Ethernet,xDSL以及Wireless LAN等等。
IMS由控制多媒體會話的網路實體組成,在UMTS中IMS是提供IP多媒體服務的核心。IP多媒體服務使用GPRS網路來進行傳輸。網路提供者同時為IP多媒體服務提供傳輸實體和網路控制實體。網路結構同時允許為第三方提供附加的IP多媒體服務。
在UMTS版本5或更高的版本中,新增加的主要內容就是添加了兩個全新的具有重要能力的IMS。第一,增加類似呼叫狀態控制功能(CSCF)的新的網路實體來提供基本的IP多媒體服務,例如在兩個用戶間的多媒體會話的發起。第二,相互兼容已經發展到可以提煉一些網路實體能力的階段,例如開放業務接入(OSA)服務能力。利用基本的IP多媒體服務和網路提供的能力,OSA服務能力的功能被期望能夠激勵第三方新的IP多媒體服務的產生。
一個IMS包括一個或多個CSCF、媒體網關控制功能(MGCF)、IMS媒體網關、多媒體資源功能處理器(MRFC)、訂閱位置功能、中斷網關控制功能(BGCF)和套用伺服器。我們下面解釋IMS如何實現其主要功能和如何為UMTS增加支持多媒體業務。
IPv6--IMS的信令和會話業務都是通過IP承載的,但是,並不是任何版本的IP都是可以使用的,IMS要求只有IPv6才能在IMS域中使用。雖然這將使UMTS這一全球第一商業系統廣泛地發展IPv6,但是這仍將是一個大膽的要求,因為:
IMS中的IP定址與分組域骨幹網中使用的(例如IPv4)和電路域中使用的是不同的,所以IPv6和IPv4互通的問題需要解決。
用於移動台接入IP多媒體服務的IP定址範圍必須在IMS定址域內,這個定址域是在建立好IP連線時激活的PDP上下文中安排好的。IP位址可以從服務域而不是歸屬域的GGSN中獲得,從路由的效率來考慮,這是一個優點。
呼叫/會話控制--CSCF使用SIP在呼叫控制中發揮了核心作用。CSCF可以比作電路域語音通話中移動交換中心的信令部分和控制部分。除了語音通信之外,它還能支持多媒體會話。SIP是在移動台和CSCF之間、CSCF之間、CSCF和MGCF之間、CSCF和套用伺服器之間有關信令方面的協定。CSCF起到了很多作用:作為代理CSCF(P-CSCF),這是移動台和IMS連線最初的一點;作為提供服務的CSCF(S-CSCF),可以用於會話控制;作為詢問CSCF(I-CSCF),這是網路中各個移動台的有關IMS信令的一個主要的連線點。
PSTN互通--當會話的一端為IMS用戶,而會話的另一端是公共電話交換網用戶時,網路需要四個新的功能實體-IMS媒體網關、MGCF、信令網關和BGCF。BGCF具有支持PSTN與PS域之間的呼叫的功能。媒體網關用來完成在兩端用不同格式編碼的媒體信號的翻譯。MGCF控制IMS媒體網關,提供在基於SIP的和基於ISUP信令之間套用級的信令翻譯,並且與S-CSCF進行通信。傳輸級的在基於IP的和基於SS7的信令翻譯由SGW完成。BGCF識別網路和網路中的MGCF,並確定進入PSTN的位置。
處理用戶簽訂的信息和用戶狀態的信息--歸屬用戶伺服器(HSS)是主要的資料庫,它存儲用戶簽訂的業務信息和本地信息。它可以被考慮為一個增強型GSM網路中的歸屬位置暫存器。因為在網路中有幾個HSS存在,在註冊和會話建立過程中,為了找到有目標用戶信息的HSS,用戶位置功能被CSCF詢問。用戶位置功能不需要在單一的HSS環境下實現,因為CSCF知道哪一個HSS會被使用。
可以使用各種不同的套用伺服器,包括基於SIP的套用伺服器和OSA套用伺服器,這些套用伺服器可以實現各種服務,例如語音提示服務和預付費服務。支持多種服務的套用伺服器還可以促進新的業務的產生。在這兩種情況下,SIP為S-CSCF的信令服務,然而,在一個OSA套用伺服器的例子中,一個OSA容量伺服器應該插入在OSA套用伺服器和S-CSCF之間。
多方會議-媒體資源功能處理器(MRFP)和媒體資源功能控制器(MRFC)支持多方多媒體會議,並能體現媒體資源(例如,語音提示功能)的實際能力。MRFP處理和混合實際的媒體流,MRFC控制MRFP的媒體流資源。
其他問題-在設計和標準化UMTS的過程中,產生了很多複雜的問題。例如,在2000年底才確定下來一個用戶的服務控制由它的歸屬網路來執行,並且,當用戶漫遊到國外網路時,這個功能仍然適用,但是,因為存在僅僅由歸屬域控制產生的潛在的劣勢,例如,歸屬域的過載和處理分組上的延遲,所以由訪問域進行控制的問題也已經開始考慮了。而且,關於支持由訪問域和歸屬域通過IMS共同控制的問題,3GPP已經討論了一段時間了。然而支持兩種模式必定會使網路結構更加複雜。因此,3GPP最終決定使用歸屬域來控制,但是,以後可能會重新進行這一問題的討論。
總之,IMS為未來的ALL-IP網路和與固網的無縫融合提供了可能,是下一代網路和套用的代名詞。
概念
IMS(IP Multimedia Subsystem)是IP多媒體系統,是一種全新的多媒體業務形式,它能夠滿足的終端客戶更新穎、更多樣化多媒體業務的需求。IMS被認為是下一代網路的核心技術,也是解決移動與固網融合,引入語音、數據、視頻三重融合等差異化業務的重要方式。但是,全球IMS網路多數處於初級階段,套用方式也處於業界探討當中。
定位
IMS在3GPPRelease 5版本中提出,是對IP多媒體業務進行控制的網路核心層邏輯功能實體的總稱。3GPP R5主要定義IMS的核心結構,網元功能、接口和流程等內容:R6版本增加了部分IMS業務特性、IMS與其他網路的互通規範和無線區域網路(WLAN)接入特性等;R7版本加強了對固定、移動融合的標準化制訂,要求IMS支持數字用戶線(xDSL)、電纜數據機等固定接入方式。
軟交換技術從1998年就開始出現並且已經歷了實驗、商用等多個發展階段,已比較成熟。全球範圍早已有多家電信運營商開展了軟交換試驗,發展至今,軟交換技術已經具備了替代電路交換機的能力,並具備一定的寬頻多媒體業務能力。在軟交換技術已發展如此成熟的今天,IMS的出路在何方?又該如何發展和定位呢?首先需要對IMS和軟交換進行較為全面的比較和分析。
如果從採用的基礎技術上看,IMS和軟交換有很大的相似性:都是基於IP分組網;都實現了控制與承載的分離;大部分的協定都是相似或者完全相同的;許多網關設備和終端設備甚至是可以通用的。
IMS和軟交換最大的區別在於以下幾個方面。
(1)在軟交換控制與承載分離的基礎上,IMS更進一步的實現了呼叫控制層和業務控制層的分離;
(2)IMS起源於移動通信網路的套用,因此充分考慮了對移動性的支持,並增加了外置資料庫——歸屬用戶伺服器(HSS),用於用戶鑒權和保護用戶業務觸發規則;
(3)IMS全部採用會話初始協定(SIP)作為呼叫控制和業務控制的信令,而在軟交換中,SIP只是可用於呼叫控制的多種協定的一種,更多的使用媒體網關協定(MGCP)和H.248協定。
總體來講,IMS和軟交換的區別主要是在網路構架上。軟交換網路體系基於主從控制的特點,使得其與具體的接入手段關係密切,而IMS體系由於終端與核心側採用基於IP承載的SIP協定,IP技術與承載媒體無關的特性使得IMS體系可以支持各類接入方式,從而使得IMS的套用範圍從最初始的移動網逐步擴大到固定領域。此外,由於IMS體系架構可以支持移動性管理並且具有一定的服務質量(QoS)保障機制,因此IMS技術相比於軟交換的優勢還體現在寬頻用戶的漫遊管理和QoS保障方面。
發展套用
發展
對IMS進行標準化的國際標準組織主要有3GPP和高級網路電信和網際網路融合業務和協定(TISPAN)。3GPP側重於從移動的角度對IMS進行研究,而TISPAN則側重於從固定的角度對IMS提出需求,並統一由3GPP來完善。
3GPP對IMS的標準化是按照R5版本、R6版本、R7版本……這個過程來發布的,IMS首次提出是在R5版本中,然後在R6、R7版本中進一步完善。R5版本主要側重於對IMS基本結構、功能實體及實體間的流程方面的研究;而R6版本主要是側重於IMS和外部網路的互通能力以及IMS對各種業務的支持能力等。相比於R5版本,R6版本的網路結構並沒有發生改變,只是在業務能力上有所增加。在R5的基礎上增加了部分業務特性,網路互通規範以及無線區域網路接入特性等,其主要目的是促使IMS成為一個真正的可運營的網路技術。R7階段更多的考慮了固定方面的特性要求,加強了對固定、移動融合的標準化制訂。R5版本和R6版本分別在2002年和2005年被凍結,而R7版本也即將凍結。
在TISPAN定義的NGN體系架構中,IMS是業務部件之一。TISPANIMS是在3GPPR6IMS核心規範的基礎上對功能實體和協定進行擴展的,支持固定接入方式。TISPAN的工作方式和3GPP相似,都是分階段發布不同版本。TISPAN已經發布了R1版本相關規範,從固定的角度向3GPP提出對IMS的修改建議;R2版本還處於需求分析階段。
TISPAN在許多文檔中都直接套用了3GPP的相關文檔內容,而3GPPR7版本中的很多內容又都是在吸收了TISPAN的研究成果的基礎上形成的,所以一方對文檔內容的修改都將直接影響另一方。此外,部分先進的運營商(如德國電信、英國電信和法國電信)已經明確了未來網路和業務融合的戰略目標,並開始特別關注基於IMS的網路融合研究。各大設備廠商也加大了對IMS在固網領域套用的研究,正積極參與並大力推進基於IMS的NGN的標準化工作。因此各個標準之間的協調一致的問題還需要進一步探討。
套用
IP媒體業務類型
IMS是一個在分組域(PS)上的多媒體控制/呼叫控制平台,IMS使得PS具有電路域(CS)的部分功能,支持會話類和非會話類的多媒體業務。IMS為未來的多媒體套用提供了一個通用的業務平台,典型的業務如呈現、訊息、會議、一鍵通等等。將不同的業務進行分組可以得到以下一些類型。
(1)信息類業務,這類業務對用戶來講已經非常熟悉,而且為運營商帶來了良好的收益,IMS的信息類業務將帶給用戶更多的選擇,在享用這些信息類業務的同時,用戶可以隨心所欲而且費用低廉的使用其他媒介,比如視頻和聲音等,同時可以靈活的選用實時業務或非實時業務進行溝通。
(2)多媒體呼叫話音業務,這類業務可以給用戶在原有的話音業務操作和套用上帶來全新的體驗。
(3)增強型呼叫管理,可以實現讓用戶自己來控制業務,讓用戶的溝通更加靈活。
(4)群組業務,將不同的通信媒介聚合起來,為用戶提供新的業務體驗,而且IMS還可以對業務進行新的開發和組合;突破傳統的一對一的通信方式限制,可以提供基於群組的通信方式。
(5)信息共享,常見的郵件攜帶附屬檔案的溝通模式可以完成部分的信息共享功能,但是在許多情況下顯得不夠靈活,所以實時線上的信息共享通信應運而生,多個用戶可以實時處理同一個數據檔案。
(6)線上娛樂,移動終端可以直接和信息資源互聯,IMS方式可以更好地呈現信息的更新和溝通,並可以隨著用戶需求的增長對信息進行必要的過濾;對於用戶的線上遊戲,IMS可以為用戶提供從單機遊戲到多用戶線上參與的線上娛樂方式,同時用戶還可以採用多種多媒體來溝通交流。
IMS的主要套用
隨著IMS技術和產品的逐漸成熟,已經有一些運營商開始了IMS的商用,還有一些運營商在進行相關的測試。從的商用和測試情況看,移動運營商已經開始商用,而固網運營商還主要處於試驗階段。綜合考慮,IMS的套用主要集中在以下幾個方面。
首先是在行動網路的套用,這類套用是移動運營商為了豐富行動網路的業務而開展的,主要是在行動網路的基礎上用IMS來提供PoC、即時訊息、視頻共享等多媒體增值業務。套用重點集中在給企業客戶提供IPCENTREX和公眾客戶的VoIP第二線業務。
其次是固定運營商出於網路演進和業務的需要,通過IMS為企業用戶提供融合的企業的套用(IPCENTREX業務),以及向固定寬頻用戶(例如ADSL用戶)提供VoIP套用。
第三種典型的套用是融合的套用,主要體現在WLAN和3G的融合,以實現語音業務的連續性。在這種方式下,用戶擁有一個WLAN/WCDMA的雙模終端,在WLAN的覆蓋區內,一般優先使用WLAN接入,因為這種方式用戶使用業務的資費更低,數據業務的頻寬更充足。當離開WLAN的覆蓋區後,終端自動切換到WCDMA網路,從而實現語音在WLAN和WCDMA之間的連續性。這種方案的商用較少,但是許多運營商都在進行測試。
在IMS中全部採用SIP協定,雖然SIP也可以實現最基本的VoIP,但是這種協定在多媒體套用中所展現出來的優勢表明,它天生就是為多媒體業務而生的。由於SIP協定非常靈活,所以IMS還存在許多潛在的業務。
基於IMS的網路融合問題
隨著通信網路的發展與演進,融合是不可避免的主題,固定和移動的融合(FMC)更是迫切要解決的問題。ETSI給FMC下的定義是:“固定移動融合是一種能提供與接入技術無關的網路能力。但這並不意味著一定是物理上的網路融合,而只關心一個融合的網路體系結構和相應的標準規範。這些標準可以用來支持固定業務、移動業務以及固定移動混合的業務。固定移動融合的一個重要特徵是,用戶的業務簽約和享用的業務,將從不同的接入點和終端上分離開來,以允許用戶從任何固定或移動的終端上,通過任何兼容的接入點訪問完全相同的業務,包括在漫遊時也能獲得相同的業務。”ETSI在給FMC下定義的同時也對固定行動網路的融合提出了相應的要求。
IMS進一步發揚了軟交換結構中業務與控制分離、控制與承載分離的思想,比軟交換進行了更充分的網路解聚,網路結構更加清晰合理。網路各個層次的不斷解聚是電信網路發展的總體趨勢。網路的解聚使得垂直業務模式被打破,有利於業務的發展;另外,不同類型網路的解聚也為網路在不同層次上的重新聚合創造了條件。這種重新聚合,就是網路融合的過程。利用IMS實現對固定接入和移動接入的統一核心控制,主要是IMS具有以下特點。
(1)與接入無關性。雖然3GPPIMS是為行動網路設計的,TISPANNGN是為固定xDSL寬頻接入設計的,但它們採用的IMS網路技術卻可以做到與接入無關,因而能確保對FMC的支持。從理論上可以實現不論用戶使用什麼設備、在何地接入IMS網路,都可以使用歸屬地的業務。
(2)統一的業務觸發機制。IMS核心控制部分不實現具體業務,所有的業務包括傳統概念上的補充業務都由業務套用平台來實現,IMS核心控制只根據初始過濾規則進行業務觸發,這樣消除了核心控制相關功能實體和業務之間的綁定關係,無論固定接入還是移動接入都可以使用IMS中定義的業務觸發機制實現統一觸發。
(3)統一的路由機制。IMS中僅保留了傳統移動網中HLR的概念,而摒棄了VLR的概念,和用戶相關的數據信息只保存在用戶的歸屬地,這樣不僅用戶的認證需要到歸屬地認證,所有和用戶相關的業務也必須經過用戶的歸屬地。
(4)統一用戶資料庫。HSS(歸屬業務伺服器)是一個統一的用戶資料庫系統,既可以存儲移動IMS用戶的數據,也可以存儲固定IMS用戶的數據,資料庫本身不再區分固定用戶和移動用戶。特別是業務觸發機制中使用的初始過濾規則,對IMS中所定義的資料庫來講完全是透明數據的概念,禁止了固定和移動用戶在業務屬性上的差異。
(5)充分考慮了運營商實際運營的需求,在網路框架、QoS、安全、計費以及和其他網路的互通方面都制定了相關規範。
(6)業務與承載分離,IMS定義了標準的基於SIP的ISC(IP multimedia Service Control)接口,實現了業務層與控制層的完全分離。IMS通過基於SIP的ISC接口,支持三種業務提供方式:獨立的SIP套用伺服器方式、OSA SCS方式和IM-SSF方式(接入傳統智慧型網,體現業務繼承性)。 IMS的核心控制網元CSCF不再需要處理業務邏輯,而是通過基於規則的業務觸發機制,根據用戶的簽約數據的初始過濾規則(iFC),由CSCF分析並觸發到規則指定的套用伺服器,由套用伺服器完成業務邏輯處理。
(7)基於SIP的會話機制。IMS的核心功能實體是呼叫會話控制功能(CSCF)單元,並向上層的服務平台提供標準的接口,使業務獨立於呼叫控制 。IMS採用基於IETF定義的會話初始協定(SIP)的會話控制能力,並進行了移動特性方面的擴展 ,實現接入的獨立性及Internet互操作的平滑性。 IMS網路的終端與網路都支持SIP,SIP成為IMS域唯一的會話控制協定,這一特點實現了端到端的SIP信令互通 ,網路中不再需要支持多種不同的呼叫信令 ,使網路的業務提供和發布具有更大的靈活性。
IMS所具有這些特徵可以同時為移動用戶和固定用戶所共用,這就為同時支持固定和移動接入提供了技術基礎,使得網路融合成為可能。
問題分析
IP多媒體子系統(IMS)是3GPP在R5規範中提出的,旨在建立一個與接入無關、基於開放的SIP/IP協定及支持多種多媒體業務類型的平台來提供豐富的業務。它將蜂窩移動通信網路技術、傳統固定網路技術和網際網路技術有機結合起來,為未來的基於全IP網路多媒體套用提供了一個通用的業務智慧型平台,也為未來網路發展過程中的網路融合提供了技術基礎。IMS的諸多特點使得其一經提出就成為業界的研究熱點,是業界普遍認同的解決未來網路融合的理想方案和發展方向,但對於IMS將來如何提供統一的業務平台實現全業務運營,IMS的標準化及安全等問題仍需要進一步的研究和探討。
1、IMS存在的安全問題分析
傳統的電信網路採用獨立的信令網來完成呼叫的建立、路由和控制等過程,信令網的安全能夠保證網路的安全。而且傳輸採用時分復用(TDM)的專線,用戶之間採用面向連線的通道進行通信,避免了來自其他終端用戶的各種竊聽和攻擊。
而IMS網路與網際網路相連線,基於IP協定和開放的網路架構可以將語音、數據、多媒體等多種不同業務,通過採用多種不同的接入方式來共享業務平台,增加了網路的靈活性和終端之間的互通性,不同的運營商可以有效快速地開展和提供各種業務。由於IMS是建立在IP基礎上,使得IMS的安全性要求比傳統運營商在獨立網路上運營要高的多,不管是由移動接入還是固定接入,IMS的安全問題都不容忽視。
IMS的安全威脅主要來自於幾個方面:未經授權地訪問敏感數據以破壞機密性;未經授權地篡改敏感數據以破壞完整性;干擾或濫用網路業務導致拒絕服務或降低系統可用性;用戶或網路否認已完成的操作;未經授權地接入業務等。主要涉及到IMS的接入安全(3GPP TS33.203),包括用戶和網路認證及保護IMS終端和網路間的業務;以及IMS的網路安全(3GPP TS33.210),處理屬於同一運營商或不同運營商網路節點之間的業務保護。除此之外,還對用戶終端設備和通用積體電路卡/IP多媒體業務身份識別模組(UICC/ISIM)安全構成威脅。
2、IMS安全體系
IMS系統安全的主要應對措施是IP安全協定(IPSec),通過IPSec提供了接入安全保護,使用IPSec來完成網路域內部的實體和網路域之間的安全保護。3GPP IMS實質上是疊加在原有核心網分組域上的網路,對PS域沒有太大的依賴性,在PS域中,業務的提供需要移動設備和行動網路之間建立一個安全聯盟(SA)後才能完成。對於IMS系統,多媒體用戶也需要與IMS網路之間先建立一個獨立的SA之後才能接入多媒體業務。
3GPP終端的核心是通用積體電路卡(UICC),它包含多個邏輯套用,主要有用戶識別模組(SIM)、UMTS用戶業務識別模組(USIM)和ISIM。ISIM中包含了IMS系統用戶終端在系統中進行操作的一系列參數(如身份識別、用戶授權和終端設定數據等),而且存儲了共享密鑰和相應的AKA(Authentication and Key Agreement)算法。其中,保存在UICC上的用戶側的IMS認證密鑰和認證功能可以獨立於PS域的認證密鑰和認證功能,也可和PS使用相同的認證密鑰和認證功能。IMS的安全體系如圖1所示。
圖1中顯示了5個不同的安全聯盟用以滿足IMS系統中不同的需求,分別用①、②、③、④、⑤來加以標識。①提供終端用戶和IMS網路之間的相互認證。
②在UE和P-CSCF之間提供一個安全連結(Link)和一個安全聯盟(SA),用以保護Gm接口,同時提供數據源認證。
③在網路域內為Cx接口提供安全。
④為不同網路之間的SIP節點提供安全,並且這個安全聯盟只適用於代理呼叫會話控制功能(P-CSCF)位於拜訪網路(VN)時。
⑤為同一網路內部的SIP節點提供安全,並且這個安全聯盟同樣適用於P-CSCF位於歸屬網路(HN)時。
除上述接口之外,IMS中還存在其他的接口,在上圖中未完整標識出來,這些接口位於安全域內或是位於不同的安全域之間。這些接口(除了Gm接口之外)的保護都受IMS網路安全保護。
SIP信令的保密性和完整性是以逐跳的方式提供的,它包括一個複雜的安全體系,要求每個代理對訊息進行解密。SIP使用兩種安全協定:傳輸層安全協定(TLS)和IPSec,TLS可以實現認證、完整性和機密性,用TLS來保證安全的請求必須使用可靠的傳輸層協定,如傳輸控制協定(TCP)或流控制傳輸協定(SCTP);IPSec通過在IP層對SIP訊息提供安全來實現認證、完整性和機密性,它同時支持TCP和用戶數據報協定(UDP)。在IMS核心網中,可通過NDS/IP來完成對網路中SIP信令的保護;而第一跳,即UE和P-CSCF間的信令保護則需要附加的測量,在3GPP TS 33.203中有具體描述。
3、IMS的接入安全
IMS用戶終端(UE)接入到IMS核心網需經一系列認證和密鑰協商過程,具體而言,UE用戶簽約信息存儲在歸屬網路的HSS中,且對外部實體保密。當用戶發起註冊請求時,查詢呼叫會話控制功能(I-CSCF)將為請求用戶分配一個服務呼叫會話控制功能(S-CSCF),用戶的簽約信息將通過Cx接口從HSS下載到S-CSCF中。當用戶發起接入IMS請求時,該S-CSCF將通過對請求內容與用戶簽約信息進行比較,以決定用戶是否被允許繼續請求。
在IMS接入安全中,IPSec封裝安全淨荷(ESP)將在IP層為UE和P-CSCF間所有SIP信令提供機密性保護,對於呼叫會話控制功能(CSCF)之間和CSCF和HSS之間的加密可以通過安全網關(SEG)來實現。同時,IMS還採用IPSec ESP為UE和P-CSCF間所有SIP信令提供完整性保護,保護IP層的所有SIP信令,以傳輸模式提供完整性保護機制。
在完成註冊鑒權之後,UE和P-CSCF之間同時建立兩對單向的SA,這些SA由TCP和UDP共享。其中一對用於UE連線埠為客戶端、P-CSCF連線埠作為伺服器端的業務流,另一對用於UE連線埠為伺服器、P-CSCF連線埠作為客戶端的業務流。用兩對SA可以允許終端和P-CSCF使用UDP在另一個連線埠上接收某個請求的回響,而不是使用傳送請求的那個連線埠。同時,終端和P-CSCF之間使用TCP連線,在收到請求的同一個TCP連線上傳送回響;而且通過建立SA實現在IMS AKA提供的共享密鑰以及指明在保護方法的一系列參數上達成一致。SA的管理涉及到兩個資料庫,即內部和外部資料庫(SPD和SAD)。SPD包含所有入站和出站業務流在主機或安全網關上進行分類的策略。SAD是所有激活SA與相關參數的容器。SPD使用一系列選擇器將業務流映射到特定的SA,這些選擇器包括IP層和上層(如TCP和UDP)協定的欄位值。
與此同時,為了保護SIP代理的身份和網路運營商的網路運作內部細節,可通過選擇網路隱藏機制來隱藏其網路內部拓撲,歸屬網路中的所有I-CSCF將共享一個加密和解密密鑰。
在通用移動通信系統(UMTS)中相互認證機制稱為UMTS AKA,在AKA過程中採用雙向鑒權以防止未經授權的“非法”用戶接入網路,以及未經授權的“非法”網路為用戶提供服務。AKA協定是一種挑戰回響協定,包含用戶鑒權五元參數組的挑戰由AUC在歸屬層發起而傳送到服務網路。
UMTS系統中AKA協定,其相同的概念和原理被IMS系統重用,我們稱之為IMS AKA。AKA實現了ISIM和AUC之間的相互認證,並建設了一對加密和完整性密鑰。用來認證用戶的身份是私有的身份(IMPI),HSS和ISIM共享一個與IMPI相關聯的長期密鑰。當網路發起一個包含RAND和AUTN的認證請求時,ISIM對AUTN進行驗證,從而對網路本身的真實性進行驗證。每個終端也為每一輪認證過程維護一個序列號,如果ISIM檢測到超出了序列號碼範圍之外的認證請求,那么它就放棄該認證並向網路返回一個同步失敗訊息,其中包含了正確的序列號碼。
為了回響網路的認證請求,ISIM將密鑰套用於隨機挑戰(RAND),從而產生一個認證回響(RES)。網路對RES進行驗證以認證ISIM。此時,UE和網路已經成功地完成了相互認證,並且生成了一對會話密鑰:加密密鑰(CK)和完整性密鑰(IK)用以兩個實體之間通信的安全保護。
4、IMS的網路安全
在第二代移動通信系統中,由於在核心網中缺乏標準的安全解決方案,使得安全問題尤為突出。雖然在無線接入過程中,移動用戶終端和基站之間通常可由加密來保護,但是在核心網時,系統的節點之間卻是以明文來傳送業務流,這就讓攻擊者有機可乘,接入到這些媒體的攻擊者可以輕而易舉對整個通信過程進行竊聽。
針對2G系統中的安全缺陷,第三代移動通信系統中採用NDS對核心網中的所有IP數據業務流進行保護。可以為通信服務提供保密性、數據完整性、認證和防止重放攻擊,同時通過套用在IPSec中的密碼安全機制和協定安全機制來解決安全問題。
在NDS中有幾個重要的概念,它們分別是安全域(Security Domains)、安全網關(SEG)。
4.1 安全域
NDS中最核心的概念是安全域,安全域是一個由單獨的管理機構管理運營的網路。在同一安全域內採用統一的安全策略來管理,因此同一安全域內部的安全等級和安全服務通常是相同的。大多情況下,一個安全域直接對應著一個運營商的核心網,不過,一個運營商也可以運營多個安全域,每個安全域都是該運營商整個核心網路中的一個子集。在NDS/IP中,不同的安全域之間的接口定義為Za接口,同一個安全域內部的不同實體之間的安全接口則定義為Zb接口。其中Za接口為必選接口,Zb接口為可選接口。兩種接口主要完成的功能是提供數據的認證和完整性、機密性保護。
4.2 安全網關
SEG位於IP安全域的邊界處,是保護安全域之間的邊界。業務流通過一個SEG進入和離開安全域,SEG被用來處理通過Za接口的通信,將業務流通過隧道傳送到已定義好的一組其他安全域。這稱為輪軸-輻條(hub-and-spoke)模型,它為不同安全域之間提供逐跳的安全保護。SEG負責在不同安全域之間傳送業務流時實施安全策略,也可以包括分組過濾或者防火牆等的功能。IMS核心網中的所有業務流都是通過SEG進行傳送,每個安全域可以有一個或多個SEG,網路運營商可以設定多個SEG以避免某獨立點出現故障或失敗。當所保護的IMS業務流跨越不同安全域時,NDS/IP必須提供相應的機密性、數據完整性和認證。
4.3 基於IP的網路域安全體系[2]
NDS/IP體系結構最基本的思想就是提供上從一跳到下一跳的安全,逐跳的安全也簡化了內部和面向其他外部安全域分離的安全策略的操作。
在NDS/IP中只有SEG負責與其他安全域中的實體間進行直接通信。兩個SEG之間的業務被採用隧道模式下的IPSec ESP安全聯盟進行保護,安全網關之間的網路連線通過使用IKE來建立和維護[3]。網路實體(NE)能夠面向某個安全網關或相同安全域的其他安全實體,建立維護所需的ESP安全聯盟。所有來自不同安全域的網路實體的NDS/IP業務通過安全網關被路由,它將面向最終目標被提供逐跳的安全保護[5]。其網路域安全體系結構如圖2所示。
4.4 密鑰管理和分配機制[5]每個SEG負責建立和維護與其對等SEG之間的IPSec SA。這些SA使用網際網路密鑰交換(IKE)協定進行協商,其中的認證使用保存在SEG中的長期有效的密鑰來完成。每個對等連線的兩個SA都是由SEG維護的:一個SA用於入向的業務流,另一個用於出向的業務流。另外,SEG還維護了一個單獨的網際網路安全聯盟和密鑰管理協定(ISAKMP)SA,這個SA與密鑰管理有關,用於構建實際的對等主機之間的IPSec SA。對於ISAKMP SA而言,一個關鍵的前提就是這兩個對等實體必須都已經通過認證。在NDS/IP中,認證是基於預先共享的密鑰。
NDS/IP中用於加密、數據完整性保護和認證的安全協定是隧道模式的IPSec ESP。在隧道模式的ESP中,包括IP頭的完整的IP數據包被封裝到ESP分組中。對於三重DES加密(3DES)算法是強制使用的,而對於數據完整性和認證,MD5和SHA-1都可以使用。
4.5 IPSec安全體系中的幾個重要組成和概念[5]
1)IPSec:IPSec在IP層(包括IPv4和IPv6)提供了多種安全服務,從而為上層協定提供保護。IPSec一般用來保護主機和安全網關之間的通信安全,提供相應的安全服務。
2)ISAKMP:ISAKMP用來對SA和相關參數進行協商、建立、修改和刪除。它定義了SA對等認證的創建和管理過程以及包格式,還有用於密鑰產生的技術,它還包括緩解某些威脅的機制。
3)IKE:IKE是一種密鑰交換協定,和ISAKMP一起,為SA協商認證密鑰材料。IKE可以使用兩種模式來建立第一階段ISAKMP SA,即主模式和侵略性模式。兩種模式均使用短暫的Diffie-Hellman密鑰交換算法來生成ISAKMP SA的密鑰材料。
4)ESP:ESP用來在IPv4和IPv6中提供安全服務。它可以單獨使用或與AH一起使用,可提供機密性(如加密)或完整性(如認證)或同時提供兩種功能。ESP可以工作在傳送模式或隧道模式。在傳送模式中,ESP頭插入到IP數據報中IP頭後面、所有上層協定頭前面的位置;而在隧道模式中,它位於所封裝的IP數據報之前。
標準化組織對IMS的安全體系和機製做了相應規定,其中UE和P-CSCF之間的安全由接入網路安全機制提供,IMS網路之上的安全由IP網路的安全機制保證,UE與IMS的承載層分組網路安全仍由原來的承載層安全機制支持。所有IP網路端到端安全基於IPSec,密鑰管理基於IKE協定。對於移動終端接入IMS之前已經進行了相應的鑒權,所以安全性更高一些。但是對於固定終端來說,由於固定接入不存在類似行動網路空中接口的鑒權,P-CSCF將直接暴露給所有固定終端,這使P-CSCF更易受到攻擊。為此,在IMS的接入安全方面有待於進一步的研究,需要不斷完善IMS的安全機制。