IMS技术对控制层功能做了进一步分解，实现了会话控制实体CSCF（Call Session Control Function）和承载控制实体MGCF（Media Gateway Control Function）在功能上的分离，使网路架构更为开放、灵活，所以IMS实际上比传统软交换更“软”。

IMS业务架构图

IMS以其业务、控制、承载完全分离的水平架构，集中的用户属性和接入无关等特性，一方面解决了目前软交换技术还无法解决的问题，如用户移动性支持、标準开放的业务接口、灵活的IP多媒体业务提供等；另一方面，其接入无关性，也使得IMS成为固定和行动网路融合演进的基础。

IMS业务架构如图所示，IMS的目的是建立与接入无关、能被行动网路与固定网路共用的融合核心网。

在无线接入技术方面，IMS除了GSM/GPRS和WCDMA之外，WLAN通过SIPProxy也可以接入。，固定网路的LAN和xDSL接入技术也可以接入到IMS。

IMS还提供了与ISDN/PSTN传统电路交换网路的互在线上制。这样，IMS提供服务的终端除了移动终端之外，还包括固定的电话终端、多媒体智慧型终端、PC机的软终端等。

IMS能够为使用不同接入手段的用户提供融合的业务，但固定接入与移动接入终究有不同的特徵，所以要将基于移动通信发展起来的IMS体系套用到固网中还需要进行大量的改进，标準化工作依然任重而道远。移动通信界提出的IMS与固网通信界提出的软交换的基本思想和目标是一致的，都希望建立基于IP的融合与开放的网路平台。

IMS体系结构和CSCF的设计利用了软交换技术，实现了业务与控制相分离、呼叫控制与媒体传输相分离。IMS虽然是3GPP为移动用户接入多媒体服务而开发的系统，但由于它全面融合了IP域的技术，并在开发阶段就和其它组织进行密切合作，使得IMS实际已经不仅仅局限于只为移动用户进行服务。IMS体系结构如图所示。

IMS体系结构图

在IMS体系结构中，最底层为承载层，用于提供IMSSIP会话的接入和传输，承载网必须是基于分组交换的。图中以移动分组网的承载方式为例，描述了IMS用户通过手机进行IMS会话的方式，主要的承载层设备有SGSN（GPRS业务支撑节点）、GGSN（网关GPRS业务支撑节点）以及MGW（媒体网关）。其中SGSN和GGSN可以重複利用现网设备，不需要硬体升级，仅通过做相关配置就可以支持IMS。MGW是负责媒体流在IMS域和CS（电路交换）域互通的功能实体，主要解决语音互通问题。无论具体採用哪一种接入方式，只要基于IP技术，所有的IMS用户信令就可以很好地传送到控制层。

中间层为信令控制层，由网路控制伺服器组成，负责管理呼叫或会话设定、修改和释放，所有IP多媒体业务的信令控制都在这一层完成。主要的功能实体有CSCF、HSS（HomeSubscriberServer，归属用户伺服器）、MGCF等，这些网元执行不同的角色，如信令控制伺服器、资料库、媒体网关伺服器等，协同完成信令层面的处理功能，如SIP会话的建立、释放。这一层仅对IMS信令负责，最终的IMS业务流不经过这一层，完全通过底层的承载层做路由实现端到端通信。

最上面一层是套用层，由套用和内容伺服器组成，负责为用户提供IMS增值业务，主要网元是一系列通过CAMEL、OSA/Parlay和SIP技术提供多媒体业务的套用平台。运营商可以自行开发一些基于SIP的套用，通过标準SIP接口与IMS系统连线；如果运营商需要连线第三方SP的套用，IMS可以和标準的API，如OSAAPI连线，通过OSA/ParlayGW对第三方非信任的SP业务进行鑒权和管理等。

电路交换域与现有的2G网路类似，採用电路交换技术提供话音业务。分组交换域是2.5G网路中引入的，主要网元设备有SGSN（ServiceGPRSSwitchNode）和GGSN（Gateway GPRS Switch Node）。它们负责向终端提供IP连线，用户通过该域进入网际网路，用户可以由此传送邮件，浏览网页。它并没有在IP之上定义任何特殊的体系结构，它主要是一种接入技术。IP多媒体域（即IMS，IP Multimedia Subsystem）是3GPP制定的UMTS R5版本中引入的，採用SIP作为主要的信令协定，使得移动运营商可以为用户提供端到端的全IP的多媒体业务。

3GPP R5基本结构

IMS由呼叫状态控制功能CSCF（CallSessionControlFunction）、媒体网关控制功能MGCF（Media Gateway Control Function）、媒体网关MGW（Media Gateway）、归属地用户伺服器HSS（Home Subscriber Server）等功能实体组成。CSCF的种类包括P-CSCF（Proxy-CACF，代理CSCF）、I-CSCF（Interrogating CSCF，查询CSCF）和S-CSCF（ServingCSCF，服务CSCF），本质上它们都是SIP伺服器，处理SIP信令。

P-CSCF是UE联繫IMS的第一步，是UE在被访问域（漫游时）要访问的点，进出的SIP讯息都要通过P-CSCF。P-CSCF相当于SIP协定定义的边界代理伺服器。

I-CSCF的功能是提供到归属网路的入口，将归属网路的拓扑图对其它网路隐藏起来，并通过HSS为特定用户找出相应的S-CSCF。它是用户终端漫游或者外来任务进入本地服务提供商网路中的联繫点。当I-CSCF接到一个请求时，它将把请求路由到相应的S-CSCF。

3GPP定义的IMS的体系架构

S-CSCF给用户提供服务。当终端注册时，它同本地域的S-CSCF联繫，本地S-CSCF向用户提供用户预定的服务。这样的好处是用户即使漫游到不支持某项业务的网路也能像在本地一样得到需要的服务。

HSS（HomeSubscriberServer）相当于2G网路中的HLR，存储了与一个单独用户相关的S-CSCF和相应的用户简介。它知道用户现在的位置和用户指定的服务。CSCF可以向HSS询问以获得这些信息。HSS和CSCF之间互动用的是Cx接口，它不是IETF制定的，当也是基于IP的。

改进的IP多媒体子系统(A-IMS)[1]是美国第二大行动电话公司威瑞森(VerizonWireless)联合其5个主要的设备供应商思科、朗讯、摩托罗拉、北电和高通公司在2006年7月发布的一种移动多媒体业务体系，它基于3GPP2的多媒体域(MMD)架构，在融入了IP多媒体子系统/多媒体域(IMS/MMD)所有会话发起协定(SIP)业务功能的基础上，增加了对非SIP套用的支持。还从网路运营的角度，针对IMS/MMD网路安全提出了一些扩展和补充，如增加了安全操作中心(SOC)和姿态代理等，使IMS/MMD网路的安全性得到较大改进。

A-IMS的系统结构图

A-IMS继承了IMS/MMD的所有业务功能，并在安全性、移动性、策略、服务质量(QoS)、对等互联、计费、合法监听、紧急呼叫、呈现业务等方面，进行了增强和扩充。

A-IMS的主要网元包括IP网关(IPGW)、承载管理(BM)、套用管理(AM)、策略管理(PM)、安全管理(SM)、业务代理(SB)、业务数据管理(SDM)和接入终端(AT)等，与安全相关的网元主要包括SM、PM、BM、IPGW、AT。

虽然从网元名称上看，A-IMS和3GPP的IMS[2]及3GPP2的MMD[3]有一些差异，但除了新增的SM网元外，其他几个网元在功能上和3GPP、3GPP2乃至TISPAN[4]中的IMS网元都有一定的对应关係，如AM、SDM和PM分别对应于IMS/MMD的呼叫会话控制功能(CSCF)、归属用户伺服器(HSS)和策略决策功能(PDF)等。

SM作为SOC的核心，主要负责收集A-IMS系统中各网元的安全事件信息，完成入侵探测、控制设备操作、分发安全策略，还负责对移动设备的姿态(Posture)评估，根据终端对网路设备的兼容程度(如作业系统版本、反病毒软体版本等)，决定他们是否被允许接入网路，以及允许接入什幺服务等。

A-IMS继承了IMS/MMD的所有安全特徵，如鑒权、加密以及数据完整性保护算法等，A-IMS在SIP用户的合法性检验、数据的私密性和完整性等方面採取的算法和IMS/MMD是相同的[5-7]。但由于A-IMS增加了对非SIP套用的支持，相应地，这些算法也考虑了对非SIP套用的支持(本文中提及的A-IMS对IMS的继承，是指对鑒权加密机制的继承，但对于具体的细节A-IMS有一些细微改进)。

A-IMS加密和数据完整性算法

(1)鑒权算法

A-IMS和IMS一样，鑒权被用于二层初始接入鑒权、IP移动业务鑒权及SIP套用鑒权，在需要安全通信的网元间，鑒权也是必要的。针对集成设备和非集成设备，A-IMS使用的鑒权算法有所不同。

在集成设备中，对于SIP套用，採用3GPP2认证与密钥协商/IP安全协定(AKA/IPSec)；对于非SIP套用，採用套用特定的鑒权协定，如传输层安全协定(TLS)。

在非集成设备中，对于SIP套用，採用3GPP2AKA/IPSec或TLS；对于非SIP套用，採用套用特定的鑒权协定，如TLS。

(2)加密和数据保护

A-IMS也採用了加密和数据完整性算法，如图所示。

A-IMS除了继承上述鑒权、加密机制外，还提出了一些新的安全措施。相对于IMS，A-IMS主要在集成安全和统一安全管理、安全操作中心、设备接纳控制、安全策略等方面对安全性进行了增强。

1集成安全和统一安全管理

由于A-IMS需要处理吉比特速率的承载流量，为避免网路“瓶颈”，A-IMS将安全机制集成到系统的各个网元中，通过SOC下发策略和SM对安全事件的检测，使分散于各地的网元，都按照统一的安全策略工作，实现了整个网路统一的安全管理。例如利用集成安全机制，SOC可以分发流量标準等安全策略到各地网元，通过本端测量或远程测量，标识、区分和追蹤反常行为，快速阻断病毒的传播，这种统一的集成安全机制，使系统整体安全性相对于IMS/MMD网路有较大提高。

2安全操作中心

SOC主要套用于集中监视、报告和处理，是A-IMS最主要的新增实体，也是整个系统安全管理的核心。SOC通过策略的制定和分发，从AM等网元中收集安全信息，检查业务状态，对外部入侵进行识别、分析和处理，为A-IMS提供成熟而健壮的保护。SOC还具备突发事件管理和配合司法调查等能力，可以协助进行危机处理。

由于SOC关係到整个网路的安全，通常应使用冗余设备及UPS来保证其硬体可靠性，并应严格限定操作员的操作许可权，只允许有确切必要的雇员登录入SOC，并对登录SOC的操作员的操作进行后台监测。除此之外，还要经常对SOC进行严格的内部信息安全规则审计，以保证SOC的正常运行。

3设备接纳控制

设备接纳控制是一种网路对终端设备接入网路的决策行为。当终端接入网路时，网路可决定设备是否被允许连入网路，如果得到允许，网路基于其安全姿态，决定能够得到的服务等级。

A-IMS将终端分为3种类型只支持语音的闭合设备、支持语音和数据的高级终端和具备EV-DO能力的个人计算机。后两种终端属于智慧型终端(IAT)，A-IMS设备接纳控制主要是针对IAT进行控制。

设备接纳控制也是A-IMS主要的安全增强点。在IMS/MMD网路中，对设备接纳控制主要通过鑒权、加密等接入控制措施实现。而A-IMS则新增了安全代理功能，利用安全代理，可以验证设备的健康状况，确定设备可以接入的安全等级。如这个代理运行在IAT上，则被称为姿态代理，运行在AM和BM等网路设备上，被称为移动安全代理(MSA)。

3.1姿态代理

姿态代理在IAT上运行，是设备接纳控制的重要部分，它收集设备的姿态信息(包括作业系统是否运行于授权的版本，以及是否正确打过补丁等)，并将结果通过IPGW传送给SM。

IAT在初始接入时，SM将根据PA送过来的设备姿态信息报告，对照相关的安全策略，决定向IPGW传送的初始策略回响是受限接入还是完全接入，如果是受限接入，相关安全策略将被下载到BM，使设备只能通过BM连线到特定AM上处理紧急呼叫的SIP业务连线埠，转移Web流量到更新伺服器，要求用户下载更新软体。

採用基于姿态代理的设备接纳控制有以下好处

保证所有用户设备和网路安全策略一致，提前防範蠕虫、病毒、间谍和恶意软体，使运营商更关注于提前预防而不是事后处理，有效提高A-IMS网路的安全性。

提供一种措施，检查和控制连线到网路的设备，而不考虑其具体的接入方式，从而增加了网路的自适应能力和扩展性。

阻止不兼容或不可控的终端设备，以免影响网路的可用性。

减少因识别和修复非兼容、不可管理、受感染的系统造成的运营性支出。

阻止易于攻击、非兼容和不可控的端点设备成为攻击对象，提高网路的可用性。

3.2移动安全代理

MSA位于AM和BM等网元上，和PA配合，完成设备接纳控制功能。MSA还可以根据SM的要求监视设备状态，协助SM检测和消除“ZeroDay”威胁，降低系统因修复攻击破坏而带来的维护成本(OPEX)，这在网路有多种接入方式时非常重要(如WiFi和宽频接入时)。MSA还具有反向防火墙能力，它在检测时将分析行为而不仅仅依靠用户签名，这对防止“ZeroDay”类攻击非常重要。

MSA除了具备姿态代理的全部功能外，还具备有如下功能

预防主机被入侵

防止间谍软体

防止记忆体溢出攻击

提供分散式反向防火墙能力

防止恶意移动代码入侵

保证作业系统完整性

审计日誌

增强QoS

4安全策略

安全策略是在网路出现安全事件时，SOC让系统自动执行的策略。

4.1设备安全代理的层次

在A-IMS中，安全策略扮演了很重要的角色。A-IMS网路架构的安全管理、DDoS防範、接入控制、入侵防护、鑒权、设备接纳控制等都是SM通过安全策略实现的，SM通过内置的移动安全代理主控制器(MSA-MC)，实现对网路中其他各网元的MSA的控制。

IAT中的MSA收集主机的信息，然后传送到MSA-MC中，MSA-MC负责根据相关的策略，对相关信息进行预处理，然后将处理结果送到归属地SM(H-SM)中，由SM进行姿态评估和异常行为检测，并决定用户可接入的安全等级。

4.2SOC的多级管理模式

通过SOC，A-IMS的策略控制实现了多级控制。SOC为国家安全操作中心，向地方SM分发安全策略，实现整个网路的统一安全管理。

5DDoS防护

A-IMS採用自学习算法阻止DDoS攻击，它能够学习流量模式，以适应特定的网路状况，如学习SIP行为以确定合适的流量门限等。A-IMS能够区分合法流量、嫌疑流量和恶意流量，只有合法流量才被允许通过A-IMS网元。

DDoS攻击防範功能通常运行于不被注目的后台模式，当系统被怀疑遭到攻击时，转发机制被激活，流量被重定向到保护系统，进行分析和控制，然后将合法流量返回到网路。

6安全日誌和报告

A-IMS的各网元AM、BM、IPGW、AP、SDM等均支持标準的安全事件登记和报告，所有的安全事件告警将被传送到安全事件管理子系统，进行连续存储、分析和审计。系统作为日誌收集点，採用接近实时的传输，以便对安全操作进行实时监视。A-IMS日誌传输基于下列协定IPFIX、SDEE、SNMPV3、Syslog。