IMS(IP多媒体子系统)

生活百科 2023-01-26 08:57生活百科www.aizhengw.cn

IMS(IP多媒体子系统)

IMS(IP Multimedia Subsystem)是IP多媒体子系统,是一种全新的多媒体业务形式,它能够满足现在的终端客户更新颖、更多样化多媒体业务的需求。

基本介绍

  • 中文名:IP多媒体子系统
  • 外文名:IMS(IP Multimedia Subsystem)
  • 简称:IMS
  • 套用:终端客户

名词解释

IMS即IP是由朗讯(Lucent)提出的下一代通信网(NGN)实现大融合方案的网路架构, 贝尔实验室在IMS关键领域的创新——业务增强层的各种专利技术,决定了朗讯IMS融合解决方案的先进性。IMS解决方案相对于软交换的解决方案有着非常多的优势,在NGN市场正占据越来越重要的角色。截至2003年,国际权威标準组织普遍将IMS作为NGN网路融合以及业务和技术创新的核心标準。对于大规模商用部署而言,IMS从技术本身已足够成熟。IMS不仅可以实现最初的VoIP业务,更重要的是IMS将更有效地对网路资源、用户资源及套用资源进行管理,提高网路的智慧型,使用户可以跨越各种网路并使用多种终端,感受融合的通信体验。IMS作为一个通信架构,开创了全新的电信商业模式,拓展了整个信息产业的发展空间。在北美五大电信运营商中,迄今已有四家部署了朗讯的IMS技术,对于无线和有线融合有着极为重要的象徵性意义,标誌着IMS在全球的部署进入到一个新的阶段。当然此项技术系统生长依然将注意力放在基础运营服务上,实现全球的网路统一还有很多需要改变的地方。
IMS

本质说明

本质上说是一种网路结构。该项技术植根于移动领域,最初是3GPP为行动网路定义的,而在NGN的框架下,IMS应同时支持固定接入和移动接入。涵盖IMS增强特性的3GPPR6已经基本冻结,这标誌着IMS技术已经走向成熟。
在NGN的框架中,终端和接入网路是各种各样的,而其核心网路只有一个IMS,它的核心特点是採用SIP协定和与接入的无关性。
顺应网路IP化的趋势,IMS系统採用SIP协定进行端到端的呼叫控制。IP技术在网际网路上的套用已经非常成熟,是Internet的主导技术,它能方便而灵活地提供各种信息服务,并能根据客户的需要快捷地创建新的服务。但是IP技术的一个最突出特性就是“尽力而为”,在数据传输的安全性和计费控制方面,却显得力不从心,而且只考虑固定接入方式。传统的基于电路交换的行动网路,虽然具有接入的灵活性,可以随时随地进行语音的交换,但由于无法支持IP技术,所以只能形成一种垂直的业务展开方式,不同业务套用的互操作性较低,而且需要较多的业务网关接入移动通信网路。不同的业务分别进行业务接入、网路搭建、业务控制和业务套用开发,甚至包括业务计费等主要的网路单元也必须建立独立的运营系统。所以,直到现在电信业务的主流仍然是话音业务。新业务的部署,在的状态下很容易招致更大的风险和成本增加。在这种情况下,不论是移动网还是固定网均在向基于IP的网路演进,已经成为必然趋势。
IMS
然而要将IP技术引入到电信级领域,就必须考虑到运营商实际网路运营的需求,需要IMS网路从网元功能、接口协定、QoS和安全、计费等方面全面支持固定的接入方式。从的研究看,SIP是具有简单性、兼容性、模组化设计和第三方控制性从而成为基于Internet通信市场的主流协定。所以基于SIP的IMS框架通过最大限度重用Internet技术和协定、继承蜂窝移动通信系统特有的网路技术和充分借鉴软交换网路技术,使其能够提供电信级的QoS保证、对业务进行有效而灵活的计费,并具有了融合各类网路综合业务的强大能力。这样,利用IMS系统,电信运营商可以低成本地进入其嚮往已久的移动领域,而移动运营商则可以在保证其原有的语音和简讯业务质量不受影响的前提下,轻鬆引入全新的丰富的多媒体业务,即所谓的全业务运营。
至于接入的无关性,是指IMS借鉴软交换网路技术,採用基于网关的互通方案,包括信令网关(SGW)、媒体网关(MGW)、媒体网关控制器(MGCF)等网元,而且在MGCF及MGW也採用IETF和ITU-T共同制订的H.248/MEGACO协定。这样的设计使得IMS系统的终端可以是移动终端,也可以是固定电话终端、多媒体终端、PC机等,接入方式也不限于蜂窝射频接口,可以是无线的WLAN,或者是有线的LAN、DSL等技术。另外,由于IMS在业务层採用软交换网路的开放式业务提供构架,可以完全支持基于套用伺服器的第三方业务提供,这意味着运营商可以在不改变现有的网路结构、不投入任何的设备成本条件下,轻鬆地开发新的业务,进行套用的升级。

主要特徵

如下图所示。
图1 IMS主要特徵
  • 接入无关:IMS支持多种固定/移动接入方式的融合。从理论上说,不论你使用什幺设备、在什幺地方,都可以接入IMS网路。
  • 归属地控制:IMS採用归属地控制,区别于软交换的拜访地控制,和用户相关的数据信息只保存在用户的归属地。用户鑒权认证、呼叫控制和业务控制都由归属地网路完成,从而保证业务提供的一致性,易于实现私有业务的扩展,促进归属运营商积极提供吸引用户的业务。
  • 业务提供能力:IMS将业务层与控制层完全分离,有利于灵活、快速地提供各种业务套用,更利于业务融合。IMS的业务还可以通过开放的套用编程接口提供给第三方,可以为广大的用户开发出更加丰富多彩的套用。只要你愿意,你也可以开发IMS的业务喔。
  • 安全机制:IMS网路部署了多种安全接入机制、安全域间信令保护机制以及网路拓扑隐藏机制。
  • 统一策略控制:IMS网路具有统一的QoS、安全和计费策略控制机制。

功能实体

如下图所示。
图2 IMS系统架构
IMS的系统架构由六部分组成:
  • 业务层:业务层与控制层完全分离,主要由各种不同的套用伺服器组成,除了在IMS网路内实现各种基本业务和补充业务(SIP-AS方式)外,还可以将传统的窄带智慧型网业务接入IMS网路中(IM-SSF方式),并为第三方业务的开发提供标準的开放的套用编程接口(OSA SCS方式),从而使第三方套用提供商可以在不了解具体网路协定的情况下,开发出丰富多彩的个性化业务。
  • 运营支撑:由线上计费系统(OCS)、计费网关(CG)、网元管理系统(EMS)、域名系统(DNS)以及归属用户伺服器(HSS/SLF)组成,为IMS网路的正常运行提供支撑,包括IMS用户管理、网间互通、业务触发、线上计费、离线计费、统一的网管、DNS查询、用户签约数据存放等功能。
  • 控制层:完成IMS多媒体呼叫会话过程中的信令控制功能,包括用户注册、鑒权、会话控制、路由选择、业务触发、承载面QoS、媒体资源控制以及网路互通等功能。
  • 互通层:完成IMS网路与其他网路的互通功能,包括公共交换电话网(PSTN)、公共陆地移动网(PLMN)、其他IP网路等。
  • 接入和承载控制层:主要由路由设备以及策略和计费规则功能实体(PCRF)组成,实现IP承载、接入控制、QoS控制、用量控制、计费控制等功能。
  • 接入网路:提供IP接入承载,可由边界网关(A-SBC)接入多种多样的终端,包括PSTN/ISDN用户、SIP UE、FTTX/LAN以及Wimax/Wifi等。
IMS系统中涉及的主要功能实体有:
  • 本地用户伺服器HSS(Home SubscriberServer)
    HSS在IMS中作为用户信息存储的资料库,主要存放用户认证信息、签约用户的特定信息、签约用户的动态信息、网路策略规则和设备标识暂存器信息,用于移动性管理和用户业务数据管理。它是一个逻辑实体,物理上可以由多个物理资料库组成。
  • 呼叫会话控制功能CSCF(Call Session Control Function)
    CSCF是IMS的核心部分,主要用于基于分组交换的SIP会话控制。在IMS中,CSCF负责对用户多媒体会话进行处理,可以看作IETF架构中的SIP伺服器。根据各自不同的主要功能分为代理呼叫会话控制功能P-CSCF(Proxy CSCF)、问询呼叫会话控制功能I-CSCF(Interrogation CSCF)和服务呼叫会话控制功能S-CSCF(Serving CSCF),三个功能在物理上可以分开,也可以独立。
  • 多媒体资源功能MRF(Multimedia Resource Function)
    MRF主要完成多方呼叫与多媒体会议功能。MRF由多媒体资源功能控制器MRFC(Multimedia Resource Function Controller)和多媒体资源功能处理器MRFP(Multimedia Resource Function Processor)构成,分别完成媒体流的控制和承载功能。MRFC解释从S.CSCF收到的SIP信令,并且使用媒体网关控制协定指令来控制MRFP完成相应的媒体流编解码、转换、混合和播放功能。
  • 网关功能
    网关功能主要包括:出IMS网关控制功能BGCF(Breakout Gateway ControlFunction)、媒体网关控制功能MGCF(Media Gateway Control Function)、IMS媒体网关IMS.MGW(IMS Media Gateway)和信令网关SGW(SignalingGateway)。

发展历程

国际第三代移动通信组织3GPP一直在进行它称为IP多媒体子系统IMS的标準化研究。在3GPP的档案R5中,IMS是UMTS核心网路中提供端到端多媒体业务和集群多媒体业务的中心。在3GPP的R6中,IMS已经被定义为支持所有IP接入网的多媒体业务核心网,可以支持任何一种移动的或固定的、有线的或无线的IP-CAN(IP Connectivity Access Networks),包括W-CDMA,CDMA2000,Ethernet,xDSL以及Wireless LAN等等。
IMS由控制多媒体会话的网路实体组成,在UMTS中IMS是提供IP多媒体服务的核心。IP多媒体服务使用GPRS网路来进行传输。网路提供者同时为IP多媒体服务提供传输实体和网路控制实体。网路结构同时允许为第三方提供附加的IP多媒体服务。
在UMTS版本5或更高的版本中,新增加的主要内容就是添加了两个全新的具有重要能力的IMS。第一,增加类似呼叫状态控制功能(CSCF)的新的网路实体来提供基本的IP多媒体服务,例如在两个用户间的多媒体会话的发起。第二,相互兼容已经发展到可以提炼一些网路实体能力的阶段,例如开放业务接入(OSA)服务能力。利用基本的IP多媒体服务和网路提供的能力,OSA服务能力的功能被期望能够激励第三方新的IP多媒体服务的产生。
一个IMS包括一个或多个CSCF、媒体网关控制功能(MGCF)、IMS媒体网关、多媒体资源功能处理器(MRFC)、订阅位置功能、中断网关控制功能(BGCF)和套用伺服器。我们下面解释IMS如何实现其主要功能和如何为UMTS增加支持多媒体业务。
IPv6--IMS的信令和会话业务都是通过IP承载的,但是,并不是任何版本的IP都是可以使用的,IMS要求只有IPv6才能在IMS域中使用。虽然这将使UMTS这一全球第一商业系统广泛地发展IPv6,但是这仍将是一个大胆的要求,因为:
IMS中的IP定址与分组域骨干网中使用的(例如IPv4)和电路域中使用的是不同的,所以IPv6和IPv4互通的问题需要解决。
用于移动台接入IP多媒体服务的IP定址範围必须在IMS定址域内,这个定址域是在建立好IP连线时激活的PDP上下文中安排好的。IP位址可以从服务域而不是归属域的GGSN中获得,从路由的效率来考虑,这是一个优点。
呼叫/会话控制--CSCF使用SIP在呼叫控制中发挥了核心作用。CSCF可以比作电路域语音通话中移动交换中心的信令部分和控制部分。除了语音通信之外,它还能支持多媒体会话。SIP是在移动台和CSCF之间、CSCF之间、CSCF和MGCF之间、CSCF和套用伺服器之间有关信令方面的协定。CSCF起到了很多作用:作为代理CSCF(P-CSCF),这是移动台和IMS连线最初的一点;作为提供服务的CSCF(S-CSCF),可以用于会话控制;作为询问CSCF(I-CSCF),这是网路中各个移动台的有关IMS信令的一个主要的连线点。
IMS
PSTN互通--当会话的一端为IMS用户,而会话的另一端是公共电话交换网用户时,网路需要四个新的功能实体-IMS媒体网关、MGCF、信令网关和BGCF。BGCF具有支持PSTN与PS域之间的呼叫的功能。媒体网关用来完成在两端用不同格式编码的媒体信号的翻译。MGCF控制IMS媒体网关,提供在基于SIP的和基于ISUP信令之间套用级的信令翻译,并且与S-CSCF进行通信。传输级的在基于IP的和基于SS7的信令翻译由SGW完成。BGCF识别网路和网路中的MGCF,并确定进入PSTN的位置。
处理用户签订的信息和用户状态的信息--归属用户伺服器(HSS)是主要的资料库,它存储用户签订的业务信息和本地信息。它可以被考虑为一个增强型GSM网路中的归属位置暂存器。因为在网路中有几个HSS存在,在注册和会话建立过程中,为了找到有目标用户信息的HSS,用户位置功能被CSCF询问。用户位置功能不需要在单一的HSS环境下实现,因为CSCF知道哪一个HSS会被使用。
可以使用各种不同的套用伺服器,包括基于SIP的套用伺服器和OSA套用伺服器,这些套用伺服器可以实现各种服务,例如语音提示服务和预付费服务。支持多种服务的套用伺服器还可以促进新的业务的产生。在这两种情况下,SIP为S-CSCF的信令服务,然而,在一个OSA套用伺服器的例子中,一个OSA容量伺服器应该插入在OSA套用伺服器和S-CSCF之间。
IMS构架图
多方会议-媒体资源功能处理器(MRFP)和媒体资源功能控制器(MRFC)支持多方多媒体会议,并能体现媒体资源(例如,语音提示功能)的实际能力。MRFP处理和混合实际的媒体流,MRFC控制MRFP的媒体流资源。
其他问题-在设计和标準化UMTS的过程中,产生了很多複杂的问题。例如,在2000年底才确定下来一个用户的服务控制由它的归属网路来执行,并且,当用户漫游到国外网路时,这个功能仍然适用,但是,因为存在仅仅由归属域控制产生的潜在的劣势,例如,归属域的过载和处理分组上的延迟,所以由访问域进行控制的问题也已经开始考虑了。而且,关于支持由访问域和归属域通过IMS共同控制的问题,3GPP已经讨论了一段时间了。然而支持两种模式必定会使网路结构更加複杂。因此,3GPP最终决定使用归属域来控制,但是,以后可能会重新进行这一问题的讨论。
 IMS图
总之,IMS为未来的ALL-IP网路和与固网的无缝融合提供了可能,是下一代网路和套用的代名词。

概念

IMS(IP Multimedia Subsystem)是IP多媒体系统,是一种全新的多媒体业务形式,它能够满足的终端客户更新颖、更多样化多媒体业务的需求。IMS被认为是下一代网路的核心技术,也是解决移动与固网融合,引入语音、数据、视频三重融合等差异化业务的重要方式。但是,全球IMS网路多数处于初级阶段,套用方式也处于业界探讨当中。

定位

IMS在3GPPRelease 5版本中提出,是对IP多媒体业务进行控制的网路核心层逻辑功能实体的总称。3GPP R5主要定义IMS的核心结构,网元功能、接口和流程等内容:R6版本增加了部分IMS业务特性、IMS与其他网路的互通规范和无线区域网路(WLAN)接入特性等;R7版本加强了对固定、移动融合的标準化制订,要求IMS支持数字用户线(xDSL)、电缆数据机等固定接入方式。
软交换技术从1998年就开始出现并且已经历了实验、商用等多个发展阶段,已比较成熟。全球範围早已有多家电信运营商开展了软交换试验,发展至今,软交换技术已经具备了替代电路交换机的能力,并具备一定的宽频多媒体业务能力。在软交换技术已发展如此成熟的今天,IMS的出路在何方?又该如何发展和定位呢?首先需要对IMS和软交换进行较为全面的比较和分析。
如果从採用的基础技术上看,IMS和软交换有很大的相似性:都是基于IP分组网;都实现了控制与承载的分离;大部分的协定都是相似或者完全相同的;许多网关设备和终端设备甚至是可以通用的。
IMS和软交换最大的区别在于以下几个方面。
(1)在软交换控制与承载分离的基础上,IMS更进一步的实现了呼叫控制层和业务控制层的分离;
(2)IMS起源于移动通信网路的套用,因此充分考虑了对移动性的支持,并增加了外置资料库——归属用户伺服器(HSS),用于用户鑒权和保护用户业务触发规则;
(3)IMS全部採用会话初始协定(SIP)作为呼叫控制和业务控制的信令,而在软交换中,SIP只是可用于呼叫控制的多种协定的一种,更多的使用媒体网关协定(MGCP)和H.248协定。
总体来讲,IMS和软交换的区别主要是在网路构架上。软交换网路体系基于主从控制的特点,使得其与具体的接入手段关係密切,而IMS体系由于终端与核心侧採用基于IP承载的SIP协定,IP技术与承载媒体无关的特性使得IMS体系可以支持各类接入方式,从而使得IMS的套用範围从最初始的移动网逐步扩大到固定领域。此外,由于IMS体系架构可以支持移动性管理并且具有一定的服务质量(QoS)保障机制,因此IMS技术相比于软交换的优势还体现在宽频用户的漫游管理和QoS保障方面。

发展套用

发展
对IMS进行标準化的国际标準组织主要有3GPP和高级网路电信和网际网路融合业务和协定(TISPAN)。3GPP侧重于从移动的角度对IMS进行研究,而TISPAN则侧重于从固定的角度对IMS提出需求,并统一由3GPP来完善。
3GPP对IMS的标準化是按照R5版本、R6版本、R7版本……这个过程来发布的,IMS首次提出是在R5版本中,然后在R6、R7版本中进一步完善。R5版本主要侧重于对IMS基本结构、功能实体及实体间的流程方面的研究;而R6版本主要是侧重于IMS和外部网路的互通能力以及IMS对各种业务的支持能力等。相比于R5版本,R6版本的网路结构并没有发生改变,只是在业务能力上有所增加。在R5的基础上增加了部分业务特性,网路互通规范以及无线区域网路接入特性等,其主要目的是促使IMS成为一个真正的可运营的网路技术。R7阶段更多的考虑了固定方面的特性要求,加强了对固定、移动融合的标準化制订。R5版本和R6版本分别在2002年和2005年被冻结,而R7版本也即将冻结。
IMS
在TISPAN定义的NGN体系架构中,IMS是业务部件之一。TISPANIMS是在3GPPR6IMS核心规范的基础上对功能实体和协定进行扩展的,支持固定接入方式。TISPAN的工作方式和3GPP相似,都是分阶段发布不同版本。TISPAN已经发布了R1版本相关规范,从固定的角度向3GPP提出对IMS的修改建议;R2版本还处于需求分析阶段。
TISPAN在许多文档中都直接套用了3GPP的相关文档内容,而3GPPR7版本中的很多内容又都是在吸收了TISPAN的研究成果的基础上形成的,所以一方对文档内容的修改都将直接影响另一方。此外,部分先进的运营商(如德国电信、英国电信和法国电信)已经明确了未来网路和业务融合的战略目标,并开始特别关注基于IMS的网路融合研究。各大设备厂商也加大了对IMS在固网领域套用的研究,正积极参与并大力推进基于IMS的NGN的标準化工作。因此各个标準之间的协调一致的问题还需要进一步探讨。
套用
IP媒体业务类型
IMS是一个在分组域(PS)上的多媒体控制/呼叫控制平台,IMS使得PS具有电路域(CS)的部分功能,支持会话类和非会话类的多媒体业务。IMS为未来的多媒体套用提供了一个通用的业务平台,典型的业务如呈现、讯息、会议、一键通等等。将不同的业务进行分组可以得到以下一些类型。
(1)信息类业务,这类业务对用户来讲已经非常熟悉,而且为运营商带来了良好的收益,IMS的信息类业务将带给用户更多的选择,在享用这些信息类业务的同时,用户可以随心所欲而且费用低廉的使用其他媒介,比如视频和声音等,同时可以灵活的选用实时业务或非实时业务进行沟通。
(2)多媒体呼叫话音业务,这类业务可以给用户在原有的话音业务操作和套用上带来全新的体验。
(3)增强型呼叫管理,可以实现让用户自己来控制业务,让用户的沟通更加灵活。
(4)群组业务,将不同的通信媒介聚合起来,为用户提供新的业务体验,而且IMS还可以对业务进行新的开发和组合;突破传统的一对一的通信方式限制,可以提供基于群组的通信方式。
(5)信息共享,常见的邮件携带附属档案的沟通模式可以完成部分的信息共享功能,但是在许多情况下显得不够灵活,所以实时线上的信息共享通信应运而生,多个用户可以实时处理同一个数据档案。
(6)线上娱乐,移动终端可以直接和信息资源互联,IMS方式可以更好地呈现信息的更新和沟通,并可以随着用户需求的增长对信息进行必要的过滤;对于用户的线上游戏,IMS可以为用户提供从单机游戏到多用户线上参与的线上娱乐方式,同时用户还可以採用多种多媒体来沟通交流。
IMS的主要套用
随着IMS技术和产品的逐渐成熟,已经有一些运营商开始了IMS的商用,还有一些运营商在进行相关的测试。从的商用和测试情况看,移动运营商已经开始商用,而固网运营商还主要处于试验阶段。综合考虑,IMS的套用主要集中在以下几个方面。
首先是在行动网路的套用,这类套用是移动运营商为了丰富行动网路的业务而开展的,主要是在行动网路的基础上用IMS来提供PoC、即时讯息、视频共享等多媒体增值业务。套用重点集中在给企业客户提供IPCENTREX和公众客户的VoIP第二线业务。
其次是固定运营商出于网路演进和业务的需要,通过IMS为企业用户提供融合的企业的套用(IPCENTREX业务),以及向固定宽频用户(例如ADSL用户)提供VoIP套用。
第三种典型的套用是融合的套用,主要体现在WLAN和3G的融合,以实现语音业务的连续性。在这种方式下,用户拥有一个WLAN/WCDMA的双模终端,在WLAN的覆盖区内,一般优先使用WLAN接入,因为这种方式用户使用业务的资费更低,数据业务的频宽更充足。当离开WLAN的覆盖区后,终端自动切换到WCDMA网路,从而实现语音在WLAN和WCDMA之间的连续性。这种方案的商用较少,但是许多运营商都在进行测试。
在IMS中全部採用SIP协定,虽然SIP也可以实现最基本的VoIP,但是这种协定在多媒体套用中所展现出来的优势表明,它天生就是为多媒体业务而生的。由于SIP协定非常灵活,所以IMS还存在许多潜在的业务。
基于IMS的网路融合问题
随着通信网路的发展与演进,融合是不可避免的主题,固定和移动的融合(FMC)更是迫切要解决的问题。ETSI给FMC下的定义是:“固定移动融合是一种能提供与接入技术无关的网路能力。但这并不意味着一定是物理上的网路融合,而只关心一个融合的网路体系结构和相应的标準规范。这些标準可以用来支持固定业务、移动业务以及固定移动混合的业务。固定移动融合的一个重要特徵是,用户的业务签约和享用的业务,将从不同的接入点和终端上分离开来,以允许用户从任何固定或移动的终端上,通过任何兼容的接入点访问完全相同的业务,包括在漫游时也能获得相同的业务。”ETSI在给FMC下定义的同时也对固定行动网路的融合提出了相应的要求。
IMS
IMS进一步发扬了软交换结构中业务与控制分离、控制与承载分离的思想,比软交换进行了更充分的网路解聚,网路结构更加清晰合理。网路各个层次的不断解聚是电信网路发展的总体趋势。网路的解聚使得垂直业务模式被打破,有利于业务的发展;另外,不同类型网路的解聚也为网路在不同层次上的重新聚合创造了条件。这种重新聚合,就是网路融合的过程。利用IMS实现对固定接入和移动接入的统一核心控制,主要是IMS具有以下特点。
(1)与接入无关性。虽然3GPPIMS是为行动网路设计的,TISPANNGN是为固定xDSL宽频接入设计的,但它们採用的IMS网路技术却可以做到与接入无关,因而能确保对FMC的支持。从理论上可以实现不论用户使用什幺设备、在何地接入IMS网路,都可以使用归属地的业务。
(2)统一的业务触发机制。IMS核心控制部分不实现具体业务,所有的业务包括传统概念上的补充业务都由业务套用平台来实现,IMS核心控制只根据初始过滤规则进行业务触发,这样消除了核心控制相关功能实体和业务之间的绑定关係,无论固定接入还是移动接入都可以使用IMS中定义的业务触发机制实现统一触发。
(3)统一的路由机制。IMS中仅保留了传统移动网中HLR的概念,而摒弃了VLR的概念,和用户相关的数据信息只保存在用户的归属地,这样不仅用户的认证需要到归属地认证,所有和用户相关的业务也必须经过用户的归属地。
(4)统一用户资料库。HSS(归属业务伺服器)是一个统一的用户资料库系统,既可以存储移动IMS用户的数据,也可以存储固定IMS用户的数据,资料库本身不再区分固定用户和移动用户。特别是业务触发机制中使用的初始过滤规则,对IMS中所定义的资料库来讲完全是透明数据的概念,禁止了固定和移动用户在业务属性上的差异。
(5)充分考虑了运营商实际运营的需求,在网路框架、QoS、安全、计费以及和其他网路的互通方面都制定了相关规范。
(6)业务与承载分离,IMS定义了标準的基于SIP的ISC(IP multimedia Service Control)接口,实现了业务层与控制层的完全分离。IMS通过基于SIP的ISC接口,支持三种业务提供方式:独立的SIP套用伺服器方式、OSA SCS方式和IM-SSF方式(接入传统智慧型网,体现业务继承性)。 IMS的核心控制网元CSCF不再需要处理业务逻辑,而是通过基于规则的业务触发机制,根据用户的签约数据的初始过滤规则(iFC),由CSCF分析并触发到规则指定的套用伺服器,由套用伺服器完成业务逻辑处理。
(7)基于SIP的会话机制。IMS的核心功能实体是呼叫会话控制功能(CSCF)单元,并向上层的服务平台提供标準的接口,使业务独立于呼叫控制 。IMS採用基于IETF定义的会话初始协定(SIP)的会话控制能力,并进行了移动特性方面的扩展 ,实现接入的独立性及Internet互操作的平滑性。 IMS网路的终端与网路都支持SIP,SIP成为IMS域唯一的会话控制协定,这一特点实现了端到端的SIP信令互通 ,网路中不再需要支持多种不同的呼叫信令 ,使网路的业务提供和发布具有更大的灵活性。
IMS所具有这些特徵可以同时为移动用户和固定用户所共用,这就为同时支持固定和移动接入提供了技术基础,使得网路融合成为可能。

问题分析

IP多媒体子系统(IMS)是3GPP在R5规范中提出的,旨在建立一个与接入无关、基于开放的SIP/IP协定及支持多种多媒体业务类型的平台来提供丰富的业务。它将蜂窝移动通信网路技术、传统固定网路技术和网际网路技术有机结合起来,为未来的基于全IP网路多媒体套用提供了一个通用的业务智慧型平台,也为未来网路发展过程中的网路融合提供了技术基础。IMS的诸多特点使得其一经提出就成为业界的研究热点,是业界普遍认同的解决未来网路融合的理想方案和发展方向,但对于IMS将来如何提供统一的业务平台实现全业务运营,IMS的标準化及安全等问题仍需要进一步的研究和探讨。
1、IMS存在的安全问题分析
传统的电信网路採用独立的信令网来完成呼叫的建立、路由和控制等过程,信令网的安全能够保证网路的安全。而且传输採用时分复用(TDM)的专线,用户之间採用面向连线的通道进行通信,避免了来自其他终端用户的各种窃听和攻击。
而IMS网路与网际网路相连线,基于IP协定和开放的网路架构可以将语音、数据、多媒体等多种不同业务,通过採用多种不同的接入方式来共享业务平台,增加了网路的灵活性和终端之间的互通性,不同的运营商可以有效快速地开展和提供各种业务。由于IMS是建立在IP基础上,使得IMS的安全性要求比传统运营商在独立网路上运营要高的多,不管是由移动接入还是固定接入,IMS的安全问题都不容忽视。
IMS的安全威胁主要来自于几个方面:未经授权地访问敏感数据以破坏机密性;未经授权地篡改敏感数据以破坏完整性;干扰或滥用网路业务导致拒绝服务或降低系统可用性;用户或网路否认已完成的操作;未经授权地接入业务等。主要涉及到IMS的接入安全(3GPP TS33.203),包括用户和网路认证及保护IMS终端和网路间的业务;以及IMS的网路安全(3GPP TS33.210),处理属于同一运营商或不同运营商网路节点之间的业务保护。除此之外,还对用户终端设备和通用积体电路卡/IP多媒体业务身份识别模组(UICC/ISIM)安全构成威胁。
2、IMS安全体系
IMS系统安全的主要应对措施是IP安全协定(IPSec),通过IPSec提供了接入安全保护,使用IPSec来完成网路域内部的实体和网路域之间的安全保护。3GPP IMS实质上是叠加在原有核心网分组域上的网路,对PS域没有太大的依赖性,在PS域中,业务的提供需要移动设备和行动网路之间建立一个安全联盟(SA)后才能完成。对于IMS系统,多媒体用户也需要与IMS网路之间先建立一个独立的SA之后才能接入多媒体业务。
3GPP终端的核心是通用积体电路卡(UICC),它包含多个逻辑套用,主要有用户识别模组(SIM)、UMTS用户业务识别模组(USIM)和ISIM。ISIM中包含了IMS系统用户终端在系统中进行操作的一系列参数(如身份识别、用户授权和终端设定数据等),而且存储了共享密钥和相应的AKA(Authentication and Key Agreement)算法。其中,保存在UICC上的用户侧的IMS认证密钥和认证功能可以独立于PS域的认证密钥和认证功能,也可和PS使用相同的认证密钥和认证功能。IMS的安全体系如图1所示。
图1中显示了5个不同的安全联盟用以满足IMS系统中不同的需求,分别用①、②、③、④、⑤来加以标识。①提供终端用户和IMS网路之间的相互认证。
②在UE和P-CSCF之间提供一个安全连结(Link)和一个安全联盟(SA),用以保护Gm接口,同时提供数据源认证。
③在网路域内为Cx接口提供安全。
④为不同网路之间的SIP节点提供安全,并且这个安全联盟只适用于代理呼叫会话控制功能(P-CSCF)位于拜访网路(VN)时。
⑤为同一网路内部的SIP节点提供安全,并且这个安全联盟同样适用于P-CSCF位于归属网路(HN)时。
除上述接口之外,IMS中还存在其他的接口,在上图中未完整标识出来,这些接口位于安全域内或是位于不同的安全域之间。这些接口(除了Gm接口之外)的保护都受IMS网路安全保护。
SIP信令的保密性和完整性是以逐跳的方式提供的,它包括一个複杂的安全体系,要求每个代理对讯息进行解密。SIP使用两种安全协定:传输层安全协定(TLS)和IPSec,TLS可以实现认证、完整性和机密性,用TLS来保证安全的请求必须使用可靠的传输层协定,如传输控制协定(TCP)或流控制传输协定(SCTP);IPSec通过在IP层对SIP讯息提供安全来实现认证、完整性和机密性,它同时支持TCP和用户数据报协定(UDP)。在IMS核心网中,可通过NDS/IP来完成对网路中SIP信令的保护;而第一跳,即UE和P-CSCF间的信令保护则需要附加的测量,在3GPP TS 33.203中有具体描述。
3、IMS的接入安全
IMS用户终端(UE)接入到IMS核心网需经一系列认证和密钥协商过程,具体而言,UE用户签约信息存储在归属网路的HSS中,且对外部实体保密。当用户发起注册请求时,查询呼叫会话控制功能(I-CSCF)将为请求用户分配一个服务呼叫会话控制功能(S-CSCF),用户的签约信息将通过Cx接口从HSS下载到S-CSCF中。当用户发起接入IMS请求时,该S-CSCF将通过对请求内容与用户签约信息进行比较,以决定用户是否被允许继续请求。
在IMS接入安全中,IPSec封装安全净荷(ESP)将在IP层为UE和P-CSCF间所有SIP信令提供机密性保护,对于呼叫会话控制功能(CSCF)之间和CSCF和HSS之间的加密可以通过安全网关(SEG)来实现。同时,IMS还採用IPSec ESP为UE和P-CSCF间所有SIP信令提供完整性保护,保护IP层的所有SIP信令,以传输模式提供完整性保护机制。
在完成注册鑒权之后,UE和P-CSCF之间同时建立两对单向的SA,这些SA由TCP和UDP共享。其中一对用于UE连线埠为客户端、P-CSCF连线埠作为伺服器端的业务流,另一对用于UE连线埠为伺服器、P-CSCF连线埠作为客户端的业务流。用两对SA可以允许终端和P-CSCF使用UDP在另一个连线埠上接收某个请求的回响,而不是使用传送请求的那个连线埠。同时,终端和P-CSCF之间使用TCP连线,在收到请求的同一个TCP连线上传送回响;而且通过建立SA实现在IMS AKA提供的共享密钥以及指明在保护方法的一系列参数上达成一致。SA的管理涉及到两个资料库,即内部和外部资料库(SPD和SAD)。SPD包含所有入站和出站业务流在主机或安全网关上进行分类的策略。SAD是所有激活SA与相关参数的容器。SPD使用一系列选择器将业务流映射到特定的SA,这些选择器包括IP层和上层(如TCP和UDP)协定的栏位值。
与此同时,为了保护SIP代理的身份和网路运营商的网路运作内部细节,可通过选择网路隐藏机制来隐藏其网路内部拓扑,归属网路中的所有I-CSCF将共享一个加密和解密密钥。
在通用移动通信系统(UMTS)中相互认证机制称为UMTS AKA,在AKA过程中採用双向鑒权以防止未经授权的“非法”用户接入网路,以及未经授权的“非法”网路为用户提供服务。AKA协定是一种挑战回响协定,包含用户鑒权五元参数组的挑战由AUC在归属层发起而传送到服务网路。
UMTS系统中AKA协定,其相同的概念和原理被IMS系统重用,我们称之为IMS AKA。AKA实现了ISIM和AUC之间的相互认证,并建设了一对加密和完整性密钥。用来认证用户的身份是私有的身份(IMPI),HSS和ISIM共享一个与IMPI相关联的长期密钥。当网路发起一个包含RAND和AUTN的认证请求时,ISIM对AUTN进行验证,从而对网路本身的真实性进行验证。每个终端也为每一轮认证过程维护一个序列号,如果ISIM检测到超出了序列号码範围之外的认证请求,那幺它就放弃该认证并向网路返回一个同步失败讯息,其中包含了正确的序列号码。
为了回响网路的认证请求,ISIM将密钥套用于随机挑战(RAND),从而产生一个认证回响(RES)。网路对RES进行验证以认证ISIM。此时,UE和网路已经成功地完成了相互认证,并且生成了一对会话密钥:加密密钥(CK)和完整性密钥(IK)用以两个实体之间通信的安全保护。
4、IMS的网路安全
在第二代移动通信系统中,由于在核心网中缺乏标準的安全解决方案,使得安全问题尤为突出。虽然在无线接入过程中,移动用户终端和基站之间通常可由加密来保护,但是在核心网时,系统的节点之间却是以明文来传送业务流,这就让攻击者有机可乘,接入到这些媒体的攻击者可以轻而易举对整个通信过程进行窃听。
针对2G系统中的安全缺陷,第三代移动通信系统中採用NDS对核心网中的所有IP数据业务流进行保护。可以为通信服务提供保密性、数据完整性、认证和防止重放攻击,同时通过套用在IPSec中的密码安全机制和协定安全机制来解决安全问题。
在NDS中有几个重要的概念,它们分别是安全域(Security Domains)、安全网关(SEG)。
4.1 安全域
NDS中最核心的概念是安全域,安全域是一个由单独的管理机构管理运营的网路。在同一安全域内採用统一的安全策略来管理,因此同一安全域内部的安全等级和安全服务通常是相同的。大多情况下,一个安全域直接对应着一个运营商的核心网,不过,一个运营商也可以运营多个安全域,每个安全域都是该运营商整个核心网路中的一个子集。在NDS/IP中,不同的安全域之间的接口定义为Za接口,同一个安全域内部的不同实体之间的安全接口则定义为Zb接口。其中Za接口为必选接口,Zb接口为可选接口。两种接口主要完成的功能是提供数据的认证和完整性、机密性保护。
4.2 安全网关
SEG位于IP安全域的边界处,是保护安全域之间的边界。业务流通过一个SEG进入和离开安全域,SEG被用来处理通过Za接口的通信,将业务流通过隧道传送到已定义好的一组其他安全域。这称为轮轴-辐条(hub-and-spoke)模型,它为不同安全域之间提供逐跳的安全保护。SEG负责在不同安全域之间传送业务流时实施安全策略,也可以包括分组过滤或者防火墙等的功能。IMS核心网中的所有业务流都是通过SEG进行传送,每个安全域可以有一个或多个SEG,网路运营商可以设定多个SEG以避免某独立点出现故障或失败。当所保护的IMS业务流跨越不同安全域时,NDS/IP必须提供相应的机密性、数据完整性和认证。
4.3 基于IP的网路域安全体系[2]
NDS/IP体系结构最基本的思想就是提供上从一跳到下一跳的安全,逐跳的安全也简化了内部和面向其他外部安全域分离的安全策略的操作。
在NDS/IP中只有SEG负责与其他安全域中的实体间进行直接通信。两个SEG之间的业务被採用隧道模式下的IPSec ESP安全联盟进行保护,安全网关之间的网路连线通过使用IKE来建立和维护[3]。网路实体(NE)能够面向某个安全网关或相同安全域的其他安全实体,建立维护所需的ESP安全联盟。所有来自不同安全域的网路实体的NDS/IP业务通过安全网关被路由,它将面向最终目标被提供逐跳的安全保护[5]。其网路域安全体系结构如图2所示。
4.4 密钥管理和分配机制[5]每个SEG负责建立和维护与其对等SEG之间的IPSec SA。这些SA使用网际网路密钥交换(IKE)协定进行协商,其中的认证使用保存在SEG中的长期有效的密钥来完成。每个对等连线的两个SA都是由SEG维护的:一个SA用于入向的业务流,另一个用于出向的业务流。另外,SEG还维护了一个单独的网际网路安全联盟和密钥管理协定(ISAKMP)SA,这个SA与密钥管理有关,用于构建实际的对等主机之间的IPSec SA。对于ISAKMP SA而言,一个关键的前提就是这两个对等实体必须都已经通过认证。在NDS/IP中,认证是基于预先共享的密钥。
NDS/IP中用于加密、数据完整性保护和认证的安全协定是隧道模式的IPSec ESP。在隧道模式的ESP中,包括IP头的完整的IP数据包被封装到ESP分组中。对于三重DES加密(3DES)算法是强制使用的,而对于数据完整性和认证,MD5和SHA-1都可以使用。
4.5 IPSec安全体系中的几个重要组成和概念[5]
1)IPSec:IPSec在IP层(包括IPv4和IPv6)提供了多种安全服务,从而为上层协定提供保护。IPSec一般用来保护主机和安全网关之间的通信安全,提供相应的安全服务。
2)ISAKMP:ISAKMP用来对SA和相关参数进行协商、建立、修改和删除。它定义了SA对等认证的创建和管理过程以及包格式,还有用于密钥产生的技术,它还包括缓解某些威胁的机制。
3)IKE:IKE是一种密钥交换协定,和ISAKMP一起,为SA协商认证密钥材料。IKE可以使用两种模式来建立第一阶段ISAKMP SA,即主模式和侵略性模式。两种模式均使用短暂的Diffie-Hellman密钥交换算法来生成ISAKMP SA的密钥材料。
4)ESP:ESP用来在IPv4和IPv6中提供安全服务。它可以单独使用或与AH一起使用,可提供机密性(如加密)或完整性(如认证)或同时提供两种功能。ESP可以工作在传送模式或隧道模式。在传送模式中,ESP头插入到IP数据报中IP头后面、所有上层协定头前面的位置;而在隧道模式中,它位于所封装的IP数据报之前。
标準化组织对IMS的安全体系和机製做了相应规定,其中UE和P-CSCF之间的安全由接入网路安全机制提供,IMS网路之上的安全由IP网路的安全机制保证,UE与IMS的承载层分组网路安全仍由原来的承载层安全机制支持。所有IP网路端到端安全基于IPSec,密钥管理基于IKE协定。对于移动终端接入IMS之前已经进行了相应的鑒权,所以安全性更高一些。但是对于固定终端来说,由于固定接入不存在类似行动网路空中接口的鑒权,P-CSCF将直接暴露给所有固定终端,这使P-CSCF更易受到攻击。为此,在IMS的接入安全方面有待于进一步的研究,需要不断完善IMS的安全机制。

Copyright@2015-2025 www.aizhengw.cn 癌症网版板所有