ims,英文缩写。ims(ip multimedia subsystem)是ip多媒体系统,是一种全新的多媒体业务形式,它能够满足现在的终端客户更新颖、更多样化多媒体业务的需求。ims被认为是下一代网络的核心技术,也是解决移动与固网融合,引入语音、数据、视频三重融合等差异化业务的重要方式。

中文名

ip多媒体子系统

外文名

ip multimedia subsystem

应用

终端客户

简称

ims

ims

ims即ip是由朗讯(lucent)提出的下一代通信网(ngn)实现大融合方案的网络架构,贝尔实验室在ims关键领域的创新——业务增强层的各种专利技术,决定了朗讯ims融合凯发注册的解决方案的先进性。ims凯发注册的解决方案相对于软交换的凯发注册的解决方案有着非常多的优势,在ngn市场正占据越来越重要的角色。截至2003年,国际权威标准组织普遍将ims作为ngn网络融合以及业务和技术创新的核心标准。对于大规模商用部署而言,ims从技术本身已足够成熟。ims不仅可以实现最初的voip业务,更重要的是ims将更有效地对网络资源、用户资源及应用资源进行管理,提高网络的智能,使用户可以跨越各种网络并使用多种终端,感受融合的通信体验。ims作为一个通信架构,开创了全新的电信商业模式,拓展了整个信息产业的发展空间。在北美五大电信运营商中,迄今已有四家部署了朗讯的ims技术,对于无线和有线融合有着极为重要的象征性意义,标志着ims在全球的部署进入到一个新的阶段。当然此项技术系统生长依然将注意力放在基础运营服务上,实现全球的网络统一还有很多需要改变的地方。

ims本质上说是一种网络结构。该项技术植根于移动领域,最初是3gpp为移动网络定义的,而在ngn的框架下,ims应同时支持固定接入和移动接入。涵盖ims增强特性的3gppr6已经基本冻结,这标志着ims技术已经走向成熟。

在ngn的框架中,终端和接入网络是各种各样的,而其核心网络只有一个ims,它的核心特点是采用sip协议和与接入的无关性。

顺应网络ip化的趋势,ims系统采用sip协议进行端到端的呼叫控制。ip技术在互联网上的应用已经非常成熟,是internet的主导技术,它能方便而灵活地提供各种信息服务,并能根据客户的需要快捷地创建新的服务。但是ip技术的一个最突出特性就是“尽力而为”,在数据传输的安全性和计费控制方面,却显得力不从心,而且只考虑固定接入方式。传统的基于电路交换的移动网络,虽然具有接入的灵活性,可以随时随地进行语音的交换,但由于无法支持ip技术,所以只能形成一种垂直的业务展开方式,不同业务应用的互操作性较低,而且需要较多的业务网关接入移动通信网络。不同的业务分别进行业务接入、网络搭建、业务控制和业务应用开发,甚至包括业务计费等主要的网络单元也必须建立独立的运营系统。所以,直到现在电信业务的主流仍然是话音业务。新业务的部署,在的状态下很容易招致更大的风险和成本增加。在这种情况下,不论是移动网还是固定网均在向基于ip的网络演进,已经成为必然趋势。

然而要将ip技术引入到电信级领域,就必须考虑到运营商实际网络运营的需求,需要ims网络从网元功能、接口协议、qos和安全、计费等方面全面支持固定的接入方式。从的研究看,sip是具有简单性、兼容性、模块化设计和第三方控制性从而成为基于internet通信市场的主流协议。所以基于sip的ims框架通过最大限度重用internet技术和协议、继承蜂窝移动通信系统特有的网络技术和充分借鉴软交换网络技术,使其能够提供电信级的qos保证、对业务进行有效而灵活的计费,并具有了融合各类网络综合业务的强大能力。这样,利用ims系统,电信运营商可以低成本地进入其向往已久的移动领域,而移动运营商则可以在保证其原有的语音和短信业务质量不受影响的前提下,轻松引入全新的丰富的多媒体业务,即所谓的全业务运营。

至于接入的无关性,是指ims借鉴软交换网络技术,采用基于网关的互通方案,包括信令网关(sgw)、媒体网关(mgw)、媒体网关控制器(mgcf)等网元,而且在mgcf及mgw也采用ietf和itu-t共同制订的h.248/megaco协议。这样的设计使得ims系统的终端可以是移动终端,也可以是固定电话终端、多媒体终端、pc机等,接入方式也不限于蜂窝射频接口,可以是无线的wlan,或者是有线的lan、dsl等技术。另外,由于ims在业务层采用软交换网络的开放式业务提供构架,可以完全支持基于应用服务器的第三方业务提供,这意味着运营商可以在不改变现有的网络结构、不投入任何的设备成本条件下,轻松地开发新的业务,进行应用的升级。

ims最初来源于移动通信标准领域,是由3gpp在其release 5中引入的。3gpp是1998年由欧洲、日本、韩国、美国和中国的标准化机构共同成立的专门制定第三代移动通信系统标准的标准化组织,它推出的第一个规范是r99,之后又相继推出了r4、r5、r6、r7、r8等,目前3gppr标准r18启动。

ims是由r5引入到3g的体系之中,作为3g的核心网的体系架构,旨在为3g用户提供各种多媒体服务。实质上ims的最终目标就是使各种类型的终端都可以建立起对等的ip连接,通过这个ip连接终端之间可以相互传递各种信息,包括语音、图片、视频等;因此,可以说ims是通过ip网络来为用户提供实时或非实时端到端的多媒体业务。

ims最初的设计思想就要求与接入方式无关的特性,即ims可以为任何类型的终端提供服务,只要这个终端可以接入到ims网络。遗憾的是,r5的ims规范中包含了一些gprs特有的特性。在r6中,接入方式无关的问题从核心的ims描述申分离出来。3gpp使用术语“ip接入网络”来代表可以在终端和ims实体间提供底层ip传输连接的所有网络实体和接口的集合。

正是由于ims的这种与接入无关的特性,在3gpp提出ims之后,ims逐渐引起了广泛的关注,尤其是固网领域也对ims产生了浓厚的兴趣。前面已经介绍过,ims最初是移动通信领域提出的一种体系架构,但是其拥有的与接入无关的特性使得ims可以成为融合移动网络与固定网络的一种手段,这是与ngn的目标相一致的。ims这种天生的优势使它得到了itut和etsi的关注,这两个标准化组织目前都已经把ims引入到自己的ngn标准之中,在ngn的体系结构中,ims将作为控制层面的核心架构,用于控错层面的网络融合。在itut将ims作为ngn的控制核心之后,ims已经成为了通信业的焦点,现在电信运营商、电信设备提供商都对ims投入巨大,尤其是面临转型的电信运营商更是对ims寄予厚望。此外,ims还得到了计算机行业的支持,像ibm、微软等公司也正在对ims进行研究。ims已经得到了广泛的行业支持,从这也能看出ims的受关注程度,目前ims的标准制定、ims的试验等工作正在进行之中,ims正在迅速发展并不断成熟。

接入无关性

ims是一个独立于接入技术的基于ip的标准体系,它与现存的语音和数据网络都可以互通,不论是固定用户还是移动用户。ims网络的用户与网络是通过ip连通的,即通过1p—can(ip connectivity access network)来连接。例如,wcdma的无线接入网络(ran)以及分组域网络构成了移动终端接入ims网络的ip—can,用户可以通过ps域的ggsn接入到ims网络。而为了支持wlna、wimax、xdsl等不同的接入技术,会产生不同的ip—can类型。ims的核心控制部分与ip-can是相独立的,只要终端与1ms网络可以通过一定的ip—can建立ip连接,则终端就能利用ims网络来进行通信,而不管这个终端是何种类型的终端。

ims的体系使得各种类型的终端都可以建立起对等的ip通信,并可以获得所需要的服务质量。除会话管理之外,ims体系还涉及完成服务所必需的功能,如注册、安全、计费、承载控制、漫游等。

基于sip协议

ims中使用sip作为唯一的会话控制协议。为了实现接入的独立性,ims采用sip作为会话控制协议,这是因为sip协议本身是一个端到端的应用协议,和接入方式无关。此外由于sip是由ietf提出的使用于internet上的协议,因此使用sip协议也增强了ims与internet的互操作性。但是3gpp在制定ims标准时对原来的ietf的sip标准进行了一些扩展,主要是为了支持终端的移动特性和一些qos策略的控制和实施等,因此当ims的用户与传统internet的sip终端进行通信时,会存在一些障碍,这也是ims目前存在的一个问题。

sip协议是ims中唯一的会话控制协议,但不是说ims体系中只会用到sip协议ims也会用到其他的一些协议,但其他的这些协议并不用于对呼叫的控制。如diameter用于cscf与hss之间,cops用于策略的管理和控制,h.248用于对媒体网关的控制等。

针对移动通信环境的优化

因为3gpp最初提出ims是要用于3g的核心网中,因此ims体系针对移动通信环境进行了充分的考虑,包括基于移动身份的用户认证和授权、用户网络接口上sip消息压缩的确切规则、允许无线丢失与恢复检测的安全和策略控制机制。除此之外,很多对于运营商颇为重要的方面在体系的开发过程中得到了解决,例如计费体系、策略和服务控制等。这个特点是ims与软交换相比的最大优势,即ims是支持移动终端接入的,目前ims在移动领域中的应用相对于固网来说比较成熟,标准也更加成熟,估计ims将最先应用于移动网之中,逐渐地融合各种固定网络的接入,最终实现定与移动网络的融合。

提供丰富的组合业务

ims在个人业务实现方面采用比传统网络更加面向用户的方法。ims给用户带来的一个直接好处就是实现了端到端的ip多媒体通信。传统的多媒体业务是人到内容或人到服务器的通信方式,而ims是直接的人到人的多媒体通信方式。同时,ims具有在多媒体会话和呼叫过程中增加、修改和删除会话和业务的能力,并且还可以对不同的业务进行区分和计费的能力。因此对用户而言,ims业务以高度个性化和可管理的方式支持个人与个人以及个人与信息内容之间的多媒体通信,包括语音、文本、图片和视频或这些媒体的组合。

网络融合的平台

ims的出现使得网络融合成为可能。除了与接入方式无关的特性外,ims还具有个商用网络所必须拥有的一些能力,包括计费能力、qos控制、安全策略等,ims从最初提出就对这些方面进行了充分的考虑。正因为如此,ims才能够被运营商接受并被运营商寄予厚望。运营商希望通过ms这样一个统一的平台,来融合各种网络,为各种类型的终端用户提供丰富多彩的服务,而不必再像以前那样使用传统的“烟囱”模式来部署新业务,从而减少重复投资,简化网络结构,减少网络的运营成本。

ims的系统架构由六部分组成:

业务层

业务层与控制层完全分离,主要由各种不同的应用服务器组成,除了在ims网络内实现各种基本业务和补充业务(sip-as方式)外,还可以将传统的窄带智能网业务接入ims网络中(im-ssf方式),并为第三方业务的开发提供标准的开放的应用编程接口(osa scs方式),从而使第三方应用提供商可以在不了解具体网络协议的情况下,开发出丰富多彩的个性化业务。

运营支撑

由在线计费系统(ocs)、计费网关(cg)、网元管理系统(ems)、域名系统(dns)以及归属用户服务器(hss/slf)组成,为ims网络的正常运行提供支撑,包括ims用户管理、网间互通、业务触发、在线计费、离线计费、统一的网管、dns查询、用户签约数据存放等功能。

控制层

完成ims多媒体呼叫会话过程中的信令控制功能,包括用户注册、鉴权、会话控制、路由选择、业务触发、承载面qos、媒体资源控制以及网络互通等功能。

互通层

完成ims网络与其他网络的互通功能,包括公共交换电话网(pstn)、公共陆地移动网(plmn)、其他ip网络等。

接入和承载控制层

主要由路由设备以及策略和计费规则功能实体(pcrf)组成,实现ip承载、接入控制、qos控制、用量控制、计费控制等功能。

接入网络

提供ip接入承载,可由边界网关(a-sbc)接入多种多样的终端,包括pstn/isdn用户、sip ue、fttx/lan以及wimax/wifi等。

ims系统中涉及的主要功能实体有:

本地用户服务器hss

hss(home subscriberserver)在ims中作为用户信息存储的数据库,主要存放用户认证信息、签约用户的特定信息、签约用户的动态信息、网络策略规则和设备标识寄存器信息,用于移动性管理和用户业务数据管理。它是一个逻辑实体,物理上可以由多个物理数据库组成。

呼叫会话控制功能cscf

cscf(call session control function)是ims的核心部分,主要用于基于分组交换的sip会话控制。在ims中,cscf负责对用户多媒体会话进行处理,可以看作ietf架构中的sip服务器。根据各自不同的主要功能分为代理呼叫会话控制功能p-cscf(proxy cscf)、问询呼叫会话控制功能i-cscf(interrogation cscf)和服务呼叫会话控制功能s-cscf(serving cscf),三个功能在物理上可以分开,也可以独立。

多媒体资源功能mrf

mrf(multimedia resource function)主要完成多方呼叫与多媒体会议功能。mrf由多媒体资源功能控制器mrfc(multimedia resource function controller)和多媒体资源功能处理器mrfp(multimedia resource function processor)构成,分别完成媒体流的控制和承载功能。mrfc解释从s.cscf收到的sip信令,并且使用媒体网关控制协议指令来控制mrfp完成相应的媒体流编解码、转换、混合和播放功能。

网关功能

网关功能主要包括:出ims网关控制功能bgcf(breakout gateway controlfunction)、媒体网关控制功能mgcf(media gateway control function)、ims媒体网关ims.mgw(ims media gateway)和信令网关sgw(signalinggateway)。

ims在3gpprelease5版本中提出,是对ip多媒体业务进行控制的网络核心层逻辑功能实体的总称。3gpp r5主要定义ims的核心结构,网元功能、接口和流程等内容:r6版本增加了部分ims业务特性、ims与其他网络的互通规范和无线局域网(wlan)接入特性等;r7版本加强了对固定、移动融合的标准化制订,要求ims支持数字用户线(xdsl)、电缆调制解调器等固定接入方式。

软交换技术从1998年就开始出现并且已经历了实验、商用等多个发展阶段,已比较成熟。全球范围早已有多家电信运营商开展了软交换试验,发展至今,软交换技术已经具备了替代电路交换机的能力,并具备一定的宽带多媒体业务能力。在软交换技术已发展如此成熟的今天,ims的出路在何方?又该如何发展和定位呢?首先需要对ims和软交换进行较为全面的比较和分析。

如果从采用的基础技术上看,ims和软交换有很大的相似性:都是基于ip分组网;都实现了控制与承载的分离;大部分的协议都是相似或者完全相同的;许多网关设备和终端设备甚至是可以通用的。

ims和软交换最大的区别在于以下几个方面。

(1)在软交换控制与承载分离的基础上,ims更进一步的实现了呼叫控制层和业务控制层的分离;

(2)ims起源于移动通信网络的应用,因此充分考虑了对移动性的支持,并增加了外置数据库——归属用户服务器(hss),用于用户鉴权和保护用户业务触发规则;

(3)ims全部采用会话初始协议(sip)作为呼叫控制和业务控制的信令,而在软交换中,sip只是可用于呼叫控制的多种协议的一种,更多的使用媒体网关协议(mgcp)和h.248协议。

总体来讲,ims和软交换的区别主要是在网络构架上。软交换网络体系基于主从控制的特点,使得其与具体的接入手段关系密切,而ims体系由于终端与核心侧采用基于ip承载的sip协议,ip技术与承载媒体无关的特性使得ims体系可以支持各类接入方式,从而使得ims的应用范围从最初始的移动网逐步扩大到固定领域。此外,由于ims体系架构可以支持移动性管理并且具有一定的服务质量(qos)保障机制,因此ims技术相比于软交换的优势还体现在宽带用户的漫游管理和qos保障方面。

对ims进行标准化的国际标准组织主要有3gpp和高级网络电信和互联网融合业务和协议(tispan)。3gpp侧重于从移动的角度对ims进行研究,而tispan则侧重于从固定的角度对ims提出需求,并统一由3gpp来完善。

3gpp对ims的标准化是按照r5版本、r6版本、r7版本……这个过程来发布的,ims首次提出是在r5版本中,然后在r6、r7版本中进一步完善。r5版本主要侧重于对ims基本结构、功能实体及实体间的流程方面的研究;而r6版本主要是侧重于ims和外部网络的互通能力以及ims对各种业务的支持能力等。相比于r5版本,r6版本的网络结构并没有发生改变,只是在业务能力上有所增加。在r5的基础上增加了部分业务特性,网络互通规范以及无线局域网接入特性等,其主要目的是促使ims成为一个真正的可运营的网络技术。r7阶段更多的考虑了固定方面的特性要求,加强了对固定、移动融合的标准化制订。r5版本和r6版本分别在2002年和2005年被冻结,而r7版本也即将冻结。

在tispan定义的ngn体系架构中,ims是业务部件之一。tispanims是在3gppr6ims核心规范的基础上对功能实体和协议进行扩展的,支持固定接入方式。tispan的工作方式和3gpp相似,都是分阶段发布不同版本。tispan已经发布了r1版本相关规范,从固定的角度向3gpp提出对ims的修改建议;r2版本还处于需求分析阶段。

tispan在许多文档中都直接应用了3gpp的相关文档内容,而3gppr7版本中的很多内容又都是在吸收了tispan的研究成果的基础上形成的,所以一方对文档内容的修改都将直接影响另一方。此外,部分先进的运营商(如德国电信、英国电信和法国电信)已经明确了未来网络和业务融合的战略目标,并开始特别关注基于ims的网络融合研究。各大设备厂商也加大了对ims在固网领域应用的研究,正积极参与并大力推进基于ims的ngn的标准化工作。因此各个标准之间的协调一致的问题还需要进一步探讨。

ims是一个在分组域(ps)上的多媒体控制/呼叫控制平台,ims使得ps具有电路域(cs)的部分功能,支持会话类和非会话类的多媒体业务。ims为未来的多媒体应用提供了一个通用的业务平台,典型的业务如呈现、消息、会议、一键通等等。将不同的业务进行分组可以得到以下一些类型。

(1)信息类业务,这类业务对用户来讲已经非常熟悉,而且为运营商带来了良好的收益,ims的信息类业务将带给用户更多的选择,在享用这些信息类业务的同时,用户可以随心所欲而且费用低廉的使用其他媒介,比如视频和声音等,同时可以灵活的选用实时业务或非实时业务进行沟通。

(2)多媒体呼叫话音业务,这类业务可以给用户在原有的话音业务操作和应用上带来全新的体验。

(3)增强型呼叫管理,可以实现让用户自己来控制业务,让用户的沟通更加灵活。

(4)群组业务,将不同的通信媒介聚合起来,为用户提供新的业务体验,而且ims还可以对业务进行新的开发和组合;突破传统的一对一的通信方式限制,可以提供基于群组的通信方式。

(5)信息共享,常见的邮件携带附件的沟通模式可以完成部分的信息共享功能,但是在许多情况下显得不够灵活,所以实时在线的信息共享通信应运而生,多个用户可以实时处理同一个数据文件。

(6)在线娱乐,移动终端可以直接和信息资源互联,ims方式可以更好地呈现信息的更新和沟通,并可以随着用户需求的增长对信息进行必要的过滤;对于用户的在线游戏,ims可以为用户提供从单机游戏到多用户在线参与的在线娱乐方式,同时用户还可以采用多种多媒体来沟通交流。

随着ims技术和产品的逐渐成熟,已经有一些运营商开始了ims的商用,还有一些运营商在进行相关的测试。从的商用和测试情况看,移动运营商已经开始商用,而固网运营商还主要处于试验阶段。综合考虑,ims的应用主要集中在以下几个方面。

首先是在移动网络的应用,这类应用是移动运营商为了丰富移动网络的业务而开展的,主要是在移动网络的基础上用ims来提供poc、即时消息、视频共享等多媒体增值业务。应用重点集中在给企业客户提供ipcentrex和公众客户的voip第二线业务。

其次是固定运营商出于网络演进和业务的需要,通过ims为企业用户提供融合的企业的应用(ipcentrex业务),以及向固定宽带用户(例如adsl用户)提供voip应用。

第三种典型的应用是融合的应用,主要体现在wlan和3g的融合,以实现语音业务的连续性。在这种方式下,用户拥有一个wlan/wcdma的双模终端,在wlan的覆盖区内,一般优先使用wlan接入,因为这种方式用户使用业务的资费更低,数据业务的带宽更充足。当离开wlan的覆盖区后,终端自动切换到wcdma网络,从而实现语音在wlan和wcdma之间的连续性。这种方案的商用较少,但是许多运营商都在进行测试。

在ims中全部采用sip协议,虽然sip也可以实现最基本的voip,但是这种协议在多媒体应用中所展现出来的优势表明,它天生就是为多媒体业务而生的。由于sip协议非常灵活,所以ims还存在许多潜在的业务。

随着通信网络的发展与演进,融合是不可避免的主题,固定和移动的融合(fmc)更是迫切要解决的问题。etsi给fmc下的定义是:“固定移动融合是一种能提供与接入技术无关的网络能力。但这并不意味着一定是物理上的网络融合,而只关心一个融合的网络体系结构和相应的标准规范。这些标准可以用来支持固定业务、移动业务以及固定移动混合的业务。固定移动融合的一个重要特征是,用户的业务签约和享用的业务,将从不同的接入点和终端上分离开来,以允许用户从任何固定或移动的终端上,通过任何兼容的接入点访问完全相同的业务,包括在漫游时也能获得相同的业务。”etsi在给fmc下定义的同时也对固定移动网络的融合提出了相应的要求。

ims进一步发扬了软交换结构中业务与控制分离、控制与承载分离的思想,比软交换进行了更充分的网络解聚,网络结构更加清晰合理。网络各个层次的不断解聚是电信网络发展的总体趋势。网络的解聚使得垂直业务模式被打破,有利于业务的发展;另外,不同类型网络的解聚也为网络在不同层次上的重新聚合创造了条件。这种重新聚合,就是网络融合的过程。利用ims实现对固定接入和移动接入的统一核心控制,主要是ims具有以下特点。

(1)与接入无关性。虽然3gppims是为移动网络设计的,tispanngn是为固定xdsl宽带接入设计的,但它们采用的ims网络技术却可以做到与接入无关,因而能确保对fmc的支持。从理论上可以实现不论用户使用什么设备、在何地接入ims网络,都可以使用归属地的业务。

(2)统一的业务触发机制。ims核心控制部分不实现具体业务,所有的业务包括传统概念上的补充业务都由业务应用平台来实现,ims核心控制只根据初始过滤规则进行业务触发,这样消除了核心控制相关功能实体和业务之间的绑定关系,无论固定接入还是移动接入都可以使用ims中定义的业务触发机制实现统一触发。

(3)统一的路由机制[1]。ims中仅保留了传统移动网中hlr的概念,而摒弃了vlr的概念,和用户相关的数据信息只保存在用户的归属地,这样不仅用户的认证需要到归属地认证,所有和用户相关的业务也必须经过用户的归属地。

(4)统一用户数据库。hss(归属业务服务器)是一个统一的用户数据库系统,既可以存储移动ims用户的数据,也可以存储固定ims用户的数据,数据库本身不再区分固定用户和移动用户。特别是业务触发机制中使用的初始过滤规则,对ims中所定义的数据库来讲完全是透明数据的概念,屏蔽了固定和移动用户在业务属性上的差异。

(5)充分考虑了运营商实际运营的需求,在网络框架、qos、安全、计费以及和其他网络的互通方面都制定了相关规范。

(6)业务与承载分离,ims定义了标准的基于sip的isc(ip multimedia service control)接口,实现了业务层与控制层的完全分离。ims通过基于sip的isc接口,支持三种业务提供方式:独立的sip应用服务器方式、osa scs方式和im-ssf方式(接入传统智能网,体现业务继承性)。ims的核心控制网元cscf不再需要处理业务逻辑,而是通过基于规则的业务触发机制,根据用户的签约数据的初始过滤规则(ifc),由cscf分析并触发到规则指定的应用服务器,由应用服务器完成业务逻辑处理。

(7)基于sip的会话机制。ims的核心功能实体是呼叫会话控制功能(cscf)单元,并向上层的服务平台提供标准的接口,使业务独立于呼叫控制。ims采用基于ietf定义的会话初始协议(sip)的会话控制能力,并进行了移动特性方面的扩展,实现接入的独立性及internet互操作的平滑性。ims网络的终端与网络都支持sip,sip成为ims域唯一的会话控制协议,这一特点实现了端到端的sip信令互通,网络中不再需要支持多种不同的呼叫信令,使网络的业务提供和发布具有更大的灵活性。

ims所具有这些特征可以同时为移动用户和固定用户所共用,这就为同时支持固定和移动接入提供了技术基础,使得网络融合成为可能。

ip多媒体子系统(ims)是3gpp在r5规范中提出的,旨在建立一个与接入无关、基于开放的sip/ip协议及支持多种多媒体业务类型的平台来提供丰富的业务。它将蜂窝移动通信网络技术、传统固定网络技术和互联网技术有机结合起来,为未来的基于全ip网络多媒体应用提供了一个通用的业务智能平台,也为未来网络发展过程中的网络融合提供了技术基础。ims的诸多特点使得其一经提出就成为业界的研究热点,是业界普遍认同的解决未来网络融合的理想方案和发展方向,但对于ims将来如何提供统一的业务平台实现全业务运营,ims的标准化及安全等问题仍需要进一步的研究和探讨。

ims存在的安全问题分析

传统的电信网络采用独立的信令网来完成呼叫的建立、路由和控制等过程,信令网的安全能够保证网络的安全。而且传输采用时分复用(tdm)的专线,用户之间采用面向连接的通道进行通信,避免了来自其他终端用户的各种窃听和攻击。

而ims网络与互联网相连接,基于ip协议和开放的网络架构可以将语音、数据、多媒体等多种不同业务,通过采用多种不同的接入方式来共享业务平台,增加了网络的灵活性和终端之间的互通性,不同的运营商可以有效快速地开展和提供各种业务。由于ims是建立在ip基础上,使得ims的安全性要求比传统运营商在独立网络上运营要高的多,不管是由移动接入还是固定接入,ims的安全问题都不容忽视。

ims的安全威胁主要来自于几个方面:未经授权地访问敏感数据以破坏机密性;未经授权地篡改敏感数据以破坏完整性;干扰或滥用网络业务导致拒绝服务或降低系统可用性;用户或网络否认已完成的操作;未经授权地接入业务等。主要涉及到ims的接入安全(3gpp ts33.203),包括用户和网络认证及保护ims终端和网络间的业务;以及ims的网络安全(3gpp ts33.210),处理属于同一运营商或不同运营商网络节点之间的业务保护。除此之外,还对用户终端设备和通用集成电路卡/ip多媒体业务身份识别模块(uicc/isim)安全构成威胁。

ims的接入安全

ims用户终端(ue)接入到ims核心网需经一系列认证和密钥协商过程,具体而言,ue用户签约信息存储在归属网络的hss中,且对外部实体保密。当用户发起注册请求时,查询呼叫会话控制功能(i-cscf)将为请求用户分配一个服务呼叫会话控制功能(s-cscf),用户的签约信息将通过cx接口从hss下载到s-cscf中。当用户发起接入ims请求时,该s-cscf将通过对请求内容与用户签约信息进行比较,以决定用户是否被允许继续请求。

在ims接入安全中,ipsec封装安全净荷(esp)将在ip层为ue和p-cscf间所有sip信令提供机密性保护,对于呼叫会话控制功能(cscf)之间和cscf和hss之间的加密可以通过安全网关(seg)来实现。同时,ims还采用ipsec esp为ue和p-cscf间所有sip信令提供完整性保护,保护ip层的所有sip信令,以传输模式提供完整性保护机制。

在完成注册鉴权之后,ue和p-cscf之间同时建立两对单向的sa,这些sa由tcp和udp共享。其中一对用于ue端口为客户端、p-cscf端口作为服务器端的业务流,另一对用于ue端口为服务器、p-cscf端口作为客户端的业务流。用两对sa可以允许终端和p-cscf使用udp在另一个端口上接收某个请求的响应,而不是使用发送请求的那个端口。同时,终端和p-cscf之间使用tcp连接,在收到请求的同一个tcp连接上发送响应;而且通过建立sa实现在ims aka提供的共享密钥以及指明在保护方法的一系列参数上达成一致。sa的管理涉及到两个数据库,即内部和外部数据库(spd和sad)。spd包含所有入站和出站业务流在主机或安全网关上进行分类的策略。sad是所有激活sa与相关参数的容器。spd使用一系列选择器将业务流映射到特定的sa,这些选择器包括ip层和上层(如tcp和udp)协议的字段值。

与此同时,为了保护sip代理的身份和网络运营商的网络运作内部细节,可通过选择网络隐藏机制来隐藏其网络内部拓扑,归属网络中的所有i-cscf将共享一个加密和解密密钥。

在通用移动通信系统(umts)中相互认证机制称为umts aka,在aka过程中采用双向鉴权以防止未经授权的“非法”用户接入网络,以及未经授权的“非法”网络为用户提供服务。aka协议是一种挑战响应协议,包含用户鉴权五元参数组的挑战由auc在归属层发起而发送到服务网络。

umts系统中aka协议,其相同的概念和原理被ims系统重用,我们称之为ims aka。aka实现了isim和auc之间的相互认证,并建设了一对加密和完整性密钥。用来认证用户的身份是私有的身份(impi),hss和isim共享一个与impi相关联的长期密钥。当网络发起一个包含rand和autn的认证请求时,isim对autn进行验证,从而对网络本身的真实性进行验证。每个终端也为每一轮认证过程维护一个序列号,如果isim检测到超出了序列号码范围之外的认证请求,那么它就放弃该认证并向网络返回一个同步失败消息,其中包含了正确的序列号码。

为了响应网络的认证请求,isim将密钥应用于随机挑战(rand),从而产生一个认证响应(res)。网络对res进行验证以认证isim。此时,ue和网络已经成功地完成了相互认证,并且生成了一对会话密钥:加密密钥(ck)和完整性密钥(ik)用以两个实体之间通信的安全保护。

ims的网络安全

在第二代移动通信系统中,由于在核心网中缺乏标准的安全凯发注册的解决方案,使得安全问题尤为突出。虽然在无线接入过程中,移动用户终端和基站之间通常可由加密来保护,但是在核心网时,系统的节点之间却是以明文来传送业务流,这就让攻击者有机可乘,接入到这些媒体的攻击者可以轻而易举对整个通信过程进行窃听。

针对2g系统中的安全缺陷,第三代移动通信系统中采用nds对核心网中的所有ip数据业务流进行保护。可以为通信服务提供保密性、数据完整性、认证和防止重放攻击,同时通过应用在ipsec中的密码安全机制和协议安全机制来解决安全问题。

在nds中有几个重要的概念,它们分别是安全域(security domains)、安全网关(seg)。

1、安全域

nds中最核心的概念是安全域,安全域是一个由单独的管理机构管理运营的网络。在同一安全域内采用统一的安全策略来管理,因此同一安全域内部的安全等级和安全服务通常是相同的。大多情况下,一个安全域直接对应着一个运营商的核心网,不过,一个运营商也可以运营多个安全域,每个安全域都是该运营商整个核心网络中的一个子集。在nds/ip中,不同的安全域之间的接口定义为za接口,同一个安全域内部的不同实体之间的安全接口则定义为zb接口。其中za接口为必选接口,zb接口为可选接口。两种接口主要完成的功能是提供数据的认证和完整性、机密性保护。

2、安全网关

seg位于ip安全域的边界处,是保护安全域之间的边界。业务流通过一个seg进入和离开安全域,seg被用来处理通过za接口的通信,将业务流通过隧道传送到已定义好的一组其他安全域。这称为轮轴-辐条(hub-and-spoke)模型,它为不同安全域之间提供逐跳的安全保护。seg负责在不同安全域之间传送业务流时实施安全策略,也可以包括分组过滤或者防火墙等的功能。ims核心网中的所有业务流都是通过seg进行传送,每个安全域可以有一个或多个seg,网络运营商可以设置多个seg以避免某独立点出现故障或失败。当所保护的ims业务流跨越不同安全域时,nds/ip必须提供相应的机密性、数据完整性和认证。

3、基于ip的网络域安全体系

nds/ip体系结构最基本的思想就是提供上从一跳到下一跳的安全,逐跳的安全也简化了内部和面向其他外部安全域分离的安全策略的操作。

在nds/ip中只有seg负责与其他安全域中的实体间进行直接通信。两个seg之间的业务被采用隧道模式下的ipsec esp安全联盟进行保护,安全网关之间的网络连接通过使用ike来建立和维护。网络实体(ne)能够面向某个安全网关或相同安全域的其他安全实体,建立维护所需的esp安全联盟。所有来自不同安全域的网络实体的nds/ip业务通过安全网关被路由,它将面向最终目标被提供逐跳的安全保护。其网络域安全体系结构如图2所示。

4、密钥管理和分配机制

每个seg负责建立和维护与其对等seg之间的ipsec sa。这些sa使用因特网密钥交换(ike)协议进行协商,其中的认证使用保存在seg中的长期有效的密钥来完成。每个对等连接的两个sa都是由seg维护的:一个sa用于入向的业务流,另一个用于出向的业务流。另外,seg还维护了一个单独的因特网安全联盟和密钥管理协议(isakmp)sa,这个sa与密钥管理有关,用于构建实际的对等主机之间的ipsec sa。对于isakmp sa而言,一个关键的前提就是这两个对等实体必须都已经通过认证。在nds/ip中,认证是基于预先共享的密钥。

nds/ip中用于加密、数据完整性保护和认证的安全协议是隧道模式的ipsec esp。在隧道模式的esp中,包括ip头的完整的ip数据包被封装到esp分组中。对于三重des加密(3des)算法是强制使用的,而对于数据完整性和认证,md5和sha-1都可以使用。

5、ipsec安全体系中的几个重要组成和概念

1)ipsec:ipsec在ip层(包括ipv4和ipv6)提供了多种安全服务,从而为上层协议提供保护。ipsec一般用来保护主机和安全网关之间的通信安全,提供相应的安全服务。

2)isakmp:isakmp用来对sa和相关参数进行协商、建立、修改和删除。它定义了sa对等认证的创建和管理过程以及包格式,还有用于密钥产生的技术,它还包括缓解某些威胁的机制。

3)ike:ike是一种密钥交换协议,和isakmp一起,为sa协商认证密钥材料。ike可以使用两种模式来建立第一阶段isakmp sa,即主模式和侵略性模式。两种模式均使用短暂的diffie-hellman密钥交换算法来生成isakmp sa的密钥材料。

4)esp:esp用来在ipv4和ipv6中提供安全服务。它可以单独使用或与ah一起使用,可提供机密性(如加密)或完整性(如认证)或同时提供两种功能。esp可以工作在传送模式或隧道模式。在传送模式中,esp头插入到ip数据报中ip头后面、所有上层协议头前面的位置;而在隧道模式中,它位于所封装的ip数据报之前。

标准化组织对ims的安全体系和机制做了相应规定,其中ue和p-cscf之间的安全由接入网络安全机制提供,ims网络之上的安全由ip网络的安全机制保证,ue与ims的承载层分组网络安全仍由原来的承载层安全机制支持。所有ip网络端到端安全基于ipsec,密钥管理基于ike协议。对于移动终端接入ims之前已经进行了相应的鉴权,所以安全性更高一些。但是对于固定终端来说,由于固定接入不存在类似移动网络空中接口的鉴权,p-cscf将直接暴露给所有固定终端,这使p-cscf更易受到攻击。为此,在ims的接入安全方面有待于进一步的研究,需要不断完善ims的安全机制。