IMS技术交流.ppt

ims技术交流,中兴通讯 核心网产品规划部,topics,ims系统架构 用户标识 业务流程 认证鉴权,3,ims是什么?,ims：ip multimedia subsystem ip = 基于ip的传输 基于ip的会话控制 基于ip的业务实现 multimedia = 语音、视频、图片、文本等多种媒体的组合 支持多种接入方式，各种不同能力终端 subsystem = 依赖于现有网络技术和设备，最大程度重用现有网络系统 无线网络把ps/gprs网络作为承载网络 固定网络把基于固定接入ip系统作为承载网络,ims（ip multimedia subsystem-ims），由3gpp在r5阶段引入，叠加在ps域上，目的是在基于全ip的网络上为移动用户提供多媒体业务,4,ims系统架构,5,ims的特点,基于ietf协议： 如sip、diameter、cops、sdp、xml、rtp、rtcp等 协议统一 ： 统一采用sip作为会话控制协议，统一采用diameter作为aaa协议，统一采用xml作为user profile协议 归属控制： s-cscf作为用户业务的唯一触发点 接入独立性 优越的融合特性；控制面和用户面的交互主要在 qos 和计费方面 开放的业务控制接口isc 实现了业务和控制的真正分离 统一的用户数据管理 易于实现业务融合 采用分布、开放的体系结构 良好的可扩展性,6,ims的特点（续）,cscf动态分配 提高网络的可靠性 sip信令自主路由 sip信令可携带路由信息，可简化后续路由 增强计费功能 online/offline计费 增强安全性 定义了完整的安全框架，基于ipsec、aka qos能力 sblp方式、资源预留方式,7,ims逻辑功能网元,proxy (p)-cscf： ue到网络的第一个连接点 建立同终端间的安全联盟（sa） sip 头压缩 interrogating (i)-cscf： ims系统对外的联系点 s-cscf分配功能 thig功能：隐藏ims网络内部拓扑信息 被叫s-cscf定位功能 serving (s)-cscf： 用户的registrar，负责用户的注册 负责用户的鉴权、授权 负责用户的业务控制和触发，与业务层进行交互,8,ims逻辑功能网元,hss: (home subscriber server) 存储ims用户的签约数据、service profile、位置信息、鉴权信息等 也可提供传统的hlr功能：cs签约数据、ps签约数据 接口：diameter(ims)、map(cs/ps) slf：(subscription locator function) 根据sip uri定位hss 需要访问hss的实体均需调用 单一hss环境不需要slf,9,ims逻辑功能网元,bgcf: (breakout gateway control function) 为被叫出ims网络（如：pstn/cs）选择适当的出口点 若被叫和ims同网，则选择本网的一个mgcf 若被叫非本网，则交给另一个网络接口的bgcf 需要维护或访问网络接口拓扑信息、出口策略数据库 mgcf: (media gateway control function) ims控制面与传统pstn/cs网络的互通点 控制ims-mgw，以完成媒体面的互通：h.248 ims侧：与i/s-cscf互通 pstn/cs侧： sip到bicc/isup协议转换 im-mgw: (ims media gateway) ims媒体面与传统pstn/cs域的互通点 接受mgcf控制：h.248 提供声码器、回声消除、通知音、dtmf、会议桥等资源,10,ims逻辑功能网元,mrfc: (multimedia resource function control) ims域内部的媒体控制资源功能 维护、控制mrfp中的媒体资源：h.248 与s-cscf互通，间接接受as的控制 mrfp: (multimedia resource function processor ) 媒体资源功能 ims域内部的媒体资源功能 接受mrfc控制：h.248 提供声码器、通知音、会议桥等资源,11,ims逻辑功能网元,osa-scs：(service capability server） ims域向osa-as提供业务能力的一个接口实体 完成sip信令到oas api的转换 ims-ssf：(ip multimedia service switching function) ims域向传统智能网提供业务能力的一个接口实体 完成sip信令与inap/cap等信令的转换,12,ims接口协议,sip（session initiation protocol） nni接口在p/i/s-cscf之间，cscf与bgcf/mgcf/mrfc等实体间，bgcf与 bgcf/mgcf之间，包括mw、mm、mr、mg、mi、mj、mk等; uni接口ue和p-cscf之间，完成用户接入、注册、会话控制、sip压缩等； isc接口s-cscf与ims as之间，用于业务控制 diameter cx接口i/s-cscf与hss之间，用于位置管理、用户数据处理和认证； sh接口ims as与hss之间，用于数据处理和订阅通知； dx接口i/s-cscf与slf之间，用于hss定向； dh接口ims as与slf之间，用于hss定向； gq接口p-cscf与pdf之间，用于传递会话信息；,13,ims接口协议,h.248： mp接口mrfc与mrfp之间，用于mrfc控制mrfp的媒体流; mn接口mgcf与im-mgw之间 http： ut接口ue与as之间，用于用户能够管理和配置其在as上的业务信息,topics,ims系统架构 用户标识 业务流程 认证鉴权,15,ims用户编号,私有用户标识pvi pvi由归属网络的运营者分配，用于注册、授权、管理、计费等目的 pvi标识的是签约，不是用户 格式：nai, 如usernamedomain_name 公有用户标识pui pui用于用户和其它用户的通讯 格式：sip uri，tel uri,ims subscription,private user identity 1 (for mobile terminals),private user identity 2 (for fixed terminals),public user identity 1 (sip uri format),public user identity 2 (tel e.164 format),public user identity 3 (sip uri format),public user identity 4 (tel e.164 format),public user identity 5 (sip uri format),public user identity 6 (tel e.164 format),implicitly registered id set 1,implicitly registered id set 2,implicitly registered id set 3,service profile 1 (enhanced services),service profile 2 (legacy services),service profile 3 (converged services),service profile 5 (legacy services),service profile 4 (enhanced services),一个pvi可有多个pui： 一机多号,多个pvi共享一个pui： 一号多机、号码共享,隐式注册： 一次注册多个pui,pui和用户业务配置 相对应,16,ims用户编号定义,归属域名： 根据运营商标识定义： 根据运营商标识和地理位置（管理域）定义：如 根据ims业务品牌定义：如“ims_ 根据大客户名称定义： pvi： user_ pui有两种编号格式： sip uri: 如 sip: user 域名和归属域名相同； 用户名部分：用tel uri的e.164号码；或用字符方式 tel uri: 如tel：86 25 52871010,17,网络节点编号,主机域名方式：,device.city. province. ,city. province. deviceims. ,说明： device :p/i/s-cscf、bgcf 、mrfc 、mrfp、sbc等ims核心网络实体， 根据需要部署1- n套; city :device所部署的城市/直辖市，可选； province: device所部署的省份，可选; operator:运营商名，如ctcims，必选；,网络地址方式：,举例： 主机域名方式: p s hss3. ,网络地址方式: p sichuan.s sichuan.hss3.,18,网络节点编号,mgcf/im-mgw位于sip域和cs域网络边界，具有双重设备标识: 主机名或域名 ss7信令点码 举例：,域名方式: mgcf. xxx-yyy-001 immgw. xxx-yyy-002,19,公共业务标识psi,为了在ims系统中引入标准的呈现、消息、会议等业务，需要引入公共业务标识psi(public service identities) 一个本地业务可以通过一个可以全局路由的psi进行标识，为全网提供服务 psi标识的是业务，或者是一个as上为某种业务所创建的特定资源，而非用户 psi采用sip uri或者tel uri的格式 psi的域部分由ims运营商预先定义好，用户部分则能由ims系统灵活地动态创建; psi也可用于标识群组 ，通配psi标识,显式psi: sip:m sip:c sip:g sip:l 通配psi: sip:chatlist!.*!,20,isim卡信息,topics,ims系统架构 用户标识 认证鉴权 业务流程,22,ims终端认证鉴权方式,ims aka: 面向isim卡终端：支持isim卡的ims手机；支持usb key的pc软终端 isim中存储用户的pui和pvi以及鉴权认证的参数 early ims： 针对不支持isim卡和ipsec的终端：普通gprs手机 要求终端能够根据usim中的用户信息来生成公有用户标志和私有用户标志 p-cscf根据sip中无authorization header确定early ims流程 http digest： 传统sip终端，无卡智能终端，pc，sip iad sip iad以设备的mac地址为用户名，烧录的密码进行认证,23,ims aka认证过程,ue,p-cscf,i-cscf,hss,s-cscf,1,2,3,(sm) register,4,5,6,7,8,(sm) 4xx auth-challenge,9,10,11,(sm) register,12,13,14,15,16,ok,(sm) 2xx auth-ok,【1】 p-cscf的地址通过p-cscf发现过程获得。 需要注册的归属域名通过isim中获得。 携带impi和impu进行注册尝试。,【2】 此时p-cscf收到消息的没有一致性安全保护。 p-cscf通过根据request-uri路由注册消息到用户归属域的接口i-cscf。 i-cscf从用户归属的hss中获取能够为用户服务的s-cscf信息，并将注册消息转发给该s-cscf。,【3】 由于用户当前没有在s-cscf中注册，所以需要向hss设置registration flag （pending)，指示正在注册。 s-cscf以用户的impi为关键字，向hss索取鉴权向量5元组，包括rand, auth, xres, ck和ik。,【4】 s-cscf保存全部鉴权向量5元组。 将rand, auth, ck和ik在sip 4xx应答中发给i-cscf，由其转发给p-cscf。,【6】 ue获得auth后，提取mac和sqn，并自行利用共享密钥ik计算xmac ，判断xmac是否和mac一致，sqn是否在合理数值范围，以辨别ims网络是否合法。 ue利用共享密钥和rand计算鉴权响应res，并重新发起注册过程。 新的注册过程使用的ip地址不变，但端口号须选择sa中协商的一致。选择的p-cscf和s-cscf必须与初始注册过程一样。,【5】 p-cscf收到该sip 4xx应答之后，保存ck和ik，将其余部分转发给ue。 ck和ik的扩展将用做ipsec esp传输模式下安全联盟需要的保密密钥和一致性密钥。,【7】 s-cscf比较从ue获得的res和曾从hss获得的xres，如果一致，则ue认证鉴权通过。可以享受服务。 s-cscf向hss设置registration flag (registered)，并从hss中获取用户属性和业务信息。 最后向ue发送sip 2xx注册完成响应。,24,http digest认证,http digest认证是在固定网络中无法使用aka情况下采用的一种鉴权认证方式 http digest鉴权是基于challenge-response机制 在http basic鉴权模式下，用户的username和password在网络中都是以明文传送，有严重的安全隐患 针对这个问题，http digest模式对basic模式进行改进，对username和password进行加密，并提供了一定程度上有限的消息完整性保护，但是它对消息本身并不加密，并且也不支持ipsec,25,early ims认证过程,ue,p-cscf,i-cscf,hss,s-cscf,1,2,3,(sm) register,4,5,6,7,(sm) 200 ok,10,activiate & create pdp context,accouting request start,radius-s,radius-c,key information: assigned ip address against msisdn or imsi,【2】 i-cscf根据sip注册消息中public user id向hss查询能够提供服务的s-cscf名字。并将注册消息转发给该s-cscf。,8,9,【3】 s-cscf收到注册消息后，根据public user id向hss查询用户的合法登记的ip地址。 hss需要将该impu映射成msisdn或imsi，而后获得登记的ip地址。 s-cscf比较合法登记的ip地址与sip注册消息received or sent-by信息中的ip地址做比较，如果一致，则用户合法，通过认证。,【4】 s-cscf向hss请求下载用户数据和业务数据。完成ue临时impu所在隐含注册集中所有impu的注册。并向ue发送sip 200 ok消息，完成ue注册流程。,h-ggsn,hss,关键区别： 1，依靠合法分配的ip地址建立imsi/ip/impu/impi之间绑定关系； 2，ue和p-cscf之间没有ipsec的连接； 3，ggsn根据ims apn(for early ims)确定需要ip绑定；p-cscf根据sip中无authorization header确定early ims流程； 4，依据imsi衍生归属域，impi和impu。,11,【1】 ggsn负责检查ue发出的所有ip包，防止ip spoofing。保证ue使用的源ip地址是ggsn分配的合法地址。 p-cscf负责检查sip注册消息中的sent-by信息中ue填写的源ip地址是否与ip包的实际ip地址一致。如果有不一致，p-cscf在sip注册消息中填写received信息（实际ip地址）。,26,http digest认证过程,ue,p-cscf,i-cscf,hss,s-cscf,1,2,3,(sm) register,4,5,6,7,8,(sm) 4xx auth-challenge,9,10,11,(sm) register,12,13,14,15,16,ok,(sm) 2xx auth-ok,【1】 p-cscf的地址通过静态配置获得。用户的归属域名和impi也通过静态配置获得。 携带用户选择的impu进行注册尝试。 sip注册消息中携带authorization header。 sip注册消息中不携带security client header。,【2】 此时p-cscf收到消息的没有proxy-require = sec- agree，指示不需要ipsec支持。 p-cscf通过根据request-uri路由注册消息到用户归属域的接口i-cscf。 i-cscf从用户归属的hss中获取能够为用户服务的s-cscf信息，并将注册消息转发给该s-cscf。,【3】 由于用户当前没有在s-cscf中注册，所以需要向hss设置registration flag （pending)，指示正在注册。 s-cscf以用户的impi为关键字，向hss索取鉴权参数，包括username, password。,【4】 s-cscf保存获取的鉴权参数。并在www-authentication参数中根据http digest规定向ue发起challenge。,【5】 ue提醒用户输入密码，或者从保密配置中获取用户密码，而后在authorization参数中根据http digest规定向s-cscf响应challenge。,【6】 s-cscf比较ue的响应和自行计算的结果，如果一致，则通过认证。 向hss设置registration flag (registered)，指示注册完毕，并发起下载用户数据和业务数据的过程。 s-cscf向ue回送sip 200 ok消息。,27,nass-ims bundled authentication,ue,clf,p-cscf,hss,i/s-cscf,1,2,3,sip register,4,5,6,7,8,9,ok,sip 200 ok,【1】 ue sends register message to p-cscf,【2】 p-cscf queries clf to get the access information (e.g. line id) through clf will convey access network information to p-cscf,【3】 p-cscf puts the access information in sip message (p-access-network-info). then sends it to i/s-cscf.,【4】 s-cscf queries hss to get the nass-ims bundled authentication data, e.g. line id and compare the line-id from hss with the one from p-cscf. if it matches, then continue and reply with 200 ok; otherwise, reply with error info,10,topics,ims系统架构 用户标识 认证鉴权 业务流程,29,ims用户注册流程,ggsn,sgsn,ip-can home or visited network,ims ue,s-cscf,hss,p-cscf,i-cscf,sip-as,third-party sip-as service provider1,ims domain home network,ggsn,sgsn,ip-can home or visited network,ims ue,s-cscf,hss,p-cscf,i-cscf,sip-as,ims domain home network,ip backbone,third-party sip-as service provider1,operator i,operator x,operator y,operator ii,ims signaling pdp context,ims signaling pdp context,register,dns,dns,register,register,注册流程,30,31,p-cscf发现流程,2. 在ip-can的ip连接建立之后，ue通过dhcp获取p-cscf的域名和能够解析该域名的dns,1 由ip-can在ip连接建立时将p-cscf信息发布给ue。,3. 在ue中配置p-cscf主机名及ip地址,register消息,32,ue-p-cscf: register sip: sip/2.0 via: sip/2.0/udp :5060; branch=z9hg4bknashds7 route:sip:;lr max-forwards:70 from:;tag=pohja to:; contact: ;expires=600000 call-id:apb03a0s09dkjdfglkj49111 cseq:25 register content-length:0,p-cscf-i-cscf: register sip: sip/2.0 via: sip/2.0/udp ;branch=z9hg4bk240f34.1 via: sip/2.0/udp :5060; branch=z9hg4bknashds7 max-forwards:69 from:;tag=pohja to:; contact: ;expires=600000 call-id:apb03a0s09dkjdfglkj49111 path: *由于ims禁止s-cscf直接与ue交互，需要s-cscf获取p-cscf地址 cseq:25 register content-length:0,register消息,33,i-cscf-s-cscf: register sip: sip/2.0 via: sip/2.0/udp icscf1_;branch=z9hg4bk351g45.1 via: sip/2.0/udp ;branch=z9hg4bk240f34.1 via: sip/2.0/udp :5060; branch=z9hg4bknashds7 route:sip:;lr max-forwards:68 from:;tag=pohja to:; contact: ;expires=600000 call-id:apb03a0s09dkjdfglkj49111 path: sip:;lr cseq:25 register content-length:0,scscf返回200ok响应： sip/2.0 200 ok via: sip/2.0/udp icscf1_;branch=z9hg4bk351g45.1 via: sip/2.0/udp ;branch=z9hg4bk240f34.1 via: sip/2.0/udp :5060; branch=z9hg4bknashds7 from:;tag=pohja to:;tag=kotimaa contact: ;expires=600000 call-id:apb03a0s09dkjdfglkj49111 service-route: sip:;lr *为了避免对于ue发起的每个初始消息都要将i-cscf作为额外一条 cseq:25 register content-length:0,34,ims用户会话流程,ggsn,sgsn,ip-can home or visited network,ims ue,s-cscf,hss,p-cscf,pdf,i-cscf,sip-as,third-party sip-as service provider1,ims domain home network,ggsn,sgsn,ip-can home or visited network,ims ue,s-cscf,hss,p-cscf,pdf,i-cscf,sip-as,i-cscf,ims domain home network,ip backbone,third-party sip-as service provider1,operator i,operator x,operator y,operator ii,ims signaling pdp context,ims signaling pdp context,enum dns,enum dns,invite,dns,dns,data traffic pdp context,data traffic pdp context,media plane,signaling plane,invite,invite,invite,invite,invite,invite,基本会话流程,35,基本会话流程,36,基本会话流程,37,媒体协商、资源预留,38,主叫ue 被叫ue invite（第一个sdp提供：所希望媒体类型与所有编码方案） 183会话进行中（第一个sdp应答：支持的媒体类型及编码方案 prack（第二个sdp提供：双方协商的媒体类型和编码方案） 200 ok(第二个sdp应答：对所协商媒体类型和编码方案的确认) update（第三个sdp提供：表明主叫资源预留完成） 200 ok（第三个sdp应答：表明被叫资源预留完成）,资源预留,资源预留,invite消息（简化）,home1 ue mo -home1 p-cscf1: invite sip:12222 sip/2.0 route: , route: ,home1 p-cscf1-home1 s-cscf1: invite sip:12222 sip/2.0 route: record-route: ,home1 s-cscf1-home2 i-cscf2: invite sip:12222 sip/2.0 record-route: record-route: ,home2 i-cscf2-home2 s-cscf2: invite sip:12222 sip/2.0 route: record-route: record-route:,39,home2 scscf2-home2 p-cscf2: invite sip:12222 sip/2.0 route: record-route: record-route: record-route: ,home2 pcscf2-home2 ue mt: invite sip:12222 sip/2.0 record-route: record-route: record-route: record-route: ,home2 ue mt应答180临时响应： sip/2.0 180 ringing record-route: record-route: record-route: record-route: ,40,imscs会话流程,ggsn,sgsn,ip-can home or visited network,ims ue,s-cscf,hss,p-cscf,pdf,i-cscf,sip-as,third-party sip-as service provider1,ims domain home network,cs ue,mgcf,im-mgw,bgcf,cs domain home network,ip backbone,operator i,operator x,operator z,ims signaling pdp context,enum dns,dns,data traffic pdp context,media plane,signaling plane,gmsc server,gmgw,bgcf,invite,invite,invite,invite,invite,data traffic pdp context,invite,什么是enum,41,enum是ietf的一个协议 rfc2916：e.164号码和域名系统（e.164 number and dns），基于dns架构和协议。将每个 e.164号码转换为域名格式，并对应一系列的uri，从而使国际统一的e.164电话号码成为可以在互联网中使用的网络地址资源。 单一号码访问。可以利用电话号码来查找注册人的电子邮件、ip电话号码、统一消息、ip传真或个人网页等多种信息，实现各种网络应用并完成访问限制，查询重定向等等一系列功能。 enum dns的分类 public：位于internet。优点是用户可通过internet建立并访问自己的号码映射表。缺点是易受攻击、用户信息易泄露。 private：位于运营商或企业网络