IP 多媒体子系统

1、.：.；IP多媒体子系统IMS前言在阅历了十几年的高速开展后，挪动运营商越来越认清了一条重要的规律，那就是电信业务必需不断地开展以不断满足经济开展以及人们生活、任务和文娱的通讯和信息需求。目前，Yahoo! Messenger和腾讯QQ等多媒体业务早已风靡全球。然而，它们是建立在固定Internet网络良好才干的根底上的，没有任何通讯和接入的质量保证，因此，迅速开发挪动IP多媒体业务是当前电信运营商的当务之急。IMS的全称是“IP Multimedia Subsystem ，即基于IP的多媒体系统，也称IP多媒体子系统。IMS系统为下一代基于IP的挪动网络提供了面向分组数据包交换的多媒体效力及

2、平台。它可以满足如今的终端客户更新颖、更多样化多媒体业务的需求。目前，IMS被以为是下一代网络的中心技术，也是处理挪动与固网交融，引入语音、数据、视频三重交融等差别化业务的重要方式。但是，目前全球IMS网络多数处于初级阶段，运用方式也处于业界讨论当中。(IMS的概念引入)IMS的定位(技术特点和构造组成)IMS在3GPP(国际第三代挪动通讯组织)Release 5版本中提出，旨在提供加强型IP效力的一个全方位框架，是对IP多媒体业务进展控制的网络中心层逻辑功能实体的总称。它的初衷是以目前的全球挪动系统通讯GSM中心网络为根底，重点开发面向第三代挪动系统的通讯规范，及支持该系统的无线电接入技术。

3、后来经过修正，其义务又涉及GSM规范及其相关无线电接入技术的维护与开发任务。R5主要定义IMS的中心构造，网元功能、接口和流程等内容；R6版本添加了部分IMS业务特性、IMS与其他网络的互通规范和无线局域网WLAN接入特性等；R7版本加强了对固定、挪动交融的规范化制定，要求IMS支持数字用户线xDSL、电缆调制解调器等固定接入方式。 软交换技术从1998年就开场出现并且曾阅历了实验、商用等多个开展阶段，目前已比较成熟。全球范围早已有多家电信运营商开展了软交换实验，开展至今，软交换技术曾经具备了替代电路交换机的才干，并具备一定的宽带多媒体业务才干。在软交换技术已开展如此成熟的今天，IMS的出路在

4、何方?又该如何开展和定位呢?首先需求对IMS和软交换进展较为全面的比较和分析。 假设从采用的根底技术上看，IMS和软交换有很大的类似性：都是基于IP分组网；都实现了控制与承载的分别；大部分的协议都是类似或者完全一样的；许多网关设备和终端设备甚至是可以通用的。 IMS和软交换最大的区别在于以下几个方面。 1在软交换控制与承载分别的根底上，IMS更进一步的实现了呼叫控制层和业务控制层的分别； 2IMS来源于挪动通讯网络的运用，因此充分思索了对挪动性的支持，并添加了外置数据库归属用户效力器HSS，用于用户鉴权和维护用户业务触发规那么； 3IMS全部采用会话初始协议SIP作为呼叫控制和业务控制的信令，

5、而在软交换中，SIP只是可用于呼叫控制的多种协议的一种，更多的运用媒体网关协议MGCP和H.248协议。总体来讲，IMS和软交换的区别主要是在网络构架上。软交换网络体系基于主从控制的特点，使得其与详细的接入手段关系亲密，而IMS体系由于终端与中心侧采用基于IP承载的SIP协议，IP技术与承载媒体无关的特性使得IMS体系可以支持各类接入方式，从而使得IMS的运用范围从最初始的挪动网逐渐扩展到固定领域。此外，由于IMS体系架构可以支持挪动性管理并且具有一定的效力质量QoS保证机制，因此IMS技术相比于软交换的优势还表达在宽带用户的遨游管理和QoS保证方面。将软交换同IMS相比较，意在协助 了解IM

6、S一个IMS包括一个或多个CSCF呼叫会话控制功能、MGCF媒体网关控制功能、IMS媒体网关、MRFC多媒体资源功能处置器、SLF订购关系定位功能、中断网关控制功能和运用效力器。图 IMS分层体系构造IMS主要运用了如下组件：归属用户效力、呼叫会话控制功能、平安网关、IP媒体效力器、及运用效力器。归属用户效力(HSS)主要存储用户和效力相关的数据，如用户身份、注册信息、接入参数和效力触发service-triggering信息等。HSS还具备：用户定位功能定位分组和公共陆地挪动网络PLMN的用户地址，并存储客户所运用的类型，及运用效力时所在位置等信息。身份验证功能存储挪动用户的密钥并可为每名用

7、户生成动态密码。HSS通常存储了高达每名用户10 KB的内容。所以一个支持100万名用户的HSS能够就需求64位线性寻址才干，以便可以快速地存取内存高速缓存中的信息。呼叫会话控制功能由几个“子组件组成，它们担任处置一切与建立和终了呼叫相关的信令，以及根本的SIP讯息交换。CSCF还可以处置控制IP媒体本身的信令，以及会话初始化管理等。这些子组件包括代理CSCFP-CSCF、讯问CSCFI-CSCF和效力CSCFS-CSCF。代理CSCF是用户设备的独一连结点。用户发出的一切讯息均须经由P-CSCF进入IMS，P-CSCF执行如下功能：经过查询HSS来实现初步的平安维护验证SIP讯息执行IPSe

8、c完好性维护，以创建可信的讯息紧缩讯息以减少延迟创建计费信息目前，P-CSCF普通位于归属网络中，未来也许会被移植到被访问网络。讯问CSCF是归属网络内的第一连结点，I-CSCF担任联络HSS以便为详细用户确定效力-CSCF的位置。I-CSCF能够会提供一个拓扑隐藏网际网关THIG，它可以经过加密SIP讯息中的一些内部IP地址和其它网络信息，协助 维护IMS网络拓扑。I-CSCF通常位于归属网络。假设运用THIG，那么I-CSCF普通位于被访问网络。效力CSCF担任处置终端之间的一切SIP信令，并执行如下功能：提供SIP路由，详细是将公共用户身份目前是号码，未来也许会改动转换为终端IP地址，并

9、向运用效力器发送讯息坚持会话的畅通，将用户地址例如，用户设备的IP地址与SIP记录地址公共用户身份严密相连控制会话阻止未授权用户运用效力S-CSCF总是位于归属网络。平安网关是电信网络之间，以及企业与电信网络之间的通讯通道。它主要控制讯息在NAT网络地址转换效力器和防火墙的出入，也能够会承当一些其它的平安功能，如数据包过滤等。此外，平安网关还具备以下功能：强化IMS域之间的平安政策维护出入IMS域的控制平面讯息设置并维护IPSec平安关联SAIP媒体效力器具备一切的流媒体功能，可提供丰富的多媒体讯息：如视频、语音和文本。它担任管理相关的编码器编码/解码和流媒体的代码转换任务，以及回声消除、声音

10、侦测和声音生成等任务。IP媒体效力器还可以提供流倍增和流广播，以满足会议运用的需求，它还可以连结至电路交换网络。运用效力器为IMS网络提供多媒体效力，它主要提供一切其它IMS组件如SIP Servlet的访问权限。运用效力器也可用来部署新效力，由于IMS采用模块化架构，因此只需改换或晋级运用效力器即可完成新效力部署。这样的战略完全不同于之前的垂直方式，在垂直方式中，效力总是作为单点处理方案来部署，每项效力都运用本人的一套专有设备。运用效力器可以位于归属网络，也可以位于第三方网络，假设位于第三方网络，它们就不能与HSS接合。由于运用效力器属于OSA开放效力架构运用效力器，所以它们可以平安地从外部

11、网络接入IMS并衔接到GSM CAMEL挪动加强逻辑定制运用效力器。IMS的开展与运用3.1 IMS规范的开展 对IMS进展规范化的国际规范组织主要有3GPP和高级网络电信和互联网交融业务和协议TISPAN。3GPP偏重于从挪动的角度对IMS进展研讨，而TISPAN那么偏重于从固定的角度对IMS提出需求，并一致由3GPP来完善。 3GPP对IMS的规范化是按照R5版本、R6版本、R7版本这个过程来发布的，IMS初次提出是在R5版本中，然后在R6、R7版本中进一步完善。R5版本主要偏重于对IMS根本构造、功能实体及实体间的流程方面的研讨；而R6版本主要是偏重于IMS和外部网络的互通才干以及IMS

12、对各种业务的支持才干等。相比于R5版本，R6版本的网络构造并没有发生改动，只是在业务才干上有所添加。在R5的根底上添加了部分业务特性，网络互通规范以及无线局域网接入特性等，其主要目的是促使IMS成为一个真正的可运营的网络技术。R7阶段更多的思索了固定方面的特性要求，加强了对固定、挪动交融的规范化制定。R5版本和R6版本分别在2002年和2005年被冻结，而R7版本也即将冻结。 在TISPAN定义的NGN体系架构中，IMS是业务部件之一。TISPANIMS是在3GPPR6IMS中心规范的根底上对功能实体和协议进展扩展的，支持固定接入方式。TISPAN的任务方式和3GPP类似，都是分阶段发布不同版

13、本。目前，TISPAN曾经发布了R1版本相关规范，从固定的角度向3GPP提出对IMS的修正建议；R2版本目前还处于需求分析阶段。TISPAN在许多文档中都直接运用了3GPP的相关文档内容，而3GPPR7版本中的很多内容又都是在吸收了TISPAN的研讨成果的根底上构成的，所以一方对文档内容的修正都将直接影响另一方。此外，部分先进的运营商如德国电信、英国电信和法国电信曾经明确了未来网络和业务交融的战略目的，并开场特别关注基于IMS的网络交融研讨。各大设备厂商也加大了对IMS在固网领域运用的研讨，正积极参与并大力推进基于IMS的NGN的规范化任务。因此各个规范之间的协调一致的问题还需求进一步讨论。

14、3.2 IP媒体业务类型IMS是一个在分组域PS上的多媒体控制/呼叫控制平台，IMS使得PS具有电路域CS的部分功能，支持会话类和非会话类的多媒体业务。IMS为未来的多媒体运用提供了一个通用的业务平台，典型的业务如呈现、音讯、会议、一键通等等。将不同的业务进展分组可以得到以下一些类型。 1信息类业务，这类业务对用户来讲曾经非常熟习，而且目前为运营商带来了良好的收益，IMS的信息类业务将带给用户更多的选择，在享用这些信息类业务的同时，用户可以随心所欲而且费用低廉的运用其他媒介，比如视频和声音等，同时可以灵敏的选用实时业务或非实时业务进展沟通。 2多媒体呼叫话音业务，这类业务可以给用户在原有的话音

15、业务操作和运用上带来全新的体验。 3加强型呼叫管理，可以实现让用户本人来控制业务，让用户的沟通更加灵敏。 4群组业务，将不同的通讯媒介聚合起来，为用户提供新的业务体验，而且IMS还可以对业务进展新的开发和组合；突破传统的一对一的通讯方式限制，可以提供基于群组的通讯方式。 5信息共享，常见的邮件携带附件的沟通方式可以完成部分的信息共享功能，但是在许多情况下显得不够灵敏，所以实时在线的信息共享通讯应运而生，多个用户可以实时处置同一个数据文件。6在线文娱，挪动终端可以直接和信息资源互联，IMS方式可以更好地呈现信息的更新和沟通，并可以随着用户需求的增长对信息进展必要的过滤；对于用户的在线游戏，IMS

16、可以为用户提供从单机游戏到多用户在线参与的在线文娱方式，同时用户还可以采用多种多媒体来沟通交流。 3.3 IMS的主要运用 随着IMS技术和产品的逐渐成熟，曾经有一些运营商开场了IMS的商用，还有一些运营商在进展相关的测试。从目前的商用和测试情况看，挪动运营商曾经开场商用，而固网运营商还主要处于实验阶段。综合思索，IMS的运用主要集中在以下几个方面。首先是在挪动网络的运用，这类运用是挪动运营商为了丰富挪动网络的业务而开展的，主要是在挪动网络的根底上用IMS来提供PoC、即时音讯、视频共享等多媒体增值业务。运用重点集中在给企业客户提供IPCENTREX和公众客户的VoIP第二线业务。其次是固定运

17、营商出于网络演进和业务的需求，经过IMS为企业用户提供交融的企业的运用IPCENTREX业务，以及向固定宽带用户例如ADSL用户提供VoIP运用。 第三种典型的运用是交融的运用，主要表达在WLAN和3G的交融，以实现语音业务的延续性。在这种方式下，用户拥有一个WLAN/WCDMA的双模终端，在WLAN的覆盖区内，普通优先运用WLAN接入，由于这种方式用户运用业务的资费更低，数据业务的带宽更充足。当分开WLAN的覆盖区后，终端自动切换到WCDMA网络，从而实现语音在WLAN和WCDMA之间的延续性。目前，这种方案的商用较少，但是许多运营商都在进展测试。在IMS中全部采用SIP协议，虽然SIP也可

18、以实现最根本的VoIP，但是这种协议在多媒体运用中所展现出来的优势阐明，它天生就是为多媒体业务而生的。由于SIP协议非常灵敏，所以IMS还存在许多潜在的业务。3.4 IMS独辟蹊径与其它在IP上简单提供的电路效力不同，采用IMS框架的运营商可以在IP上建立一个开放的效力根底设备，进而简单地部署丰富的媒体通讯效力。IMS可以满足网络和用户的如下要求：提供人与人的实时IP多媒体通讯，如语音或视频；以及人机通讯，如游戏、视频点播和网上冲浪等。全面集成各种实时通讯，如即时流传输和即时聊天，及其它非实时多媒体。支持多种效力和运用的互动，例如，视频会议和游戏或者实时视频和即时通讯。轻松地提高通讯会话体验，

19、例如，经过“单击将即时通讯会话转变为语音会话。1即时通 (Push to talk)又叫做一键通业务，该效力使得手机终端用户可以在分组交换网络上，经过只按一个按键就进展一对一或群体即时通话。该效力采取 “ 半双工 方式，也就是说同一时间只需一人可以讲话，从而更便于群体交流，该效力可以运用户可以在通话群中灵敏地选定或者变换通话对象。从而用户可以随便地与通话群体中一切人或选择部分人进展 Push to talk 通话。它是一种全数字传输的 VoIP 技术，其完全基于 SIP协议和IMS的设计，很好的保证了互通性、可量测性和向未来 3G 的平滑过渡。2IP业务随着宽带IP接入的普及，IP终端成为新的

20、热点，例如如今一些运营商正在推行的IP超市(类似于IP公用亭)，基于 H.323 的IP终端未能普及除了以前缺乏IP宽带接入这个缘由外，还由于 H.323 的用户认证不断是一个问题，另外H.323终端价钱昂贵也是一个缘由。如今采用SIP根本上抑制了这些问题，SIP软件被免费集成在 Microsoft WinXP 操作系统中，由于SIP如此简单，甚至有运转在 Linux ， PocketPc便携PC ，Symbian 上的 SIP Client软件，使得手持终端上的SIP运用也成为能够，而且SIP还支持完善的用户认证机制。所以基于SIP的IMS完全可以被用来作为IP终端系统。3串行振铃和并行振铃

21、业务由于一个SIP用户可以同时在很多终端上注册，比如他能够有几个固定办公，还有无绳，挪动，便携PC等，每种终端可以实现不同的功能，比如便携PC支持视频而固定SIP能够连P&M都不支持，用户不需求总是带着一切终端，在各种情况下他只带着其中一些，比如开会时他能够只带着便携PC。串行振铃业务是当另外一个用户呼叫该用户时，系统会根据该用户设定的次序和等待时间依次振铃该用户的各种终端，直到该用户接通为止。而并行振铃业务那么是系统同时振铃该用户的一切注册终端，直到该用户接通为止。4会晤转移业务会晤转移业务包括无条件转移，无应对转移和遇忙转移，该用户可以定制转移的一致资源标识(URI)，当条件符合时，呼叫被

22、转移到设定的目的。这种业务和传统呼叫转移业务功能一样，只是添加了新的媒体类型。5主叫标识显示业务和传统的主叫号码显表示义一样，只不过显示在被叫终端上的不只是主叫的SIPURI，而能够是任何媒体，比如一张主叫的照片、一段声音或者视频片断。根据系统的提示，主叫可以事先将要传送的标识上传到系统中存储，当主叫呼叫被叫时，SIP音讯报文将主叫标识的一致资源地址(URL)传到被叫，被叫终端自动翻开该URL，从而看到主叫的标识。当前IMS的重要性正与日俱增，这是由于网络运营商需求将传统的效力，如语音呼叫和短信效力SMS和数据效力，如电子邮件、上网和即时通讯IM进展交融。正如电缆提供商正在探求着同时推出视频效

23、力和电信效力一样，网络运营商也在尝试着提供视频效力，以坚持竞争力。此外，客户也等待着效力的交融，而IMS正好为网络运营商提供了一个难得的机遇。4.IMS的优势IMS具有诸多优势，尤为明显的有四点：挪动管理、效力质量、效力控制和开发商界接口。挪动管理IMS可以在IP根底设备范围内的任何地理位置，搜索用户并建立会话。它有一个组件担任保管用户数据，及用户或效力器之间的搜索与通讯。它还有另外一个组件担任协助建立和管理睬话，并转发IMS网络之间的讯息。这两个组件共同实现了高效的挪动管理。效力质量效力质量QoS是IP电信系统的一个常见问题。由带宽缺乏和其它缘由引发的有损质量的要素，如延迟、动摇、数据包丧失

24、和回声等，会使传输质量难以接受。IP语音VoIP之所以可以迅速普及，是由于开发面世的QoS机制可以控制这些不利要素，以坚持一定的质量程度。IMS融入了控制实时挪动IP通讯质量的特殊机制，可经过控制此处数据包网络和与其互动来确保质量的可接受性。效力控制挪动效力提供商网络非常复杂，由于提供商必需提供各种不同的效力，以高效地满足宽广客户的要求。因此提供商必需可以一目了然地对这些效力进展管理、控制和计费。在优化效力交付方面，IMS偏重的是提供效力的效率。当客户访问挪动提供商的IMS网络时，网络会提供一份个人资料以供下载。一旦系统拥有了这份资料，就会知道客户有权运用的效力范围，就可以决议这些效力的执行顺

25、序，假设有必要，还可以获得网络上提供这些效力的运用效力器资料。借助这一相对简单的系统，挪动运营商就可以控制和管理极大型网络中极其复杂的效力交付任务。规范接口由于IMS采用的是规范化架构来支持部署加强的IP效力，因此第三方可以独立为任何IMS部署开发各种效力。这有利于实现更大范围的效力集成、互操作性和遨游，也有利于创新者构成强大的网络以处理效力提供商的各种要求。IMS中的IP寻址与分组域骨干网中运用的(例如IPv4)和电路域中运用的是不同的，所以IPv6和IPv4互通的问题需求处理。短少IPv6的实际阅历。用于挪动台接入IP多媒体效力的IP寻址范围必需在IMS寻址域内，这个寻址域是在建立好IP衔

26、接时激活的PDP战略决策点上下文中安排好的。IP地址可以从效力域而不是归属域的GGSN中获得，从路由的效率来思索，这是一个优点。5.基于IMS的网络交融问题 随着通讯网络的开展与演进，交融是不可防止的主题，固定和挪动的交融FMC更是迫切要处理的问题。ETSI欧洲电信规范化协会给FMC下的定义是：“固定挪动交融是一种能提供与接入技术无关的网络才干。但这并不意味着一定是物理上的网络交融，而只关怀一个交融的网络体系构造和相应的规范规范。这些规范可以用来支持固定业务、挪动业务以及固定挪动混合的业务。固定挪动交融的一个重要特征是，用户的业务签约和享用的业务，将从不同的接入点和终端上别分开来，以允许用户从

27、任何固定或挪动的终端上，经过任何兼容的接入点访问完全一样的业务，包括在遨游时也能获得一样的业务。在给FMC下定义的同时也对固定挪动网络的交融提出了相应的要求。 IMS进一步发扬了软交换构造中业务与控制分别、控制与承载分别的思想，比软交换进展了更充分的网络解聚，网络构造更加明晰合理。网络各个层次的不断解聚是电信网络开展的总体趋势。网络的解聚使得垂直业务方式被突破，有利于业务的开展；另外，不同类型网络的解聚也为网络在不同层次上的重新聚合发明了条件。这种重新聚合，就是网络交融的过程。利用IMS实现对固定接入和挪动接入的一致中心控制，主要是IMS具有以下特点。 1与接入无关性。虽然3GPPIMS是为挪

28、动网络设计的，TISPANNGN是为固定xDSL宽带接入设计的，但它们采用的IMS网络技术却可以做到与接入无关，因此能确保对FMC的支持。从实际上可以实现不论用户运用什么设备、在何地接入IMS网络，都可以运用归属地的业务。 2一致的业务触发机制。IMS中心控制部分不实现详细业务，一切的业务包括传统概念上的补充业务都由业务运用平台来实现，IMS中心控制只根据初始过滤规那么进展业务触发，这样消除了中心控制相关功能实体和业务之间的绑定关系，无论固定接入还是挪动接入都可以运用IMS中定义的业务触发机制实现一致触发。 3一致的路由机制。IMS中仅保管了传统挪动网中HLR归属位置存放器的概念，而摒弃了VL

29、R采访位置存放器的概念，和用户相关的数据信息只保管在用户的归属地，这样不仅用户的认证需求到归属地认证，一切和用户相关的业务也必需经过用户的归属地。 4一致用户数据库。HSS归属业务效力器是一个一致的用户数据库系统，既可以存储挪动IMS用户的数据，也可以存储固定IMS用户的数据，数据库本身不再区分固定用户和挪动用户。特别是业务触发机制中运用的初始过滤规那么，对IMS中所定义的数据库来讲完全是透明数据的概念，屏蔽了固定和挪动用户在业务属性上的差别。 5充分思索了运营商实践运营的需求，在网络框架、QoS效力质量、平安、计费以及和其他网络的互通方面都制定了相关规范。IMS所具有这些特征可以同时为挪动用

30、户和固定用户所共用，这就为同时支持固定和挪动接入提供了技术根底，使得网络交融成为能够。目前电信业务的开展曾经到达了个人通讯的重要阶段，传统的多媒体业务构造无法支持挪动(个人化的)多媒体通讯的需求，3GPP R5/R6采用的SIP体系构造和IP多媒体子系统为满足下一代的电信业务需求打下了根底，结合OSA技术和虚拟驻地环境技术，电信誉户可以获得他们急需的新的挪动多媒体通讯业务，电信运营商也将在第三代挪动通讯上找到本人的业务增长点。6.IMS存在的平安问题分析6.1IMS受累于DNS其实，本质上讲，平安的实现就是在IMS和公众互联网之间所设立的一道墙，以防止一切可疑内容的经过。3GPP /3GPP2

31、在IMS平安问题上进展了详细的定义，包括SIM运用和认证程序。但很遗憾，3GPP /3GPP2并没有对如何防止回绝效力对DNS的攻击作相关定义，这给IMS留下了宏大的平安隐患。3GPP /3GPP2在IMS平安规范中也提到了“应该防备虚伪地址欺骗，但并没有阐明“如何进展防备。除了平安缺陷之外，这还构成另一个问题，就是不同IMS网络或者IMS网络与互联网SIP用户之间能否可以协同任务的问题。在互联网上，DNS是黑客们经常攻击的对象。这主要是由于，在互联网的世界里存在大量的、相互独立的DNS效力器，不论他是添加、删除还是重新配置一台DNS效力器都是非常简单的事情，当然也包括恶意攻击。可以说，在开发

32、运用DNS技术的同时，我们也为本人铺设了一个平安圈套，虽然DNS技术给我们处理了许多问题，而且运用起来也非常简单。在DNS系统中，缓存中毒是非常普遍的景象。以前通常经过限制递归式DNS的运用来进展防备，这是不对的，由于这将大大降低整个DNS系统的弹性。另一种防备方式是“以毒攻毒，即以同样的虚伪地址向将要遭到攻击的DNS效力器“海量恳求，从而将恶意攻击淹没。这样做的后果很明显，在防备了恶意攻击的同时也拖垮了目的效力器。同互联网一样，IMS经过运用DNS来实现不同言语的URL链接和传统号码与IP地址之间的解析，而且IMS对DNS的依赖相比互联网有过之而无不及。如IMS平安规范所描画的那样，数据包在

33、经过PCSCF时需求进展加密，而且这一行为与有没有恶意攻击无关。这样一来，会使PCSCF实体中的防火墙功能大打折扣。编者注：CSCF会话效力控制，是IMS的功能实体之一，它包括PCSCF代理CSCF、ICSCF查询CSCF以及SCSCF效力CSCF等类型，在物理上可以是合一的，也可以分别设置。而且，为了满足电信级运用的要求，IMS运用的是私有DNS效力器，还添加了ENUM号码映射设备。专家以为，这样做的危险性其实更大，由于一旦运营商的DNS出现问题，整个网络的正常任务都将遭到影响。6.2协同任务问题另外一个相关的问题就是就是IMS网络与互联网SIP用户的协同任务问题。IMS利用ENUM功能进展

34、SIP URL的查询。但此类查询可以“由内往外进展，却无法“由外往内。即查询可以从运营商的内网透传到互联网，却无法从互联网透传到电信运营商的私有DNS，除非运营商的网络与公共互联网之间没有防火墙，这种情况令人费解。而且，向外查询也非常的费力，或者需求运营商在其网络和公共互联网之间设置防火墙，或者IMS的平安方式需求重新定义。对于这个问题，3GPP和IETF曾经开场着手对SIP规范进展派生以实如今IMS的环境下进展SIP URL的真正跨网查询。传统的电信网络采用独立的TDM的专线，用户之间采用面向衔接的通道进展通讯，防止了其他终端用户的各种窃听和攻击。而IMS网络与互联网相衔接，基于IP协议和开

35、放的网络架构可以将语音、数据、多媒体等多种不同业务，经过采用多种不同的接入方式来共享业务平台，添加了网络的灵敏性和终端之间的互通性，不同的挪动接入还是固定接入，IMS的平安问题都不容忽视。IMS的平安要挟主要于几个方面：未经授权地访问敏感数据以破坏性；未经授权地篡改敏感数据以破坏完好性；干扰或滥用网络业务导致回绝效力或降低系统可用性；用户或网络否认已完成的操作；未经授权地接入业务等1。主要涉及到IMS的接入平安3GPP TS33.203，包括用户和网络认证及维护IMS终端和网络间的业务；以及IMS的网络平安3GPP TS33.2102，处置属于同一运营商或不同运营商网络节点之间的业务维护。除此

36、之外，还对用户终端设备和通用集成电路卡/IP多媒体业务身份识别模块UICC/ISIM平安构成要挟。6.3 IMS平安体系IMS系统平安的主要应对措施是IP平安协议IPSec，经过IPSec提供了接入平安维护，运用IPSec来完成网络域内部的实体和网络域之间的平安维护。3GPP IMS本质上是叠加在原有中心网分组域上的网络，对PS域没有太大的依赖性，在PS域中，业务的提供需求挪动设备和挪动网络之间建立一个平安联盟SA后才干完成。对于IMS系统，多媒体用户也需求与IMS网络之间先建立一个独立的SA之后才干接入多媒体业务。3GPP终端的中心是通用集成电路卡UICC，它包含多个逻辑运用，主要有用户识别

37、模块SIM、UMTS用户业务识别模块USIM和ISIM。ISIM中包含了IMS系统用户终端在系统中进展操作的一系列参数如身份识别、用户授权和终端设置数据等，而且存储了共享密钥和相应的AKAAuthentication and Key Agreement算法。其中，保管在UICC上的用户侧的IMS认证密钥和认证功能可以独立于PS域的认证密钥和认证功能，也可和PS运用一样的认证密钥和认证功能。IMS的平安体系如图1所示。图1IMS平安体系构造图图1中显示了5个不同的平安联盟用以满足IMS系统中不同的需求，分别用、来加以标识。提供终端用户和IMS网络之间的相互认证。在UE和P-CSCF之间提供一个平

38、安链接Link和一个平安联盟SA，用以维护Gm接口，同时提供数据源认证。在网络域内为Cx接口提供平安。为不同网络之间的SIP节点提供平安，并且这个平安联盟只适用于代理呼叫会话控制功能P-CSCF位于访问网络VN时。为同一网络内部的SIP节点提供平安，并且这个平安联盟同样适用于P-CSCF位于归属网络HN时。除上述接口之外，IMS中还存在其他的接口，在上图中未完好标识出来，这些接口位于平安域内或是位于不同的平安域之间。这些接口除了Gm接口之外的维护都受IMS网络平安维护。SIP信令的严密性和完好性是以逐跳的方式提供的，它包括一个复杂的平安体系，要求每个代理对音讯进展解密。SIP如今运用两种平安协

39、议：传输层平安协议TLS和IPSec，TLS可以实现认证、完好性和性，用TLS来保证平安的恳求必需运用可靠的传输层协议，如传输控制协议TCP或流控制传输协议SCTP；IPSec经过在IP层对SIP音讯提供平安来实现认证、完好性和性，它同时支持TCP和用户数据报协议UDP。在IMS中心网中，可经过NDS/IP来完成对网络中SIP信令的维护；而第一跳，即UE和P-CSCF间的信令维护那么需求附加的丈量，在3GPP TS 33.203中有详细描画。6.4 IMS的接入平安 IMS用户终端UE接入到IMS中心网需经一系列认证和密钥协商过程，详细而言，UE用户签约信息存储在归属网络的HSS中，且对外部实

40、体严密。当用户发起注册恳求时，查询呼叫会话控制功能I-CSCF将为恳求用户分配一个效力呼叫会话控制功能S-CSCF，用户的签约信息将经过Cx接口从HSS下载到S-CSCF中。当用户发起接入IMS恳求时，该S-CSCF将经过对恳求内容与用户签约信息进展比较，以决议用户能否被允许继续恳求。在IMS接入平安中，IPSec封装平安净荷ESP将在IP层为UE和P-CSCF间一切SIP信令提供性维护，对于呼叫会话控制功能CSCF之间和CSCF和HSS之间的加密可以经过平安网关SEG来实现。同时，IMS还采用IPSec ESP为UE和P-CSCF间一切SIP信令提供完好性维护，维护IP层的一切SIP信令，以

41、传输方式提供完好性维护机制。在完成注册鉴权之后，UE和P-CSCF之间同时建立两对单向的SA，这些SA由TCP和UDP共享。其中一对用于UE端口为客户端、P-CSCF端口作为效力器端的业务流，另一对用于UE端口为效力器、P-CSCF端口作为客户端的业务流。用两对SA可以允许终端和P-CSCF运用UDP在另一个端口上接纳某个恳求的呼应，而不是运用发送恳求的那个端口。同时，终端和P-CSCF之间运用TCP衔接，在收到恳求的同一个TCP衔接上发送呼应；而且经过建立SA实如今IMS AKA提供的共享密钥以及指明在维护方法的一系列参数上达成一致。SA的管理涉及到两个数据库，即内部和外部数据库SPD和SA

42、D。SPD包含一切入站和出站业务流在主机或平安网关上进展分类的战略。SAD是一切激活SA与相关参数的容器。SPD运用一系列选择器将业务流映射到特定的SA，这些选择器包括IP层和上层如TCP和UDP协议的字段值。 与此同时，为了维护SIP代理的身份和网络运营商的网络运作内部细节，可经过选择网络隐藏机制来隐藏其网络内部拓扑，归属网络中的一切I-CSCF将共享一个加密和解密密钥。在通用挪动通讯系统UMTS中相互认证机制称为UMTS AKA，在AKA过程中采用双向鉴权以防止未经授权的“非法用户接入网络，以及未经授权的“非法网络为用户提供效力。AKA协议是一种挑战呼应协议，包含用户鉴权五元参数组的挑战由

43、AUC在归属层发起而发送到效力网络。 UMTS系统中AKA协议，其一样的概念和原理被IMS系统重用，我们称之为IMS AKA。AKA实现了ISIM和AUC之间的相互认证，并建立了一对加密和完好性密钥。用来认证用户的身份是私有的身份IMPI，HSS和ISIM共享一个与IMPI相关联的长期密钥。当网络发起一个包含RAND和AUTN的认证恳求时，ISIM对AUTN进展验证，从而对网络本身的真实性进展验证。每个终端也为每一轮认证过程维护一个序列号，假设ISIM检测到超出了序列号码范围之外的认证恳求，那么它就放弃该认证并向网络前往一个同步失败音讯，其中包含了正确的序列号码。 为了呼应网络的认证恳求，IS

44、IM将密钥运用于随机挑战RAND，从而产生一个认证呼应RES。网络对RES进展验证以认证ISIM。此时，UE和网络曾经胜利地完成了相互认证，并且生成了一对会话密钥：加密密钥CK和完好性密钥IK用以两个实体之间通讯的平安维护。6.5 IMS的网络平安在第二代挪动通讯系统中，由于在中心网中缺乏规范的平安处理方案，使得平安问题尤为突出。虽然在基站之间通常可由加密来维护，但是在中心网时，系统的节点之间却是以明文来传送业务流，这就让攻击者有机可乘，接入到这些媒体的攻击者可以轻而易举对整个通讯过程进展窃听。针对2G系统中的平安缺陷，第三代挪动通讯系统中采用NDS对中心网中的一切IP数据业务流进展维护。可以

45、为通讯效力提供严密性、数据完好性、认证和防止重放攻击，同时经过运用在IPSec中的密码平安机制和协议平安机制来处理平安问题。在NDS中有几个重要的概念，它们分别是平安域Security Domains、平安网关SEG。6.5.1平安域 NDS中最中心的概念是平安域，平安域是一个由单独的管理机构管理运营的网络。在同一平安域内采用一致的平安战略来管理，因此同一平安域内部的平安等级和平安效力通常是一样的。大多情况下，一个平安域直接对应着一个运营商的中心网，不过，一个运营商也可以运营多个平安域，每个平安域都是该运营商整个中心网络中的一个子集。在NDS/IP中，不同的平安域之间的接口定义为Za接口，同一

46、个平安域内部的不同实体之间的平安接口那么定义为Zb接口。其中Za接口为必选接口，Zb接口为可选接口。两种接口主要完成的功能是提供数据的认证和完好性、性维护。6.5.2平安网关 SEG位于IP平安域的边境处，是维护平安域之间的边境。业务流经过一个SEG进入和分开平安域，SEG被用来处置经过Za接口的通讯，将业务流经过隧道传送到已定义好的一组其他平安域。这称为轮轴-辐条hub-and-spoke模型，它为不同平安域之间提供逐跳的平安维护。SEG担任在不同平安域之间传送业务流时实施平安战略，也可以包括分组过滤或者防火墙等的功能。IMS中心网中的一切业务流都是经过SEG进展传送，每个平安域可以有一个或

47、多个SEG，网络运营商可以设置多个SEG以防止某独立点出现缺点或失败。当所维护的IMS业务流跨越不同平安域时，NDS/IP必需提供相应的性、数据完好性和认证。6.5.3基于IP的网络域平安体系NDS/IP体系构造最根本的思想就是提供上从一跳到下一跳的平安，逐跳的平安也简化了内部和面向其他外部平安域分别的平安战略的操作。在NDS/IP中只需SEG担任与其他平安域中的实体间进展直接通讯。两个SEG之间的业务被采用隧道方式下的IPSec ESP平安联盟进展维护，平安网关之间的网络衔接经过运用IKE来建立和维护3。网络实体NE可以面向某个平安网关或一样平安域的其他平安实体，建立维护所需的ESP平安联盟。一切不同平安域的网络实体的NDS/IP业务经过平安网关被路由，它将