IMS
- IMS(IP Multimedia Subsystem)是IP多媒体系统,是一种全新的多媒体业务形式,它能够满足现在的终端客户更新颖、更多样化多媒体业务的需求。目前,IMS被认为是下一代网络的核心技术,也是解决移动与固网融合,引入语音、数据、视频三重融合等差异化业务的重要方式。但是,目前全球IMS网络多数处于初级阶段,应用方式也处于业界探讨当中。
IMS-概述
IMS最初是由3GPP(第三代合作伙伴计划)组织制定的一项3G网络核心技术标准。现在这项标准已为ITU-T(国际电联标准化部门)和ETSI(欧洲电信标准化委员会)认可,被纳入下一代网络(NGN)的核心框架之中。它被认为是未来实现固定网和移动网融合(FMC)的重要技术基础。
IMS的体系结构分为业务层、控制层和链接层。业务层由应用(和内容)服务器组成,负责为用户提供增值服务。控制层由网络控制服务器组成,负责管理呼叫或会话的设定、修改和释放。在这些服务器中最重要的是具有呼叫会话控制功能(CSCF)的SIP服务器。在控制层中,还配置了计费、运营维护等多功能。边界网关负责与其他运营商网络或其他类型网络之间的互通。连接层由用于骨干网和接入网的路由器及交换机组成。
IMS符合下一代网络把呼叫控制和传输分离的要求;它基于SIP,与接入无关,符合网络向“多种终端——多种接入——统一控制核心网——多种应用的网络体系结构”演变的发展方向,使得多种业务能同时进行交互,以形成一个更加灵活的通信平台。不仅可以实现人到内容的多媒体通信,还能实现人到人的多媒体通信。IMS将最终融合固定网、移动网、企业网、无线网等各种网络,简化网络结构,支持更丰富的定制化业务。
IMS-发展历程
国际第三代移动通信组织3GPP一直在进行它称为IP多媒体子系统IMS的标准化研究。在3GPP的文件R5中,IMS是UMTS核心网络中提供端到端多媒体业务和集群多媒体业务的中心。在3GPP的R6中,IMS已经被定义为支持所有IP接入网的多媒体业务核心网,可以支持任何一种移动的或固定的、有线的或无线的IP-CAN(IP Connectivity Access Networks),包括W-CDMA,CDMA2000,Ethernet,xDSL以及Wireless LAN等等。
IMS由控制多媒体会话的网络实体组成,在UMTS中IMS是提供IP多媒体服务的核心。IP多媒体服务使用GPRS网络来进行传输。网络提供者同时为IP多媒体服务提供传输实体和网络控制实体。网络结构同时允许为第三方提供附加的IP多媒体服务。
在UMTS版本5或更高的版本中,新增加的主要内容就是添加了两个全新的具有重要能力的IMS。第一,增加类似呼叫状态控制功能(CSCF)的新的网络实体来提供基本的IP多媒体服务,例如在两个用户间的多媒体会话的发起。第二,相互兼容已经发展到可以提炼一些网络实体能力的阶段,例如开放业务接入(OSA)服务能力。利用基本的IP多媒体服务和网络提供的能力,OSA服务能力的功能被期望能够激励第三方新的IP多媒体服务的产生。
一个IMS包括一个或多个CSCF、媒体网关控制功能(MGCF)、IMS媒体网关、多媒体资源功能处理器(MRFC)、订阅位置功能、中断网关控制功能(BGCF)和应用服务器。我们下面解释IMS如何实现其主要功能和如何为UMTS增加支持多媒体业务。
IPv6--IMS的信令和会话业务都是通过IP承载的,但是,并不是任何版本的IP都是可以使用的,IMS要求只有IPv6才能在IMS域中使用。虽然这将使UMTS这一全球第一商业系统广泛地发展IPv6,但是这仍将是一个大胆的要求,因为:
IMS中的IP寻址与分组域骨干网中使用的(例如IPv4)和电路域中使用的是不同的,所以IPv6和IPv4互通的问题需要解决。
用于移动台接入IP多媒体服务的IP寻址范围必须在IMS寻址域内,这个寻址域是在建立好IP连接时激活的PDP上下文中安排好的。IP地址可以从服务域而不是归属域的GGSN中获得,从路由的效率来考虑,这是一个优点。
呼叫/会话控制--CSCF使用SIP在呼叫控制中发挥了核心作用。CSCF可以比作电路域语音通话中移动交换中心的信令部分和控制部分。除了语音通信之外,它还能支持多媒体会话。SIP是在移动台和CSCF之间、CSCF之间、CSCF和MGCF之间、CSCF和应用服务器之间有关信令方面的协议。CSCF起到了很多作用:作为代理CSCF(P-CSCF),这是移动台和IMS连接最初的一点;作为提供服务的CSCF(S-CSCF),可以用于会话控制;作为询问CSCF(I-CSCF),这是网络中各个移动台的有关IMS信令的一个主要的连接点。
PSTN互通--当会话的一端为IMS用户,而会话的另一端是公共电话交换网用户时,网络需要四个新的功能实体-IMS媒体网关、MGCF、信令网关和BGCF。BGCF具有支持PSTN与PS域之间的呼叫的功能。媒体网关用来完成在两端用不同格式编码的媒体信号的翻译。MGCF控制IMS媒体网关,提供在基于SIP的和基于ISUP信令之间应用级的信令翻译,并且与S-CSCF进行通信。传输级的在基于IP的和基于SS7的信令翻译由SGW完成。BGCF识别网络和网络中的MGCF,并确定进入PSTN的位置。
处理用户签订的信息和用户状态的信息--归属用户服务器(HSS)是主要的数据库,它存储用户签订的业务信息和本地信息。它可以被考虑为一个增强型GSM网络中的归属位置寄存器。因为在网络中有几个HSS存在,在注册和会话建立过程中,为了找到有目标用户信息的HSS,用户位置功能被CSCF询问。用户位置功能不需要在单一的HSS环境下实现,因为CSCF知道哪一个HSS会被使用。
可以使用各种不同的应用服务器,包括基于SIP的应用服务器和OSA应用服务器,这些应用服务器可以实现各种服务,例如语音提示服务和预付费服务。支持多种服务的应用服务器还可以促进新的业务的产生。在这两种情况下,SIP为S-CSCF的信令服务,然而,在一个OSA应用服务器的例子中,一个OSA容量服务器应该插入在OSA应用服务器和S-CSCF之间。
多方会议-媒体资源功能处理器(MRFP)和媒体资源功能控制器(MRFC)支持多方多媒体会议,并能体现媒体资源(例如,语音提示功能)的实际能力。MRFP处理和混合实际的媒体流,MRFC控制MRFP的媒体流资源。
其他问题-在设计和标准化UMTS的过程中,产生了很多复杂的问题。例如,在2000年底才确定下来一个用户的服务控制由它的归属网络来执行,并且,当用户漫游到国外网络时,这个功能仍然适用,但是,因为存在仅仅由归属域控制产生的潜在的劣势,例如,归属域的过载和处理分组上的延迟,所以由访问域进行控制的问题也已经开始考虑了。而且,关于支持由访问域和归属域通过IMS共同控制的问题,3GPP已经讨论了一段时间了。然而支持两种模式必定会使网络结构更加复杂。因此,3GPP最终决定使用归属域来控制,但是,以后可能会重新进行这一问题的讨论。
IMS-应用
1、即时通 (Push to talk)
又叫做一键通业务,该服务使得手机终端用户能够在分组交换网络上,通过只按一个按键就进行一对一或群体即时通话。该服务采取 “ 半双工 ” 模式,也就是说同一时间只有一人能够讲话,从而更便于群体交流,该服务可以使用户能够在通话群中灵活地选定或者变换通话对象。从而用户可以轻易地与通话群体中所有人或选择部分人进行 Push to talk 通话。它是一种全数字传输的 VoIP 技术,其完全基于 SIP协议和IMS的设计,很好的保证了互通性、可量测性和向未来 3G 的平滑过渡。
2、IP电话业务
随着宽带IP接入的普及,IP终端电话成为新的热点,例如现在一些运营商正在推广的IP超市(类似于IP公用电话亭),基于 H.323 的IP终端电话未能普及除了以前缺乏IP宽带接入这个原因外,还因为 H.323 的用户认证一直是一个问题,另外H.323终端价格昂贵也是一个原因。现在采用SIP基本上克服了这些问题,SIP软件被免费集成在 Microsoft WinXP 操作系统中,因为SIP如此简单,甚至有运行在 Linux , PocketPc ,Symbian 上的 SIP Client软件,使得手持终端上的SIP应用也成为可能,而且SIP还支持完善的用户认证机制。所以基于SIP的IMS完全可以被用来作为IP终端电话系统。
3、串行振铃和并行振铃业务
因为一个SIP用户可以同时在很多终端上注册,比如他可能有几个固定办公电话,还有无绳电话,移动电话,便携PC等,每种终端可以实现不同的功能,比如便携PC支持视频而固定SIP电话可能连P&M都不支持,用户不需要总是带着所有终端,在各种情况下他只带着其中一些,比如开会时他可能只带着便携PC。
串行振铃业务是当另外一个用户呼叫该用户时,系统会根据该用户设定的次序和等待时间依次振铃该用户的各种终端,直到该用户接通为止。
而并行振铃业务则是系统同时振铃该用户的所有注册终端,直到该用户接通为止。
4、会晤转移业务
会晤转移业务包括无条件转移,无应答转移和遇忙转移,该用户可以定制转移的统一资源标识(URI),当条件符合时,呼叫被转移到设定的目标。这种业务和传统电话呼叫转移业务功能相同,只是增加了新的媒体类型。
5、主叫标识显示业务
和传统电话的主叫号码显示意义相同,只不过显示在被叫终端上的不只是主叫的SIPURI,而可能是任何媒体,比如一张主叫的照片、一段声音或者视频片断。根据系统的提示,主叫可以事先将要传送的标识上传到系统中存储,当主叫呼叫被叫时,SIP消息报文将主叫标识的统一资源地址(URL)传到被叫,被叫终端自动打开该URL,从而看到主叫的标识。
IMS-安全问题分析
IP多媒体子系统(IMS)是3GPP在R5规范中提出的,旨在建立一个与接入无关、基于开放的SIP/IP协议及支持多种多媒体业务类型的平台来提供丰富的业务。它将蜂窝移动通信网络技术、传统固定网络技术和互联网技术有机结合起来,为未来的基于全IP网络多媒体应用提供了一个通用的业务智能平台,也为未来网络发展过程中的网络融合提供了技术基础。IMS的诸多特点使得其一经提出就成为业界的研究热点,是业界普遍认同的解决未来网络融合的理想方案和发展方向,但对于IMS将来如何提供统一的业务平台实现全业务运营,IMS的标准化及安全等问题仍需要进一步的研究和探讨。
1、IMS存在的安全问题分析
传统的电信网络采用独立的信令网来完成呼叫的建立、路由和控制等过程,信令网的安全能够保证网络的安全。而且传输采用时分复用(TDM)的专线,用户之间采用面向连接的通道进行通信,避免了来自其他终端用户的各种窃听和攻击。
而IMS网络与互联网相连接,基于IP协议和开放的网络架构可以将语音、数据、多媒体等多种不同业务,通过采用多种不同的接入方式来共享业务平台,增加了网络的灵活性和终端之间的互通性,不同的运营商可以有效快速地开展和提供各种业务。由于IMS是建立在IP基础上,使得IMS的安全性要求比传统运营商在独立网络上运营要高的多,不管是由移动接入还是固定接入,IMS的安全问题都不容忽视。
IMS的安全威胁主要来自于几个方面:未经授权地访问敏感数据以破坏机密性;未经授权地篡改敏感数据以破坏完整性;干扰或滥用网络业务导致拒绝服务或降低系统可用性;用户或网络否认已完成的操作;未经授权地接入业务等。主要涉及到IMS的接入安全(3GPP TS33.203),包括用户和网络认证及保护IMS终端和网络间的业务;以及IMS的网络安全(3GPP TS33.210),处理属于同一运营商或不同运营商网络节点之间的业务保护。除此之外,还对用户终端设备和通用集成电路卡/IP多媒体业务身份识别模块(UICC/ISIM)安全构成威胁。
2、IMS安全体系
IMS系统安全的主要应对措施是IP安全协议(IPSec),通过IPSec提供了接入安全保护,使用IPSec来完成网络域内部的实体和网络域之间的安全保护。3GPP IMS实质上是叠加在原有核心网分组域上的网络,对PS域没有太大的依赖性,在PS域中,业务的提供需要移动设备和移动网络之间建立一个安全联盟(SA)后才能完成。对于IMS系统,多媒体用户也需要与IMS网络之间先建立一个独立的SA之后才能接入多媒体业务。
3GPP终端的核心是通用集成电路卡(UICC),它包含多个逻辑应用,主要有用户识别模块(SIM)、UMTS用户业务识别模块(USIM)和ISIM。ISIM中包含了IMS系统用户终端在系统中进行操作的一系列参数(如身份识别、用户授权和终端设置数据等),而且存储了共享密钥和相应的AKA(Authentication and Key Agreement)算法。其中,保存在UICC上的用户侧的IMS认证密钥和认证功能可以独立于PS域的认证密钥和认证功能,也可和PS使用相同的认证密钥和认证功能。IMS的安全体系如图1所示。
图1 IMS安全体系结构图
图1中显示了5个不同的安全联盟用以满足IMS系统中不同的需求,分别用①、②、③、④、⑤来加以标识。
①提供终端用户和IMS网络之间的相互认证。
②在UE和P-CSCF之间提供一个安全链接(Link)和一个安全联盟(SA),用以保护Gm接口,同时提供数据源认证。
③在网络域内为Cx接口提供安全。
④为不同网络之间的SIP节点提供安全,并且这个安全联盟只适用于代理呼叫会话控制功能(P-CSCF)位于拜访网络(VN)时。
⑤为同一网络内部的SIP节点提供安全,并且这个安全联盟同样适用于P-CSCF位于归属网络(HN)时。
除上述接口之外,IMS中还存在其他的接口,在上图中未完整标识出来,这些接口位于安全域内或是位于不同的安全域之间。这些接口(除了Gm接口之外)的保护都受IMS网络安全保护。
SIP信令的保密性和完整性是以逐跳的方式提供的,它包括一个复杂的安全体系,要求每个代理对消息进行解密。SIP现在使用两种安全协议:传输层安全协议(TLS)和IPSec,TLS可以实现认证、完整性和机密性,用TLS来保证安全的请求必须使用可靠的传输层协议,如传输控制协议(TCP)或流控制传输协议(SCTP);IPSec通过在IP层对SIP消息提供安全来实现认证、完整性和机密性,它同时支持TCP和用户数据报协议(UDP)。在IMS核心网中,可通过NDS/IP来完成对网络中SIP信令的保护;而第一跳,即UE和P-CSCF间的信令保护则需要附加的测量,在3GPP TS 33.203中有具体描述。
3、IMS的接入安全
IMS用户终端(UE)接入到IMS核心网需经一系列认证和密钥协商过程,具体而言,UE用户签约信息存储在归属网络的HSS中,且对外部实体保密。当用户发起注册请求时,查询呼叫会话控制功能(I-CSCF)将为请求用户分配一个服务呼叫会话控制功能(S-CSCF),用户的签约信息将通过Cx接口从HSS下载到S-CSCF中。当用户发起接入IMS请求时,该S-CSCF将通过对请求内容与用户签约信息进行比较,以决定用户是否被允许继续请求。
在IMS接入安全中,IPSec封装安全净荷(ESP)将在IP层为UE和P-CSCF间所有SIP信令提供机密性保护,对于呼叫会话控制功能(CSCF)之间和CSCF和HSS之间的加密可以通过安全网关(SEG)来实现。同时,IMS还采用IPSec ESP为UE和P-CSCF间所有SIP信令提供完整性保护,保护IP层的所有SIP信令,以传输模式提供完整性保护机制。
在完成注册鉴权之后,UE和P-CSCF之间同时建立两对单向的SA,这些SA由TCP和UDP共享。其中一对用于UE端口为客户端、P-CSCF端口作为服务器端的业务流,另一对用于UE端口为服务器、P-CSCF端口作为客户端的业务流。用两对SA可以允许终端和P-CSCF使用UDP在另一个端口上接收某个请求的响应,而不是使用发送请求的那个端口。同时,终端和P-CSCF之间使用TCP连接,在收到请求的同一个TCP连接上发送响应;而且通过建立SA实现在IMS AKA提供的共享密钥以及指明在保护方法的一系列参数上达成一致。SA的管理涉及到两个数据库,即内部和外部数据库(SPD和SAD)。SPD包含所有入站和出站业务流在主机或安全网关上进行分类的策略。SAD是所有激活SA与相关参数的容器。SPD使用一系列选择器将业务流映射到特定的SA,这些选择器包括IP层和上层(如TCP和UDP)协议的字段值。
与此同时,为了保护SIP代理的身份和网络运营商的网络运作内部细节,可通过选择网络隐藏机制来隐藏其网络内部拓扑,归属网络中的所有I-CSCF将共享一个加密和解密密钥。
在通用移动通信系统(UMTS)中相互认证机制称为UMTS AKA,在AKA过程中采用双向鉴权以防止未经授权的“非法”用户接入网络,以及未经授权的“非法”网络为用户提供服务。AKA协议是一种挑战响应协议,包含用户鉴权五元参数组的挑战由AUC在归属层发起而发送到服务网络。
UMTS系统中AKA协议,其相同的概念和原理被IMS系统重用,我们称之为IMS AKA。AKA实现了ISIM和AUC之间的相互认证,并建设了一对加密和完整性密钥。用来认证用户的身份是私有的身份(IMPI),HSS和ISIM共享一个与IMPI相关联的长期密钥。当网络发起一个包含RAND和AUTN的认证请求时,ISIM对AUTN进行验证,从而对网络本身的真实性进行验证。每个终端也为每一轮认证过程维护一个序列号,如果ISIM检测到超出了序列号码范围之外的认证请求,那么它就放弃该认证并向网络返回一个同步失败消息,其中包含了正确的序列号码。
为了响应网络的认证请求,ISIM将密钥应用于随机挑战(RAND),从而产生一个认证响应(RES)。网络对RES进行验证以认证ISIM。此时,UE和网络已经成功地完成了相互认证,并且生成了一对会话密钥:加密密钥(CK)和完整性密钥(IK)用以两个实体之间通信的安全保护。
4、IMS的网络安全
在第二代移动通信系统中,由于在核心网中缺乏标准的安全解决方案,使得安全问题尤为突出。虽然在无线接入过程中,移动用户终端和基站之间通常可由加密来保护,但是在核心网时,系统的节点之间却是以明文来传送业务流,这就让攻击者有机可乘,接入到这些媒体的攻击者可以轻而易举对整个通信过程进行窃听。
针对2G系统中的安全缺陷,第三代移动通信系统中采用NDS对核心网中的所有IP数据业务流进行保护。可以为通信服务提供保密性、数据完整性、认证和防止重放攻击,同时通过应用在IPSec中的密码安全机制和协议安全机制来解决安全问题。
在NDS中有几个重要的概念,它们分别是安全域(Security Domains)、安全网关(SEG)。
4.1 安全域
NDS中最核心的概念是安全域,安全域是一个由单独的管理机构管理运营的网络。在同一安全域内采用统一的安全策略来管理,因此同一安全域内部的安全等级和安全服务通常是相同的。大多情况下,一个安全域直接对应着一个运营商的核心网,不过,一个运营商也可以运营多个安全域,每个安全域都是该运营商整个核心网络中的一个子集。在NDS/IP中,不同的安全域之间的接口定义为Za接口,同一个安全域内部的不同实体之间的安全接口则定义为Zb接口。其中Za接口为必选接口,Zb接口为可选接口。两种接口主要完成的功能是提供数据的认证和完整性、机密性保护。
4.2 安全网关
SEG位于IP安全域的边界处,是保护安全域之间的边界。业务流通过一个SEG进入和离开安全域,SEG被用来处理通过Za接口的通信,将业务流通过隧道传送到已定义好的一组其他安全域。这称为轮轴-辐条(hub-and-spoke)模型,它为不同安全域之间提供逐跳的安全保护。SEG负责在不同安全域之间传送业务流时实施安全策略,也可以包括分组过滤或者防火墙等的功能。IMS核心网中的所有业务流都是通过SEG进行传送,每个安全域可以有一个或多个SEG,网络运营商可以设置多个SEG以避免某独立点出现故障或失败。当所保护的IMS业务流跨越不同安全域时,NDS/IP必须提供相应的机密性、数据完整性和认证。
4.3 基于IP的网络域安全体系[2]
NDS/IP体系结构最基本的思想就是提供上从一跳到下一跳的安全,逐跳的安全也简化了内部和面向其他外部安全域分离的安全策略的操作。
在NDS/IP中只有SEG负责与其他安全域中的实体间进行直接通信。两个SEG之间的业务被采用隧道模式下的IPSec ESP安全联盟进行保护,安全网关之间的网络连接通过使用IKE来建立和维护[3]。网络实体(NE)能够面向某个安全网关或相同安全域的其他安全实体,建立维护所需的ESP安全联盟。所有来自不同安全域的网络实体的NDS/IP业务通过安全网关被路由,它将面向最终目标被提供逐跳的安全保护[5]。其网络域安全体系结构如图2所示。
图2 基于IP的网络域安全体系
4.4 密钥管理和分配机制[5]
每个SEG负责建立和维护与其对等SEG之间的IPSec SA。这些SA使用因特网密钥交换(IKE)协议进行协商,其中的认证使用保存在SEG中的长期有效的密钥来完成。每个对等连接的两个SA都是由SEG维护的:一个SA用于入向的业务流,另一个用于出向的业务流。另外,SEG还维护了一个单独的因特网安全联盟和密钥管理协议(ISAKMP)SA,这个SA与密钥管理有关,用于构建实际的对等主机之间的IPSec SA。对于ISAKMP SA而言,一个关键的前提就是这两个对等实体必须都已经通过认证。在NDS/IP中,认证是基于预先共享的密钥。
NDS/IP中用于加密、数据完整性保护和认证的安全协议是隧道模式的IPSec ESP。在隧道模式的ESP中,包括IP头的完整的IP数据包被封装到ESP分组中。对于三重DES加密(3DES)算法是强制使用的,而对于数据完整性和认证,MD5和SHA-1都可以使用。
4.5 IPSec安全体系中的几个重要组成和概念[5]
1)IPSec:IPSec在IP层(包括IPv4和IPv6)提供了多种安全服务,从而为上层协议提供保护。IPSec一般用来保护主机和安全网关之间的通信安全,提供相应的安全服务。
2)ISAKMP:ISAKMP用来对SA和相关参数进行协商、建立、修改和删除。它定义了SA对等认证的创建和管理过程以及包格式,还有用于密钥产生的技术,它还包括缓解某些威胁的机制。
3)IKE:IKE是一种密钥交换协议,和ISAKMP一起,为SA协商认证密钥材料。IKE可以使用两种模式来建立第一阶段ISAKMP SA,即主模式和侵略性模式。两种模式均使用短暂的Diffie-Hellman密钥交换算法来生成ISAKMP SA的密钥材料。
4)ESP:ESP用来在IPv4和IPv6中提供安全服务。它可以单独使用或与AH一起使用,可提供机密性(如加密)或完整性(如认证)或同时提供两种功能。ESP可以工作在传送模式或隧道模式。在传送模式中,ESP头插入到IP数据报中IP头后面、所有上层协议头前面的位置;而在隧道模式中,它位于所封装的IP数据报之前。
标准化组织对IMS的安全体系和机制做了相应规定,其中UE和P-CSCF之间的安全由接入网络安全机制提供,IMS网络之上的安全由IP网络的安全机制保证,UE与IMS的承载层分组网络安全仍由原来的承载层安全机制支持。所有IP网络端到端安全基于IPSec,密钥管理基于IKE协议。对于移动终端接入IMS之前已经进行了相应的鉴权,所以安全性更高一些。但是对于固定终端来说,由于固定接入不存在类似移动网络空中接口的鉴权,P-CSCF将直接暴露给所有固定终端,这使P-CSCF更易受到攻击。为此,在IMS的接入安全方面有待于进一步的研究,需要不断完善IMS的安全机制。
开放分类
贡献者