IP多媒体子系统IMS.docx

IP多媒体子系统IMS1. 前言在经历了十几年的高速发展后，移动运营商越来越认清了一条重要的规律，那就是电信业务必须不断地发展以不断满足经济发展以及人们生活、工作和娱乐的通信和信息需求。目前，Yahoo! Messenger和腾讯QQ等多媒体业务早已风靡全球。然而，它们是建立在固定Internet网络良好能力的基础上的，没有任何通信和接入的质量保证，因此，迅速开发移动IP多媒体业务是当前电信运营商的当务之急。IMS的全称是“IP Multimedia Subsystem” ，即基于IP的多媒体系统，也称IP多媒体子系统。IMS系统为下一代基于IP的移动网络提供了面向分组数据包交换的多媒体服务及平台。它能够满足现在的终端客户更新颖、更多样化多媒体业务的需求。目前，IMS被认为是下一代网络的核心技术，也是解决移动与固网融合，引入语音、数据、视频三重融合等差异化业务的重要方式。但是，目前全球IMS网络多数处于初级阶段，应用方式也处于业界探讨当中。(IMS的概念引入)2. IMS的定位(技术特点和结构组成)IMS在3GPP(国际第三代移动通信组织)Release 5版本中提出，旨在提供增强型IP服务的一个全方位框架，是对IP多媒体业务进行控制的网络核心层逻辑功能实体的总称。它的初衷是以目前的全球移动系统通信（GSM）核心网络为基础，重点开发面向第三代移动系统的通信规范，及支持该系统的无线电接入技术。后来经过修改，其任务又涉及GSM规范及其相关无线电接入技术的维护与开发工作。R5主要定义IMS的核心结构，网元功能、接口和流程等内容；R6版本增加了部分IMS业务特性、IMS与其他网络的互通规范和无线局域网（WLAN）接入特性等；R7版本加强了对固定、移动融合的标准化制订，要求IMS支持数字用户线（xDSL）、电缆调制解调器等固定接入方式。 软交换技术从1998年就开始出现并且已经历了实验、商用等多个发展阶段，目前已比较成熟。全球范围早已有多家电信运营商开展了软交换试验，发展至今，软交换技术已经具备了替代电路交换机的能力，并具备一定的宽带多媒体业务能力。在软交换技术已发展如此成熟的今天，IMS的出路在何方?又该如何发展和定位呢?首先需要对IMS和软交换进行较为全面的比较和分析。 如果从采用的基础技术上看，IMS和软交换有很大的相似性：都是基于IP分组网；都实现了控制与承载的分离；大部分的协议都是相似或者完全相同的；许多网关设备和终端设备甚至是可以通用的。 IMS和软交换最大的区别在于以下几个方面。 （1）在软交换控制与承载分离的基础上，IMS更进一步的实现了呼叫控制层和业务控制层的分离； （2）IMS起源于移动通信网络的应用，因此充分考虑了对移动性的支持，并增加了外置数据库归属用户服务器（HSS），用于用户鉴权和保护用户业务触发规则； （3）IMS全部采用会话初始协议（SIP）作为呼叫控制和业务控制的信令，而在软交换中，SIP只是可用于呼叫控制的多种协议的一种，更多的使用媒体网关协议（MGCP）和H.248协议。总体来讲，IMS和软交换的区别主要是在网络构架上。软交换网络体系基于主从控制的特点，使得其与具体的接入手段关系密切，而IMS体系由于终端与核心侧采用基于IP承载的SIP协议，IP技术与承载媒体无关的特性使得IMS体系可以支持各类接入方式，从而使得IMS的应用范围从最初始的移动网逐步扩大到固定领域。此外，由于IMS体系架构可以支持移动性管理并且具有一定的服务质量（QoS）保障机制，因此IMS技术相比于软交换的优势还体现在宽带用户的漫游管理和QoS保障方面。（将软交换同IMS相比较，意在帮助理解IMS）一个IMS包括一个或多个CSCF（呼叫会话控制功能）、MGCF（媒体网关控制功能）、IMS媒体网关、MRFC（多媒体资源功能处理器）、SLF（订购关系定位功能）、中断网关控制功能和应用服务器。图 IMS分层体系结构IMS主要使用了如下组件：归属用户服务、呼叫会话控制功能、安全网关、IP媒体服务器、及应用服务器。归属用户服务(HSS)主要存储用户和服务相关的数据，如用户身份、注册信息、接入参数和服务触发（service-triggering）信息等。HSS还具备：· 用户定位功能定位分组和公共陆地移动网络（PLMN）的用户地址，并存储客户所使用的电话类型，及使用服务时所在位置等信息。· 身份验证功能存储移动用户的密钥并可为每名用户生成动态密码。HSS通常存储了高达每名用户10 KB的内容。所以一个支持100万名用户的HSS可能就需要64位线性寻址能力，以便能够快速地存取内存高速缓存中的信息。呼叫会话控制功能由几个“子组件”组成，它们负责处理所有与建立和结束呼叫相关的信令，以及基本的SIP讯息交换。CSCF还可以处理控制IP媒体本身的信令，以及会话初始化管理等。这些子组件包括代理CSCF（P-CSCF）、询问CSCF（I-CSCF）和服务CSCF（S-CSCF）。代理CSCF是用户设备的唯一连结点。用户发出的所有讯息均须经由P-CSCF进入IMS，P-CSCF执行如下功能：· 通过查询HSS来实现初步的安全保护· 验证SIP讯息· 执行IPSec完整性保护，以创建可信的讯息· 压缩讯息以减少延迟· 创建计费信息目前，P-CSCF一般位于归属网络中，未来也许会被移植到被访问网络。询问CSCF是归属网络内的第一连结点，I-CSCF负责联系HSS以便为具体用户确定服务-CSCF的位置。I-CSCF可能会提供一个拓扑隐藏网际网关（THIG），它可以通过加密SIP讯息中的一些内部IP地址和其它网络信息，帮助保护IMS网络拓扑。I-CSCF通常位于归属网络。如果使用THIG，则I-CSCF一般位于被访问网络。服务CSCF负责处理终端之间的所有SIP信令，并执行如下功能：· 提供SIP路由，具体是将公共用户身份（目前是电话号码，将来也许会改变）转换为终端IP地址，并向应用服务器发送讯息· 保持会话的畅通，将用户地址（例如，用户设备的IP地址）与SIP记录地址（公共用户身份）紧密相连· 控制会话· 阻止未授权用户使用服务S-CSCF总是位于归属网络。安全网关是电信网络之间，以及企业与电信网络之间的通信通道。它主要控制讯息在NAT（网络地址转换）服务器和防火墙的出入，也可能会承担一些其它的安全功能，如数据包过滤等。此外，安全网关还具备以下功能：· 强化IMS域之间的安全政策· 保护出入IMS域的控制平面讯息· 设置并维护IPSec安全关联（SA）IP媒体服务器具备所有的流媒体功能，可提供丰富的多媒体讯息：如视频、语音和文本。它负责管理相关的编码器（编码/解码）和流媒体的代码转换工作，以及回声消除、声音侦测和声音生成等工作。IP媒体服务器还能够提供流倍增和流广播，以满足会议应用的需要，它还可以连结至电路交换网络。应用服务器为IMS网络提供多媒体服务，它主要提供所有其它IMS组件如SIP Servlet的访问权限。应用服务器也可用来部署新服务，由于IMS采用模块化架构，因此只需更换或升级应用服务器即可完成新服务部署。这样的战略完全不同于之前的垂直模式，在垂直模式中，服务总是作为单点解决方案来部署，每项服务都使用自己的一套专有设备。应用服务器可以位于归属网络，也可以位于第三方网络，如果位于第三方网络，它们就不能与HSS接合。因为应用服务器属于OSA（开放服务架构）应用服务器，所以它们可以安全地从外部网络接入IMS并连接到GSM CAMEL（移动增强逻辑定制应用）服务器。3. IMS的发展与应用3.1 IMS标准的发展 对IMS进行标准化的国际标准组织主要有3GPP和高级网络电信和互联网融合业务和协议（TISPAN）。3GPP侧重于从移动的角度对IMS进行研究，而TISPAN则侧重于从固定的角度对IMS提出需求，并统一由3GPP来完善。 3GPP对IMS的标准化是按照R5版本、R6版本、R7版本这个过程来发布的，IMS首次提出是在R5版本中，然后在R6、R7版本中进一步完善。R5版本主要侧重于对IMS基本结构、功能实体及实体间的流程方面的研究；而R6版本主要是侧重于IMS和外部网络的互通能力以及IMS对各种业务的支持能力等。相比于R5版本，R6版本的网络结构并没有发生改变，只是在业务能力上有所增加。在R5的基础上增加了部分业务特性，网络互通规范以及无线局域网接入特性等，其主要目的是促使IMS成为一个真正的可运营的网络技术。R7阶段更多的考虑了固定方面的特性要求，加强了对固定、移动融合的标准化制订。R5版本和R6版本分别在2002年和2005年被冻结，而R7版本也即将冻结。 在TISPAN定义的NGN体系架构中，IMS是业务部件之一。TISPANIMS是在3GPPR6IMS核心规范的基础上对功能实体和协议进行扩展的，支持固定接入方式。TISPAN的工作方式和3GPP相似，都是分阶段发布不同版本。目前，TISPAN已经发布了R1版本相关规范，从固定的角度向3GPP提出对IMS的修改建议；R2版本目前还处于需求分析阶段。TISPAN在许多文档中都直接应用了3GPP的相关文档内容，而3GPPR7版本中的很多内容又都是在吸收了TISPAN的研究成果的基础上形成的，所以一方对文档内容的修改都将直接影响另一方。此外，部分先进的运营商（如德国电信、英国电信和法国电信）已经明确了未来网络和业务融合的战略目标，并开始特别关注基于IMS的网络融合研究。各大设备厂商也加大了对IMS在固网领域应用的研究，正积极参与并大力推进基于IMS的NGN的标准化工作。因此各个标准之间的协调一致的问题还需要进一步探讨。 3.2 IP媒体业务类型IMS是一个在分组域（PS）上的多媒体控制/呼叫控制平台，IMS使得PS具有电路域（CS）的部分功能，支持会话类和非会话类的多媒体业务。IMS为未来的多媒体应用提供了一个通用的业务平台，典型的业务如呈现、消息、会议、一键通等等。将不同的业务进行分组可以得到以下一些类型。 （1）信息类业务，这类业务对用户来讲已经非常熟悉，而且目前为运营商带来了良好的收益，IMS的信息类业务将带给用户更多的选择，在享用这些信息类业务的同时，用户可以随心所欲而且费用低廉的使用其他媒介，比如视频和声音等，同时可以灵活的选用实时业务或非实时业务进行沟通。 （2）多媒体呼叫话音业务，这类业务可以给用户在原有的话音业务操作和应用上带来全新的体验。 （3）增强型呼叫管理，可以实现让用户自己来控制业务，让用户的沟通更加灵活。 （4）群组业务，将不同的通信媒介聚合起来，为用户提供新的业务体验，而且IMS还可以对业务进行新的开发和组合；突破传统的一对一的通信方式限制，可以提供基于群组的通信方式。 （5）信息共享，常见的邮件携带附件的沟通模式可以完成部分的信息共享功能，但是在许多情况下显得不够灵活，所以实时在线的信息共享通信应运而生，多个用户可以实时处理同一个数据文件。（6）在线娱乐，移动终端可以直接和信息资源互联，IMS方式可以更好地呈现信息的更新和沟通，并可以随着用户需求的增长对信息进行必要的过滤；对于用户的在线游戏，IMS可以为用户提供从单机游戏到多用户在线参与的在线娱乐方式，同时用户还可以采用多种多媒体来沟通交流。 3.3 IMS的主要应用 随着IMS技术和产品的逐渐成熟，已经有一些运营商开始了IMS的商用，还有一些运营商在进行相关的测试。从目前的商用和测试情况看，移动运营商已经开始商用，而固网运营商还主要处于试验阶段。综合考虑，IMS的应用主要集中在以下几个方面。首先是在移动网络的应用，这类应用是移动运营商为了丰富移动网络的业务而开展的，主要是在移动网络的基础上用IMS来提供PoC、即时消息、视频共享等多媒体增值业务。应用重点集中在给企业客户提供IPCENTREX和公众客户的VoIP第二线业务。其次是固定运营商出于网络演进和业务的需要，通过IMS为企业用户提供融合的企业的应用（IPCENTREX业务），以及向固定宽带用户（例如ADSL用户）提供VoIP应用。 第三种典型的应用是融合的应用，主要体现在WLAN和3G的融合，以实现语音业务的连续性。在这种方式下，用户拥有一个WLAN/WCDMA的双模终端，在WLAN的覆盖区内，一般优先使用WLAN接入，因为这种方式用户使用业务的资费更低，数据业务的带宽更充足。当离开WLAN的覆盖区后，终端自动切换到WCDMA网络，从而实现语音在WLAN和WCDMA之间的连续性。目前，这种方案的商用较少，但是许多运营商都在进行测试。在IMS中全部采用SIP协议，虽然SIP也可以实现最基本的VoIP，但是这种协议在多媒体应用中所展现出来的优势表明，它天生就是为多媒体业务而生的。由于SIP协议非常灵活，所以IMS还存在许多潜在的业务。3.4 IMS独辟蹊径与其它在IP上简单提供的电路服务不同，采用IMS框架的运营商可以在IP上建立一个开放的服务基础设施，进而简单地部署丰富的媒体通信服务。IMS可以满足网络和用户的如下要求：· 提供人与人的实时IP多媒体通信，如语音或视频电话；以及人机通信，如游戏、视频点播和网上冲浪等。· 全面集成各种实时通信，如即时流传输和即时聊天，及其它非实时多媒体。· 支持多种服务和应用的互动，例如，视频会议和游戏或者实时视频和即时通讯。· 轻松地提高通信会话体验，例如，通过“单击”将即时通讯会话转变为语音会话。1即时通 (Push to talk)又叫做一键通业务，该服务使得手机终端用户能够在分组交换网络上，通过只按一个按键就进行一对一或群体即时通话。该服务采取 “ 半双工 ” 模式，也就是说同一时间只有一人能够讲话，从而更便于群体交流，该服务可以使用户能够在通话群中灵活地选定或者变换通话对象。从而用户可以轻易地与通话群体中所有人或选择部分人进行 Push to talk 通话。它是一种全数字传输的 VoIP 技术，其完全基于 SIP协议和IMS的设计，很好的保证了互通性、可量测性和向未来 3G 的平滑过渡。2IP电话业务随着宽带IP接入的普及，IP终端电话成为新的热点，例如现在一些运营商正在推广的IP超市(类似于IP公用电话亭)，基于 H.323 的IP终端电话未能普及除了以前缺乏IP宽带接入这个原因外，还因为 H.323 的用户认证一直是一个问题，另外H.323终端价格昂贵也是一个原因。现在采用SIP基本上克服了这些问题，SIP软件被免费集成在 Microsoft WinXP 操作系统中，因为SIP如此简单，甚至有运行在 Linux ， PocketPc（便携PC） ，Symbian 上的 SIP Client软件，使得手持终端上的SIP应用也成为可能，而且SIP还支持完善的用户认证机制。所以基于SIP的IMS完全可以被用来作为IP终端电话系统。3串行振铃和并行振铃业务因为一个SIP用户可以同时在很多终端上注册，比如他可能有几个固定办公电话，还有无绳电话，移动电话，便携PC等，每种终端可以实现不同的功能，比如便携PC支持视频而固定SIP电话可能连P&M都不支持，用户不需要总是带着所有终端，在各种情况下他只带着其中一些，比如开会时他可能只带着便携PC。串行振铃业务是当另外一个用户呼叫该用户时，系统会根据该用户设定的次序和等待时间依次振铃该用户的各种终端，直到该用户接通为止。而并行振铃业务则是系统同时振铃该用户的所有注册终端，直到该用户接通为止。4会晤转移业务会晤转移业务包括无条件转移，无应答转移和遇忙转移，该用户可以定制转移的统一资源标识(URI)，当条件符合时，呼叫被转移到设定的目标。这种业务和传统电话呼叫转移业务功能相同，只是增加了新的媒体类型。5主叫标识显示业务和传统电话的主叫号码显示意义相同，只不过显示在被叫终端上的不只是主叫的SIPURI，而可能是任何媒体，比如一张主叫的照片、一段声音或者视频片断。根据系统的提示，主叫可以事先将要传送的标识上传到系统中存储，当主叫呼叫被叫时，SIP消息报文将主叫标识的统一资源地址(URL)传到被叫，被叫终端自动打开该URL，从而看到主叫的标识。当前IMS的重要性正与日俱增，这是因为网络运营商需要将传统的服务，如语音呼叫和短信服务（SMS）和数据服务，如电子邮件、上网和即时通讯（IM）进行融合。正如电缆提供商正在探索着同时推出视频服务和电信服务一样，网络运营商也在尝试着提供视频服务，以保持竞争力。此外，客户也期待着服务的融合，而IMS正好为网络运营商提供了一个难得的机遇。4.IMS的优势IMS具有诸多优势，尤为明显的有四点：移动管理、服务质量、服务控制和开发商界接口。移动管理IMS可以在IP基础设施范围内的任何地理位置，搜索用户并建立会话。它有一个组件负责保存用户数据，及用户（或服务器）之间的搜索与通信。它还有另外一个组件负责协助建立和管理会话，并转发IMS网络之间的讯息。这两个组件共同实现了高效的移动管理。服务质量服务质量（QoS）是IP电信系统的一个常见问题。由带宽不足和其它原因引发的有损质量的因素，如延迟、波动、数据包丢失和回声等，会使传输质量难以接受。IP语音（VoIP）之所以能够迅速普及，是因为开发面世的QoS机制能够控制这些不利因素，以保持一定的质量水平。IMS融入了控制实时移动IP通信质量的特殊机制，可通过控制此处数据包网络和与其互动来确保质量的可接受性。服务控制移动服务提供商网络非常复杂，因为提供商必须提供各种不同的服务，以高效地满足广大客户的要求。因此提供商必须能够一目了然地对这些服务进行管理、控制和计费。在优化服务交付方面，IMS侧重的是提供服务的效率。当客户访问移动提供商的IMS网络时，网络会提供一份个人资料以供下载。一旦系统拥有了这份资料，就会知道客户有权使用的服务范围，就可以决定这些服务的执行顺序，如果有必要，还可以获得网络上提供这些服务的应用服务器资料。借助这一相对简单的系统，移动运营商就可以控制和管理极大型网络中极其复杂的服务交付工作。标准接口由于IMS采用的是标准化架构来支持部署增强的IP服务，因此第三方可以独立为任何IMS部署开发各种服务。这有利于实现更大范围的服务集成、互操作性和漫游，也有利于创新者形成强大的网络以解决服务提供商的各种要求。IMS中的IP寻址与分组域骨干网中使用的(例如IPv4)和电路域中使用的是不同的，所以IPv6和IPv4互通的问题需要解决。缺少IPv6的实践经验。用于移动台接入IP多媒体服务的IP寻址范围必须在IMS寻址域内，这个寻址域是在建立好IP连接时激活的PDP（策略决策点）上下文中安排好的。IP地址可以从服务域而不是归属域的GGSN中获得，从路由的效率来考虑，这是一个优点。5.基于IMS的网络融合问题 随着通信网络的发展与演进，融合是不可避免的主题，固定和移动的融合（FMC）更是迫切要解决的问题。ETSI（欧洲电信标准化协会）给FMC下的定义是：“固定移动融合是一种能提供与接入技术无关的网络能力。但这并不意味着一定是物理上的网络融合，而只关心一个融合的网络体系结构和相应的标准规范。这些标准可以用来支持固定业务、移动业务以及固定移动混合的业务。固定移动融合的一个重要特征是，用户的业务签约和享用的业务，将从不同的接入点和终端上分离开来，以允许用户从任何固定或移动的终端上，通过任何兼容的接入点访问完全相同的业务，包括在漫游时也能获得相同的业务。”在给FMC下定义的同时也对固定移动网络的融合提出了相应的要求。 IMS进一步发扬了软交换结构中业务与控制分离、控制与承载分离的思想，比软交换进行了更充分的网络解聚，网络结构更加清晰合理。网络各个层次的不断解聚是电信网络发展的总体趋势。网络的解聚使得垂直业务模式被打破，有利于业务的发展；另外，不同类型网络的解聚也为网络在不同层次上的重新聚合创造了条件。这种重新聚合，就是网络融合的过程。利用IMS实现对固定接入和移动接入的统一核心控制，主要是IMS具有以下特点。 （1）与接入无关性。虽然3GPPIMS是为移动网络设计的，TISPANNGN是为固定xDSL宽带接入设计的，但它们采用的IMS网络技术却可以做到与接入无关，因而能确保对FMC的支持。从理论上可以实现不论用户使用什么设备、在何地接入IMS网络，都可以使用归属地的业务。 （2）统一的业务触发机制。IMS核心控制部分不实现具体业务，所有的业务包括传统概念上的补充业务都由业务应用平台来实现，IMS核心控制只根据初始过滤规则进行业务触发，这样消除了核心控制相关功能实体和业务之间的绑定关系，无论固定接入还是移动接入都可以使用IMS中定义的业务触发机制实现统一触发。 （3）统一的路由机制。IMS中仅保留了传统移动网中HLR（归属位置寄存器）的概念，而摒弃了VLR（采访位置寄存器）的概念，和用户相关的数据信息只保存在用户的归属地，这样不仅用户的认证需要到归属地认证，所有和用户相关的业务也必须经过用户的归属地。 （4）统一用户数据库。HSS（归属业务服务器）是一个统一的用户数据库系统，既可以存储移动IMS用户的数据，也可以存储固定IMS用户的数据，数据库本身不再区分固定用户和移动用户。特别是业务触发机制中使用的初始过滤规则，对IMS中所定义的数据库来讲完全是透明数据的概念，屏蔽了固定和移动用户在业务属性上的差异。 （5）充分考虑了运营商实际运营的需求，在网络框架、QoS（服务质量）、安全、计费以及和其他网络的互通方面都制定了相关规范。IMS所具有这些特征可以同时为移动用户和固定用户所共用，这就为同时支持固定和移动接入提供了技术基础，使得网络融合成为可能。目前电信业务的发展已经到达了个人通信的重要阶段，传统的多媒体业务结构无法支持移动(个人化的)多媒体通信的需求，3GPP R5/R6采用的SIP体系结构和IP多媒体子系统为满足下一代的电信业务需求打下了基础，结合OSA技术和虚拟驻地环境技术，电信用户可以获得他们急需的新的移动多媒体通信业务，电信运营商也将在第三代移动通信上找到自己的业务增长点。6.IMS存在的安全问题分析6.1IMS受累于DNS其实，本质上讲，安全的实现就是在IMS和公众互联网之间所设立的一道墙，以防止一切可疑内容的通过。3GPP /3GPP2在IMS安全问题上进行了详细的定义，包括SIM应用和认证程序。但很遗憾，3GPP /3GPP2并没有对如何防止拒绝服务对DNS的攻击作相关定义，这给IMS留下了巨大的安全隐患。3GPP /3GPP2在IMS安全规范中也提到了“应该”防范虚假地址欺骗，但并没有说明“如何”进行防范。除了安全缺陷之外，这还形成另一个问题，就是不同IMS网络或者IMS网络与互联网SIP用户之间是否能够协同工作的问题。在互联网上，DNS是黑客们经常攻击的对象。这主要是因为，在互联网的世界里存在大量的、相互独立的DNS服务器，不管你是增加、删除还是重新配置一台DNS服务器都是非常简单的事情，当然也包括恶意攻击。可以说，在开发使用DNS技术的同时，我们也为自己铺设了一个安全陷阱，虽然DNS技术给我们解决了许多问题，而且使用起来也非常简单。在DNS系统中，缓存中毒是非常普遍的现象。以前通常通过限制递归式DNS的使用来进行防范，这是不对的，因为这将大大降低整个DNS系统的弹性。另一种防范方式是“以毒攻毒”，即以同样的虚假地址向将要受到攻击的DNS服务器“海量”请求，从而将恶意攻击淹没。这样做的后果很明显，在防范了恶意攻击的同时也拖垮了目标服务器。同互联网一样，IMS通过使用DNS来实现不同语言的URL链接和传统电话号码与IP地址之间的解析，而且IMS对DNS的依赖相比互联网有过之而无不及。如IMS安全规范所描述的那样，数据包在通过PCSCF时需要进行加密，而且这一行为与有没有恶意攻击无关。这样一来，会使PCSCF实体中的防火墙功能大打折扣。（编者注：CSCF会话服务控制，是IMS的功能实体之一，它包括PCSCF代理CSCF、ICSCF查询CSCF以及SCSCF服务CSCF等类型，在物理上可以是合一的，也可以分别设置。）而且，为了满足电信级应用的要求，IMS使用的是私有DNS服务器，还增加了ENUM（电话号码映射）设备。专家认为，这样做的危险性其实更大，因为一旦运营商的DNS出现问题，整个网络的正常工作都将受到影响。6.2协同工作问题另外一个相关的问题就是就是IMS网络与互联网SIP用户的协同工作问题。IMS利用ENUM功能进行SIP URL的查询。但此类查询可以“由内往外”进行，却无法“由外往内”。即查询可以从运营商的内网透传到互联网，却无法从互联网透传到电信运营商的私有DNS，除非运营商的网络与公共互联网之间没有防火墙，这种情况令人费解。而且，向外查询也十分的费劲，或者需要运营商在其网络和公共互联网之间设置防火墙，或者IMS的安全模式需要重新定义。对于这个问题，3GPP和IETF已经开始着手对SIP标准进行派生以实现在IMS的环境下进行SIP URL的真正跨网查询。传统的电信网络采用独立的TDM的专线，用户之间采用面向连接的通道进行通信，避免了来自其他终端用户的各种窃听和攻击。而IMS网络与互联网相连接，基于IP协议和开放的网络架构可以将语音、数据、多媒体等多种不同业务，通过采用多种不同的接入方式来共享业务平台，增加了网络的灵活性和终端之间的互通性，不同的移动接入还是固定接入，IMS的安全问题都不容忽视。IMS的安全威胁主要来自于几个方面：未经授权地访问敏感数据以破坏机密性；未经授权地篡改敏感数据以破坏完整性；干扰或滥用网络业务导致拒绝服务或降低系统可用性；用户或网络否认已完成的操作；未经授权地接入业务等1。主要涉及到IMS的接入安全（3GPP TS33.203），包括用户和网络认证及保护IMS终端和网络间的业务；以及IMS的网络安全（3GPP TS33.210）2，处理属于同一运营商或不同运营商网络节点之间的业务保护。除此之外，还对用户终端设备和通用集成电路卡/IP多媒体业务身份识别模块（UICC/ISIM）安全构成威胁。6.3 IMS安全体系IMS系统安全的主要应对措施是IP安全协议（IPSec），通过IPSec提供了接入安全保护，使用IPSec来完成网络域内部的实体和网络域之间的安全保护。3GPP IMS实质上是叠加在原有核心网分组域上的网络，对PS域没有太大的依赖性，在PS域中，业务的提供需要移动设备和移动网络之间建立一个安全联盟（SA）后才能完成。对于IMS系统，多媒体用户也需要与IMS网络之间先建立一个独立的SA之后才能接入多媒体业务。3GPP终端的核心是通用集成电路卡（UICC），它包含多个逻辑应用，主要有用户识别模块（SIM）、UMTS用户业务识别模块（USIM）和ISIM。ISIM中包含了IMS系统用户终端在系统中进行操作的一系列参数（如身份识别、用户授权和终端设置数据等），而且存储了共享密钥和相应的AKA（Authentication and Key Agreement）算法。其中，保存在UICC上的用户侧的IMS认证密钥和认证功能可以独立于PS域的认证密钥和认证功能，也可和PS使用相同的认证密钥和认证功能。IMS的安全体系如图1所示。图1IMS安全体系结构图图1中显示了5个不同的安全联盟用以满足IMS系统中不同的需求，分别用、来加以标识。提供终端用户和IMS网络之间的相互认证。在UE和P-CSCF之间提供一个安全链接（Link）和一个安全联盟（SA），用以保护Gm接口，同时提供数据源认证。在网络域内为Cx接口提供安全。为不同网络之间的SIP节点提供安全，并且这个安全联盟只适用于代理呼叫会话控制功能（P-CSCF）位于拜访网络（VN）时。为同一网络内部的SIP节点提供安全，并且这个安全联盟同样适用于P-CSCF位于归属网络（HN）时。除上述接口之外，IMS中还存在其他的接口，在上图中未完整标识出来，这些接口位于安全域内或是位于不同的安全域之间。这些接口（除了Gm接口之外）的保护都受IMS网络安全保护。SIP信令的保密性和完整性是以逐跳的方式提供的，它包括一个复杂的安全体系，要求每个代理对消息进行解密。SIP现在使用两种安全协议：传输层安全协议（TLS）和IPSec，TLS可以实现认证、完整性和机密性，用TLS来保证安全的请求必须使用可靠的传输层协议，如传输控制协议（TCP）或流控制传输协议（SCTP）；IPSec通过在IP层对SIP消息提供安全来实现认证、完整性和机密性，它同时支持TCP和用户数据报协议（UDP）。在IMS核心网中，可通过NDS/IP来完成对网络中SIP信令的保护；而第一跳，即UE和P-CSCF间的信令保护则需要附加的测量，在3GPP TS 33.203中有具体描述。6.4 IMS的接入安全 IMS用户终端（UE）接入到IMS核心网需经一系列认证和密钥协商过程，具体而言，UE用户签约信息存储在归属网络的HSS中，且对外部实体保密。当用户发起注册请求时，查询呼叫会话控制功能（I-CSCF）将为请求用户分配一个服务呼叫会话控制功能（S-CSCF），用户的签约信息将通过Cx接口从HSS下载到S-CSCF中。当用户发起接入IMS请求时，该S-CSCF将通过对请求内容与用户签约信息进行比较，以决定用户是否被允许继续请求。在IMS接入安全中，IPSec封装安全净荷（ESP）将在IP层为UE和P-CSCF间所有SIP信令提供机密性保护，对于呼叫会话控制功能（CSCF）之间和CSCF和HSS之间的加密可以通过安全网关（SEG）来实现。同时，IMS还采用IPSec ESP为UE和P-CSCF间所有SIP信令提供完整性保护，保护IP层的所有SIP信令，以传输模式提供完整性保护机制。在完成注册鉴权之后，UE和P-CSCF之间同时建立两对单向的SA，这些SA由TCP和UDP共享。其中一对用于UE端口为客户端、P-CSCF端口作为服务器端的业务流，另一对用于UE端口为服务器、P-CSCF端口作为客户端的业务流。用两对SA可以允许终端和P-CSCF使用UDP在另一个端口上接收某个请求的响应，而不是使用发送请求的那个端口。同时，终端和P-CSCF之间使用TCP连接，在收到请求的同一个TCP连接上发送响应；而且通过建立SA实现在IMS AKA提供的共享密钥以及指明在保护方法的一系列参数上达成一致。SA的管理涉及到两个数据库，即内部和外部数据库（SPD和SAD）。SPD包含所有入站和出站业务流在主机或安全网关上进行分类的策略。SAD是所有激活SA与相关参数的容器。SPD使用一系列选择器将业务流映射到特定的SA，这些选择器包括IP层和上层（如TCP和UDP）协议的字段值。 与此同时，为了保护SIP代理的身份和网络运营商的网络运作内部细节，可通过选择网络隐藏机制来隐藏其网络内部拓扑，归属网络中的所有I-CSCF将共享一个加密和解密密钥。在通用移动通信系统（UMTS）中相互认证机制称为UMTS AKA，在AKA过程中采用双向鉴权以防止未经授权的“非法”用户接入网络，以及未经授权的“非法”网络为用户提供服务。AKA协议是一种挑战响应协议，包含用户鉴权五元参数组的挑战由AUC在归属层发起而发送到服务网络。 UMTS系统中AKA协议，其相同的概念和原理被IMS系统重用，我们称之为IMS AKA。AKA实现了ISIM和AUC之间的相互认证，并建设了一对加密和完整性密钥。用来认证用户的身份是私有的身份（IMPI），HSS和ISIM共享一个与IMPI相关联的长期密钥。当网络发起一个包含RAND和AUTN的认证请求时，ISIM对AUTN进行验证，从而对网络本身的真实性进行验证。每个终端也为每一轮认证过程维护一个序列号，如果ISIM检测到超出了序列号码范围之外的认证请求，那么它就放弃该认证并向网络返回一个同步失败消息，其中包含了正确的序列号码。 为了响应网络的认证请求，ISIM将密钥应用于随机挑战（RAND），从而产生一个认证响应（RES）。网络对RES进行验证以认证ISIM。此时，UE和网络已经成功地完成了相互认证，并且生成了一对会话密钥：加密密钥（CK）和完整性密钥（IK）用以两个实体之间通信的安全保护。6.5 IMS的网络安全在第二代移动通信系统中，由于在核心网中缺乏标准的安全解决方案，使得安全问题尤为突出。虽然在基站之间通常可由加密来保护，但是在核心网时，系统的节点之间却是以明文来传送业务流，这就让攻击者有机可乘，接入到这些媒体的攻击者可以轻而易举对整个通信过程进行窃听。针对2G系统中的安全缺陷，第三代移动通信系统中采用NDS对核心网中的所有IP数据业务流进行保护。可以为通信服务提供保密性、数据完整性、认证和防止重放攻击，同时通过应用在IPSec中的密码安全机制和协议安全机制来解决安全问题。在NDS中有几个重要的概念，它们分别是安全域（Security Domains）、安全网关（SEG）。6.5.1安全域 NDS中最核心的概念是安全域，安全域是一个由单独的管理机构管理运营的网络。在同一安全域内采用统一的安全策略来管理，因此同一安全域内部的安全等级和安全服务通常是相同的。大多情况下，一个安全域直接对应着一个运营商的核心网，不过，一个运营商也可以运营多个安全域，每个安全域都是该运营商整个核心网络中的一个子集。在NDS/IP中，不同的安全域之间的接口定义为Za接口，同一个安全域内部的不同实体之间的安全接口则定义为Zb接口。其中Za接口为必选接口，Zb接口为可选接口。两种接口主要完成的功能是提供数据的认证和完整性、机密性保护。6.5.2安全网关 SEG位于IP安全域的边界处，是保护安全域之间的边界。业务流通过一个SEG进入和离开安全域，SEG被用来处理通过Za接口的通信，将业务流通过隧道传送到已定义好的一组其他安全域。这称为轮轴-辐条（hub-and-spoke）模型，它为不同安全域之间提供逐跳的安全保护。SEG负责在不同安全域之间传送业务流时实施安全策略，也可以包括分组过滤或者防火墙等的功能。IMS核心网中的所有业务流都是通过SEG进行传送，每个安全域可以有一个或多个SEG，网络运营商可以设置多个SEG以避免某独立点出现故障或失败。当所保护的IMS业务流跨越不同安全域时，NDS/IP必须提供相应的机密性、数据完整性和认证。6.5.3基于IP的网络域安全体系NDS/IP体系结构最基本的思想就是提供上从一跳到下一跳的安全，逐跳的安全也简化了内部和面向其他外部安全域分离的安全策略的操作。在NDS/IP中只有SEG负责与其他安全域中的实体间进行直接通信。两个SEG之间的业务被采用隧道模式下的IPSec ESP安全联盟进行保护，安全网关之间的网络连接通过使用IKE来建立和维护3。网络实体（NE）能够面向某个安全网