IMS技术交流.ppt

IMS技术交流,中兴通讯 核心网产品规划部,Topics,IMS系统架构用户标识业务流程认证鉴权,3,IMS是什么?,IMS：IP Multimedia SubsystemIP=基于IP的传输基于IP的会话控制基于IP的业务实现Multimedia=语音、视频、图片、文本等多种媒体的组合支持多种接入方式，各种不同能力终端Subsystem=依赖于现有网络技术和设备，最大程度重用现有网络系统无线网络把PS/GPRS网络作为承载网络 固定网络把基于固定接入IP系统作为承载网络,IMS（IP Multimedia Subsystem-IMS），由3GPP在R5阶段引入，叠加在PS域上，目的是在基于全IP的网络上为移动用户提供多媒体业务,4,IMS系统架构,5,IMS的特点,基于IETF协议：如SIP、Diameter、COPS、SDP、XML、RTP、RTCP等协议统一：统一采用SIP作为会话控制协议，统一采用Diameter作为AAA协议，统一采用XML作为User Profile协议归属控制：S-CSCF作为用户业务的唯一触发点接入独立性优越的融合特性；控制面和用户面的交互主要在 QoS 和计费方面开放的业务控制接口ISC实现了业务和控制的真正分离统一的用户数据管理易于实现业务融合采用分布、开放的体系结构良好的可扩展性,6,IMS的特点（续）,CSCF动态分配提高网络的可靠性SIP信令自主路由SIP信令可携带路由信息，可简化后续路由增强计费功能Online/Offline计费增强安全性定义了完整的安全框架，基于IPSec、AKAQoS能力SBLP方式、资源预留方式,7,IMS逻辑功能网元,Proxy(P)-CSCF：UE到网络的第一个连接点建立同终端间的安全联盟（SA）SIP 头压缩Interrogating(I)-CSCF：IMS系统对外的联系点S-CSCF分配功能THIG功能：隐藏IMS网络内部拓扑信息被叫S-CSCF定位功能Serving(S)-CSCF：用户的Registrar，负责用户的注册负责用户的鉴权、授权负责用户的业务控制和触发，与业务层进行交互,8,IMS逻辑功能网元,HSS:(Home Subscriber Server)存储IMS用户的签约数据、Service Profile、位置信息、鉴权信息等也可提供传统的HLR功能：CS签约数据、PS签约数据接口：Diameter(IMS)、MAP(CS/PS)SLF：(Subscription Locator Function)根据SIP URI定位HSS需要访问HSS的实体均需调用单一HSS环境不需要SLF,9,IMS逻辑功能网元,BGCF:(Breakout Gateway Control Function)为被叫出IMS网络（如：PSTN/CS）选择适当的出口点若被叫和IMS同网，则选择本网的一个MGCF若被叫非本网，则交给另一个网络接口的BGCF需要维护或访问网络接口拓扑信息、出口策略数据库MGCF:(Media Gateway Control Function)IMS控制面与传统PSTN/CS网络的互通点控制IMS-MGW，以完成媒体面的互通：H.248IMS侧：与I/S-CSCF互通PSTN/CS侧：SIP到BICC/ISUP协议转换IM-MGW:(IMS Media Gateway)IMS媒体面与传统PSTN/CS域的互通点接受MGCF控制：H.248提供声码器、回声消除、通知音、DTMF、会议桥等资源,10,IMS逻辑功能网元,MRFC:(Multimedia Resource Function Control)IMS域内部的媒体控制资源功能维护、控制MRFP中的媒体资源：H.248与S-CSCF互通，间接接受AS的控制MRFP:(Multimedia Resource Function Processor)媒体资源功能IMS域内部的媒体资源功能接受MRFC控制：H.248提供声码器、通知音、会议桥等资源,11,IMS逻辑功能网元,OSA-SCS：(Service Capability Server）IMS域向OSA-AS提供业务能力的一个接口实体完成SIP信令到OAS API的转换IMS-SSF：(IP Multimedia Service Switching Function)IMS域向传统智能网提供业务能力的一个接口实体完成SIP信令与INAP/CAP等信令的转换,12,IMS接口协议,SIP（Session Initiation Protocol）NNI接口在P/I/S-CSCF之间，CSCF与BGCF/MGCF/MRFC等实体间，BGCF与 BGCF/MGCF之间，包括Mw、Mm、Mr、Mg、Mi、Mj、Mk等;UNI接口UE和P-CSCF之间，完成用户接入、注册、会话控制、SIP压缩等；ISC接口S-CSCF与IMS AS之间，用于业务控制DiameterCx接口I/S-CSCF与HSS之间，用于位置管理、用户数据处理和认证；Sh接口IMS AS与HSS之间，用于数据处理和订阅通知；Dx接口I/S-CSCF与SLF之间，用于HSS定向；Dh接口IMS AS与SLF之间，用于HSS定向；Gq接口P-CSCF与PDF之间，用于传递会话信息；,13,IMS接口协议,H.248：Mp接口MRFC与MRFP之间，用于MRFC控制MRFP的媒体流;Mn接口MGCF与IM-MGW之间Http：Ut接口UE与AS之间，用于用户能够管理和配置其在AS上的业务信息,Topics,IMS系统架构用户标识业务流程认证鉴权,15,IMS用户编号,私有用户标识PVIPVI由归属网络的运营者分配，用于注册、授权、管理、计费等目的PVI标识的是签约，不是用户格式：NAI,如usernamedomain_name公有用户标识PUIPUI用于用户和其它用户的通讯格式：SIP URI，TEL URI,IMSSubscription,Private User Identity 1(For Mobile terminals),Private User Identity 2(For Fixed terminals),Public User Identity 1(SIP URI format),Public User Identity 2(Tel E.164 format),Public User Identity 3(SIP URI format),Public User Identity 4(Tel E.164 format),Public User Identity 5(SIP URI format),Public User Identity 6(Tel E.164 format),Implicitly Registered ID set 1,Implicitly Registered ID set 2,Implicitly Registered ID set 3,Service Profile 1(Enhanced Services),Service Profile 2(Legacy Services),Service Profile 3(Converged Services),Service Profile 5(Legacy Services),Service Profile 4(Enhanced Services),一个PVI可有多个PUI：一机多号,多个PVI共享一个PUI：一号多机、号码共享,隐式注册：一次注册多个PUI,PUI和用户业务配置相对应,16,IMS用户编号定义,归属域名：根据运营商标识定义：根据运营商标识和地理位置（管理域）定义：如根据IMS业务品牌定义：如“ims_根据大客户名称定义：PVI：user_PUI有两种编号格式：SIP URI:如 SIP:user 域名和归属域名相同；用户名部分：用TEL URI的E.164号码；或用字符方式 Tel URI:如Tel：86 25 52871010,17,网络节点编号,主机域名方式：,Device.city.province.,city.province.Deviceims.,说明：Device:P/I/S-CSCF、BGCF、MRFC、MRFP、SBC等IMS核心网络实体，根据需要部署1-n套;City:Device所部署的城市/直辖市，可选；Province:Device所部署的省份，可选;Operator:运营商名，如ctcims，必选；,网络地址方式：,举例：主机域名方式:PSHSS3.,网络地址方式:Psichuan.SSichuan.HSS,18,网络节点编号,MGCF/IM-MGW位于SIP域和CS域网络边界，具有双重设备标识:主机名或域名SS7信令点码举例：,域名方式:Mgcf.xxx-yyy-001IMMGW.xxx-yyy-002,19,公共业务标识PSI,为了在IMS系统中引入标准的呈现、消息、会议等业务，需要引入公共业务标识PSI(Public Service Identities)一个本地业务可以通过一个可以全局路由的PSI进行标识，为全网提供服务PSI标识的是业务，或者是一个AS上为某种业务所创建的特定资源，而非用户PSI采用SIP URI或者Tel URI的格式PSI的域部分由IMS运营商预先定义好，用户部分则能由IMS系统灵活地动态创建;PSI也可用于标识群组，通配PSI标识,显式PSI:Sip:MSip:CSip:GSip:L通配PSI:Sip:chatlist!.*!,20,ISIM卡信息,Topics,IMS系统架构用户标识认证鉴权业务流程,22,IMS终端认证鉴权方式,IMS AKA:面向ISIM卡终端：支持ISIM卡的IMS手机；支持USB KEY的PC软终端ISIM中存储用户的PUI和PVI以及鉴权认证的参数Early IMS：针对不支持ISIM卡和IPsec的终端：普通GPRS手机要求终端能够根据USIM中的用户信息来生成公有用户标志和私有用户标志P-CSCF根据SIP中无Authorization Header确定Early IMS流程HTTP Digest：传统SIP终端，无卡智能终端，PC，SIP IADSIP IAD以设备的MAC地址为用户名，烧录的密码进行认证,23,IMS AKA认证过程,UE,P-CSCF,I-CSCF,HSS,S-CSCF,1,2,3,(SM)Register,4,5,6,7,8,(SM)4xx Auth-Challenge,9,10,11,(SM)Register,12,13,14,15,16,OK,(SM)2xx Auth-OK,【1】P-CSCF的地址通过P-CSCF发现过程获得。需要注册的归属域名通过ISIM中获得。携带IMPI和IMPU进行注册尝试。,【2】此时P-CSCF收到消息的没有一致性安全保护。P-CSCF通过根据Request-URI路由注册消息到用户归属域的接口I-CSCF。I-CSCF从用户归属的HSS中获取能够为用户服务的S-CSCF信息，并将注册消息转发给该S-CSCF。,【3】由于用户当前没有在S-CSCF中注册，所以需要向HSS设置Registration Flag（pending)，指示正在注册。S-CSCF以用户的IMPI为关键字，向HSS索取鉴权向量5元组，包括RAND,AUTH,XRES,CK和IK。,【4】S-CSCF保存全部鉴权向量5元组。将RAND,AUTH,CK和IK在SIP 4XX应答中发给I-CSCF，由其转发给P-CSCF。,【6】UE获得AUTH后，提取MAC和SQN，并自行利用共享密钥IK计算XMAC，判断XMAC是否和MAC一致，SQN是否在合理数值范围，以辨别IMS网络是否合法。UE利用共享密钥和RAND计算鉴权响应RES，并重新发起注册过程。新的注册过程使用的IP地址不变，但端口号须选择SA中协商的一致。选择的P-CSCF和S-CSCF必须与初始注册过程一样。,【5】P-CSCF收到该SIP 4XX应答之后，保存CK和IK，将其余部分转发给UE。CK和IK的扩展将用做IPsec ESP传输模式下安全联盟需要的保密密钥和一致性密钥。,【7】S-CSCF比较从UE获得的RES和曾从HSS获得的XRES，如果一致，则UE认证鉴权通过。可以享受服务。S-CSCF向HSS设置Registration Flag(registered)，并从HSS中获取用户属性和业务信息。最后向UE发送SIP 2XX注册完成响应。,24,Http Digest认证,HTTP DIGEST认证是在固定网络中无法使用AKA情况下采用的一种鉴权认证方式HTTP Digest鉴权是基于challenge-response机制在HTTP Basic鉴权模式下，用户的username和password在网络中都是以明文传送，有严重的安全隐患针对这个问题，HTTP Digest模式对Basic模式进行改进，对username和password进行加密，并提供了一定程度上有限的消息完整性保护，但是它对消息本身并不加密，并且也不支持IPsec,25,Early IMS认证过程,UE,P-CSCF,I-CSCF,HSS,S-CSCF,1,2,3,(SM)Register,4,5,6,7,(SM)200 OK,10,Activiate&CreatePDP Context,Accouting Request START,Radius-S,Radius-C,Key Information:Assigned IP addressagainst msISDN or IMSI,【2】I-CSCF根据SIP注册消息中Public User ID向HSS查询能够提供服务的S-CSCF名字。并将注册消息转发给该S-CSCF。,8,9,【3】S-CSCF收到注册消息后，根据Public User ID向HSS查询用户的合法登记的IP地址。HSS需要将该IMPU映射成msISDN或IMSI，而后获得登记的IP地址。S-CSCF比较合法登记的IP地址与SIP注册消息Received or Sent-by信息中的IP地址做比较，如果一致，则用户合法，通过认证。,【4】S-CSCF向HSS请求下载用户数据和业务数据。完成UE临时IMPU所在隐含注册集中所有IMPU的注册。并向UE发送SIP 200 OK消息，完成UE注册流程。,H-GGSN,HSS,关键区别：1，依靠合法分配的IP地址建立IMSI/IP/IMPU/IMPI之间绑定关系；2，UE和P-CSCF之间没有IPsec的连接；3，GGSN根据IMS APN(for early IMS)确定需要IP绑定；P-CSCF根据SIP中无Authorization Header确定Early IMS流程；4，依据IMSI衍生归属域，IMPI和IMPU。,11,【1】GGSN负责检查UE发出的所有IP包，防止IP Spoofing。保证UE使用的源IP地址是GGSN分配的合法地址。P-CSCF负责检查SIP注册消息中的sent-by信息中UE填写的源IP地址是否与IP包的实际IP地址一致。如果有不一致，P-CSCF在SIP注册消息中填写Received信息（实际IP地址）。,26,HTTP Digest认证过程,UE,P-CSCF,I-CSCF,HSS,S-CSCF,1,2,3,(SM)Register,4,5,6,7,8,(SM)4xx Auth-Challenge,9,10,11,(SM)Register,12,13,14,15,16,OK,(SM)2xx Auth-OK,【1】P-CSCF的地址通过静态配置获得。用户的归属域名和IMPI也通过静态配置获得。携带用户选择的IMPU进行注册尝试。SIP注册消息中携带Authorization Header。SIP注册消息中不携带Security Client Header。,【2】此时P-CSCF收到消息的没有Proxy-Require=sec-agree，指示不需要IPsec支持。P-CSCF通过根据Request-URI路由注册消息到用户归属域的接口I-CSCF。I-CSCF从用户归属的HSS中获取能够为用户服务的S-CSCF信息，并将注册消息转发给该S-CSCF。,【3】由于用户当前没有在S-CSCF中注册，所以需要向HSS设置Registration Flag（pending)，指示正在注册。S-CSCF以用户的IMPI为关键字，向HSS索取鉴权参数，包括username,password。,【4】S-CSCF保存获取的鉴权参数。并在WWW-Authentication参数中根据HTTP Digest规定向UE发起Challenge。,【5】UE提醒用户输入密码，或者从保密配置中获取用户密码，而后在Authorization参数中根据HTTP Digest规定向S-CSCF响应Challenge。,【6】S-CSCF比较UE的响应和自行计算的结果，如果一致，则通过认证。向HSS设置Registration Flag(registered)，指示注册完毕，并发起下载用户数据和业务数据的过程。S-CSCF向UE回送SIP 200 OK消息。,27,NASS-IMS Bundled Authentication,UE,CLF,P-CSCF,HSS,I/S-CSCF,1,2,3,SIP Register,4,5,6,7,8,9,OK,SIP 200 OK,【1】UE sends register message to P-CSCF,【2】P-CSCF queries CLF to get the access information(e.g.line ID)through CLF will convey access network information to P-CSCF,【3】P-CSCF puts the access information in SIP message(P-Access-Network-Info).then sends it to I/S-CSCF.,【4】S-CSCF queries HSS to get the NASS-IMS bundled authentication data,e.g.line ID and compare the line-id from HSS with the one from P-CSCF.If it matches,then continue and reply with 200 OK;otherwise,reply with error info,10,Topics,IMS系统架构用户标识认证鉴权业务流程,29,IMS用户注册流程,GGSN,SGSN,IP-CANHome or Visited Network,IMS UE,S-CSCF,HSS,P-CSCF,I-CSCF,SIP-AS,Third-Party SIP-ASService Provider1,IMS domainHome Network,GGSN,SGSN,IP-CANHome or Visited Network,IMS UE,S-CSCF,HSS,P-CSCF,I-CSCF,SIP-AS,IMS domainHome Network,IP backbone,Third-Party SIP-ASService Provider1,Operator I,Operator X,Operator Y,Operator II,IMS Signaling PDP context,IMS Signaling PDP context,REGISTER,DNS,DNS,REGISTER,REGISTER,注册流程,30,31,P-CSCF发现流程,2.在IP-CAN的IP连接建立之后，UE通过DHCP获取P-CSCF的域名和能够解析该域名的DNS,1 由IP-CAN在IP连接建立时将P-CSCF信息发布给UE。,3.在UE中配置P-CSCF主机名及IP地址,REGISTER消息,32,UE-P-CSCF:REGISTER sip:SIP/2.0Via:SIP/2.0/UDP 192.168.1.1:5060;branch=z9hG4bKnashds7Route:sip:;lrMax-Forwards:70From:;tag=pohjaTo:;Contact:;expires=600000Call-ID:apb03a0s09dkjdfglkj49111Cseq:25 REGISTERContent-Length:0,P-CSCF-I-CSCF:REGISTER sip:SIP/2.0Via:SIP/2.0/UDP;branch=z9hG4bK240f34.1Via:SIP/2.0/UDP 192.168.1.1:5060;branch=z9hG4bKnashds7Max-Forwards:69From:;tag=pohjaTo:;Contact:;expires=600000Call-ID:apb03a0s09dkjdfglkj49111Path:*由于IMS禁止S-CSCF直接与UE交互，需要S-CSCF获取P-CSCF地址Cseq:25 REGISTERContent-Length:0,REGISTER消息,33,I-CSCF-S-CSCF:REGISTER sip:SIP/2.0Via:SIP/2.0/UDP icscf1_;branch=z9hG4bK351g45.1Via:SIP/2.0/UDP;branch=z9hG4bK240f34.1Via:SIP/2.0/UDP 192.168.1.1:5060;branch=z9hG4bKnashds7Route:sip:;lrMax-Forwards:68From:;tag=pohjaTo:;Contact:;expires=600000Call-ID:apb03a0s09dkjdfglkj49111Path:sip:;lrCseq:25 REGISTERContent-Length:0,SCSCF返回200OK响应：SIP/2.0 200 OKVia:SIP/2.0/UDP icscf1_;branch=z9hG4bK351g45.1Via:SIP/2.0/UDP;branch=z9hG4bK240f34.1Via:SIP/2.0/UDP 192.168.1.1:5060;branch=z9hG4bKnashds7From:;tag=pohjaTo:;tag=kotimaaContact:;expires=600000Call-ID:apb03a0s09dkjdfglkj49111Service-Route:sip:;lr*为了避免对于UE发起的每个初始消息都要将I-CSCF作为额外一条Cseq:25 REGISTERContent-Length:0,34,IMS用户会话流程,GGSN,SGSN,IP-CANHome or Visited Network,IMS UE,S-CSCF,HSS,P-CSCF,PDF,I-CSCF,SIP-AS,Third-Party SIP-ASService Provider1,IMS domainHome Network,GGSN,SGSN,IP-CANHome or Visited Network,IMS UE,S-CSCF,HSS,P-CSCF,PDF,I-CSCF,SIP-AS,I-CSCF,IMS domainHome Network,IP backbone,Third-Party SIP-ASService Provider1,Operator I,Operator X,Operator Y,Operator II,IMS Signaling PDP context,IMS Signaling PDP context,EnumDNS,EnumDNS,INVITE,DNS,DNS,Data Traffic PDP context,Data Traffic PDP context,Media Plane,Signaling Plane,INVITE,INVITE,INVITE,INVITE,INVITE,INVITE,基本会话流程,35,基本会话流程,36,基本会话流程,37,媒体协商、资源预留,38,主叫UE 被叫UE INVITE（第一个SDP提供：所希望媒体类型与所有编码方案）183会话进行中（第一个SDP应答：支持的媒体类型及编码方案 PRACK（第二个SDP提供：双方协商的媒体类型和编码方案）200 OK(第二个SDP应答：对所协商媒体类型和编码方案的确认)UPDATE（第三个SDP提供：表明主叫资源预留完成）200 OK（第三个SDP应答：表明被叫资源预留完成）,资源预留,资源预留,INVITE消息（简化）,home1 UE MO-home1 P-CSCF1:INVITE sip:SIP/2.0Route:,Route:,home1 P-CSCF1-home1 S-CSCF1:INVITE sip:SIP/2.0Route:Record-Route:,home1 S-CSCF1-home2 I-CSCF2:INVITE sip:SIP/2.0Record-Route:Record-Route:,home2 I-CSCF2-home2 S-CSCF2:INVITE sip:SIP/2.0Route:Record-Route:Record-Route:,39,home2 SCSCF2-home2 P-CSCF2:INVITE sip:SIP/2.0Route:Record-Route:Record-Route:Record-Route:,home2 PCSCF2-home2 UE MT:INVITE sip:SIP/2.0Record-Route:Record-Route:Record-Route:Record-Route:,home2 UE MT应答180临时响应：SIP/2.0 180 RingingRecord-Route:Record-Route:Record-Route:Record-Route:,40,IMSCS会话流程,GGSN,SGSN,IP-CANHome or Visited Network,IMS UE,S-CSCF,HSS,P-CSCF,PDF,I-CSCF,SIP-AS,Third-Party SIP-ASService Provider1,IMS domainHome Network,CS UE,MGCF,IM-MGW,BGCF,CS domainHome Network,IP backbone,Operator I,Operator X,Operator Z,IMS Signaling PDP context,EnumDNS,DNS,Data Traffic PDP context,Media Plane,Signaling Plane,GMSCServer,GMGW,BGCF,INVITE,INVITE,INVITE,INVITE,INVITE,Data Traffic PDP context,INVITE,什么是ENUM,41,ENUM是IETF的一个协议RFC2916：E.164号码和域名系统（E.164 Number and DNS），基于DNS架构和协议。将每个 E.164号码转换为域名格式，并对应一系列的URI，从而使国际统一的E.164电话号码成为可以在互联网中使用的网络地址资源。单一号码访问。可以利用电话号码来查找注册人的电子邮件、IP电话号码、统一消息、IP传真或个人网页等多种信息，实现各种网络应用并完成访问限制，查询重定向等等一系列功能。ENUM DNS的分类Public：位于Internet。优点是用户可通过Internet建立并访问自己的号码映射表。缺点是易受攻击、用户信息易泄露。Private：位于运营商或企业网络。优点是安全性高、用户信息受运营商保护。缺点是运营商间的ENUM需要双方签协议后才能互通。,ENUM-DNS映射,ENUM定义了如下过程，将电话号码映射为DNS系统中的记录：一个E.164号码由以下几个部分组成，不同部分之间可以用“-”、“.”或空格等连接：+国家码（13位数字）-地区码（n位数字）-电话号码（15-n位数字）。例如：北京的一个电话号码写成标准的E.164格式应是：+86-10-62618501第一步，将一个电话号码处理成一个标准的E.164号码的格式，如：+86-10-62618501第二步，去掉除了最左端的“+”外的所有非数字字符，变成：+861062618501第三步，去掉所有非数字字符，变成：861062618051第四步，在每个数字之间加上域名分割符“.”，变成：8.6.1.0.6.2.6.1.8.0.5.1第五步：反转所有数字字符，变成：1.0.5.8.1.6.2.6.0.1.6.8第六步，在上面的数字串末尾加上“.e164.arpa”：1.0.5.8.1.6.2.6.0.1.6.8.e164.arpa这样，1个电话号码就变成了DNS中的域名形式。每个E.164号码形成的域名可以对应多条网络资源记录，称为统一资源标识（URI），它是采用另一个IETF建议RFC 2915（The Naming Authority Pointer(NAPTR)DNS Resource Record）定义的格式，称为“名称权威指针”（Naming Authority Pointer，简称NAPTR）。,42,NAPTR书写格式,Class：查询类，1表示Internet数据Type：查询类型，35表示NAPTROrder：资源记录的优先级别，数字越小，等级越高。客户端必须优先处理高等级的资源记录，并且找到一个匹配的资源记录后，客户端必须不处理其他低优先级的资源记录Preference：相同优先级别的资源记录的处理顺序，客户端应该优先处理数字小的资源记录，并且找到一个匹配的资源记录后，客户端可以选择处理其他数字大的资源记录，这是Preference和Order的重要区别Flags：规定了资源记录的重写和解释机制，目前只定义了“S”、“A”、“U”和“P”四个有效取值，对于ENUM DNS，唯一有效的取值是UService：定义了协议和服务，支持的服务如E2U（E.164 to URI的缩写）Regexp：包含用于替代作用的正则表达式的字符串，用该替代表达式的规则处理原查询名，可输出查询结果或递规所用的查询名,43,例如，下面就是ENUM的DNS服务器的书写格式:$ORIGIN 1.0.5.8.1.6.2.6.0.1.6.8.e164.arpaIN NAPTR 101 10“u”“mailto+E2U”“!.*$!mailto:!”IN NAPTR 102 10“u”“http+E2U”“!.*$!http:/!”IN NAPTR 102 20“u”“sip+E2U”“!.*$!sip:/!”IN NAPTR 103 10“u”“sip+E2U”“!.*$!sip:!”,IMS中ENUM的应用,44,