中国移动CMIMS技术手册下 .doc

第4部分 CM-IMS终端1 CM-IMS终端关键技术1.1 终端分类说明（SIP硬终端、客户端、POTS话机）CM-IMS终端作为面向用户提供CM-IMS服务的设备，从形态上可以分为三类：SIP硬终端、PC客户端、POTS话机。1）SIP硬终端SIP硬终端是指支持SIP协议，能接入到CM-IMS网络的固定电话。SIP硬终端从产品形态上来说包含了低端、中端和高端三种形态，现有SIP硬终端以中低端产品为主。SIP低端硬终端以无屏或黑白屏为主，能够支持以话音为主的CM-IMS应用。SIP中端硬终端以3.5寸彩屏为主，能够支持CM-IMS话音和视频通话业务。SIP高端硬终端具备7寸及以上的液晶屏幕，CPU性能和屏幕分辨率等配置均较高，能够向用户提供包括音视频通话、多媒体会议等多种CM-IMS业务，是未来SIP硬终端的重要发展方向之一。 低端SIP硬终端中端SIP硬终端高端SIP硬终端图10-1 SIP硬终端形态2）PC客户端客户端软件包括PC客户端和手机客户端，商用初期以PC客户端为主，PC客户端软件是安装在PC上（包括笔记本和台式机），为用户提供语音、视频、消息类、融合类数据等业务功能的通信软件。PC客户端支持语音业务、视频业务、融合类数据业务、基本信息管理功能，具有模块化、开放性、易用性，同时具有容错能力和故障监护等功能。3）POTS话机普通POTS话机可直接通过RJ11接口接入IAD、IP-PBX、AG、连接SIP GW的TDM PBX上使用，支持基本的语音通话功能。1.2 用户卡分类说明用户卡是面向用户提供身份和密钥标识的设备，目前有两种类型的用户卡：SIM卡和USIM卡，CM-IMS应支持SIM/USIM卡的接入。1) SIM卡现网存在大量的SIM卡，主要应用于移动终端的2G和TD网络接入，SIM卡中保存有IMSI和密钥Ki。插有SIM卡的CM-IMS终端将3元组转换成5元组后，采用AKA（SIM卡鉴权）机制接入CM-IMS网络，为了保证SIM卡接入CM-IMS的安全性，建议在CM-IMS中采用防克隆的SIM卡。2) USIM卡USIM卡主要应用于移动终端的2G和TD网络接入，USIM卡中保存有IMSI和密钥K。插有USIM卡的CM-IMS终端直接使用5元组，采用AKA（USIM卡鉴权）机制接入CM-IMS网络。USIM卡相比SIM卡更加安全。下面是SIM卡和USIM卡作为CM-IMS接入安全性、对网路侧和终端侧的要求比较：表10-1 CM-IMS接入卡比较SIM卡USIM卡安全性l 将3元组转5元组后采用AKA鉴权机制l 单向认证，存在中间人攻击风险，安全性相对较低l 采用5元组AKAl 双向认证，安全性较高对网络要求l HSS应支持从HLR获得存量SIM卡3元组鉴权信息l HSS应支持从3元组到5元组的转换l HSS应支持从HLR获得存量USIM卡5元组鉴权信息对终端要求应支持3元组到5元组的转换无考虑到安全因素，USIM卡比SIM卡更具优势。1.3 CM-IMS接入鉴权机制1.3.1 CM-IMS鉴权机制分类CM-IMS的终端形态较多，如PC客户端、SIP硬终端等，未来还可能出现IMS机顶盒、IMS手机终端等。根据CM-IMS终端对卡的支持情况，CM-IMS的接入鉴权机制主要分为无卡接入和有卡接入两种方式，下面是两种方式的比较：表10-2 有卡接入与无卡接入比较无卡接入有卡接入概述l 用户在客户端界面上输入用户名/口令l 采用SIP Digest机制接入CM-IMSl 在终端中插入用户卡（SIM卡、USIM卡），基于卡中的密钥进行鉴权l 采用GSM/UMTS AKA机制接入CM-IMS对网络要求l HSS、CSCF应支持SIP Digest机制l HSS、CSCF应支持AKA（SIM/USIM卡鉴权）机制对终端要求l 无特殊硬件要求l 应有硬件支持插卡安全性l 双向SIP Digest机制本身安全性较高l 存在的问题：l 包月用户可以将其用户名/口令告诉其它人，从而多人共享使用，影响包月业务的开展l 若口令的强度较短或较弱，存在猜测攻击风险l UE和P-CSCF间无IPSec通道，无法实现保密性，敏感信息容易被截获l GSM/UMTS AKA机制安全性较高l 密钥通过卡硬件存储，复制和猜测密钥的难度较高，安全性较高用户体验l 需要用户手工输入用户名/口令，用户体验较差l 部分硬件设备无合适的输入/显示界面l 无需用户手工输入用户名/口令，用户体验较好适用终端l PC客户端l 存量无卡SIP硬终端l 存量无卡IAD设备等l 有卡IMS机顶盒l 有卡IMS手机终端等下图是一个典型的IMS接入鉴权过程，是一个标准的挑战-应答机制，从sip信令流程的角度看，该过程普遍适用于有卡和无卡的接入鉴权，如AKA机制和SIP Digest机制。图10-2 IMS用户典型接入鉴权流程1) UE 通过REGISTER(IMPI, IMPU)发起注册过程；2) P-CSCF转发REGISTER(IMPI, IMPU)注册消息给I-CSCF；3) I-CSCF向HSS发起UAR/UAA过程获取可以为用户注册服务的S-CSCF地址；4) I-CSCF转发REGISTER(IMPI, IMPU)注册消息给S-CSCF。5) S-CSCF收到注册消息后，判断该IMPU是否已经注册，如果没有进行注册，S-CSCF需要通过Cx-Put方法设置HSS中该IMPU的状态为“初始注册挂起”。注：如果该IMPU已经成功注册则将用户状态设置为“已注册”。此外还有一种状态就是“未注册”状态。6) 如果S-CSCF中没有该用户的鉴权信息，则S-CSCF通过Cx接口发送AV-Req请求鉴权信息；7) HSS从Cx接口返回鉴权信息AV-Req-Resp给S-CSCF；8) S-CSCF保存鉴权信息，通过SM4 4xx Auth_Challenge发起对UE的鉴权挑战；9) I-CSCF转发4xx Auth_Challenge鉴权挑战给P-CSCF；10) P-CSCF转发4xx Auth_Challenge鉴权挑战给UE；11) UE收到该鉴权挑战后，根据卡中的密钥或口令计算挑战响应值response，发送REGISTER(IMPI, Authentication response)给P-CSCF，请求网络侧鉴权；12) P-CSCF转发消息给I-CSCF；13) I-CSCF发起UAR/UAA过程获取用户正在注册的S-CSCF地址后，转发注册消息给S-CSCF；14) S-CSCF收到注册消息后，取出为该用户保存的鉴权信息，并验证挑战响应值的正确性，如果一致则表明该IMPU已经通过鉴权并在S-CSCF注册成功。S-CSCF则通过Cx-Put方法修改HSS中该用户原先的“pending”状态为“Registered”。而后，通过Cx-Pull方法从HSS中获取该IMPU对应的所有用户数据。如果HSS中有关于和该IMPU相关的隐式注册的相关信息，HSS将通知S-CSCF这些信息，S-CSCF将认为这些隐式的用户状态也是“Registered”，并将这些信息通知P-CSCF；15) S-CSCF通过I-CSCF/P-CSCF发送确认相应消息2xx Auth_Ok给UE，接入认证过程结束；16) 用户成功注册后在S-CSCF和UE上都有一个定时器在工作，UE上的时间会稍短，保证在该段时间内用户的状态是“Registered”。UE定时器超时会发起“re-Registered”过程。1.3.2 AKA鉴权机制对网络设备的要求AKA鉴权机制在现网部署过程中，对HSS，P-CSCF，S-CSCF等网络设备有相应的配置要求，具体要求如下：1.3.2.1 对HSS的配置要求1) 用户数据存储：私有用户身份标识应包括IMPI，公有用户身份标识应包括SIP URI 和TEL URI；2) 鉴权数据存储：l 若是SIM卡用户，则从归属HLR中获得3元组鉴权向量；l 若是USIM卡用户，则从归属HLR中获得5元组鉴权向量；3) 鉴权向量生成及鉴权参数要求：l 若是SIM卡用户：则从归属HLR中获得3元组鉴权向量，包括RAND、Kc、SRES。HSS能支持将3元组到5元组的转换，转换规则如下：- RAND：3元组的RAND- XRES：3元组的SRES，SRES位数不足的补0- CK：Kc|Kc (Kc的连接)- IK：Kc1 xor Kc2 | Kc | Kc1 xor Kc2，其中Kc = Kc1|Kc2，Kc1和Kc2长度为32bits- AUTN：取值为全0l 若是USIM卡用户：则从归属HLR中获得5元组鉴权向量，包括RAND、AUTN、CK、IK、XRES；4) 鉴权数据获取：根据用户IMSI从相应的HLR中获得3/5元组鉴权向量1.3.2.2 对P-CSCF/S-CSCF的配置要求P-CSCF/S-CSCF需要支持有卡接入鉴权方式，详见10.3.1节的鉴权机制。1.3.2.3 接口要求Cx接口：支持AKA鉴权处理，在HSS和CSCF之间传递用户的鉴权向量；Gm接口：支持AKA鉴权处理，支持UE和P-CSCF之间注册和鉴权消息；Mw接口：支持CSCF之间AKA鉴权消息的转发；HSS-HLR接口：支持HSS从HLR获得3/5元组鉴权向量；1.3.3 SIP Digest鉴权机制对网络设备的要求1.3.3.1 SIP Digest原理介绍注册消息的鉴权流程：1. 客户端发起连接请求，Request消息类型为REGISTER；2. 服务器在收到对受保护对象未经认证的访问请求时，会回应401 Unauthorized状态码。消息包含WWW-Authenticate Header，其中包含以下参数：a) Realm：提示使用哪个username/pwdb) Nonce：服务器challenge随机数c) Algorithm：摘要算法，默认为MD5d) Qop: auth，auth表示双向认证3. 客户端重试发送请求，计算response响应值，放在携带的授权报头Authorization Header中，其中包含以下参数：a) username :用户名b) Qop: authc) cnonce：客户端challenge随机数d) nonce-count：发送次数e) response：客户端挑战响应值response= KD ( H(A1), nonce:nonce-count:cnonce:qop:H(A2);A1= username:realm:passwordA2= Method:uri4. 计算、比对响应值，发送200 OK响应。若要求双向鉴权，服务器端构造并发送Authentication-Info Header，其中包含参数：a) nextnonce：下一次挑战值b) rspauth：服务端挑战响应值rspauthe= KD ( H(A1), nonce:nonce-count:cnonce:qop:H(A2);A1= username:realm:passwordA2= uri图10-3 SIP Digest注册请求鉴权流程非注册消息的鉴权流程：注册鉴权后，P-CSCF维护一个IP地址与IMPU映射表，后续非注册消息通过检查IP地址验证身份。但是，在源IP地址和端口欺骗等场景下，不能解决问题。可以通过两种方式实现对非注册消息的认证：l SIP+TLSl SIP Digest proxy authentication：UE和UE之间通过S-CSCF作为代理服务器认证UE身份。SIP Digest proxy authentication认证流程如下：1. 客户端发起连接请求，Request消息类型为非注册消息(如INVITE，BYE等)；2. 服务器检查收到的消息不包含Proxy-Authorization头，或者Proxy-Authorization头中不包含Digest Response时，会回应407 Unauthorized状态码。消息包含Proxy-Authenticate Header，其中包含以下参数：其中，除了nonce参数新生成外，其他参数取自注册成功后S-CSCF保存的鉴权信息。a) Realm：提示使用哪个username/pwdb) Nonce：服务器challenge随机数c) Algorithm：摘要算法，默认为MD5d) Qop: auth，auth表示双向认证3. 客户端重试发送请求，计算response响应值，放在携带的授权报头Proxy-Authorization Header中，其中包含以下参数：a) username :用户名b) Qop: authc) cnonce：客户端challenge随机数d) nonce-count：发送次数e) response：客户端挑战响应值response= KD ( H(A1), nonce:nonce-count:cnonce :qop:H(A2);A1= username:realm:passwordA2= Method:uri4. 计算、比对响应值，发送200 OK响应。若要求双向鉴权，服务器端构造并发送Proxy-Authentication-Info Header，其中包含参数：a) nextnonce：下一次挑战值b) rspauth：服务端挑战响应值rspauthe= KD ( H(A1), nonce:nonce-count:cnonce:qop:H(A2);A1= username:realm:passwordA2= uri认证成功后，P-CSCF根据IP地址检查用户的IMPU是否正确，如果检查失败，则拒绝非注册消息请求。图10-4 SIP Digest非注册请求的鉴权流程SIP Digest的安全配置要求如下：（1）CM-IMS现网部署第一阶段，主要针对无卡终端实施。无卡终端用户接入鉴权流程，采用SIP Digest认证方式。（2）SIP Digest鉴权流程在现网部署过程中，对HSS，P-CSCF，CSCF/BGCF等网络设备有相应的配置要求。具体要求如下：1.3.3.2 对HSS的配置要求(1) 用户数据存储：公有用户身份标识应包括SIP URI 和TEL URL；(2) 鉴权数据存储：Digest HA1，Realm；(3) 鉴权方法判断：根据用户私有标识IMPI确定对用户进行鉴权的鉴权方式；(4) 鉴权向量生成及鉴权参数要求：向量中包括HA1(16字节)和Realm；(5) 通过Zh接口配合业务认证网关(AUG)代理非SIP业务平台完成对用户的鉴权功能，主要完成用户鉴权数据的计算并发送给业务认证网关AUG；为AUG产生鉴权参数要求如下：HA1：长16字节。计算方法：HA1=MD5(HA1, FQDN)，其中FQDN为从Zh接口传递的MAR消息中的域名。1.3.3.3 对CSCF/BGCF的配置要求(1) P-CSCF需要支持SIP DIGEST认证方式；(2) P-CSCF与CSCF/BGCF支持鉴权方式判断：通过注册请求消息头中字段判断；(3) CSCF/BGCF支持鉴权向量数据缓存：Digest HA1，Realm；(4) CSCF/BGCF支持SIP Digest鉴权计算：详见SIP Digest鉴权流程；1.3.3.4 接口要求Cx接口：支持SIP DIGEST鉴权处理，在HSS和CSCF之间传递用户的安全参数；Gm接口：支持SIP DIGEST鉴权处理，支持UE和P-CSCF之间注册和鉴权消息；Mw接口：支持CSCF之间SIP Digest鉴权消息的转发。第4部分 CM-IMS计费与开通2 CM-IMS计费解决方案2.1 概述CM-IMS计费解决方案是中国移动全业务运营面临的迫切需求，本章将对CM-IMS计费相关的研究方案和策略进行分析介绍，结构如下：第11.2节对3GPP 标准的IMS计费采集点的功能以及话单的使用场景进行了分析，确定了CM-IMS离线计费系统的计费采集点；第11.3节针对CM-IMS特有的分省和区域中心相结合的组网方案，提出了优化的CM-IMS计费系统架构；第11.4节主要介绍语音类业务的计费策略；第11.5节主要介绍了CM-IMS用户漫游计费的解决方案，并对目前CM-IMS漫游计费可能存在的问题进行了探讨。2.2 计费采集点设置方案IMS系统中S-CSCF/I-CSCF/P-CSCF/BGCF/MGCF/VIG/MRFC/AS等网元都可以产生计费数据。为了降低运营支撑系统的复杂度，CM-IMS离线计费系统的计费采集点简化为四个：AS、P-CSCF、MGCF、VIG。其中，AS的话单对用户进行业务计费；P-CSCF的话单用于与他省进行漫游计费结算；MGCF/VIG的话单用于CM-IMS网络与CS域互通的结算、对账、统计等用途。IMS各计费采集点的功能及其计费话单的使用场景包括：l AS：执行业务逻辑。AS的话单中包括用户信息、业务类型（包括补充业务类型）、通话时长、SDP信息等业务相关的字段，该话单可以用于对用户使用业务进行计费。l MRFC：铃音与录音通知的播放、媒体处理。MRFC话单中的相关信息（主要是SDP）可被AS的话单涵盖。l MGCF：实现与CS域互通时信令的转换。MGCF的话单中包括出/入中继群的号码，可以用于CM-IMS网络与CS域互通的结算、对账、统计等用途。l VIG：实现CS域和IMS域的视频互通，可以用于CM-IMS网络与CS域互通的结算、对账、统计等用途。l BGCF：将用户的会话路由到正确的PLMN/PSTN网络。由于目前CM-IMS网络中所有经过BGCF信令必定要经过MGCF，BGCF的话单可被MGCF的话单涵盖。l P-CSCF：将终端请求路由到正确的I-CSCF或者S-CSCF。P-CSCF的话单中包括接入网信息，用于判定用户是否漫游，还可用于用户漫游省与用户归属省进行漫游结算。l I-CSCF：在IMS终端注册时，为用户选择提供服务的S-CSCF；以及为来话选择被叫注册的S-CSCF。l S-CSCF：负责IMS用户注册认证、业务触发和控制、会话路由。如果不考虑话单关联，S-CSCF能通过iFC的触发得知使用了哪个AS上的业务，但无法掌握AS内部的业务调用情况，因此S-CSCF无法满足针对业务进行细分计费的需求。如果 S-CSCF和AS均作为计费采集点，需要将二者的话单进行关联合并，将增加计费系统的复杂度。因此，建议采用AS的话单对业务进行计费，S-CSCF的话单暂不使用。2.3 计费系统架构2.3.1 概述为了减少设备投资，有效降低投资风险。CM-IMS在部署初期采用分省和区域中心相结合的组网方案，并设置全国级业务平台。CM-IMS计费系统组网架构如下图所示。图11-1 CM-IMS计费系统架构图总体要求如下：l 独立建网省、区域接入省BOSS系统从计费网关采集话单，并由省BOSS系统分拣漫游话单送至一级BOSS系统进行结算。l 区域中心业务平台和P-CSCF的话单由集团一级BOSS系统或南方基地BOSS系统从区域中心计费网关直采并进行分拣，然后分发到各省BOSS系统进行计费和结算。l 全国级业务平台（多媒体彩铃AS）话单由一级BOSS系统直采，并分发到各省BOSS系统进行计费。2.3.2 分省组网下的计费方案AS、P-CSCF、MGCF、VIG采用Diameter协议通过Rf接口与独立建网省计费网关交互，独立建网省的BOSS系统与计费网关之间采用FTP协议进行相关话单采集。统一Centrex AS为融合平台，可同时为CM-IMS域和CS域用户提供服务并生成相应话单。当为CM-IMS域用户服务时，要求统一Centrex AS采用Diameter协议通过Rf接口与独立建网省计费网关交互；当为CS域用户服务时，要求统一Centrex AS生成话单，并与独立建网省BOSS系统之间采用FTP协议传递话单。作为过渡方案，VIG在不具备Rf接口的情况下，可采用FTP协议与独立建网省计费网关交互。省级BOSS系统将P-CSCF话单中漫游话单分拣并送至集团一级BOSS系统。2.3.3 区域中心组网下的计费方案区域中心组网下的计费系统有三种候选组网方案：（1）区域中心计费网关分发话单到区域接入省计费网关。（2）区域中心BOSS系统将话单送至集团一级BOSS系统，由集团一级BOSS将话单分发到区域接入省BOSS系统。（3）集团一级BOSS系统从区域中心计费网关直采话单，由集团一级BOSS系统将话单分发到区域接入省BOSS系统。方案一能降低支撑系统的流量，但对计费网关有新的功能要求，且存在安全隐患。方案二当接入省用户漫游到区域中心的时候，计费违背了现有“谁收钱，谁举证”的原则。方案三既与GPRS的话单采集方案一致，又解决了支撑系统间流量压力大的问题。因此，区域中心组网计费系统架构采用方案三。（1） 区域中心（南方基地）在区域中心，区域中心AS、P-CSCF采用Diameter协议通过Rf接口与区域中心计费网关交互，话单由集团一级BOSS系统或南方基地BOSS系统从区域中心计费网关直采。集团一级BOSS系统或南方基地BOSS系统与区域中心计费网关之间采用FTP协议进行相关话单采集。（2） 区域接入省在区域接入省，AS、MGCF、VIG采用Diameter协议通过Rf接口与区域接入省计费网关交互。区域接入省的BOSS系统与计费网关之间采用FTP协议进行相关话单采集。统一Centrex AS为融合平台，可同时为CM-IMS域和CS域用户提供服务并生成相应话单。当为CM-IMS域用户服务时，要求统一Centrex AS采用Diameter协议通过Rf接口与区域接入省计费网关交互；当为CS域用户服务时，要求统一Centrex AS生成话单，并与区域接入省BOSS系统之间采用FTP协议传递话单。作为过渡方案，VIG在不具备Rf接口的情况下，可采用FTP协议与区域接入省计费网关交互。（3） 集团一级BOSS系统/南方基地BOSS系统集团一级BOSS系统/南方基地BOSS系统从区域中心计费网关直采区域中心AS、P-CSCF的话单，对各省话单进行分拣，并分发到各区域接入省BOSS系统。2.3.4 全国级业务平台计费方案全国级业务平台（多媒体彩铃业务平台）的话单由集团一级BOSS系统采集处理后分发至各省BOSS系统。多媒体彩铃业务平台与集团一级BOSS系统接口使用FTP协议。2.4 话音类业务计费策略2.4.1 概述本章将简要介绍CM-IMS语音类业务（统一Centrex业务、多媒体电话业务、多媒体彩铃业务）的计费策略。2.4.2 多媒体电话业务计费策略多媒体电话及补充业务（MMTel）的计费策略包括以下两部分：（1）月功能费：根据用户对业务的订购关系收取。（2）通话费（本地/长途/前转)：以MMTel AS的话单作为计费话单收取。2.4.3 统一Centrex业务计费策略统一Centrex业务的计费策略包括以下两部分：（1）月功能费：根据用户对业务的订购关系收取。（2）通话费（本地/长途/前转)：以统一Centrex AS的话单作为计费话单收取。 由于统一Centrex AS兼具SCP的功能，同时为CM-IMS域用户和CS域用户服务。当统一Centrex AS为CS域用户服务时，针对同一会话统一Centrex AS（SCP）与MSC可能会同时产生计费话单。在此情况下，需要剔除MSC的话单，以统一Centrex AS（SCP）产生的话单为准。MSC话单剔重原则与现网用户触发VPMN业务的原则一致。2.4.4 多媒体彩铃业务计费策略多媒体彩铃业务的计费策略参照现网的方式，包括以下两部分：（1）月功能费：根据用户对业务的订购关系收取。（2）信息费：根据用户订购的铃音类型收取，以MRBT AS的话单作为计费话单。2.5 漫游计费方案及建议2.5.1 概述CM-IMS网络采用IMS漫游方式，即用户在拜访地就近接入SBC/P-CSCF，由归属地提供服务。CM-IMS归属网络和拜访网络同时产生话单，话单中需要记录用户接入地和归属地信息。省级BOSS系统通过对比话单中用户接入地信息与用户归属地信息，判断用户是否漫游以及在何处漫游。话单中，Access-Network-Information字段记录用户接入地SBC的地址，List-of-Calling-Party-Address字段记录主叫用户标识以及归属地信息，Called-Party-Address字段标识被叫用户标识以及归属地信息。CM-IMS网络漫游如下图所示意。图11-2 CM-IMS网络漫游示意图通过Access-Network-Information字段携带用户接入网信息判定用户的漫游情况。用户拜访省BOSS系统根据P-CSCF话单中Access-Network-Information字段中描述的接入网信息，可以判定是否有他省用户漫游到本省。用户归属省BOSS系统根据AS话单中Access-Network-Information字段中描述的接入网信息，可以判定本省用户是否漫游到他省。2.5.2 风险分析与建议CM-IMS用户的接入方式分为两种类型：（1）从本网CMnet接入CM-IMS的用户就近接入SBC使用业务；（2）从其他运营商网络接入CM-IMS的用户通过固定的SBC接入CM-IMS使用业务。目前针对使用接入方式（2）他网Internet接入CM-IMS的用户，由于无法准确定位用户位置，难以保证就近接入SBC，只能通过指定的SBC（北京/广州/上海）接入CM-IMS网络。因此，对于他网Internet接入的用户从网元话单中Access-Network-Information字段记录的用户接入地SBC地址无法判断用户准确的漫游接入地。另外，对于使用代理接入CM-IMS用户进行漫游的场景，DNS解析出的SBC地址为用户使用代理所在地最近的IMS接入点SBC的地址，而不一定是漫游地的SBC地址。该情况下，从网元话单中Access-Network-Information字段记录的用户接入地SBC地址无法判断用户准确的漫游接入地。为了避免上述场景下用户位置定位不准确造成的漫游计费不正确，以及根据接入方式区分费率造成的用户流失隐患，建议CM-IMS部署初期暂不对漫游进行计费，待接入网建设支持用户位置的准确定位再做相关要求。3 CM-IMS业务开通：3.1 业务开通体系3.1.1 业务开通组网CM-IMS网络业务开通体系，远比2G网络复杂。首先引入大量需业务开通的核心网元、业务平台、接入设备和终端设备，需业务开通的网元更多；其次新增固定及融合业务在业务受理、开通、施工流程等方面远比2G复杂。CM-IMS网络业务开通涉及如下四项工作：l 建设固定接入端到端业务开通体系，支持固定业务、融合业务和多媒体业务的端到端业务开通。l 实现核心网、业务平台、接入设备和终端的自动化业务开通，降低人工投入成本。l 面向用户提供用于业务自管理、自配置的服务门户（Portal系统），提高用户参与业务管理、配置能力。l 疏理CM-IMS各业务端到端需求收集、业务受理、业务开通、施工流程，指导业务开展。CM-IMS网络业务开通体系包括BOSS系统、网管系统（综合资管）、HSS/SLF、ENUM、AS、HLR、SMP/SCP、接入开通网关、接入设备和SIP硬终端等实体(18个)。组网如下图所示：图12-1 开通体系分省制组网下，各省BOSS系统直连本省核心网元、业务平台，进行CM-IMS业务开通。区域中心组网下，南方基地BOSS系统连接南方基地核心网元和业务平台，区域接入省BOSS系统连接本省业务平台，区域接入省BOSS系统可通过集团一级BOSS转发开通指令到南方基地BOSS系统，进行CM-IMS业务开通。集团B-BOSS系统直连全国集中部署的业务平台，接收各省BOSS系统通过集团一级BOSS系统转发的业务开通指令，进行全国集中部署的业务平台的开通。各省级BOSS系统通过接入开通网关连接接入设备，完成接入设备业务开通。如省内建设两套ENUM、SLF、HSS系统，由BOSS系统负责两套系统的数据分发。如，两套ENUM、SLF具有相同的数据，BOSS系统需同时发送业务开通指令给两套系统；两套HSS系统分别保存不同的用户数据，则BOSS系统需通过用户数据的存储原则分别将业务开通指令分发到正确的HSS。3.1.2 网络侧网元业务开通功能要求在CM-IMS网络的业务开通体系中，网络侧设备需支持如下功能：l HSS/SLF保存BOSS发来的用户标识、鉴权数据、路由数据、授权数据、业务签约数据，可选保存AS通过Sh接口发来透明业务数据，SLF记录BOSS发来的用户所属HSS信息。l ENUM保存BOSS发来的Tel号码与SIP号码的映射关系，支持号段通配功能。l AS保存BOSS发来的用户业务数据，可选通过Sh接口将业务数据作为透明数据保存到HSS。l HLR保存签约融合被叫一号通业务的手机用户的T-CSI。l SCP保存签约融合被叫一号通业务的手机用户的锚定数据。l 接入设备可由BOSS系统通过接入开通网关实现业务开通。SIP硬终端和接入设备中主要开通IMPI、IMPU、鉴权数据、少量业务数据（签约呼叫等待或遇忙前转业务数据）等。3.1.3 业务支撑侧开通功能要求在CM-IMS网络的业务开通体系中，业务支撑侧设备需支持如下功能：l CRM进行业务受理：CRM系统负责用户业务受理，拆分用户订单，并实现定单分发。在受理用户业务之前要进行资源查询和资源预占等工作。如果用户所在地没有接入资源，则需拒绝用户开通请求，并将该业务需求录入需求收集和管理系统。CRM系统根据面向用户推广的业务类型制定使用界面，可单业务受理，也可根据需求进行组合业务的受理。l BOSS系统负责业务开通：BOSS系统负责CM-IMS业务开通定单的执行、网元开通失败回滚等操作。BOSS根据CRM发来的订单，确定用户所需开通网元，拆分为定单，组织用户开通数据，通过下行SOAP接口进行业务开通。一旦某个网元开通失败，BOSS系统负责整个业务开通的回滚，保证系统恢复到以前的状态。l Portal系统提供自管理功能：Portal系统向用户提供业务自配置、自管理界面，用户可通过Portal系统配置业务。Portal系统分为业务管理Portal和业务使用Portal，其中业务管理Portal可向用户开放某些业务配置功能，业务使用Portal向用户提供业务使用界面。Portal系统支持单点登陆，用户仅登陆一次便可配置其签约的所有CM-IMS业务。l 接入资源管理支持设备、号线资源管理：接入侧资源管理系统负责管理CM-IMS网络中相关接入侧的设备、端口、号线、配线连接等资源。支持资源录入、资源查询、资源预留、资源确认、资源更新等操作。当完成接入设备部署施工后，通过自动方式或人工方式录入接入设备、号线资源。当用户申请开通业务时，可查询资源管理系统，确认是否有可向用户提供业务的接入侧资源。l 施工管理系统进行部署、跳线等施工管理：施工管理系统负责设备部署、业务开通、故障维护等人工施工类管理流程。施工管理系统接收其他系统发来的施工工单，根据施工工单内容派出外线施工人员；外线施工结束后，施工人员填写施工回单，结束施工流程。l 接入开通网关进行接入设备的业务开通：接入开通网关支持接入侧设备的开通。接入开通网关接收BOSS系统的业务开通请求指令，开通数据到接入设备。3.2 用户自服务Portal3.2.1 Portal系统功能要求Portal系统是用于为用户提供业务自管理、自配置的自服务门户。Portal系统支持运营商管理员、企业管理员、个人管理员三级管理权限。其中运营商管理员操作功能与CRM/BOSS系统功能合并，面向运营商工作人员提供业务的受理、开通和配置等功能。企业管理员登陆Portal系统负责本集团业务的管理和配置，支持为集团成员指定业务权限，也可为集团成员配置业务。个人管理员可登陆Portal系统配置个人业务。Portal系统支持单点登陆，用户仅登陆一次便可配置其签约的所有业务；支持业务权限集中管理，用户可在Portal界面上查询和修改业务权限也业务数据；支持界面集成，可集成到中国移动门户网站，并统一配置功能和界面风格。3.2.2 Portal系统密码及权限管理用户通过登陆帐号和登陆密码登陆Portal系统：l 登录帐号：支持通过手机号码、固定号码和企业管理员用户名、运营商管理员用户名登陆。l 登录密码：用户登录时，选择客服密码或互联网密码作为登录密码使用。统一认证中心不提供密码变更等管理功能。密码管理功能由网上营业厅、客服中心等中国移动相关受理渠道提供。分省制组网模式下，用户登陆认证方式如下：l 对于平台建设在本省的业务，用户资料都是存放在本省的支撑系统中，当个人和本省集团管理员登录本省CM-IMS自服务门户时，可以在本省认证中心进行认证；当跨省集团管理员登录本省CM-IMS自服务门户时，省认证中心根据集团的集团编号规则判断其是跨省集团，将其转到一级认证枢纽进行认证。l 对于平台是在统一建设的，由于用户资料都是存放在全网BBOSS。当个人登录一级CM-IMS自服务门户时，其认证是一级认证枢纽通过判断其手机号码的归属，将其转到归属省的认证中心进行认证；当跨省集团管理员登录时，在一级认证枢纽进行认证。l 对于个人用户跨省登录他省CM-IMS自服务门户登录时，一级认证枢纽通过判断其手机号码的归属，将其转到归属省的认证中心进行认证；当跨省集团管理员登录本省CM-IMS自服务门户时，省认证中心根据集团的集团编号规则判断其是跨省集团，将其转到一级认证枢纽进行认证区域中心组网模式下与分省制组网模式认证方式类似。图12-2分省制组网模式/区域中心组网模式认证方式示意图用户业务权限管理方式如下：用户登录Portal，经过认证中心认证后，由Portal确定，可以做哪些自服务操作，具体访问业务平台，可以做哪些业务配置操作，由AS来控制判断。3.2.3 Portal系统组网省内部署的业务平台Portal系统组网如下图所示： 图12-3 业务平台Portal系统组网 CM-IMS客户使用PC浏览器、自助终端浏览器或手机WAP浏览器访问省级CM-IMS自服务门户，应在CMNET与DMZ区防火墙中设置仅允许http/https端口开放。CM-IMS业务接口服务器及CRM/BOSS等接口服务器