IMS与下一代网络（下）

▊IMS的主要应用

随着IMS技术和产品的逐渐成熟，已经有一些运营商开始了IMS的商用，还有一些运营商在进行相关的测试。从的商用和测试情况看，移动运营商已经开始商用，而固网运营商还主要处于试验阶段。综合考虑，IMS的应用主要集中在以下几个方面。  

首先是在移动网络的应用，这类应用是移动运营商为了丰富移动网络的业务而开展的，主要是在移动网络的基础上用IMS来提供PoC、即时消息、视频共享等多媒体增值业务。应用重点集中在给企业客户提供IPCENTREX和公众客户的VoIP第二线业务。 

其次是固定运营商出于网络演进和业务的需要，通过IMS为企业用户提供融合的企业的应用（IPCENTREX业务），以及向固定宽带用户（例如ADSL用户）提供VoIP应用。

第三种典型的应用是融合的应用，主要体现在WLAN和3G的融合，以实现语音业务的连续性。在这种方式下，用户拥有一个WLAN/WCDMA的双模终端，在WLAN的覆盖区内，一般优先使用WLAN接入，因为这种方式用户使用业务的资费更低，数据业务的带宽更充足。当离开WLAN的覆盖区后，终端自动切换到WCDMA网络，从而实现语音在WLAN和WCDMA之间的连续性。这种方案的商用较少，但是许多运营商都在进行测试。 

在IMS中全部采用SIP协议，虽然SIP也可以实现最基本的VoIP，但是这种协议在多媒体应用中所展现出来的优势表明，它天生就是为多媒体业务而生的。由于SIP协议非常灵活，所以IMS还存在许多潜在的业务。 

▊基于IMS的网络融合问题

随着通信网络的发展与演进，融合是不可避免的主题，固定和移动的融合（FMC）更是迫切要解决的问题。ETSI给FMC下的定义是：“固定移动融合是一种能提供与接入技术无关的网络能力。但这并不意味着一定是物理上的网络融合，而只关心一个融合的网络体系结构和相应的标准规范。这些标准可以用来支持固定业务、移动业务以及固定移动混合的业务。固定移动融合的一个重要特征是，用户的业务签约和享用的业务，将从不同的接入点和终端上分离开来，以允许用户从任何固定或移动的终端上，通过任何兼容的接入点访问完全相同的业务，包括在漫游时也能获得相同的业务。”ETSI在给FMC下定义的同时也对固定移动网络的融合提出了相应的要求。  

IMS进一步发扬了软交换结构中业务与控制分离、控制与承载分离的思想，比软交换进行了更充分的网络解聚，网络结构更加清晰合理。网络各个层次的不断解聚是电信网络发展的总体趋势。网络的解聚使得垂直业务模式被打破，有利于业务的发展；另外，不同类型网络的解聚也为网络在不同层次上的重新聚合创造了条件。这种重新聚合，就是网络融合的过程。利用IMS实现对固定接入和移动接入的统一核心控制，主要是IMS具有以下特点。

（1）与接入无关性。虽然3GPPIMS是为移动网络设计的，TISPANNGN是为固定xDSL宽带接入设计的，但它们采用的IMS网络技术却可以做到与接入无关，因而能确保对FMC的支持。从理论上可以实现不论用户使用什么设备、在何地接入IMS网络，都可以使用归属地的业务。

（2）统一的业务触发机制。IMS核心控制部分不实现具体业务，所有的业务包括传统概念上的补充业务都由业务应用平台来实现，IMS核心控制只根据初始过滤规则进行业务触发，这样消除了核心控制相关功能实体和业务之间的绑定关系，无论固定接入还是移动接入都可以使用IMS中定义的业务触发机制实现统一触发。

（3）统一的路由机制。IMS中仅保留了传统移动网中HLR的概念，而摒弃了VLR的概念，和用户相关的数据信息只保存在用户的归属地，这样不仅用户的认证需要到归属地认证，所有和用户相关的业务也必须经过用户的归属地。 

（4）统一用户数据库。HSS（归属业务服务器）是一个统一的用户数据库系统，既可以存储移动IMS用户的数据，也可以存储固定IMS用户的数据，数据库本身不再区分固定用户和移动用户。特别是业务触发机制中使用的初始过滤规则，对IMS中所定义的数据库来讲完全是透明数据的概念，屏蔽了固定和移动用户在业务属性上的差异。

（5）充分考虑了运营商实际运营的需求，在网络框架、QoS、安全、计费以及和其他网络的互通方面都制定了相关规范。 

（6）业务与承载分离，IMS定义了标准的基于SIP的ISC(IP multimedia Service Control)接口，实现了业务层与控制层的完全分离。IMS通过基于SIP的ISC接口，支持三种业务提供方式：独立的SIP应用服务器方式、OSA SCS方式和IM-SSF方式（接入传统智能网，体现业务继承性）。 IMS的核心控制网元CSCF不再需要处理业务逻辑，而是通过基于规则的业务触发机制，根据用户的签约数据的初始过滤规则（iFC），由CSCF分析并触发到规则指定的应用服务器，由应用服务器完成业务逻辑处理。

（7）基于SIP的会话机制。IMS的核心功能实体是呼叫会话控制功能(CSCF)单元，并向上层的服务平台提供标准的接口，使业务独立于呼叫控制 。IMS采用基于IETF定义的会话初始协议(SIP)的会话控制能力，并进行了移动特性方面的扩展 ，实现接入的独立性及Internet互操作的平滑性。 IMS网络的终端与网络都支持SIP，SIP成为IMS域唯一的会话控制协议，这一特点实现了端到端的SIP信令互通 ，网络中不再需要支持多种不同的呼叫信令 ，使网络的业务提供和发布具有更大的灵活性。

IMS所具有这些特征可以同时为移动用户和固定用户所共用，这就为同时支持固定和移动接入提供了技术基础，使得网络融合成为可能。

▊存在问题

IP多媒体子系统（IMS）是3GPP在R5规范中提出的，旨在建立一个与接入无关、基于开放的SIP/IP协议及支持多种多媒体业务类型的平台来提供丰富的业务。它将蜂窝移动通信网络技术、传统固定网络技术和互联网技术有机结合起来，为未来的基于全IP网络多媒体应用提供了一个通用的业务智能平台，也为未来网络发展过程中的网络融合提供了技术基础。IMS的诸多特点使得其一经提出就成为业界的研究热点，是业界普遍认同的解决未来网络融合的理想方案和发展方向，但对于IMS将来如何提供统一的业务平台实现全业务运营，IMS的标准化及安全等问题仍需要进一步的研究和探讨。

IMS存在的安全问题分析

传统的电信网络采用独立的信令网来完成呼叫的建立、路由和控制等过程，信令网的安全能够保证网络的安全。而且传输采用时分复用（TDM）的专线，用户之间采用面向连接的通道进行通信，避免了来自其他终端用户的各种窃听和攻击。 

而IMS网络与互联网相连接，基于IP协议和开放的网络架构可以将语音、数据、多媒体等多种不同业务，通过采用多种不同的接入方式来共享业务平台，增加了网络的灵活性和终端之间的互通性，不同的运营商可以有效快速地开展和提供各种业务。由于IMS是建立在IP基础上，使得IMS的安全性要求比传统运营商在独立网络上运营要高的多，不管是由移动接入还是固定接入，IMS的安全问题都不容忽视。

IMS的安全威胁主要来自于几个方面：未经授权地访问敏感数据以破坏机密性；未经授权地篡改敏感数据以破坏完整性；干扰或滥用网络业务导致拒绝服务或降低系统可用性；用户或网络否认已完成的操作；未经授权地接入业务等。主要涉及到IMS的接入安全（3GPP TS33.203），包括用户和网络认证及保护IMS终端和网络间的业务；以及IMS的网络安全（3GPP TS33.210），处理属于同一运营商或不同运营商网络节点之间的业务保护。除此之外，还对用户终端设备和通用集成电路卡/IP多媒体业务身份识别模块（UICC/ISIM）安全构成威胁。 

IMS的接入安全

IMS用户终端（UE）接入到IMS核心网需经一系列认证和密钥协商过程，具体而言，UE用户签约信息存储在归属网络的HSS中，且对外部实体保密。当用户发起注册请求时，查询呼叫会话控制功能（I-CSCF）将为请求用户分配一个服务呼叫会话控制功能（S-CSCF），用户的签约信息将通过Cx接口从HSS下载到S-CSCF中。当用户发起接入IMS请求时，该S-CSCF将通过对请求内容与用户签约信息进行比较，以决定用户是否被允许继续请求。

在IMS接入安全中，IPSec封装安全净荷（ESP）将在IP层为UE和P-CSCF间所有SIP信令提供机密性保护，对于呼叫会话控制功能（CSCF）之间和CSCF和HSS之间的加密可以通过安全网关（SEG）来实现。同时，IMS还采用IPSec ESP为UE和P-CSCF间所有SIP信令提供完整性保护，保护IP层的所有SIP信令，以传输模式提供完整性保护机制。

在完成注册鉴权之后，UE和P-CSCF之间同时建立两对单向的SA，这些SA由TCP和UDP共享。其中一对用于UE端口为客户端、P-CSCF端口作为服务器端的业务流，另一对用于UE端口为服务器、P-CSCF端口作为客户端的业务流。用两对SA可以允许终端和P-CSCF使用UDP在另一个端口上接收某个请求的响应，而不是使用发送请求的那个端口。同时，终端和P-CSCF之间使用TCP连接，在收到请求的同一个TCP连接上发送响应；而且通过建立SA实现在IMS AKA提供的共享密钥以及指明在保护方法的一系列参数上达成一致。SA的管理涉及到两个数据库，即内部和外部数据库（SPD和SAD）。SPD包含所有入站和出站业务流在主机或安全网关上进行分类的策略。SAD是所有激活SA与相关参数的容器。SPD使用一系列选择器将业务流映射到特定的SA，这些选择器包括IP层和上层（如TCP和UDP）协议的字段值。

与此同时，为了保护SIP代理的身份和网络运营商的网络运作内部细节，可通过选择网络隐藏机制来隐藏其网络内部拓扑，归属网络中的所有I-CSCF将共享一个加密和解密密钥。

在通用移动通信系统（UMTS）中相互认证机制称为UMTS AKA，在AKA过程中采用双向鉴权以防止未经授权的“非法”用户接入网络，以及未经授权的“非法”网络为用户提供服务。AKA协议是一种挑战响应协议，包含用户鉴权五元参数组的挑战由AUC在归属层发起而发送到服务网络。

UMTS系统中AKA协议，其相同的概念和原理被IMS系统重用，我们称之为IMS AKA。AKA实现了ISIM和AUC之间的相互认证，并建设了一对加密和完整性密钥。用来认证用户的身份是私有的身份（IMPI），HSS和ISIM共享一个与IMPI相关联的长期密钥。当网络发起一个包含RAND和AUTN的认证请求时，ISIM对AUTN进行验证，从而对网络本身的真实性进行验证。每个终端也为每一轮认证过程维护一个序列号，如果ISIM检测到超出了序列号码范围之外的认证请求，那么它就放弃该认证并向网络返回一个同步失败消息，其中包含了正确的序列号码。

为了响应网络的认证请求，ISIM将密钥应用于随机挑战（RAND），从而产生一个认证响应（RES）。网络对RES进行验证以认证ISIM。此时，UE和网络已经成功地完成了相互认证，并且生成了一对会话密钥：加密密钥（CK）和完整性密钥（IK）用以两个实体之间通信的安全保护。

IMS的网络安全

在第二代移动通信系统中，由于在核心网中缺乏标准的安全解决方案，使得安全问题尤为突出。虽然在无线接入过程中，移动用户终端和基站之间通常可由加密来保护，但是在核心网时，系统的节点之间却是以明文来传送业务流，这就让攻击者有机可乘，接入到这些媒体的攻击者可以轻而易举对整个通信过程进行窃听。 

针对2G系统中的安全缺陷，第三代移动通信系统中采用NDS对核心网中的所有IP数据业务流进行保护。可以为通信服务提供保密性、数据完整性、认证和防止重放攻击，同时通过应用在IPSec中的密码安全机制和协议安全机制来解决安全问题。

在NDS中有几个重要的概念，它们分别是安全域（Security Domains）、安全网关（SEG）。

1、安全域

NDS中最核心的概念是安全域，安全域是一个由单独的管理机构管理运营的网络。在同一安全域内采用统一的安全策略来管理，因此同一安全域内部的安全等级和安全服务通常是相同的。大多情况下，一个安全域直接对应着一个运营商的核心网，不过，一个运营商也可以运营多个安全域，每个安全域都是该运营商整个核心网络中的一个子集。在NDS/IP中，不同的安全域之间的接口定义为Za接口，同一个安全域内部的不同实体之间的安全接口则定义为Zb接口。其中Za接口为必选接口，Zb接口为可选接口。两种接口主要完成的功能是提供数据的认证和完整性、机密性保护。

2、安全网关

SEG位于IP安全域的边界处，是保护安全域之间的边界。业务流通过一个SEG进入和离开安全域，SEG被用来处理通过Za接口的通信，将业务流通过隧道传送到已定义好的一组其他安全域。这称为轮轴-辐条（hub-and-spoke）模型，它为不同安全域之间提供逐跳的安全保护。SEG负责在不同安全域之间传送业务流时实施安全策略，也可以包括分组过滤或者防火墙等的功能。IMS核心网中的所有业务流都是通过SEG进行传送，每个安全域可以有一个或多个SEG，网络运营商可以设置多个SEG以避免某独立点出现故障或失败。当所保护的IMS业务流跨越不同安全域时，NDS/IP必须提供相应的机密性、数据完整性和认证。

3、基于IP的网络域安全体系

NDS/IP体系结构最基本的思想就是提供上从一跳到下一跳的安全，逐跳的安全也简化了内部和面向其他外部安全域分离的安全策略的操作。

在NDS/IP中只有SEG负责与其他安全域中的实体间进行直接通信。两个SEG之间的业务被采用隧道模式下的IPSec ESP安全联盟进行保护，安全网关之间的网络连接通过使用IKE来建立和维护。网络实体（NE）能够面向某个安全网关或相同安全域的其他安全实体，建立维护所需的ESP安全联盟。所有来自不同安全域的网络实体的NDS/IP业务通过安全网关被路由，它将面向最终目标被提供逐跳的安全保护[5]。其网络域安全体系结构如图2所示。

4、密钥管理和分配机制

每个SEG负责建立和维护与其对等SEG之间的IPSec SA。这些SA使用因特网密钥交换（IKE）协议进行协商，其中的认证使用保存在SEG中的长期有效的密钥来完成。每个对等连接的两个SA都是由SEG维护的：一个SA用于入向的业务流，另一个用于出向的业务流。另外，SEG还维护了一个单独的因特网安全联盟和密钥管理协议（ISAKMP）SA，这个SA与密钥管理有关，用于构建实际的对等主机之间的IPSec SA。对于ISAKMP SA而言，一个关键的前提就是这两个对等实体必须都已经通过认证。在NDS/IP中，认证是基于预先共享的密钥。 

NDS/IP中用于加密、数据完整性保护和认证的安全协议是隧道模式的IPSec ESP。在隧道模式的ESP中，包括IP头的完整的IP数据包被封装到ESP分组中。对于三重DES加密（3DES）算法是强制使用的，而对于数据完整性和认证，MD5和SHA-1都可以使用。

5、IPSec安全体系中的几个重要组成和概念

1）IPSec：IPSec在IP层（包括IPv4和IPv6）提供了多种安全服务，从而为上层协议提供保护。IPSec一般用来保护主机和安全网关之间的通信安全，提供相应的安全服务。

2）ISAKMP：ISAKMP用来对SA和相关参数进行协商、建立、修改和删除。它定义了SA对等认证的创建和管理过程以及包格式，还有用于密钥产生的技术，它还包括缓解某些威胁的机制。 

3）IKE：IKE是一种密钥交换协议，和ISAKMP一起，为SA协商认证密钥材料。IKE可以使用两种模式来建立第一阶段ISAKMP SA，即主模式和侵略性模式。两种模式均使用短暂的Diffie-Hellman密钥交换算法来生成ISAKMP SA的密钥材料。 

4）ESP：ESP用来在IPv4和IPv6中提供安全服务。它可以单独使用或与AH一起使用，可提供机密性（如加密）或完整性（如认证）或同时提供两种功能。ESP可以工作在传送模式或隧道模式。在传送模式中，ESP头插入到IP数据报中IP头后面、所有上层协议头前面的位置；而在隧道模式中，它位于所封装的IP数据报之前。 

标准化组织对IMS的安全体系和机制做了相应规定，其中UE和P-CSCF之间的安全由接入网络安全机制提供，IMS网络之上的安全由IP网络的安全机制保证，UE与IMS的承载层分组网络安全仍由原来的承载层安全机制支持。所有IP网络端到端安全基于IPSec，密钥管理基于IKE协议。对于移动终端接入IMS之前已经进行了相应的鉴权，所以安全性更高一些。但是对于固定终端来说，由于固定接入不存在类似移动网络空中接口的鉴权，P-CSCF将直接暴露给所有固定终端，这使P-CSCF更易受到攻击。为此，在IMS的接入安全方面有待于进一步的研究，需要不断完善IMS的安全机制。