IP多媒體子系統(tǒng)方案

1、IP多媒體子系統(tǒng)IMS1.前言在經(jīng)歷了十幾年的高速發(fā)展后，移動運營商越來越認(rèn)清了一條重要的規(guī)律，那就是電信業(yè)務(wù)必須不斷地發(fā)展以不斷滿足經(jīng)濟發(fā)展以與人們生活、工作和娛樂的通信和信息需求。目前，Yahoo! Messenger和騰訊等多媒體業(yè)務(wù)早已風(fēng)靡全球。然而，它們是建立在固定Internet網(wǎng)絡(luò)良好能力的基礎(chǔ)上的，沒有任何通信和接入的質(zhì)量保證，因此，迅速開發(fā)移動IP多媒體業(yè)務(wù)是當(dāng)前電信運營商的當(dāng)務(wù)之急。ims的全稱是 “ IP Multimedia Subsystemip的多媒體系統(tǒng)，也稱ip多媒體子系統(tǒng)。IMS系統(tǒng)為下一代基于IP的移動網(wǎng)絡(luò)提供了面向分組數(shù)據(jù)包交換的多媒體服務(wù)與平臺。它能夠滿

2、足現(xiàn)在的終端客戶更新穎、更多樣化多媒體業(yè)務(wù)的需求。目前，IMS被認(rèn)為是下一代網(wǎng)絡(luò)的核心技術(shù)，也是解決移動與固網(wǎng)融合，引入語音、數(shù)據(jù)、視頻三重融合等差異化業(yè)務(wù)的重要方式。但是，目前全球IMS網(wǎng)絡(luò)多數(shù)處于初級階段， 應(yīng)用方式也處于業(yè)界探討當(dāng)中。（IMS的概念引入）IMS的定位（技術(shù)特點和結(jié)構(gòu)組成）IMS在3GPP（國際第三代移動通信組織 ）Release 5版本中提出，旨在提供增強型IP服 務(wù)的一個全方位框架，是對 IP多媒體業(yè)務(wù)進行控制的網(wǎng)絡(luò)核心層邏輯功能實體的總稱。它 的初衷是以目前的全球移動系統(tǒng)通信（GSM核心網(wǎng)絡(luò)為基礎(chǔ)，重點開發(fā)面向第三代移動系統(tǒng)的通信規(guī)，與支持該系統(tǒng)的無線電接入技術(shù)。后來

3、經(jīng)過修改，其任務(wù)又涉與GSMS與其相關(guān)無線電接入技術(shù)的維護與開發(fā)工作。R5主要定義IMS的核心結(jié)構(gòu)，網(wǎng)元功能、接口和流程等容；R6版本增加了部分IMS業(yè)務(wù)特性、IMS與其他網(wǎng)絡(luò)的互通規(guī)和無線局域網(wǎng)（ WLAN 接入特性等；R7版本加強了對固定、移動融合的標(biāo)準(zhǔn)化制訂，要求 IMS支持?jǐn)?shù)字用戶線 （xDSL）、電纜調(diào)制解調(diào)器等固定接入方式。軟交換技術(shù)從1998年就開始出現(xiàn)并且已經(jīng)歷了實驗、商用等多個發(fā)展階段，目前已比 較成熟。全球圍早已有多家電信運營商開展了軟交換試驗，發(fā)展至今，軟交換技術(shù)已經(jīng)具備了替代電路交換機的能力，并具備一定的寬帶多媒體業(yè)務(wù)能力。在軟交換技術(shù)已發(fā)展如此成熟的今天，IMS的出路

4、在何方？又該如何發(fā)展和定位呢 ？首先需要對IMS和軟交換進行較為全 面的比較和分析。如果從采用的基礎(chǔ)技術(shù)上看，IMS和軟交換有很大的相似性：都是基于IP分組網(wǎng)；都實現(xiàn)了控制與承載的分離；大部分的協(xié)議都是相似或者完全一樣的；許多網(wǎng)關(guān)設(shè)備和終端設(shè)備甚至是可以通用的。IMS 和軟交換最大的區(qū)別在于以下幾個方面。在軟交換控制與承載分離的基礎(chǔ)上，IMS更進一步的實現(xiàn)了呼叫控制層和業(yè)務(wù)控制層的分離；IMS起源于移動通信網(wǎng)絡(luò)的應(yīng)用，因此充分考慮了對移動性的支持，并增加了外 置數(shù)據(jù)庫一一歸屬用戶服務(wù)器（HSS,用于用戶鑒權(quán)和保護用戶業(yè)務(wù)觸發(fā)規(guī)則；IMS全部采用會話初始協(xié)議（SIP）作為呼叫控制和業(yè)務(wù)控制的信令

5、，而在軟交換 中，SIP只是可用于呼叫控制的多種協(xié)議的一種，更多的使用媒體網(wǎng)關(guān)協(xié)議 （MGCP和H.248協(xié)議?？傮w來講，IMS和軟交換的區(qū)別主要是在網(wǎng)絡(luò)構(gòu)架上。軟交換網(wǎng)絡(luò)體系基于主從控制的 特點，使得其與具體的接入手段關(guān)系密切，而IMS體系由于終端與核心側(cè)采用基于IP承載的SIP協(xié)議，IP技術(shù)與承載媒體無關(guān)的特性使得IMS體系可以支持各類接入方式，從而使得IMS的應(yīng)用圍從最初始的移動網(wǎng)逐步擴大到固定領(lǐng)域。此外，由于IMS體系架構(gòu)可以支持移動性管理并且具有一定的服務(wù)質(zhì)量（QoS保障機制，因此IMS技術(shù)相比于軟交換的優(yōu)勢還體現(xiàn)在寬帶用戶的漫游管理和QoS呆障方面。（將軟交換同IMS相比較，意在幫

6、助理解IMS）一個IMS包括一個或多個 CSCF（呼叫會話控制功能）、MGCF媒體網(wǎng)關(guān)控制功能）、IMS 媒體網(wǎng)關(guān)、MRFC（多媒體資源功能處理器）、SLF （訂購關(guān)系定位功能）、中斷網(wǎng)關(guān)控制功能 和應(yīng)用服務(wù)器。IX/C .0! /Pjurl.Li , SI甘精號ft MM （一I通信媒體流圖IMS分層體系結(jié)構(gòu)IMS主要使用了如下組件：歸屬用戶服務(wù)、呼叫會話控制功能、安全網(wǎng)關(guān)、IP媒體服務(wù) 器、與應(yīng)用服務(wù)器。歸屬用戶服務(wù)（HSS）主要存儲用戶和服務(wù)相關(guān)的數(shù)據(jù)，如用戶身份、注冊信息、接入?yún)?shù)和服務(wù)觸發(fā)（service-triggering ）信息等。HSS還具備：? 用戶定位功能一一定位分組和公

7、共陸地移動網(wǎng)絡(luò)（PLMIN的用戶地址，并存儲客戶所使用的類型，與使用服務(wù)時所在位置等信息。?身份驗證功能一一存儲移動用戶的密鑰并可為每名用戶生成動態(tài)密碼。HSS通常存儲了高達(dá)每名用戶10 KB的容。所以一個支持100萬名用戶的HSS可能就需要64位線性尋址能力，以便能夠快速地存取存高速緩存中的信息。呼叫會話控制功能 由幾個“子組件”組成，它們負(fù)責(zé)處理所有與建立和結(jié)束呼叫相關(guān)的信令，以與基本的 SIP訊息交換。CSCF可以處理控制IP媒體本身的信令，以與會話初始化管理等。這些子組件包括代理CSCF（P-CSCF、詢問 CSCF（ I-CSCF）和服務(wù) CSCF（S-CSCF）。代理CSCF是用戶

8、設(shè)備的唯一連結(jié)點。用戶發(fā)出的所有訊息均須經(jīng)由P-CSCF進入IMS,P-CSCF執(zhí)行如下功能：?通過查詢HSS來實現(xiàn)初步的安全保護? 驗證SIP訊息? 執(zhí)行IPSec完整性保護，以創(chuàng)建可信的訊息?壓縮訊息以減少延遲?創(chuàng)建計費信息目前，P-CSCF一般位于歸屬網(wǎng)絡(luò)中，未來也許會被移植到被訪問網(wǎng)絡(luò)。詢問CSCF是歸屬網(wǎng)絡(luò)的第一連結(jié)點，I-CSCF負(fù)責(zé)聯(lián)系HSS以便為具體用戶確定服務(wù) -CSCF的位置。I-CSCF可能會提供一個拓?fù)潆[藏網(wǎng)際網(wǎng)關(guān)（THIG）,它可以通過加密 SIP訊息中的一些部IP地址和其它網(wǎng)絡(luò)信息，幫助保護IMS網(wǎng)絡(luò)拓?fù)?。I-CSCF通常位于歸屬網(wǎng)絡(luò)。如果使用THIG,則I-CSC

9、F 一般位于被訪問網(wǎng)絡(luò)。服務(wù)CSCF負(fù)責(zé)處理終端之間的所有SIP信令，并執(zhí)行如下功能：? 提供SIP路由，具體是將公共用戶身份（目前是，將來也許會改變）轉(zhuǎn)換為終端IP地址，并向應(yīng)用服務(wù)器發(fā)送訊息?保持會話的暢通，將用戶地址（例如，用戶設(shè)備的IP地址）與SIP記錄地址（公共用戶身份）緊密相連?控制會話?阻止未授權(quán)用戶使用服務(wù)S-CSCF總是位于歸屬網(wǎng)絡(luò)。安全網(wǎng)關(guān)是電信網(wǎng)絡(luò)之間，以與企業(yè)與電信網(wǎng)絡(luò)之間的通信通道。它主要控制訊息在NAT （網(wǎng)絡(luò)地址轉(zhuǎn)換）服務(wù)器和防火墻的出入，也可能會承擔(dān)一些其它的安全功能，如數(shù)據(jù) 包過濾等。此外，安全網(wǎng)關(guān)還具備以下功能：? 強化IMS域之間的安全政策?保護出入IMS

10、域的控制平面訊息?設(shè)置并維護IPSec安全關(guān)聯(lián)（SA）IP媒體月艮務(wù)器具備所有的流媒體功能，可提供豐富的多媒體訊息：如視頻、語音和文本。它負(fù)責(zé)管理相關(guān)的編碼器（編碼 /解碼）和流媒體的代碼轉(zhuǎn)換工作，以與回聲消除、 聲音偵測和聲音生成等工作。IP媒體服務(wù)器還能夠提供流倍增和流廣播，以滿足會議應(yīng)用的需要，它還可以連結(jié)至 電路交換網(wǎng)絡(luò)。應(yīng)用服務(wù)器為IMS網(wǎng)絡(luò)提供多媒體服務(wù)，它主要提供所有其它IMS組件如SIP Servlet的訪問權(quán)限。應(yīng)用服務(wù)器也可用來部署新服務(wù)， 由于IMS采用模塊化架構(gòu)，因此只需更換或 升級應(yīng)用服務(wù)器即可完成新服務(wù)部署。 這樣的戰(zhàn)略完全不同于之前的垂直模式， 在垂直模式 中，服

11、務(wù)總是作為單點解決方案來部署，每項服務(wù)都使用自己的一套專有設(shè)備。應(yīng)用服務(wù)器可以位于歸屬網(wǎng)絡(luò)，也可以位于第三方網(wǎng)絡(luò)，如果位于第三方網(wǎng)絡(luò)，它們就不能與HS%合。因為應(yīng)用服務(wù)器屬于OSA（開放服務(wù)架構(gòu)）應(yīng)用服務(wù)器，所以它們可以安全地從外部網(wǎng)絡(luò)接入 IMS并連接到GSM CAMEL移動增強邏輯定制應(yīng)用）服務(wù)器。IMS的發(fā)展與應(yīng)用3.1IMS標(biāo)準(zhǔn)的發(fā)展對IMS進行標(biāo)準(zhǔn)化的國際標(biāo)準(zhǔn)組織主要有3GP可口高級網(wǎng)絡(luò)電信和互聯(lián)網(wǎng)融合業(yè)務(wù)和協(xié)議（TISPAN）。3GPPW重于從移動的角度對 IMS進行研究，而 TISPAN則側(cè)重于從固定的角 度對IMS提出需求，并統(tǒng)一由 3GP詠完善。3GPP對IMS的標(biāo)準(zhǔn)化是按照

12、 R5版本、R6版本、R7版本這個過程來發(fā)布的，IMS首次提出是在 R5版本中，然后在 R& R7版本中進一步完善。R5版本主要側(cè)重于對IMS基本結(jié)構(gòu)、功能實體與實體間的流程方面的研究；而R6版本主要是側(cè)重于IMS和外部網(wǎng)絡(luò)的互通能力以與IMS對各種業(yè)務(wù)的支持能力等。相比于R5版本，R6版本的網(wǎng)絡(luò)結(jié)構(gòu)并沒有發(fā)生改變，只是在業(yè)務(wù)能力上有所增加。在R5的基礎(chǔ)上增加了部分業(yè)務(wù)特性，網(wǎng)絡(luò)互通規(guī)以與無線局域網(wǎng)接入特性等，其主要目的是促使IMS成為一個真正的可運營的網(wǎng)絡(luò)技術(shù)。R7階段更多的考慮了固定方面的特性要求，加強了對固定、移動融合的標(biāo)準(zhǔn)化制訂。R5版本和R6版本分別在2002年和2005年被凍結(jié)，而

13、 R7版本也即將凍結(jié)。在TISPAN定義的NGIW系架卞中，IMS是業(yè)務(wù)部件之一。TISPANIMS是在3GPPR6IMS 核心規(guī)的基礎(chǔ)上對功能實體和協(xié)議進行擴展的，支持固定接入方式。TISPAN的工作方式和3GPP1似，都是分階段發(fā)布不同版本。目前， TISPAN已經(jīng)發(fā)布了 R1版本相關(guān)規(guī)，從固定的 角度向3GP%出對IMS的修改建議；R2版本目前還處于需求分析階段。TISPAN在許多文檔中都直接應(yīng)用了3GPP的相關(guān)文檔容，而 3GPPR版本中的很多容又都是在吸收了 TISPAN的研究成果的基礎(chǔ)上形成的，所以一方對文檔容的修改都將直接影響 另一方。此外，部分先進的運營商（如德國電信、英國電信

14、和法國電信）已經(jīng)明確了未來網(wǎng) 絡(luò)和業(yè)務(wù)融合的戰(zhàn)略目標(biāo)，并開始特別關(guān)注基于IMS的網(wǎng)絡(luò)融合研究。各大設(shè)備廠商也加大 了對IMS在固網(wǎng)領(lǐng)域應(yīng)用的研究， 正積極參與并大力推進基于IMS的NGN勺標(biāo)準(zhǔn)化工作。因此各個標(biāo)準(zhǔn)之間的協(xié)調(diào)一致的問題還需要進一步探討。3.2IP媒體業(yè)務(wù)類型IMS是一個在分組域（PS）上的多媒體控制/呼叫控制平臺，IMS使得PS具有電路域（CS） 的部分功能，支持會話類和非會話類的多媒體業(yè)務(wù)。IMS為未來的多媒體應(yīng)用提供了一個通用的業(yè)務(wù)平臺，典型的業(yè)務(wù)如呈現(xiàn)、消息、會議、一鍵通等等。將不同的業(yè)務(wù)進行分組可以 得到以下一些類型。(1)信息類業(yè)務(wù)，這類業(yè)務(wù)對用戶來講已經(jīng)非常熟悉，而且

15、目前為運營商帶來了良好的收益，IMS的信息類業(yè)務(wù)將帶給用戶更多的選擇，在享用這些信息類業(yè)務(wù)的同時，用戶可以隨心所欲而且費用低廉的使用其他媒介，比如視頻和聲音等，同時可以靈活的選用實時業(yè)務(wù)或非實時業(yè)務(wù)進行溝通。(2)多媒體呼叫話音業(yè)務(wù)，這類業(yè)務(wù)可以給用戶在原有的話音業(yè)務(wù)操作和應(yīng)用上帶來 全新的體驗。(3)增強型呼叫管理，可以實現(xiàn)讓用戶自己來控制業(yè)務(wù)，讓用戶的溝通更加靈活。(4)群組業(yè)務(wù)，將不同的通信媒介聚合起來，為用戶提供新的業(yè)務(wù)體驗，而且IMS還可以對業(yè)務(wù)進行新的開發(fā)和組合；突破傳統(tǒng)的一對一的通信方式限制，可以提供基于群組的通信方式。(5)信息共享，常見的攜帶附件的溝通模式可以完成部分的信息共

16、享功能，但是在許多情況下顯得不夠靈活， 所以實時在線的信息共享通信應(yīng)運而生，多個用戶可以實時處理同一個數(shù)據(jù)文件。(6)在線娛樂，移動終端可以直接和信息資源互聯(lián)，IMS方式可以更好地呈現(xiàn)信息的更新和溝通，并可以隨著用戶需求的增長對信息進行必要的過濾；對于用戶的在線游戲，IMS可以為用戶提供從單機游戲到多用戶在線參與的在線娛樂方式，同時用戶還可以采用多種多媒體來溝通交流。3.3IMS的主要應(yīng)用隨著IMS技術(shù)和產(chǎn)品的逐漸成熟，已經(jīng)有一些運營商開始了 IMS的商用，還有一些運營 商在進行相關(guān)的測試。從目前的商用和測試情況看，移動運營商已經(jīng)開始商用，而固網(wǎng)運營 商還主要處于試驗階段。綜合考慮， IMS的

17、應(yīng)用主要集中在以下幾個方面。首先是在移動網(wǎng)絡(luò)的應(yīng)用，這類應(yīng)用是移動運營商為了豐富移動網(wǎng)絡(luò)的業(yè)務(wù)而開展的， 主要是在移動網(wǎng)絡(luò)的基礎(chǔ)上用IMS來提供PoC即時消息、視頻共享等多媒體增值業(yè)務(wù)。應(yīng)用重點集中在給企業(yè)客戶提供IPCENTRE口公眾客戶的 VoIP第二線業(yè)務(wù)。IMS為企業(yè)用戶提供融合的企業(yè)ADSL用戶)提供VoIP應(yīng)用。其次是固定運營商出于網(wǎng)絡(luò)演進和業(yè)務(wù)的需要，通過 的應(yīng)用(IPCENTREXk務(wù))，以與向固定寬帶用戶(例如第三種典型的應(yīng)用是融合的應(yīng)用，主要體現(xiàn)在WLA母口 3G的融合，以實現(xiàn)語音業(yè)務(wù)的連續(xù)性。在這種方式下，用戶擁有一個WLAN/WCDMAZ模終端，在WLAN勺覆蓋區(qū)，一般

18、優(yōu)先使用WLAN入，因為這種方式用戶使用業(yè)務(wù)的資費更低，數(shù)據(jù)業(yè)務(wù)的帶寬更充足。當(dāng)離開 WLAN勺覆蓋區(qū)后，終端自動切換到WCDM網(wǎng)絡(luò)，從而實現(xiàn)語音在 WLA麗 WCDMA間的連續(xù)性。目前，這種方案的商用較少，但是許多運營商都在進行測試。在IMS中全部采用SIP協(xié)議，雖然SIP也可以實現(xiàn)最基本的 VoIP,但是這種協(xié)議在多 媒體應(yīng)用中所展現(xiàn)出來的優(yōu)勢表明，它天生就是為多媒體業(yè)務(wù)而生的。由于SIP協(xié)議非常靈活，所以IMS還存在許多潛在的業(yè)務(wù)。3.4IMS獨辟蹊徑與其它在IP上簡單提供的電路服務(wù)不同，采用IMS框架的運營商可以在 IP上建立一個開放的服務(wù)基礎(chǔ)設(shè)施，進而簡單地部署豐富的媒體通信服務(wù)。I

19、MS可以滿足網(wǎng)絡(luò)和用戶的如下要求：?提供人與人的實時IP多媒體通信，如語音或視頻；以與人機通信，如游戲、視頻點播和網(wǎng)上沖浪等。?全面集成各種實時通信，如即時流傳輸和即時聊天，與其它非實時多媒體。?支持多種服務(wù)和應(yīng)用的互動，例如，視頻會議和游戲或者實時視頻和即時通訊。?輕松地提高通信會話體驗，例如，通過“單擊”將即時通訊會話轉(zhuǎn)變?yōu)檎Z音會話。.即時通（Push to talk）又叫做一鍵通業(yè)務(wù)，該服務(wù)使得手機終端用戶能夠在分組交換網(wǎng)絡(luò)上，通過只按一個 按鍵就進行一對一或群體即時通話。該服務(wù)采取“半雙工”模式，也就是說同一時間只有一人能夠講話，從而更便于群體交流， 該服務(wù)可以使用戶能夠在通話群中靈活

20、地選定或者 變換通話對象。從而用戶可以輕易地與通話群體中所有人或選擇部分人進行Push to talk通話。它是一種全數(shù)字傳輸?shù)腣oIP技術(shù)，其完全基于 SIP協(xié)議和IMS的設(shè)計，很好的保證了互通性、可量測性和向未來3G的平滑過渡。. IP業(yè)務(wù)隨著寬帶IP接入的普與，IP終端成為新的熱點，例如現(xiàn)在一些運營商正在推廣的IP超市（類似于IP公用亭），基于H.323的IP終端未能普與除了以前缺乏IP寬帶接入這個原因外，還因為H.323的用戶認(rèn)證一直是一個問題，另外H.323終端價格昂貴也是一個原因。現(xiàn)在采用SIP基本上克服了這些問題，SIP軟件被免費集成在 Microsoft WinXP操作系統(tǒng)中，

21、因為SIP如此簡單，甚至有運行在 Linux , PocketPc （便攜PQ, Symbian上的SIP Client軟件，使得手才I終端上的SIP應(yīng)用也成為可能，而且 SIP還支持完善的用戶認(rèn)證機制。所以基于SIP的IMS完全可以被用來作為IP終端系統(tǒng)。.串行振鈴和并行振鈴業(yè)務(wù)因為一個 SIP用戶可以同時在很多終端上注冊，比如他可能有幾個固定辦公，還有無 繩，移動，便攜 PC等，每種終端可以實現(xiàn)不同的功能，比如便攜PC支持視頻而固定 SIP可能連P&MTB不支持，用戶不需要總是帶著所有終端，在各種情況下他只帶著其中一些，比如開會時他可能只帶著便攜PG串行振鈴業(yè)務(wù)是當(dāng)另外一個用戶呼叫該用戶時

22、，系統(tǒng)會根據(jù)該用戶設(shè)定的次序和等待 時間依次振鈴該用戶的各種終端，直到該用戶接通為止。而并行振鈴業(yè)務(wù)則是系統(tǒng)同時振鈴該用戶的所有注冊終端，直到該用戶接通為止。.會晤轉(zhuǎn)移業(yè)務(wù)會晤轉(zhuǎn)移業(yè)務(wù)包括無條件轉(zhuǎn)移，無應(yīng)答轉(zhuǎn)移和遇忙轉(zhuǎn)移，該用戶可以定制轉(zhuǎn)移的統(tǒng)一 資源標(biāo)識（URI）,當(dāng)條件符合時，呼叫被轉(zhuǎn)移到設(shè)定的目標(biāo)。這種業(yè)務(wù)和傳統(tǒng)呼叫轉(zhuǎn)移業(yè)務(wù)功能一樣，只是增加了新的媒體類型。.主叫標(biāo)識顯示業(yè)務(wù)和傳統(tǒng)的主叫顯示意義一樣，只不過顯示在被叫終端上的不只是主叫的SIPURI,而可能是任何媒體，比如一主叫的照片、 一段聲音或者視頻片斷。根據(jù)系統(tǒng)的提示，主叫可以事先將要傳送的標(biāo)識上傳到系統(tǒng)中存儲，當(dāng)主叫呼叫被叫時，S

23、IP消息報文將主叫標(biāo)識的統(tǒng)一資源地址（URL）傳到被叫，被叫終端自動打開該URL從而看到主叫的標(biāo)識。當(dāng)前IMS的重要性正與日俱增，這是因為網(wǎng)絡(luò)運營商需要將傳統(tǒng)的服務(wù)，如語音呼叫 和短信服務(wù)（SMS和數(shù)據(jù)服務(wù)，如電子、上網(wǎng)和即時通訊（ IM）進行融合。正如電纜提供 商正在探索著同時推出視頻服務(wù)和電信服務(wù)一樣，網(wǎng)絡(luò)運營商也在嘗試著提供視頻服務(wù)，以保持競爭力。此外，客戶也期待著服務(wù)的融合，而IMS正好為網(wǎng)絡(luò)運營商提供了一個難得的 機遇。4.IMS的優(yōu)勢IMS具有諸多優(yōu)勢，尤為明顯的有四點： 移動管理、服務(wù)質(zhì)量、服務(wù)控制和開發(fā)商界接 口。移動管理IMS可以在IP基礎(chǔ)設(shè)施圍的任何地理位置，搜索用戶并建立

24、會話。它有一個組件負(fù)責(zé) 保存用戶數(shù)據(jù)，與用戶（或服務(wù)器）之間的搜索與通信。它還有另外一個組件負(fù)責(zé)協(xié)助建立 和管理會話，并轉(zhuǎn)發(fā)IMS網(wǎng)絡(luò)之間的訊息。這兩個組件共同實現(xiàn)了高效的移動管理。服務(wù)質(zhì)量服務(wù)質(zhì)量（QoS是IP電信系統(tǒng)的一個常見問題。由帶寬不足和其它原因引發(fā)的有損 質(zhì)量的因素，如延遲、波動、數(shù)據(jù)包丟失和回聲等，會使傳輸質(zhì)量難以接受。IP語音（VoIP）之所以能夠迅速普與，是因為開發(fā)面世的 QoS機制能夠控制這些不利 因素，以保持一定的質(zhì)量水平。 IMS融入了控制實時移動 IP通信質(zhì)量的特殊機制，可通過 控制此處數(shù)據(jù)包網(wǎng)絡(luò)和與其互動來確保質(zhì)量的可接受性。服務(wù)控制移動服務(wù)提供商網(wǎng)絡(luò)非常復(fù)雜，因為

25、提供商必須提供各種不同的服務(wù)，以高效地滿足 廣大客戶的要求。因此提供商必須能夠一目了然地對這些服務(wù)進行管理、控制和計費。在優(yōu)化服務(wù)交付方面，IMS側(cè)重的是提供服務(wù)的效率。當(dāng)客戶訪問移動提供商的IMS網(wǎng)絡(luò)時，網(wǎng)絡(luò)會提供一份個人資料以供下載。一旦系統(tǒng)擁有了這份資料，就會知道客戶有權(quán)使用的服務(wù)圍，就可以決定這些服務(wù)的執(zhí)行順序，如果有必要，還可以獲得網(wǎng)絡(luò)上提供這些服務(wù)的應(yīng)用服務(wù)器資料。 借助這一相對簡單的系統(tǒng)， 移動運營商就可以控制和管理極大型網(wǎng) 絡(luò)中極其復(fù)雜的服務(wù)交付工作。標(biāo)準(zhǔn)接口由于IMS采用的是標(biāo)準(zhǔn)化架構(gòu)來支持部署增強的IP服務(wù)，因此第三方可以獨立為任何IMS部署開發(fā)各種服務(wù)。這有利于實現(xiàn)更大圍

26、的服務(wù)集成、互操作性和漫游，也有利于創(chuàng)新 者形成強大的網(wǎng)絡(luò)以解決服務(wù)提供商的各種要求。IMS中的IP尋址與分組域骨干網(wǎng)中使用的（例如IPv4）和電路域中使用的是不同的，所以IPv6和IPv4互通的問題需要解決。缺少IPv6的實踐經(jīng)驗。用于移動臺接入IP多媒體服務(wù)的IP尋址圍必須在IMS尋址域，這個尋址域是在建立 好IP連接時激活的PDP （策略決策點）上下文中安排好的。 IP地址可以從服務(wù)域而不是歸 屬域的GGS廂獲得，從路由的效率來考慮，這是一個優(yōu)點。5.基于IMS的網(wǎng)絡(luò)融合問題隨著通信網(wǎng)絡(luò)的發(fā)展與演進，融合是不可避免的主題，固定和移動的融合（FMC更是迫切要解決的問題。ETSI （歐洲電信

27、標(biāo)準(zhǔn)化協(xié)會）給 FMC下的定義是：“固定移動融合是一 種能提供與接入技術(shù)無關(guān)的網(wǎng)絡(luò)能力。但這并不意味著一定是物理上的網(wǎng)絡(luò)融合，而只關(guān)心一個融合的網(wǎng)絡(luò)體系結(jié)構(gòu)和相應(yīng)的標(biāo)準(zhǔn)規(guī)。這些標(biāo)準(zhǔn)可以用來支持固定業(yè)務(wù)、移動業(yè)務(wù)以與固定移動混合的業(yè)務(wù)。 固定移動融合的一個重要特征是，用戶的業(yè)務(wù)簽約和享用的業(yè)務(wù)，將從不同的接入點和終端上分離開來，以允許用戶從任何固定或移動的終端上，通過任何兼容的接入點訪問完全一樣的業(yè)務(wù)，包括在漫游時也能獲得一樣的業(yè)務(wù)?！痹诮oFMCT定義的同時也對固定移動網(wǎng)絡(luò)的融合提出了相應(yīng)的要求。IMS 進一步發(fā)揚了軟交換結(jié)構(gòu)中業(yè)務(wù)與控制分離、控制與承載分離的思想，比軟交換進 行了更充分的網(wǎng)絡(luò)解

28、聚，網(wǎng)絡(luò)結(jié)構(gòu)更加清晰合理。網(wǎng)絡(luò)各個層次的不斷解聚是電信網(wǎng)絡(luò)發(fā)展 的總體趨勢。網(wǎng)絡(luò)的解聚使得垂直業(yè)務(wù)模式被打破，有利于業(yè)務(wù)的發(fā)展；另外，不同類型網(wǎng) 絡(luò)的解聚也為網(wǎng)絡(luò)在不同層次上的重新聚合創(chuàng)造了條件。這種重新聚合，就是網(wǎng)絡(luò)融合的過程。利用IMS實現(xiàn)對固定接入和移動接入的統(tǒng)一核心控制，主要是IMS具有以下特點。（1）與接入無關(guān)性。雖然 3GPPIM%為移動網(wǎng)絡(luò)設(shè)計的，TISPANNG謔為固定xDSL寬帶接入設(shè)計的，但它們采用的IMS網(wǎng)絡(luò)技術(shù)卻可以做到與接入無關(guān)，因而能確保對FMC勺支持。從理論上可以實現(xiàn)不論用戶使用什么設(shè)備、在何地接入IMS網(wǎng)絡(luò)，都可以使用歸屬地的業(yè)務(wù)。（2）統(tǒng)一的業(yè)務(wù)觸發(fā)機制。IM

29、S核心控制部分不實現(xiàn)具體業(yè)務(wù)，所有的業(yè)務(wù)包括傳統(tǒng) 概念上的補充業(yè)務(wù)都由業(yè)務(wù)應(yīng)用平臺來實現(xiàn)，IMS核心控制只根據(jù)初始過濾規(guī)則進行業(yè)務(wù)觸發(fā)，這樣消除了核心控制相關(guān)功能實體和業(yè)務(wù)之間的綁定關(guān)系，無論固定接入還是移動接入都可以使用IMS中定義的業(yè)務(wù)觸發(fā)機制實現(xiàn)統(tǒng)一觸發(fā)。（3）統(tǒng)一的路由機制。IMS中僅保留了傳統(tǒng)移動網(wǎng)中 HLR （歸屬位置寄存器）的概念， 而摒棄了 VLR （采訪位置寄存器）的概念，和用戶相關(guān)的數(shù)據(jù)信息只保存在用戶的歸屬地， 這樣不僅用戶的認(rèn)證需要到歸屬地認(rèn)證，所有和用戶相關(guān)的業(yè)務(wù)也必須經(jīng)過用戶的歸屬地。（4）統(tǒng)一用戶數(shù)據(jù)庫。HSS（歸屬業(yè)務(wù)服務(wù)器）是一個統(tǒng)一的用戶數(shù)據(jù)庫系統(tǒng)，既可以

30、存儲移動IMS用戶的數(shù)據(jù)，也可以存儲固定IMS用戶的數(shù)據(jù)，數(shù)據(jù)庫本身不再區(qū)分固定用戶 和移動用戶。特別是業(yè)務(wù)觸發(fā)機制中使用的初始過濾規(guī)則，對IMS中所定義的數(shù)據(jù)庫來講完全是透明數(shù)據(jù)的概念，屏蔽了固定和移動用戶在業(yè)務(wù)屬性上的差異。（5）充分考慮了運營商實際運營的需求，在網(wǎng)絡(luò)框架、QoS （服務(wù)質(zhì)量）、安全、計費以與和其他網(wǎng)絡(luò)的互通方面都制定了相關(guān)規(guī)。IMS所具有這些特征可以同時為移動用戶和固定用戶所共用，這就為同時支持固定和移動接入提供了技術(shù)基礎(chǔ)，使得網(wǎng)絡(luò)融合成為可能。目前電信業(yè)務(wù)的發(fā)展已經(jīng)到達(dá)了個人通信的重要階段，傳統(tǒng)的多媒體業(yè)務(wù)結(jié)構(gòu)無法支持移動（個人化的）多媒體通信的需求，3GPPR5/R6

31、采用的SIP體系結(jié)構(gòu)和IP多媒體子系統(tǒng)為 滿足下一代的電信業(yè)務(wù)需求打下了基礎(chǔ)，結(jié)合OSA技術(shù)和虛擬駐地環(huán)境技術(shù)，電信用戶可以獲得他們急需的新的移動多媒體通信業(yè)務(wù)，電信運營商也將在第三代移動通信上找到自己的業(yè)務(wù)增長點。MS存在的安全問題分析6.1IMS受累于DNS其實，本質(zhì)上講，安全的實現(xiàn)就是在IMS和公眾互聯(lián)網(wǎng)之間所設(shè)立的一道墻，以防止一切可疑容的通過。3GPP/3GPP2在IMS安全問題上進行了詳細(xì)的定義，包括 SIM應(yīng)用和認(rèn)證程序。但很遺憾，3GPF/3GPP2并沒有對如何防止拒絕服務(wù)對DNS的攻擊作相關(guān)定義，這給IMS留下了巨大的安全隱患。3GPP/3GPP2在IMS安全規(guī)中也提到了 “

32、應(yīng)該”防虛假地址欺騙，但并沒有說明“如何”進行防。除了安全缺陷之外，這還形成另一個問題，就是不 同IMS網(wǎng)絡(luò)或者IMS網(wǎng)絡(luò)與互聯(lián)網(wǎng)SIP用戶之間是否能夠協(xié)同工作的問題。在互聯(lián)網(wǎng)上，DNS是黑客們經(jīng)常攻擊的對象。這主要是因為，在互聯(lián)網(wǎng)的世界里存在大量的、相互獨立的DNS!艮務(wù)器，不管你是增加、刪除還是重新配置一臺 DNS服務(wù)器都是 非常簡單的事情，當(dāng)然也包括惡意攻擊?？梢哉f，在開發(fā)使用DN限術(shù)的同時，我們也為自己鋪設(shè)了一個安全陷阱，雖然DN或術(shù)給我們解決了許多問題，而且使用起來也非常簡單。在DNS系統(tǒng)中，緩存中毒是非常普遍的現(xiàn)象。以前通常通過限制遞歸式DNS的使用來進行防，這是不對的，因為這將大

33、大降低整個DNS系統(tǒng)的彈性。另一種防方式是“以毒攻毒”，即以同樣的虛假地址向?qū)⒁艿焦舻腄NS服務(wù)器“海量”請求，從而將惡意攻擊淹沒。這樣做的后果很明顯，在防了惡意攻擊的同時也拖垮了目標(biāo)服務(wù)器。同互聯(lián)網(wǎng)一樣，IMS通過使用DNS來實現(xiàn)不同語言的 URL和傳統(tǒng)與IP地址之間的 解析，而且IMS對DNSB勺依賴相比互聯(lián)網(wǎng)有過之而無不與。如IMS安全規(guī)所描述的那樣，數(shù)據(jù)包在通過PCSCF寸需要進行加密，而且這一行為與有沒有惡意攻擊無關(guān)。 這樣一來，會使PCSC磁體中的防火墻功能大打折扣。（編者注:CSCF-會話服務(wù)控制，是 IMS的功能實體之一，它包括 PCSCFt理 CSCF ICSCF-一 查

34、詢CSCF以與SCSCF一服務(wù)CSCF等類型，在物理上可以是合一的，也可以分別設(shè)置。）而且，為了滿足電信級應(yīng)用的要求，IMS使用的是私有 DNS服務(wù)器，還增加了 ENUM（映射）設(shè)備。專家認(rèn)為，這樣做的危險性其實更大，因為一旦運營商的 DNSH現(xiàn)問題，整個網(wǎng)絡(luò)的正常工作都將受到影響。協(xié)同工作問題另外一個相關(guān)的問題就是就是IMS網(wǎng)絡(luò)與互聯(lián)網(wǎng) SIP用戶的協(xié)同工作問題。IMS利用ENUM）能進行SIP URL的查詢。但此類查詢可以“由往外”進行，卻無法“由外往” 。 即查詢可以從運營商的網(wǎng)透傳到互聯(lián)網(wǎng)，卻無法從互聯(lián)網(wǎng)透傳到電信運營商的私有DNS除非運營商的網(wǎng)絡(luò)與公共互聯(lián)網(wǎng)之間沒有防火墻，這種情況令

35、人費解。而且，向外查詢也十分的費勁，或者需要運營商在其網(wǎng)絡(luò)和公共互聯(lián)網(wǎng)之間設(shè)置防火墻，或者IMS的安全模式需要重新定義。對于這個問題，3GP林口 IETF已經(jīng)開始著手對 SIP標(biāo)準(zhǔn)進行派生以實現(xiàn)在 IMS的環(huán)境下進行SIP URL的真正跨網(wǎng)查詢。傳統(tǒng)的電信網(wǎng)絡(luò)采用獨立的TDM的專線，用戶之間采用面向連接的通道進行通信，避免了來自其他終端用戶的各種竊聽和攻擊。而IMS網(wǎng)絡(luò)與互聯(lián)網(wǎng)相連接，基于IP協(xié)議和開放的網(wǎng)絡(luò)架構(gòu)可以將語音、數(shù)據(jù)、多媒體等多種不同業(yè)務(wù)，通過采用多種不同的接入方式來共享業(yè)務(wù)平臺，增加了網(wǎng)絡(luò)的靈活性和終端之間的互通性，不同的移動接入還是固定接入，IMS的安全問題都不容忽視。IMS的

36、安全威脅主要來自于幾個方面：未經(jīng)授權(quán)地訪問敏感數(shù)據(jù)以破壞性；未經(jīng)授權(quán)地篡改敏感數(shù)據(jù)以破壞完整性； 干擾或濫用網(wǎng)絡(luò)業(yè)務(wù)導(dǎo)致拒絕服務(wù)或降低系統(tǒng)可用性；用戶或網(wǎng)絡(luò)否認(rèn)已完成的操作；未經(jīng)授權(quán)地接入業(yè)務(wù)等1。主要涉與到IMS的接入安全（3GPPTS33.203）,包括用戶和網(wǎng)絡(luò)認(rèn)證與保護IMS終端和網(wǎng)絡(luò)間的業(yè)務(wù)；以與IMS的網(wǎng)絡(luò)安全（3GPPTS33.210） 2,處理屬于同一運營商或不同運營商網(wǎng)絡(luò)節(jié)點之間的業(yè)務(wù)保護。除此之外， 還對用戶終端設(shè)備和通用集成電路卡/IP多媒體業(yè)務(wù)身份識別模塊（UICC/ISIM ）安全構(gòu)成威脅。6.3IMS安全體系IMS系統(tǒng)安全的主要應(yīng)對措施是 IP安全協(xié)議（IPSec）

37、,通過IPSec提供了接入安全保護， 使用IPSec來完成網(wǎng)絡(luò)域部的實體和網(wǎng)絡(luò)域之間的安全保護。3GPP IMS實質(zhì)上是疊加在原有核心網(wǎng)分組域上的網(wǎng)絡(luò)， 對PS域沒有太大的依賴性， 在PS域中，業(yè)務(wù)的提供需要移動設(shè) 備和移動網(wǎng)絡(luò)之間建立一個安全聯(lián)盟 （SA）后才能完成。對于IMS系統(tǒng)，多媒體用戶也需要 與IMS網(wǎng)絡(luò)之間先建立一個獨立的 SA之后才能接入多媒體業(yè)務(wù)。3GPP端的核心是通用集成電路卡（UICQ ,它包含多個邏輯應(yīng)用，主要有用戶識別模塊（SIM）、UMTS1戶業(yè)務(wù)識別模塊（USIM）和ISIMo ISIM中包含了 IMS系統(tǒng)用戶終端在系 統(tǒng)中進行操作的一系列參數(shù)（如身份識別、用戶授權(quán)

38、和終端設(shè)置數(shù)據(jù)等），而且存儲了共享密鑰和相應(yīng)的 AKA （Authentication and Key Agreement ）算法。其中，保存在 UICC上的 用戶側(cè)的IMS認(rèn)證密鑰和認(rèn)證功能可以獨立于PS域的認(rèn)證密鑰和認(rèn)證功能，也可和PS使用一樣的認(rèn)證密鑰和認(rèn)證功能。IMS的安全體系如圖1所示。打?qū)?服務(wù)網(wǎng)絡(luò)HSSPS域L.接入1G UA .圖1 IMS安全體系結(jié)構(gòu)圖圖1中顯示了 5個不同的安全聯(lián)盟用以滿足IMS系統(tǒng)中不同的需求，分別用、來加以標(biāo)識。提供終端用戶和IMS網(wǎng)絡(luò)之間的相互認(rèn)證。在UE和P-CSCF之間提供一個安全（Link）和一個安全聯(lián)盟（SA）,用以保護 Gm妾口， 同時提供數(shù)

39、據(jù)源認(rèn)證。在網(wǎng)絡(luò)域為Cx接口提供安全。為不同網(wǎng)絡(luò)之間的 SIP節(jié)點提供安全，并且這個安全聯(lián)盟只適用于代理呼叫會話控制功能 （P-CSCF）位于拜訪網(wǎng)絡(luò)（VN）時。為同一網(wǎng)絡(luò)部的 SIP節(jié)點提供安全，并且這個安全聯(lián)盟同樣適用于P-CSCF位于歸屬網(wǎng)絡(luò)（HN）時。除上述接口之外，IMS中還存在其他的接口，在上圖中未完整標(biāo)識出來，這些接口位于安全域或是位于不同的安全域之間。這些接口（除了Gmg口之外）的保護都受IMS網(wǎng)絡(luò)安全保護。SIP信令的性和完整性是以逐跳的方式提供的，它包括一個復(fù)雜的安全體系，要求每個代理對消息進彳T解密。SIP現(xiàn)在使用兩種安全協(xié)議：傳輸層安全協(xié)議（TLS）和IPSec, TL

40、S可以實現(xiàn)認(rèn)證、完整性和性，用TLS來保證安全的請求必須使用可靠的傳輸層協(xié)議，如傳輸控制協(xié)議（TCB或流控制傳輸協(xié)議（SCTP ; IPSec通過在IP層又SIP消息提供安全來實現(xiàn)認(rèn) 證、完整性和性，它同時支持TCP和用戶數(shù)據(jù)報協(xié)議（UDP。在IMS核心網(wǎng)中，可通過NDS/IP 來完成對網(wǎng)絡(luò)中SIP信令的保護；而第一跳，即UE和P-CSCF間的信令保護則需要附加的測 量，在3GPP TS 33.203中有具體描述。6.4IMS的接入安全IMS用戶終端（UE）接入到IMS核心網(wǎng)需經(jīng)一系列認(rèn)證和密鑰協(xié)商過程，具體而言，UE用戶簽約信息存儲在歸屬網(wǎng)絡(luò)的 HSS中，且對外部實體。當(dāng)用戶發(fā)起注冊請求時，

41、查詢呼叫會話 控制功能（I-CSCF）將為請求用戶分配一個服務(wù)呼叫會話控制功能（ S-CSCH ,用戶的簽約 信息將通過Cx接口從HSS下載到S-CSCF中。當(dāng)用戶發(fā)起接入 IMS請求時，該S-CSCFW通 過對請求容與用戶簽約信息進行比較，以決定用戶是否被允許繼續(xù)請求。在IMS接入安全中，IPSec封裝安全凈荷（ESB將在IP層為UE和P-CSCF間所有SIP信令 提供性保護，對于呼叫會話控制功能（ CSCF之間和CSC環(huán)口 HSS之間的加密可以通過安全 網(wǎng)關(guān)（SEG來實現(xiàn)。同時，IMS還采用IPSec ESP為UE和P-CSCF間所有SIP信令提供完 整性保護，保護IP層的所有SIP信令，

42、以傳輸模式提供完整性保護機制。在完成注冊鑒權(quán)之后，UE和P-CSCF之間同時建立兩對單向的 SA,這些SA由TCP和UD時享。其中一對用于 UE端口為客戶端、P-CSCF端口作為服務(wù)器端的業(yè)務(wù)流，另一對用于 UE 端口為服務(wù)器、P-CSCF端口作為客戶端的業(yè)務(wù)流。用兩對SA可以允許終端和P-CSCF使用UDPE另一個端口上接收某個請求的響應(yīng)，而不是使用發(fā)送請求的那個端口。同時，終端和 P-CSCF之間使用TCP連接，在收到請求的同一個 TC瞋接上發(fā)送響應(yīng)；而且通過建立SA實現(xiàn)在IMS AKA提供的共享密鑰以與指明在保護方法的一系列參數(shù)上達(dá)成一致。SA的管理涉與到兩個數(shù)據(jù)庫，即部和外部數(shù)據(jù)庫（

43、SP/口 SAD 。 SPD&含所有入站和出站業(yè)務(wù)流在主 機或安全網(wǎng)關(guān)上進行分類的策略。SAD是所有激活SA與相關(guān)參數(shù)的容器。SPM用一系列選擇器將業(yè)務(wù)流映射到特定的 SA這些選擇器包括IP層和上層（如 TCP和UDP協(xié)議的字段 值。與此同時，為了保護SIP代理的身份和網(wǎng)絡(luò)運營商的網(wǎng)絡(luò)運作部細(xì)節(jié)，可通過選擇網(wǎng)絡(luò)隱藏機制來隱藏其網(wǎng)絡(luò)部拓?fù)?，歸屬網(wǎng)絡(luò)中的所有I-CSCF將共享一個加密和解密密鑰。在通用移動通信系統(tǒng)（UMTS中相互認(rèn)證機制稱為 UMTS AKA在AKA過程中采用雙向鑒權(quán) 以防止未經(jīng)授權(quán)的 “非法”用戶接入網(wǎng)絡(luò)，以與未經(jīng)授權(quán)的“非法”網(wǎng)絡(luò)為用戶提供服務(wù)。AKA協(xié)議是一種挑戰(zhàn)響應(yīng)協(xié)議，包

44、含用戶鑒權(quán)五元參數(shù)組的挑戰(zhàn)由AUC在歸屬層發(fā)起而發(fā)送到服務(wù)網(wǎng)絡(luò)。UMT繇統(tǒng)中AKA協(xié)議，其一樣的I念和原理被IMS系統(tǒng)重用，我們稱之為 IMS AKA AKA實現(xiàn)了 ISIM和AUC之間的相互認(rèn)證，并建設(shè)了一對加密和完整性密鑰。用來認(rèn)證用戶的身份 是私有的身份（IMPI） , HSS ISIM共享一個與IMPI相關(guān)聯(lián)的長期密鑰。當(dāng)網(wǎng)絡(luò)發(fā)起一個 包含RAND AUTN的認(rèn)證請求時，ISIM對AUTN行驗證，從而對網(wǎng)絡(luò)本身的真實性進行驗 證。每個終端也為每一輪認(rèn)證過程維護一個序列號，如果 ISIM檢測到超出了序列圍之外的 認(rèn)證請求，那么它就放棄該認(rèn)證并向網(wǎng)絡(luò)返回一個同步失敗消息，其中包含了正確的序

45、列。為了響應(yīng)網(wǎng)絡(luò)的認(rèn)證請求，ISIM將密鑰應(yīng)用于隨機挑戰(zhàn)（RAND ,從而產(chǎn)生一個認(rèn)證響應(yīng) （RES）。網(wǎng)絡(luò)對 RES進行驗證以認(rèn)證ISIM。此時，UE和網(wǎng)絡(luò)已經(jīng)成功地完成了相互認(rèn)證，并且生成了一對會話密鑰：加密密鑰（CK）和完整f密鑰（IK）用以兩個實體之間通信的安全保護。6.5IMS的網(wǎng)絡(luò)安全在第二代移動通信系統(tǒng)中，由于在核心網(wǎng)中缺乏標(biāo)準(zhǔn)的安全解決方案，使得安全問題尤為突出。雖然在基站之間通?？捎杉用軄肀Ｗo，但是在核心網(wǎng)時，系統(tǒng)的節(jié)點之間卻是以明文來傳送業(yè)務(wù)流，這就讓攻擊者有機可乘，接入到這些媒體的攻擊者可以輕而易舉對整個通 信過程進行竊聽。針對2G系統(tǒng)中的安全缺陷，第三代移動通信系統(tǒng)中采

46、用 NDS對核心網(wǎng)中的所有IP數(shù)據(jù)業(yè)務(wù) 流進行保護。可以為通信服務(wù)提供性、數(shù)據(jù)完整性、認(rèn)證和防止重放攻擊，同時通過應(yīng)用在IPSec中的密碼安全機制和協(xié)議安全機制來解決安全問題。在NDS中有幾個重要的概念，它們分別是安全域( Security Domains)、安全網(wǎng)關(guān)(SEG 。安全域NDS中最核心的概念是安全域，安全域是一個由單獨的管理機構(gòu)管理運營的網(wǎng)絡(luò)。在同 一安全域采用統(tǒng)一的安全策略來管理，因此同一安全域部的安全等級和安全服務(wù)通常是一樣的。大多情況下，一個安全域直接對應(yīng)著一個運營商的核心網(wǎng)，不過，一個運營商也可以運營多個安全域，每個安全域都是該運營商整個核心網(wǎng)絡(luò)中的一個子集。在NDS/I

47、P中，不同的安全域之間的接口定義為Za接口，同一個安全域部的不同實體之間的安全接口則定義為Zb接口。其中Za接口為必選接口， Zb接口為可選接口。兩種接口主要完成的功能是提供數(shù) 據(jù)的認(rèn)證和完整性、性保護。安全網(wǎng)關(guān)SEG位于IP安全域的邊界處，是保護安全域之間的邊界。業(yè)務(wù)流通過一個SEG進入和離開安全域，SEG被用來處理通過 Za接口的通信，將業(yè)務(wù)流通過隧道傳送到已定義好的一組其 他安全域。這稱為輪軸-輻條(hub-and-spoke )模型，它為不同安全域之間提供逐跳的安全 保護。SEG負(fù)責(zé)在不同安全域之間傳送業(yè)務(wù)流時實施安全策略，也可以包括分組過濾或者防 火墻等的功能。IMS核心網(wǎng)中的所有業(yè)

48、務(wù)流都是通過SEG進行傳送，每個安全域可以有一個或多個SEG網(wǎng)絡(luò)運營商可以設(shè)置多個SEG以避免某獨立點出現(xiàn)故障或失敗。當(dāng)所保護的IMS業(yè)務(wù)流跨越不同安全域時，NDS/IP必須提供相應(yīng)的性、數(shù)據(jù)完整性和認(rèn)證?；贗P的網(wǎng)絡(luò)域安全體系NDS/IP體系結(jié)構(gòu)最基本的思想就是提供上從一跳到下一跳的安全，逐跳的安全也簡化了部 和面向其他外部安全域分離的安全策略的操作。在NDS/IP中只有SEG負(fù)責(zé)與其他安全域中的實體間進行直接通信。兩個SEG之間的業(yè)務(wù)被采用隧道模式下的IPSec ESP安全聯(lián)盟進行保護，安全網(wǎng)關(guān)之間的網(wǎng)絡(luò)連接通過使用IKE來建立和維護3。網(wǎng)絡(luò)實體(NE)能夠面向某個安全網(wǎng)關(guān)或一樣安全域的其他安全實體， 建立維護所需的 ESP安全聯(lián)盟。所有來自不同安全域的網(wǎng)絡(luò)實體的NDS/