IP多媒體子系統(tǒng)

41/41IP多媒體子系統(tǒng)IMS前言在經(jīng)歷了十幾年的高速發(fā)展后，移動(dòng)運(yùn)營(yíng)商越來(lái)越認(rèn)清了一條重要的規(guī)律，那就是電信業(yè)務(wù)必須不斷地發(fā)展以不斷滿足經(jīng)濟(jì)發(fā)展以及人們生活、工作和娛樂的通信和信息需求。目前，Yahoo!Messenger和騰訊QQ等多媒體業(yè)務(wù)早已風(fēng)靡全球。然而，它們是建立在固定Internet網(wǎng)絡(luò)良好能力的基礎(chǔ)上的，沒有任何通信和接入的質(zhì)量保證，因此，迅速開發(fā)移動(dòng)IP多媒體業(yè)務(wù)是當(dāng)前電信運(yùn)營(yíng)商的當(dāng)務(wù)之急。IMS的全稱是“IPMultimediaSubsystem”，即基于IP的多媒體系統(tǒng)，也稱IP多媒體子系統(tǒng)。IMS系統(tǒng)為下一代基于IP的移動(dòng)網(wǎng)絡(luò)提供了面向分組數(shù)據(jù)包交換的多媒體服務(wù)及平臺(tái)。它能夠滿足現(xiàn)在的終端客戶更新穎、更多樣化多媒體業(yè)務(wù)的需求。目前，IMS被認(rèn)為是下一代網(wǎng)絡(luò)的核心技術(shù)，也是解決移動(dòng)與固網(wǎng)融合，引入語(yǔ)音、數(shù)據(jù)、視頻三重融合等差異化業(yè)務(wù)的重要方式。但是，目前全球IMS網(wǎng)絡(luò)多數(shù)處于初級(jí)階段，應(yīng)用方式也處于業(yè)界探討當(dāng)中。(IMS的概念引入)IMS的定位(技術(shù)特點(diǎn)和結(jié)構(gòu)組成)IMS在3GPP(國(guó)際第三代移動(dòng)通信組織)Release5版本中提出，，旨在提供增強(qiáng)型IP服務(wù)的一個(gè)全方位框架，是對(duì)IP多媒體業(yè)務(wù)進(jìn)行控制的網(wǎng)絡(luò)核心層邏輯功能實(shí)體的總稱。它的初衷是以目前的全球移動(dòng)系統(tǒng)通信（GSM）核心網(wǎng)絡(luò)為基礎(chǔ)，重點(diǎn)開發(fā)面向第三代移動(dòng)系統(tǒng)的通信規(guī)范，及支持該系統(tǒng)的無(wú)線電接入技術(shù)。后來(lái)經(jīng)過(guò)修改，其任務(wù)又涉及GSM規(guī)范及其相關(guān)無(wú)線電接入技術(shù)的維護(hù)與開發(fā)工作。R5主要定義IMS的核心結(jié)構(gòu)，網(wǎng)元功能、接口和流程等內(nèi)容；R6版本增加了部分IMS業(yè)務(wù)特性、IMS與其他網(wǎng)絡(luò)的互通規(guī)范和無(wú)線局域網(wǎng)（WLAN）接入特性等；R7版本加強(qiáng)了對(duì)固定、移動(dòng)融合的標(biāo)準(zhǔn)化制訂，要求IMS支持?jǐn)?shù)字用戶線（xDSL）、電纜調(diào)制解調(diào)器等固定接入方式。軟交換技術(shù)從1998年就開始出現(xiàn)并且已經(jīng)歷了實(shí)驗(yàn)、商用等多個(gè)發(fā)展階段，目前已比較成熟。全球范圍早已有多家電信運(yùn)營(yíng)商開展了軟交換試驗(yàn)，發(fā)展至今，軟交換技術(shù)已經(jīng)具備了替代電路交換機(jī)的能力，并具備一定的寬帶多媒體業(yè)務(wù)能力。在軟交換技術(shù)已發(fā)展如此成熟的今天，IMS的出路在何方?又該如何發(fā)展和定位呢?首先需要對(duì)IMS和軟交換進(jìn)行較為全面的比較和分析。如果從采用的基礎(chǔ)技術(shù)上看，IMS和軟交換有很大的相似性：都是基于IP分組網(wǎng)；都實(shí)現(xiàn)了控制與承載的分離；大部分的協(xié)議都是相似或者完全相同的；許多網(wǎng)關(guān)設(shè)備和終端設(shè)備甚至是可以通用的。IMS和軟交換最大的區(qū)別在于以下幾個(gè)方面。（1）在軟交換控制與承載分離的基礎(chǔ)上，IMS更進(jìn)一步的實(shí)現(xiàn)了呼叫控制層和業(yè)務(wù)控制層的分離；（2）IMS起源于移動(dòng)通信網(wǎng)絡(luò)的應(yīng)用，因此充分考慮了對(duì)移動(dòng)性的支持，并增加了外置數(shù)據(jù)庫(kù)——?dú)w屬用戶服務(wù)器（HSS），用于用戶鑒權(quán)和保護(hù)用戶業(yè)務(wù)觸發(fā)規(guī)則；（3）IMS全部采用會(huì)話初始協(xié)議（SIP）作為呼叫控制和業(yè)務(wù)控制的信令，而在軟交換中，SIP只是可用于呼叫控制的多種協(xié)議的一種，更多的使用媒體網(wǎng)關(guān)協(xié)議（MGCP）和H.248協(xié)議。總體來(lái)講，IMS和軟交換的區(qū)別主要是在網(wǎng)絡(luò)構(gòu)架上。軟交換網(wǎng)絡(luò)體系基于主從控制的特點(diǎn)，使得其與具體的接入手段關(guān)系密切，而IMS體系由于終端與核心側(cè)采用基于IP承載的SIP協(xié)議，IP技術(shù)與承載媒體無(wú)關(guān)的特性使得IMS體系可以支持各類接入方式，從而使得IMS的應(yīng)用范圍從最初始的移動(dòng)網(wǎng)逐步擴(kuò)大到固定領(lǐng)域。此外，由于IMS體系架構(gòu)可以支持移動(dòng)性管理并且具有一定的服務(wù)質(zhì)量（QoS）保障機(jī)制，因此IMS技術(shù)相比于軟交換的優(yōu)勢(shì)還體現(xiàn)在寬帶用戶的漫游管理和QoS保障方面。（將軟交換同IMS相比較，意在幫助理解IMS）一個(gè)IMS包括一個(gè)或多個(gè)CSCF（呼叫會(huì)話控制功能）、MGCF（媒體網(wǎng)關(guān)控制功能）、IMS媒體網(wǎng)關(guān)、MRFC（多媒體資源功能處理器）、SLF（訂購(gòu)關(guān)系定位功能）、中斷網(wǎng)關(guān)控制功能和應(yīng)用服務(wù)器。圖IMS分層體系結(jié)構(gòu)IMS主要使用了如下組件：歸屬用戶服務(wù)、呼叫會(huì)話控制功能、安全網(wǎng)關(guān)、IP媒體服務(wù)器、及應(yīng)用服務(wù)器。歸屬用戶服務(wù)(HSS)主要存儲(chǔ)用戶和服務(wù)相關(guān)的數(shù)據(jù)，如用戶身份、注冊(cè)信息、接入?yún)?shù)和服務(wù)觸發(fā)（service-triggering）信息等。HSS還具備：用戶定位功能――定位分組和公共陸地移動(dòng)網(wǎng)絡(luò)（PLMN）的用戶地址，并存儲(chǔ)客戶所使用的電話類型，及使用服務(wù)時(shí)所在位置等信息。身份驗(yàn)證功能――存儲(chǔ)移動(dòng)用戶的密鑰并可為每名用戶生成動(dòng)態(tài)密碼。HSS通常存儲(chǔ)了高達(dá)每名用戶10KB的內(nèi)容。所以一個(gè)支持100萬(wàn)名用戶的HSS可能就需要64位線性尋址能力，以便能夠快速地存取內(nèi)存高速緩存中的信息。呼叫會(huì)話控制功能由幾個(gè)“子組件”組成，它們負(fù)責(zé)處理所有與建立和結(jié)束呼叫相關(guān)的信令，以及基本的SIP訊息交換。CSCF還可以處理控制IP媒體本身的信令，以及會(huì)話初始化管理等。這些子組件包括代理CSCF（P-CSCF）、詢問(wèn)CSCF（I-CSCF）和服務(wù)CSCF（S-CSCF）。代理CSCF是用戶設(shè)備的唯一連結(jié)點(diǎn)。用戶發(fā)出的所有訊息均須經(jīng)由P-CSCF進(jìn)入IMS，P-CSCF執(zhí)行如下功能：通過(guò)查詢HSS來(lái)實(shí)現(xiàn)初步的安全保護(hù)驗(yàn)證SIP訊息執(zhí)行IPSec完整性保護(hù)，以創(chuàng)建可信的訊息壓縮訊息以減少延遲創(chuàng)建計(jì)費(fèi)信息目前，P-CSCF一般位于歸屬網(wǎng)絡(luò)中，未來(lái)也許會(huì)被移植到被訪問(wèn)網(wǎng)絡(luò)。詢問(wèn)CSCF是歸屬網(wǎng)絡(luò)內(nèi)的第一連結(jié)點(diǎn)，I-CSCF負(fù)責(zé)聯(lián)系HSS以便為具體用戶確定服務(wù)-CSCF的位置。I-CSCF可能會(huì)提供一個(gè)拓?fù)潆[藏網(wǎng)際網(wǎng)關(guān)（THIG），它可以通過(guò)加密SIP訊息中的一些內(nèi)部IP地址和其它網(wǎng)絡(luò)信息，幫助保護(hù)IMS網(wǎng)絡(luò)拓?fù)洹-CSCF通常位于歸屬網(wǎng)絡(luò)。如果使用THIG，則I-CSCF一般位于被訪問(wèn)網(wǎng)絡(luò)。服務(wù)CSCF負(fù)責(zé)處理終端之間的所有SIP信令，并執(zhí)行如下功能：提供SIP路由，具體是將公共用戶身份（目前是電話號(hào)碼，將來(lái)也許會(huì)改變）轉(zhuǎn)換為終端IP地址，并向應(yīng)用服務(wù)器發(fā)送訊息保持會(huì)話的暢通，將用戶地址（例如，用戶設(shè)備的IP地址）與SIP記錄地址（公共用戶身份）緊密相連控制會(huì)話阻止未授權(quán)用戶使用服務(wù)S-CSCF總是位于歸屬網(wǎng)絡(luò)。安全網(wǎng)關(guān)是電信網(wǎng)絡(luò)之間，以及企業(yè)與電信網(wǎng)絡(luò)之間的通信通道。它主要控制訊息在NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）服務(wù)器和防火墻的出入，也可能會(huì)承擔(dān)一些其它的安全功能，如數(shù)據(jù)包過(guò)濾等。此外，安全網(wǎng)關(guān)還具備以下功能：強(qiáng)化IMS域之間的安全政策保護(hù)出入IMS域的控制平面訊息設(shè)置并維護(hù)IPSec安全關(guān)聯(lián)（SA）IP媒體服務(wù)器具備所有的流媒體功能，可提供豐富的多媒體訊息：如視頻、語(yǔ)音和文本。它負(fù)責(zé)管理相關(guān)的編碼器（編碼/解碼）和流媒體的代碼轉(zhuǎn)換工作，以及回聲消除、聲音偵測(cè)和聲音生成等工作。IP媒體服務(wù)器還能夠提供流倍增和流廣播，以滿足會(huì)議應(yīng)用的需要，它還可以連結(jié)至電路交換網(wǎng)絡(luò)。應(yīng)用服務(wù)器為IMS網(wǎng)絡(luò)提供多媒體服務(wù)，它主要提供所有其它IMS組件如SIPServlet的訪問(wèn)權(quán)限。應(yīng)用服務(wù)器也可用來(lái)部署新服務(wù)，由于IMS采用模塊化架構(gòu)，因此只需更換或升級(jí)應(yīng)用服務(wù)器即可完成新服務(wù)部署。這樣的戰(zhàn)略完全不同于之前的垂直模式，在垂直模式中，服務(wù)總是作為單點(diǎn)解決方案來(lái)部署，每項(xiàng)服務(wù)都使用自己的一套專有設(shè)備。應(yīng)用服務(wù)器可以位于歸屬網(wǎng)絡(luò)，也可以位于第三方網(wǎng)絡(luò)，如果位于第三方網(wǎng)絡(luò)，它們就不能與HSS接合。因?yàn)閼?yīng)用服務(wù)器屬于OSA（開放服務(wù)架構(gòu)）應(yīng)用服務(wù)器，所以它們可以安全地從外部網(wǎng)絡(luò)接入IMS并連接到GSMCAMEL（移動(dòng)增強(qiáng)邏輯定制應(yīng)用）服務(wù)器。IMS的發(fā)展與應(yīng)用3.1IMS標(biāo)準(zhǔn)的發(fā)展對(duì)IMS進(jìn)行標(biāo)準(zhǔn)化的國(guó)際標(biāo)準(zhǔn)組織主要有3GPP和高級(jí)網(wǎng)絡(luò)電信和互聯(lián)網(wǎng)融合業(yè)務(wù)和協(xié)議（TISPAN）。3GPP側(cè)重于從移動(dòng)的角度對(duì)IMS進(jìn)行研究，而TISPAN則側(cè)重于從固定的角度對(duì)IMS提出需求，并統(tǒng)一由3GPP來(lái)完善。3GPP對(duì)IMS的標(biāo)準(zhǔn)化是按照R5版本、R6版本、R7版本……這個(gè)過(guò)程來(lái)發(fā)布的，IMS首次提出是在R5版本中，然后在R6、R7版本中進(jìn)一步完善。R5版本主要側(cè)重于對(duì)IMS基本結(jié)構(gòu)、功能實(shí)體及實(shí)體間的流程方面的研究；而R6版本主要是側(cè)重于IMS和外部網(wǎng)絡(luò)的互通能力以及IMS對(duì)各種業(yè)務(wù)的支持能力等。相比于R5版本，R6版本的網(wǎng)絡(luò)結(jié)構(gòu)并沒有發(fā)生改變，只是在業(yè)務(wù)能力上有所增加。在R5的基礎(chǔ)上增加了部分業(yè)務(wù)特性，網(wǎng)絡(luò)互通規(guī)范以及無(wú)線局域網(wǎng)接入特性等，其主要目的是促使IMS成為一個(gè)真正的可運(yùn)營(yíng)的網(wǎng)絡(luò)技術(shù)。R7階段更多的考慮了固定方面的特性要求，加強(qiáng)了對(duì)固定、移動(dòng)融合的標(biāo)準(zhǔn)化制訂。R5版本和R6版本分別在2002年和2005年被凍結(jié)，而R7版本也即將凍結(jié)。在TISPAN定義的NGN體系架構(gòu)中，IMS是業(yè)務(wù)部件之一。TISPANIMS是在3GPPR6IMS核心規(guī)范的基礎(chǔ)上對(duì)功能實(shí)體和協(xié)議進(jìn)行擴(kuò)展的，支持固定接入方式。TISPAN的工作方式和3GPP相似，都是分階段發(fā)布不同版本。目前，TISPAN已經(jīng)發(fā)布了R1版本相關(guān)規(guī)范，從固定的角度向3GPP提出對(duì)IMS的修改建議；R2版本目前還處于需求分析階段。TISPAN在許多文檔中都直接應(yīng)用了3GPP的相關(guān)文檔內(nèi)容，而3GPPR7版本中的很多內(nèi)容又都是在吸收了TISPAN的研究成果的基礎(chǔ)上形成的，所以一方對(duì)文檔內(nèi)容的修改都將直接影響另一方。此外，部分先進(jìn)的運(yùn)營(yíng)商（如德國(guó)電信、英國(guó)電信和法國(guó)電信）已經(jīng)明確了未來(lái)網(wǎng)絡(luò)和業(yè)務(wù)融合的戰(zhàn)略目標(biāo)，并開始特別關(guān)注基于IMS的網(wǎng)絡(luò)融合研究。各大設(shè)備廠商也加大了對(duì)IMS在固網(wǎng)領(lǐng)域應(yīng)用的研究，正積極參與并大力推進(jìn)基于IMS的NGN的標(biāo)準(zhǔn)化工作。因此各個(gè)標(biāo)準(zhǔn)之間的協(xié)調(diào)一致的問(wèn)題還需要進(jìn)一步探討。3.2IP媒體業(yè)務(wù)類型IMS是一個(gè)在分組域（PS）上的多媒體控制/呼叫控制平臺(tái)，IMS使得PS具有電路域（CS）的部分功能，支持會(huì)話類和非會(huì)話類的多媒體業(yè)務(wù)。IMS為未來(lái)的多媒體應(yīng)用提供了一個(gè)通用的業(yè)務(wù)平臺(tái)，典型的業(yè)務(wù)如呈現(xiàn)、消息、會(huì)議、一鍵通等等。將不同的業(yè)務(wù)進(jìn)行分組可以得到以下一些類型。（1）信息類業(yè)務(wù)，這類業(yè)務(wù)對(duì)用戶來(lái)講已經(jīng)非常熟悉，而且目前為運(yùn)營(yíng)商帶來(lái)了良好的收益，IMS的信息類業(yè)務(wù)將帶給用戶更多的選擇，在享用這些信息類業(yè)務(wù)的同時(shí)，用戶可以隨心所欲而且費(fèi)用低廉的使用其他媒介，比如視頻和聲音等，同時(shí)可以靈活的選用實(shí)時(shí)業(yè)務(wù)或非實(shí)時(shí)業(yè)務(wù)進(jìn)行溝通。（2）多媒體呼叫話音業(yè)務(wù)，這類業(yè)務(wù)可以給用戶在原有的話音業(yè)務(wù)操作和應(yīng)用上帶來(lái)全新的體驗(yàn)。（3）增強(qiáng)型呼叫管理，可以實(shí)現(xiàn)讓用戶自己來(lái)控制業(yè)務(wù)，讓用戶的溝通更加靈活。（4）群組業(yè)務(wù)，將不同的通信媒介聚合起來(lái)，為用戶提供新的業(yè)務(wù)體驗(yàn)，而且IMS還可以對(duì)業(yè)務(wù)進(jìn)行新的開發(fā)和組合；突破傳統(tǒng)的一對(duì)一的通信方式限制，可以提供基于群組的通信方式。（5）信息共享，常見的郵件攜帶附件的溝通模式可以完成部分的信息共享功能，但是在許多情況下顯得不夠靈活，所以實(shí)時(shí)在線的信息共享通信應(yīng)運(yùn)而生，多個(gè)用戶可以實(shí)時(shí)處理同一個(gè)數(shù)據(jù)文件。（6）在線娛樂，移動(dòng)終端可以直接和信息資源互聯(lián)，IMS方式可以更好地呈現(xiàn)信息的更新和溝通，并可以隨著用戶需求的增長(zhǎng)對(duì)信息進(jìn)行必要的過(guò)濾；對(duì)于用戶的在線游戲，IMS可以為用戶提供從單機(jī)游戲到多用戶在線參與的在線娛樂方式，同時(shí)用戶還可以采用多種多媒體來(lái)溝通交流。3.3IMS的主要應(yīng)用隨著IMS技術(shù)和產(chǎn)品的逐漸成熟，已經(jīng)有一些運(yùn)營(yíng)商開始了IMS的商用，還有一些運(yùn)營(yíng)商在進(jìn)行相關(guān)的測(cè)試。從目前的商用和測(cè)試情況看，移動(dòng)運(yùn)營(yíng)商已經(jīng)開始商用，而固網(wǎng)運(yùn)營(yíng)商還主要處于試驗(yàn)階段。綜合考慮，IMS的應(yīng)用主要集中在以下幾個(gè)方面。首先是在移動(dòng)網(wǎng)絡(luò)的應(yīng)用，這類應(yīng)用是移動(dòng)運(yùn)營(yíng)商為了豐富移動(dòng)網(wǎng)絡(luò)的業(yè)務(wù)而開展的，主要是在移動(dòng)網(wǎng)絡(luò)的基礎(chǔ)上用IMS來(lái)提供PoC、即時(shí)消息、視頻共享等多媒體增值業(yè)務(wù)。應(yīng)用重點(diǎn)集中在給企業(yè)客戶提供IPCENTREX和公眾客戶的VoIP第二線業(yè)務(wù)。其次是固定運(yùn)營(yíng)商出于網(wǎng)絡(luò)演進(jìn)和業(yè)務(wù)的需要，通過(guò)IMS為企業(yè)用戶提供融合的企業(yè)的應(yīng)用（IPCENTREX業(yè)務(wù)），以及向固定寬帶用戶（例如ADSL用戶）提供VoIP應(yīng)用。第三種典型的應(yīng)用是融合的應(yīng)用，主要體現(xiàn)在WLAN和3G的融合，以實(shí)現(xiàn)語(yǔ)音業(yè)務(wù)的連續(xù)性。在這種方式下，用戶擁有一個(gè)WLAN/WCDMA的雙模終端，在WLAN的覆蓋區(qū)內(nèi)，一般優(yōu)先使用WLAN接入，因?yàn)檫@種方式用戶使用業(yè)務(wù)的資費(fèi)更低，數(shù)據(jù)業(yè)務(wù)的帶寬更充足。當(dāng)離開WLAN的覆蓋區(qū)后，終端自動(dòng)切換到WCDMA網(wǎng)絡(luò)，從而實(shí)現(xiàn)語(yǔ)音在WLAN和WCDMA之間的連續(xù)性。目前，這種方案的商用較少，但是許多運(yùn)營(yíng)商都在進(jìn)行測(cè)試。在IMS中全部采用SIP協(xié)議，雖然SIP也可以實(shí)現(xiàn)最基本的VoIP，但是這種協(xié)議在多媒體應(yīng)用中所展現(xiàn)出來(lái)的優(yōu)勢(shì)表明，它天生就是為多媒體業(yè)務(wù)而生的。由于SIP協(xié)議非常靈活，所以IMS還存在許多潛在的業(yè)務(wù)。3.4IMS獨(dú)辟蹊徑與其它在IP上簡(jiǎn)單提供的電路服務(wù)不同，采用IMS框架的運(yùn)營(yíng)商可以在IP上建立一個(gè)開放的服務(wù)基礎(chǔ)設(shè)施，進(jìn)而簡(jiǎn)單地部署豐富的媒體通信服務(wù)。IMS可以滿足網(wǎng)絡(luò)和用戶的如下要求：提供人與人的實(shí)時(shí)IP多媒體通信，如語(yǔ)音或視頻電話；以及人機(jī)通信，如游戲、視頻點(diǎn)播和網(wǎng)上沖浪等。全面集成各種實(shí)時(shí)通信，如即時(shí)流傳輸和即時(shí)聊天，及其它非實(shí)時(shí)多媒體。支持多種服務(wù)和應(yīng)用的互動(dòng)，例如，視頻會(huì)議和游戲或者實(shí)時(shí)視頻和即時(shí)通訊。輕松地提高通信會(huì)話體驗(yàn)，例如，通過(guò)“單擊”將即時(shí)通訊會(huì)話轉(zhuǎn)變?yōu)檎Z(yǔ)音會(huì)話。1．即時(shí)通(Pushtotalk)又叫做一鍵通業(yè)務(wù)，該服務(wù)使得手機(jī)終端用戶能夠在分組交換網(wǎng)絡(luò)上，通過(guò)只按一個(gè)按鍵就進(jìn)行一對(duì)一或群體即時(shí)通話。該服務(wù)采取“半雙工”模式，也就是說(shuō)同一時(shí)間只有一人能夠講話，從而更便于群體交流，該服務(wù)可以使用戶能夠在通話群中靈活地選定或者變換通話對(duì)象。從而用戶可以輕易地與通話群體中所有人或選擇部分人進(jìn)行Pushtotalk通話。它是一種全數(shù)字傳輸?shù)腣oIP技術(shù)，其完全基于SIP協(xié)議和IMS的設(shè)計(jì)，很好的保證了互通性、可量測(cè)性和向未來(lái)3G的平滑過(guò)渡。2．IP電話業(yè)務(wù)隨著寬帶IP接入的普及，IP終端電話成為新的熱點(diǎn)，例如現(xiàn)在一些運(yùn)營(yíng)商正在推廣的IP超市(類似于IP公用電話亭)，基于H.323的IP終端電話未能普及除了以前缺乏IP寬帶接入這個(gè)原因外，還因?yàn)镠.323的用戶認(rèn)證一直是一個(gè)問(wèn)題，另外H.323終端價(jià)格昂貴也是一個(gè)原因?，F(xiàn)在采用SIP基本上克服了這些問(wèn)題，SIP軟件被免費(fèi)集成在MicrosoftWinXP操作系統(tǒng)中，因?yàn)镾IP如此簡(jiǎn)單，甚至有運(yùn)行在Linux，PocketPc（便攜PC），Symbian上的SIPClient軟件，使得手持終端上的SIP應(yīng)用也成為可能，而且SIP還支持完善的用戶認(rèn)證機(jī)制。所以基于SIP的IMS完全可以被用來(lái)作為IP終端電話系統(tǒng)。3．串行振鈴和并行振鈴業(yè)務(wù)因?yàn)橐粋€(gè)SIP用戶可以同時(shí)在很多終端上注冊(cè)，比如他可能有幾個(gè)固定辦公電話，還有無(wú)繩電話，移動(dòng)電話，便攜PC等，每種終端可以實(shí)現(xiàn)不同的功能，比如便攜PC支持視頻而固定SIP電話可能連P&M都不支持，用戶不需要總是帶著所有終端，在各種情況下他只帶著其中一些，比如開會(huì)時(shí)他可能只帶著便攜PC。串行振鈴業(yè)務(wù)是當(dāng)另外一個(gè)用戶呼叫該用戶時(shí)，系統(tǒng)會(huì)根據(jù)該用戶設(shè)定的次序和等待時(shí)間依次振鈴該用戶的各種終端，直到該用戶接通為止。而并行振鈴業(yè)務(wù)則是系統(tǒng)同時(shí)振鈴該用戶的所有注冊(cè)終端，直到該用戶接通為止。4．會(huì)晤轉(zhuǎn)移業(yè)務(wù)會(huì)晤轉(zhuǎn)移業(yè)務(wù)包括無(wú)條件轉(zhuǎn)移，無(wú)應(yīng)答轉(zhuǎn)移和遇忙轉(zhuǎn)移，該用戶可以定制轉(zhuǎn)移的統(tǒng)一資源標(biāo)識(shí)(URI)，當(dāng)條件符合時(shí)，呼叫被轉(zhuǎn)移到設(shè)定的目標(biāo)。這種業(yè)務(wù)和傳統(tǒng)電話呼叫轉(zhuǎn)移業(yè)務(wù)功能相同，只是增加了新的媒體類型。5．主叫標(biāo)識(shí)顯示業(yè)務(wù)和傳統(tǒng)電話的主叫號(hào)碼顯示意義相同，只不過(guò)顯示在被叫終端上的不只是主叫的SIPURI，而可能是任何媒體，比如一張主叫的照片、一段聲音或者視頻片斷。根據(jù)系統(tǒng)的提示，主叫可以事先將要傳送的標(biāo)識(shí)上傳到系統(tǒng)中存儲(chǔ)，當(dāng)主叫呼叫被叫時(shí)，SIP消息報(bào)文將主叫標(biāo)識(shí)的統(tǒng)一資源地址(URL)傳到被叫，被叫終端自動(dòng)打開該URL，從而看到主叫的標(biāo)識(shí)。當(dāng)前IMS的重要性正與日俱增，這是因?yàn)榫W(wǎng)絡(luò)運(yùn)營(yíng)商需要將傳統(tǒng)的服務(wù)，如語(yǔ)音呼叫和短信服務(wù)（SMS）和數(shù)據(jù)服務(wù)，如電子郵件、上網(wǎng)和即時(shí)通訊（IM）進(jìn)行融合。正如電纜提供商正在探索著同時(shí)推出視頻服務(wù)和電信服務(wù)一樣，網(wǎng)絡(luò)運(yùn)營(yíng)商也在嘗試著提供視頻服務(wù)，以保持競(jìng)爭(zhēng)力。此外，客戶也期待著服務(wù)的融合，而IMS正好為網(wǎng)絡(luò)運(yùn)營(yíng)商提供了一個(gè)難得的機(jī)遇。4.IMS的優(yōu)勢(shì)IMS具有諸多優(yōu)勢(shì)，尤為明顯的有四點(diǎn)：移動(dòng)管理、服務(wù)質(zhì)量、服務(wù)控制和開發(fā)商界接口。移動(dòng)管理IMS可以在IP基礎(chǔ)設(shè)施范圍內(nèi)的任何地理位置，搜索用戶并建立會(huì)話。它有一個(gè)組件負(fù)責(zé)保存用戶數(shù)據(jù)，及用戶（或服務(wù)器）之間的搜索與通信。它還有另外一個(gè)組件負(fù)責(zé)協(xié)助建立和管理會(huì)話，并轉(zhuǎn)發(fā)IMS網(wǎng)絡(luò)之間的訊息。這兩個(gè)組件共同實(shí)現(xiàn)了高效的移動(dòng)管理。服務(wù)質(zhì)量服務(wù)質(zhì)量（QoS）是IP電信系統(tǒng)的一個(gè)常見問(wèn)題。由帶寬不足和其它原因引發(fā)的有損質(zhì)量的因素，如延遲、波動(dòng)、數(shù)據(jù)包丟失和回聲等，會(huì)使傳輸質(zhì)量難以接受。IP語(yǔ)音（VoIP）之所以能夠迅速普及，是因?yàn)殚_發(fā)面世的QoS機(jī)制能夠控制這些不利因素，以保持一定的質(zhì)量水平。IMS融入了控制實(shí)時(shí)移動(dòng)IP通信質(zhì)量的特殊機(jī)制，可通過(guò)控制此處數(shù)據(jù)包網(wǎng)絡(luò)和與其互動(dòng)來(lái)確保質(zhì)量的可接受性。服務(wù)控制移動(dòng)服務(wù)提供商網(wǎng)絡(luò)非常復(fù)雜，因?yàn)樘峁┥瘫仨毺峁└鞣N不同的服務(wù)，以高效地滿足廣大客戶的要求。因此提供商必須能夠一目了然地對(duì)這些服務(wù)進(jìn)行管理、控制和計(jì)費(fèi)。在優(yōu)化服務(wù)交付方面，IMS側(cè)重的是提供服務(wù)的效率。當(dāng)客戶訪問(wèn)移動(dòng)提供商的IMS網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)會(huì)提供一份個(gè)人資料以供下載。一旦系統(tǒng)擁有了這份資料，就會(huì)知道客戶有權(quán)使用的服務(wù)范圍，就可以決定這些服務(wù)的執(zhí)行順序，如果有必要，還可以獲得網(wǎng)絡(luò)上提供這些服務(wù)的應(yīng)用服務(wù)器資料。借助這一相對(duì)簡(jiǎn)單的系統(tǒng)，移動(dòng)運(yùn)營(yíng)商就可以控制和管理極大型網(wǎng)絡(luò)中極其復(fù)雜的服務(wù)交付工作。標(biāo)準(zhǔn)接口由于IMS采用的是標(biāo)準(zhǔn)化架構(gòu)來(lái)支持部署增強(qiáng)的IP服務(wù)，因此第三方可以獨(dú)立為任何IMS部署開發(fā)各種服務(wù)。這有利于實(shí)現(xiàn)更大范圍的服務(wù)集成、互操作性和漫游，也有利于創(chuàng)新者形成強(qiáng)大的網(wǎng)絡(luò)以解決服務(wù)提供商的各種要求。IMS中的IP尋址與分組域骨干網(wǎng)中使用的(例如IPv4)和電路域中使用的是不同的，所以IPv6和IPv4互通的問(wèn)題需要解決。缺少IPv6的實(shí)踐經(jīng)驗(yàn)。用于移動(dòng)臺(tái)接入IP多媒體服務(wù)的IP尋址范圍必須在IMS尋址域內(nèi)，這個(gè)尋址域是在建立好IP連接時(shí)激活的PDP（策略決策點(diǎn)）上下文中安排好的。IP地址可以從服務(wù)域而不是歸屬域的GGSN中獲得，從路由的效率來(lái)考慮，這是一個(gè)優(yōu)點(diǎn)。5.基于IMS的網(wǎng)絡(luò)融合問(wèn)題隨著通信網(wǎng)絡(luò)的發(fā)展與演進(jìn)，融合是不可避免的主題，固定和移動(dòng)的融合（FMC）更是迫切要解決的問(wèn)題。ETSI（歐洲電信標(biāo)準(zhǔn)化協(xié)會(huì)）給FMC下的定義是：“固定移動(dòng)融合是一種能提供與接入技術(shù)無(wú)關(guān)的網(wǎng)絡(luò)能力。但這并不意味著一定是物理上的網(wǎng)絡(luò)融合，而只關(guān)心一個(gè)融合的網(wǎng)絡(luò)體系結(jié)構(gòu)和相應(yīng)的標(biāo)準(zhǔn)規(guī)范。這些標(biāo)準(zhǔn)可以用來(lái)支持固定業(yè)務(wù)、移動(dòng)業(yè)務(wù)以及固定移動(dòng)混合的業(yè)務(wù)。固定移動(dòng)融合的一個(gè)重要特征是，用戶的業(yè)務(wù)簽約和享用的業(yè)務(wù)，將從不同的接入點(diǎn)和終端上分離開來(lái)，以允許用戶從任何固定或移動(dòng)的終端上，通過(guò)任何兼容的接入點(diǎn)訪問(wèn)完全相同的業(yè)務(wù)，包括在漫游時(shí)也能獲得相同的業(yè)務(wù)。”在給FMC下定義的同時(shí)也對(duì)固定移動(dòng)網(wǎng)絡(luò)的融合提出了相應(yīng)的要求。IMS進(jìn)一步發(fā)揚(yáng)了軟交換結(jié)構(gòu)中業(yè)務(wù)與控制分離、控制與承載分離的思想，比軟交換進(jìn)行了更充分的網(wǎng)絡(luò)解聚，網(wǎng)絡(luò)結(jié)構(gòu)更加清晰合理。網(wǎng)絡(luò)各個(gè)層次的不斷解聚是電信網(wǎng)絡(luò)發(fā)展的總體趨勢(shì)。網(wǎng)絡(luò)的解聚使得垂直業(yè)務(wù)模式被打破，有利于業(yè)務(wù)的發(fā)展；另外，不同類型網(wǎng)絡(luò)的解聚也為網(wǎng)絡(luò)在不同層次上的重新聚合創(chuàng)造了條件。這種重新聚合，就是網(wǎng)絡(luò)融合的過(guò)程。利用IMS實(shí)現(xiàn)對(duì)固定接入和移動(dòng)接入的統(tǒng)一核心控制，主要是IMS具有以下特點(diǎn)。（1）與接入無(wú)關(guān)性。雖然3GPPIMS是為移動(dòng)網(wǎng)絡(luò)設(shè)計(jì)的，TISPANNGN是為固定xDSL寬帶接入設(shè)計(jì)的，但它們采用的IMS網(wǎng)絡(luò)技術(shù)卻可以做到與接入無(wú)關(guān)，因而能確保對(duì)FMC的支持。從理論上可以實(shí)現(xiàn)不論用戶使用什么設(shè)備、在何地接入IMS網(wǎng)絡(luò)，都可以使用歸屬地的業(yè)務(wù)。（2）統(tǒng)一的業(yè)務(wù)觸發(fā)機(jī)制。IMS核心控制部分不實(shí)現(xiàn)具體業(yè)務(wù)，所有的業(yè)務(wù)包括傳統(tǒng)概念上的補(bǔ)充業(yè)務(wù)都由業(yè)務(wù)應(yīng)用平臺(tái)來(lái)實(shí)現(xiàn)，IMS核心控制只根據(jù)初始過(guò)濾規(guī)則進(jìn)行業(yè)務(wù)觸發(fā)，這樣消除了核心控制相關(guān)功能實(shí)體和業(yè)務(wù)之間的綁定關(guān)系，無(wú)論固定接入還是移動(dòng)接入都可以使用IMS中定義的業(yè)務(wù)觸發(fā)機(jī)制實(shí)現(xiàn)統(tǒng)一觸發(fā)。（3）統(tǒng)一的路由機(jī)制。IMS中僅保留了傳統(tǒng)移動(dòng)網(wǎng)中HLR（歸屬位置寄存器）的概念，而摒棄了VLR（采訪位置寄存器）的概念，和用戶相關(guān)的數(shù)據(jù)信息只保存在用戶的歸屬地，這樣不僅用戶的認(rèn)證需要到歸屬地認(rèn)證，所有和用戶相關(guān)的業(yè)務(wù)也必須經(jīng)過(guò)用戶的歸屬地。（4）統(tǒng)一用戶數(shù)據(jù)庫(kù)。HSS（歸屬業(yè)務(wù)服務(wù)器）是一個(gè)統(tǒng)一的用戶數(shù)據(jù)庫(kù)系統(tǒng)，既可以存儲(chǔ)移動(dòng)IMS用戶的數(shù)據(jù)，也可以存儲(chǔ)固定IMS用戶的數(shù)據(jù)，數(shù)據(jù)庫(kù)本身不再區(qū)分固定用戶和移動(dòng)用戶。特別是業(yè)務(wù)觸發(fā)機(jī)制中使用的初始過(guò)濾規(guī)則，對(duì)IMS中所定義的數(shù)據(jù)庫(kù)來(lái)講完全是透明數(shù)據(jù)的概念，屏蔽了固定和移動(dòng)用戶在業(yè)務(wù)屬性上的差異。（5）充分考慮了運(yùn)營(yíng)商實(shí)際運(yùn)營(yíng)的需求，在網(wǎng)絡(luò)框架、QoS（服務(wù)質(zhì)量）、安全、計(jì)費(fèi)以及和其他網(wǎng)絡(luò)的互通方面都制定了相關(guān)規(guī)范。IMS所具有這些特征可以同時(shí)為移動(dòng)用戶和固定用戶所共用，這就為同時(shí)支持固定和移動(dòng)接入提供了技術(shù)基礎(chǔ)，使得網(wǎng)絡(luò)融合成為可能。目前電信業(yè)務(wù)的發(fā)展已經(jīng)到達(dá)了個(gè)人通信的重要階段，傳統(tǒng)的多媒體業(yè)務(wù)結(jié)構(gòu)無(wú)法支持移動(dòng)(個(gè)人化的)多媒體通信的需求，3GPPR5/R6采用的SIP體系結(jié)構(gòu)和IP多媒體子系統(tǒng)為滿足下一代的電信業(yè)務(wù)需求打下了基礎(chǔ)，結(jié)合OSA技術(shù)和虛擬駐地環(huán)境技術(shù)，電信用戶可以獲得他們急需的新的移動(dòng)多媒體通信業(yè)務(wù)，電信運(yùn)營(yíng)商也將在第三代移動(dòng)通信上找到自己的業(yè)務(wù)增長(zhǎng)點(diǎn)。6.IMS存在的安全問(wèn)題分析6.1IMS受累于DNS其實(shí)，本質(zhì)上講，安全的實(shí)現(xiàn)就是在IMS和公眾互聯(lián)網(wǎng)之間所設(shè)立的一道墻，以防止一切可疑內(nèi)容的通過(guò)。3GPP/3GPP2在IMS安全問(wèn)題上進(jìn)行了詳細(xì)的定義，包括SIM應(yīng)用和認(rèn)證程序。但很遺憾，3GPP/3GPP2并沒有對(duì)如何防止拒絕服務(wù)對(duì)DNS的攻擊作相關(guān)定義，這給IMS留下了巨大的安全隱患。3GPP/3GPP2在IMS安全規(guī)范中也提到了“應(yīng)該”防范虛假地址欺騙，但并沒有說(shuō)明“如何”進(jìn)行防范。除了安全缺陷之外，這還形成另一個(gè)問(wèn)題，就是不同IMS網(wǎng)絡(luò)或者IMS網(wǎng)絡(luò)與互聯(lián)網(wǎng)SIP用戶之間是否能夠協(xié)同工作的問(wèn)題。在互聯(lián)網(wǎng)上，DNS是黑客們經(jīng)常攻擊的對(duì)象。這主要是因?yàn)?，在互?lián)網(wǎng)的世界里存在大量的、相互獨(dú)立的DNS服務(wù)器，不管你是增加、刪除還是重新配置一臺(tái)DNS服務(wù)器都是非常簡(jiǎn)單的事情，當(dāng)然也包括惡意攻擊?？梢哉f(shuō)，在開發(fā)使用DNS技術(shù)的同時(shí)，我們也為自己鋪設(shè)了一個(gè)安全陷阱，雖然DNS技術(shù)給我們解決了許多問(wèn)題，而且使用起來(lái)也非常簡(jiǎn)單。在DNS系統(tǒng)中，緩存中毒是非常普遍的現(xiàn)象。以前通常通過(guò)限制遞歸式DNS的使用來(lái)進(jìn)行防范，這是不對(duì)的，因?yàn)檫@將大大降低整個(gè)DNS系統(tǒng)的彈性。另一種防范方式是“以毒攻毒”，即以同樣的虛假地址向?qū)⒁艿焦舻腄NS服務(wù)器“海量”請(qǐng)求，從而將惡意攻擊淹沒。這樣做的后果很明顯，在防范了惡意攻擊的同時(shí)也拖垮了目標(biāo)服務(wù)器。同互聯(lián)網(wǎng)一樣，IMS通過(guò)使用DNS來(lái)實(shí)現(xiàn)不同語(yǔ)言的URL鏈接和傳統(tǒng)電話號(hào)碼與IP地址之間的解析，而且IMS對(duì)DNS的依賴相比互聯(lián)網(wǎng)有過(guò)之而無(wú)不及。如IMS安全規(guī)范所描述的那樣，數(shù)據(jù)包在通過(guò)PCSCF時(shí)需要進(jìn)行加密，而且這一行為與有沒有惡意攻擊無(wú)關(guān)。這樣一來(lái)，會(huì)使PCSCF實(shí)體中的防火墻功能大打折扣。（編者注：CSCF——會(huì)話服務(wù)控制，是IMS的功能實(shí)體之一，它包括PCSCF——代理CSCF、ICSCF——查詢CSCF以及SCSCF——服務(wù)CSCF等類型，在物理上可以是合一的，也可以分別設(shè)置。）而且，為了滿足電信級(jí)應(yīng)用的要求，IMS使用的是私有DNS服務(wù)器，還增加了ENUM（電話號(hào)碼映射）設(shè)備。專家認(rèn)為，這樣做的危險(xiǎn)性其實(shí)更大，因?yàn)橐坏┻\(yùn)營(yíng)商的DNS出現(xiàn)問(wèn)題，整個(gè)網(wǎng)絡(luò)的正常工作都將受到影響。6.2協(xié)同工作問(wèn)題另外一個(gè)相關(guān)的問(wèn)題就是就是IMS網(wǎng)絡(luò)與互聯(lián)網(wǎng)SIP用戶的協(xié)同工作問(wèn)題。IMS利用ENUM功能進(jìn)行SIPURL的查詢。但此類查詢可以“由內(nèi)往外”進(jìn)行，卻無(wú)法“由外往內(nèi)”。即查詢可以從運(yùn)營(yíng)商的內(nèi)網(wǎng)透?jìng)鞯交ヂ?lián)網(wǎng)，卻無(wú)法從互聯(lián)網(wǎng)透?jìng)鞯诫娦胚\(yùn)營(yíng)商的私有DNS，除非運(yùn)營(yíng)商的網(wǎng)絡(luò)與公共互聯(lián)網(wǎng)之間沒有防火墻，這種情況令人費(fèi)解。而且，向外查詢也十分的費(fèi)勁，或者需要運(yùn)營(yíng)商在其網(wǎng)絡(luò)和公共互聯(lián)網(wǎng)之間設(shè)置防火墻，或者IMS的安全模式需要重新定義。對(duì)于這個(gè)問(wèn)題，3GPP和IETF已經(jīng)開始著手對(duì)SIP標(biāo)準(zhǔn)進(jìn)行派生以實(shí)現(xiàn)在IMS的環(huán)境下進(jìn)行SIPURL的真正跨網(wǎng)查詢。傳統(tǒng)的電信網(wǎng)絡(luò)采用獨(dú)立的TDM的專線，用戶之間采用面向連接的通道進(jìn)行通信，避免了來(lái)自其他終端用戶的各種竊聽和攻擊。

而IMS網(wǎng)絡(luò)與互聯(lián)網(wǎng)相連接，基于IP協(xié)議和開放的網(wǎng)絡(luò)架構(gòu)可以將語(yǔ)音、數(shù)據(jù)、多媒體等多種不同業(yè)務(wù)，通過(guò)采用多種不同的接入方式來(lái)共享業(yè)務(wù)平臺(tái)，增加了網(wǎng)絡(luò)的靈活性和終端之間的互通性，不同的移動(dòng)接入還是固定接入，IMS的安全問(wèn)題都不容忽視。

IMS的安全威脅主要來(lái)自于幾個(gè)方面：未經(jīng)授權(quán)地訪問(wèn)敏感數(shù)據(jù)以破壞機(jī)密性；未經(jīng)授權(quán)地篡改敏感數(shù)據(jù)以破壞完整性；干擾或?yàn)E用網(wǎng)絡(luò)業(yè)務(wù)導(dǎo)致拒絕服務(wù)或降低系統(tǒng)可用性；用戶或網(wǎng)絡(luò)否認(rèn)已完成的操作；未經(jīng)授權(quán)地接入業(yè)務(wù)等[1]。主要涉及到IMS的接入安全（3GPPTS33.203），包括用戶和網(wǎng)絡(luò)認(rèn)證及保護(hù)IMS終端和網(wǎng)絡(luò)間的業(yè)務(wù)；以及IMS的網(wǎng)絡(luò)安全（3GPPTS33.210）[2]，處理屬于同一運(yùn)營(yíng)商或不同運(yùn)營(yíng)商網(wǎng)絡(luò)節(jié)點(diǎn)之間的業(yè)務(wù)保護(hù)。除此之外，還對(duì)用戶終端設(shè)備和通用集成電路卡/IP多媒體業(yè)務(wù)身份識(shí)別模塊（UICC/ISIM）安全構(gòu)成威脅。

6.3IMS安全體系

IMS系統(tǒng)安全的主要應(yīng)對(duì)措施是IP安全協(xié)議（IPSec），通過(guò)IPSec提供了接入安全保護(hù)，使用IPSec來(lái)完成網(wǎng)絡(luò)域內(nèi)部的實(shí)體和網(wǎng)絡(luò)域之間的安全保護(hù)。3GPPIMS實(shí)質(zhì)上是疊加在原有核心網(wǎng)分組域上的網(wǎng)絡(luò)，對(duì)PS域沒有太大的依賴性，在PS域中，業(yè)務(wù)的提供需要移動(dòng)設(shè)備和移動(dòng)網(wǎng)絡(luò)之間建立一個(gè)安全聯(lián)盟（SA）后才能完成。對(duì)于IMS系統(tǒng)，多媒體用戶也需要與IMS網(wǎng)絡(luò)之間先建立一個(gè)獨(dú)立的SA之后才能接入多媒體業(yè)務(wù)。

3GPP終端的核心是通用集成電路卡（UICC），它包含多個(gè)邏輯應(yīng)用，主要有用戶識(shí)別模塊（SIM）、UMTS用戶業(yè)務(wù)識(shí)別模塊（USIM）和ISIM。ISIM中包含了IMS系統(tǒng)用戶終端在系統(tǒng)中進(jìn)行操作的一系列參數(shù)（如身份識(shí)別、用戶授權(quán)和終端設(shè)置數(shù)據(jù)等），而且存儲(chǔ)了共享密鑰和相應(yīng)的AKA（AuthenticationandKeyAgreement）算法。其中，保存在UICC上的用戶側(cè)的IMS認(rèn)證密鑰和認(rèn)證功能可以獨(dú)立于PS域的認(rèn)證密鑰和認(rèn)證功能，也可和PS使用相同的認(rèn)證密鑰和認(rèn)證功能。IMS的安全體系如圖1所示。圖1IMS安全體系結(jié)構(gòu)圖圖1中顯示了5個(gè)不同的安全聯(lián)盟用以滿足IMS系統(tǒng)中不同的需求，分別用①、②、③、④、⑤來(lái)加以標(biāo)識(shí)。

①提供終端用戶和IMS網(wǎng)絡(luò)之間的相互認(rèn)證。

②在UE和P-CSCF之間提供一個(gè)安全鏈接（Link）和一個(gè)安全聯(lián)盟（SA），用以保護(hù)Gm接口，同時(shí)提供數(shù)據(jù)源認(rèn)證。

③在網(wǎng)絡(luò)域內(nèi)為Cx接口提供安全。

④為不同網(wǎng)絡(luò)之間的SIP節(jié)點(diǎn)提供安全，并且這個(gè)安全聯(lián)盟只適用于代理呼叫會(huì)話控制功能（P-CSCF）位于拜訪網(wǎng)絡(luò)（VN）時(shí)。

⑤為同一網(wǎng)絡(luò)內(nèi)部的SIP節(jié)點(diǎn)提供安全，并且這個(gè)安全聯(lián)盟同樣適用于P-CSCF位于歸屬網(wǎng)絡(luò)（HN）時(shí)。

除上述接口之外，IMS中還存在其他的接口，在上圖中未完整標(biāo)識(shí)出來(lái)，這些接口位于安全域內(nèi)或是位于不同的安全域之間。這些接口（除了Gm接口之外）的保護(hù)都受IMS網(wǎng)絡(luò)安全保護(hù)。

SIP信令的保密性和完整性是以逐跳的方式提供的，它包括一個(gè)復(fù)雜的安全體系，要求每個(gè)代理對(duì)消息進(jìn)行解密。SIP現(xiàn)在使用兩種安全協(xié)議：傳輸層安全協(xié)議（TLS）和IPSec，TLS可以實(shí)現(xiàn)認(rèn)證、完整性和機(jī)密性，用TLS來(lái)保證安全的請(qǐng)求必須使用可靠的傳輸層協(xié)議，如傳輸控制協(xié)議（TCP）或流控制傳輸協(xié)議（SCTP）；IPSec通過(guò)在IP層對(duì)SIP消息提供安全來(lái)實(shí)現(xiàn)認(rèn)證、完整性和機(jī)密性，它同時(shí)支持TCP和用戶數(shù)據(jù)報(bào)協(xié)議（UDP）。在IMS核心網(wǎng)中，可通過(guò)NDS/IP來(lái)完成對(duì)網(wǎng)絡(luò)中SIP信令的保護(hù)；而第一跳，即UE和P-CSCF間的信令保護(hù)則需要附加的測(cè)量，在3GPPTS33.203中有具體描述。

6.4IMS的接入安全

IMS用戶終端（UE）接入到IMS核心網(wǎng)需經(jīng)一系列認(rèn)證和密鑰協(xié)商過(guò)程，具體而言，UE用戶簽約信息存儲(chǔ)在歸屬網(wǎng)絡(luò)的HSS中，且對(duì)外部實(shí)體保密。當(dāng)用戶發(fā)起注冊(cè)請(qǐng)求時(shí)，查詢呼叫會(huì)話控制功能（I-CSCF）將為請(qǐng)求用戶分配一個(gè)服務(wù)呼叫會(huì)話控制功能（S-CSCF），用戶的簽約信息將通過(guò)Cx接口從HSS下載到S-CSCF中。當(dāng)用戶發(fā)起接入IMS請(qǐng)求時(shí)，該S-CSCF將通過(guò)對(duì)請(qǐng)求內(nèi)容與用戶簽約信息進(jìn)行比較，以決定用戶是否被允許繼續(xù)請(qǐng)求。

在IMS接入安全中，IPSec封裝安全凈荷（ESP）將在IP層為UE和P-CSCF間所有SIP信令提供機(jī)密性保護(hù)，對(duì)于呼叫會(huì)話控制功能（CSCF）之間和CSCF和HSS之間的加密可以通過(guò)安全網(wǎng)關(guān)（SEG）來(lái)實(shí)現(xiàn)。同時(shí)，IMS還采用IPSecESP為UE和P-CSCF間所有SIP信令提供完整性保護(hù)，保護(hù)IP層的所有SIP信令，以傳輸模式提供完整性保護(hù)機(jī)制。

在完成注冊(cè)鑒權(quán)之后，UE和P-CSCF之間同時(shí)建立兩對(duì)單向的SA，這些SA由TCP和UDP共享。其中一對(duì)用于UE端口為客戶端、P-CSCF端口作為服務(wù)器端的業(yè)務(wù)流，另一對(duì)用于UE端口為服務(wù)器、P-CSCF端口作為客戶端的業(yè)務(wù)流。用兩對(duì)SA可以允許終端和P-CSCF使用UDP在另一個(gè)端口上接收某個(gè)請(qǐng)求的響應(yīng)，而不是使用發(fā)送請(qǐng)求的那個(gè)端口。同時(shí)，終端和P-CSCF之間使用TCP連接，在收到請(qǐng)求的同一個(gè)TCP連接上發(fā)送響應(yīng)；而且通過(guò)建立SA實(shí)現(xiàn)在IMSAKA提供的共享密鑰以及指明在保護(hù)方法的一系列參數(shù)上達(dá)成一致。SA的管理涉及到兩個(gè)數(shù)據(jù)庫(kù)，即內(nèi)部和外部數(shù)據(jù)庫(kù)（SPD和SAD）。SPD包含所有入站和出站業(yè)務(wù)流在主機(jī)或安全網(wǎng)關(guān)上進(jìn)行分類的策略。SAD是所有激活SA與相關(guān)參數(shù)的容器。SPD使用一系列選擇器將業(yè)務(wù)流映射到特定的SA，這些選擇器包括IP層和上層（如TCP和UDP）協(xié)議的字段值。

與此同時(shí)，為了保護(hù)SIP代理的身份和網(wǎng)絡(luò)運(yùn)營(yíng)商的網(wǎng)絡(luò)運(yùn)作內(nèi)部細(xì)節(jié)，可通過(guò)選擇網(wǎng)絡(luò)隱藏機(jī)制來(lái)隱藏其網(wǎng)絡(luò)內(nèi)部拓?fù)?，歸屬網(wǎng)絡(luò)中的所有I-CSCF將共享一個(gè)加密和解密密鑰。

在通用移動(dòng)通信系統(tǒng)（UMTS）中相互認(rèn)證機(jī)制稱為UMTSAKA，在AKA過(guò)程中采用雙向鑒權(quán)以防止未經(jīng)授權(quán)的“非法”用戶接入網(wǎng)絡(luò)，以及未經(jīng)授權(quán)的“非法”網(wǎng)絡(luò)為用戶提供服務(wù)。AKA協(xié)議是一種挑戰(zhàn)響應(yīng)協(xié)議，包含用戶鑒權(quán)五元參數(shù)組的挑戰(zhàn)由AUC在歸屬層發(fā)起而發(fā)送到服務(wù)網(wǎng)絡(luò)。

UMTS系統(tǒng)中AKA協(xié)議，其相同的概念和原理被IMS系統(tǒng)重用，我們稱之為IMSAKA。AKA實(shí)現(xiàn)了ISIM和AUC之間的相互認(rèn)證，并建設(shè)了一對(duì)加密和完整性密鑰。用來(lái)認(rèn)證用戶的身份是私有的身份（IMPI），HSS和ISIM共享一個(gè)與IMPI相關(guān)聯(lián)的長(zhǎng)期密鑰。當(dāng)網(wǎng)絡(luò)發(fā)起一個(gè)包含RAND和AUTN的認(rèn)證請(qǐng)求時(shí)，ISIM對(duì)AUTN進(jìn)行驗(yàn)證，從而對(duì)網(wǎng)絡(luò)本身的真實(shí)性進(jìn)行驗(yàn)證。每個(gè)終端也為每一輪認(rèn)證過(guò)程維護(hù)一個(gè)序列號(hào)，如果ISIM檢測(cè)到超出了序列號(hào)碼范圍之外的認(rèn)證請(qǐng)求，那么它就放棄該認(rèn)證并向網(wǎng)絡(luò)返回一個(gè)同步失敗消息，其中包含了正確的序列號(hào)碼。

為了響應(yīng)網(wǎng)絡(luò)的認(rèn)證請(qǐng)求，ISIM將密鑰應(yīng)用于隨機(jī)挑戰(zhàn)（RAND），從而產(chǎn)生一個(gè)認(rèn)證響應(yīng)（RES）。網(wǎng)絡(luò)對(duì)RES進(jìn)行驗(yàn)證以認(rèn)證ISIM。此時(shí)，UE和網(wǎng)絡(luò)已經(jīng)成功地完成了相互認(rèn)證，并且生成了一對(duì)會(huì)話密鑰：加密密鑰（CK）和完整性密鑰（IK）用以兩個(gè)實(shí)體之間通信的安全保護(hù)。

6.5IMS的網(wǎng)絡(luò)安全在第二代移動(dòng)通信系統(tǒng)中，由于在核心網(wǎng)中缺乏標(biāo)準(zhǔn)的安全解決方案，使得安全問(wèn)題尤為突出。雖然在基站之間通?？捎杉用軄?lái)保護(hù)，但是在核心網(wǎng)時(shí)，系統(tǒng)的節(jié)點(diǎn)之間卻是以明文來(lái)傳送業(yè)務(wù)流，這就讓攻擊者有機(jī)可乘，接入到這些媒體的攻擊者可以輕而易舉對(duì)整個(gè)通信過(guò)程進(jìn)行竊聽。

針對(duì)2G系統(tǒng)中的安全缺陷，第三代移動(dòng)通信系統(tǒng)中采用NDS對(duì)核心網(wǎng)中的所有IP數(shù)據(jù)業(yè)務(wù)流進(jìn)行保護(hù)?？梢詾橥ㄐ欧?wù)提供保密性、數(shù)據(jù)完整性、認(rèn)證和防止重放攻擊，同時(shí)通過(guò)應(yīng)用在IPSec中的密碼安全機(jī)制和協(xié)議安全機(jī)制來(lái)解決安全問(wèn)題。

在NDS中有幾個(gè)重要的概念，它們分別是安全域（SecurityDomains）、安全網(wǎng)關(guān)（SEG）。

6.5.1安全域

NDS中最核心的概念是安全域，安全域是一個(gè)由單獨(dú)的管理機(jī)構(gòu)管理運(yùn)營(yíng)的網(wǎng)絡(luò)。在同一安全域內(nèi)采用統(tǒng)一的安全策略來(lái)管理，因此同一安全域內(nèi)部的安全等級(jí)和安全服務(wù)通常是相同的。大多情況下，一個(gè)安全域直接對(duì)應(yīng)著一個(gè)運(yùn)營(yíng)商的核心網(wǎng)，不過(guò)，一個(gè)運(yùn)營(yíng)商也可以運(yùn)營(yíng)多個(gè)安全域，每個(gè)安全域都是該運(yùn)營(yíng)商整個(gè)核心網(wǎng)絡(luò)中的一個(gè)子集。在NDS/IP中，不同的安全域之間的接口定義為Za接口，同一個(gè)安全域內(nèi)部的不同實(shí)體之間的安全接口則定義為Zb接口。其中Za接口為必選接口，Zb接口為可選接口。兩種接口主要完成的功能是提供數(shù)據(jù)的認(rèn)證和完整性、機(jī)密性保護(hù)。

6.5.2安全網(wǎng)關(guān)

SEG位于IP安全域的邊界處，是保護(hù)安全域之間的邊界。業(yè)務(wù)流通過(guò)一個(gè)SEG進(jìn)入和離開安全域，SEG被用來(lái)處理通過(guò)Za接口的通信，將業(yè)務(wù)流通過(guò)隧道傳送到已定義好的一組其他安全域。這稱為輪軸-輻條（hub-and-spoke）模型，它為不同安全域之間提供逐跳的安全保護(hù)。SEG負(fù)責(zé)在不同安全域之間傳送業(yè)務(wù)流時(shí)實(shí)施安全策略，也可以包括分組過(guò)濾或者防火墻等的功能。IMS核心網(wǎng)中的所有業(yè)務(wù)流都是通過(guò)SEG進(jìn)行傳送，每個(gè)安全域可以有一個(gè)或多個(gè)SEG，網(wǎng)絡(luò)運(yùn)營(yíng)商可以設(shè)置多個(gè)SEG以避免某獨(dú)立點(diǎn)出現(xiàn)故障或失敗。當(dāng)所保護(hù)的IMS業(yè)務(wù)流跨越不同安全域時(shí)，NDS/IP必須提供相應(yīng)的機(jī)密性、數(shù)據(jù)完整性和認(rèn)證。

6.5.3基于IP的網(wǎng)絡(luò)域安全體系

NDS/IP體系結(jié)構(gòu)最基本的思想就是提供上從一跳到下一跳的安全，逐跳的安全也簡(jiǎn)化了內(nèi)部和面向其他外部安全域分離的安全策略的操作。

在NDS/IP中只有SEG負(fù)責(zé)與其他安全域中的實(shí)體間進(jìn)行直接通信。兩個(gè)SEG之間的業(yè)務(wù)被采用隧道模式下的IPSecESP安全聯(lián)盟進(jìn)行保護(hù)，安全網(wǎng)關(guān)之間的網(wǎng)絡(luò)連接通過(guò)使用IKE來(lái)建立和維護(hù)[3]。網(wǎng)絡(luò)實(shí)體（NE）能夠面向某個(gè)安全網(wǎng)關(guān)或相同安全域的其他安全實(shí)體，建立維護(hù)所需的ESP安全聯(lián)盟