1、IP多媒體子系統IMS1.前言在經歷了十幾年的高速發展后，移動運營商越來越認清了一條重要的規律，那就是電信業務必須不斷地發展以不斷滿足經濟發展以與人們生活、工作和娛樂的通信和信息需求。目前，Yahoo! Messenger和騰訊等多媒體業務早已風靡全球。然而，它們是建立在固定Internet網絡良好能力的基礎上的，沒有任何通信和接入的質量保證，因此，迅速開發移動IP多媒體業務是當前電信運營商的當務之急。ims的全稱是 “ IP Multimedia Subsystemip的多媒體系統，也稱ip多媒體子系統。IMS系統為下一代基于IP的移動網絡提供了面向分組數據包交換的多媒體服務與平臺。它能夠滿

2、足現在的終端客戶更新穎、更多樣化多媒體業務的需求。目前，IMS被認為是下一代網絡的核心技術，也是解決移動與固網融合，引入語音、數據、視頻三重融合等差異化業務的重要方式。但是，目前全球IMS網絡多數處于初級階段， 應用方式也處于業界探討當中。（IMS的概念引入）IMS的定位（技術特點和結構組成）IMS在3GPP（國際第三代移動通信組織 ）Release 5版本中提出，旨在提供增強型IP服 務的一個全方位框架，是對 IP多媒體業務進行控制的網絡核心層邏輯功能實體的總稱。它 的初衷是以目前的全球移動系統通信（GSM核心網絡為基礎，重點開發面向第三代移動系統的通信規，與支持該系統的無線電接入技術。后來

3、經過修改，其任務又涉與GSMS與其相關無線電接入技術的維護與開發工作。R5主要定義IMS的核心結構，網元功能、接口和流程等容；R6版本增加了部分IMS業務特性、IMS與其他網絡的互通規和無線局域網（ WLAN 接入特性等；R7版本加強了對固定、移動融合的標準化制訂，要求 IMS支持數字用戶線 （xDSL）、電纜調制解調器等固定接入方式。軟交換技術從1998年就開始出現并且已經歷了實驗、商用等多個發展階段，目前已比 較成熟。全球圍早已有多家電信運營商開展了軟交換試驗，發展至今，軟交換技術已經具備了替代電路交換機的能力，并具備一定的寬帶多媒體業務能力。在軟交換技術已發展如此成熟的今天，IMS的出路

4、在何方？又該如何發展和定位呢 ？首先需要對IMS和軟交換進行較為全 面的比較和分析。如果從采用的基礎技術上看，IMS和軟交換有很大的相似性：都是基于IP分組網；都實現了控制與承載的分離；大部分的協議都是相似或者完全一樣的；許多網關設備和終端設備甚至是可以通用的。IMS 和軟交換最大的區別在于以下幾個方面。在軟交換控制與承載分離的基礎上，IMS更進一步的實現了呼叫控制層和業務控制層的分離；IMS起源于移動通信網絡的應用，因此充分考慮了對移動性的支持，并增加了外 置數據庫一一歸屬用戶服務器（HSS,用于用戶鑒權和保護用戶業務觸發規則；IMS全部采用會話初始協議（SIP）作為呼叫控制和業務控制的信令

5、，而在軟交換 中，SIP只是可用于呼叫控制的多種協議的一種，更多的使用媒體網關協議 （MGCP和H.248協議。總體來講，IMS和軟交換的區別主要是在網絡構架上。軟交換網絡體系基于主從控制的 特點，使得其與具體的接入手段關系密切，而IMS體系由于終端與核心側采用基于IP承載的SIP協議，IP技術與承載媒體無關的特性使得IMS體系可以支持各類接入方式，從而使得IMS的應用圍從最初始的移動網逐步擴大到固定領域。此外，由于IMS體系架構可以支持移動性管理并且具有一定的服務質量（QoS保障機制，因此IMS技術相比于軟交換的優勢還體現在寬帶用戶的漫游管理和QoS呆障方面。（將軟交換同IMS相比較，意在幫

6、助理解IMS）一個IMS包括一個或多個 CSCF（呼叫會話控制功能）、MGCF媒體網關控制功能）、IMS 媒體網關、MRFC（多媒體資源功能處理器）、SLF （訂購關系定位功能）、中斷網關控制功能 和應用服務器。IX/C .0! /Pjurl.Li , SI甘精號ft MM （一I通信媒體流圖IMS分層體系結構IMS主要使用了如下組件：歸屬用戶服務、呼叫會話控制功能、安全網關、IP媒體服務 器、與應用服務器。歸屬用戶服務（HSS）主要存儲用戶和服務相關的數據，如用戶身份、注冊信息、接入參數和服務觸發（service-triggering ）信息等。HSS還具備：? 用戶定位功能一一定位分組和公

7、共陸地移動網絡（PLMIN的用戶地址，并存儲客戶所使用的類型，與使用服務時所在位置等信息。?身份驗證功能一一存儲移動用戶的密鑰并可為每名用戶生成動態密碼。HSS通常存儲了高達每名用戶10 KB的容。所以一個支持100萬名用戶的HSS可能就需要64位線性尋址能力，以便能夠快速地存取存高速緩存中的信息。呼叫會話控制功能 由幾個“子組件”組成，它們負責處理所有與建立和結束呼叫相關的信令，以與基本的 SIP訊息交換。CSCF可以處理控制IP媒體本身的信令，以與會話初始化管理等。這些子組件包括代理CSCF（P-CSCF、詢問 CSCF（ I-CSCF）和服務 CSCF（S-CSCF）。代理CSCF是用戶

8、設備的唯一連結點。用戶發出的所有訊息均須經由P-CSCF進入IMS,P-CSCF執行如下功能：?通過查詢HSS來實現初步的安全保護? 驗證SIP訊息? 執行IPSec完整性保護，以創建可信的訊息?壓縮訊息以減少延遲?創建計費信息目前，P-CSCF一般位于歸屬網絡中，未來也許會被移植到被訪問網絡。詢問CSCF是歸屬網絡的第一連結點，I-CSCF負責聯系HSS以便為具體用戶確定服務 -CSCF的位置。I-CSCF可能會提供一個拓撲隱藏網際網關（THIG）,它可以通過加密 SIP訊息中的一些部IP地址和其它網絡信息，幫助保護IMS網絡拓撲。I-CSCF通常位于歸屬網絡。如果使用THIG,則I-CSC

9、F 一般位于被訪問網絡。服務CSCF負責處理終端之間的所有SIP信令，并執行如下功能：? 提供SIP路由，具體是將公共用戶身份（目前是，將來也許會改變）轉換為終端IP地址，并向應用服務器發送訊息?保持會話的暢通，將用戶地址（例如，用戶設備的IP地址）與SIP記錄地址（公共用戶身份）緊密相連?控制會話?阻止未授權用戶使用服務S-CSCF總是位于歸屬網絡。安全網關是電信網絡之間，以與企業與電信網絡之間的通信通道。它主要控制訊息在NAT （網絡地址轉換）服務器和防火墻的出入，也可能會承擔一些其它的安全功能，如數據 包過濾等。此外，安全網關還具備以下功能：? 強化IMS域之間的安全政策?保護出入IMS

10、域的控制平面訊息?設置并維護IPSec安全關聯（SA）IP媒體月艮務器具備所有的流媒體功能，可提供豐富的多媒體訊息：如視頻、語音和文本。它負責管理相關的編碼器（編碼 /解碼）和流媒體的代碼轉換工作，以與回聲消除、 聲音偵測和聲音生成等工作。IP媒體服務器還能夠提供流倍增和流廣播，以滿足會議應用的需要，它還可以連結至 電路交換網絡。應用服務器為IMS網絡提供多媒體服務，它主要提供所有其它IMS組件如SIP Servlet的訪問權限。應用服務器也可用來部署新服務， 由于IMS采用模塊化架構，因此只需更換或 升級應用服務器即可完成新服務部署。 這樣的戰略完全不同于之前的垂直模式， 在垂直模式 中，服

11、務總是作為單點解決方案來部署，每項服務都使用自己的一套專有設備。應用服務器可以位于歸屬網絡，也可以位于第三方網絡，如果位于第三方網絡，它們就不能與HS%合。因為應用服務器屬于OSA（開放服務架構）應用服務器，所以它們可以安全地從外部網絡接入 IMS并連接到GSM CAMEL移動增強邏輯定制應用）服務器。IMS的發展與應用3.1IMS標準的發展對IMS進行標準化的國際標準組織主要有3GP可口高級網絡電信和互聯網融合業務和協議（TISPAN）。3GPPW重于從移動的角度對 IMS進行研究，而 TISPAN則側重于從固定的角 度對IMS提出需求，并統一由 3GP詠完善。3GPP對IMS的標準化是按照

12、 R5版本、R6版本、R7版本這個過程來發布的，IMS首次提出是在 R5版本中，然后在 R& R7版本中進一步完善。R5版本主要側重于對IMS基本結構、功能實體與實體間的流程方面的研究；而R6版本主要是側重于IMS和外部網絡的互通能力以與IMS對各種業務的支持能力等。相比于R5版本，R6版本的網絡結構并沒有發生改變，只是在業務能力上有所增加。在R5的基礎上增加了部分業務特性，網絡互通規以與無線局域網接入特性等，其主要目的是促使IMS成為一個真正的可運營的網絡技術。R7階段更多的考慮了固定方面的特性要求，加強了對固定、移動融合的標準化制訂。R5版本和R6版本分別在2002年和2005年被凍結，而

13、 R7版本也即將凍結。在TISPAN定義的NGIW系架卞中，IMS是業務部件之一。TISPANIMS是在3GPPR6IMS 核心規的基礎上對功能實體和協議進行擴展的，支持固定接入方式。TISPAN的工作方式和3GPP1似，都是分階段發布不同版本。目前， TISPAN已經發布了 R1版本相關規，從固定的 角度向3GP%出對IMS的修改建議；R2版本目前還處于需求分析階段。TISPAN在許多文檔中都直接應用了3GPP的相關文檔容，而 3GPPR版本中的很多容又都是在吸收了 TISPAN的研究成果的基礎上形成的，所以一方對文檔容的修改都將直接影響 另一方。此外，部分先進的運營商（如德國電信、英國電信

14、和法國電信）已經明確了未來網 絡和業務融合的戰略目標，并開始特別關注基于IMS的網絡融合研究。各大設備廠商也加大 了對IMS在固網領域應用的研究， 正積極參與并大力推進基于IMS的NGN勺標準化工作。因此各個標準之間的協調一致的問題還需要進一步探討。3.2IP媒體業務類型IMS是一個在分組域（PS）上的多媒體控制/呼叫控制平臺，IMS使得PS具有電路域（CS） 的部分功能，支持會話類和非會話類的多媒體業務。IMS為未來的多媒體應用提供了一個通用的業務平臺，典型的業務如呈現、消息、會議、一鍵通等等。將不同的業務進行分組可以 得到以下一些類型。(1)信息類業務，這類業務對用戶來講已經非常熟悉，而且

15、目前為運營商帶來了良好的收益，IMS的信息類業務將帶給用戶更多的選擇，在享用這些信息類業務的同時，用戶可以隨心所欲而且費用低廉的使用其他媒介，比如視頻和聲音等，同時可以靈活的選用實時業務或非實時業務進行溝通。(2)多媒體呼叫話音業務，這類業務可以給用戶在原有的話音業務操作和應用上帶來 全新的體驗。(3)增強型呼叫管理，可以實現讓用戶自己來控制業務，讓用戶的溝通更加靈活。(4)群組業務，將不同的通信媒介聚合起來，為用戶提供新的業務體驗，而且IMS還可以對業務進行新的開發和組合；突破傳統的一對一的通信方式限制，可以提供基于群組的通信方式。(5)信息共享，常見的攜帶附件的溝通模式可以完成部分的信息共

16、享功能，但是在許多情況下顯得不夠靈活， 所以實時在線的信息共享通信應運而生，多個用戶可以實時處理同一個數據文件。(6)在線娛樂，移動終端可以直接和信息資源互聯，IMS方式可以更好地呈現信息的更新和溝通，并可以隨著用戶需求的增長對信息進行必要的過濾；對于用戶的在線游戲，IMS可以為用戶提供從單機游戲到多用戶在線參與的在線娛樂方式，同時用戶還可以采用多種多媒體來溝通交流。3.3IMS的主要應用隨著IMS技術和產品的逐漸成熟，已經有一些運營商開始了 IMS的商用，還有一些運營 商在進行相關的測試。從目前的商用和測試情況看，移動運營商已經開始商用，而固網運營 商還主要處于試驗階段。綜合考慮， IMS的

17、應用主要集中在以下幾個方面。首先是在移動網絡的應用，這類應用是移動運營商為了豐富移動網絡的業務而開展的， 主要是在移動網絡的基礎上用IMS來提供PoC即時消息、視頻共享等多媒體增值業務。應用重點集中在給企業客戶提供IPCENTRE口公眾客戶的 VoIP第二線業務。IMS為企業用戶提供融合的企業ADSL用戶)提供VoIP應用。其次是固定運營商出于網絡演進和業務的需要，通過 的應用(IPCENTREXk務)，以與向固定寬帶用戶(例如第三種典型的應用是融合的應用，主要體現在WLA母口 3G的融合，以實現語音業務的連續性。在這種方式下，用戶擁有一個WLAN/WCDMAZ模終端，在WLAN勺覆蓋區，一般

18、優先使用WLAN入，因為這種方式用戶使用業務的資費更低，數據業務的帶寬更充足。當離開 WLAN勺覆蓋區后，終端自動切換到WCDM網絡，從而實現語音在 WLA麗 WCDMA間的連續性。目前，這種方案的商用較少，但是許多運營商都在進行測試。在IMS中全部采用SIP協議，雖然SIP也可以實現最基本的 VoIP,但是這種協議在多 媒體應用中所展現出來的優勢表明，它天生就是為多媒體業務而生的。由于SIP協議非常靈活，所以IMS還存在許多潛在的業務。3.4IMS獨辟蹊徑與其它在IP上簡單提供的電路服務不同，采用IMS框架的運營商可以在 IP上建立一個開放的服務基礎設施，進而簡單地部署豐富的媒體通信服務。I

19、MS可以滿足網絡和用戶的如下要求：?提供人與人的實時IP多媒體通信，如語音或視頻；以與人機通信，如游戲、視頻點播和網上沖浪等。?全面集成各種實時通信，如即時流傳輸和即時聊天，與其它非實時多媒體。?支持多種服務和應用的互動，例如，視頻會議和游戲或者實時視頻和即時通訊。?輕松地提高通信會話體驗，例如，通過“單擊”將即時通訊會話轉變為語音會話。.即時通（Push to talk）又叫做一鍵通業務，該服務使得手機終端用戶能夠在分組交換網絡上，通過只按一個 按鍵就進行一對一或群體即時通話。該服務采取“半雙工”模式，也就是說同一時間只有一人能夠講話，從而更便于群體交流， 該服務可以使用戶能夠在通話群中靈活

20、地選定或者 變換通話對象。從而用戶可以輕易地與通話群體中所有人或選擇部分人進行Push to talk通話。它是一種全數字傳輸的VoIP技術，其完全基于 SIP協議和IMS的設計，很好的保證了互通性、可量測性和向未來3G的平滑過渡。. IP業務隨著寬帶IP接入的普與，IP終端成為新的熱點，例如現在一些運營商正在推廣的IP超市（類似于IP公用亭），基于H.323的IP終端未能普與除了以前缺乏IP寬帶接入這個原因外，還因為H.323的用戶認證一直是一個問題，另外H.323終端價格昂貴也是一個原因。現在采用SIP基本上克服了這些問題，SIP軟件被免費集成在 Microsoft WinXP操作系統中，

21、因為SIP如此簡單，甚至有運行在 Linux , PocketPc （便攜PQ, Symbian上的SIP Client軟件，使得手才I終端上的SIP應用也成為可能，而且 SIP還支持完善的用戶認證機制。所以基于SIP的IMS完全可以被用來作為IP終端系統。.串行振鈴和并行振鈴業務因為一個 SIP用戶可以同時在很多終端上注冊，比如他可能有幾個固定辦公，還有無 繩，移動，便攜 PC等，每種終端可以實現不同的功能，比如便攜PC支持視頻而固定 SIP可能連P&MTB不支持，用戶不需要總是帶著所有終端，在各種情況下他只帶著其中一些，比如開會時他可能只帶著便攜PG串行振鈴業務是當另外一個用戶呼叫該用戶時

22、，系統會根據該用戶設定的次序和等待 時間依次振鈴該用戶的各種終端，直到該用戶接通為止。而并行振鈴業務則是系統同時振鈴該用戶的所有注冊終端，直到該用戶接通為止。.會晤轉移業務會晤轉移業務包括無條件轉移，無應答轉移和遇忙轉移，該用戶可以定制轉移的統一 資源標識（URI）,當條件符合時，呼叫被轉移到設定的目標。這種業務和傳統呼叫轉移業務功能一樣，只是增加了新的媒體類型。.主叫標識顯示業務和傳統的主叫顯示意義一樣，只不過顯示在被叫終端上的不只是主叫的SIPURI,而可能是任何媒體，比如一主叫的照片、 一段聲音或者視頻片斷。根據系統的提示，主叫可以事先將要傳送的標識上傳到系統中存儲，當主叫呼叫被叫時，S

23、IP消息報文將主叫標識的統一資源地址（URL）傳到被叫，被叫終端自動打開該URL從而看到主叫的標識。當前IMS的重要性正與日俱增，這是因為網絡運營商需要將傳統的服務，如語音呼叫 和短信服務（SMS和數據服務，如電子、上網和即時通訊（ IM）進行融合。正如電纜提供 商正在探索著同時推出視頻服務和電信服務一樣，網絡運營商也在嘗試著提供視頻服務，以保持競爭力。此外，客戶也期待著服務的融合，而IMS正好為網絡運營商提供了一個難得的 機遇。4.IMS的優勢IMS具有諸多優勢，尤為明顯的有四點： 移動管理、服務質量、服務控制和開發商界接 口。移動管理IMS可以在IP基礎設施圍的任何地理位置，搜索用戶并建立

24、會話。它有一個組件負責 保存用戶數據，與用戶（或服務器）之間的搜索與通信。它還有另外一個組件負責協助建立 和管理會話，并轉發IMS網絡之間的訊息。這兩個組件共同實現了高效的移動管理。服務質量服務質量（QoS是IP電信系統的一個常見問題。由帶寬不足和其它原因引發的有損 質量的因素，如延遲、波動、數據包丟失和回聲等，會使傳輸質量難以接受。IP語音（VoIP）之所以能夠迅速普與，是因為開發面世的 QoS機制能夠控制這些不利 因素，以保持一定的質量水平。 IMS融入了控制實時移動 IP通信質量的特殊機制，可通過 控制此處數據包網絡和與其互動來確保質量的可接受性。服務控制移動服務提供商網絡非常復雜，因為

25、提供商必須提供各種不同的服務，以高效地滿足 廣大客戶的要求。因此提供商必須能夠一目了然地對這些服務進行管理、控制和計費。在優化服務交付方面，IMS側重的是提供服務的效率。當客戶訪問移動提供商的IMS網絡時，網絡會提供一份個人資料以供下載。一旦系統擁有了這份資料，就會知道客戶有權使用的服務圍，就可以決定這些服務的執行順序，如果有必要，還可以獲得網絡上提供這些服務的應用服務器資料。 借助這一相對簡單的系統， 移動運營商就可以控制和管理極大型網 絡中極其復雜的服務交付工作。標準接口由于IMS采用的是標準化架構來支持部署增強的IP服務，因此第三方可以獨立為任何IMS部署開發各種服務。這有利于實現更大圍

26、的服務集成、互操作性和漫游，也有利于創新 者形成強大的網絡以解決服務提供商的各種要求。IMS中的IP尋址與分組域骨干網中使用的（例如IPv4）和電路域中使用的是不同的，所以IPv6和IPv4互通的問題需要解決。缺少IPv6的實踐經驗。用于移動臺接入IP多媒體服務的IP尋址圍必須在IMS尋址域，這個尋址域是在建立 好IP連接時激活的PDP （策略決策點）上下文中安排好的。 IP地址可以從服務域而不是歸 屬域的GGS廂獲得，從路由的效率來考慮，這是一個優點。5.基于IMS的網絡融合問題隨著通信網絡的發展與演進，融合是不可避免的主題，固定和移動的融合（FMC更是迫切要解決的問題。ETSI （歐洲電信

27、標準化協會）給 FMC下的定義是：“固定移動融合是一 種能提供與接入技術無關的網絡能力。但這并不意味著一定是物理上的網絡融合，而只關心一個融合的網絡體系結構和相應的標準規。這些標準可以用來支持固定業務、移動業務以與固定移動混合的業務。 固定移動融合的一個重要特征是，用戶的業務簽約和享用的業務，將從不同的接入點和終端上分離開來，以允許用戶從任何固定或移動的終端上，通過任何兼容的接入點訪問完全一樣的業務，包括在漫游時也能獲得一樣的業務。”在給FMCT定義的同時也對固定移動網絡的融合提出了相應的要求。IMS 進一步發揚了軟交換結構中業務與控制分離、控制與承載分離的思想，比軟交換進 行了更充分的網絡解

28、聚，網絡結構更加清晰合理。網絡各個層次的不斷解聚是電信網絡發展 的總體趨勢。網絡的解聚使得垂直業務模式被打破，有利于業務的發展；另外，不同類型網 絡的解聚也為網絡在不同層次上的重新聚合創造了條件。這種重新聚合，就是網絡融合的過程。利用IMS實現對固定接入和移動接入的統一核心控制，主要是IMS具有以下特點。（1）與接入無關性。雖然 3GPPIM%為移動網絡設計的，TISPANNG謔為固定xDSL寬帶接入設計的，但它們采用的IMS網絡技術卻可以做到與接入無關，因而能確保對FMC勺支持。從理論上可以實現不論用戶使用什么設備、在何地接入IMS網絡，都可以使用歸屬地的業務。（2）統一的業務觸發機制。IM

29、S核心控制部分不實現具體業務，所有的業務包括傳統 概念上的補充業務都由業務應用平臺來實現，IMS核心控制只根據初始過濾規則進行業務觸發，這樣消除了核心控制相關功能實體和業務之間的綁定關系，無論固定接入還是移動接入都可以使用IMS中定義的業務觸發機制實現統一觸發。（3）統一的路由機制。IMS中僅保留了傳統移動網中 HLR （歸屬位置寄存器）的概念， 而摒棄了 VLR （采訪位置寄存器）的概念，和用戶相關的數據信息只保存在用戶的歸屬地， 這樣不僅用戶的認證需要到歸屬地認證，所有和用戶相關的業務也必須經過用戶的歸屬地。（4）統一用戶數據庫。HSS（歸屬業務服務器）是一個統一的用戶數據庫系統，既可以

30、存儲移動IMS用戶的數據，也可以存儲固定IMS用戶的數據，數據庫本身不再區分固定用戶 和移動用戶。特別是業務觸發機制中使用的初始過濾規則，對IMS中所定義的數據庫來講完全是透明數據的概念，屏蔽了固定和移動用戶在業務屬性上的差異。（5）充分考慮了運營商實際運營的需求，在網絡框架、QoS （服務質量）、安全、計費以與和其他網絡的互通方面都制定了相關規。IMS所具有這些特征可以同時為移動用戶和固定用戶所共用，這就為同時支持固定和移動接入提供了技術基礎，使得網絡融合成為可能。目前電信業務的發展已經到達了個人通信的重要階段，傳統的多媒體業務結構無法支持移動（個人化的）多媒體通信的需求，3GPPR5/R6

31、采用的SIP體系結構和IP多媒體子系統為 滿足下一代的電信業務需求打下了基礎，結合OSA技術和虛擬駐地環境技術，電信用戶可以獲得他們急需的新的移動多媒體通信業務，電信運營商也將在第三代移動通信上找到自己的業務增長點。MS存在的安全問題分析6.1IMS受累于DNS其實，本質上講，安全的實現就是在IMS和公眾互聯網之間所設立的一道墻，以防止一切可疑容的通過。3GPP/3GPP2在IMS安全問題上進行了詳細的定義，包括 SIM應用和認證程序。但很遺憾，3GPF/3GPP2并沒有對如何防止拒絕服務對DNS的攻擊作相關定義，這給IMS留下了巨大的安全隱患。3GPP/3GPP2在IMS安全規中也提到了 “

32、應該”防虛假地址欺騙，但并沒有說明“如何”進行防。除了安全缺陷之外，這還形成另一個問題，就是不 同IMS網絡或者IMS網絡與互聯網SIP用戶之間是否能夠協同工作的問題。在互聯網上，DNS是黑客們經常攻擊的對象。這主要是因為，在互聯網的世界里存在大量的、相互獨立的DNS!艮務器，不管你是增加、刪除還是重新配置一臺 DNS服務器都是 非常簡單的事情，當然也包括惡意攻擊。可以說，在開發使用DN限術的同時，我們也為自己鋪設了一個安全陷阱，雖然DN或術給我們解決了許多問題，而且使用起來也非常簡單。在DNS系統中，緩存中毒是非常普遍的現象。以前通常通過限制遞歸式DNS的使用來進行防，這是不對的，因為這將大

33、大降低整個DNS系統的彈性。另一種防方式是“以毒攻毒”，即以同樣的虛假地址向將要受到攻擊的DNS服務器“海量”請求，從而將惡意攻擊淹沒。這樣做的后果很明顯，在防了惡意攻擊的同時也拖垮了目標服務器。同互聯網一樣，IMS通過使用DNS來實現不同語言的 URL和傳統與IP地址之間的 解析，而且IMS對DNSB勺依賴相比互聯網有過之而無不與。如IMS安全規所描述的那樣，數據包在通過PCSCF寸需要進行加密，而且這一行為與有沒有惡意攻擊無關。 這樣一來，會使PCSC磁體中的防火墻功能大打折扣。（編者注:CSCF-會話服務控制，是 IMS的功能實體之一，它包括 PCSCFt理 CSCF ICSCF-一 查

34、詢CSCF以與SCSCF一服務CSCF等類型，在物理上可以是合一的，也可以分別設置。）而且，為了滿足電信級應用的要求，IMS使用的是私有 DNS服務器，還增加了 ENUM（映射）設備。專家認為，這樣做的危險性其實更大，因為一旦運營商的 DNSH現問題，整個網絡的正常工作都將受到影響。協同工作問題另外一個相關的問題就是就是IMS網絡與互聯網 SIP用戶的協同工作問題。IMS利用ENUM）能進行SIP URL的查詢。但此類查詢可以“由往外”進行，卻無法“由外往” 。 即查詢可以從運營商的網透傳到互聯網，卻無法從互聯網透傳到電信運營商的私有DNS除非運營商的網絡與公共互聯網之間沒有防火墻，這種情況令

35、人費解。而且，向外查詢也十分的費勁，或者需要運營商在其網絡和公共互聯網之間設置防火墻，或者IMS的安全模式需要重新定義。對于這個問題，3GP林口 IETF已經開始著手對 SIP標準進行派生以實現在 IMS的環境下進行SIP URL的真正跨網查詢。傳統的電信網絡采用獨立的TDM的專線，用戶之間采用面向連接的通道進行通信，避免了來自其他終端用戶的各種竊聽和攻擊。而IMS網絡與互聯網相連接，基于IP協議和開放的網絡架構可以將語音、數據、多媒體等多種不同業務，通過采用多種不同的接入方式來共享業務平臺，增加了網絡的靈活性和終端之間的互通性，不同的移動接入還是固定接入，IMS的安全問題都不容忽視。IMS的

36、安全威脅主要來自于幾個方面：未經授權地訪問敏感數據以破壞性；未經授權地篡改敏感數據以破壞完整性； 干擾或濫用網絡業務導致拒絕服務或降低系統可用性；用戶或網絡否認已完成的操作；未經授權地接入業務等1。主要涉與到IMS的接入安全（3GPPTS33.203）,包括用戶和網絡認證與保護IMS終端和網絡間的業務；以與IMS的網絡安全（3GPPTS33.210） 2,處理屬于同一運營商或不同運營商網絡節點之間的業務保護。除此之外， 還對用戶終端設備和通用集成電路卡/IP多媒體業務身份識別模塊（UICC/ISIM ）安全構成威脅。6.3IMS安全體系IMS系統安全的主要應對措施是 IP安全協議（IPSec）

37、,通過IPSec提供了接入安全保護， 使用IPSec來完成網絡域部的實體和網絡域之間的安全保護。3GPP IMS實質上是疊加在原有核心網分組域上的網絡， 對PS域沒有太大的依賴性， 在PS域中，業務的提供需要移動設 備和移動網絡之間建立一個安全聯盟 （SA）后才能完成。對于IMS系統，多媒體用戶也需要 與IMS網絡之間先建立一個獨立的 SA之后才能接入多媒體業務。3GPP端的核心是通用集成電路卡（UICQ ,它包含多個邏輯應用，主要有用戶識別模塊（SIM）、UMTS1戶業務識別模塊（USIM）和ISIMo ISIM中包含了 IMS系統用戶終端在系 統中進行操作的一系列參數（如身份識別、用戶授權

38、和終端設置數據等），而且存儲了共享密鑰和相應的 AKA （Authentication and Key Agreement ）算法。其中，保存在 UICC上的 用戶側的IMS認證密鑰和認證功能可以獨立于PS域的認證密鑰和認證功能，也可和PS使用一樣的認證密鑰和認證功能。IMS的安全體系如圖1所示。打屬/服務網絡HSSPS域L.接入1G UA .圖1 IMS安全體系結構圖圖1中顯示了 5個不同的安全聯盟用以滿足IMS系統中不同的需求，分別用、來加以標識。提供終端用戶和IMS網絡之間的相互認證。在UE和P-CSCF之間提供一個安全（Link）和一個安全聯盟（SA）,用以保護 Gm妾口， 同時提供數

39、據源認證。在網絡域為Cx接口提供安全。為不同網絡之間的 SIP節點提供安全，并且這個安全聯盟只適用于代理呼叫會話控制功能 （P-CSCF）位于拜訪網絡（VN）時。為同一網絡部的 SIP節點提供安全，并且這個安全聯盟同樣適用于P-CSCF位于歸屬網絡（HN）時。除上述接口之外，IMS中還存在其他的接口，在上圖中未完整標識出來，這些接口位于安全域或是位于不同的安全域之間。這些接口（除了Gmg口之外）的保護都受IMS網絡安全保護。SIP信令的性和完整性是以逐跳的方式提供的，它包括一個復雜的安全體系，要求每個代理對消息進彳T解密。SIP現在使用兩種安全協議：傳輸層安全協議（TLS）和IPSec, TL

40、S可以實現認證、完整性和性，用TLS來保證安全的請求必須使用可靠的傳輸層協議，如傳輸控制協議（TCB或流控制傳輸協議（SCTP ; IPSec通過在IP層又SIP消息提供安全來實現認 證、完整性和性，它同時支持TCP和用戶數據報協議（UDP。在IMS核心網中，可通過NDS/IP 來完成對網絡中SIP信令的保護；而第一跳，即UE和P-CSCF間的信令保護則需要附加的測 量，在3GPP TS 33.203中有具體描述。6.4IMS的接入安全IMS用戶終端（UE）接入到IMS核心網需經一系列認證和密鑰協商過程，具體而言，UE用戶簽約信息存儲在歸屬網絡的 HSS中，且對外部實體。當用戶發起注冊請求時，

41、查詢呼叫會話 控制功能（I-CSCF）將為請求用戶分配一個服務呼叫會話控制功能（ S-CSCH ,用戶的簽約 信息將通過Cx接口從HSS下載到S-CSCF中。當用戶發起接入 IMS請求時，該S-CSCFW通 過對請求容與用戶簽約信息進行比較，以決定用戶是否被允許繼續請求。在IMS接入安全中，IPSec封裝安全凈荷（ESB將在IP層為UE和P-CSCF間所有SIP信令 提供性保護，對于呼叫會話控制功能（ CSCF之間和CSC環口 HSS之間的加密可以通過安全 網關（SEG來實現。同時，IMS還采用IPSec ESP為UE和P-CSCF間所有SIP信令提供完 整性保護，保護IP層的所有SIP信令，

42、以傳輸模式提供完整性保護機制。在完成注冊鑒權之后，UE和P-CSCF之間同時建立兩對單向的 SA,這些SA由TCP和UD時享。其中一對用于 UE端口為客戶端、P-CSCF端口作為服務器端的業務流，另一對用于 UE 端口為服務器、P-CSCF端口作為客戶端的業務流。用兩對SA可以允許終端和P-CSCF使用UDPE另一個端口上接收某個請求的響應，而不是使用發送請求的那個端口。同時，終端和 P-CSCF之間使用TCP連接，在收到請求的同一個 TC瞋接上發送響應；而且通過建立SA實現在IMS AKA提供的共享密鑰以與指明在保護方法的一系列參數上達成一致。SA的管理涉與到兩個數據庫，即部和外部數據庫（

43、SP/口 SAD 。 SPD&含所有入站和出站業務流在主 機或安全網關上進行分類的策略。SAD是所有激活SA與相關參數的容器。SPM用一系列選擇器將業務流映射到特定的 SA這些選擇器包括IP層和上層（如 TCP和UDP協議的字段 值。與此同時，為了保護SIP代理的身份和網絡運營商的網絡運作部細節，可通過選擇網絡隱藏機制來隱藏其網絡部拓撲，歸屬網絡中的所有I-CSCF將共享一個加密和解密密鑰。在通用移動通信系統（UMTS中相互認證機制稱為 UMTS AKA在AKA過程中采用雙向鑒權 以防止未經授權的 “非法”用戶接入網絡，以與未經授權的“非法”網絡為用戶提供服務。AKA協議是一種挑戰響應協議，包

44、含用戶鑒權五元參數組的挑戰由AUC在歸屬層發起而發送到服務網絡。UMT繇統中AKA協議，其一樣的I念和原理被IMS系統重用，我們稱之為 IMS AKA AKA實現了 ISIM和AUC之間的相互認證，并建設了一對加密和完整性密鑰。用來認證用戶的身份 是私有的身份（IMPI） , HSS ISIM共享一個與IMPI相關聯的長期密鑰。當網絡發起一個 包含RAND AUTN的認證請求時，ISIM對AUTN行驗證，從而對網絡本身的真實性進行驗 證。每個終端也為每一輪認證過程維護一個序列號，如果 ISIM檢測到超出了序列圍之外的 認證請求，那么它就放棄該認證并向網絡返回一個同步失敗消息，其中包含了正確的序

45、列。為了響應網絡的認證請求，ISIM將密鑰應用于隨機挑戰（RAND ,從而產生一個認證響應 （RES）。網絡對 RES進行驗證以認證ISIM。此時，UE和網絡已經成功地完成了相互認證，并且生成了一對會話密鑰：加密密鑰（CK）和完整f密鑰（IK）用以兩個實體之間通信的安全保護。6.5IMS的網絡安全在第二代移動通信系統中，由于在核心網中缺乏標準的安全解決方案，使得安全問題尤為突出。雖然在基站之間通常可由加密來保護，但是在核心網時，系統的節點之間卻是以明文來傳送業務流，這就讓攻擊者有機可乘，接入到這些媒體的攻擊者可以輕而易舉對整個通 信過程進行竊聽。針對2G系統中的安全缺陷，第三代移動通信系統中采

46、用 NDS對核心網中的所有IP數據業務 流進行保護。可以為通信服務提供性、數據完整性、認證和防止重放攻擊，同時通過應用在IPSec中的密碼安全機制和協議安全機制來解決安全問題。在NDS中有幾個重要的概念，它們分別是安全域( Security Domains)、安全網關(SEG 。安全域NDS中最核心的概念是安全域，安全域是一個由單獨的管理機構管理運營的網絡。在同 一安全域采用統一的安全策略來管理，因此同一安全域部的安全等級和安全服務通常是一樣的。大多情況下，一個安全域直接對應著一個運營商的核心網，不過，一個運營商也可以運營多個安全域，每個安全域都是該運營商整個核心網絡中的一個子集。在NDS/I

47、P中，不同的安全域之間的接口定義為Za接口，同一個安全域部的不同實體之間的安全接口則定義為Zb接口。其中Za接口為必選接口， Zb接口為可選接口。兩種接口主要完成的功能是提供數 據的認證和完整性、性保護。安全網關SEG位于IP安全域的邊界處，是保護安全域之間的邊界。業務流通過一個SEG進入和離開安全域，SEG被用來處理通過 Za接口的通信，將業務流通過隧道傳送到已定義好的一組其 他安全域。這稱為輪軸-輻條(hub-and-spoke )模型，它為不同安全域之間提供逐跳的安全 保護。SEG負責在不同安全域之間傳送業務流時實施安全策略，也可以包括分組過濾或者防 火墻等的功能。IMS核心網中的所有業

48、務流都是通過SEG進行傳送，每個安全域可以有一個或多個SEG網絡運營商可以設置多個SEG以避免某獨立點出現故障或失敗。當所保護的IMS業務流跨越不同安全域時，NDS/IP必須提供相應的性、數據完整性和認證。基于IP的網絡域安全體系NDS/IP體系結構最基本的思想就是提供上從一跳到下一跳的安全，逐跳的安全也簡化了部 和面向其他外部安全域分離的安全策略的操作。在NDS/IP中只有SEG負責與其他安全域中的實體間進行直接通信。兩個SEG之間的業務被采用隧道模式下的IPSec ESP安全聯盟進行保護，安全網關之間的網絡連接通過使用IKE來建立和維護3。網絡實體(NE)能夠面向某個安全網關或一樣安全域的其他安全實體， 建立維護所需的 ESP安全聯盟。所有來自不同安全域的網絡實體的NDS/