陳方

摘 要：CM-IMS是一種疊加在現(xiàn)有網(wǎng)絡(luò)上的基于IP承載實現(xiàn)多媒體業(yè)務(wù)的網(wǎng)絡(luò)結(jié)構(gòu)，是應(yīng)對全業(yè)務(wù)運營競爭的重要技術(shù)。面向企業(yè)的語音業(yè)務(wù)可以遷移至CM-IMS承載，首要解決業(yè)務(wù)接入控制問題。介紹了CM-IMS網(wǎng)絡(luò)體系及SIP協(xié)議的基本理論，對傳統(tǒng)企業(yè)語音專線的業(yè)務(wù)接入現(xiàn)狀進行描述，分析基于CM-IMS組網(wǎng)的業(yè)務(wù)接入控制需求，重點針對CM-IMS提供的多種鑒權(quán)機制進行分析，以及對數(shù)據(jù)分組網(wǎng)承載IMS業(yè)務(wù)的效果分析，提出3個適合企業(yè)語音業(yè)務(wù)接入的控制策略，通過應(yīng)用實例證明策略實施的可行性。

關(guān)鍵詞：CM-IMS；企業(yè)語音專線；接入控制

中圖分類號：F49 文獻標識碼：A 文章編號：1672-3198（2014）15-0161-03

1 背景與意義

CM-IMS是一種全新的多媒體業(yè)務(wù)實現(xiàn)形式，基于IP分組網(wǎng)承載業(yè)務(wù)，采用SIP協(xié)議，獨立于現(xiàn)有的軟交換網(wǎng)絡(luò)并建立連接。面對新的網(wǎng)絡(luò)架構(gòu)，原有基于軟交換實現(xiàn)的企業(yè)語音專線業(yè)務(wù)接入控制機制已不適用，需要重新確定。

IMS建立在開放的IP協(xié)議基礎(chǔ)上，使得基于IMS的業(yè)務(wù)接入安全要求比傳統(tǒng)交換網(wǎng)絡(luò)更高，尤其是應(yīng)用于重要客戶的業(yè)務(wù)，接入安全問題不容忽視。

為此，有必要研究符合企業(yè)客戶業(yè)務(wù)特征需求的業(yè)務(wù)接入控制策略，以保障企業(yè)客戶語音業(yè)務(wù)使用安全，同時指導(dǎo)網(wǎng)絡(luò)人員有效開展網(wǎng)絡(luò)施工，從而推動IMS的業(yè)務(wù)拓展。

2 CM-IMS相關(guān)基礎(chǔ)簡介

2.1 CM-IMS體系結(jié)構(gòu)

CM-IMS是一個端到端的解決方案，涉及接入層、承載層、核心層、業(yè)務(wù)層、以及終端和支撐系統(tǒng)。

（1）接入層提供用戶的接入，接入設(shè)備即客戶終端，包括PBX、SIP-GW、IAD和AG設(shè)備，分別適用于不同的企業(yè)場景。

（2）承載層提供接入業(yè)務(wù)的承載通道，主要包括城域數(shù)據(jù)網(wǎng)和城域傳送網(wǎng)。

（3）核心層負責IMS域會話控制和路由、用戶數(shù)據(jù)管理和認證鑒權(quán)，以及與其它網(wǎng)絡(luò)互通等功能。主要的網(wǎng)元包括SBC、P/I/S-CSCF、HSS/SLF、ENUM/DNS、MGCF、IM-MGW等。

SBC是用戶接入IMS的接入點，網(wǎng)絡(luò)邊緣安全設(shè)備，承載信令面和媒體面。

CSCF是負責呼叫接續(xù)的實體，IMS中有三種類型的CSCF：

P-CSCF（Proxy CSCF）：接入IMS系統(tǒng)。

S-CSCF（Serving CSCF）：注冊，呼叫控制，業(yè)務(wù)觸發(fā)。

I-CSCF（Interrogating CSCF）：選擇S-CSCF與其他IMS網(wǎng)絡(luò)的路由。

HSS保存所有IMS用戶數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)。

MGCF和IM-MGW用于IMS系統(tǒng)與CS域（GSM，R4，PSTN）網(wǎng)絡(luò)的互聯(lián)互通。

ENUM/DNS將E.164號碼轉(zhuǎn)化為域名、域名解析，供CSCF查詢，用于路由查詢。

（4）業(yè)務(wù)層為用戶提供業(yè)務(wù)應(yīng)用服務(wù)，即業(yè)務(wù)平臺AS，比如統(tǒng)一Centrex業(yè)務(wù)應(yīng)用、MMTEL多媒體電話業(yè)務(wù)應(yīng)用等。

2.2 IMS相關(guān)協(xié)議簡介

IMS業(yè)務(wù)實現(xiàn)需的關(guān)鍵協(xié)議包括：SIP、SDP、Diameter等。

SIP（會話初始協(xié)議）是一個在IP網(wǎng)絡(luò)上進行多媒體通信的應(yīng)用層控制協(xié)議，用于在參與者之間建立、改變和終止多媒體會話，是IETF發(fā)布的RFC 3261。SIP協(xié)議具有簡單、開放、容易配置、與IP協(xié)議兼容的特點。SIP與HTTP相似，是一種基于文本的協(xié)議，使得開發(fā)人員很容易編寫各種應(yīng)用。

SIP消息是SIP協(xié)議中的邏輯實體即客戶端和服務(wù)器之間通信的基本信息單元，SIP協(xié)議消息分請求和響應(yīng)兩類，SIP消息統(tǒng)一格式如下：

SIP message = SIP消息起始行

*SIP消息頭域（可包含多個）

CRLF

[SIP消息體]（可選項）

SIP消息起始行包括：用于請求消息的請求行、用于響應(yīng)消息的狀態(tài)行。

SIP消息頭域（簡稱為SIP頭）是SIP消息的重要組成部分，用于會話路由、標識會話、傳遞會話控制信息等功能。

SIP消息體是SIP消息的凈荷部分，可以攜帶不同協(xié)議的消息體用于完成不同的功能，例如：SIP攜帶SDP，用于媒體協(xié)商。

SDP協(xié)議，用于媒體描述。

RTP協(xié)議，用于實時媒體傳輸。

H.248協(xié)議（主要功能與IETF MEGACO協(xié)議類似），用于媒體網(wǎng)關(guān)控制。

Diameter協(xié)議，用于與HSS等數(shù)據(jù)庫的AAA安全交互。

CM-IMS采用SIP協(xié)議作為核心控制協(xié)議，在CM-IMS核心網(wǎng)中，呼叫控制全部使用SIP協(xié)議，同時SIP協(xié)議與SDP協(xié)議、Diameter協(xié)議、ENUM/DNS查詢協(xié)議等相互配合完成多媒體業(yè)務(wù)提供過程中的信息傳遞、網(wǎng)元控制等功能。

3 企業(yè)語音專線業(yè)務(wù)接入現(xiàn)狀與需求

3.1 傳統(tǒng)普通語音專線業(yè)務(wù)接入控制機制

傳統(tǒng)的企業(yè)語音專線基于軟交換網(wǎng)絡(luò)進行組網(wǎng)，同樣涉及接入層、承載層、匯聚層、核心層、業(yè)務(wù)層，其組網(wǎng)存在以下特點：

（1）核心層由軟交換網(wǎng)絡(luò)組成，下行主要提供E1端口，業(yè)務(wù)接入方式以E1接入為主。

（2）為了緩解核心網(wǎng)接口容量緊張問題，部分地為企業(yè)客戶業(yè)務(wù)專項建設(shè)了TDM PBX、IP PBX、IP前置機等設(shè)備，稱為匯聚設(shè)備，所以存在匯聚層。下行擴充接口數(shù)量的同時，擴展接口協(xié)議類型為：NO7、PRI，以及少量的FE接口。

（3）傳統(tǒng)企業(yè)普通語音專線業(yè)務(wù)，傳輸依然主要采用時分復(fù)用（TDM）的專線，用戶之間采用面向連接的通道進行通信，可以避免來自其他終端用戶的各種竊聽和攻擊。

（4）傳統(tǒng)企業(yè)普通語音專線業(yè)務(wù)接入安全，通過在核心交換網(wǎng)元或匯聚交換網(wǎng)元預(yù)先人工配置主叫號碼進行鑒權(quán)控制，可以避免企業(yè)客戶的業(yè)務(wù)被盜用。

3.2 IMS企業(yè)語音業(yè)務(wù)接入方式需求

根據(jù)CM-IMS體系架構(gòu)，可以知道IMS業(yè)務(wù)接入存在以下兩種類型：

lIP接入：由SBC提供語音接入能力。

主要的接入方案組合是：IAD/AG/SIPGW/IP PBX+GPON/PTN/SDH（傳送駐地網(wǎng)）+MAN（數(shù)據(jù)城域網(wǎng)）+SBC。

lE1接入：由IM-MGW提供語音接入能力。

主要的接入方案組合是：TDM PBX /IP PBX+PTN/SDH+IM-MGW。

根據(jù)IMS特點，基于CM-IMS企業(yè)語音業(yè)務(wù)接入控制存在以下待解決的問題：

（1）IMS業(yè)務(wù)采用基于IP的SIP協(xié)議和開放的網(wǎng)絡(luò)架構(gòu)，通過采用多種不同的接入方式可以共享業(yè)務(wù)平臺，如何限制未經(jīng)授權(quán)地客戶訪問業(yè)務(wù)？

（2）IP接入方式下的IMS業(yè)務(wù)基于分組網(wǎng)承載，屬于固定類的語音專線業(yè)務(wù)的接入變得不可控，是否通過同一個用戶名和密碼可同時使用多個企業(yè)的專線業(yè)務(wù)？如何限制企業(yè)用戶的游牧行為？

（3）IP接入方式下的IMS業(yè)務(wù)基于分組網(wǎng)承載，直接與互聯(lián)網(wǎng)相聯(lián)，如何控制語音業(yè)務(wù)不受因特網(wǎng)干擾？

4 CM-IMS企業(yè)語音業(yè)務(wù)接入控制機制分析及策略

4.1 IMS多種鑒權(quán)機制分析

在IMS網(wǎng)絡(luò)中，為用戶進行正常的業(yè)務(wù)觸發(fā)和被叫路由都需要用戶進行IMS網(wǎng)絡(luò)注冊。

UE完成IMS網(wǎng)絡(luò)注冊后，需要定期進行重注冊以維持其在網(wǎng)絡(luò)中的注冊狀態(tài)。當用戶下線時，UE需要完成IMS注銷流程。

在IMS網(wǎng)絡(luò)注冊過程中，接入層設(shè)備UE（如IAD）接入訪問地的P-CSCF網(wǎng)絡(luò)，提交基于SIP協(xié)議的注冊請求消息，I-CSCF通過與HSS交互基于DIAMETER協(xié)議的UAR/UAA（用戶鑒權(quán)請求/應(yīng)答）消息確定UE歸屬的S-CSCF名稱，S-CSCF通過與HSS交互基于DIAMETER協(xié)議的MAR/MAA（媒體鑒權(quán)請求/應(yīng)答）獲取UE和網(wǎng)絡(luò)間認證所需要的數(shù)據(jù)，S-CSCF返回401響應(yīng)給UE，UE根據(jù)401響應(yīng)重新發(fā)送注冊請求消息給S-CSCF，鑒權(quán)成功后S-CSCF通過SAR/SAA（服務(wù)指派請求/響應(yīng)）從HSS下載用戶簽約數(shù)據(jù)并存儲用戶地址，并向UE返回鑒權(quán)成功響應(yīng)。

在IMS網(wǎng)絡(luò)注冊完成后，S-CSCF會代理用戶向AS進行第三方注冊。

CM-IMS規(guī)定了4種常用的鑒權(quán)算法：

（1）lIMS AKA鑒權(quán)方式

UE的注冊參數(shù)存儲在USIM、ISIM中，用戶使用帶SIM卡的終端接入IMS網(wǎng)絡(luò)時進行認證的一種機制。

（2）lHTTP Digest鑒權(quán)方式。

UE的注冊參數(shù)存儲在軟終端、硬終端中，用戶使用SIP終端接入IMS 網(wǎng)絡(luò)時進行認證的一種機制。

（3）l與NASS綁定的鑒權(quán)方式。

是早期NGN網(wǎng)絡(luò)體系中是固網(wǎng)用戶接入IMS 網(wǎng)絡(luò)時進行認證的一種機制，一般通過wlan接入的場景下使用。

（4）l與GPRS綁定的鑒權(quán)方式。

是終端通過GPRS網(wǎng)絡(luò)接入IMS時進行的一種認證機制。

企業(yè)語音專線業(yè)務(wù)在接入層使用硬件SIP終端進行接入，應(yīng)當使用HTTP Digest鑒權(quán)方式。

HTTP摘要認證是一種基于挑戰(zhàn)-響應(yīng)結(jié)構(gòu)的安全機制。當服務(wù)器收到UE注冊請求消息時，就會向請求的UE發(fā)送挑戰(zhàn)，UE提供認證信息以實現(xiàn)服務(wù)器對其身份的驗證。挑戰(zhàn)包含此次生成的臨時值nonce，請求者和服務(wù)器共用同一密碼，請求者將用戶名、密碼、nonce值、HTTP方法以及被請求的URI經(jīng)過MD5（hash算法）運算后，得到一個響應(yīng)值。請求者再次發(fā)送包含運算所得響應(yīng)值的注冊請求，服務(wù)器就通過比較自己計算與UE計算的兩個響應(yīng)值進行認證。采用這種機制，使得密碼不采用明文形式在網(wǎng)絡(luò)上發(fā)送，提高安全性。

4.2 業(yè)務(wù)層控制策略：接入地綁定

CM-IMS信令會話業(yè)務(wù)皆通過IP承載，IP接入模式的客戶終端將被分配一個固定IP地址用于與IMS網(wǎng)絡(luò)通信，雖然通過HTTP Digest鑒權(quán)機制提高了業(yè)務(wù)接入的安全性，但鑒權(quán)只是針對用戶名與密碼進行認證。

在實際業(yè)務(wù)提供過程中，可能存在兩種情況：一是用戶使用自己的用戶名稱與密碼在其他客戶終端上接入IMS網(wǎng)絡(luò)使用業(yè)務(wù)，屬于游牧行為；二是用戶名稱與密碼被他人竊取后，他人私下安裝另一臺客戶設(shè)備接入IMS網(wǎng)絡(luò)，屬于盜打行為。這兩種情況損害了運營商或用戶的利益，有必要建立一種對客戶終端設(shè)備歸屬IP地址進行驗證的機制。

經(jīng)過研究SIP協(xié)議，在REGISTER請求消息的消息頭中有一個字段：P-Access-Network-Info用于攜帶用戶接入地信息，其中包含UE歸屬的IP地址信息。在IMS的HSS配置指定IMPU用戶的歸屬IP地址段。這樣可在注冊請求會話中，HSS根據(jù)UE在注冊請求中提交的與自己記錄的IP地址進行校驗，校驗一致允許業(yè)務(wù)接入，否則拒絕業(yè)務(wù)接入，從而解決被盜打的問題。

4.3 承載層控制策略：業(yè)務(wù)隔離

在業(yè)務(wù)初次測試過程中發(fā)現(xiàn)，基于IP接入模式的企業(yè)語音業(yè)務(wù)，客戶端設(shè)備配置公網(wǎng)IP后，實現(xiàn)語音業(yè)務(wù)的同時，也可以訪問internet。這是因為CM-IMS業(yè)務(wù)接入由數(shù)據(jù)城域網(wǎng)承載，城域網(wǎng)的路由與internet直接連接引起。

經(jīng)過相關(guān)研究，鑒于VPN下可實現(xiàn)數(shù)據(jù)安全、地址隔離，考慮公網(wǎng)IPv4地址緊缺，考慮我省多采用MPLS VPN等因素，提出為接入IMS的企業(yè)語音業(yè)務(wù)在數(shù)據(jù)分組網(wǎng)上建立基于私網(wǎng)IP地址的MPLS VPN的解決策略。

數(shù)據(jù)網(wǎng)部署原則是：

為方便管理，每個本地網(wǎng)各部署一個VPN；城域網(wǎng)SR作為PE，在SR子接口上綁定VPN，在企業(yè)側(cè)的SR子接口對應(yīng)語音業(yè)務(wù)終端，在SBC側(cè)的SR子接口對應(yīng)SBC；城域網(wǎng)全網(wǎng)部署Mpls vpn、Mpls ldp；SBC需要重新規(guī)劃私網(wǎng)IP，對城域網(wǎng)側(cè)需要把該私網(wǎng)IP綁定子接口；另外SBC位于IP承載網(wǎng)內(nèi)，與SR之間經(jīng)過上聯(lián)2個CE、2個FW，通過選擇某條物理鏈路，啟用子接口承載此業(yè)務(wù)，2個SR、2個CE、2個FW之間的子接口啟用OSPF，CE把指向SBC的靜態(tài)地址引入OSPF，通過OSPF傳到SR。

5 應(yīng)用實例

5.1 環(huán)境搭建

l組網(wǎng)選擇

IMS接入模式：IP

語音接入組網(wǎng)方案：IAD+GPON+MAN+SBC（最典型）

測試號碼：66221234

SBC地址：10.186.15.49

lIP城域網(wǎng)配置的數(shù)據(jù)：

客戶IP：10.210.22.206 掩碼：255.255.255.0

網(wǎng)關(guān)IP：10.210.22.1/24

SVLAN：1004；CVLAN：100

VPN名稱 20000200

VPN RD 65000：50005000

lHSS配置

通過配置界面，在指定的IMPU下，設(shè)置歸屬的IP地址為10.210.22.206/24；

配置指定的IMPU的密碼。

l客戶端IAD配置：

用城域網(wǎng)分配的客戶IP、網(wǎng)關(guān)IP，配置IAD的IP設(shè)置；

配置SIP服務(wù)器：

填寫用戶域名為ims.gd.chinamobile.com；

服務(wù)器IP為SBC的IP、端口為5060、失效時間為3600秒。

配置用戶號碼：

用戶ID IMPU：+862066221234

用戶名 IMPI：862066221234@ims.gd.chinamobile.com

密碼：用于鑒權(quán)的密碼。

5.2 信令跟蹤結(jié)果

在SBC上跟蹤SIP信令，獲取了注冊過程與接入控制相關(guān)的信令消息，下面列出關(guān)鍵消息頭的內(nèi)容：

（1）注冊消息的消息頭。

這樣就可以將UE注冊使用的IP地址送HSS驗證。

5.3 應(yīng)用成果

（1）正常配置情況下：

①IAD向IMS注冊成功。

②用戶能正常打電話，通過IAD無法訪問INTENET。

（2）調(diào)整IAD配置的密碼。

①IAD向IMS注冊失敗。

（3）調(diào)整HSS配置的該用戶歸屬IP地址情況下：

①IAD向IMS注冊失敗。

參考文獻

[1]中國移動CM-IMS（SIP）技術(shù)規(guī)范_第1部分：SIP的總體要求[C].中國移動通信有限公司研究院，中國移動通信有限公司.

[2]中國移動CM-IMS（SIP）技術(shù)規(guī)范_第2部分：SIP的消息[C].中國移動通信有限公司研究院，中國移動通信有限公司.

[3]中國移動CM-IMS（SIP）技術(shù)規(guī)范_第3部分：SIP的基本流程[C].中國移動通信有限公司研究院，中國移動通信有限公司.