薄靜華

摘 要：IP多媒體子系統(tǒng)（IMS）是3GPP在R5規(guī)范中提出的，旨在建立一個(gè)與接入無關(guān)、基于開放的SIP/IP協(xié)議及支持多種多媒體業(yè)務(wù)類型的平臺來提供豐富的業(yè)務(wù)。它將蜂窩移動通信網(wǎng)絡(luò)技術(shù)、傳統(tǒng)固定網(wǎng)絡(luò)技術(shù)和互聯(lián)網(wǎng)技術(shù)有機(jī)結(jié)合起來，為未來的基于全I(xiàn)P網(wǎng)絡(luò)多媒體應(yīng)用提供了一個(gè)通用的業(yè)務(wù)智能平臺，也為未來網(wǎng)絡(luò)發(fā)展過程中的網(wǎng)絡(luò)融合提供了技術(shù)基礎(chǔ)。

關(guān)鍵詞：IMS 應(yīng)用 安全

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-3791（2014）05（b）-0014-02

IMS：IP Multimedia Subsystem，IMS是在3GPP R5階段提出的一個(gè)新的域，它基于IP承載，疊加在PS（分組域）之上，為用戶提供文本、語音、視頻、圖片等不同的IP多媒體信息。IP：基于IP的傳輸，基于IP的會話控制，基于IP的業(yè)務(wù)實(shí)現(xiàn)。Multimedia：語音、視頻、圖片、文本等多種文字的組合，在多種接入基礎(chǔ)之上具有不同能力的終端組合。Subsystem：依賴于現(xiàn)有網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)設(shè)備發(fā)展的系統(tǒng)，最大程度重用現(xiàn)有網(wǎng)絡(luò)系統(tǒng)，無線網(wǎng)絡(luò)把PS/GPRS網(wǎng)絡(luò)作為承載網(wǎng)絡(luò)，固定網(wǎng)絡(luò)把基于固定接入IP系統(tǒng)作為承載網(wǎng)絡(luò)。

IMS作為一種全新的多媒體業(yè)務(wù)形式，它能夠滿足現(xiàn)在的終端客戶更新穎、更多樣化多媒體業(yè)務(wù)的需求。目前，IMS被認(rèn)為是3G乃至4G時(shí)代網(wǎng)絡(luò)的核心技術(shù)，也是解決移動與固網(wǎng)融合，引入語音、數(shù)據(jù)、視頻三重融合等差異化業(yè)務(wù)的重要方式。而且IMS已經(jīng)被全世界的運(yùn)營商所接受，基于IMS的網(wǎng)絡(luò)及業(yè)務(wù)應(yīng)用將為廣大用戶提供全方位、一體化、一站式的服務(wù)。

1 IMS的主要特點(diǎn)

1.1 歸屬控制方式

IMS終端無論用戶身在何處，采用何種方式接入方式，網(wǎng)絡(luò)均能夠提供始終如一的歸屬地服務(wù)。

1.2 網(wǎng)絡(luò)的融合共享

公共共享組件架構(gòu)使得網(wǎng)絡(luò)業(yè)務(wù)控制層與具體業(yè)務(wù)和底層網(wǎng)絡(luò)無關(guān)，提供了一個(gè)公共共享的業(yè)務(wù)控制層，使得網(wǎng)絡(luò)融合和業(yè)務(wù)融合成為可能。

1.3 接入的無關(guān)性

IMS與底層的接入和承載網(wǎng)無關(guān)，為業(yè)務(wù)層提供了一個(gè)開放、擴(kuò)張性強(qiáng)、安全的業(yè)務(wù)能力平臺。

1.4 差異化服務(wù)

運(yùn)營商通過服務(wù)策略控制為不同的業(yè)務(wù)提供不同的QoS。

1.5 靈活的業(yè)務(wù)觸發(fā)機(jī)制

IMS的業(yè)務(wù)觸發(fā)是通過HSS下載業(yè)務(wù)過濾規(guī)則，根據(jù)SIP包中的參數(shù)觸發(fā)用戶的定制業(yè)務(wù)，比傳統(tǒng)智能網(wǎng)（DP）觸發(fā)的機(jī)制靈活，消除了核心控制相關(guān)功能實(shí)體和業(yè)務(wù)之間的綁定關(guān)系，使得業(yè)務(wù)觸發(fā)和生成更為靈活，便于業(yè)務(wù)的快速部署。

1.6 統(tǒng)一認(rèn)證和集中用戶數(shù)據(jù)管理

IMS架構(gòu)提供了基本不同接入方式的統(tǒng)一的認(rèn)證接口，IMS的用戶數(shù)據(jù)集中存儲在HSS中，數(shù)據(jù)庫本身不再區(qū)分固定用戶和移動用戶，大大降低了由用戶數(shù)據(jù)分散冗余所帶來的建設(shè)及運(yùn)維開銷。

2 IMS平臺業(yè)務(wù)

IMS為多媒體應(yīng)用提供一個(gè)通用的業(yè)務(wù)平臺，支持會話類和非會話類的多媒體業(yè)務(wù)。IMS的典型應(yīng)用是統(tǒng)一通信。統(tǒng)一通信是基于NGN網(wǎng)絡(luò)的下一代智能網(wǎng)典型應(yīng)用，它以統(tǒng)一號碼為中心，融合了點(diǎn)擊撥號、即時(shí)/統(tǒng)一消息、短信、E-mail、視頻會議等功能，是整合各種通信方式和終端的企業(yè)通信門戶。

IMS常見的業(yè)務(wù)包括呈現(xiàn)、消息、會議、一鍵通等等。

（1）信息類業(yè)務(wù)，這類業(yè)務(wù)對用戶來講已經(jīng)非常熟悉，而且目前為運(yùn)營商帶來了良好的收益，IMS的信息類業(yè)務(wù)將帶給用戶更多的選擇，在享用這些信息類業(yè)務(wù)的同時(shí)，用戶可以隨心所欲而且費(fèi)用低廉的使用其他媒介，比如視頻和聲音等，同時(shí)可以靈活的選用實(shí)時(shí)業(yè)務(wù)或非實(shí)時(shí)業(yè)務(wù)進(jìn)行溝通。（2）多媒體呼叫話音業(yè)務(wù)，這類業(yè)務(wù)可以給用戶在原有的話音業(yè)務(wù)操作和應(yīng)用上帶來全新的體驗(yàn)。（3）增強(qiáng)型呼叫管理，可以實(shí)現(xiàn)讓用戶自己來控制業(yè)務(wù)，讓用戶的溝通更加靈活。（4）群組業(yè)務(wù)，將不同的通信媒介聚合起來，為用戶提供新的業(yè)務(wù)體驗(yàn)，而且IMS還可以對業(yè)務(wù)進(jìn)行新的開發(fā)和組合；突破傳統(tǒng)的一對一的通信方式限制，可以提供基于群組的通信方式。（5）信息共享，常見的郵件攜帶附件的溝通模式可以完成部分的信息共享功能，但是在許多情況下顯得不夠靈活，所以實(shí)時(shí)在線的信息共享通信應(yīng)運(yùn)而生，多個(gè)用戶可以實(shí)時(shí)處理同一個(gè)數(shù)據(jù)文件。（6）在線娛樂，移動終端可以直接和信息資源互聯(lián)，IMS方式可以更好地呈現(xiàn)信息的更新和溝通，并可以隨著用戶需求的增長對信息進(jìn)行必要的過濾；對于用戶的在線游戲，IMS可以為用戶提供從單機(jī)游戲到多用戶在線參與的在線娛樂方式，同時(shí)用戶還可以采用多種多媒體來溝通交流。

IMS移動網(wǎng)絡(luò)運(yùn)營商的主要應(yīng)用，這類應(yīng)用是移動運(yùn)營商為了豐富移動網(wǎng)絡(luò)的業(yè)務(wù)而開展的，主要是在移動網(wǎng)絡(luò)的基礎(chǔ)上用IMS來提供PoC、即時(shí)消息、視頻共享等多媒體增值業(yè)務(wù)。應(yīng)用重點(diǎn)集中在給企業(yè)客戶提供IPCENTREX和公眾客戶的VoIP第二線業(yè)務(wù)。

其次是固定運(yùn)營商出于網(wǎng)絡(luò)演進(jìn)和業(yè)務(wù)的需要，通過IMS為企業(yè)用戶提供融合的企業(yè)的應(yīng)用（IPCENTREX業(yè)務(wù)），以及向固定寬帶用戶（例如ADSL用戶）提供VoIP應(yīng)用。

第三種典型的應(yīng)用是融合的應(yīng)用，主要體現(xiàn)在WLAN和3G的融合，以實(shí)現(xiàn)語音業(yè)務(wù)的連續(xù)性。在這種方式下，用戶擁有一個(gè)WLAN/WCDMA的雙模終端，在WLAN的覆蓋區(qū)內(nèi)，一般優(yōu)先使用WLAN接入，因?yàn)檫@種方式用戶使用業(yè)務(wù)的資費(fèi)更低，數(shù)據(jù)業(yè)務(wù)的帶寬更充足。當(dāng)離開WLAN的覆蓋區(qū)后，終端自動切換到WCDMA網(wǎng)絡(luò)，從而實(shí)現(xiàn)語音在WLAN和WCDMA之間的連續(xù)性在IMS中全部采用SIP協(xié)議，雖然SIP也可以實(shí)現(xiàn)最基本的VoIP，但是這種協(xié)議在多媒體應(yīng)用中所展現(xiàn)出來的優(yōu)勢表明，它天生就是為多媒體業(yè)務(wù)而生的。由于SIP協(xié)議非常靈活，所以IMS還存在許多潛在的業(yè)務(wù)。

3 IMS安全問題分析

3.1 IMS存在的安全問題分析

傳統(tǒng)的電信網(wǎng)絡(luò)采用完全獨(dú)立的信令網(wǎng)來完成呼叫的建立、路由和控制等過程，信令網(wǎng)的安全可以保證網(wǎng)絡(luò)的安全。而且，傳輸采用時(shí)分復(fù)用（TDM）的專線，用戶之間采用面向連接的通道來進(jìn)行通信，這樣避免了來自其他終端用戶的各種可能的竊聽和攻擊。

IMS網(wǎng)絡(luò)與互聯(lián)網(wǎng)相連接，基于IP協(xié)議和開放的網(wǎng)絡(luò)架構(gòu)，這樣可以將語音、多媒體、數(shù)據(jù)等多種不同業(yè)務(wù)，通過采用不同的接入方式來共享業(yè)務(wù)平臺，增加了網(wǎng)絡(luò)的靈活性，同時(shí)增強(qiáng)終端之間的互通性，不同的運(yùn)營商可以有效快速地開展和提供各種業(yè)務(wù)。由于IMS建立在IP基礎(chǔ)上，這使IMS的安全性要求相比傳統(tǒng)運(yùn)營商在獨(dú)立網(wǎng)絡(luò)上運(yùn)營要高的多，不管是經(jīng)由移動接入還是固定接入，IMS的安全問題都不容忽視。

3.2 IMS網(wǎng)絡(luò)面臨的安全威脅

通信系統(tǒng)的安全威脅主要來自這兩個(gè)方面：網(wǎng)絡(luò)協(xié)議和系統(tǒng)的弱點(diǎn)，攻擊者可以利用網(wǎng)絡(luò)和系統(tǒng)的弱點(diǎn)未經(jīng)授權(quán)地訪問或操縱敏感數(shù)據(jù)，擾亂或?yàn)E用網(wǎng)絡(luò)服務(wù)。

以下簡述IMS網(wǎng)絡(luò)面臨的幾類威脅。

未經(jīng)授權(quán)進(jìn)行訪問或操縱服務(wù)：攻擊者可通過竊聽、偽裝、流量分析等各種手段獲取或操縱敏感信息。完整性的威脅：攻擊者通過對系統(tǒng)接口上的信令、數(shù)據(jù)進(jìn)行各類修改、插入、重放或刪除等操作，侵犯合法用戶的權(quán)益。濫用或擾亂網(wǎng)絡(luò)服務(wù)：通過人為干擾用戶傳輸、篡改信令數(shù)據(jù)或者控制數(shù)據(jù)，攻擊系統(tǒng)并耗盡服務(wù)資源，使合法的用戶無法使用服務(wù)，實(shí)現(xiàn)濫用特權(quán)獲取未授權(quán)的服務(wù)。服務(wù)否認(rèn)：指用戶或網(wǎng)絡(luò)否認(rèn)曾經(jīng)發(fā)生的操作。

4 IMS業(yè)務(wù)安全機(jī)制

IMS提供了完整的安全機(jī)制。安全的功能包括鑒權(quán)認(rèn)證、信令一致性保護(hù)以及加密。在IMS核心網(wǎng)采用的是IPSec技術(shù)。接入網(wǎng)安全的方案可能根據(jù)不同的采用的接入網(wǎng)絡(luò)有關(guān)。移動的分組網(wǎng)絡(luò)接入IMS時(shí)，還是沿用SIM卡的鑒和信令保護(hù)。另外，IMS系統(tǒng)還提供了端到端的策略。所有IP網(wǎng)絡(luò)的端到端安全基于IPSec，密鑰管理基于IKE協(xié)議，直接引用了IETF的規(guī)范。

從安全功能和機(jī)制上IMS也繼承自UMTS系統(tǒng)。IMS中的認(rèn)證和密鑰管理方案仍采用AKA機(jī)制，鑒權(quán)參數(shù)仍是五元組。HSS和ISIM共享一個(gè)與 IMPI有關(guān)的長期密鑰，AKA完成一個(gè)HSS與ISIM的相互認(rèn)證，同時(shí)完成加密和完整性密鑰的協(xié)商。IPsec ESP提供UE和P-CSCF間SIP信令的完整性保護(hù)和加密。

以下列舉IMS安全的關(guān)鍵技術(shù)。

4.1 認(rèn)證

協(xié)議：IMS對用戶的認(rèn)證機(jī)制是IMS AKA，其流程完全類似于UMTS的AKA。用來提供用戶和網(wǎng)絡(luò)之間的雙向認(rèn)證，此認(rèn)證基于存在于ISIM和HSS內(nèi)的秘密密鑰進(jìn)行。而AKA過程中產(chǎn)生的密鑰，則是用于P-CSCF和UE之間加密和完整化保護(hù)的會話密鑰，認(rèn)證進(jìn)行是在用戶注冊或重新注冊的時(shí)候進(jìn)行的。算法：SHA-1。

4.2 加密和完整化保護(hù)

協(xié)議：IMS對SIP信令實(shí)現(xiàn)強(qiáng)制使用完整性保護(hù)，依據(jù)的主要機(jī)制是IPSec ESP， 傳輸模式。算法：加密采用AES，完整化保護(hù)采用SHA-1。

4.3 安全參數(shù)集合協(xié)商（SA協(xié)商）

SA主要是對雙方協(xié)商使用什么樣的安全協(xié)議來進(jìn)行保護(hù)，以及采用什么安全算法來進(jìn)行加密及完整化保護(hù)等。目前是根據(jù)RFC3329。

4.4 接入網(wǎng)的安全

主要是采用IPSec ESP傳輸模式，對UE和P-CSCF之間的信令和消息進(jìn)行強(qiáng)制完整化保護(hù)以及可選的加密保護(hù)。

4.5 網(wǎng)絡(luò)域接口的安全保護(hù)

網(wǎng)絡(luò)域的安全采用hop-by-hop安全模式，對于每個(gè)在網(wǎng)絡(luò)實(shí)體之間的每一個(gè)通信進(jìn)行單獨(dú)保護(hù)。保護(hù)措施用的是IPSec ESP。協(xié)商密鑰采用的方法是IKE。IKE協(xié)議主要用于建立、協(xié)商以及維護(hù)網(wǎng)絡(luò)實(shí)體間的安全參數(shù)SA集合。

IMS的諸多特點(diǎn)使其一經(jīng)提出就成為業(yè)界的研究熱點(diǎn)，是業(yè)界普遍認(rèn)同的解決網(wǎng)絡(luò)融合的理想方案和發(fā)展方向，但是對于IMS更好地提供統(tǒng)一的業(yè)務(wù)平臺實(shí)現(xiàn)全業(yè)務(wù)運(yùn)營，IMS的標(biāo)準(zhǔn)化以及IMS安全等問題，將隨著發(fā)展需要進(jìn)一步的研究和探討。

參考文獻(xiàn)

[1] IMS核心原理與應(yīng)用[M].人民郵電出版社，2008.

[2] IMS：IP多媒體概念和服務(wù)[M].2版.機(jī)械工業(yè)出版社，2007.

[3] 3GPP TS 33.203 V8.2.0，3G security，Access security for IP-based service[Z].

[4] IMS全業(yè)務(wù)運(yùn)營解決方案安全技術(shù)交流（V2.5）[Z].華為內(nèi)部技術(shù)文檔，2010，10.

[5] HUAWEI SE2600技術(shù)指導(dǎo)手冊[Z].華為內(nèi)部技術(shù)文檔，2010，7.

[6] IMS網(wǎng)絡(luò)結(jié)構(gòu)、產(chǎn)品配置[Z].中興培訓(xùn)材料.

[7] 2009全球IMS產(chǎn)業(yè)發(fā)展研究報(bào)告[R].北京華經(jīng)縱橫資訊有限公司.