IMS技術

IMS技術對控制層功能做了進一步分解，實現了會話控制實體CSCF（Call Session Control Function）和承載控制實體MGCF（Media Gateway Control Function）在功能上的分離，使網路架構更為開放、靈活，所以IMS實際上比傳統軟交換更“軟”。

IMS業務架構圖

IMS以其業務、控制、承載完全分離的水平架構，集中的用戶屬性和接入無關等特性，一方面解決了目前軟交換技術還無法解決的問題，如用戶移動性支持、標準開放的業務接口、靈活的IP多媒體業務提供等；另一方面，其接入無關性，也使得IMS成為固定和行動網路融合演進的基礎。

IMS業務架構如圖所示，IMS的目的是建立與接入無關、能被行動網路與固定網路共用的融合核心網。

在無線接入技術方面，IMS除了GSM/GPRS和WCDMA之外，WLAN通過SIPProxy也可以接入。此外，固定網路的LAN和xDSL接入技術也可以接入到IMS。

IMS還提供了與ISDN/PSTN傳統電路交換網路的互在線上制。這樣，IMS提供服務的終端除了移動終端之外，還包括固定的電話終端、多媒體智慧型終端、PC機的軟終端等。

IMS能夠為使用不同接入手段的用戶提供融合的業務，但固定接入與移動接入終究有不同的特徵，所以要將基於移動通信發展起來的IMS體系套用到固網中還需要進行大量的改進，標準化工作依然任重而道遠。移動通信界提出的IMS與固網通信界提出的軟交換的基本思想和目標是一致的，都希望建立基於IP的融合與開放的網路平台。

IMS體系結構和CSCF的設計利用了軟交換技術，實現了業務與控制相分離、呼叫控制與媒體傳輸相分離。IMS雖然是3GPP為移動用戶接入多媒體服務而開發的系統，但由於它全面融合了IP域的技術，並在開發階段就和其它組織進行密切合作，使得IMS實際已經不僅僅局限於只為移動用戶進行服務。IMS體系結構如圖所示。

IMS體系結構圖

在IMS體系結構中，最底層為承載層，用於提供IMSSIP會話的接入和傳輸，承載網必須是基於分組交換的。圖中以移動分組網的承載方式為例，描述了IMS用戶通過手機進行IMS會話的方式，主要的承載層設備有SGSN（GPRS業務支撐節點）、GGSN（網關GPRS業務支撐節點）以及MGW（媒體網關）。其中SGSN和GGSN可以重複利用現網設備，不需要硬體升級，僅通過做相關配置就可以支持IMS。MGW是負責媒體流在IMS域和CS（電路交換）域互通的功能實體，主要解決語音互通問題。無論具體採用哪一種接入方式，只要基於IP技術，所有的IMS用戶信令就可以很好地傳送到控制層。

中間層為信令控制層，由網路控制伺服器組成，負責管理呼叫或會話設定、修改和釋放，所有IP多媒體業務的信令控制都在這一層完成。主要的功能實體有CSCF、HSS（HomeSubscriberServer，歸屬用戶伺服器）、MGCF等，這些網元執行不同的角色，如信令控制伺服器、資料庫、媒體網關伺服器等，協同完成信令層面的處理功能，如SIP會話的建立、釋放。這一層僅對IMS信令負責，最終的IMS業務流不經過這一層，完全通過底層的承載層做路由實現端到端通信。

最上面一層是套用層，由套用和內容伺服器組成，負責為用戶提供IMS增值業務，主要網元是一系列通過CAMEL、OSA/Parlay和SIP技術提供多媒體業務的套用平台。運營商可以自行開發一些基於SIP的套用，通過標準SIP接口與IMS系統連線；如果運營商需要連線第三方SP的套用，IMS可以和標準的API，如OSAAPI連線，通過OSA/ParlayGW對第三方非信任的SP業務進行鑒權和管理等。

電路交換域與現有的2G網路類似，採用電路交換技術提供話音業務。分組交換域是2.5G網路中引入的，主要網元設備有SGSN（ServiceGPRSSwitchNode）和GGSN（Gateway GPRS Switch Node）。它們負責向終端提供IP連線，用戶通過該域進入網際網路，用戶可以由此傳送郵件，瀏覽網頁。它並沒有在IP之上定義任何特殊的體系結構，它主要是一種接入技術。IP多媒體域（即IMS，IP Multimedia Subsystem）是3GPP制定的UMTS R5版本中引入的，採用SIP作為主要的信令協定，使得移動運營商可以為用戶提供端到端的全IP的多媒體業務。

3GPP R5基本結構

IMS由呼叫狀態控制功能CSCF（CallSessionControlFunction）、媒體網關控制功能MGCF（Media Gateway Control Function）、媒體網關MGW（Media Gateway）、歸屬地用戶伺服器HSS（Home Subscriber Server）等功能實體組成。CSCF的種類包括P-CSCF（Proxy-CACF，代理CSCF）、I-CSCF（Interrogating CSCF，查詢CSCF）和S-CSCF（ServingCSCF，服務CSCF），本質上它們都是SIP伺服器，處理SIP信令。

P-CSCF是UE聯繫IMS的第一步，是UE在被訪問域（漫遊時）首先要訪問的點，進出的SIP訊息都要通過P-CSCF。P-CSCF相當於SIP協定定義的邊界代理伺服器。

I-CSCF的功能是提供到歸屬網路的入口，將歸屬網路的拓撲圖對其它網路隱藏起來，並通過HSS為特定用戶找出相應的S-CSCF。它是用戶終端漫遊或者外來任務進入本地服務提供商網路中的聯繫點。當I-CSCF接到一個請求時，它將把請求路由到相應的S-CSCF。

3GPP定義的IMS的體系架構

S-CSCF給用戶提供服務。當終端註冊時，它同本地域的S-CSCF聯繫，本地S-CSCF向用戶提供用戶預定的服務。這樣的好處是用戶即使漫遊到不支持某項業務的網路也能像在本地一樣得到需要的服務。

HSS（HomeSubscriberServer）相當於2G網路中的HLR，存儲了與一個單獨用戶相關的S-CSCF和相應的用戶簡介。因此它知道用戶現在的位置和用戶指定的服務。CSCF可以向HSS詢問以獲得這些信息。HSS和CSCF之間互動用的是Cx接口，它不是IETF制定的，當也是基於IP的。

改進的IP多媒體子系統(A-IMS)[1]是美國第二大行動電話公司威瑞森(VerizonWireless)聯合其5個主要的設備供應商思科、朗訊、摩托羅拉、北電和高通公司在2006年7月發布的一種移動多媒體業務體系，它基於3GPP2的多媒體域(MMD)架構，在融入了IP多媒體子系統/多媒體域(IMS/MMD)所有會話發起協定(SIP)業務功能的基礎上，增加了對非SIP套用的支持。另外還從網路運營的角度，針對IMS/MMD網路安全提出了一些擴展和補充，如增加了安全操作中心(SOC)和姿態代理等，使IMS/MMD網路的安全性得到較大改進。

A-IMS的系統結構圖

A-IMS繼承了IMS/MMD的所有業務功能，並在安全性、移動性、策略、服務質量(QoS)、對等互聯、計費、合法監聽、緊急呼叫、呈現業務等方面，進行了增強和擴充。

A-IMS的主要網元包括IP網關(IPGW)、承載管理(BM)、套用管理(AM)、策略管理(PM)、安全管理(SM)、業務代理(SB)、業務數據管理(SDM)和接入終端(AT)等，與安全相關的網元主要包括SM、PM、BM、IPGW、AT。

雖然從網元名稱上看，A-IMS和3GPP的IMS[2]及3GPP2的MMD[3]有一些差異，但除了新增的SM網元外，其他幾個網元在功能上和3GPP、3GPP2乃至TISPAN[4]中的IMS網元都有一定的對應關係，如AM、SDM和PM分別對應於IMS/MMD的呼叫會話控制功能(CSCF)、歸屬用戶伺服器(HSS)和策略決策功能(PDF)等。

SM作為SOC的核心，主要負責收集A-IMS系統中各網元的安全事件信息，完成入侵探測、控制設備操作、分發安全策略，另外還負責對移動設備的姿態(Posture)評估，根據終端對網路設備的兼容程度(如作業系統版本、反病毒軟體版本等)，決定他們是否被允許接入網路，以及允許接入什麼服務等。

A-IMS繼承了IMS/MMD的所有安全特徵，如鑒權、加密以及數據完整性保護算法等，因此A-IMS在SIP用戶的合法性檢驗、數據的私密性和完整性等方面採取的算法和IMS/MMD是相同的[5-7]。但由於A-IMS增加了對非SIP套用的支持，相應地，這些算法也考慮了對非SIP套用的支持(本文中提及的A-IMS對IMS的繼承，是指對鑒權加密機制的繼承，但對於具體的細節A-IMS有一些細微改進)。

A-IMS加密和數據完整性算法

(1)鑒權算法

A-IMS和IMS一樣，鑒權被用於二層初始接入鑒權、IP移動業務鑒權及SIP套用鑒權，另外在需要安全通信的網元間，鑒權也是必要的。針對集成設備和非集成設備，A-IMS使用的鑒權算法有所不同。

在集成設備中，對於SIP套用，採用3GPP2認證與密鑰協商/IP安全協定(AKA/IPSec)；對於非SIP套用，採用套用特定的鑒權協定，如傳輸層安全協定(TLS)。

在非集成設備中，對於SIP套用，採用3GPP2AKA/IPSec或TLS；對於非SIP套用，採用套用特定的鑒權協定，如TLS。

(2)加密和數據保護

A-IMS也採用了加密和數據完整性算法，如圖所示。

A-IMS除了繼承上述鑒權、加密機制外，還提出了一些新的安全措施。相對於IMS，A-IMS主要在集成安全和統一安全管理、安全操作中心、設備接納控制、安全策略等方面對安全性進行了增強。

1集成安全和統一安全管理

由於A-IMS需要處理吉比特速率的承載流量，為避免網路“瓶頸”，A-IMS將安全機制集成到系統的各個網元中，通過SOC下發策略和SM對安全事件的檢測，使分散於各地的網元，都按照統一的安全策略工作，實現了整個網路統一的安全管理。例如：利用集成安全機制，SOC可以分發流量標準等安全策略到各地網元，通過本端測量或遠程測量，標識、區分和追蹤反常行為，快速阻斷病毒的傳播，這種統一的集成安全機制，使系統整體安全性相對於IMS/MMD網路有較大提高。

2安全操作中心

SOC主要套用於集中監視、報告和處理，是A-IMS最主要的新增實體，也是整個系統安全管理的核心。SOC通過策略的制定和分發，從AM等網元中收集安全信息，檢查業務狀態，對外部入侵進行識別、分析和處理，為A-IMS提供成熟而健壯的保護。另外SOC還具備突發事件管理和配合司法調查等能力，可以協助進行危機處理。

由於SOC關係到整個網路的安全，通常應使用冗餘設備及UPS來保證其硬體可靠性，並應嚴格限定操作員的操作許可權，只允許有確切必要的雇員登錄入SOC，並對登錄SOC的操作員的操作進行後台監測。除此之外，還要經常對SOC進行嚴格的內部信息安全規則審計，以保證SOC的正常運行。

3設備接納控制

設備接納控制是一種網路對終端設備接入網路的決策行為。當終端接入網路時，網路可決定設備是否被允許連入網路，如果得到允許，網路基於其安全姿態，決定能夠得到的服務等級。

A-IMS將終端分為3種類型：只支持語音的閉合設備、同時支持語音和數據的高級終端和具備EV-DO能力的個人計算機。後兩種終端屬於智慧型終端(IAT)，A-IMS設備接納控制主要是針對IAT進行控制。

設備接納控制也是A-IMS主要的安全增強點。在IMS/MMD網路中，對設備接納控制主要通過鑒權、加密等接入控制措施實現。而A-IMS則新增了安全代理功能，利用安全代理，可以驗證設備的健康狀況，確定設備可以接入的安全等級。如這個代理運行在IAT上，則被稱為姿態代理，運行在AM和BM等網路設備上，被稱為移動安全代理(MSA)。

3.1姿態代理

姿態代理在IAT上運行，是設備接納控制的重要部分，它收集設備的姿態信息(包括作業系統是否運行於授權的版本，以及是否正確打過補丁等)，並將結果通過IPGW傳送給SM。

IAT在初始接入時，SM將根據PA送過來的設備姿態信息報告，對照相關的安全策略，決定向IPGW傳送的初始策略回響：是受限接入還是完全接入，如果是受限接入，相關安全策略將被下載到BM，使設備只能通過BM連線到特定AM上處理緊急呼叫的SIP業務連線埠，同時轉移Web流量到更新伺服器，要求用戶下載更新軟體。

採用基於姿態代理的設備接納控制有以下好處：

保證所有用戶設備和網路安全策略一致，提前防範蠕蟲、病毒、間諜和惡意軟體，使運營商更關注於提前預防而不是事後處理，有效提高A-IMS網路的安全性。

提供一種措施，檢查和控制連線到網路的設備，而不考慮其具體的接入方式，從而增加了網路的自適應能力和擴展性。

阻止不兼容或不可控的終端設備，以免影響網路的可用性。

減少因識別和修復非兼容、不可管理、受感染的系統造成的運營性支出。

阻止易於攻擊、非兼容和不可控的端點設備成為攻擊對象，提高網路的可用性。

3.2移動安全代理

MSA位於AM和BM等網元上，和PA配合，完成設備接納控制功能。MSA還可以根據SM的要求監視設備狀態，協助SM檢測和消除“ZeroDay”威脅，降低系統因修復攻擊破壞而帶來的維護成本(OPEX)，這在網路有多種接入方式時非常重要(如WiFi和寬頻接入時)。MSA還具有反向防火牆能力，它在檢測時將分析行為而不僅僅依靠用戶簽名，這對防止“ZeroDay”類攻擊非常重要。

MSA除了具備姿態代理的全部功能外，還具備有如下功能：

預防主機被入侵

防止間諜軟體

防止記憶體溢出攻擊

提供分散式反向防火牆能力

防止惡意移動代碼入侵

保證作業系統完整性

審計日誌

增強QoS

4安全策略

安全策略是在網路出現安全事件時，SOC讓系統自動執行的策略。

4.1設備安全代理的層次

在A-IMS中，安全策略扮演了很重要的角色。A-IMS網路架構的安全管理、DDoS防範、接入控制、入侵防護、鑒權、設備接納控制等都是SM通過安全策略實現的，SM通過內置的移動安全代理主控制器(MSA-MC)，實現對網路中其他各網元的MSA的控制。

IAT中的MSA收集主機的信息，然後傳送到MSA-MC中，MSA-MC負責根據相關的策略，對相關信息進行預處理，然後將處理結果送到歸屬地SM(H-SM)中，由SM進行姿態評估和異常行為檢測，並決定用戶可接入的安全等級。

4.2SOC的多級管理模式

通過SOC，A-IMS的策略控制實現了多級控制。SOC為國家安全操作中心，向地方SM分發安全策略，實現整個網路的統一安全管理。

5DDoS防護

A-IMS採用自學習算法阻止DDoS攻擊，它能夠學習流量模式，以適應特定的網路狀況，如學習SIP行為以確定合適的流量門限等。A-IMS能夠區分合法流量、嫌疑流量和惡意流量，只有合法流量才被允許通過A-IMS網元。

DDoS攻擊防範功能通常運行於不被注目的後台模式，當系統被懷疑遭到攻擊時，轉發機制被激活，流量被重定向到保護系統，進行分析和控制，然後將合法流量返回到網路。

6安全日誌和報告

A-IMS的各網元：AM、BM、IPGW、AP、SDM等均支持標準的安全事件登記和報告，所有的安全事件告警將被傳送到安全事件管理子系統，進行連續存儲、分析和審計。系統作為日誌收集點，採用接近實時的傳輸，以便對安全操作進行實時監視。A-IMS日誌傳輸基於下列協定：IPFIX、SDEE、SNMPV3、Syslog。