IMS技術

IMS技術對控制層功能做了進一步分解，實現了會話控制實體CSCF（Call Session Control Function）和承載控制實體MGCF（Media Gateway Control Function）在功能上的分離，使網絡架構更為開放、靈活，所以IMS實際上比傳統軟交換更“軟”。

IMS以其業務、控制、承載完全分離的水平架構，集中的用户屬性和接入無關等特性，一方面解決了軟交換技術還無法解決的問題，如用户移動性支持、標準開放的業務接口、靈活的IP多媒體業務提供等；另一方面，其接入無關性，也使得IMS成為固定和移動網絡融合演進的基礎。

IMS業務架構如圖1所示，IMS的目的是建立與接入無關、能被移動網絡與固定網絡共用的融合核心網。

在無線接入技術方面，IMS除了GSM/GPRS和WCDMA之外，WLAN通過SIPProxy也可以接入。此外，固定網絡的LAN和xDSL接入技術也可以接入到IMS。

IMS還提供了與ISDN/PSTN傳統電路交換網絡的互聯機制。這樣，IMS提供服務的終端除了移動終端之外，還包括固定的電話終端、多媒體智能終端、PC機的軟終端等。

IMS能夠為使用不同接入手段的用户提供融合的業務，但固定接入與移動接入終究有不同的特徵，所以要將基於移動通信發展起來的IMS體系應用到固網中還需要進行大量的改進，標準化工作依然任重而道遠。移動通信界提出的IMS與固網通信界提出的軟交換的基本思想和目標是一致的，都希望建立基於IP的融合與開放的網絡平台。

IMS體系結構和CSCF的設計利用了軟交換技術，實現了業務與控制相分離、呼叫控制與媒體傳輸相分離。IMS雖然是3GPP為移動用户接入多媒體服務而開發的系統，但由於它全面融合了IP域的技術，並在開發階段就和其它組織進行密切合作，使得IMS實際已經不僅僅侷限於只為移動用户進行服務。IMS體系結構如圖2所示。

在IMS體系結構中，最底層為承載層，用於提供IMSSIP會話的接入和傳輸，承載網必須是基於分組交換的。圖中以移動分組網的承載方式為例，描述了IMS用户通過手機進行IMS會話的方式，主要的承載層設備有SGSN（GPRS業務支撐節點）、GGSN（網關GPRS業務支撐節點）以及MGW（媒體網關）。其中SGSN和GGSN可以重複利用現網設備，不需要硬件升級，僅通過做相關配置就可以支持IMS。MGW是負責媒體流在IMS域和CS（電路交換）域互通的功能實體，主要解決語音互通問題。無論具體採用哪一種接入方式，只要基於IP技術，所有的IMS用户信令就可以很好地傳送到控制層。

中間層為信令控制層，由網絡控制服務器組成，負責管理呼叫或會話設置、修改和釋放，所有IP多媒體業務的信令控制都在這一層完成。主要的功能實體有CSCF、HSS（HomeSubscriberServer，歸屬用户服務器）、MGCF等，這些網元執行不同的角色，如信令控制服務器、數據庫、媒體網關服務器等，協同完成信令層面的處理功能，如SIP會話的建立、釋放。這一層僅對IMS信令負責，最終的IMS業務流不經過這一層，完全通過底層的承載層做路由實現端到端通信。

最上面一層是應用層，由應用和內容服務器組成，負責為用户提供IMS增值業務，主要網元是一系列通過CAMEL、OSA/Parlay和SIP技術提供多媒體業務的應用平台。運營商可以自行開發一些基於SIP的應用，通過標準SIP接口與IMS系統連接；如果運營商需要連接第三方SP的應用，IMS可以和標準的API，如OSAAPI連接，通過OSA/ParlayGW對第三方非信任的SP業務進行鑑權和管理等。

電路交換域與現有的2G網絡類似，採用電路交換技術提供話音業務。分組交換域是2.5G網絡中引入的，主要網元設備有SGSN（ServiceGPRSSwitchNode）和GGSN（Gateway GPRS Switch Node）。它們負責向終端提供IP連接，用户通過該域進入因特網，用户可以由此發送郵件，瀏覽網頁。它並沒有在IP之上定義任何特殊的體系結構，它主要是一種接入技術。IP多媒體域（即IMS，IP Multimedia Subsystem）是3GPP制定的UMTS R5版本中引入的，採用SIP作為主要的信令協議，使得移動運營商可以為用户提供端到端的全IP的多媒體業務。

IMS由呼叫狀態控制功能CSCF（CallSessionControlFunction）、媒體網關控制功能MGCF（Media Gateway Control Function）、媒體網關MGW（Media Gateway）、歸屬地用户服務器HSS（Home Subscriber Server）等功能實體組成。CSCF的種類包括P-CSCF（Proxy-CACF，代理CSCF）、I-CSCF（Interrogating CSCF，查詢CSCF）和S-CSCF（ServingCSCF，服務CSCF），本質上它們都是SIP服務器，處理SIP信令。

P-CSCF是UE聯繫IMS的第一步，是UE在被訪問域（漫遊時）首先要訪問的點，進出的SIP消息都要通過P-CSCF。P-CSCF相當於SIP協議定義的邊界代理服務器。

I-CSCF的功能是提供到歸屬網絡的入口，將歸屬網絡的拓撲圖對其它網絡隱藏起來，並通過HSS為特定用户找出相應的S-CSCF。它是用户終端漫遊或者外來任務進入本地服務提供商網絡中的聯繫點。當I-CSCF接到一個請求時，它將把請求路由到相應的S-CSCF。

S-CSCF給用户提供服務。當終端註冊時，它同本地域的S-CSCF聯繫，本地S-CSCF向用户提供用户預定的服務。這樣的好處是用户即使漫遊到不支持某項業務的網絡也能像在本地一樣得到需要的服務。

HSS（HomeSubscriberServer）相當於2G網絡中的HLR，存儲了與一個單獨用户相關的S-CSCF和相應的用户簡介。因此它知道用户的位置和用户指定的服務。CSCF可以向HSS詢問以獲得這些信息。HSS和CSCF之間交互用的是Cx接口，它不是IETF制定的，當也是基於IP的。

改進的IP多媒體子系統(A-IMS)[1]是美國第二大移動電話公司威瑞森(VerizonWireless)聯合其5個主要的設備供應商思科、朗訊、摩托羅拉、北電和高通公司在2006年7月發佈的一種移動多媒體業務體系，它基於3GPP2的多媒體域(MMD)架構，在融入了IP多媒體子系統/多媒體域(IMS/MMD)所有會話發起協議(SIP)業務功能的基礎上，增加了對非SIP應用的支持。另外還從網絡運營的角度，針對IMS/MMD網絡安全提出了一些擴展和補充，如增加了安全操作中心(SOC)和姿態代理等，使IMS/MMD網絡的安全性得到較大改進。

A-IMS繼承了IMS/MMD的所有業務功能，並在安全性、移動性、策略、服務質量(QoS)、對等互聯、計費、合法監聽、緊急呼叫、呈現業務等方面，進行了增強和擴充。

A-IMS的主要網元包括IP網關(IPGW)、承載管理(BM)、應用管理(AM)、策略管理(PM)、安全管理(SM)、業務代理(SB)、業務數據管理(SDM)和接入終端(AT)等，與安全相關的網元主要包括SM、PM、BM、IPGW、AT。

雖然從網元名稱上看，A-IMS和3GPP的IMS[2]及3GPP2的MMD[3]有一些差異，但除了新增的SM網元外，其他幾個網元在功能上和3GPP、3GPP2乃至TISPAN[4]中的IMS網元都有一定的對應關係，如AM、SDM和PM分別對應於IMS/MMD的呼叫會話控制功能(CSCF)、歸屬用户服務器(HSS)和策略決策功能(PDF)等。

SM作為SOC的核心，主要負責收集A-IMS系統中各網元的安全事件信息，完成入侵探測、控制設備操作、分發安全策略，另外還負責對移動設備的姿態(Posture)評估，根據終端對網絡設備的兼容程度(如操作系統版本、反病毒軟件版本等)，決定他們是否被允許接入網絡，以及允許接入什麼服務等。

A-IMS繼承了IMS/MMD的所有安全特徵，如鑑權、加密以及數據完整性保護算法等，因此A-IMS在SIP用户的合法性檢驗、數據的私密性和完整性等方面採取的算法和IMS/MMD是相同的[5-7]。但由於A-IMS增加了對非SIP應用的支持，相應地，這些算法也考慮了對非SIP應用的支持(本文中提及的A-IMS對IMS的繼承，是指對鑑權加密機制的繼承，但對於具體的細節A-IMS有一些細微改進)。

(1)鑑權算法

A-IMS和IMS一樣，鑑權被用於二層初始接入鑑權、IP移動業務鑑權及SIP應用鑑權，另外在需要安全通信的網元間，鑑權也是必要的。針對集成設備和非集成設備，A-IMS使用的鑑權算法有所不同。

在集成設備中，對於SIP應用，採用3GPP2認證與密鑰協商/IP安全協議(AKA/IPSec)；對於非SIP應用，採用應用特定的鑑權協議，如傳輸層安全協議(TLS)。

在非集成設備中，對於SIP應用，採用3GPP2AKA/IPSec或TLS；對於非SIP應用，採用應用特定的鑑權協議，如TLS。

(2)加密和數據保護

A-IMS也採用了加密和數據完整性算法，如圖6所示。

A-IMS除了繼承上述鑑權、加密機制外，還提出了一些新的安全措施。相對於IMS，A-IMS主要在集成安全和統一安全管理、安全操作中心、設備接納控制、安全策略等方面對安全性進行了增強。

1集成安全和統一安全管理

由於A-IMS需要處理吉比特速率的承載流量，為避免網絡“瓶頸”，A-IMS將安全機制集成到系統的各個網元中，通過SOC下發策略和SM對安全事件的檢測，使分散於各地的網元，都按照統一的安全策略工作，實現了整個網絡統一的安全管理。例如：利用集成安全機制，SOC可以分發流量標準等安全策略到各地網元，通過本端測量或遠程測量，標識、區分和追蹤反常行為，快速阻斷病毒的傳播，這種統一的集成安全機制，使系統整體安全性相對於IMS/MMD網絡有較大提高。

2安全操作中心

SOC主要應用於集中監視、報告和處理，是A-IMS最主要的新增實體，也是整個系統安全管理的核心。SOC通過策略的制定和分發，從AM等網元中收集安全信息，檢查業務狀態，對外部入侵進行識別、分析和處理，為A-IMS提供成熟而健壯的保護。另外SOC還具備突發事件管理和配合司法調查等能力，可以協助進行危機處理。

由於SOC關係到整個網絡的安全，通常應使用冗餘設備及UPS來保證其硬件可靠性，並應嚴格限定操作員的操作權限，只允許有確切必要的僱員登錄入SOC，並對登錄SOC的操作員的操作進行後台監測。除此之外，還要經常對SOC進行嚴格的內部信息安全規則審計，以保證SOC的正常運行。

3設備接納控制

設備接納控制是一種網絡對終端設備接入網絡的決策行為。當終端接入網絡時，網絡可決定設備是否被允許連入網絡，如果得到允許，網絡基於其安全姿態，決定能夠得到的服務等級。

A-IMS將終端分為3種類型：只支持語音的閉合設備、同時支持語音和數據的高級終端和具備EV-DO能力的個人計算機。後兩種終端屬於智能終端(IAT)，A-IMS設備接納控制主要是針對IAT進行控制。

設備接納控制也是A-IMS主要的安全增強點。在IMS/MMD網絡中，對設備接納控制主要通過鑑權、加密等接入控制措施實現。而A-IMS則新增了安全代理功能，利用安全代理，可以驗證設備的健康狀況，確定設備可以接入的安全等級。如這個代理運行在IAT上，則被稱為姿態代理，運行在AM和BM等網絡設備上，被稱為移動安全代理(MSA)。

3.1姿態代理

姿態代理在IAT上運行，是設備接納控制的重要部分，它收集設備的姿態信息(包括操作系統是否運行於授權的版本，以及是否正確打過補丁等)，並將結果通過IPGW發送給SM。

IAT在初始接入時，SM將根據PA送過來的設備姿態信息報告，對照相關的安全策略，決定向IPGW發送的初始策略響應：是受限接入還是完全接入，如果是受限接入，相關安全策略將被下載到BM，使設備只能通過BM連接到特定AM上處理緊急呼叫的SIP業務端口，同時轉移Web流量到更新服務器，要求用户下載更新軟件。

採用基於姿態代理的設備接納控制有以下好處：

保證所有用户設備和網絡安全策略一致，提前防範蠕蟲、病毒、間諜和惡意軟件，使運營商更關注於提前預防而不是事後處理，有效提高A-IMS網絡的安全性。

提供一種措施，檢查和控制連接到網絡的設備，而不考慮其具體的接入方式，從而增加了網絡的自適應能力和擴展性。

阻止不兼容或不可控的終端設備，以免影響網絡的可用性。

減少因識別和修復非兼容、不可管理、受感染的系統造成的運營性支出。

阻止易於攻擊、非兼容和不可控的端點設備成為攻擊對象，提高網絡的可用性。

3.2移動安全代理

MSA位於AM和BM等網元上，和PA配合，完成設備接納控制功能。MSA還可以根據SM的要求監視設備狀態，協助SM檢測和消除“ZeroDay”威脅，降低系統因修復攻擊破壞而帶來的維護成本(OPEX)，這在網絡有多種接入方式時非常重要(如WiFi和寬帶接入時)。MSA還具有反向防火牆能力，它在檢測時將分析行為而不僅僅依靠用户簽名，這對防止“ZeroDay”類攻擊非常重要。

MSA除了具備姿態代理的全部功能外，還具備有如下功能：

預防主機被入侵

防止間諜軟件

防止內存溢出攻擊

提供分佈式反向防火牆能力

防止惡意移動代碼入侵

保證操作系統完整性

審計日誌

增強QoS

4安全策略

安全策略是在網絡出現安全事件時，SOC讓系統自動執行的策略。

4.1設備安全代理的層次

在A-IMS中，安全策略扮演了很重要的角色。A-IMS網絡架構的安全管理、DDoS防範、接入控制、入侵防護、鑑權、設備接納控制等都是SM通過安全策略實現的，SM通過內置的移動安全代理主控制器(MSA-MC)，實現對網絡中其他各網元的MSA的控制。

IAT中的MSA收集主機的信息，然後發送到MSA-MC中，MSA-MC負責根據相關的策略，對相關信息進行預處理，然後將處理結果送到歸屬地SM(H-SM)中，由SM進行姿態評估和異常行為檢測，並決定用户可接入的安全等級。

4.2SOC的多級管理模式

通過SOC，A-IMS的策略控制實現了多級控制。SOC為國家安全操作中心，向地方SM分發安全策略，實現整個網絡的統一安全管理。

5DDoS防護

A-IMS採用自學習算法阻止DDoS攻擊，它能夠學習流量模式，以適應特定的網絡狀況，如學習SIP行為以確定合適的流量門限等。A-IMS能夠區分合法流量、嫌疑流量和惡意流量，只有合法流量才被允許通過A-IMS網元。

DDoS攻擊防範功能通常運行於不被注目的後台模式，當系統被懷疑遭到攻擊時，轉發機制被激活，流量被重定向到保護系統，進行分析和控制，然後將合法流量返回到網絡。

6安全日誌和報告

A-IMS的各網元：AM、BM、IPGW、AP、SDM等均支持標準的安全事件登記和報告，所有的安全事件告警將被傳送到安全事件管理子系統，進行連續存儲、分析和審計。系統作為日誌收集點，採用接近實時的傳輸，以便對安全操作進行實時監視。A-IMS日誌傳輸基於下列協議：IPFIX、SDEE、SNMPV3、Syslog。 ^[1]