(4)傳統家具企業普通語音專線業務接入安全,通過在核心交換網元或匯聚交換網元預先人工配置主叫號碼進行鑒權控制,可以避免家具企業客戶的業務被盜用。
3.2 IMS家具企業語音業務接入方式需求
根據CM-IMS體系架構,可以知道IMS業務接入存在以下兩種類型:
lIP接入:由SBC提供語音接入能力。
主要的接入方案組合是:IAD/AG/SIPGW/IP PBX+GPON/PTN/SDH(傳送駐地網)+MAN(數據城域網)+SBC。
lE1接入:由IM-MGW提供語音接入能力。
主要的接入方案組合是:TDM PBX /IP PBX+PTN/SDH+IM-MGW。
根據IMS特點,基于CM-IMS家具企業語音業務接入控制存在以下待解決的問題:
(1)IMS業務采用基于IP的SIP協議和開放的網絡架構,通過采用多種不同的接入方式可以共享業務平臺,如何限制未經授權地客戶訪問業務?
(2)IP接入方式下的IMS業務基于分組網承載,屬于固定類的語音專線業務的接入變得不可控,是否通過同一個用戶名和密碼可同時使用多個家具企業的專線業務?如何限制家具企業用戶的游牧行為?
(3)IP接入方式下的IMS業務基于分組網承載,直接與互聯網相聯,如何控制語音業務不受因特網干擾?
4 CM-IMS家具企業語音業務接入控制機制分析及策略
4.1 IMS多種鑒權機制分析
在IMS網絡中,為用戶進行正常的業務觸發和被叫路由都需要用戶進行IMS網絡注冊。
UE完成IMS網絡注冊后,需要定期進行重注冊以維持其在網絡中的注冊狀態。當用戶下線時,UE需要完成IMS注銷流程。
在IMS網絡注冊過程中,接入層設備UE(如IAD)接入訪問地的P-CSCF網絡,提交基于SIP協議的注冊請求消息,I-CSCF通過與HSS交互基于DIAMETER協議的UAR/UAA(用戶鑒權請求/應答)消息確定UE歸屬的S-CSCF名稱,S-CSCF通過與HSS交互基于DIAMETER協議的MAR/MAA(媒體鑒權請求/應答)獲取UE和網絡間認證所需要的數據,S-CSCF返回401響應給UE,UE根據401響應重新發送注冊請求消息給S-CSCF,鑒權成功后S-CSCF通過SAR/SAA(服務指派請求/響應)從HSS下載用戶簽約數據并存儲用戶地址,并向UE返回鑒權成功響應。
在IMS網絡注冊完成后,S-CSCF會代理用戶向AS進行第三方注冊。
CM-IMS規定了4種常用的鑒權算法:
(1)lIMS AKA鑒權方式
UE的注冊參數存儲在USIM、ISIM中,用戶使用帶SIM卡的終端接入IMS網絡時進行認證的一種機制。
(2)lHTTP Digest鑒權方式。
UE的注冊參數存儲在軟終端、硬終端中,用戶使用SIP終端接入IMS 網絡時進行認證的一種機制。
(3)l與NASS綁定的鑒權方式。
是早期NGN網絡體系中是固網用戶接入IMS 網絡時進行認證的一種機制,一般通過wlan接入的場景下使用。
(4)l與GPRS綁定的鑒權方式。
是終端通過GPRS網絡接入IMS時進行的一種認證機制。
家具企業語音專線業務在接入層使用硬件SIP終端進行接入,應當使用HTTP Digest鑒權方式。
HTTP摘要認證是一種基于挑戰-響應結構的安全機制。當服務器收到UE注冊請求消息時,就會向請求的UE發送挑戰,UE提供認證信息以實現服務器對其身份的驗證。挑戰包含此次生成的臨時值nonce,請求者和服務器共用同一密碼,請求者將用戶名、密碼、nonce值、HTTP方法以及被請求的URI經過MD5(hash算法)運算后,得到一個響應值。請求者再次發送包含運算所得響應值的注冊請求,服務器就通過比較自己計算與UE計算的兩個響應值進行認證。采用這種機制,使得密碼不采用明文形式在網絡上發送,提高安全性。
4.2 業務層控制策略:接入地綁定
CM-IMS信令會話業務皆通過IP承載,IP接入模式的客戶終端將被分配一個固定IP地址用于與IMS網絡通信,雖然通過HTTP Digest鑒權機制提高了業務接入的安全性,但鑒權只是針對用戶名與密碼進行認證。
在實際業務提供過程中,可能存在兩種情況:一是用戶使用自己的用戶名稱與密碼在其他客戶終端上接入IMS網絡使用業務,屬于游牧行為;二是用戶名稱與密碼被他人竊取后,他人私下安裝另一臺客戶設備接入IMS網絡,屬于盜打行為。這兩種情況損害了運營商或用戶的利益,有必要建立一種對客戶終端設備歸屬IP地址進行驗證的機制。
經過研究SIP協議,在REGISTER請求消息的消息頭中有一個字段:P-Access-Network-Info用于攜帶用戶接入地信息,其中包含UE歸屬的IP地址信息。在IMS的HSS配置指定IMPU用戶的歸屬IP地址段。這樣可在注冊請求會話中,HSS根據UE在注冊請求中提交的與自己記錄的IP地址進行校驗,校驗一致允許業務接入,否則拒絕業務接入,從而解決被盜打的問題。
4.3 承載層控制策略:業務隔離
在業務初次測試過程中發現,基于IP接入模式的家具企業語音業務,客戶端設備配置公網IP后,實現語音業務的同時,也可以訪問internet。這是因為CM-IMS業務接入由數據城域網承載,城域網的路由與internet直接連接引起。
經過相關研究,鑒于VPN下可實現數據安全、地址隔離,考慮公網IPv4地址緊缺,考慮我省多采用MPLS VPN等因素,提出為接入IMS的家具企業語音業務在數據分組網上建立基于私網IP地址的MPLS VPN的解決策略。
3.2 IMS家具企業語音業務接入方式需求
根據CM-IMS體系架構,可以知道IMS業務接入存在以下兩種類型:
lIP接入:由SBC提供語音接入能力。
主要的接入方案組合是:IAD/AG/SIPGW/IP PBX+GPON/PTN/SDH(傳送駐地網)+MAN(數據城域網)+SBC。
lE1接入:由IM-MGW提供語音接入能力。
主要的接入方案組合是:TDM PBX /IP PBX+PTN/SDH+IM-MGW。
根據IMS特點,基于CM-IMS家具企業語音業務接入控制存在以下待解決的問題:
(1)IMS業務采用基于IP的SIP協議和開放的網絡架構,通過采用多種不同的接入方式可以共享業務平臺,如何限制未經授權地客戶訪問業務?
(2)IP接入方式下的IMS業務基于分組網承載,屬于固定類的語音專線業務的接入變得不可控,是否通過同一個用戶名和密碼可同時使用多個家具企業的專線業務?如何限制家具企業用戶的游牧行為?
(3)IP接入方式下的IMS業務基于分組網承載,直接與互聯網相聯,如何控制語音業務不受因特網干擾?
4 CM-IMS家具企業語音業務接入控制機制分析及策略
4.1 IMS多種鑒權機制分析
在IMS網絡中,為用戶進行正常的業務觸發和被叫路由都需要用戶進行IMS網絡注冊。
UE完成IMS網絡注冊后,需要定期進行重注冊以維持其在網絡中的注冊狀態。當用戶下線時,UE需要完成IMS注銷流程。
在IMS網絡注冊過程中,接入層設備UE(如IAD)接入訪問地的P-CSCF網絡,提交基于SIP協議的注冊請求消息,I-CSCF通過與HSS交互基于DIAMETER協議的UAR/UAA(用戶鑒權請求/應答)消息確定UE歸屬的S-CSCF名稱,S-CSCF通過與HSS交互基于DIAMETER協議的MAR/MAA(媒體鑒權請求/應答)獲取UE和網絡間認證所需要的數據,S-CSCF返回401響應給UE,UE根據401響應重新發送注冊請求消息給S-CSCF,鑒權成功后S-CSCF通過SAR/SAA(服務指派請求/響應)從HSS下載用戶簽約數據并存儲用戶地址,并向UE返回鑒權成功響應。
在IMS網絡注冊完成后,S-CSCF會代理用戶向AS進行第三方注冊。
CM-IMS規定了4種常用的鑒權算法:
(1)lIMS AKA鑒權方式
UE的注冊參數存儲在USIM、ISIM中,用戶使用帶SIM卡的終端接入IMS網絡時進行認證的一種機制。
(2)lHTTP Digest鑒權方式。
UE的注冊參數存儲在軟終端、硬終端中,用戶使用SIP終端接入IMS 網絡時進行認證的一種機制。
(3)l與NASS綁定的鑒權方式。
是早期NGN網絡體系中是固網用戶接入IMS 網絡時進行認證的一種機制,一般通過wlan接入的場景下使用。
(4)l與GPRS綁定的鑒權方式。
是終端通過GPRS網絡接入IMS時進行的一種認證機制。
家具企業語音專線業務在接入層使用硬件SIP終端進行接入,應當使用HTTP Digest鑒權方式。
HTTP摘要認證是一種基于挑戰-響應結構的安全機制。當服務器收到UE注冊請求消息時,就會向請求的UE發送挑戰,UE提供認證信息以實現服務器對其身份的驗證。挑戰包含此次生成的臨時值nonce,請求者和服務器共用同一密碼,請求者將用戶名、密碼、nonce值、HTTP方法以及被請求的URI經過MD5(hash算法)運算后,得到一個響應值。請求者再次發送包含運算所得響應值的注冊請求,服務器就通過比較自己計算與UE計算的兩個響應值進行認證。采用這種機制,使得密碼不采用明文形式在網絡上發送,提高安全性。
4.2 業務層控制策略:接入地綁定
CM-IMS信令會話業務皆通過IP承載,IP接入模式的客戶終端將被分配一個固定IP地址用于與IMS網絡通信,雖然通過HTTP Digest鑒權機制提高了業務接入的安全性,但鑒權只是針對用戶名與密碼進行認證。
在實際業務提供過程中,可能存在兩種情況:一是用戶使用自己的用戶名稱與密碼在其他客戶終端上接入IMS網絡使用業務,屬于游牧行為;二是用戶名稱與密碼被他人竊取后,他人私下安裝另一臺客戶設備接入IMS網絡,屬于盜打行為。這兩種情況損害了運營商或用戶的利益,有必要建立一種對客戶終端設備歸屬IP地址進行驗證的機制。
經過研究SIP協議,在REGISTER請求消息的消息頭中有一個字段:P-Access-Network-Info用于攜帶用戶接入地信息,其中包含UE歸屬的IP地址信息。在IMS的HSS配置指定IMPU用戶的歸屬IP地址段。這樣可在注冊請求會話中,HSS根據UE在注冊請求中提交的與自己記錄的IP地址進行校驗,校驗一致允許業務接入,否則拒絕業務接入,從而解決被盜打的問題。
4.3 承載層控制策略:業務隔離
在業務初次測試過程中發現,基于IP接入模式的家具企業語音業務,客戶端設備配置公網IP后,實現語音業務的同時,也可以訪問internet。這是因為CM-IMS業務接入由數據城域網承載,城域網的路由與internet直接連接引起。
經過相關研究,鑒于VPN下可實現數據安全、地址隔離,考慮公網IPv4地址緊缺,考慮我省多采用MPLS VPN等因素,提出為接入IMS的家具企業語音業務在數據分組網上建立基于私網IP地址的MPLS VPN的解決策略。