企业语音专线业务安全接入控制机制分析

摘 要：CM-IMS是一种叠加在现有网络上的基于IP承载实现多媒体业务的网络结构，是应对全业务运营竞争的重要技术。面向企业的语音业务可以迁移至CM-IMS承载，首要解决业务接入控制问题。介绍了CM-IMS网络体系及SIP协议的基本理论，对传统企业语音专线的业务接入现状进行描述，分析基于CM-IMS组网的业务接入控制需求，重点针对CM-IMS提供的多种鉴权机制进行分析，以及对数据分组网承载IMS业务的效果分析，提出3个适合企业语音业务接入的控制策略，通过应用实例证明策略实施的可行性。

关键词：CM-IMS；企业语音专线；接入控制

中图分类号：F49 文献标识码：A 文章编号：1672-3198（2014）15-0161-03

1 背景与意义

CM-IMS是一种全新的多媒体业务实现形式，基于IP分组网承载业务，采用SIP协议，独立于现有的软交换网络并建立连接。面对新的网络架构，原有基于软交换实现的企业语音专线业务接入控制机制已不适用，需要重新确定。

IMS建立在开放的IP协议基础上，使得基于IMS的业务接入安全要求比传统交换网络更高，尤其是应用于重要客户的业务，接入安全问题不容忽视。

为此，有必要研究符合企业客户业务特征需求的业务接入控制策略，以保障企业客户语音业务使用安全，同时指导网络人员有效开展网络施工，从而推动IMS的业务拓展。

2 CM-IMS相关基础简介

2.1 CM-IMS体系结构

CM-IMS是一个端到端的解决方案，涉及接入层、承载层、核心层、业务层、以及终端和支撑系统。

（1）接入层提供用户的接入，接入设备即客户终端，包括PBX、SIP-GW、IAD和AG设备，分别适用于不同的企业场景。

（2）承载层提供接入业务的承载通道，主要包括城域数据网和城域传送网。

（3）核心层负责IMS域会话控制和路由、用户数据管理和认证鉴权，以及与其它网络互通等功能。主要的网元包括SBC、P/I/S-CSCF、HSS/SLF、ENUM/DNS、MGCF、IM-MGW等。

SBC是用户接入IMS的接入点，网络边缘安全设备，承载信令面和媒体面。

CSCF是负责呼叫接续的实体，IMS中有三种类型的CSCF：

P-CSCF（Proxy CSCF）：接入IMS系统。

S-CSCF（Serving CSCF）：注册，呼叫控制，业务触发。

I-CSCF（Interrogating CSCF）：选择S-CSCF与其他IMS网络的路由。

HSS保存所有IMS用户数据和业务数据。

MGCF和IM-MGW用于IMS系统与CS域（GSM，R4，PSTN）网络的互联互通。

ENUM/DNS将E.164号码转化为域名、域名解析，供CSCF查询，用于路由查询。

（4）业务层为用户提供业务应用服务，即业务平台AS，比如统一Centrex业务应用、MMTEL多媒体电话业务应用等。

2.2 IMS相关协议简介

IMS业务实现需的关键协议包括：SIP、SDP、Diameter等。

SIP（会话初始协议）是一个在IP网络上进行多媒体通信的应用层控制协议，用于在参与者之间建立、改变和终止多媒体会话，是IETF的RFC 3261。SIP协议具有简单、开放、容易配置、与IP协议兼容的特点。SIP与HTTP相似，是一种基于文本的协议，使得开发人员很容易编写各种应用。

SIP消息是SIP协议中的逻辑实体即客户端和服务器之间通信的基本信息单元，SIP协议消息分请求和响应两类，SIP消息统一格式如下：

SIP message = SIP消息起始行

*SIP消息头域（可包含多个）

CRLF

[SIP消息体]（可选项）

SIP消息起始行包括：用于请求消息的请求行、用于响应消息的状态行。

SIP消息头域（简称为SIP头）是SIP消息的重要组成部分，用于会话路由、标识会话、传递会话控制信息等功能。

SIP消息体是SIP消息的净荷部分，可以携带不同协议的消息体用于完成不同的功能，例如：SIP携带SDP，用于媒体协商。

SDP协议，用于媒体描述。

RTP协议，用于实时媒体传输。

H.248协议（主要功能与IETF MEGACO协议类似），用于媒体网关控制。

Diameter协议，用于与HSS等数据库的AAA安全交互。

CM-IMS采用SIP协议作为核心控制协议，在CM-IMS核心网中，呼叫控制全部使用SIP协议，同时SIP协议与SDP协议、Diameter协议、ENUM/DNS查询协议等相互配合完成多媒体业务提供过程中的信息传递、网元控制等功能。

3 企业语音专线业务接入现状与需求

3.1 传统普通语音专线业务接入控制机制

传统的企业语音专线基于软交换网络进行组网，同样涉及接入层、承载层、汇聚层、核心层、业务层，其组网存在以下特点：

（1）核心层由软交换网络组成，下行主要提供E1端口，业务接入方式以E1接入为主。

（2）为了缓解核心网接口容量紧张问题，部分地为企业客户业务专项建设了TDM PBX、IP PBX、IP前置机等设备，称为汇聚设备，所以存在汇聚层。下行扩充接口数量的同时，扩展接口协议类型为：NO7、PRI，以及少量的FE接口。

（3）传统企业普通语音专线业务，传输依然主要采用时分复用（TDM）的专线，用户之间采用面向连接的通道进行通信，可以避免来自其他终端用户的各种窃听和攻击。

（4）传统企业普通语音专线业务接入安全，通过在核心交换网元或汇聚交换网元预先人工配置主叫号码进行鉴权控制，可以避免企业客户的业务被盗用。

3.2 IMS企业语音业务接入方式需求

根据CM-IMS体系架构，可以知道IMS业务接入存在以下两种类型：

lIP接入：由SBC提供语音接入能力。

主要的接入方案组合是：IAD/AG/SIPGW/IP PBX+GPON/PTN/SDH（传送驻地网）+MAN（数据城域网）+SBC。

lE1接入：由IM-MGW提供语音接入能力。

主要的接入方案组合是：TDM PBX /IP PBX+PTN/SDH+IM-MGW。

根据IMS特点，基于CM-IMS企业语音业务接入控制存在以下待解决的问题：

（1）IMS业务采用基于IP的SIP协议和开放的网络架构，通过采用多种不同的接入方式可以共享业务平台，如何限制未经授权地客户访问业务？

（2）IP接入方式下的IMS业务基于分组网承载，属于固定类的语音专线业务的接入变得不可控，是否通过同一个用户名和密码可同时使用多个企业的专线业务？如何限制企业用户的游牧行为？

（3）IP接入方式下的IMS业务基于分组网承载，直接与互联网相联，如何控制语音业务不受因特网干扰？

4 CM-IMS企业语音业务接入控制机制分析及策略

4.1 IMS多种鉴权机制分析

在IMS网络中，为用户进行正常的业务触发和被叫路由都需要用户进行IMS网络注册。

UE完成IMS网络注册后，需要定期进行重注册以维持其在网络中的注册状态。当用户下线时，UE需要完成IMS注销流程。

在IMS网络注册过程中，接入层设备UE（如IAD）接入访问地的P-CSCF网络，提交基于SIP协议的注册请求消息，I-CSCF通过与HSS交互基于DIAMETER协议的UAR/UAA（用户鉴权请求/应答）消息确定UE归属的S-CSCF名称，S-CSCF通过与HSS交互基于DIAMETER协议的MAR/MAA（媒体鉴权请求/应答）获取UE和网络间认证所需要的数据，S-CSCF返回401响应给UE，UE根据401响应重新发送注册请求消息给S-CSCF，鉴权成功后S-CSCF通过SAR/SAA（服务指派请求/响应）从HSS下载用户签约数据并存储用户地址，并向UE返回鉴权成功响应。

在IMS网络注册完成后，S-CSCF会用户向AS进行第三方注册。

CM-IMS规定了4种常用的鉴权算法：

（1）lIMS AKA鉴权方式

UE的注册参数存储在USIM、ISIM中，用户使用带SIM卡的终端接入IMS网络时进行认证的一种机制。

（2）lHTTP Digest鉴权方式。

UE的注册参数存储在软终端、硬终端中，用户使用SIP终端接入IMS 网络时进行认证的一种机制。

（3）l与NASS绑定的鉴权方式。

是早期NGN网络体系中是固网用户接入IMS 网络时进行认证的一种机制，一般通过wlan接入的场景下使用。

（4）l与GPRS绑定的鉴权方式。

是终端通过GPRS网络接入IMS时进行的一种认证机制。

企业语音专线业务在接入层使用硬件SIP终端进行接入，应当使用HTTP Digest鉴权方式。

HTTP摘要认证是一种基于挑战-响应结构的安全机制。当服务器收到UE注册请求消息时，就会向请求的UE发送挑战，UE提供认证信息以实现服务器对其身份的验证。挑战包含此次生成的临时值nonce，请求者和服务器共用同一密码，请求者将用户名、密码、nonce值、HTTP方法以及被请求的URI经过MD5（hash算法）运算后，得到一个响应值。请求者再次发送包含运算所得响应值的注册请求，服务器就通过比较自己计算与UE计算的两个响应值进行认证。采用这种机制，使得密码不采用明文形式在网络上发送，提高安全性。

4.2 业务层控制策略：接入地绑定

CM-IMS信令会话业务皆通过IP承载，IP接入模式的客户终端将被分配一个固定IP地址用于与IMS网络通信，虽然通过HTTP Digest鉴权机制提高了业务接入的安全性，但鉴权只是针对用户名与密码进行认证。

在实际业务提供过程中，可能存在两种情况：一是用户使用自己的用户名称与密码在其他客户终端上接入IMS网络使用业务，属于游牧行为；二是用户名称与密码被他人窃取后，他人私下安装另一台客户设备接入IMS网络，属于盗打行为。这两种情况损害了运营商或用户的利益，有必要建立一种对客户终端设备归属IP地址进行验证的机制。

经过研究SIP协议，在REGISTER请求消息的消息头中有一个字段：P-Access-Network-Info用于携带用户接入地信息，其中包含UE归属的IP地址信息。在IMS的HSS配置指定IMPU用户的归属IP地址段。这样可在注册请求会话中，HSS根据UE在注册请求中提交的与自己记录的IP地址进行校验，校验一致允许业务接入，否则拒绝业务接入，从而解决被盗打的问题。

4.3 承载层控制策略：业务隔离

在业务初次测试过程中发现，基于IP接入模式的企业语音业务，客户端设备配置公网IP后，实现语音业务的同时，也可以访问internet。这是因为CM-IMS业务接入由数据城域网承载，城域网的路由与internet直接连接引起。

经过相关研究，鉴于VPN下可实现数据安全、地址隔离，考虑公网IPv4地址紧缺，考虑我省多采用MPLS VPN等因素，提出为接入IMS的企业语音业务在数据分组网上建立基于私网IP地址的MPLS VPN的解决策略。

数据网部署原则是：

为方便管理，每个本地网各部署一个VPN；城域网SR作为PE，在SR子接口上绑定VPN，在企业侧的SR子接口对应语音业务终端，在SBC侧的SR子接口对应SBC；城域网全网部署Mpls vpn、Mpls ldp；SBC需要重新规划私网IP，对城域网侧需要把该私网IP绑定子接口；另外SBC位于IP承载网内，与SR之间经过上联2个CE、2个FW，通过选择某条物理链路，启用子接口承载此业务，2个SR、2个CE、2个FW之间的子接口启用OSPF，CE把指向SBC的静态地址引入OSPF，通过OSPF传到SR。

5 应用实例

5.1 环境搭建

l组网选择

IMS接入模式：IP

语音接入组网方案：IAD+GPON+MAN+SBC（最典型）

测试号码：66221234

SBC地址：10.186.15.49

lIP城域网配置的数据：

客户IP：10.210.22.206 掩码：255.255.255.0

网关IP：10.210.22.1/24

SVLAN：1004；CVLAN：100

VPN名称 20000200

VPN RD 65000：50005000

lHSS配置

通过配置界面，在指定的IMPU下，设置归属的IP地址为10.210.22.206/24；

配置指定的IMPU的密码。

l客户端IAD配置：

用城域网分配的客户IP、网关IP，配置IAD的IP设置；

配置SIP服务器：

填写用户域名为；

服务器IP为SBC的IP、端口为5060、失效时间为3600秒。

配置用户号码：

用户ID IMPU：+862066221234

用户名 IMPI：

密码：用于鉴权的密码。

5.2 信令跟踪结果

在SBC上跟踪SIP信令，获取了注册过程与接入控制相关的信令消息，下面列出关键消息头的内容：

（1）注册消息的消息头。

这样就可以将UE注册使用的IP地址送HSS验证。

5.3 应用成果

（1）正常配置情况下：

①IAD向IMS注册成功。

②用户能正常打电话，通过IAD无法访问INTENET。

（2）调整IAD配置的密码。

①IAD向IMS注册失败。

（3）调整HSS配置的该用户归属IP地址情况下：

①IAD向IMS注册失败。

参考文献

[1]中国移动CM-IMS（SIP）技术规范_第1部分：SIP的总体要求[C].中国移动通信有限公司研究院，中国移动通信有限公司.

[2]中国移动CM-IMS（SIP）技术规范_第2部分：SIP的消息[C].中国移动通信有限公司研究院，中国移动通信有限公司.

[3]中国移动CM-IMS（SIP）技术规范_第3部分：SIP的基本流程[C].中国移动通信有限公司研究院，中国移动通信有限公司.