（通信与信息系统专业论文）基于ims的3gwlan网络的安全接入机制研究.pdf

南京i l l l 5 l 乜人学坝i 研究生学位论文摘要 摘要 网络融合己成为通信业界普遍认同的下一代网络发展趋势。3 g p p 最先提出的i p 多媒 体子系统( i m s ) 由于具备会话的协商管理，与接入无关和能够灵活提供多种业务等优点， 为网络融合奠定了技术基础，已被认为是实现下一代融合网络的核心技术。 3 g 和w l a n 本身是两类优势互补的技术。基于i m s 实现3 g w l a n 融合不仅能够 满足近期的市场需求，更可为基于i m s 的下一代融合网络的发展积累宝贵经验，因此具有 重要的战略意义。而完善的安全接入机制是3 g 和w l a n 真正走向融合的第一步也是很关 键的一步，不仅是提供可运营的w l a n 的基础，同时为移动运营商加快w l a n 运营提供 技术上的保证。 本文首先分析了3 g p pi m s 系统的体系结构及其特点，探讨了w l a n 网络相关标准 中的安全技术，给出了基于i m s 的3 g w l a n 网络互联参考模型，并进而介绍了3 g 网络 鉴权机制，深入研究了已在i m s 应用的p k i 协议体系，以及s s l t l s 网络安全协议，作 为深入研究3 g w l a n 网络安全接入机制的基础。 对基于i m s 的3 g w l a n 网络安全机制，本文研究了两种不同的方案：一种是基于 a k a 的3 g w l a n 安全接入方案；另一种是基于t l s 的3 g w l a n 安全接入方案。 对第一种方案，我们首先对目前普遍使用的e a p a k a 方案进行了安全性分析，指出 其所存在的安全缺陷，并提出了改进方案。同时，本文对e a p a k a 的认证信令进行了优 化，提出采用e a p a k a 自适应k 选择机制，通过性能仿真证实该优化方案能提高安全接 入认证性能。 对第二种方案，我们首先对基于t l s 实现安全接入方案的可行性进行了分析，设计了 e a p t l s 安全接入信令流程，在此基础上，采用支持数字签名的t l s 协议改进了e a p t l s 安全接入方案。最后，本文综合上述两种方案提出一个基于i m s 的3 g w l a n 安全接入总 体解决方案。 南京邮电大学硕上研究生学位论文a b s t r a c t a b s t r a c t f i x e d - m o b i l ec o n v e r g e n c e ( f m c ) h a sb e e na c c e p t e du n i v e r s a l l yb yt h ec o m m u n i c a t i o n i n d u s t r ya st h ed e v e l o p m e n tt r e n do fn g n s i n c ei pm u l t i m e d i as u b s y s t e m ( i m s ) o r i g i n a t e db y 3 g p ph a sm a n ya d v a n t a g e s ，s u c ha su s i n gs i pa sc a l ls e s s i o nc o n t r o lp r o t o c o la n db e i n g i r r e l e v a n tt oa c c e s sw h i l ep r o v i d i n gv a r i o u ss e r v i c e s ，r e c e n t l yi th a sb e e nc o n s i d e r e da st h ec o r e s t r u c t u r eo fn e x tg e n e r a t i o nc o n v e r g e dn e t w o r k s 3 ga n dw l a na r et w ok i n d so fn e t w o r k sw h i c hh a v ec o m p l e m e n t a r yc h a r a c t e r i s t i c si nt h e a s p e c t so fc o v e r a g ea r e a , d a t as p e e d ，c o s ta n ds e r v i c e se t c r e a l i z i n g3 g - w l a nc o n v e r g e n c eo n t h eb a s i so fi m sh a s v e r yi m p o r t a n ts t r a t e g i cm e a n i n g s ，s i n c ei tc a l ln o to n l ym e e tt h e r e q u i r e m e n to fr e c e n tt e l e c o mm a r k e t ，b u ta l s op a v et h er o a df o ri m s b a s e dn e x tg e n e r a t i o n c o n v e r g e dn e t w o r k s a ne x c e l l e n ts e c u r e - a c c e s ss c h e m ei st h ef i r s ta n da l s ot h ek e ys t e po f 3 g w l a nc o n v e r g e n c e ，n o to n l yp r o v i d i n gt h ef o u n d a t i o nf o rt h eo p e r a t i v ew l a n ，b u ta l s o p r o v i d i n gt h et e c h n i c a lg u a r a n t e ef o rt h em o b i l eo p e r a t o r st ob ea b l et os p e e d u pt h ew l a n o p e r a t i o n 嘶st h e s i sf i r s ta n a l y s e st h es t r u c t u r eo f3 g p pi m sa n di t sc h a r a c t e r i s t i c s ，d i s c u s s e st h e s e c u r i t yt e c h n o l o g yi nt h es t a n d a r d so fw l a n ，a n da d v a n c e st h er e f e r e n c em o d e lf o rt h e i m s b a s e d3 g - w l a nc o n v e r g e n c e t h e nt h ea u t h e n t i c a t i o nm e c h a n i s mo f3 gn e t w o r ki s i n t r o d u c e d ，a n dt h ep k ip r o t o c o la n dt h es s l t l ss e c u r i t yp r o t o c o la r ea l s ol u c u b r a t e d i nt h i st h e s i s ，t w ok i n d so fs o l u t i o n sf o r3 g - w l a ns e c u r i t ya c c e s sm e c h a n i s m ，o n ei s b a s e do na k aa n dt h eo t h e rb a s e do nt l s f i r s t l y , t h et h e s i sc o n d u c t sad e e pr e s e a r c ho nt h e3 g w l a ns e c u r i t ya c c e s sb a s e do na k a a f t e rac o m p l e t es e c u r i t ya n a l y s i so ft h ee a p a k ab e i n gu s e dw i d e l ya tp r e s e n ta n das u m m a r y o fi t ss e c u r i t ym i s t a k e s ，i tp r e s e n t sa na m e l i o r a t e ds c h e m e t h e nt h ea u t h e n t i c a t i o ns i g n a l i n go f e a p a k ai so p t i m i z e di nt h i st h e s i s ，p r o p o s i n ga ni n n o v a t i v ee a p - a k am e c h a n i s mw i t h a u t o m a t i ck s e l e c t i o n ，w h i c hi sp r o v e dt ob em o r ee f f e c t i v e l yb yo u r s t u d ya n ds i m u l a t i o n t h e n ，t h et h e s i sc o n d u c t sar e s e a r c ho nt h e3 g w l a ns e c u r i t ya c c e s sb a s e do nt l s f i r s t l y , t h ef e a s i b i l i t yo fi m p l e m e n t i n gs e c u r i t ya c c e s sb a s e do nt l si sc o n f i r m e db yo u rs t u d ya n dt h e s i g n a l i n g f l o wo fe a p t l si s d e s i g n e d b a s e do nt h i s ，t h et h e s i sp r o p o s e sa l le a p t l s a m e l i o r a t i o nb yu s i n gt h et l sp r o t o c o lw i t ht h ea d a p t a t i o no fd i g i t a ls i g n a t u r e f i n a l l y , a n o v e r a l ls e c u r e a c c e s ss c h e m ef o ri m s b a s e d3 g w i ，a ni sa d v a n c e d 南京邮电大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得南京邮电大学或其它教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示了谢意。 签名弛吼半c 易 南京邮电大学学位论文使用授权声明 南京邮电大学、中国科学技术信息研究所、国家图书馆有权保留 本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其 他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一 致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权 南京邮电大学研究生部办理。 研究生签名彳峰导师签名： 南京邮电大学 硕士学位论文摘要 学科、专业：工学通信与信息系统 研究方向： 无线数据与移动计算网络 作者：2 0 0 4 级研究生程剑斋 题目：基于i m s 的3 g w l a n 网络的安全接人机制研究 英文题目： s t u d yo fi m s - b a s e d3 g - w l a ns e c u r i t ya c c e s sm e c h a n i s m 主题词： i p 多媒体子系统安全接人 w l a n3 g w l a n e a p a k ae a p t l s k e y w o r d s ： i pm u l t i m e d i as u b s y s t e m s e c u r i t ya c c e s s w l a n 3 g w l a ne a p a k ae a p t l s 南京邮电人学颀 j 研究生学位论文 第一章绪论 第一章绪论 1 1 基于i m s 的下一代融合网络 网络融合即基于统一综合的网络提供各种信息通信服务，实现网络业务的提供与接 入技术和终端设备无关。这使得用户可以通过不同的终端在任何时候、任何地点都可以享 受无缝统一的通信服务。网络融合的范畴很广，可指固定与移动网络的融合( f m c ： f i x e d m o b i l ec o n v e r g e n c e ) ，电信网与广播电视网的融合等。本文中的网络融合特指固定 与移动网络融合。随着网络技术的发展，当前的固定和移动网络必将在向下一代网络演进 发展的过程中走向融合统一。 1 1 1 网络融合的驱动力 网络融合的驱动力主要表现在两个方面： 网络融合是通信市场的发展趋势。 一方面，随着通信市场的发展，终端用户对通信网络提出了越来越高的要求。用户希 望业务个性化、多样化，满足其不断增长的通信需求：希望网络支持通用移动性，不管用 户在哪( 终端移动性) ，不管其使用何种终端设备和接入技术( 个人移动性) ，都可以使用 其签约业务( 业务移动性) ：希望业务使用更加方便简单，享受“一个号码、一张计费账单、 一次签约”的综合服务和统一用户体验。 另一方面，当前运营商问的竞争同趋激烈，尤其是固网运营商的a r p u 值不断下降， 运营商希望通过网络融合来整合业务、丌展差异化竞争，产生新的收入增长点：同时，基 于统一融合的业务平台为固定和移动用户提供业务，会使网络结构简单清晰，管理维护统 一便捷，大大降低网络投资成本( c a p e x ) 和运营成本( o p e x ) 。 网络融合是n g n 的重要目标。 传统各自为阵的网络结构和封闭垂直的业务模式，造成了诸多长期困扰电信业的问 题，如网络结构复杂，业务生成困难，运营成本高昂等。随着电信市场的竞争越来越激烈， 用户对多样化和个性化业务的需求呼声也同趋高涨，业内已经共同认识到现有固定网和移 动网向n g n 演进的战略转型势在必行。 经过业界广泛而又激烈地讨论，2 0 0 4 年i t u t 归纳出n g n 的基本特征为：基于分 组传送：分层结构( 控制与业务和承载分离) 并提供丌放的接口；支持广泛的业务，包括 1 南京邮l 乜人学颂t j 研歹生学位论文 第一审绪论 实时( 或非实时) 多媒体业务和流媒体业务；具有端到端q o s 保证的宽带传送能力；能与 现有传统网络互通：具有通用移动性；提供用户对不同业务提供商网络的自由接入；实现 用户对业务使用的一致性体验：提供固定网和移动网融合业务；支持多种接入方式；业务 相关功能与底层传输技术无关等。 可见，网络融合是n g n 的重要目标之一。n g n 将是集成多种无线和有线接入技术、 统一提供综合业务的开放融合的网络架构，多种现存和新兴的有线或无线技术将共存于下 一代网络，例如2 g 3 g 移动通信系统、w l a n 、x d s l 以及w i m a x 等。由于在实现上充满 着巨大的挑战，预计传统电信网向这种固定和移动融合的n g n 理想架构的演进将是电信 业未来5 年到1 5 年的重要战略任务。 1 1 2 基于i m s 的网络融合发展 目前除了3 g p p 外，i p 多媒体子系统( i m s ：i pm u l t i m e d i as u b s y s t e m ) 也得到了e t s i 、 i t u t 等标准化组织的青睐，它们都已经确定了将i m s 作为n g n 核心网的基本架构。部 分先进的运营商如德国电信、英国电信和法国电信已经明确了未来网络和业务融合的战略 目标1 2 】，并开始特别关注基于i m s 的网络融合研究。各大设备厂商也加大了对i m s 在固网 领域应用的研究，正积极参与并大力推进基于i m s 的n g n 的标准化工作。 虽然基于i m s 的n g n 已经成为未来技术的发展趋势，但是要将其真正付诸实施尚有 很长的路要走。从技术方面看，在网络融合的整体架构、会话控制、业务体系、服务质量 ( q o s ) 、安全机制和移动性管理等方面还有很多问题有待进一步探讨和解决。从标准方面 看，目前各标准组织的研究还处于初期研究阶段，j 下式规范的出台尚需时同。另外，网络 融合还涉及到客户终端、商业模式、运营管理、政策监管等诸多方面，因此需要运营商、 设备厂商、研究机构、标准化组织和监管部门等多个环节共同努力。 1 23 g w l a n 融合 1 2 13 g w l a n 融合的意义 3 g 和w l a n 技术在覆盖范围、数据速率和业务提供能力等几个重要方面正好是优势 互补。3 g w l a n 融合近期就有巨大的市场需求。 从用户角度看，3 g w l a n 融合能够在更高的速率范围和完善的覆盖范围内给用户提 供高性价比的通信服务。使用3 g w l a n 双模终端的用户可以在w l a n 覆盖区域内拨打 便宜的v o i p 电话，也可以利用w l a n 技术所提供的高速无线接入能力尽享各种丰富多彩 2 南京邮电人学坝l ：研了z 生学位论文第一章绪论 的宽带多媒体应用。在没有w l a n 的地方，则可继续使用3 g 网络进行通话或访问业务。 从运营商角度看，3 g w l a n 融合将给3 g 运营商的网络投资和运营带来巨大的收益。 目前全球范围内3 g 网络的商用逐步走向高潮，运营商耗费了巨额资金敷设3 g 网络，但在 某些业务量比较大( 如车站) 或3 g 覆盖困难( 如地铁) 的热点区域，仍然无法保证比较好的服 务质量。一个较好的解决方法就是运营商在热点地区提供w l a n 覆盖，将3 g 网络的业务 和功能扩展到w l a n 接入环境中，这样既利用w l a n 高速数据传输的特点弥补了3 g 接 入网数据传输速率的不足，又可以缓解热点地区蜂窝小区的业务承载压力，降低覆盖成本。 1 2 2 基于i m s 网络融合的序曲 基于i m s 实现网络融合的热浪下，运营商都在考虑向下一代网络的平滑演进。目前 国内运营商的主要发展思路应该是整合网络资源，提高运行效率，降低网络运营成本，采 用国际先进成熟技术，在风险和发展之间寻找一个平衡剧3 1 。 3 g w l a n 的融合由于近期就有巨大的市场需求，所以必然会成为基于i m s 的网络融合的 先行者。相信3 g w l a n 的融合将在不久的将来揭丌基于i m s 的网络融合时代的序幕，并 为基于i m s 的下一代融合网络的发展积累宝贵经验。 1 3 移动无线网络安全性基础知识 随着无线通信及其他相关技术的不断发展，无线通信网络的应用将会日益深入人们生 活的方方面面。无线手持设备的体积在不断缩小而其功能则逐日增强，它可以用于通话、 传输数据、收发电子邮件和浏览因特网，甚至可以帮助人们实现随时随地的电子商务，这 就是所谓的移动商务。随着无线网络应用的不断增多，人们越来越关注无线通信网络的安 全性。 1 3 1 移动无线网络中的不安全因素 无线通信网络之所以得到广泛应用，是因为无线网络的建设不像有线网络那样受地理 环境限制，无线通信用户也不像有线通信用户受通信电缆的限制，而可以在移动中通信。 无线通信网络的这些优势来自于他们所采用的无线通信信道，而无线信道是一个开放性信 道，它在赋予无线用户通信自由的同时也给网络带来了一些不安全因素。 无线窃听。通过窃听无线信道而获得其上所传输的信息。 假冒攻击。当攻击者截获到一个合法用户的身份信息时，他就可以利用这个身份 3 南京邮i 乜人学硕i j 研究生学位论义 第一章绪论 信息来假冒该合法用户的身份入网，这就是所谓的身份假冒攻击。 信息篡改。主动攻击者将窃听到的信息进行修改，如删除和，或替代部分或全部 信息之后，再将信息传送给原本的接受者。 服务后抵赖。交易双方中的一方在交易完成后否认其参与了此交易。 重传攻击。主动攻击者将窃听到的有效信息经过段时间后再传给信息的接受者。 其目的是企图利用曾经有效的信息在改变了的情形下达到同样的目的。 1 3 2 移动无线网络的安全性能评估 移动无线网路的安全性能评估应从以下几个方面进行。 保密性 移动无线通信网络能提供的保密性业务有： 1 ) 语音和数据保密性，即加密无线信道中传送的用户语音和数据信息，防止被窃听； 2 ) 用户身份和位置保密性，即保护用户的真实身份，防止被无线跟踪； 3 ) 用户与网络问信令信息保密性，即保护无线信道中传送的信令信息，防止被窃听： 身份认证性 移动无线通信网络中的身份认证性业务包括两个方面： 1 ) 移动用户身份认证性，即鉴别移动用户身份，防止非法用户假冒合法用户身份而 逃避付费； 2 ) 网络端身份认证性，即鉴别网络端身份，防止主动攻击者假冒网络端欺骗用户。 数据完整性 根据数据种类的不同，数据完整性可包括三个方面的内容： 1 ) 连接完整性，对某个连接中的所有数据进行完整性保护； 2 ) 无连接完整性，对某个无连接数据项中的所有数掘进行完整性保护； 3 ) 选域完整性，仅对某个数据单元中所指定的区域进行完整性保护。 服务不可否认性 服务不可否认性包括两个方面的内容： 1 ) 源不可否认性，即通信发起方在通信完成后不能否认他曾经发起此通信： 2 ) 接收不可否认性，即通信接收方在通信完成后不能否认他已收到通信内容。 4 南京邮电人学硕_ - 研究生学位论文第章绪论 1 3 3 移动无线网络的安全技术 自无线通信诞生之初，人们就认识到无线通信面临着被窃听的威胁，需要采用加密技 术来保护通信内容。攻击者的进攻能力同益增强，而密码技术也越来越高速发展，以抵抗 攻击者的攻击。 目前在无线通信网络中得到广泛应用的安全技术包括以下几种。 加密技术 加密是一种最基本的安全机制，通过它，通信明文可以被转换成密文，而这些密文对 于不知道解密密钥的人来说是杂乱无章、不可理解的，只要知道解密密钥的人才能恢复出 原来的明文。当加密密钥和解密密钥相同时，这种算法称为对称密钥密码算法：而加密密 钥和解密密钥不相同的密码算法称为非对称密钥密码算法。 完整性检测技术 完整性检测技术是用于提供消息认证的安全机制。从概念上来说，类似于数据通信中 的校验位和循环校验和，是为了检测因恶意攻击者篡改而引起的信息错误。典型的完整性 检测技术是消息认证码，就是将消息通过一个带密钥的杂凑函数束产生一个消息完整性 码，并将它附着在消息之后一起传给接收方，接收方在收到消息后可重新计算消息完整性 码，并将其与接收到的消息完整性码进行比较：如果他们相等，就认为消息没有被篡改； 否则，表明消息被更改了。 身份认证技术 身份认证技术是提供通信双方身份认证性的安全机制，它通过检测证明方拥有什么或 知道什么来确认证明方的身份是否合法。 数字签名 数字签名是用于提供服务不可否认性的安全机制，它有以下几个特点： 1 ) 数字签名采用电子形式，可以在网络中传输： 2 ) 只有知道密钥的人才可以生成数字签名，因而它很难伪造； 3 ) 数字签名可对整个消息进行签名，签名后消息不可以更改；等。 1 4 研究基于i m s 的3 g w l a n 网络的安全接入机制必要性 统一的鉴权机制是w l a n 和3 g 真正走向融合的第一步也是很关键的一次不仅是提 供可运营的w l a n 的基础，同时为移动运营商加快w l a n 运营步骤、节省运营成本、统 一用户管理提供技术上的保证。 5 南京邮电大学硕1 ：研究生学位论文 第一币绪论 3 g p p 要求3 g p p w l a n 互联建立在不修改3 g 安全体系的基础上，不能牺牲3 g 的安 全性。空中接口安全方面，3 g 接入网能较好的支持空中接口的加密与完整性保护，而在 i e e e 的w l a n 标准中，目前只支持相对较弱且笨重的w e p 协议【4 1 。 由于用户的真实身份，当前位置隐私及其运动模式等信息非常重要和敏感，因此通信 过程中必须保证这些信息的机密性。用户的国际移动标识符( i m s i ) 和产生临时身份的密 钥不能在无线接入时被窃听到，否则攻击者能假冒合法用户接入网络获取信息。同时，由 于用户的身份与用户设备相关的路由地址之间有高度的关联，而空中信号中的m a c 地址 可通过侦听无线链路而获得，并且m a c 地址与高层用户标识之白j 的联系是可见的，因此 狡猾的攻击者能以此确定用户位置【5 】。另外，对于大多数3 g 运营商来说，合法侦听是其 一个强制性要求【6 j 。3 g w l a n 也不例外。在漫游情况下，接入网和核心网在不同的国家 有不同的安全性法规。因此，如何保证侦听的合法性也是必须考虑的安全问题。在机密性 和完整性保护方面，另一个根本的问题是业务的扩展问题，也就是保护应该延伸到网络的 哪个部分。因为w l a n 系统的接入点不能提供太多的物理保护，而且由于具有分布式的 特点，攻击者能够访问这些设备，接入点不一定能保护通信中会话密钥的安全性【7 】。 鉴于我们上述说讨论的几点3 g w l a n 网络面临的安全挑战，我们完全有必要对它们 之间的安全机制进行研究。 1 5 本文的主要研究内容和章节安排 1 5 1 主要研究内容 第一章中我们介绍了基于i m s 的3 g w l a n 融合研究的背景，移动无线网络的安全性 基础知识以及我们研究基于i m s 的3 g w l a n 融合网络的安全接入机制的必要性，在后续 章节中本论文将主要研究以下两个部分的内容： ( 1 ) 本文首先分析了3 g p pi m s 系统的体系结构及其特点，探讨了w l a n 网络相关标准中 的安全技术，给出了基于i m s 的3 g w l a n 互联参考模型，并进而介绍了3 g 网络鉴 权机制，深入研究了已在i m s 应用的p k i 协议体系，以及s s l t l s 网络安全协议，这 两种协议在后续章节中将有所运用。 ( 2 ) 在第一阶段工作的基础上，本文首先研究了基于a k a 的3 g w l a n 安全接入方案。对 目前普遍使用的e a p a k a 方案进行了安全性分析，指出其所存在的安全缺陷，并提出 了改进方案。同时，本文对e a p a k a 的认证信令进行了优化，创新采用e a p a k a 自 适应k 选择机制，通过性能仿真证实该优化方案能提高安全接入认证性能。本文接着 6 南京邮r u 人学硕l 研究生学位论文第一章绪论 研究了基于t l s 的3 g w l a n 安全接入方案。首先对基于t l s 实现安全接入方案的可 行性进行了分析，设计了e a p t l s 安全接入信令流程，在此基础上，本文采用了支持 数字签名的t l s 协议改进了e a p t l s 安全接入方案。最后，本文提出一个基于i m s 的3 g w l a n 安全接入总体方案。 1 5 2 后续章节安排 第二章概述了3 g p pi m s 系统和w l a n 网络的技术发展： 第三章详细讨论了基于i m s 的3 g w l a n 网络涉及的主要安全协议，包括3 g a k a 协 议，p k i 体系和s s l 厂r l s 安全协议； 第四章重点分析了基于a k a 的3 g w l a n 安全接入方案，分析了e a p a k a 机制的 安全漏洞，并创新提出e a p a k a 的一个改进方案，最后对e a p a k a 的认证信令过程进 行数学建模，并予以优化： 第五章描述了基于t l s 的安全接入机制的详细设计方案，在此基础上对t l s 协议进 行优化，使其能支持数字签名，迸一步改进了e a p t l s 安全机制。最后给出了基于i m s 的3 g w l a n 网络的安全接入方案总体设计。 南京邮电人学硕卜研究生学位论文第一二章3 g p pi m s 系统和w l a n 技术概述 第二章3 g p pi m s 系统和w l a n 技术概述 2 13 g p pi m s 系统的发展 2 1 1i m s 系统的产生背景 基于因特网协议( i p ) 的移动设备联网是新一代的通信理念。这类设备使得“应用”一 词有了新的含义。应用不再是通过用户界面完成信息交换的孤立的功能实体。更精彩的下 一代应用由对等( p e e r - t o p e e r ) 的实体构成，应用中的共享更为便利：共享的浏览、共享 的白板、共享的游戏感受、共享的双向无线通话。通过具有i p 能力的新型移动设备建立对 等连接的能力将是网络能力的关键要素。但在因特网上，这一至关重要的i p 连接能力只能 相对隔离的在单个服务提供商内部提供，因此，我们需要一个全球的系统i m s ，它使 得移动设备应用之间可以建立对等连接【8 】，以提供真正综合的语音和数据服务，进而提高 生产力和整体的效率。 2 1 2i m s 系统的标准化进展情况 i m s 标准随着3 g p p 标准体系的推进衍生出r 5 、r 6 和r 7 三个版本。版本5 最初将 i m s 引入到3 g p p 标准中。i m s 体系使得各种类型的客户端都可以建立起对等的i p 通信， 并可以获得所需要的服务质量。除会话管理之外，i m s 体系还设计完成服务提供所必需的 功能( 如注册、安全、计费、承载控制、漫游) 。版本6 的i m s 弥补了版本5 中i m s 的缺 点，并引入新的特征。版本7 的标准正在制定当中，拟在增强原有系统功能的同时，补充 一些全新的功能。 鉴于3 g 网络安全问题的重要性，3 g p p 成立了专门的工作组s a w g 3 负责3 g 网络安 全问题的标准化制定工作。与i m s 分层的体系结构相对应，i m s 的安全体系架构也可以分 为三层，分别是媒体平面层( m a c 层) 的安全、信令平面层( 网络层) 的安全和应用层 的安全。在r 5 版本，s aw g 3 小组为i m s 制定了信令平面层的安全保护机制，而尚未为 应用层和媒体层制定安全保护机制。信令层安全机制的任务是为i m s 提供接入安全控制和 s i p 信令安全保护，它可分为i m s 接入安全和i m s 网络域安全两部分。接入安全和网络域 安全均采用因特网协议安全( i p s e c ) 来保护s i p 消息的安全，而接入控制采用认证和密钥 协商机制( a k a ) 进行i m s 鉴权和i p s e c 的密钥协商。 8 雨京邮i 乜人学坝i j 研究生学位论义第_ 二章3 g p pi m s 系统和w l a n 技术概述 在r 6 版本，应用层增加了用户与应用服务器( a s ) 之问的超文本协议( h t t p ) 的 保护机制，采用t l s 协议来提供机密性和完整保护。信令层的网络安全域增加引入公用密 钥体系( p ) ，用于支持网络实体的身份认证。 目前r 7 版本的安全方面研究工作刚刚丌始，i m s 的媒体层安全机制的制定正处于讨 论之中。值得注意的是国际国内对合法监听功能的要求和重视程度都大大提高了。只要用 户登网，就要受到i m s 系统的监听。 2 23 g p pi m s 系统的体系结构 由于i m s 具有采用会话初始协议( s i p ) 进行呼叫控制、与接入无关和能够灵活提供 多种业务等优点，为网络融合奠定了技术基础，近来受到了各标准组织和广大运营商、设 备制造商的热烈关注和青睐，已被认为是实现下一代融合网络的核心技术。下面我们介绍 一下3 g p p i m s 架构。 2 2 1 主要功能实体 图2 1 是3 g p pi m s 体系结构的示意图【9 10 1 。i m s 主要基于s i p 协议，叠加在3 g 分组 交换( p s ) 域上。图中粗线是用户平面数据通道，细线是信令传输通道，可见其体系架构采 用的是控制与承载相分离的方式。i m s 主要作为信令处理子系统，用户平面的多媒体数据 由p s 域的g s n 通道承载。下面按照i m s 的主要功能介绍相关功能实体【8 a ： 一、呼叫会话控制相关功能实体 呼叫会话控制功能( c s c f ) 是i m s 的核心功能实体，主要功能是实现i m s 域的呼叫 和会话控制。i m s 中定义了3 种c s c f ： 1 ) 代理c s c f ( p c s c f ) - 位于访问网络中，是s i p 用户接入i m s 的入口点。主要负责受 理s i p 用户接入，s i p 消息的转发、完整性保护和压缩处理。p c s c f 中的p d f ( 策略 判决功能) 模块负责对多媒体业务的q o s 要求进行策略判决。p c s c f 也可用来提供 紧急业务的本地控制。 9 南京邮屯大学顾1 j 研究生学位论义 第一二章3 g p pi m s 系统和w l a n 技术概述 咿敌汽 电路域 一f i 图2 1i m s 网络结构示意图 2 ) 查询c s c f ( i - c s c f ) 位于归属网络中，是s i p 消息进入归属i m s 网络的入口点。主 要负责查询h s s 来为用户选择s - c s c f 。并将s i p 消息发到该s - c s c f ；作为外部网络 到i m s 归属网络的网关，支持防火墙功能，并具有隐藏归属网络拓扑的功能，从而允 许各运营商i m s 网络保持配置独立安全。 3 ) 服务c s c f ( s c s c f ) 位于归属网络中，根据需要可设置多个。主要功能：接受用户注 册，从归属地用户服务器( h s s ) 下载并临时存储用户相关数据：重定向路由，进行 呼叫会话控制：触发用户签约业务，协同业务平台进行业务支持等。 二、用户信息和业务提供相关实体 1 ) 归属地用户服务器( h s s ) ：存储用户签约信息和位置信息的用户数据库系统，由归属 位置寄存器( h l r ) 演变而成。 2 ) 签约位置功能( s l f ) ：i m s 网络中可能有多个h s s ，在s i p 注册或会话建立过程中， c s c f 可通过查询s l f 来找到存储相应用户信息的h s s 。s l f 在单一的h s s 环境中并 不需要。 与业务提供相关的功能实体有三种：s i p 应用服务器( s i p a s ) 、i p 多媒体业务转换功 能( i m s s f ) 和o s a 业务能力服务器( o s a s c s ) 。它们分别用束支持运营商i m s 网络 直接提供的s i p 业务、c a m e l 业务环境( c s e ) 提供的传统移动智能网业务和第三方提 供的业务。 三、媒体资源相关功能实体 1 ) 媒体资源功能控制部分( m r f c ) ：根据c s c f 的要求，通过h 2 4 8 协议控制m r f p 完 成相应的媒体资源处理。 1 0 堕塞! ! ! ! ! 皇叁兰堡! ! 型坚! 生兰篁堡兰垩三至! 鱼! ! ! 竺! 墨竺塑! 兰垒型垫查塑堕 2 ) 媒体资源功能处理部分( m r f p ) ：根掘m r f c 的控制提供媒体相关的服务，包括多方 会议、语音提示、铃声、语音识别、语音合成等。 四、与p s t n 电路交换( c s ) 域互通相关功能实体 1 ) i m s 媒体网关( i m s m g w ) ：负责i m s 与p s t n c s 域之间的媒体流互通，即i p 媒体 流与p c m 媒体流之问的编解码转换；并在m g c f 的控制下完成呼叫的接续。 2 ) 媒体网关控制功能( m g c f ) - 采用h 2 4 8 协议控制m g w 进行呼叫会话接续；与c s c f 通信：并提供应用层上的信令转换，即s i p 信令和i s u p ( i s d n 用户部分) 信令之间 的转换。 3 ) 信令网关( s g w ) ：提供传输层上的信令转换，即基于i p 承载的信令和基于s s 7 的信 令之间的转换。 4 ) 边界网关控制功能( b g c f ) ：是i m s 域与外部网络的分界点，它选择在何处与p s t n c s 域关联。 2 2 2 基本业务 在上一节中，我们提到了i m s 中三种业务提供相关实体的功能，下面我们介绍一下 它们支持的基本业务【1 。 1 ) 基于s i p 的多媒体业务 s i p ( 会话初始协议) 是由i e t f 提出的i p 网络中的多媒体会话控制信令，具有简单、灵 活、扩展性好的特点，可以支持广泛的多媒体业务。 在i m s 业务体系中，s i p 多媒体业务是最主要的业务。运营商通过架设s i pa s 可以 引入丰富多彩的实时月 实时多媒体业务，例如多媒体呼d q ( 包括v o l p 话音、视频的通话) ， 视频会议、p u s h t o x 业务( p u s h t o t a l k ，p u s h t o s h o w 等) 、白板应用共享、群组管理、 p r e s e n c e ( 呈现) 、i m ( 即时信息) 、流媒体应用、移动游戏、聊天室等。 2 ) 基于o s a 的第三方业务 i m s 通过o s a 业务能力服务器( o s a s c s ) 支持p a r l a y o s a 标准业务接1 2 1 ，可以为 第三方业务供应商提供标准接口，大大扩展运营商提供新业务的能力。 3 ) 基于c a m e l 的传统智能网业务 为保护运营商已有的投资，i m s 通过i p 多媒体业务转换功能( i m s s f ) 提供了对传 统c a m e l 移动智能网业务的支持，如预付费、虚拟专网、卡类业务等。 南京i | l i j i t l 人学硕 ：研究生学位论文 第- 二章3 g p pi m s 系统和w l a n 技术慨述 2 2 3i m s 体系结构特点 根据前面两小节的介绍，我们可以归纳出i m s 体系结构具有以下特点【】： l 、采用分层开放结构。i m s 进一步发扬了软交换结构中业务与控制分离、控制与承载 分离的思想，网络结构更加清晰合理；层间采用标准化的丌放接口，有利于新业务 的快速生成和应用。 2 、统一采用s i p 协议进行控制。s i p 简洁高效、可扩展性和适用性好，使得i m s 能够 灵活便捷地支持广泛的i p 多媒体业务；并且s i p 可与现有固定i p 数据网平滑对接， 便于实现固定和无线网络的互通。 3 、经过进一步完善可以具有与接入无关的特点，理论上可以实现不论用户使用什么设 备、在何地接入i m s 网络，都可以使用归属地的业务。 4 、支持漫游移动性。由于i m s 最初是3 g p p 为移动网络定义的，所以比较充分考虑了 对用户终端的漫游支持。 5 、充分考虑了运营商实际运营的需求，在网络框架、q o s 、安全、计费以及和其他网 络的互通方面都制定了相关规范。 2 3w l a n 网络概述 w l a n 是指以无线信道作传输媒介的计算机局域网络，是计算机网络与无线通信技 术相结合的产物，它以无线多址信道作为传输媒介，提供传统有线局域网的功能，能够使 用户真正实现随时、随地、随意的宽带网络接入。 与有线网络相比，w l a n 具有以下优点： 安装便捷：无线局域网的安装工作简单，它无需施工许可证，不需要布线或开挖沟槽。 它的安装时间只是安装有线网络时间的零头。 覆盖范围广：在有线网络中，网络设备的安放位置受网络信息点位置的限制。而无线 局域网的通信范围，不受环境条件的限制，网络的传输范围大大拓宽，最大传输范围 可达到几十公旱。 经济节约：由于有线网络缺少灵活性，这就要求网络规划者尽可能地考虑未来发展的 需要，所以往往导致预设大量利用率较低的信息点。而一旦网络的发展超出了设计规 划，又要花费较多费用进行网络改造。w l a n 不受白线接点位置的限制，具有传统局 域网无法比拟的灵活性，可以避免或减少以上情况的发生。 易于扩展：w l a n 有多种配置方式，能够根据需要灵活选择。这样，w l a n 就能胜任 1 2 堕皇业! ! 叁兰堡! 型! 壅兰兰丝笙塞墨三里! 鱼! ! ! 坚! 墨堕塑! 兰垒! 丝查塑堕 从只有几个用户的小型网络到上千用户的大型网络，并且能够提供像“漫游”( r o a m i n g ) 等有线网络无法提供的特性。 传输速率高：w l a n 的数据传输速率现在已经能够达到1 1 m b i t s ，传输距离可远至 2 0 k i n 以上。应用到正交频分复用( o f d m ) 技术的w l a n ，甚至可以达到5 4 m b i t s 。 由于w l a n 具有多方面的优点，其发展十分迅速。在最近几年旱，w l a n 已经在医 院、商店、工厂和学校等不适合网络布线的场合得到了广泛的应用。 2 4w l a n 安全技术发展 为满足日益增长的无线局域网络需求，i e e e 于1 9 9 9 年制定了i e e e 8 0 2 。l l b 标准，这 个标准规定了用于无线局域网络的m a c 层和p h y 层协议，这些协议可以在固定设备、便 携式设备和移动台之间建立无线连接。之后，为了解决之自玎版本的一些安全缺陷和不足， 又相继制定了i e e