- Аутентификация и сертификаты на основе асимметричной криптографии
- Что даёт наличие ims service на борту вашего смартфона?
- Aka (соглашение об аутентификации и ключах)
- Dos (отказ в обслуживании)
- Gaa (общая архитектура аутентификации)
- Liberty alliance и sso (единый вход)
- Mcptt
- P- cscf открытие
- Volte
- Архитектура
- Архитектура ims
- Аутентификация с использованием общего секрета
- Безопасность
- В чем преимущества сертификации
- Влияние ims service на энергосбережение
- Захват сеанса
- Заявление
- Злоупотребление сервисом
- Какие услуги предлагает центр
- Ключевые факторы перехода к ims
- Контроль
- Платное мошенничество
- Плоскость управления
- При чем тут nfv?
- Примеры проектов, где используется пмр
- Происхождение ims
- Процесс регистрации
- Различия
- Слежка за сетью
- Смягчено
- Сравнение softswitch и ims
- Стандартизация ims
- Транспорт
- Уровень приложений
- Цикл статей про nfv
- Подводя итог всему выше написанному
Аутентификация и сертификаты на основе асимметричной криптографии
Альтернативой использованию общих секретов для аутентификации является использование асимметричной криптографии. Это означает, что объект, который хочет пройти аутентификацию, должен иметь пару ключей (общедоступный и частный) и проверять пару ключей цифрового сертификата.
Если клиент желает использовать технологию асимметричного шифрования, вам потребуется цифровой сертификат, выданный ЦС (центром сертификации). Сертификат связывает открытый ключ с личностью их владельцев. Если мобильный абонент хочет иметь и использовать пару ключей (частный и открытый), сертификат должен быть предварительно установлен или у подписчика должны быть средства для создания или получения пары ключей и, аналогично, для динамического получения одного цифрового сертификата. .
Для динамического получения цифрового сертификата UE должно отправить приложение для сертификата сайта в PKI, а портал PKI должен аутентифицировать запрос сертификата. Пара ключей и цифровой сертификат также могут использоваться для обеспечения целостности и защиты, но они не входят в сферу действия GAA.
Что даёт наличие ims service на борту вашего смартфона?
Если после прочитанного вы ещё не потеряли нить дискуссии (тему этой статьи), но не совсем поняли истинный смысл текста цитат, то от себя дам пояснение (да простят меня IT-шники): IMS это универсальный сервис передачи данных в современных коммуникационных сетях (2G , 3G, 3G , 4G…), посредством стандартной IP технологии.
В частности, в описании стандарта IMS, речь идёт о новом способе передачи голосового (и видео, и СМС с MMS) вызова посредством сети LTE.
Для простого обывателя это значит следующее: сейчас все телефонные аппараты 2G (деревяшки в народе) и 3G для передачи голоса и смс используют стандарт GSM 20-ти летней давности. Вся мощь сетей нового поколения используется для того, чтобы пользователь мог посидеть в интернете и посвайпить сообщения с видео от друзей в WhatsApp.
По сути, имея в распоряжении супер-навороченную цифровую АТС, мы используем для связи старый аналоговый дисковый аппарат.
На деле получается, что голосовая связь работает на частоте 900/1800 МГц, в стандарте 2G, SMS – там же, видео вызовы (EDGE и выше) и ММS (достаточно GPRS/EDGE) уже c использованием IP-технологий (частота 2400 МГц).
Получается – одно устройство, но совершенно разные реализации способа передачи данных под привычные в повседневной жизни сервисы.
Задача IMS эту проблему исправить, переведя все услуги связи на уровень IP-технологии, но с присущими телефонным сетям качествами, объединив все сервисы в один с функционалом каждого из них.
Не вдаваясь в подробности, эта модификация связи позволит увеличить ёмкость сети в несколько раз.
Помимо ёмкости, добавляется новый функционал. Например, одновременность использования всех сервисов вместе.
И, кстати говоря, одной из новых фишек является оповещение собеседника о вашем местоположении во время вызова.
Вот эта настройка позволяет этому сервису с лёгкостью включать и отключать GPS без вашего ведома при появившейся на то необходимости.
А такая необходимость у IMS появляется:
- У вас включена передача голоса посредством VoLTE (разновидность VoIP).
- Вы совершаете вызов в экстренную службу.
- У вас установлена настройка об оповещении собеседника о вашем местоположении.
Получается, тут не IMS виноват в включении GPS, а совсем другое приложение, которое как раз и использует этот сервис для связи.
Что интересно, в настройках стандартной звонилки от Samsung настройка отключения или отключения оповещения собеседника о местоположении отсутствует.
На всякий случай, чтобы быть 100% уверенным в том, что ваши координаты при звонке никому не будут переданы, необходимо отключить разрешение для IMS изменять настройки системы.
Эта же настройка запретит сервису самостоятельно включать GPS на вашем устройстве.
Если я где-то не прав – поправьте меня. Но, по крайней мере у меня, эта мера дала некоторый результат – из списка последних приложений, недавно обращавшихся к GPS, пропал IMS Service. И вряд ли это совпадение.
Aka (соглашение об аутентификации и ключах)
Безопасность в IMS основана на секретном ключе с длительным сроком действия, совместно используемом ISIM и AUC (центром аутентификации) локальной сети.
AKA используется для создания как ключей шифрования ( 3DES или AES – CBC ), так и ключей целостности ( HMAC – MD5 или HMAC- SHA-1 ).

Архитектура безопасности
- ISIM ↔ HSS: требуется для взаимной аутентификации. И HSS, и ISIM сохранили секретный ключ и частную идентификацию (IMPI), связанные с этим ключом.
- UA ↔ P-CSCF: Обеспечивает безопасную связь между UE и сетью.
- I / S-CSCF ↔ HSS: Устанавливает ассоциацию безопасности для передачи информации между I / S-CSCF и HSS.
- P-CSCF ↔ I / S-CSCF: Эта ассоциация безопасности применяется только тогда, когда P-CSCF не находится в домашней сети.
- I-CSCF ↔ S-CSCF: Обеспечивает безопасность между узлами SIP в сети.
Dos (отказ в обслуживании)
Атака на доступность. Злоумышленник отправляет большое количество дейтаграмм за короткий период времени, что приводит к снижению производительности или полной остановке служб. Примеры включают TCP SYN-флуд, UDP-флуд …
Gaa (общая архитектура аутентификации)
Все механизмы безопасности, которые мы видели, используются в сетях доступа и доменах IMS. Однако можно расширить описанные выше механизмы аутентификации в приложении или сервисе, используя так называемый GAA .
GAA – это архитектура аутентификации, которая позволяет расширить существующие механизмы аутентификации на прикладном уровне / сервисе IMS.

Связь между спецификациями GAA и протоколами, используемыми интерфейсами GAA
GAA использует два механизма аутентификации. Один основан на владении общим секретом между взаимодействующими объектами (GBA-Generic Bootstrapping Architecture), полученным из ключей, используемых в аутентификации AKA, а другой основан на асимметричной криптографии (открытый и закрытый ключ) и цифровых сертификатах или PKI ( SSC – Поддержка сертификатов подписчика).

Иллюстрация механизмов выдачи учетных данных для аутентификации
Liberty alliance и sso (единый вход)
Liberty Alliance представляет собой группу компаний , занимающихся созданием спецификаций , связанных с пользователями аутентификации, конфиденциальности и управления идентификацией приложений в Интернете. Одна из реализуемых концепций – это SSO (Single Sign On), при которой пользователю необходимо пройти аутентификацию только один раз для доступа к различным приложениям или службам.
Mcptt
Так, с VoLTE немного разобрались, для MCPTT требования к сети ужесточаются:
Добавляется новая функциональность – широковещательная связь: один ко многим, многие ко многим.
Необходима приоритизация звонков и трафика, для этого вводятся специальные QCI 65,66, которые должны обеспечивать задержку голоса не более чем 75 ms и 100 ms соответственно. Сами устройства также должны поддерживать MCPTT нативно и иметь возможность взаимодействовать друг с другом напрямую, без наличия сети связи.
P- cscf открытие
Заботится о целостности и доступности. P-CSCF – это точка входа в UE. DHCP ( протокол динамического управления хостом) и DNS (система доменных имен) обычно используются для обнаружения P-CSCF.
Volte
Как же стыкуется IMS c LTE? Для этого есть специальный стандарт c требованиями: GSMA PRD IR.92 v9.0: «IMS Profile for Voice and SMS». Т.е. если у оператора уже есть система IMS, то он интегрирует ее в соответствии со стандартом. Если нет, то для VoLTE можно ограничиться функциональными элементами, реализующими только необходимые интерфейсы, тогда это будет называться SIP core. Внесем в схему LTE сеть:
«Тарификация современных услуг передачи данных в мобильных сетях связи и управление политиками обслуживания абонентов».
Для установки и контроля голосового вызова в VoLTE необходимо, чтобы SIP шел от абонентского устройства, т.е. устройство должно поддерживать SIP нативно или через приложение. На схеме показаны потоки SIP сигнализации (красные стрелки мелким пунктиром) и данных (синие стрелки крупным пунктиром). Application сервера используются для реализации услуг поверх чистого VoLTE, например для организации переадресации вызовов, реализации черных/белых списков и т.п. 
Архитектура
Его можно разделить на три слоя:

Архитектура IMS
Архитектура ims
Принцип, на котором строится концепция IMS, состоит в том, что доставка любой услуги никаким образом не соотносится с коммуникационной инфраструктурой (за исключением ограничений по пропускной способности). Воплощением этого принципа является многоуровневый подход, используемый при построении IMS.
В составе IMS выделяются три уровня: транспортный уровень, уровень управления и уровень услуг (рис. 14.1).
Аутентификация с использованием общего секрета
Из этих двух типов реализации наиболее часто используются общие секреты. Большим преимуществом GAA / GBA является то, что он позволяет создавать ассоциации безопасности между пользовательским агентом и различными приложениями. Эти партнерские отношения заключаются в первую очередь в совместном использовании ключа (общего секрета), который позволяет последующую аутентификацию пользовательского агента в приложении, и, при необходимости, других функций безопасности, таких как гарантия конфиденциальности и целостности информации (посредством шифрования и цифровой подписи ), неотказуемость (цифровая подпись) и т. д.
Представлен новый сетевой элемент под названием BSF (функция сервера начальной загрузки). Этот BSF имеет интерфейс с HSS. UE запускает AKA с HSS через BSF. Сервер приложений, называемый NAF (функция сетевого приложения), может получить этот сеансовый ключ из BSF с информацией профиля абонента.
Таким образом, серверные приложения NAF и UE совместно используют секретный ключ, который затем может использоваться для приложения безопасности, в частности, для аутентификации UE и NAF в начале сеанса приложения (возможно, для целостности и / или защиты конфиденциальности). Связь между UE и BSF, а также между NAF, BSF и HSS не зависит от приложения.
Безопасность
Немного поняв, что такое IMS и какие устройства действуют, мы вводим спецификации IMS, касающиеся безопасности.
С точки зрения стандартизации существует только механизм аутентификации и управления доступом, указанный в TS 33.203 3GPP (Безопасность доступа для IP-услуг) и обычно называемый AKA (Соглашение об аутентификации и ключах). Однако существует множество других механизмов аутентификации и контроля доступа, определенных для удовлетворения потребностей унаследованных терминалов и обеспечения более быстрого развертывания. Наиболее распространены:
Существующее множество механизмов аутентификации, используемых в сетях, вызывает проблемы, связанные с функциональной совместимостью, существованием сетей с разными уровнями безопасности, выбором наиболее адаптированного метода во время регистрации клиента и т. Д.
В чем преимущества сертификации
В зависимости от группы товаров сертификация может быть добровольной. Многие компании идут на получение документа по разным причинам. Сертификат – это документ подтверждающий качество и безопасность продукции. Он помогает реализовывать продукты на рынке, вызывает лояльность со стороны покупателей. Когда потребитель видит сертификат, он уже уверен, что эта продукция отвечает всем требованиям.
Орган, который занимается сертификацией берет на себя всю ответственность за безопасность сертифицируемого продукта. Прежде чем получить бумагу, производителю придется предоставить образцы сертифицируемой продукции. После ряда испытаний в лаборатории дается полное описание ТУ продукта, указана его безопасность.
Компания готова помочь в получении сертификата любого типа и оказывает клиентам высшей сервис обслуживания. Работать с таким партнером будет однозначно приятно.
Назад к разделу
Влияние ims service на энергосбережение
Если анализировать общий расход батареи по приложениям и сервисам, то приложение IMS Service само по себе заряд батареи не расходует, а является неотъемлемой частью платформы Android. Во всяком случае, и IMS Service, и IMS Setting, и Платформа Android – все они показывают ровно один и тот же расход батареи в процентах.
Некоторые ребята (вот этот, например, или этот) рекомендуют отключать принудительную регистрацию в сети IMS. Насколько это результативно – не понятно, я лично для себя изменений не заметил, а вот при использовании связи с включённой опцией VoLTE может свести на нет ваше желание пользоваться новым стандартом связи.
Но, на всякий случай, можете применить:
Захват сеанса
Направленная целостность сеанса. Злоумышленник может вставить вредоносные пакеты в сеанс и даже заменить часть трафика. Например, злоумышленник может отправить повторное приглашение SIP, чтобы изменить параметры сеанса.
Заявление
Где есть AS (серверы приложений), MRF (функция медиаресурсов) и HSS (сервер домашнего абонента).
Злоупотребление сервисом
Влияет на доступность и целостность IMS. Авторизованные пользователи могут использовать службы больше, чем ожидалось, или получить доступ к службам, которые им не разрешены.
Какие услуги предлагает центр
Компания готова оказать разные услуги и помочь в получении сертификатов. К основным услугам центра относится:
Кроме этого, в центре готовы оказать услуги обучения персонала, сертификации конкретной продукции, ИТ-безопасность.
Ключевые факторы перехода к ims
Концепция IP Multimedia Subsystem (IMS) описывает новую сетевую архитектуру, основным элементом которой является пакетная транспортная сеть, поддерживающая все технологии доступа и обеспечивающая реализацию большого числа инфокоммуникационных услуг.
Ее авторство принадлежит международному партнерствуThird Generation Partnership Project (3GPP), объединившему European Telecommunications Standartization Institute (ETSI) и несколько национальных организаций стандартизации.
IMS изначально разрабатывалась применительно к построению мобильных сетей 3-го поколения на базе протокола IP. В дальнейшем концепция была принята Комитетом ETSI-TISPAN, усилия которого были направлены на спецификацию протоколов и интерфейсов, необходимых для поддержки и реализации широкого спектра услуг в стационарных сетях с использованием стека протоколов IP.
В настоящее время архитектура IMS рассматривается многими операторами и сервис-провайдерами, а также поставщиками оборудования как возможное решение для построения сетей следующего поколения и как основа конвергенции мобильных и стационарных сетей на платформе IP.
Причину возникновения концепции IMS именно в среде разработчиков стандартов для мобильных сетей можно объяснить следующим образом.
Как известно, в последние годы операторы стационарных сетей активно поддерживают переход от традиционных телефонных сетей к ССП, связывая с ними определенные надежды на сокращение операционных расходов и капитальных вложений, а также на развитие новых услуг, ожидая, как следствие, существенного повышения доходов.
Естественно, идея построения ССП оказалась привлекательной и для мобильных операторов, которые в последние годы столкнулись с резким падением доходов, что связано, в том числе, и с дерегулированием рынка, ростом конкуренции, тарифными войнами, высоким оттоком абонентов и т. д.
Однако следует признать, что основная технологическая идея ССП – разделение транспортных процессов и процессов управления вызовами и сеансами на базе элементов платформы Softswitch – не была поддержана своевременной разработкой соответствующего набора стандартов.
В сетях мобильных операторов, где одним из основных источников доходов является роуминг, такая несовместимость оказывается куда более значительным недостатком, чем в стационарных сетях. Именно это и определило активность международных организаций (в первую очередь ETSI и 3GPP ), которые начали разработку новых принципов построения и стандартов мобильных сетей 3G, основываясь на уровневой архитектуре ССП.
По существу концепция IMS возникла в результате эволюции сетей UMTS, когда область управления мультимедийными вызовами и сеансами на базе протокола SIP добавили к архитектуре сетей 3G. Среди основных свойств архитектуры IMS можно выделить следующие:
Контроль
Состоит из различных подсистем, среди которых ядро IMS.
Другими важными устройствами на этом уровне являются CSCF (функция управления сеансом вызова), которая включает в себя три подсистемы: P-CSCF (Proxy CSCF), S-CSCF (обслуживающая CSCF) и I-CSCF (запрашивающая CSCF). Эти подсистемы отвечают, в основном, за: обработку и маршрутизацию сигнализации; для управления ресурсами транспортной подсистемы, для регистрации и аутентификации пользователей; предоставление услуг IMS путем перенаправления рассматриваемых серверов приложений сигнализации и создания учетных записей.
MRF (функция медиаресурсов) предоставляет функции, связанные с медиа, такие как манипулирование медиа и воспроизведение тонов и объявлений. Каждый MRF делится на MRFC (функциональный контроллер медиаресурсов) и MRFP (функциональный процессор медиаресурсов).
Платное мошенничество
Атака на бухгалтерию. Злоумышленник может подделать UE и отправить запрос Bye в CSCF. CSCF будет думать, что сеанс завершен, и прекратит учет в это время, когда UE не освобождает медиапотоки. Это означает, что UE продолжает обмениваться потоками без подсчета. Эту угрозу называют кражей медиа, и используют слабость в отсутствии эффективного контроля медиапотоков.
Плоскость управления
Уровень управления — это совокупность функций IMS, которые осуществляют все действия по управлению сеансами связи.
Основные элементы:
- CSCF (Call Session Control Function)– элемент с функциями управления вызовами и сеансами. Функция CSCF является основной на плоскости управления IMS -платформы. Модуль CSCF, используя протокол SIP, выполняет функции, обеспечивающие доставку множества услуг реального времени посредством транспорта IP. Функция CSCF использует динамическую информацию для эффективного управления сетевыми ресурсами (граничные устройства, шлюзы и серверы приложений) в зависимости от профиля пользователей и приложений. Модуль CSCF включает три основных функции:
- S-CSCF обеспечивает управление сеансами доставки мультимедийных сообщений транспорта IP, включая регистрацию терминалов, двустороннее взаимодействие с сервером HSS (получение от него пользовательских данных), анализ сообщения, маршрутизацию, управление сетевыми ресурсами (шлюзами, серверами, пограничными устройствами) в зависимости от приложений и профиля пользователя;
- P-CSCF создает первую контактную точку на сигнальном уровне внутри ядра IMS для терминалов IMS данной сети. Функция P-CSCF принимает запрос от или к терминалу и маршрутизирует его к элементам ядра IMS. Обслуживаемый терминал пользователя закрепляется за функцией P-CSCF при регистрации в сети на все время регистрации. Модуль P-CSCF реализует функции, связанные с аутентификацией пользователя, формирует учетные записи и передает их в сервер начисления платы. Одним из элементов модуля P-CSCF является Policy Decision Function (PDF) – функция выбора политики, оперирующая с характеристиками информационного трафика (например, требуемая пропускная способность) и определяющая возможность организации сеанса или его запрета, необходимость изменения параметров сеанса и т. д.;
- I-CSCF создает первую контактную точку на сигнальном уровне внутри ядра IMS для всех внешних соединений с абонентами данной сети или визитными абонентами, временно находящимися в сети. Основная задача модуля I-CSCF – идентификация привилегий внешнего абонента по доступу к услугам, выбор соответствующего сервера приложений и обеспечение доступа к нему;
- BGCF (Breakout Gateway Control Function) – функция управления шлюзами, управляет пересылкой вызовов между доменом коммутации каналов (ТфОП или GSM) и сетью IMS. Данный модуль осуществляет маршрутизацию на основе телефонных номеров и выбирает шлюз в домене коммутации каналов (КК), через который сеть IMS (где расположен сервер BGCF) будет взаимодействовать с ТфОП или GSM. Здесь также производится генерация соответствующих учетных записей для начисления платы абонентам сетей КК;
- MGCF (Media GatewaysControl Function) – функция управления шлюзами (Media Gateways) – управляет соединениями в транспортных шлюзах IMS, используя Н.248/MEGACO;
- SGW (Signaling Gateway) – сигнальный шлюз – обеспечивает преобразование сигнализации ТфОП в вид, понятный MGCF. Связан с ядром IMS через интерфейсы группы протоколов SIGTRAN;
- RACS (The Resource and Access Control) – подсистема управления ресурсами и доступом – обеспечивает функции управления доступом (на основании имеющихся в распоряжении ресурсов, местной политики и авторизации на основании профилей пользователей) и входа в сеть с помощью управления шлюзом (gate control), включая управление преобразованием сетевых адресов и портов, и присвоение приоритета;
- PDF (Policy Decision Function) – функция выбора политики, оперирующая с характеристиками информационного трафика (например требуемая пропускная способность) и определяющая возможность организации сеанса или его запрета, необходимость изменения параметров сеанса и т. д.;
- NASS (Network Attachment Subsystem) – подсистема подключения сети – в ее основные задачи входит динамическое назначение IP-адресов (используя DHCP – Dynamic Host Configuration Protocol), аутентификация на уровне IP, авторизация доступа к сети, управление местонахождением на уровне IP.
При чем тут nfv?
Про то, что такое NFV
. Как же связаны Network Functions Virtualization и MCPTT? Для операторов связи запуск VoLTE – это второй шаг после построения самой сети LTE. Но у большинства операторов отсутствует IMS. Возникает естественное желание минимизировать денежные и трудовые затраты.
Разворот виртуальной среды и запуск на ней необходимых элементов IMS в виде виртуальных сетевых функций (VNF) позволяет быстро достичь желаемого. Также хорошо виртуализируются и другие сетевые функции, например, HSS или PCRF. И если у оператора они отсутствуют, их виртуализация вполне логична.
Так что для NFV нашлось еще одно достойное применение – MCPTT service!
Примеры проектов, где используется пмр
Несмотря на наличие примеров, для проектов ПМР есть существенное ограничение. В России, как известно, взят курс на импортозамещение оборудования, а в такой важной для государства области, как ПМР, требования к комплектующим только ужесточаются. Но зачастую невозможно найти замену даже производителям оборудования для обычных мобильных сетей связи (таким как Huawei, Ericsson, Nokia), а для ПМР проблема стоит еще более остро. Не говоря уже о специализированных терминалах, выбор которых крайне ограничен.
Происхождение ims
Первоначально определенное 4G.IP (набор компаний, принадлежащих к телекоммуникационному сектору), именно 4G (проект партнерства третьего поколения) окончательно принял определение IMS как часть системы стандартизации 4G в сетях UMTS (Универсальная система мобильной связи). , указанные в Релизах 5 и 6.
Процесс регистрации
Прежде чем пользователь сможет получить доступ к службам IP-мультимедиа, он должен зарегистрировать хотя бы один IMPU (общедоступный идентификатор IP-мультимедиа), например номер телефона. Затем сеть IMS должна аутентифицировать IMPI (IP Multimedia Private Identity) в приложении.
Процесс регистрации инициируется терминалом IMS, отправляющим сообщение SIP REGISTER в P-CSCF, направленное его IMPI и IMPU. Это сообщение достигает P-CSCF и пересылает сообщение в I-CSCF. I-CSCF отправляет запрос аутентификации сообщения DIAMETER пользователю, который отправил сообщение REGISTER, DIAMETER UAR, на HSS, который отвечает другим сообщением DIAMETER UAA и параллельно с I-CSCF сообщает направление S-CSCF, назначенное пользователю.
Затем I-CSCF пересылает регистрационное сообщение в S-CSCF, который, в свою очередь, отправляет сообщение DIAMETER MAR, включая IMPI, который используется HSS для вычисления вектора аутентификации (AV) и генерирует пятерку <RAND, AUTN, XRES , CK, IK>
и возвращает S-CSCF в пятикратном порядке через сообщение DIAMETER MAA. Это сообщение указывает на то, что сеть запрашивает, чтобы терминал использовал свои алгоритмы безопасности для аутентификации. Затем S-CSCF отправляет сообщение SIP 401 Unauthorized, сопровождаемое четырьмя из пяти параметров, составляющих AV, в I-CSCF, который пересылает сообщение в P-CSCF.
Опять же, P-CSCF пересылает сообщение на UE, но оставляет ему только два параметра: RAND и AUTN. Поскольку терминал имеет тот же секретный ключ, что и соответствующий HSS, пользователь может вычислить AUTN. Если он совпадает с полученным из сети, сеть считается законной.
UE также вычисляет свой ответ RES, который отправляется другому сообщению SIP REGISTER с IMPI и ARPU. Это сообщение достигает P-CSCF, который пересылает I-CSCF. После того, как I-CSCF отправляет DIAMETER UAR на HSS, который отвечает адресом S-CSCF через сообщение DIAMETER UAA.
Затем I-CSCF пересылает регистрационное сообщение с RES на S-CSCF. Последний отправляет сообщение DIAMETER SAR на HSS, который отвечает DIAMETER SAA. Если параметр RES, отправленный пользователем, равен тому, что XRES рассчитал HSS во время первой попытки регистрации, то HSS аутентифицирует пользователя с помощью сообщения DIAMETER SAA.
Обеспечивается поддержка конфиденциальности сообщений SIP между UE и P-CSCF посредством использования.
Различия
Оценив списки функций в обеих архитектурах, можно заметить, что состав функций практически не отличается. Можно было бы заключить, что обе архитектуры почти тождественны. Это верно, но только отчасти: они идентичны в архитектурном смысле. Если же разобрать содержание каждой из функций, то обнаружатся значительные различия в системах Softswitch и IMS.
Например, функция CSCF: из ее описания уже видно отличие от аналогичных функций в Softswitch. К тому же если в архитектуре Softswitch функции имеют довольно условное деление и описание, то в документах IMS дается жесткое описание функций и процедур их взаимодействия, а также определены и стандартизированы интерфейсы между функциями системы.
Различие начинается с основной концепции систем.
Softswitch – это в первую очередь оборудование конвергентных сетей. Функция управления шлюзами (и соответственно протоколы MGCP/MEGACO) является в нем доминирующей (протокол SIP для взаимодействия двух Softswitch/ MGC).
IMS проектировалась в рамках сети 3G, полностью базирующейся на IP. Основным ее протоколом является SIP, позволяющий устанавливать одноранговые сессии между абонентами и использовать IMS лишь как систему, предоставляющую сервисные функции по безопасности, авторизации, доступу к услугам и т.д.
Также к особенностям IMS относится ориентированность на протокол IPv6: многие специалисты считают, что популярность IMS послужит толчком к затянувшемуся внедрению шестой версии протокола IP.
Но пока это представляет некоторую проблему: сети UMTS поддерживают и IPv4 и IPv6, в то время как IMS – как правило, только IPv6. Поэтому на входе в IMS -сеть необходимо наличие шлюзов, преобразующих формат заголовков и адресную информацию. Эта проблема присуща не только IMS, но и всем сетям IPv6.
Продолжая тему проблем IMS, следует сказать о протоколе SIP. Дело в том, что SIP разработан и специфицирован комитетом IETF, но для использования в IMS он был частично доработан и изменен. В результате может возникнуть ситуация, когда при получении запросов SIP или отправке их во внешние сети подфункция S-CSCF может обнаружить отсутствие поддержки соответствующих расширений протокола SIP и/или отказать в установлении соединения, а также обработать его некорректно.
Одной из сильных сторон подхода IPCC в настоящее время является его распространенность: в мире существует множество сетей, пошедших по этому пути развития, и уже накоплен обширный опытный материал по внедрению SoftSwitch-архитектур.
Большое количество поддерживаемых технологий дает возможность оператору подобрать оборудование, наиболее отвечающее его требованиям и позволяющее оптимальным образом взаимодействовать с уже имеющимися сетевыми ресурсами. SoftSwitch-решения относительно легко масштабировать, начиная с простейшей архитектуры, обслуживающей корпоративный сектор, и заканчивая крупномасштабными проектами межрегионального оператора.
Таким образом, оператор может минимизировать первоначальные вложения в сеть ССП. Эта же особенность позволяет оператору, создающему крупномасштабный проект, использовать новые сетевые ресурсы (и, следовательно, получать прибыль) сразу после их установки.
Однако у решения IPCC есть и другая сторона. Многообразие оборудования, представленного в данном сегменте рынка, порождает проблему его совместимости. Многочисленные центры по обеспечению системного взаимодействия помогают решить ее лишь отчасти, так как зачастую тесты не успевают за обновлением версий программного обеспечения и не могут охватить все возможные комбинации устройств, работающих в сетях операторов.
Это также порождает более широкую проблему взаимодействия операторов друг с другом и сводит на нет предусмотренные многими технологиями возможности по обеспечению мобильности пользователя и услуг. Некоторые производители оборудования предоставляют фирменные системы управления сетью, которые не всегда корректно и полноценно работают с оборудованием сторонних поставщиков при его интеграции в сеть оператора, поскольку имеются отличия не только в реализации, но и в функциональности многих систем.
В IMS частично сглаживаются проблемы совместимости оборудования, поскольку взаимодействие функциональных модулей регулируется стандартами. Новый подход к предоставлению услуг оказался чрезвычайно удачным и обеспечил роуминг услуг, что должно принести дополнительную прибыль оператору.
Использование в проводных сетях ССП и мобильных сетях 3G единообразной системы IMS позволяет видеть в перспективе возможность конвергенции фиксированных и мобильных сетей — идеи, набирающей популярность по всему миру, подтверждением чему является постоянное увеличение участников FMCA (Fixed-Mobile Convergence Alliance) – международного объединения крупнейших операторов связи.
Слежка за сетью
Нарушение конфиденциальности. Без защиты с помощью SSL / TLS или IPSec злоумышленнику будет легко перехватить трафик сигналов SIP и RTP (транспортный протокол реального времени) с помощью таких инструментов, как Wireshark .
Смягчено
Чтобы смягчить эти атаки на сеть IMS, необходимо выполнить следующее:
- Абонентский доступ к сети IMS со строгой аутентификацией.
- Сетевая безопасность: поток, которым обмениваются клиенты и серверы приложений, должен быть защищен.
- Системы и приложения должны быть защищены.
Сравнение softswitch и ims
Архитектуры Softswitch и IMS имеют уровневое деление, причем границы уровней проходят на одних и тех же местах. Для архитектуры Softswitch изображены в первую очередь устройства сети, а архитектура IMS определена на уровне функций.
Стандартизация ims
Стандартизация архитектуры IMS является предметом внимания широкого круга международных организаций, благодаря ключевой роли IMS в эволюции сетей в направлении к ССП.
Партнерство 3GPP было создано в конце 1998 г. по инициативе института ETSI с целью разработки технических спецификаций и стандартов для мобильных сетей связи 3-го поколения (сетей UMTS), базирующихся на развивающихся сетях GSM.
Партнерство 3GPP2 появилось в 1998 г. также по инициативе ETSI и Международного союза электросвязи (МСЭ) для разработки стандартов сетей 3G (сети CDMA-2000) в рамках проекта IMT-2000, созданного под эгидой МСЭ.
Оно было образовано практически теми же организациями, что и в случае 3GPP. Основным вкладом организации 3GPP2 в развитие стандартов для мобильных сетей 3G явилось распространение концепции IMS на сети CDMA2000 (IP-транспорт, SIP-сигнализация), описанное в спецификации под общим названием MultiMedia Domain (MMD).
Оба партнерства разрабатывают стандарты сетей 3G, ориентируясь на широкое применение IP-ориентированных протоколов, стандартизованных Комитетом IETF, и используя основные идеи архитектуры ССП.
Впервые концепция IMS была представлена в документе 3GPP Release 5 (март 2002 г.). В нем была сформулирована основная ее цель – поддержка мультимедийных услуг в мобильных сетях на базе протокола IP – и специфицированы механизмы взаимодействия мобильных сетей 3G на базе архитектуры IMS с беспроводными сетями 2G.
Архитектура сетей 3G в соответствии с концепцией IMS имеет несколько уровней (плоскостей) с разделением по уровням транспорта, управления вызовами и приложений. Подсистема IMS должна быть полностью независима от технологий доступа и обеспечивать взаимодействие со всеми существующими сетями – мобильными и стационарными, телефонными, компьютерными и т. д.
В документе 3GPP Release 6 (декабрь 2003 г.) ряд положений концепции IMS был уточнен, добавлены вопросы взаимодействия с беспроводными локальными сетями и защиты информации (использование ключей, абонентских сертификатов).
В релизах 6 и 7 определена идеология осуществления IP-коммуникаций посредством SIP. В соответствии с ней SIP начинается непосредственно с мобильного терминала.
Спецификация Release 7 добавляет две основные функции, которые являются ключевыми в стационарных сетях:
Работы, направленные на расширение концепции IMS на стационарные сети, проводятся Комитетом TISPAN. Интерес к архитектуре IMS со стороны ETSI привел к созданию новой рабочей группы (2003 г.), объединившей известную группу TIPHON (Telecommunications and Internet Protocol Harmonization Over Networks)
Новая группа, получившая название TISPAN (Telecommunications and Internet converged Services and Protocols for Advanced Networking), отвечает за стандартизацию современных и перспективных конвергируемых сетей, включая VoIP и ССП, а также все, что связано с архитектурой IMS.
Транспорт
Состоит из UE (оборудования пользователя), сети доступа, NASS (подсистемы сетевых подключений) и RACS (подсистемы управления доступом к ресурсам). Транспортировка сети выполняется с использованием IPv6 или IPv4, что позволяет реализовать QoS , интегрированную безопасность, автоконфигурацию…
Уровень приложений
Верхний уровень эталонной архитектуры IMS содержит набор серверов приложений, которые, в принципе, не являются элементами IMS. Эти элементы верхней плоскости включают в свой состав как мультимедийные IP-приложения, базирующиеся на протоколе SIP, так и приложения, реализуемые в мобильных сетях на базе виртуальной домашней среды.
Архитектура приложений IMS достаточно сложна, но ключевым моментом здесь является высокая гибкость при создании новых и интеграции с традиционными приложениями. Например, среда пересылки сообщений может интегрировать традиционные свойства телефонного вызова, например обратный вызов и ожидание вызова, с вызовом Интернет.
- SCIM (Service Capability Interaction Manager) – обеспечивает управление взаимодействием плоскости приложений и ядра IMS ;
- SIP AS (SIP Application Server) – сервер приложений, служащий для выполнения услуг, базирующихся на протоколе SIP. Ожидается, что все новые услуги в IMS будут находиться именно в сервере SIP AS;
- OSA-SCS (Open Service Access – Service Capability Server) – сервер возможных услуг, который обеспечивает интерфейс к услугам, базирующимся на открытом доступе услугам (OSA – Open Service Access). Целью является обеспечение услугам возможности доступа к сетевым функциям посредством стандартного программного интерфейса приложений;
- IM-SSF (IP Multimedia – Service Switching Function) – сервер коммутации услуги, служит для соединения подсистемы IMS с услугами в системе приспособленных к пользователю приложений для улучшения логики мобильной сети (CAMEL – Customized Applications for Mobile network Enhanced Logic). Речь идет об услугах, разработанных для глобальной системы мобильной связи GSM, а с помощью функции IM-SSF (функция коммутации услуг) использование данных услуг возможно и в IMS ;
- TAS (Telephony Application Server) – сервер телефонных приложений принимает и обрабатывает сообщения протокола SIP, а также определяет, каким образом должен быть инициирован исходящий вызов. Сервисная логика TAS обеспечивает базовые сервисы обработки вызовов, включая анализ цифр, маршрутизацию, установление, ожидание и перенаправление вызовов, конференц-связь и т. д. TAS также обеспечивает сервисную логику для обращения к медиасерверам при необходимости воспроизведения оповещений и сигналов прохождения вызова. Если вызов инициирован или терминирован в ТфОП, сервер TAS отвечает за сигнализацию SIP к функции MGCF для выдачи команды медиашлюзам на преобразование битов речевого потока TDM (ТфОП) в поток IP RTP и направление его на IP-адрес соответствующего IP-телефона. В одном сообщении IMS могут содержаться данные о нескольких TAS, предоставляющих определенные услуги различным типам абонентских устройств. Например, один сервер TAS оказывает услуги IP Centrex (частные планы нумерации, общие справочники, автоматическое распределение вызовов и т. д.), другой сервер поддерживает УАТС и предоставляет услуги VPN. Взаимодействие нескольких серверов приложений осуществляется посредством сигнализации SIP-I для завершения вызовов между абонентскими устройствами различных классов;
- HSS (Home Subscriber Server) – сервер домашних абонентов – аналогичен элементу сетей GSM – серверу HLR (Home Location Register) – является базой пользовательских данных. Сервер HSS обеспечивает открытый доступ в режиме чтения/записи к индивидуальным данным пользователя, связанным с услугами. Доступ осуществляется из различных точек окончания – таких как телефон, приложения Web и SMS, телевизионные приставки типа set-top box и т. д. В HSS реализуется также функции SLF (Subscription Locator Function), которая определяет положение базы данных, содержащей данные конкретного абонента, в ответ на запрос от модуля I-CSCF или от сервера приложений.
Наконец, в состав сервера HSS входят модули HLR и AuC (Authentication Center) для работы с сетями 2G.
В среде IMS сервер HSS действует как открытая база данных о каждом пользователе и об услугах, задействованных абонентом: на какие услуги подписан пользователь, активизированы ли эти услуги, какие параметры управления были установлены пользователем.
Цикл статей про nfv
Интерфейсы и функциональные блоки NFV (в работе)
Производители и кейсы использования SDN и NFV (планируется)
Готовим NFV в домашних условиях (планируется)
BigData и NFV — есть ли связь? (планируется)
Подводя итог всему выше написанному
IMS сервис так или иначе может самостоятельно управлять устройством, как это написано к пояснению к функции внесения изменений “например, включать или отключать bluetooth”, соответственно то же касается и геолокации. Для избавления от таких сюрпризов достаточно просто запретить сервису менять настройки системы.
Что касается энергопотребления, то по наблюдениям очевидцев (и по своим собственным) отключение принудительной регистрации IMS к какой-то заметной экономии энергии не приводит, а некоторые товарищи отмечают увеличение потребления (факт!)
Так что, при нормальной работе сервиса, нет никакой необходимости проводить с ним какие бы то ни было манипуляции. В 99% случаев манипуляции с ним только ухудшают работу устройства.
P.S. Некоторые пользователи HTC отмечали неполадки в работе IMS Service на своих устройствах, возникали проблемы с сетью, увеличивался расход энергии. Однако, эти неполадки были решены выпуском обновлений для их телефонов. Если вы наблюдаете у себя подобные проблемы – попробуйте обновить ПО смартфона до последней версии.
