IMS技术交流汇.ppt

* * * * * * * * * * Early IMS是针对现阶段一些终端(包括2G设备)或者网络设备不支持标准的IMS安全方案，譬如UE没有ISIM卡，不支持IPV6，不支持IPSec等等而提出的一种临时折中的接入IMS服务的安全机制。Early IMS不会是长久的方案，最终还是要过渡到标准的IMS。 Early IMS安全解决方案是由HSS建立IMPI/IMPU（SIP级标识）和用户在GPRS级别分配的IP地址（承载/网络级标识）之间的安全绑定来实现的。 Early IMS方案假定GGSN不允许UE使用PDP上下文激活时分配的IP地址之外的IP地址发送IP数据包。或者说，GGSN必须限制“source IP spoofing”。同时，也假定P-CSCF检查SIP头中的源IP地址和UE发送的IP头中的源IP地址一致（为提供充分的安全解决方案，在GGSN和P-CSCF之间没有NAT转换。） P-CSCF收到UE的register消息，消息中没有携带Authorization头以及Securiy-Client头字段。 P-CSCF检查UE提供的Via头中的“sent-by”参数。如果“send-by”参数包含域名，或者包含不同于数据报中的源IP地址的IP地址，P-CSCF在Via头中增加“received”参数。该参数包括接收到的数据报中的源IP地址。 * * * * * * * * * IMS用户注册流程 GGSN SGSN IP-CANHome or Visited Network IMS UE S-CSCF HSS P-CSCF I-CSCF SIP-AS Third-Party SIP-ASService Provider1 IMS domainHome Network GGSN SGSN IP-CANHome or Visited Network IMS UE S-CSCF HSS P-CSCF I-CSCF SIP-AS IMS domainHome Network IP backbone Third-Party SIP-ASService Provider1 Operator I Operator X Operator Y Operator II IMS Signaling PDP context IMS Signaling PDP context REGISTER DNS DNS REGISTER REGISTER 注册流程 * * P-CSCF发现流程 2. 在IP-CAN的IP连接建立之后，UE通过DHCP获取P-CSCF的域名和能够解析该域名的DNS 1． 由IP-CAN在IP连接建立时将P-CSCF信息发布给UE。 3. 在UE中配置P-CSCF主机名及IP地址 REGISTER消息 * UE-P-CSCF: REGISTER sip: SIP/2.0 Via: SIP/2.0/UDP [:5060]; branch=z9hG4bKnashds7 Route:sip:;lr Max-Forwards:70 From:sip:A@;tag=pohja To:sip:A@; Contact: sip:[:5060]; ;expires=600000 Call-ID:apb03a0s09dkjdfglkj49111 Cseq:25 REGISTER Content-Length:0 P-CSCF-I-CSCF: REGISTER sip: SIP/2.0 Via: SIP/2.0/UDP ;branch=z9hG4bK240f34.1 Via: SIP/2.0/UDP [:5060]; branch=z9hG4bKnashds7 Max-Forwards:69 From:sip:A@;tag=pohja To:sip:A@; Contact: sip:[:5060]; ;expires=600000 Call-ID:apb03a0s09dkjdfglkj49111 Path: sip:term@;lr *由于IMS禁止S-CSCF直接与UE交互，需要S-CSCF获取P-CSCF地址 Cseq:25 REGISTER Content-Length:0 REGISTER消息 * I-CSCF-S-CSCF: REGISTER sip: SIP/2.0 Via: SIP/2.0/UDP icscf1_;branch=z9hG4bK351g45.1 Via: SIP/2.0/UDP ;branch=z9hG4bK240f34.1 Via: SIP/2.0/UDP [:5060]; branch=z9hG4bKnashds7 Route:sip:;lr Max-Forwards:68 Fr