中國電信股份有限公司淮安分公司 王之順

IP多媒體子系統(tǒng)分組視頻實(shí)現(xiàn)及鑒權(quán)分析

中國電信股份有限公司淮安分公司 王之順

摘要：對(duì)基于IMS（IP多媒體子系統(tǒng)）的PSVT（分組視頻）業(yè)務(wù)進(jìn)行分析，討論了業(yè)務(wù)的特性和業(yè)務(wù)實(shí)現(xiàn)組網(wǎng)方案，并對(duì)該業(yè)務(wù)的鑒權(quán)流程進(jìn)行了分析討論。該業(yè)務(wù)的部署，將給用戶提供更豐富的業(yè)務(wù)體驗(yàn)，增強(qiáng)運(yùn)營商業(yè)務(wù)競爭能力。

關(guān)鍵詞：多媒體子系統(tǒng)；分組交換；視頻電話

0 引言

PSVT（分組交換視頻電話）業(yè)務(wù)，是基于EV-DO RevA（evolution-data only A版本）分組網(wǎng)絡(luò)以及基于IMS（IP多媒體子系統(tǒng)）的控制系統(tǒng)實(shí)現(xiàn)的兩個(gè)可視移動(dòng)終端之間的實(shí)時(shí)雙工音視頻通信業(yè)務(wù)。由于CDMA（碼分多址）不支持電路域的視頻電話，只支持分組域視頻電話，所以對(duì)于電信企業(yè)而言，PSVT技術(shù)能更好地提供移動(dòng)視頻電話業(yè)務(wù)。

PSVT業(yè)務(wù)是業(yè)界公認(rèn)的3G標(biāo)志性業(yè)務(wù)之一，它也可以作為4G LTE（長期演進(jìn)）網(wǎng)絡(luò)下的擴(kuò)展業(yè)務(wù)，屬于對(duì)稱性的實(shí)時(shí)多媒體應(yīng)用，EV-DO RevA在反向容量的大幅提升，多業(yè)務(wù)流支持、低時(shí)延接入、低時(shí)延傳輸和快速切換等特點(diǎn)都很好地保證了視頻業(yè)務(wù)質(zhì)量。它能充分利用IP視頻壓縮技術(shù)，對(duì)靜止或變化圖像大大壓縮占用的帶寬，節(jié)省的帶寬可以供其他業(yè)務(wù)。IMS網(wǎng)絡(luò)作為最新的核心網(wǎng)，它的協(xié)議擴(kuò)展性好，可以支持多種SIP-AS（基于會(huì)話初始協(xié)議應(yīng)用服務(wù)器）接入和多媒體業(yè)務(wù)的融合嵌套，可以更好地讓PSVT業(yè)務(wù)和其他多媒體業(yè)務(wù)進(jìn)行結(jié)合，是公認(rèn)的支持PSVT業(yè)務(wù)較好的架構(gòu)。

目前PSVT業(yè)務(wù)需要進(jìn)行終端定制，無需用戶登錄客戶端，需要支持SIP，以完成和IMS網(wǎng)絡(luò)的交互。終端需要設(shè)置BAC（邊緣接入控制）域名，實(shí)現(xiàn)BAC發(fā)現(xiàn)功能。PSVT最基本的支持點(diǎn)對(duì)點(diǎn)視頻電話，接通后，雙方可以看到對(duì)方的音頻和視頻。當(dāng)視頻呼叫失敗時(shí)，提示或者自動(dòng)轉(zhuǎn)語音呼出。能同時(shí)看到本端和遠(yuǎn)端的視頻并可以切換本端和遠(yuǎn)端圖像。

1 PSVT業(yè)務(wù)實(shí)現(xiàn)

目前江蘇電信IMS采取大區(qū)組網(wǎng)，全省分為華為、中興兩個(gè)大區(qū)。每個(gè)大區(qū)如CSCF（呼叫會(huì)話控制功能）、HSS（歸屬用戶服務(wù)器）、ENS（E.164域名服務(wù)）、MRFP（多媒體資源功能處理器）、MRFC（多媒體資源功能控制器）、計(jì)費(fèi)網(wǎng)關(guān)等集中部署，有兩套BAC（邊界會(huì)話控制）為分組域漫游BAC集中建設(shè)，其余BAC為固定終端接入按本地網(wǎng)部署，全省集中建設(shè)一套貝爾融合視頻AS（應(yīng)用服務(wù)器）。

VT（視頻）用戶通過省內(nèi)的PDSN（分組數(shù)據(jù)交換網(wǎng)）設(shè)備接入到分組域BAC，再通過BAC接入到CSCF。BAC實(shí)現(xiàn)SIP信令代理功能，保證IMS核心網(wǎng)的安全。計(jì)費(fèi)網(wǎng)關(guān)負(fù)責(zé)收集會(huì)話控制服務(wù)器、AS的計(jì)費(fèi)數(shù)據(jù)，生成VT業(yè)務(wù)的CDR（呼叫記錄）。PSVT業(yè)務(wù)系統(tǒng)基于CN2（下一代承載網(wǎng)）網(wǎng)絡(luò)承載，采用獨(dú)立的VPN（虛擬專用網(wǎng)絡(luò)）方式，與CTWAP（電信無線應(yīng)用協(xié)議）網(wǎng)絡(luò)隔離。

當(dāng)用戶發(fā)起PSVT呼叫時(shí)，信令經(jīng)過RAN（無線接入網(wǎng)絡(luò)）和PDSN，通過IP網(wǎng)絡(luò)進(jìn)入IMS核心網(wǎng)，之后的呼叫流程和IMS基本呼叫流程相同，只是根據(jù)主叫和被叫是否簽約VT業(yè)務(wù)，選擇是否觸發(fā)VT-AS，VT-AS主要負(fù)責(zé)視頻通話的業(yè)務(wù)邏輯并觸發(fā)媒體資源系統(tǒng)放音。而媒體流只經(jīng)過分組域設(shè)備BAC和IP網(wǎng)絡(luò)?；贗MS的PSVT業(yè)務(wù)系統(tǒng)如圖1所示。

2 鑒權(quán)分析

PSVT業(yè)務(wù)鑒權(quán)注冊，涉及到以下網(wǎng)元：AN（接入網(wǎng)）、AAA（認(rèn)證，授權(quán)，計(jì)費(fèi)）、AN-AAA（接入網(wǎng)AAA認(rèn)證服務(wù)器）、PDSN和IMS核心網(wǎng)元。

VT業(yè)務(wù)對(duì)用戶的認(rèn)證鑒權(quán)按順序包括以下3個(gè)步驟：接入網(wǎng)鑒權(quán)、分組業(yè)務(wù)鑒權(quán)和VT業(yè)務(wù)鑒權(quán)。

1）接入網(wǎng)鑒權(quán)。終端開機(jī)后即啟動(dòng)，網(wǎng)絡(luò)對(duì)VT終端進(jìn)行認(rèn)證，通過AN-AAA實(shí)現(xiàn)。由于目前CDMA的UIM（用戶識(shí)別模塊）卡僅支持CAVE（蜂窩認(rèn)證和語音加密）算法，3GPP2（第三代移動(dòng)通信合作計(jì)劃組織2組）在規(guī)范A.S0006中提出了基于CAVE算法的CHAP（點(diǎn)對(duì)點(diǎn)詢問握手認(rèn)證協(xié)議）鑒權(quán)，要求AN-AAA支持CAVE鑒權(quán)算法。基于CAVE算法的鑒權(quán)流程如圖2所示。

UE（用戶設(shè)備）向AN發(fā)起CHAP協(xié)商，AN發(fā)起挑戰(zhàn)，終端響應(yīng)后，AN向AN-AAA發(fā)起接入請求，AN-AAA會(huì)向HLR（歸屬位置寄存器）進(jìn)行認(rèn)證請求，認(rèn)證成功后，HLR發(fā)AuthReq（鑒權(quán)申請消息）響應(yīng)返回，AN收到響應(yīng)后，向終端發(fā)認(rèn)證成功消息。

基于CAVE算法的鑒權(quán)過程需要增加AN-AAA與HLR/AC（接入控制器）之間的IS-41（蜂窩無線通信系統(tǒng)間運(yùn)行建議）信令鏈路，實(shí)現(xiàn)AN-AAA與HLR/AC之間的SSD（共享加密數(shù)據(jù)）動(dòng)態(tài)更新或共享。此時(shí)，AN-AAA完成類似于CDMA 1x核心網(wǎng)電路域中的VLR（拜訪位置寄存器）的功能。

2）分組業(yè)務(wù)鑒權(quán)是PDSN從AAA獲取用戶的權(quán)限信息，分配IP地址的過程。開通VT業(yè)務(wù)時(shí)，需要在AAA中開設(shè)該用戶VT業(yè)務(wù)所對(duì)應(yīng)的不同流的權(quán)限〔包括QoS（服務(wù)質(zhì)量）profile〕。當(dāng)VT終端軟件啟動(dòng)時(shí)，PDSN從AAA獲取與用戶相關(guān)的權(quán)限信息后，完成對(duì)VT用戶身份的鑒權(quán)，給用戶分配IP地址（私有地址）。鑒權(quán)流程見圖3。

終端與PDSN協(xié)商建立PPP（點(diǎn)對(duì)點(diǎn)）連接，PDSN連接AAA實(shí)現(xiàn)分組業(yè)務(wù)鑒權(quán)。PDSN發(fā)送auth/profile request消息，消息里帶有鑒權(quán)請求以及IP地址請求，AAA返回的auth/profile response消息里帶有鑒權(quán)響應(yīng)和分配的IP地址，DNS（域名系統(tǒng)）等信息。創(chuàng)建PPP鏈路成功后，PDSN發(fā)送計(jì)費(fèi)請求，計(jì)費(fèi)請求完畢，終端可以發(fā)起VT業(yè)務(wù)。PDSN另外還有一個(gè)功能就是統(tǒng)計(jì)用戶上網(wǎng)流量或者時(shí)長，按照IMSI（國際移動(dòng)用戶識(shí)別碼）產(chǎn)生計(jì)費(fèi)消息發(fā)送給AAA。

3）VT業(yè)務(wù)鑒權(quán)即IMS網(wǎng)絡(luò)鑒權(quán)，通過HSS（歸屬用戶服務(wù)器）完成VT用戶身份驗(yàn)證。

終端接入VT業(yè)務(wù)系統(tǒng)鑒權(quán)存在以下兩種方案：

HTTP（超文本傳輸協(xié)議）digest（UIM-ID做密碼）鑒權(quán)密碼采用UIM卡內(nèi)的參數(shù)，鑒權(quán)采用用戶移動(dòng)終端內(nèi)的UIM卡內(nèi)的UIM-ID進(jìn)行鑒權(quán)，不需要用戶輸入賬號(hào)密碼，技術(shù)實(shí)現(xiàn)簡單，只需要用戶申請VT業(yè)務(wù)時(shí)，業(yè)務(wù)系統(tǒng)將用戶的UIM-ID寫入HSS即可。但是UIM-ID屬于UIM卡內(nèi)可讀出的參數(shù)，存在可能的安全隱患。

CAVE AKA（認(rèn)證和密鑰協(xié)商）鑒權(quán)采用用戶移動(dòng)終端內(nèi)的UIM卡內(nèi)的非公開參數(shù)AKEY（鑒權(quán)碼）進(jìn)行鑒權(quán)，不需要用戶輸入賬號(hào)密碼，而且安全性非常好，用戶無需換卡即可享受IMS業(yè)務(wù)。但是技術(shù)實(shí)現(xiàn)較復(fù)雜。建網(wǎng)初期可以采用HTTP digest（UIM-ID做密碼）鑒權(quán)方式，隨著設(shè)備成熟，可以采用CAVE AKA方式。

圖4為CAVE AKA方式鑒權(quán)流程。VT業(yè)務(wù)終端在IMS側(cè)的注冊流程和固定終端標(biāo)準(zhǔn)IMS注冊流程相同，需要進(jìn)行二次注冊，第一次注冊SCSCF（服務(wù)呼叫控制功能）通過MAR/MAA（多媒體鑒權(quán)請求/響應(yīng)）到HSS下載鑒權(quán)向量，HSS從HLR獲取AKA鑒權(quán)五元組AUTN（認(rèn)證令牌），rand_AKA（隨機(jī)數(shù)），XRES（期望響應(yīng)），CK（加密密鑰），IK（完整性密鑰）。第二次注冊通過SAR/SAA（服務(wù)分配請求/響應(yīng)）下載用戶service profile（業(yè)務(wù)數(shù)據(jù)）。當(dāng)完成注冊后，SCSCF將會(huì)向視頻業(yè)務(wù)提供的AS進(jìn)行第三方注冊。

3 結(jié)束語

目前電信運(yùn)營商業(yè)務(wù)增長點(diǎn)少，而視頻通話業(yè)務(wù)滿足了用戶的需求，也是能使運(yùn)營商擺脫困境的新業(yè)務(wù)。電路域的視頻通話業(yè)務(wù)技術(shù)成熟，而分組域視頻技術(shù)仍然不是非常完善，在用戶體驗(yàn)、終端等方面還有提升空間。相信隨著業(yè)務(wù)開展，將進(jìn)一步完善各方面的標(biāo)準(zhǔn)和用戶體驗(yàn)，具有廣闊的應(yīng)用前景?！?/p>