文档库 最新最全的文档下载
当前位置:文档库 › IMS网络多种鉴权机制的研究 - A Study of Multi-Authentication

IMS网络多种鉴权机制的研究 - A Study of Multi-Authentication

IMS网络多种鉴权机制的研究 - A Study of Multi-Authentication
IMS网络多种鉴权机制的研究 - A Study of Multi-Authentication

IMS网络多种鉴权机制的研究

李阳申铉京廉芳芳(吉林大学计算机科学与技术学院)

摘要:对IMS用户接入的认证鉴权进行分析与研究,介绍了IMS的整体安全体系结构,深入研究剖析了当前四种可能的鉴权方式,包括IMS-AKA鉴权、HTTP Digest鉴权、Early IMS 鉴权和NBA鉴权。在此基础上,依据3GPP相关规定,研究出一种能够支持各种鉴权方式的鉴权协商机制,使IMS的接入无关性迈出关键性一步。

关键词:IMS,鉴权,多种鉴权协商,AKA,安全

中图法分类号:TP319文献标识码:A

A Study of Multi-Authentication Mechanism

of IP Multimedia Subsystem Network

LI Yang, SHEN Xuan_jing, LIAN Fang_fang (Dep. of Computer Science and Technology, JiLin University)

Abstract:The authentication and authorization are analysed and researched when an IMS (IP Multimedia Subsystem) user is accessed in this paper. The IMS security system architecture is introduced firstly, and then the detailed analysis is made about current four kinds of main authentication mode, including IMS-AKA authentication, HTTP Digest authentication, Early IMS authentication and NBA (NASS Bundle Authentication) authentication. In this foundation, according to 3GPP associated regulations, an authentication agreement mechanism is excogitated which can support that four kinds of authentication mode. This makes a critical progress for irrespective access to IMS network..

Key words:IMS,Authentication ,Multi-Authentication Agreement,AKA,Security

1 引言

移动通信中的安全问题正受到越来越多的关注。在模拟蜂窝移动通信系统中基本上没有采用什么安全技术,对用户的信息是以明文传送。尽管2G系统和GPRS系统在安全性方面有了大的进步,但它仍然存在许多不足。例如,鉴权机制是单方面的;加密机制仅应用于无线部分,而在网络内的传输链路仍然是明文传送;只使用一种加密算法等等[1]。3G移动通信系统中的安全技术是在GSM的安全基础上建立起来的,它克服了GSM中的安全问题,并增加了新的安全特性,使得网络的安全性得到了大大提高。IMS(IP Multimedia Subsystem,IP多媒体子系统)网络的出现,对鉴权技术提出了新的要求。IMS网络是一个融合的网络,也就是各种终端都能以各种接入方式接入,由于终端对鉴权算法支持的不同,就需要网络能够支持各种鉴权算法。

2存在多种鉴权算法的必要性

IP多媒体子系统是一个应用层的系统,建立在UMTS分组交换域上,但是却与下层接入技术无关。除了UTRAN和GERAN接入,它还能支持其他的接入技术,比如能够使用无限局域网(WLAN)接入。

为了满足如上各种接入方式,S-CSCF和HSS必须要能够辨别出终端发出的注册消息中使用的鉴权方式,并用该鉴权方式对其鉴权。

3 IMS网络安全体系结构

IMS网络安全体系包括从终端到网络的整个安全过程,整个安全体系如图1[2][4]。

图1 IMS网络安全体系

安全结构依赖于3个主要组成部分:

1、用户域安全,ISIM和HSS以共享密钥的方式相互鉴权协商,以保证用户安全接入。

2、网络接入安全,一个临时的安全环境存在于用户侧的终端设备和网络侧的一个P-CSCF间,它包括IPSec、ESP和SAs等,保护无线接入链路安全。

3、网络域安全,不同的网络节点之间所有控制平面的通信都受到保护。

本论文主要研究第一部分,ISIM和HSS之间的认证鉴权。

4 各种鉴权算法的研究

本文研究的鉴权协商机制支持四种鉴权算法,标准IMS用户的AKAv1-MD5算法、软终端等用户常用的HTTP Digest算法、早期IMS用户使用的Early IMS算法和WLAN用户常用的NBA(NASS Bundle Authentication)算法。

4.1 HTTP Digest算法

HTTP摘要认证是一种基于挑战-响应结构的安全机制。当服务器收到请求消息时,就会向请求的发起者挑战,客户端提供认证信息以实现服务器对其身份的验证。服务器发出的挑战包含生成的临时值nonce,专门用以挑战而产生,只能用于此次挑战中。请求者和服务器共享同一密码,请求者将用户名、密码、nonce值、HTTP方法以及被请求的URI经过hash 算法(一般为HTTP-Digest算法)运算后,得到一个响应值。当请求者再次发送包含这个响应值的请求时,服务器就通过比较两个响应值来对请求进行认证。采用这种机制,使得密码不采用明文形式在网络上发送,提高安全性。

4.2 AKA v1-MD5算法

3G系统执行AKA(Authentication and Key Agreement)协议,在移动台和服务网络之间进行双向鉴权,在互相确认对方身份的基础上生成数据加密密钥CK和数据完整性密钥IK,为下一步的数据传输做准备。

基于USIM卡与AuC共享密钥K,以AKA方式实现相互鉴权[5]。研究这种鉴权方式的论文很多,本文不再赘述。

在IMS网络里,用户的标识称为ISIM(IMS SIM),采用的鉴权算法是AKAv1-MD5,这个算法由3G系统中的AKA算法与HTTP Digest算法有机结合而成,通过把AKA鉴权过程中的XRES当作HTTP Digest鉴权中的密码来完成。

4.3 Early IMS算法

Early IMS终端是指出现在IMS网络以前,但能满足IMS业务的需要,这类终端缺少对USIM和ISIM卡接口的支持,所以不能提供类似AKA的鉴权,缺少了安全性。

因为不可能让所有的early IMS用户一次性都更换UE。因此,对于Early IMS用户,提供一种简单、足够安全的保护机制以避免最有影响的安全威胁是必要的。Early IMS鉴权保证了不支持IMS AKA鉴权的终端能够接入到IMS网络,实现IMS和PS网络的兼容。

对于Early IMS用户,在HSS中保存着SIP层的用户标识IMPU(用户公共身份标识)和GPRS层给用户当前分配的IP地址的绑定关系,Early IMS安全解决方案就是基于这个绑定关系来建立的。正因为这种可靠的绑定关系,如果PS域承载层是安全的,那么就可推导出在IMS信令层上该用户是安全的[6]。

在Early IMS安全体系下,当GGSN收到来自UE的激活PDP上下文请求时,GGSN经过认证后给该UE分配一个IP地址。同时,GGSN把该UE的IMSI、MSISDN和IP地址通过Gi 接口传给HSS,HSS保存这些信息。HSS通过用户开户时的IMSI-IMPI绑定来建立用户IMPI 和其IP地址之间的绑定。当收到来自UE的注册或其他SIP请求的时候,在Early IMS安全体系下,S-CSCF通过比较SIP请求消息中携带的IP地址和HSS中保存的IP地址,来完成鉴权的过程。如果IP地址相同,那么鉴权通过。

4.4 NBA算法

对于早期的固定终端,一般通过WLAN接入,它既不支持AKAv1-MD5鉴权算法也不支持HTTP Digest鉴权算法。为了能满足这类终端接入的IMS网络,使用IMS业务,提出了一种新的鉴权算法,称为NBA算法[3]。这种算法的基本原理就是如果接入层网络NASS认为终端是可信任的,S-CSCF再通过判断NASS给的位置信息是否可信,如果可信,那么服务层的网络IMS就认为该终端是可信任的。

当UE发送注册消息到P-CSCF时,P-CSCF查询CLF功能实体以获取该UE的位置信息。P-CSCF把查询到的位置信息插入到注册消息中,然后把这个注册消息前传到S-CSCF,由S-CSCF对UE进行鉴权。S-CSCF比较收到的注册消息中的位置信息和从UPSF处获得的位置信息,如果二者相同,那么鉴权成功。网络结构如图2。

图2 NASS绑定鉴权结构图

5 各种鉴权算法的协商

本文根据3GPP相关协议的规范和实际开发过程中的需要,研究出一种能够解决四种鉴权算法同时存在的鉴权机制。主要工作过程分如下四步:

第一,S-CSCF收到REGISTER时,该消息中的Authorization header中有“integrity-protected”参数,那么鉴权算法一定是IMS AKA,否则考虑其他算法。

第二,S-CSCF在发送MAR时,如果确定了鉴权算法是IMS-AKA,那么auth-scheme

填写“IMS-AKA”,否则填写“unknown”,同时在MAR中加入IMPI。

第三,HSS发送MAA前,首先根据IMPI过滤,如果该IMPI只有一个鉴权算法,那么就指定该算法;如果该IMPI有多种鉴权算法,且包括IMS-AKA算法,那么就指定IMS-AKA;否则指定所有可能算法,都通过MAA发给S-CSCF。

最后,S-CSCF收到MAA后,如果鉴权算法唯一,使用该算计执行鉴权;否则,如果Early IMS/NBA可用,使用该两种方式鉴权;如果Early IMS/NBA不可用或失败,考虑HTTP Digest算法。

6 结论

移动通信系统的认证和鉴权在整个系统的安全体系结构中处于一个非常重要的位置。IMS网络的认证和鉴权机制是在兼容2G和3G网络的同时,考虑到各种不同接入带来的不同鉴权方式,研究出一种各种鉴权算法的协商机制,提高了IMS网络的整体安全性。本文的鉴权协商只考虑了当前的四种鉴权方式,如果以后又出现其他的鉴权方式,还应继续研究,并逐渐形成规范。

本文作者的创新点是:1、IMS网络中,针对各种不同接入带来的不同鉴权方式,研究出一种鉴权算法的协商机制,使得各种接入鉴权算法都可用于IMS网络,这为IMS网络的整体安全性和接入无关性向前推进了重要一步。2、改进HTTP Digest鉴权方式,使其像AKA 鉴权那样能够支持IPSec,增加其安全性。

参考文献:

[1] 赵丽萍. “GPRS移动通信网络安全策略研究” .微计算机信息.vol2.2004。

[2] 3GPP ORGANISATION. 3GPP TS 33203 V7.1.0. 3GPP.2006。

[3] ETSI ORGANISATION. ETSI ES 282001 V1.1.1. ETSI.2006。

[4] 3GPP ORGANISATION. 3GPP TS 23228 V6.14.0. 3GPP.2006。

[5] 3GPP ORGANISATION. 3GPP TS 33102 V7.0.0. 3GPP.2006。

[6] 3GPP ORGANISATION. 3GPP TS 33878 V1.0.0. 3GPP.2006。

作者简介:

1、李阳(1981-),男,满族,吉林大学计算机应用技术专业硕士研究生,研究方向:主要研究方向IMS网络及其安全,通信地址:吉林大学前卫校区南苑六舍318寝室(廉芳芳收),邮编:130012,

2、申铉京(1958-),男,朝族,教授,博士生导师,吉林大学计算机科学与技术学院,研究方向:主要研究方向为网络安全和图象处理;

3、廉芳芳(1982-),女,蒙古族,吉林大学计算机应用技术专业硕士研究生,研究方向:移动智能网络、3G核心网,

Biography:

1、LI Yang(1981-),Male,Manchu,Master of Computer Science, JiLin University, China,

E_mail: liyangln@https://www.wendangku.net/doc/0111437457.html,;

2、SHEN Xuan_jing(1958-),Male,Korean,Professor, Doctor Tutor, Dep. of Computer

Science and Technology, JiLin University, China;

3、LIAN Fang_fang(1982-),Female,Mongolian,Master of Computer Science, JiLin

University, China, E_mail: gaiyalff@https://www.wendangku.net/doc/0111437457.html,.

SensaphoneIMS-4000机房环境监控系统解决方案-广州置信机电教案资料

Sensaphone IMS-4000机房环境监控系统解决方案 广州置信机电科技有限公司 2008年1月

随着信息技术的发展和普及,计算机系统及通信设备数量与日俱增,规模越来越大,中心机房、计算机系统和通讯网络已成为各大单位业务管理的核心部分。为保证其安全正常运行,与之配套的机房动力系统、环境系统、消防系统、保安系统必须时时刻刻稳定协调工作。如果机房动力及环境设备出现故障,轻则影响电脑系统的运行,重则造成计算机和通信设备报废,使系统陷入瘫痪,后果不堪设想。因此对中心机房的动力及环境系统进行实时集中的监控极其必要。 随着计算机及网络设备的普及化,计算机及网络系统对企业的重要性愈来愈高,其配套的环境设备也日益增多。因此,机房的管理及监控是现代计算机及网络通信机房非常重要的一个环节。 IMS-4000是专为现代计算机及网络通信机房而设计的远程环境及网络监控报警系统。IMS-4000 除可监视机房内的环境参数外,更可监控网络上的IP设备。它可通过多种不同的通信方式发送报警信息。而且IMS-4000 已结合了网页服务器及电邮服务器的功能,用户可方便地在互联网或通过电子邮件得到机房的信息。 IMS-4000实现了机房集中分布式监控和智能化专家管理,在电信、金融、海关、税务、电力、公安、交通等许多行业的机房中得到良好的应用,其系统设计先进、运行稳定、操作方便获得用户一致好评。 1. 系统介绍 SensaphoneIMS-4000 远程环境与网络监控报警系统将改变计算机、网络机房的监控方式,包括环境条件和网络设备,系统将会随时告知机房状态,例如:温度、湿度、电压、漏水、服务器、UPS故障等。IMS 将及时地通知任何的被发现的问题,方式有:电话、传真机、传呼机、E-Mail等。主要功能: 1台IMS主机可扩展31个IMS副机。 每主机有8个传感器输入,以检测环境条件。 10 M网络端口与网络设备连接。 本地的配置RS-232 串联端口。 不间断的后备电池组。 噪音探测的麦克风。 允许机架、挂壁或桌面安装。 ConsoleView 软件设计,处理IMS系统。 1.1. 环境监控 IMS-4000可监控机房的各项环境参数,包括温度、湿度、烟雾报警、声音、漏水、门禁、红外线感应、电源及其它设备,如空调、UPS的报警等。IMS-4000更细微到检测机柜内、服务器、散热器或特定设备的温度,比监控空调设备或房间温度更准确。 1.2. IP网络设备监控与服务

《解决方案-中国移动CM-IMS 接入解决方案-小区类2021》

《解决方案-中国移动CM-IMS 接入解决方 案-小区类(xx0119)》 第一篇:解决方案-中国移动cm-ims接入解决方案-小区类(xx0119)中国移动cm-ims接入解决方案-宽带小区类 需求分析 xx年电信重组后,中国移动由于固网短板明显,因此中国移动希望通过引入ims实现固定话音接入和业务控制,提供多媒体类和融合类业务能力,为全业务运营尤其是政企客户的争夺奠定坚实的基础。 中国移动将在其固网和多媒体、流媒体网络的部署上,跨过传统固定软交换和传统iptv、会议电视方案,直接采用ims技术部署宽带固定语音、高清会议电视和imsbasediptv,一步到位地构建目标网络,实现网络融合。 中国移动早在几年前就开始了ims的研究,并在国际标准基础上创新性地提出cm-ims,cm-ims已经成为中国移动实现网络和业务融合的重要解决方案。中国移动希望通过将ims和移动互联网结合,为用户提供更加丰富的多媒体业务。cm-ims将ims网络和业务能力开放给互联网用户,并使其融入web2.0的生态环境,以提供通信网络与互联网的混搭应用,开拓新的业务领域,增加新的收入。一旦中国移动ims实现全国范围内部署,将成为全球最大规模的ims商用网络。 在小区接入方面,由于历史原因,中国电信和中国联通在该细分市场有较大优势,同时具有国内最大规模的pstn电话网。那么中国移动若想切入该市场,则中国移动给用户提供的通信体验必须有别于

传统的固化业务。 出于以上情况,迈普公司针对cm-ims部署环境中,宽带小区类这一细分市场,为中国移动提供专业的优质的ims接入解决方案,助力中国移动在家庭多媒体融合通信市场竞争中占取有力位置,成为ims运营市场领跑者。 方案介绍 图1cm-ims宽带小区接入网络拓扑 方案说明 随着ip技术的不断完善,与传统pstn电话网相比,voip在用户体验、融合能力、建设成本、运维管理等多方面都有着无法比拟的优势,尤其是面向未来的融合通信上更是传统pstn电话无法做到的。因此本文提出基于sip的中国移动cm-ims的小区语音接入方案。 在用户侧,对于老小区改造可以使用原有楼宇的布线系统,放置迈普ippbx设备连接住户放号,或者使用迈普ippbx设备替换原有传统pbx再连接住户进行放号。 对于新建小区,由于接入的终端多为模拟电话机,同样可以使用传统电话线布线方法,每户电话接入迈普ippbx。同时可以将ippbx 接入小区局域网络,为未来连接sip电话预留扩展能力,此时迈普语音设备角色由ippbx转化为sip控制服务器,从而为未来扩展业务内容提供良好的网络环境。 中国移动上联线路可以根据环境不同,可使用多种接入方式,但目前最常用的是直接通过ip线路连接中国移动城域网再接入移动ims

2G3G4G系统中鉴权与加密技术演进

2G/3G/4G系统鉴权与加密技术演进 学院:电子信息学院 班级:12通信B班 学生:周雪玲 许冠辉 黄立群 指导老师:卢晶琦 完成时间:2015.04.19

【摘要】 本文研究容主要是几大网络的安全机制。这项研究是颇具现实意义的,因为一个网络的安全性直接关系到用户和网络运营商本身的利益。保证合法的用户获取服务和网络正常的运营,保证用户的信息完整、可靠的传输,实现通信,要求有一套缜密的安全机制,这是对网络和服务的更高层次的要求,也是现如今颇受关注的话题。本文主要研究容是WCDMA、LTE 的安全机制,为了更好地了解WCDMA 的安全机制必须溯源到GSM的鉴权机制,从对比和演进的角度来看待这三种网络的安全机制的特点。 【关键词】GAM,3G,LTE,鉴权与加密

目录 1、概述 (4) 1.1移动通信系统中鉴权和加密产生的背景 (4) 2、通信的基本原理 (4) 2.1工作原理 (4) 2.2数学模型的建立 (5) 3、GSM系统的鉴权与 (6) 3.1 GSM系统中鉴权 (7) 3.2 GSM加解密 (9) 3.3 TMSI的具体更新过程 (10) 3.4 GSM安全性能分析 (11) 4、3G系统信息安全 (11) 4.1 WCDMA系统的鉴权和加密 (13) 4.2 CDMA-2000系统的鉴权和加密 (14) 5、4G系统信息安全 (16) 5.1 LTE系统网络架构 (16) 5.2 LTE_SAE网元功能介绍 (16) 5.2.1 UTRAN (17) 5.2.2 MME (17) 5.2.3 S-GW (18) 5.2.4 P-GW (18) 5.2.5 HSS (19) 5.3 LTE/SAE安全架构 (19) 5.4 LTE/SAE安全层次 (21) 5.5 LTE/SAE密钥架构 (22) 6、 LTE与2G/3G网络的兼容 (23) 7、结束语 (24) 参考文献 (25)

2G3G4G系统中鉴权与加密技术演进

2G3G4G系统中鉴权与加密 技术演进 -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII

2G/3G/4G系统鉴权与加密技术演进 学院:电子信息学院 班级:12通信B班 学生姓名:周雪玲 许冠辉 黄立群 指导老师:卢晶琦 完成时间:2015.04.19

【摘要】 本文研究内容主要是几大网络的安全机制。这项研究是颇具现实意义的,因为一个网络的安全性直接关系到用户和网络运营商本身的利益。保证合法的用户获取服务和网络正常的运营,保证用户的信息完整、可靠的传输,实现保密通信,要求有一套缜密的安全机制,这是对网络和服务的更高层次的要求,也是现如今颇受关注的话题。本文主要研究内容是WCDMA、LTE 的安全机制,为了更好地了解WCDMA的安全机制必须溯源到GSM的鉴权机制,从对比和演进的角度来看待这三种网络的安全机制的特点。 【关键词】GAM,3G,LTE,鉴权与加密

目录 1、概述 (3) 1.1移动通信系统中鉴权和加密产生的背景 (3) 2、保密通信的基本原理 (3) 2.1工作原理 (3) 2.2数学模型的建立 (4) 3、GSM系统的鉴权与保密 (4) 3.1 GSM系统中鉴权 (5) 3.2 GSM加解密 (7) 3.3 TMSI的具体更新过程 (8) 3.4 GSM安全性能分析 (8) 4、3G系统信息安全 (8) 4.1 WCDMA系统的鉴权和加密 (10) 4.2 CDMA-2000系统的鉴权和加密 (10) 5、4G系统信息安全 (11) 5.1 LTE系统网络架构 (11) 5.2 LTE_SAE网元功能介绍 (12) 5.2.1 UTRAN (12) 5.2.2 MME (13) 5.2.3 S-GW (13) 5.2.4 P-GW (13) 5.2.5 HSS (13) 5.3 LTE/SAE安全架构 (14) 5.4 LTE/SAE安全层次 (15) 5.5 LTE/SAE密钥架构 (15) 6、 LTE与2G/3G网络的兼容 (16) 7、结束语 (17) 参考文献 (18)

IMS的AKA鉴权机制

摘要:IP多媒体子系统(IMS)作为3G网络的核心控制平台,其安全问题正面临着严峻的挑战。IMS的接入认证机制的实现作为整个IMS安全方案实施的第一步,是保证IMS系统安全的关键。基于认证和密钥协商(AKA)的IMS接入认证机制是由因特网工程任务组(IETF)制定,并被3GPP采用,广泛应用于3G无线网络的鉴权机制。此机制基于“提问/回答”模式实现对用户的认证和会话密钥的分发,由携带AKA参数的SIP消息在用户设备(UE)和IMS网络认证实体之间进行交互,按照AKA机制进行传输和协商,从而实现用户和网络之间的双向认证,并协商出后续通信所需的安全性密钥对。 关键词:IP多媒体子系统;认证和密钥协商;会话初始协议;接入认证机制 Abstract:IPMultimediaSubsystem(IMS) has been accepted as the core control platform of the 3G network. Its security problems are facing severe challenges now. The implementation of IMS access authentication mechanism, which is considered to be the first step of the whole IMS security plan, is the key to the IMS system security access. The Authentication and Key Agreement (AKA)-based IMS access authentication mechanism is developed by the Internet Engineering Task Force (IETF) organization and adopted by the 3GPP organization, and is widely used in 3G wireless network authentication mechanism. It is based on the “challenge/response” mode to achieve the bidirect ional authentication and session key distribution. The Session Initiation Protocol (SIP) messages, which are carried with AKA parameters, are transmitted through the User Equipment (UE) and IMS core functional entities according to the AKA mechanism for consultation, thus realizing the two-way authentication between user and network, as well as the security key pair for later communications. Keywords:IMS;AKA;SIP; access authentication mechanism

VoLTE及新增IMS网元介绍

一 VoLTE介绍 1.1 LTE语音解决方案演进 SvLTE(Simultaneous Voice and LTE), 即双待手机方式。手机同时工作在LTE 和CS,前者提供数据业务,后者提供语音业务。是纯粹基于手机的方案。对网络无特别要求,不需要部署IMS,缺点是手机成本高、耗电高。目前已经有CDMA1x 和LTE的双待手机,被一些CDMA运营商采用作为IMS部署前的过渡方案,而GSM/UMTS和LTE的双待手机目前还没有推出。 CSFB(Circuit Switched Fall Back),LTE只提供数据业务,当发起或者接受语音呼叫时,回落到CS域进行处理。运营商无需部署IMS,只需要升级MSC就可以支持。这是一种快速提供业务的方案,但缺点是呼叫接续速度慢。CSFB适合作为IMS部署之前的过渡方案,另外还可以用来解决LTE手机漫游场景的语音呼叫问题,在拜访地网络没有部署IMS,或者IMS漫游协议尚未应用的情况下,CSFB 可以为漫入的LTE用户提供语音业务。

SRVCC(Single Radio Voice Call Continuity),解决语音控制和移动到CS网络切换时的语音连续性问题。 为基于IMS的VOIP呼叫解决方案,利用IMS核心网络提供LTE VoIP语音业务的路由、控制和业务触发,并提供LTE向2G/3G切换时的语音连续性保证。SRVCC 的实现过程实质上就是一个切换过程,在LTE网络中终端是通过IMS来实现语音功能的,当终端离开LTE网络后,则通过MSC server(Mobile Switching Center server)切换到2G/3G 网络中从而实现z在2G/3G网络中的语音功能。 VoLTE(Voice over Long Term Evolution),实现LTE网络中的IMS域提供高清晰的语音服务。 IMS由于支持多种接入和丰富的多媒体业务,成为全IP时代的核心网标准架构。经历了过去几年的发展成熟后,如今IMS已经跨越裂谷,成为固定话音领域VoBB、PSTN网改的主流选择,而且也被3GPP、GSMA确定为移动语音的标准架构。 1.2 LTE语音解决方案(CSFB)

电信鉴权

电信增值业务运营中的认证鉴权控制方案研究[图] https://www.wendangku.net/doc/0111437457.html, ( 2011/12/26 10:41 ) 摘要:通过归纳现有运营商增值业务运营的特点,对认证、鉴权、控制方案进行具体的分析和阐述,为电信运营商相关系统建设及业务运营提供指导。 0 前言 近年来,在国际信息产业发展迅猛的大背景下,国内电信运营商在增值业务方面也有了长足的发展。按照工信部的相关统计,2009年中国移动增值业务收入占营运收入的比重为29.1%,达到1311亿元;中国电信增值服务收入占经营收入的比重为10.3%,达到215.33亿元;中国联通GSM增值业务收入占GSM通信服务收入比重为27.3%,达到186.3亿元。2010 年,移动增值业务市场规模超过2000亿;2011年,移动增值业务市场规模将超过2200亿元,年增长率差超过10%。 国内电信运营商在进行增值业务运营过程中,建设了大量的业务平台,如短信网关、短信互通网关、彩信网关、WAP系统、流媒体、Java下载、IVR系统、定位、应用商店等等。在通过这些平台向用户提供增值服务的过程中,包括用户、业务及产品认证、鉴权、计费等在内的服务策略管理一直是运营商关注的焦点。 在国际上,各标准化组织,如ITU、3GPP/3GPP2、OMA、Parlay等,基于研究重点不同,对业务平台的研究深度也不相同,对增值业务平台分别提出了不同的架构;但其共同的核心思想之一就是运营管理与能力提供的分离,认证、鉴权与控制则是运营管理的核心内容。在各国际组织的推动以及业务需求驱动下,电信运营商正将增值业务平台从垂直独立、条块部署模式,转向统一支撑管理的部署模式。 另一方面,在当前技术革新加速、各种产业面临融合的形势下,电信运营商不但需要应对传统电信行业内的竞争,也日益面临互联网厂商、广电、终端厂商等其他行业的竞争,面临管道化的风险。电信运营商在增值业务运营中,如何构筑合理有效的运营控制平台、整合内部服务资源至为重要,而理顺认证、鉴权等控制流程将是提高运营商核心竞争力的关键环节。 本文结合国内电信运营商增值业务运营的实际,对其中的认证、鉴权、控制方案进行具体阐述。 1 需求分析 经过多年的建设,电信运营商已经普遍建成了一定规模的增值业务系统,原有业务系统的建设基本上都采用垂直体系结构。随着业务深入发展,新业务不断涌现,逐渐暴露出一些问题,并影响业务的进一步发展。统一的增值业务认证、鉴权、控制方案需要解决以下迫切问题。 a)增值系统条块分割,综合管理成本高。

统一身份认证系统建设方案

统一身份认证系统建设方案 发布日期:2008-04-01 1.1 研发背景 随着信息技术的不断发展,企业已逐渐建立起多应用、多服务的IT 架构,在信息化建设中起到十分重要的作用。但是各信息系统面向不同管理方向,各有其对应的用户群体、技术架构、权限体系,限制了系统之间的信息共享和信息交换,形成的信息孤岛。同时,每一个信息系统的用户拥有不同的角色(职能),需要操作不同的系统,难以对其需要和拥有的信息和操作进行综合处理,限制信息系统效率的发挥。在这种背景下企业准备实施内网信息门户系统。其中统一身份管理系统是内网信息门户系统的一个重要组成部分。 统一身份管理将分散的用户和权限资源进行统一、集中的管理,统一身份管理的建设将帮助实现内网信息门户用户身份的统一认证和单点登录,改变原有各业务系统中的分散式身份认证及授权管理,实现对用户的集中认证和授权管理,简化用户访问内部各系统的过程,使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。 1.2 组成架构 汇信科技与SUN公司建立了紧密合作关系,汇信科技推出的统一身份认证解决方案基于SUN公司的Sun Java System Identity Manager和Sun Java System Access Manager以及Sun Java System Directory Server实现。主要包括受控层、统一访问控制系统(统一认证服务器)、统一身份管理系统(统一身份管理服务器)、目录服务器。 受控层位于各应用服务器前端,负责策略的判定和执行,提供AGENT和API两种部署方式。 统一认证服务器安装统一身份认证系统(AM),主要提供身份认证服务和访问控制服务。 统一认证服务器安装统一身份管理系统(IM),主要实现身份配给、流程自动化、委任管理、密码同步和密码重置的自助服务。 目录服务器部署Sun Java System Directory Server,是整个系统的身份信息数据中心。 1.1 功能描述 1.1.1 实现“一次鉴权”(SSO) “一次鉴权(认证和授权)”是指建立统一的资源访问控制体系。用户采用不同的访问手段(如Intranet、PSTN、GPRS等)通过门户系统

RFC2617 鉴权 中文

Network Working Group J. Franks Request for Comments: 2617 Northwestern University Obsoletes: 2069 P. Hallam-Baker Category: Standards Track Verisign, Inc. J. Hostetler AbiSource, Inc. S. Lawrence Agranat Systems, Inc. P. Leach Microsoft Corporation A. Luotonen Netscape Communications Corporation L. Stewart Open Market, Inc. June 1999 HTTP Authentication: Basic and Digest Access Authentication 备忘(Status of this Memo) 本文档跟踪记录Internet团体为完善协议而进行的讨论、建议。详情请参见官方文件(STD1)。本文可任意分发。

版权声明(Copyright Notice) Copyright (C) The Internet Society (1999). All Rights Reserved. 摘要(Abstract) “HTTP/1.0”中包括基本访问鉴别方案(Basic Access Authentication scheme)。该方案不是安全的用户授权方法(除非与其它安全方法联合使用,如SSL[5]),因为其用户名和口令在网络上是以明文方式传送的。 本文档还提供了HTTP鉴别框架的规范,有关原始的基本鉴别方案和基于哈希加密的方案的内容,请参见分类访问鉴别(Digest Acccess Authentication)。从RFC2069公布以来,其中涉及的一些可选元素因为出现问题而被移出;而还有一些新的元素因为兼容性的原因而被加入,这些新元素虽然是可选的,但还是强烈建议使用的,因而,RFC2069[6]最终可能会被本规范所替代。 Franks, et al. Standards Track [Page 1]

移动通信中的鉴权

GSM系统的鉴权 为了保障GSM系统的安全保密性能,在系统设计中采用了很多安全、保密措施,其中最主要的有以下四类:防止未授权的非法用户接入的鉴权(认证)技术,防止空中接口非法用户窃听的加、解密技术,防止非法用户窃取用户身份码和位置信息的临时移动用户身份码TMSI 更新技术,防止未经登记的非法用户接入和防止合法用户过期终端(手机)在网中继续使用的设备认证技术。 鉴权(认证)目的是防止未授权的非法用户接入GSM系统。其基本原理是利用认证技术在移动网端访问寄存器VLR时,对入网用户的身份进行鉴别。 GSM系统中鉴权的原理图如下所示。 本方案的核心思想是在移动台与网络两侧各产生一个供鉴权(认证)用鉴别响应符号SRES1和SRES2,然后送至网络侧VLR中进行鉴权(认证)比较,通过鉴权的用户是合理用户可以入网,通不过鉴权的用户则是非法(未授权)用户,不能入网。 在移动台的用户识别卡SIM中,分别给出一对IMSI和个人用户密码Ki。在SIM卡中利用个人密码Ki与从网络侧鉴权中心AUC和安全工作站SWS并经VLR传送至移动台SIM卡中的一组随机数RAND通过A3算法产生输出的鉴权响应符号SRES2。 在网络侧,也分为鉴权响应符号SRES1的产生与鉴权比较两部分。

为了保证移动用户身份的隐私权,防止非法窃取用户身份码和相应的位置信息,可以采用不断更新临时移动用户身份码TMSI取代每个用户唯一的国际移动用户身份码IMSI。TMSI 的具体更新过程原理如下图所示,由移动台侧与网络侧双方配合进行。 这项技术的目的是防止非法用户接入移动网,同时也防止已老化的过期手机接入移动网。在网络端采用一个专门用于用户设备识别的寄存器EIR,它实质上是一个专用数据库。负责存储每个手机唯一的国际移动设备号码IMEI。根据运营者的要求,MSC/VLR能够触发检查IMEI的操作。 IS-95系统的鉴权 IS-95中的信息安全主要包含鉴权(认证)与加密两个方面的问题,而且主要是针对数据用户,以确保用户的数据完整性和保密性。鉴权(认证)技术的目的:确认移动台的合理身份、保证数据用户的完整性、防止错误数据的插入和防止正确数据被纂改。加密技术的目的是防止非法用户从信道中窃取合法用户正在传送的机密信息,它包括:信令加密、话音加密、数据加密。 在IS-95标准中,定义了下列两个鉴权过程:全局查询鉴权和唯一查询鉴权。 鉴权基本原理是要在通信双方都产生一组鉴权认证参数,这组数据必须满足下列特性:通信双方、移动台与网络端均能独立产生这组鉴权认证数据;必须具有被认证的移动台用户的特征信息;具有很强的保密性能,不易被窃取,不易被复制;具有更新的功能;产生方法应具有通用性和可操作性,以保证认证双方和不同认证场合,产生规律的一致性。满足上述五点特性的具体产生过程如下图所示:

ims 接入

IMS 接入与互联边界解决方案 来源:运营与增值网 2011-05-23 10:57:12 [ 10038阅读1评论 ] 分享到移动微博 分类:分布式技术标签:IMS 内容摘要:随着运营商网络的IP转型,终端用户将逐步从TDM网络迁移到IP网络如固定软交换、移动软交换和IMS。基于此,传统的TDM接入与互联节点也将转变为IP互联的方式。本文将着重研究网络IP化后接入和互联边界的解决方案,在IP化的基础上保证网络互联互通的安全性、可靠性和业务的无缝部署。 在传统的网络概念中,接入与互联侧采用的都是TDM的方式,因此从安全性和隔离性而言,TDM网络相对封闭,不存在比较大的安全隐患。随着IP化的发展尤其是SIP协议的引入,运营商的接入网与核心网、运营商核心网之间的物理边界被扁平的IP网络所替代,此时需要考虑3层IP的路由可达性和5层协议 (SIP) 的信令路由,这就天然的产生了信令和承载的分离。 基于此,我们可以相应地定义接入边界和互联边界的概念: 接入边界是指用户侧CPE与运营商核心网络之间的网络边界,如DSL接入、PON接入、WiFi接入、 2G/3G/LTE接入等,接入边界保护网络免受非法用户的攻击包括IP层面的攻击、信令层面的工具以及业务、带宽的盗用。 互联边界是指不同运营商之间或者运营商的不同网络域之间的网络边界,以保证网络互联的安全性。 互联边界在传统的TDM网络中类似关口局的角色。 边界组网技术与发展 边界方案的演进 基于IP网络、协议和标准的发展情况,边界网元的整体演进路径。 边界网元作为网络的边缘节点,主要实现的是防止网络攻击,隐藏网络拓扑和防火墙穿越的功能,因此 边界网元的发展经历了防火墙、基于防火墙的IP网关、应用层网关、集成式SBC(会话边缘控制器)、分离式SBC的几个阶段。考虑到互联互通性的复杂性,传统的防火墙、应用层网关更多的应用于企业网方案,而在运营商的商用网络中,随着SIP协议的不断完善和标准化,传统的防火墙、应用网关方案由于太多依赖用户侧的网络能力,并不适合网络的大规模部署, 因此主要还是采用集成式SBC的方案。

GSM、WCDMA及LTE鉴权机制的比较与分析

严丽云陈久雨:GSM、WCDMA及LTE鉴权机制的比较与分析 严丽云 南京邮电大学研究生,通信与信息工程专业,研究方向:网络与应用技术。 陈久雨 中国电信股份有限公司广东研究院移动通信技术部。 引言 本文研究内容主要是几大网络的安全机制。这项研究是颇具现实意义的,因为一个网络的安全性直接关系到用户和网络运营商本身的利益。保证合法的用户获取服务和网络正常的运营,保证用户的信息完整、可靠的传输,实现保密通信,要求有一套缜密的安全机制,这是对网络和服务的更高层次的要求,也是现如今颇受关注的话题。本文主要研究内容是WCDMA、LTE 的安全机制,为了更好地了解WCDMA的安全机制必须溯源到GSM的鉴权机制,从对比和演进的角度来看待这三种网络的安全机制的特点。最后,本文展望了未来移动通信中的安全机制,并提出建议。 1 GSM概述 GSM系统一个显著的优点就是它在安全性方面比模拟系统有了显著的改进,它主要是在以下部分加强了保护:在接入网络方面通过AUC 鉴权中心采取了对客户鉴权;在无线路径上采取了对通信信息的保密;对移动设备通过EIR设备识别中心采用了设备识别;对客户身份识别码IMSI用临时识别码TMSI保护;SIM卡用PIN码保护。 2 GSM鉴权 运营者开始使用安全功能之前,移动用户已经在鉴权中心被创建。同样的数据也存在移动用户的SIM卡中。以下是创建用户所需要的信息:用户的IMSI、用户的Ki、使用的算法版本。GSM的鉴权是网络要确定用户的合法性,即确认用户方Ki和网络方Ki 是相等。鉴权流程图(如图1)及说明如下:在呼叫建立的初始间断、位置更新、补充业务相关的请求时需要进行鉴权,移动台发起这类请求给MSC/VLR;MSC/VLR向HLR/AUC请求鉴权参数,及鉴权三元组;HLR/AUC根据随机数发生器产生的RAND与KI通过A3单向算法计算得出SRES(i);根据RAND与KI通过A8算法计算出Kc;将计算出的鉴权三元组(SRES(i)、RAND以及Kc(i))包含在鉴权相应中传递给

ESMTP身份验证的机制

ESMTP身份验证的机制有很多种,最常见的是LOGIN机制,类似于POP3的身 份验证方式,即分两步输入账号和密码。在所有的验证机制中,信息全部采用 Base64编码。 例如,用https://www.wendangku.net/doc/0111437457.html,邮件服务器发送邮件,从开始连接到身份验证的过程如 下(红色和蓝色分别代表客户端和服务器): (连接到https://www.wendangku.net/doc/0111437457.html,:25) 220sp1ESMTPv2.1 EHLOABCDEFG https://www.wendangku.net/doc/0111437457.html, 250-PIPELINING 250-SIZE20480000 250-ETRN 250-AUTHLOGINPLAINDIGEST-MD5CRAM-MD5(支持的身份验证机制种 类:LOGIN,PLAIN等) 2508BITMIME AUTHLOGIN 334VXNlcm5hbWU6(Base64解码后:Username:) Ymh3YW5n(Base64编码前:bhwang) 334UGFzc3dvcmQ6(Base64解码后:Password:) bXlwYXNzd29yZCFteXBhc3N3b3JkISE=(Base64编码前:********) 235Authenticationsuccessful 另外一种较常见的机制是PLAIN。与LOGIN机制的不同之处在于一次性输入账号 和密码,格式为“账号密码”,其中为字节0。用PLAIN机制 代替上面的身份验证过程: AUTHPLAIN 334 AGJod2FuZwBteXBhc3N3b3JkIW15cGFzc3dvcmQhIQ==(Base64编码 前:bhwang********) 235Authenticationsuccessful 有的ESMTP服务器,例如采用CoreMail系统的 https://www.wendangku.net/doc/0111437457.html,,https://www.wendangku.net/doc/0111437457.html,,https://www.wendangku.net/doc/0111437457.html,,https://www.wendangku.net/doc/0111437457.html,等,不回复334代 码行,客户端在输入AUTHPLAIN后,直接输入符合格式要求的账号和密码即可。LOGIN和PLAIN机制没有对账号和密码进行加密,相当于明文传输,Base64编 码只是一层纸而已。DIGEST-MD5,CRAM-MD5,GSSAPI,KERBEROS_V4等身份 验证机制能够加密传输内容。

IMS鉴权过程中各参数的用途

IMS鉴权过程中各参数的用途 发帖日期:2011-08-18 14:12:52 按照目前的国际规范,IMS认证方式主要有IMS AKA、SIP Digest、NASS-IMS Bundled Authentication(NBA)以及GPRS-IMS Bundled Authentication(GBA)几种方式。其中NBA 和GBA认证的主要思路是IMS核心网信任接入网络(NASS、GPRS)为用户分配的IP地址,因此不涉及鉴权参数的使用,本文仅根据个人理解列举了IMS AKA和SIP Digest过程中各参数的用途。 IMS AKA username 即用户的IMPI。 K IMS AKA认证过程中的根密钥,除RAND之外的其他鉴权参数计算过程中全部需要使用K。K 分别存储在ISIM(或终端)以及HSS中,永远不会在网络上传输。 RAND 由HSS生成的随机数,HSS和ISIM(或终端)通过RAND和K可以计算IK/CK/RES/XRES。RAND在鉴权过程中会从HSS一直传递至终端。 XRES XRES由HSS通过K和RAND计算得到,这个参数从HSS传递至S-CSCF,不会继续向下传输。S-CSCF通过比对从XRES和从终端得到的RES来对用户身份进行认证。 RES RES由终端通过K和RAND计算得到,并在鉴权响应中携带该参数。该参数从终端传送至S-CSCF。 IK 完整性密钥。终端和HSS分别计算该参数,HSS计算的IK会一直传递至P-CSCF。终端与 P-CSCF之间建立IPSec所使用的完整性密钥即为该参数。 CK

加密密钥。终端和HSS分别计算该参数,HSS计算的CK会一直传递至P-CSCF。终端与P-CSCF之间建立IPSec所使用的加密密钥即为该参数。 SQN 终端与HSS同步的序列号。这个序列号是计算AUTN的中间值。当网络与终端的SQN失配时,终端会从新发起REGISTER请求,携带auts参数,用于SQN同步。这个参数不会在网络上 传输,分别由终端和HSS本地维护。 AUTN 用于终端对网络的认证。该参数从HSS一直传递至终端,终端收到鉴权挑战后,会根据 SQN计算XAUTN,然后与收到的AUTN进行比对,以此来对网络进行认证。 SIP Digest username 即用户的IMPI。 password 该参数的性质与IMS AKA中的K类似,即终端与网络之间共享的一个“秘密”,用于网络 对终端的认证,这个参数同样不会在网络上传输。但是与K也有不同,password通常不会 直接用于计算鉴权结果,而是使用对password的哈希结果,即通常所说的H(A1),HSS会 在Cx查询时将H(A1)传递给S-CSCF。在终端与P-CSCF之间使用TLS时,建立TLS使用的 密钥不一定根据这个password生成。 nonce 该参数与IMS AKA中的RAND类似,用于计算认证结果,与IMS AKA不同的是nonce值由 S-CSCF生成,而不是从HSS得到。 response 该参数与IMS AKA中的RES类似,终端首先通过password计算得到H(A1),然后再结合nonce值计算得到response。这里需要注意一点,当需要进行完整性保护(见qop)时, 计算response的输入需要增加消息体,也就是SIP消息的body部分(不包括Header)。 qop

解决方案-中国移动CM-IMS 接入解决方案-小区类(20100119)

中国移动CM-IMS接入解决方案-宽带小区类 需求分析 2008年电信重组后,中国移动由于固网短板明显,因此中国移动希望通过引入IMS实现固定话音接入和业务控制,提供多媒体类和融合类业务能力,为全业务运营尤其是政企客户的争夺奠定坚实的基础。 中国移动将在其固网和多媒体、流媒体网络的部署上,跨过传统固定软交换和传统IPTV、会议电视方案,直接采用IMS技术部署宽带固定语音、高清会议电视和IMS Based IPTV,一步到位地构建目标网络,实现网络融合。 中国移动早在几年前就开始了IMS的研究,并在国际标准基础上创新性地提出CM-IMS,CM-IMS已经成为中国移动实现网络和业务融合的重要解决方案。中国移动希望通过将IMS和移动互联网结合,为用户提供更加丰富的多媒体业务。CM-IMS将IMS网络和业务能力开放给互联网用户,并使其融入Web2.0的生态环境,以提供通信网络与互联网的混搭应用,开拓新的业务领域,增加新的收入。一旦中国移动IMS实现全国范围内部署,将成为全球最大规模的IMS商用网络。 在小区接入方面,由于历史原因,中国电信和中国联通在该细分市场有较大优势,同时具有国内最大规模的PSTN电话网。那么中国移动若想切入该市场,则中国移动给用户提供的通信体验必须有别于传统的固化业务。 出于以上情况,迈普公司针对CM-IMS部署环境中,宽带小区类这一细分市场,为中国移动提供专业的优质的IMS接入解决方案,助力中国移动在家庭多媒体融合通信市场竞争中占取有力位置,成为IMS运营市场领跑者。 方案介绍

图1 CM-IMS宽带小区接入网络拓扑 方案说明 随着IP技术的不断完善,与传统PSTN电话网相比,V oIP在用户体验、融合能力、建设成本、运维管理等多方面都有着无法比拟的优势,尤其是面向未来的融合通信上更是传统PSTN电话无法做到的。因此本文提出基于SIP的中国移动CM-IMS的小区语音接入方案。 在用户侧,对于老小区改造可以使用原有楼宇的布线系统,放置迈普IPPBX设备连接住户放号,或者使用迈普IPPBX设备替换原有传统PBX再连接住户进行放号。 对于新建小区,由于接入的终端多为模拟电话机,同样可以使用传统电话线布线方法,每户电话接入迈普IPPBX。同时可以将IPPBX接入小区局域网络,为未来连接SIP电话预留扩展能力,此时迈普语音设备角色由IPPBX转化为SIP控制服务器,从而为未来扩展业务内容提供良好的网络环境。 中国移动上联线路可以根据环境不同,可使用多种接入方式,但目前最常用的是直接通过IP线路连接中国移动城域网再接入移动IMS网络。 特点及优势 1.先进的体系设计 IMS是一个包含核心网设备、业务平台、接入侧设备和终端产品的庞大体系。CM-IMS

固网接入IMS的解决方案

固网接入IMS的解决方案 固定运营商希望通过IMS融合固定接入网络和移动接入网络,向网络融合和NGN迈进。IMS应如何支持固定接入是业界普遍关注的技术问题,也是标准组织研究的重点问题。 摘要:IMS是3GPP在其R5版本中提出的支持IP多媒体业务的子系统,是一种基于全IP分组传送的与接入无关的网络架构。分析了IMS在固网接入方面的发展演进策略,对TISPAN引入NASS、RACS等子系统用以完成用户认证、保证网络的安全以及实现对固定网络接入环境的承载资源控制进行了阐述。最后以VoIP为例,描述了通过固网接入IMS时对VoIP业务实施接纳控制机制的具体消息流程。 自2000年3GPP首次在R5中提出IP多媒体子系统(IMS)[1]概念以后,IMS一直受到广泛的关注。由于IMS网络架构不仅定义了业务的技术实现方式,还充分考虑了运营商的网络管理和运营需求,IMS 不再单纯是移动网的一个子系统,它已经延伸到固网,成为固网和移动网在控制层的融合点。固定运营商希望通过IMS融合固定接入网络和移动接入网络,向网络融合和NGN迈进。IMS应如何支持固定接入是业界普遍关注的技术问题,也是标准组织研究的重点问题。 TISPAN和3GPP是ETSI旗下的两大标准化组织,其中3GPP关注于IMS在移动通信中的应用,TISPAN 研究IMS在固网和在网络融合领域的应用[2]。早在ETSI TISPAN研究NGN架构时,就将IMS的概念引入到固网的NGN网络架构中,并且在很大程度上继承了3GPP在IMS上的研究成果。但TISPAN IMS架构与3GPP IMS架构还存在一些不同之处,这主要是因为固定网络的接入环境要比移动网络更加复杂一些,必须通过增加一些功能模块来完成用户认证、保证网络的安全以及实现对承载资源的控制。目前,基于固定的TISPAN IMS标准还不成熟,需要不断地研究和探索,文章主要介绍了固网接入IMS的承载资源控制、用户认证、保证网络安全方面的研究进展。 1、IMS向固网延伸 IMS系统具有接入无关性,最初的IMS系统只支持GPRS分组网络的接入,然后又支持WLAN互通网络的接入,在3GPP R7版本以后IMS系统还支持固定网络的接入。IMS系统支持固定网络的传统业务,包括电信业务、电路域数据业务和补充业务。新型的SIP终端可以直接接入IMS系统,传统的固定终端通过一个新建的PSTN/ISDN仿真网络接入IMS系统。对比移动接入网络,GPRS解决了移动性和资源管理,固定接入网络也必须自己解决这些问题。为此TISPAN将NGN架构分为业务层和传送层,在传送层引入了网络附着子系统(NASS)与资源及接纳控制子系统 (RACS),负责为上层业务层提供独立的用户接入管理功能[3],如图1所示。

相关文档