基礎培訓IMS用戶數(shù)據(jù)發(fā)放 ISSUE 3.30

1、修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEZC023102HSS9820V900R0083.30開發(fā)/優(yōu)化者時間審核人開發(fā)類型（新開發(fā)/優(yōu)化）林永寧2009.9李忠新開發(fā)劉振海2010.3李忠優(yōu)化毛遠宏2010.5張可鐫優(yōu)化0IMS 用戶數(shù)據(jù)發(fā)放參考資料HUAWEI HSS9820歸屬用戶服務器配置指南-(V900R008)2目錄IMS用戶簽約基本概念SPG 介紹PGW Web LMT介紹業(yè)務發(fā)放流程模板管理與開戶用戶狀態(tài)查詢3用戶管理用戶管理系統(tǒng)提供了用戶管理的功能，主要包括：鑒權數(shù)據(jù)管理功能 負責對HSS（Home Subscriber Server）歸屬IMS（IP Multim

2、edia Subsystem）用戶的鑒權數(shù)據(jù)進行管理。用戶管理功能 負責對用戶標識以及用戶標識之間的關聯(lián)關系進行關聯(lián)。用戶簽約數(shù)據(jù)管理功能 負責對HSS歸屬IMS用戶的簽約信息進行管理，包括路由信息、簽約業(yè)務信息等。模板管理功能 負責對各種開戶模板進行管理，包括對模板的增加、刪除、修改、查詢等模板開戶功能 負責使用系統(tǒng)中的各種開戶模板來為不同的用戶進行開戶4用戶管理系統(tǒng)的功能結構5用戶管理系統(tǒng)的功能結構PGW是HSS的用戶和業(yè)務數(shù)據(jù)管理部分，主要實現(xiàn)如下功能：負責提供對HSS中的用戶數(shù)據(jù)管理功能。處理營業(yè)廳接口消息，提供營業(yè)廳/Portal消息的接入和轉發(fā)功能。提供營業(yè)廳接口（MML/SOAP

3、），支持接入第三方開發(fā)的營業(yè)廳程序，滿足運營商不同的運營管理。支持Web客戶端訪問接口。SPG主要完成以下功能接收來自BOSS/Portal的消息，轉換為符合PGW要求的SOAP格式，發(fā)送到PGW處理。接收PGW響應發(fā)起命令實體的消息，轉換為符合發(fā)起命令實體要求的消息格式，分發(fā)到各實體處理。提供完善的用戶權限控制策略，保證HSS數(shù)據(jù)庫中的用戶數(shù)據(jù)的安全性。提供外部網(wǎng)元到HSS的流量控制策略，保證系統(tǒng)能夠正常運行。6Portal客戶端和PGW客戶端Portal客戶端具有以下功能：HSS9820 提供了個人業(yè)務助理Portal 與HSS 之間的營業(yè)廳消息接口，方便為用戶提供Web Portal 功

4、能。Web Portal 功能由SPG2800 提供。PGW客戶端(WebUI/Web客戶端)作為本地維護臺，主要實現(xiàn)如下功能：支持操作人員對于用戶數(shù)據(jù)的查詢和修改接口，以及操作人員的權限管理功能。支持多業(yè)務統(tǒng)一接入。支持文件上傳下載通道。維護人員可通過IE直接訪問PGW，不需要特殊安裝客戶端軟件支撐維護場景。7IMS用戶簽約數(shù)據(jù)結構SIDIMPIIMPUIMPI Private User Identity 1 PublicUser Identity 1 PublicUser Identity 2 Public User Identity 3 Private User Identity 2 P

5、ublic User Identity 4 Public User Identity 5 Public User Identity 6 Service Profile 1 Service Profile 2 Service Profile 3 Service Profile 4 IMS Subscription 8SIDIMS subscriptionSubscription 即IMS用戶簽約，一個IMS用戶在歸屬網(wǎng)絡中開戶后，即可獲得一個唯一的用戶簽約。每個用戶簽約分配一個唯一的ID，即SUBID（Subscription ID）。SUBID 由127 字節(jié)以內(nèi)的字符串組成。SUBID 存儲

6、在HSS 中，并且只在一個HSS 中有效。9IMPI和IMPUIP multimedia private identity具有全球唯一性的身份標識，用于歸屬網(wǎng)絡從網(wǎng)絡的角度唯一地標識用戶的簽約關系。一個IMPI 對應一個物理終端，類似GSM中的IMSI。用于注冊、鑒權、管理和計費等。存儲在HSS、S-CSCF 和終端中。采用NAI 格式，有效格式為：用戶名“”域名。username。IP multimedia public identity用戶對外可尋址的標識，命名全球唯一。 一或多個IMPU 與一個Service Profile 關聯(lián)。能夠以顯式或隱式的方式注冊，允許設置為共享。存儲在HSS

7、 和S-CSCF 中，在HSS中是固態(tài)數(shù)據(jù)，在S-CSCF中是動態(tài)數(shù)據(jù)。一個終端中至少存儲了一個IMPU。格式：SIP URL ： SIP:metroTEL URL： TEL:+867552878080810IMPI 和 IMPU之間的關系 聯(lián)系1個IMPI能夠擁有1個或多個IMPU1個IMPU也能夠擁有1個或多個IMPI注冊成功后，簽約數(shù)據(jù)僅保存在1個S-CSCF內(nèi)11業(yè)務簽約信息Service Profile是由iFC 信息和用戶簽約媒體ID 信息組成的一個數(shù)據(jù)集合。初始過濾規(guī)則iFC（Initial Filter Criteria）用于指示SCSCF在注冊和會話過程中何時觸發(fā)相關AS。簽

8、約媒體ID用于檢查用戶建立會話時的媒體類型（只允許語音通話，還是語音視頻均可等），為可選配置。獨立于IRS，包含不同Service Profile 的IMPU 可能屬于同一個IRS。能夠被同一用戶簽約中的IMPU 共享。Service ProfilePublic Identification1 nCore Network Service Authorization0 1Initial Filter Criteria0 n12公共標識公共標識SIP URL 或 TEL URLBarring indicationTrue S-CSCF將會本禁止 這個用戶的所有IMS 會話，除了注冊和重注冊 Fal

9、se 沒有限制13iFCiFC （Initial Filter Criteria）S-CSCF按用戶條件和業(yè)務需求匹配iFC。成功匹配一條iFC后，S-CSCF按iFC要求進行業(yè)務觸發(fā)。如：呼叫發(fā)往某AS處理。簽約數(shù)據(jù)中的所有iFC會被設計成不同的優(yōu)先級。iFC1P=1iFC2P=2iFC3P=3ASASTrigger pointASTrigger pointASTrigger point14iFCInitial Filter CriteriaTrigger Point01Priority integerProfilepartindicator: enumeratedConditionType

10、CNF: Boolean Service Point TriggerConditionNegated: Boolean Group: list of integerApplication ServerServerName: SIP URLDeafaultHanding: enumeratedService Information Service information:string1n0115觸發(fā)點 Service Point TriggerConditionNegated: booleanGroup: list of integerRegistrationType: list of enum

11、eratedRequest-URIRequestURI: stringSIP MethodMethod: stringSIP HeaderHeader: stringContent: stringSession CaseSessionCase: enumeratedSession DescriptionLine: stringContent: string16IMSICording scheme : E.212MCC（Mobile Country Code）MNC（Mobile Network Code）MSIN（Mobile Subscriber Identification Number）

12、460004777770001 MSISDNCording scheme : E.164CC（Country Code）+NDC（National Destination Code）+SN（Subscriber Number）8613907551234早期IMS用戶ID17目錄IMS用戶簽約基本概念SPG 介紹PGW Web LMT介紹業(yè)務發(fā)放流程模板管理與開戶用戶狀態(tài)查詢18SPG和HSS系統(tǒng)的關系HSSSPG2800Portal19目錄IMS用戶簽約基本概念SPG 介紹PGW Web LMT介紹業(yè)務發(fā)放流程模板管理與開戶用戶狀態(tài)查詢20Web LMT簡介用戶通過Web瀏覽器管理和維護業(yè)務發(fā)

13、放網(wǎng)關PGW（Provisioning Gateway），無需另外安裝客戶端。在PGW的WebUI上通過MML命令為PGW提供近端維護方式。PGW Web LMT面向以下使用人員：設備維護人員網(wǎng)絡監(jiān)控人員Web LMT具有以下功能：MML：MML是一種人機交互語言，全稱是Man-Machine Language。執(zhí)行MML命令，對網(wǎng)元提供近端操作維護。文件管理：通過Web LMT進行文件到PGW主機的上傳、下載和刪除操作。批處理：批量執(zhí)行MML命令，執(zhí)行一系列命令來完成某個獨立的功能或某項任務。21登錄Web LMT 步驟內(nèi)容說明1在瀏覽器地址欄中輸入PGW的IP地址，單擊“回車”或者單擊“轉

14、到”進入PGW的Web LMT的登錄界面。2輸入“HLRSN”、“用戶名”、“密碼”、“驗證碼”。HLRSN為可選參數(shù)，不輸入時，默認為OMU上設置的系統(tǒng)HLR序列號。當輸入時，HLRSN必須為通過ADD SYSHLRSN命令添加的系統(tǒng)HLR序列號。3單擊“登錄”。22PGW Web LMT界面介紹23目錄IMS用戶簽約基本概念SPG 介紹PGW Web LMT介紹業(yè)務發(fā)放流程模板管理與開戶用戶狀態(tài)查詢24用戶簽約發(fā)放目錄鑒權數(shù)據(jù)管理 IMS AKA 鑒權模式HTTP Digest模式Early 鑒權模式用戶管理 ISIM卡和HTTP Digest用戶管理Early IMS用戶管理 Early

15、 AKA用戶管理NASS Bundled用戶管理簽約數(shù)據(jù)管理漫游權限、計費等管理25目錄1 鑒權數(shù)據(jù)管理 1. IMS AKA2. HTTP Digest3. SIP Digest鑒權及配置4. Early IMS鑒權及配置5. NASS Bundled鑒權及配置6. Early AKA鑒權及配置7. Trust Access鑒權及配置8. Cave AKA鑒權及配置26IMS AKA鑒權UMTS（Universal Mobile Telecommunications System）鑒權機制稱為UMTS AKA（Authentication and Key Agreement），IMS鑒權機制

16、的概念和原理與UMTS AKA相同，稱為IMS AKA。IMS AKA實現(xiàn)UE（User Equipment）和IMS網(wǎng)絡之間的相互認證，保證IMS網(wǎng)絡的保密性和數(shù)據(jù)完整性。IMS鑒權參數(shù)包括鑒權向量五元組和產(chǎn)生鑒權向量五元組的一些相關參數(shù)27鑒權流程IMS AKAHSS9820P/S/I-CSCFIMS-SIM cardRegister req (Tom)Register reg (Response)Authentication Vector (5)401(RAND and AUTN)200 OK移動電話必需有支持IMS AKA 的IMS-SIM卡HSS9820產(chǎn)生鑒權向量 (RAND、AU

17、TN、IK and CK)S-CSCF通過401消息來鑒定用戶MAR (Auth Type: IMS AKA)2829IMS AKA鑒權鑒權向量五元組包括：RAND（Random Number）XRES（Expected User Response）CK（Cipher Key）IK（Integrity Key）AUTN（Authentication Token）30IMS AKA鑒權產(chǎn)生鑒權向量五元組的相關參數(shù)包括：SQN（Sequence Number）AMF（Authentication Management Field）AK（Anonymity Key）MAC（Message Authe

18、ntication Code）31IMS AKA鑒權配置步驟配置信息的相關說明:K4:用于加密KI的密鑰OP:AMF:為計算MAC的一個參數(shù) KI:為鑒權信息的加密密鑰32配置步驟鑒權數(shù)據(jù)管理ADD HK4: ADD HOP:ADD HAMF:ADD HKI :33鑒權參數(shù)鑒權數(shù)據(jù)說明KIKI即鑒權密鑰，為用戶鑒權而設。IMPI為KI的索引，一個IMPI唯一地對應于一個KI值，但一個KI值可能被多個IMPI使用。OPOP即運營商可變算法配置域，是鑒權計算的一個輸入?yún)?shù)，OP值以KI為密鑰進行加密計算可以得出OPC。一個運營商的所有用戶可以使用相同的OP，以區(qū)別于其他運營商的用戶。AMFAMF即

19、鑒權管理域，可以和SQN、RAND、KI一起計算MAC值。AMF作用為：指示生成某一個鑒權向量所使用的算法和密鑰。 變換SQN驗證參數(shù)。 設置IK和CK的有效時間的閾值。 K4K4即密碼密鑰，是鑒權密鑰KI的密鑰，用于對KI進行加密和解密。根據(jù)K4索引號取值不同，有以下兩種情況：若K4索引號取值為0，系統(tǒng)不對KI進行加密，此時數(shù)據(jù)庫中的KI值即為原始KI值。 若K4索引號取值不為0，系統(tǒng)使用該K4索引號對應的K4值對KI進行加密和解密。 OPCOPC是對OP值以KI為密鑰進行加密計算得到的Result，可以用于加密函數(shù)的計算。34命令35 K4用于配置一個K4值. K4 值用于加密KIADD

20、HK4: K4SNO=1, K4VALUE=”1234567890ABCDEF”;16位16進制數(shù)鑒權數(shù)據(jù)管理 配置K436OP（Operator Variant Algorithm Configuration Field） 鑒權數(shù)據(jù)管理配置OPOP是鑒權計算的一個輸入?yún)?shù) 保存于Auc 和 ISIM卡內(nèi)一個運營商的所有用戶可以使用相同的OP，以區(qū)別于其他運營商的用戶 。ADD HOPADD HOP: OPSNO=1, OPVALUE=”1234567890ABCDEF” 32位16進制數(shù)37鑒權數(shù)據(jù)管理配置AMFAMF (Authentication management field )AM

21、F作用為：指示生成某一個鑒權向量所使用的算法和密鑰。 變換SQN驗證參數(shù)。 設置IK和CK的有效時間的閾值。ADD HAMFADD HAMF: AMFSNO=1, AMFVALUE=”1234”; 4位16進制數(shù)38鑒權數(shù)據(jù)管理配置KIKIKI即鑒權密鑰，為用戶鑒權而設。保存于Auc 和 ISIM卡內(nèi)ADD HKI :IMPI=+8675528780808,KI=497b2317da8719be497b2317da8719be, K4SNO=0, OPSNO=0, AMFSNO=1, OPC=4f50434f50434f50434f50434f504334;IMPI定義AKA鑒權數(shù)據(jù)索引IMP

22、I的值K是定義鑒權數(shù)據(jù)KI的值。OPC是對OP值以KI為密鑰進行加密計算得到的Result39目錄1 鑒權數(shù)據(jù)管理 1. IMS AKA2. HTTP Digest3. SIP Digest鑒權及配置4. Early IMS鑒權及配置5. NASS Bundled鑒權及配置6. Early AKA鑒權及配置7. Trust Access鑒權及配置8. Cave AKA鑒權及配置40HTTP Digest鑒權說明對于固網(wǎng)SIP終端，由于沒有SIM/USIM（UMTS Subscriber Identity Module）/ISIM卡，不支持IMS AKA鑒權機制和Early IMS鑒權機制。為了

23、支持固網(wǎng)終端接入IMS網(wǎng)絡，對其采用HTTP（Hypertext Transfer Protocol）Digest鑒權機制。HTTP Digest鑒權是基于HTTP協(xié)議的鑒權機制，其鑒權參數(shù)為用戶名User name和密碼Password。對于采用HTTP Digest鑒權的固網(wǎng)終端，用戶依靠User name和Password通過鑒權接入網(wǎng)絡。HTTP Digest華為公司擴展的對無SIM/USIM /ISIM卡終端進行鑒權的一種鑒權方式。41鑒權流程HTTP DigestHSS9820P/S/I-CSCFIMS phoneRegister req (Tom)Register reg (Di

24、gest )MAA (HA1)401(RAND)200 OK1、UE 發(fā)起注冊請求nitiates the register procedure.2、HSS 通過MAA消息發(fā)送HA1 給S-CSCF3、S-CSCF 通過401發(fā)送RAND 給MS4、MS進行HTTP digest計算后，發(fā)送第二次注冊請求并帶有響應response5、S-CSCF對比UE 和 HSS 的DigestMAR (Auth Type: HTTP)HA1=HTTP Digest (Digest-Realm, User Name, Password) 42HTTP Digest鑒權流程ClientP-CSCFI-CSCF

25、HSSS-CSCFRegisterUARUAAS-CSCFselectionRegisterMARCalculate HA1MAAUnauthorizedUnauthorizedUnauthorizedRegisterRegister(Digest)UARUAARegisterAuthenticationSAAOKOKOK(RAND)(HA1)Register(RAND)(RAND)(Digest)(Digest)SAR(RAND+HA1)=Digest43配置步驟鑒權數(shù)據(jù)管理ADD HHDAINF:44鑒權數(shù)據(jù)管理鑒權信息配置ADD HHDAINF: IMPI=+8675528780808,

26、 USERNAME=+8675528780808, PWD=100;IMPI: 用戶的URL地址USERNAME: 用戶名 PWD: 用戶密碼（少于16個字符）45目錄1 鑒權數(shù)據(jù)管理 1. IMS AKA2. HTTP Digest3. SIP Digest鑒權及配置4. Early IMS鑒權及配置5. NASS Bundled鑒權及配置6. Early AKA鑒權及配置7. Trust Access鑒權及配置8. Cave AKA鑒權及配置46SIP Digest鑒權及配置SIP Digest鑒權說明:對于SIP軟終端這類沒有SIM/USIM/ISIM卡，只有UserName和Passw

27、ord的用戶，在IMS網(wǎng)絡中采用SIP Digest方式進行鑒權認證。SIP Digest處理流程與HTTP Digest只有很細小的差別(SIP Digest是HTTP Digest的升級版本)，兩者都是基于MD5算法進行鑒權。簽約SIP Digest比HTTP Digest多了一個REALM參數(shù)，計算鑒權數(shù)據(jù)時SIP Digest鑒權參數(shù)都是從HSS中讀取的，HTTP Digest中的Realm是S-CSCF通過MAR消息送過來的。SIP Digest與對HTTP Digest的兼容，如果用戶簽約了SIP Digest鑒權方式，則認為該用戶也支持HTTP Digest鑒權方式。用戶不能同時

28、簽約SIP Digest鑒權和HTTP Digest鑒權。SIP Digest鑒權配置:ADD HHDAINF: IMPI=user1, HUSERNAME=tom, PWD=123456“, REALM=;47目錄1 鑒權數(shù)據(jù)管理 1. IMS AKA2. HTTP Digest3. SIP Digest鑒權及配置4. Early IMS鑒權及配置5. NASS Bundled鑒權及配置6. Early AKA鑒權及配置7. Trust Access鑒權及配置8. Cave AKA鑒權及配置48Early IMS鑒權IMS建網(wǎng)初期，會存在一些UE不能支持IMS AKA鑒權機制。比如沒有ISI

29、M卡的PS（Packet Switched）域用戶。為了讓不支持IMS AKA鑒權機制的PS域用戶能夠接入IMS網(wǎng)絡，保障IMS網(wǎng)絡對現(xiàn)有PS網(wǎng)絡的兼容性，同時確保IMS網(wǎng)絡的安全性，IMS網(wǎng)絡引入Early IMS鑒權機制，作為IMS建網(wǎng)初期的一種用戶鑒權機制。49Early IMS鑒權Early IMS鑒權過程如下：GGSN（Gateway GPRS Support Node）接收到UE的PDP（Packet Data Protocol）上下文激活請求。GGSN給UE分配一個IP地址。GGSN通過Gi接口將IP地址、IMSI（International Mobile Subscriber

30、Identity）和MSISDN（Mobile Station International ISDN Number）傳送給HSS。HSS通過其存儲的IMSI/MSISDN與IMPI的關聯(lián)關系，檢索出相應的IMPI。HSS建立IP地址與IMPI的綁定。S-CSCF（Serving CSCF）接收到支持Early IMS鑒權機制的UE注冊或其它SIP（Session Initiation Protocol）請求。S-CSCF比較SIP頭域里帶有的IP地址與HSS中存儲的相應IP地址是否相同，從而完成驗證。50Early IMS鑒權配置Early IMS鑒權的配置ADD HIMSI: IMSI=46

31、0001234567, ISDN=8613900001234;ADD HASSOC: IMPI=user1, IMSI=460001234567;SET HEIA: IMPI=user1, EIAFLAG=TRUE;51目錄1 鑒權數(shù)據(jù)管理 1. IMS AKA2. HTTP Digest3. SIP Digest鑒權及配置4. Early IMS鑒權及配置5. NASS Bundled鑒權及配置6. Early AKA鑒權及配置7. Trust Access鑒權及配置8. Cave AKA鑒權及配置52NASS Bundled鑒權NASS Bundled 鑒權是對早期固網(wǎng)用戶接入IMS 網(wǎng)絡

32、時進行認證的一種機制。在NASS Bundled 鑒權中，鑒權數(shù)據(jù)為Line IDNASS Bundled 鑒權流程如下：1. 用戶終端發(fā)起IMS 注冊請求，其IP 地址通過REGISTER 消息送到P-CSCF。2. P-CSCF 與CLF 交互獲得用戶終端的位置信息。3. P-CSCF 將用戶終端位置信息記錄在REGISTER 消息的“P-Access-Network-Info”頭域中發(fā)往I-CSCF。4. I-CSCF 從HSS 中查詢到S-CSCF 的地址，將注冊請求發(fā)送到S-CSCF。5. S-CSCF 收到REGISTER 請求，保存“P-Access-Network-Info”頭

33、域中攜帶的終端位置信息。6. S-CSCF 通過MAR 消息向HSS 請求NASS Bundled 鑒權信息，即事先配置的固網(wǎng)終端位置信息。7. HSS 收到要求進行NASS Bundled 鑒權的MAR 請求后，查詢出IMPI 對應的所有固網(wǎng)終端位置信息，并通過MAA 下發(fā)給S-CSCF。8. S-CSCF 通過比較從HSS 獲得的固網(wǎng)終端位置信息以及由P-CSCF 獲得的固網(wǎng)終端位置信息，來驗證用戶身份的合法性。如兩者相同，則鑒權成功，否則拒絕REGISTER 請求。53NASS Bundled鑒權配置NASS Bundled鑒權配置說明 /*增加IMPI 的NASS Bundled 鑒權

34、信息*/ ADD HNBAINF: IMPI=user3, LINEIDIDX=1, LINEID=rack01subrack00;54目錄1 鑒權數(shù)據(jù)管理 1. IMS AKA2. HTTP Digest3. SIP Digest鑒權及配置4. Early IMS鑒權及配置5. NASS Bundled鑒權及配置6. Early AKA鑒權及配置7. Trust Access鑒權及配置8. Cave AKA鑒權及配置55Early AKA鑒權Early AKA 鑒權是在HSS 與HLR 共存的局面下，為支持PS/CS 域用戶接入IMS 網(wǎng)絡時進行認證的一種機制。Early AKA 鑒權流程如

35、下：1. UE 發(fā)起注冊請求。2. P-CSCF 接收到注冊請求并向I-CSCF 發(fā)送。3. I-CSCF 從HSS 中查詢到S-CSCF 的地址，將注冊請求發(fā)送到S-CSCF。4. S-CSCF 接收到注冊請求，向HSS 發(fā)送MAR 消息。5. HSS 根據(jù)MAR 消息中攜帶的Authentication-Scheme AVP 判斷用戶的鑒權模式是Early AKA 鑒權，則根據(jù)IMPI 查找關聯(lián)的IMSI，并向HLR 發(fā)送MAP 消息MAP_SAI_REQ 請求鑒權向量。6. HLR 通過MAP 消息MAP_SAI_RSP 向HSS 返回鑒權向量。7. HSS 將獲得的鑒權向量通過MAA

36、消息返回給S-CSCF。56Early AKA鑒權（續(xù)）8. S-CSCF 按照先入先出的原則從鑒權向量集中選擇一個鑒權向量向I-CSCF 發(fā)送鑒權請求。9. I-CSCF 將鑒權請求轉發(fā)給P-CSCF。10. P-CSCF 接收到鑒權請求，從中取出IK 和CK 并保存，將鑒權請求繼續(xù)向UE 發(fā)送。11. UE 接收到鑒權請求，獲取AUTN 以對IMS 網(wǎng)進行鑒權認證。12. 對網(wǎng)絡的鑒權通過后，UE 使用RAND 計算出鑒權響應RES，并通過注冊消息發(fā)往P-CSCF。13. P-CSCF 接收到鑒權響應并向I-CSCF 發(fā)送，I-CSCF 從HSS 中查詢到S-CSCF 的地址，將鑒權響應向

37、S-CSCF 發(fā)送。14. S-CSCF 接收到鑒權響應，將期望收到的鑒權響應XRES 和實際收到的鑒權響應RES進行比較。如果兩者匹配，則UE 通過網(wǎng)絡鑒權。15. S-CSCF 經(jīng)過I-CSCF，P-CSCF 向UE 發(fā)送鑒權成功響應消息。57Early AKA鑒權配置Early AKA 鑒權流程如下： /*增加IMSI*/ ADD HIMSI: IMSI=216011234567890, ISDN=361200123456789; /*建立IMPI 與IMSI 的關聯(lián)關系*/ ADD HASSOC: IMPI=user5, IMSI=216011234567890; /*設置IMPI 支

38、持Early AKA 鑒權*/ SET HEAA: IMPI=user5, EAAFLAG=TRUE;58目錄1 鑒權數(shù)據(jù)管理 1. IMS AKA2. HTTP Digest3. SIP Digest鑒權及配置4. Early IMS鑒權及配置5. NASS Bundled鑒權及配置6. Early AKA鑒權及配置7. Trust Access鑒權及配置8. Cave AKA鑒權及配置59Trust Access鑒權配置及配置Trust Access鑒權說明:對于固網(wǎng)PVS用戶，其接入IMS網(wǎng)絡的安全性由前端保證，沒有任何鑒權數(shù)據(jù)在HSS保存。為了支持PVS用戶接入IMS網(wǎng)絡，對其采用Tr

39、ust Access鑒權機制。PVS通過MAR消息向HSS獲取鑒權數(shù)據(jù)，HSS下發(fā)MAA消息的處理需要根據(jù)PVS上的不同用戶進行區(qū)分處理：如果PVS上的是一般用戶（僅指在HSS上配置HDA鑒權后開戶的用戶），則HSS保持R5C01版本的處理流程不變； 如果PVS上的是沒有鑒權信息的用戶（即PVS上配置的可信用戶，在HSS上為這種可信用戶指定TAA無鑒權方式），則HSS會根據(jù)該用戶是否支持TAA無鑒權方式進行處理：支持TAA鑒權：返回MAA消息，通知PVS該用戶是無鑒權用戶。 不支持TAA鑒權：返回鑒權失敗 Trust Access鑒權配置說明:SET HTAA: IMPI=user8, TAA

40、FLAG=TRUE;60目錄1 鑒權數(shù)據(jù)管理 1. IMS AKA2. HTTP Digest3. SIP Digest鑒權及配置4. Early IMS鑒權及配置5. NASS Bundled鑒權及配置6. Early AKA鑒權及配置7. Trust Access鑒權及配置8. Cave AKA鑒權及配置61Cave AKA鑒權說明終端發(fā)起注冊時，S-CSCF發(fā)現(xiàn)終端沒有進行鑒權，則S-CSCF會向HSS請求該終端對應的鑒權數(shù)據(jù)；HSS根據(jù)S-CSCF的請求，生成n(n=5)組鑒權向量(RAND、XRES、CK、IK、AUTN),并將生成的鑒權向量通過MAA消息返回給S-CSCF。 S-C

41、SCF保留RAND和XRES,并將RAND、CK、IK、AUTN發(fā)送給P-CSCF，P-CSCF保留IK和CK,并將RAND和AUTN發(fā)送給終端，AUTN包含三部分(MAC、AMF、SQN)。 終端根據(jù)AUTN和保存在ISIM卡上的K計算出XMAC,并與MAC進行比較，如果不相同，則終端對網(wǎng)絡鑒權失?。蝗绻嗤瑒t終端對網(wǎng)絡鑒權通過。對網(wǎng)絡鑒權通過后，如果SQN在可接受的范圍內(nèi)，終端會計算出RES并返回給S-CSCF,如果S-CSCF判斷RES和XRES相同，則對終端的鑒權成功；如果SQN不在可接受的范圍內(nèi)，則發(fā)起重同步過程，向HSS重新請求鑒權向量，HSS更新保存的SQN后生成新的鑒權向量返回

42、給S-CSCF，S-CSCF與終端之間重新進行鑒權。62Cave AKA鑒權說明（續(xù)）63Cave AKA鑒權配置使用ADD HIMSI添加IMSI號碼，該命令中，IMSI對應的IMPI必須通過IMSI導出，即IMPI = IMSI形式。ADD HIMSI: IMPI=123455555555555, IMSI=123455555555555;使用SET HCAA設定IMPI支持CAVE AKA鑒權SET HCAA: IMPI=123455555555555, CAVEAKAFLG=TRUE, UIMID=12365411;UIMID即為C網(wǎng)編號計劃中的ESN號碼。使用ADD HSUB添加用戶

43、ADD HSUB: SUBID=123455555555555, IMPI=123455555555555, IMPU=sip:123455555555555;使用SET HVNTPLID簽約IMPU對應的漫游地址SET HVNTPLID: IMPU=sip:123455555555555, VNTPLID=100;64目錄2 用戶管理 1. 基本概念2. IMS用戶管理3. Early IMS用戶管理4. PSI用戶管理65IMS用戶標識的關聯(lián)關系66Early IMS用戶標識的關聯(lián)關系67PSI用戶標識PSI(Public Service Identity)用于標識由AS（Applicat

44、ion Server）提供的業(yè)務，在HSS中，將此類業(yè)務當作用戶進行處理，稱為PSI用戶。PSI用戶有兩種標識：私有業(yè)務標識PISI（Private Service Identity）和公有業(yè)務標識PUSI（Public Service Identity）。HSS內(nèi)部保存的PUSI分為“通配PUSI”（Wildcarded PSI，簡稱WPUSI）和“非通配PUSI”（Distinct PUSI，簡稱DPUSI）兩類。一個通配PUSI代表著一組PUSI。例如，用戶呼叫sip:chatlist_abc的PUSI，HSS可以將呼叫路由到一個通配PUSI: sip:chatlist_!*!。68目錄

45、2 用戶管理 1. 基本概念2. IMS用戶管理3. Early IMS用戶管理4. PSI用戶管理69添加一個新的IMS用戶簽約對于IMS用戶，開戶之前IMPI必須已經(jīng)增加IMS AKA鑒權信息或HTTP Digest鑒權信息。 一般IMS用戶開戶:命令ADD HSUB 用于增加一個IMS subscription，并且可以同時為這個SUBID增加IMPI和IMPU。ADD HSUB: SUBID= 100 , IMPI= +8675528780808 , IMPU= sip:+8675528780808 ;Subscription ID 100+8675528780808sip:+8675

46、52878080870增加一個新IMPI（可選 ）命令ADD HIMPI用于對存在的SUBID增加一個新IMPIADD HIMPI: SUBID=“100, IMPI=+8675528780810;Subscription ID+8675528780808+867552878081071多IMPU的IMS用戶開戶多IMPU的IMS用戶開戶指多個IMPU被一個IMPI共享增加一個新IMS用戶：ADD HSUB: SUBID= 100 , IMPI= +8675528780808 , IMPU= sip:+8675528780808 ;為IMPI增加一個新的tel URLADD HIMPU: IM

47、PI=+8675528780808, IMPU=tel:+8675528780808;Subscription ID+8675528780808sip:+8675528780808tel:+867552878080872隱式注冊IMS用戶開戶隱式注冊集IRS: Implicit Register Set只要一個IMPU完成注冊，屬于相同的IRS的所有IMPU會完成注冊HSS IRS(sip:+8675528780808& tel:+8675528780808)Register (sip:+)CSCF注冊狀態(tài)：Registered SIP:+Registered Tel:+73隱式注冊IMS用戶

48、開戶（續(xù)）這個命令用于添加一個IRS，從IRS中增加或者刪除IMPUSET HIRS: IRSID=1, IMPULIST=sip:+8675528780808&tel:+8675528780808;IRSID : Implicitly registered set IDSubscription ID+8675528780808+8675528780810sip:+8675528780808tel:+867552878080874目錄2 用戶管理 1. 基本概念2. IMS用戶管理3. Early IMS用戶管理4. PSI用戶管理75配置步驟Early用戶管理包括：增加IMSI增加MSISD

49、N設置Early IMS鑒權模式增加一個IMS Subscription 76Early IMS用戶開戶步驟Early IMS用戶開戶步驟ADD HIMSI: IMPI=user1, IMSI=460001234567, ISDN=8613900001234;/*設置Early IMS鑒權模式*/SET HEIA: IMPI=user1, EIAFLAG=TRUE;/*增加一個IMS Subscription*/ADD HSUB: SUBID=sub1, IMPI=user1, IMPU=sip:impu1;77目錄2 用戶管理 1. 基本概念2. IMS用戶管理3. Early IMS用戶管

50、理4. PSI用戶管理78PSI用戶開戶第三方注冊PSI用戶開戶ADD HPSI: PISI=user, PUSI=sip:a, PUSITYPE = DPUSI;ADD HIFC: PUSI=sip:a, PRIORITY =4, PARTIND =REGISTERED, SERVER =sip:server1, DEFHND = SESSION_CONTINUED; SET HAS: PUSI=sip:a, AS =sip:server1;79目錄3簽約數(shù)據(jù)管理1. 基本概念2. 用戶簽約數(shù)據(jù)配置80基本概念用戶簽約數(shù)據(jù)管理的基本概念主要從以下八個方面進行介紹：計費閉鎖注冊權限漫游權限游牧

51、權限簽約媒體IDIFC能力集81基本概念閉鎖每個IMPU都有一個閉鎖標志，用于指示該IMPU是否被閉鎖，即是否被禁止使用IMS業(yè)務。當IMPU被閉鎖，且該IMPU不屬于任何隱式注冊集，或者該IMPU屬于某隱式注冊集，但該隱式注冊集中的其它IMPU都被閉鎖，該IMPU不能注冊。注冊權限注冊權限表示IMPU是否允許注冊。隱式注冊集中所有IMPU的注冊權限都相同。漫游權限漫游權限表示IMPU在哪些拜訪網(wǎng)絡中允許漫游。隱式注冊集中所有IMPU的漫游權限都相同。游牧權限游牧權限用于表示固網(wǎng)用戶在哪些網(wǎng)絡中允許漫游。82基本概念能力集當一個用戶發(fā)起SIP注冊請求時，I-CSCF（Interrogating

52、 CSCF）需要為該用戶分配一個S-CSCF，即選擇合適的S-CSCF。I-CSCF通過能力集選擇S-CSCF，能力集包含必選/可選能力和S-CSCF名稱兩部分。必選/可選能力I-CSCF能夠從HSS接收用戶所需的S-CSCF的必選能力和可選能力列表，根據(jù)S-CSCF所具有的能力選擇S-CSCF。首先，I-CSCF選擇具有用戶所需的所有必選能力和可選能力的S-CSCF。如果沒有，I-CSCF將使用最大匹配原則，先匹配必選能力，后匹配可選能力。如果有多個S-CSCF具有用戶所需的所有必選能力，I-CSCF將根據(jù)可選能力選擇S-CSCF。S-CSCF名稱I-CSCF能夠根據(jù)業(yè)務簽約信息選擇S-CS

53、CF。對此，需要給用戶指派特定的S-CSCF，即S-CSCF名稱，并將S-CSCF名稱作為業(yè)務簽約信息的一部分。例如，可以把一個公司、集團的所有用戶包含在同一個S-CSCF中以提供VPN（Virtual Private Network）業(yè)務。83基本概念簽約媒體ID簽約媒體ID標識允許用戶請求的一組會話描述參數(shù)，作為業(yè)務簽約信息的一部分存儲在HSS中，當用戶注冊或者未注冊用戶收到終止初始請求時下載到S-CSCF中，S-CSCF根據(jù)運營商配置將簽約媒體ID翻譯成簽約媒體組。IFCIFC即初始過濾規(guī)則，表示一個用戶對一個應用的簽約情況，作為業(yè)務簽約信息的一部分存儲在HSS中，當用戶注冊或者未注冊用

54、戶作被叫時下載到S-CSCF中，S-CSCF根據(jù)過濾規(guī)則向應用服務器轉發(fā)SIP（Session Initiation Protocol）請求。用戶請求調(diào)用的每個應用或業(yè)務，都對應一組IFC數(shù)據(jù)。每組IFC數(shù)據(jù)包括優(yōu)先級、業(yè)務相關性、AS（Application Server）地址、默認處理方式、業(yè)務信息和觸發(fā)點。84目錄3簽約數(shù)據(jù)管理1. 基本概念2. 用戶簽約數(shù)據(jù)配置85設置計費信息這個命令用于為一個指定的IMPI或PISI設置計費地址： SET HCHARGID: IMPI=+8675528780808, CHARGTPLID=1;The PCCFID is defined by comm

55、and ADD HCHGTPLADD HCHGTPL: TPLID=1, PECF=“”, SECF=“”;86設置閉鎖狀態(tài)設置閉鎖狀態(tài)SET HBAR命令用于設置指定IMPU或PUSI的閉鎖標志狀態(tài)。PUSI的閉鎖狀態(tài)對PUSI的流程處理暫無任何影響。需要注意以下兩種情況：當IMPU被閉鎖,且不屬于任何隱式注冊集，或屬于隱式注冊集，但該隱式注冊集中的其它IMPU也都被閉鎖時，該用戶不能注冊。當該IMPU為某IRS的Default IMPU時，不能將該IMPU設置為閉鎖狀態(tài)。配置實例SET HBAR: IMPU=sip:impu1, BAR=TRUE; 87設置注冊權限這個命令用于設置一個IM

56、PU是否具有注冊權限SET HREGAUTH: IMPU=“sip:+8675528780808, REGAUTH=TRUE;SET HREGAUTH: IMPU=“tel:+8675528780808, REGAUTH=TRUE;SET HREGAUTH: IMPU=“tel:+8675528780808, REGAUTH=TRUESET HREGAUTH: IMPU=“tel:+8675528780810, REGAUTH=FALSEP-CSCFRegister HSSI-CSCF+8675528780810+867552878080888設置漫游權限根據(jù)IMPU在HSS內(nèi)定義用戶的漫游權

57、限選擇是否檢查漫游權限為IMPU分配拜訪模板定義拜訪模板89設置漫游權限(續(xù))SET HVNCFLAG 用于是否對一個特定的IMPU進行漫游權限檢查SET HVNCFLAG: IMPU=“sip:+8675528780808, VNCFLAG=TURE;SET HVNCFLAG: IMPU=tel:+8675528780808 , VNCFLAG=TURE;VNCFLAGTUREFALSE90設置漫游權限(續(xù))這個命令是用于為一個IMPU設置漫游模板IDSET HVNTPLID: IMPU=“sip:+8675528780808, VNTPLID=0;SET HVNTPLID: IMPU=“t

58、el:+8675528780808, VNTPLID=0;ADD HVNTPLADDR: VNTPLID=0, VN=“”, VNTYPE=PERMISSIONP-CSCF: P-CSCF: P-CSCFRegister ()Register HSSI-CSCFRegister ()91設置漫游權限(續(xù)) 命令ADD HVNTPLADDR 和 ADD HVNTPL是用于在HSS數(shù)據(jù)庫內(nèi)為特定的拜訪網(wǎng)絡設置一個 拜訪網(wǎng)絡地址 ADD HVNTPL: TPLID=0, MATCHTYPE=FRONT, VN=“”, TYPE=PERMISSION; ADD HVNTPLADDR: VNTPLID=

59、0, VN=“p-cscf_”, VNTYPE=PERMISSION;Template ID1visited network address 1visited network address 2p-cscf_.visited network address 254p-cscf_92設置IMPU的游牧權限設置IMPU的游牧權限SET HNATPLID命令用于設置指定IMPU的游牧模板ID。漫游模板可以在Portal 客戶端上使用SET HNATPLID 命令或在Portal 上使用“Set NASS AccessTemplate ID”操作來為IMPU 設置一個游牧模板ID。游牧模板ID 用于標

60、識一個游牧模板的信息。配置實例SET HNATPLID: IMPU=“sip:impu1, NATPLID=1;93設置簽約媒體ID命令SET HMEDIAID 用于設置與指定IMPU或PUSI相關聯(lián)的SMPID。SET HMEDIAID :IMPU=”sip:+8675528780808 , MEDIAID =3;說明：簽約媒體ID是在S-CSCF上由命令ADD SMPF配置的。HSSMedia ID=3SDP(steam)Reject S-CSCFMedia ID=3Media type listData codec listImage codec listAudio codec list