[基礎培訓]IMS用戶數(shù)據(jù)發(fā)放 ISSUE 3.30.ppt

1、Page0,修訂記錄,IMS 用戶數(shù)據(jù)發(fā)放,Page2,參考資料,HUAWEI HSS9820歸屬用戶服務器配置指南-(V900R008),Page3,目錄,IMS用戶簽約基本概念 SPG 介紹 PGW Web LMT介紹 業(yè)務發(fā)放流程 模板管理與開戶 用戶狀態(tài)查詢,Page4,用戶管理,用戶管理系統(tǒng)提供了用戶管理的功能，主要包括： 鑒權(quán)數(shù)據(jù)管理功能 負責對HSS（Home Subscriber Server）歸屬IMS（IP Multimedia Subsystem）用戶的鑒權(quán)數(shù)據(jù)進行管理。 用戶管理功能 負責對用戶標識以及用戶標識之間的關(guān)聯(lián)關(guān)系進行關(guān)聯(lián)。 用戶簽約數(shù)據(jù)管理功能 負責對HSS

2、歸屬IMS用戶的簽約信息進行管理，包括路由信息、簽約業(yè)務信息等。 模板管理功能 負責對各種開戶模板進行管理，包括對模板的增加、刪除、修改、查詢等 模板開戶功能 負責使用系統(tǒng)中的各種開戶模板來為不同的用戶進行開戶,Page5,用戶管理系統(tǒng)的功能結(jié)構(gòu),Page6,用戶管理系統(tǒng)的功能結(jié)構(gòu),PGW是HSS的用戶和業(yè)務數(shù)據(jù)管理部分，主要實現(xiàn)如下功能： 負責提供對HSS中的用戶數(shù)據(jù)管理功能。 處理營業(yè)廳接口消息，提供營業(yè)廳/Portal消息的接入和轉(zhuǎn)發(fā)功能。 提供營業(yè)廳接口（MML/SOAP），支持接入第三方開發(fā)的營業(yè)廳程序，滿足運營商不同的運營管理。 支持Web客戶端訪問接口。 SPG主要完成以下功能

3、接收來自BOSS/Portal的消息，轉(zhuǎn)換為符合PGW要求的SOAP格式，發(fā)送到PGW處理。 接收PGW響應發(fā)起命令實體的消息，轉(zhuǎn)換為符合發(fā)起命令實體要求的消息格式，分發(fā)到各實體處理。 提供完善的用戶權(quán)限控制策略，保證HSS數(shù)據(jù)庫中的用戶數(shù)據(jù)的安全性。 提供外部網(wǎng)元到HSS的流量控制策略，保證系統(tǒng)能夠正常運行。,Page7,Portal客戶端和PGW客戶端,Portal客戶端具有以下功能： HSS9820 提供了個人業(yè)務助理Portal 與HSS 之間的營業(yè)廳消息接口，方便為用戶提供Web Portal 功能。 Web Portal 功能由SPG2800 提供。 PGW客戶端(WebUI/We

4、b客戶端)作為本地維護臺，主要實現(xiàn)如下功能： 支持操作人員對于用戶數(shù)據(jù)的查詢和修改接口，以及操作人員的權(quán)限管理功能。 支持多業(yè)務統(tǒng)一接入。 支持文件上傳下載通道。 維護人員可通過IE直接訪問PGW，不需要特殊安裝客戶端軟件支撐維護場景。,Page8,IMS用戶簽約數(shù)據(jù)結(jié)構(gòu),SID,IMPI,IMPU,IMPI,Private,User Identity 1,Public,User Identity 1,Public,User Identity 2,Public,User Identity 3,Private,User Identity 2,Public,User Identity 4,Publ

5、ic,User Identity 5,Public,User Identity 6,Service,Profile 1,Service,Profile 2,Service,Profile 3,Service,Profile 4,IMS,Subscription,Page9,SID,IMS subscription Subscription 即IMS用戶簽約，一個IMS用戶在歸屬網(wǎng)絡中開戶后，即可獲得一個唯一的用戶簽約。 每個用戶簽約分配一個唯一的ID，即SUBID（Subscription ID）。 SUBID 由127 字節(jié)以內(nèi)的字符串組成。 SUBID 存儲在HSS 中，并且只在一個HSS

6、 中有效。,Page10,IMPI和IMPU,IP multimedia private identity,具有全球唯一性的身份標識，用于歸屬網(wǎng)絡從網(wǎng)絡的角度唯一地標識用戶的簽約關(guān)系。 一個IMPI 對應一個物理終端，類似GSM中的IMSI。 用于注冊、鑒權(quán)、管理和計費等。 存儲在HSS、S-CSCF 和終端中。 采用NAI 格式，有效格式為：用戶名“”域名。 。,IP multimedia public identity,用戶對外可尋址的標識，命名全球唯一。 一或多個IMPU 與一個Service Profile 關(guān)聯(lián)。 能夠以顯式或隱式的方式注冊，允許設置為共享。 存儲在HSS 和S-CS

7、CF 中，在HSS中是固態(tài)數(shù)據(jù)，在S-CSCF中是動態(tài)數(shù)據(jù)。一個終端中至少存儲了一個IMPU。 格式： SIP URL ： SIP: TEL URL： TEL:+8675528780808,Page11,IMPI 和 IMPU之間的關(guān)系,聯(lián)系 1個IMPI能夠擁有1個或多個IMPU 1個IMPU也能夠擁有1個或多個IMPI 注冊成功后，簽約數(shù)據(jù)僅保存在1個S-CSCF內(nèi),Page12,業(yè)務簽約信息,Service Profile是由iFC 信息和用戶簽約媒體ID 信息組成的一個數(shù)據(jù)集合。 初始過濾規(guī)則iFC（Initial Filter Criteria）用于指示SCSCF在注冊和會話過程中何

8、時觸發(fā)相關(guān)AS。 簽約媒體ID用于檢查用戶建立會話時的媒體類型（只允許語音通話，還是語音視頻均可等），為可選配置。 獨立于IRS，包含不同Service Profile 的IMPU 可能屬于同一個IRS。 能夠被同一用戶簽約中的IMPU 共享。,Service Profile,Public Identification,1 n,Core Network Service Authorization,0 1,Initial Filter Criteria,0 n,Page13,公共標識,公共標識 SIP URL 或 TEL URL Barring indication True S-CSCF將會本

9、禁止 這個用戶的所有IMS 會話，除了注冊和重注冊 False 沒有限制,Page14,iFC,iFC （Initial Filter Criteria） S-CSCF按用戶條件和業(yè)務需求匹配iFC。成功匹配一條iFC后，S-CSCF按iFC要求進行業(yè)務觸發(fā)。如：呼叫發(fā)往某AS處理。 簽約數(shù)據(jù)中的所有iFC會被設計成不同的優(yōu)先級。,iFC1,P=1,iFC2,P=2,iFC3,P=3,AS,AS,Trigger point,AS,Trigger point,AS,Trigger point,Page15,iFC,Initial Filter Criteria,Trigger Point,01,

10、Priority integer Profilepartindicator: enumerated,ConditionTypeCNF: Boolean,Service Point Trigger,ConditionNegated: Boolean Group: list of integer,Application Server,ServerName: SIP URL DeafaultHanding: enumerated,Service Information,Service information :string,1n,01,Page16,觸發(fā)點,Service Point Trigger

11、,ConditionNegated: boolean Group: list of integer RegistrationType: list of enumerated,Request-URI,RequestURI: string,SIP Method,Method: string,SIP Header,Header: string Content: string,Session Case,SessionCase: enumerated,Session Description,Line: string Content: string,Page17,IMSI,Cording scheme :

12、 E.212 MCC（Mobile Country Code）MNC（Mobile Network Code）MSIN（Mobile Subscriber Identification Number） 460004777770001,MSISDN,Cording scheme : E.164 CC（Country Code）+NDC（National Destination Code）+SN（Subscriber Number） 8613907551234,早期IMS用戶ID,Page18,目錄,IMS用戶簽約基本概念 SPG 介紹 PGW Web LMT介紹 業(yè)務發(fā)放流程 模板管理與開戶 用

13、戶狀態(tài)查詢,SPG和HSS系統(tǒng)的關(guān)系,HSS,SPG2800,Portal,Page20,目錄,IMS用戶簽約基本概念 SPG 介紹 PGW Web LMT介紹 業(yè)務發(fā)放流程 模板管理與開戶 用戶狀態(tài)查詢,Page21,Web LMT簡介,用戶通過Web瀏覽器管理和維護業(yè)務發(fā)放網(wǎng)關(guān)PGW（Provisioning Gateway），無需另外安裝客戶端。在PGW的WebUI上通過MML命令為PGW提供近端維護方式。 PGW Web LMT面向以下使用人員： 設備維護人員 網(wǎng)絡監(jiān)控人員 Web LMT具有以下功能： MML：MML是一種人機交互語言，全稱是Man-Machine Language。

14、執(zhí)行MML命令，對網(wǎng)元提供近端操作維護。 文件管理：通過Web LMT進行文件到PGW主機的上傳、下載和刪除操作。 批處理：批量執(zhí)行MML命令，執(zhí)行一系列命令來完成某個獨立的功能或某項任務。,Page22,登錄Web LMT,Page23,PGW Web LMT界面介紹,Page24,目錄,IMS用戶簽約基本概念 SPG 介紹 PGW Web LMT介紹 業(yè)務發(fā)放流程 模板管理與開戶 用戶狀態(tài)查詢,Page25,用戶簽約發(fā)放目錄,Page26,目錄,1 鑒權(quán)數(shù)據(jù)管理 1. IMS AKA 2. HTTP Digest 3. SIP Digest鑒權(quán)及配置 4. Early IMS鑒權(quán)及配置 5

15、. NASS Bundled鑒權(quán)及配置 6. Early AKA鑒權(quán)及配置 7. Trust Access鑒權(quán)及配置 8. Cave AKA鑒權(quán)及配置,Page27,IMS AKA鑒權(quán),UMTS（Universal Mobile Telecommunications System）鑒權(quán)機制稱為UMTS AKA（Authentication and Key Agreement），IMS鑒權(quán)機制的概念和原理與UMTS AKA相同，稱為IMS AKA。 IMS AKA實現(xiàn)UE（User Equipment）和IMS網(wǎng)絡之間的相互認證，保證IMS網(wǎng)絡的保密性和數(shù)據(jù)完整性。 IMS鑒權(quán)參數(shù)包括鑒權(quán)向量五

16、元組和產(chǎn)生鑒權(quán)向量五元組的一些相關(guān)參數(shù),Page28,鑒權(quán)流程IMS AKA,HSS9820,P/S/I-CSCF,IMS-SIM card,Register req (T),Register reg (Response),Authentication Vector (5),401(RAND and AUTN),200 OK,移動電話必需有支持IMS AKA 的IMS-SIM卡 HSS9820產(chǎn)生鑒權(quán)向量 (RAND、AUTN、IK and CK) S-CSCF通過401消息來鑒定用戶,MAR (Auth Type: IMS AKA),Page29,Page30,IMS AKA鑒權(quán),鑒權(quán)向量五

17、元組包括： RAND（Random Number） XRES（Expected User Response） CK（Cipher Key） IK（Integrity Key） AUTN（Authentication Token）,Page31,IMS AKA鑒權(quán),產(chǎn)生鑒權(quán)向量五元組的相關(guān)參數(shù)包括： SQN（Sequence Number） AMF（Authentication Management Field） AK（Anonymity Key） MAC（Message Authentication Code）,Page32,IMS AKA鑒權(quán)配置步驟,配置信息的相關(guān)說明: K4:用于加密KI

18、的密鑰 OP: AMF:為計算MAC的一個參數(shù) KI:為鑒權(quán)信息的加密密鑰,Page33,配置步驟,Page34,鑒權(quán)參數(shù),Page35,命令,Page36,K4,用于配置一個K4值. K4 值用于加密KI ADD HK4: K4SNO=1, K4VALUE=”1234567890ABCDEF”; 16位16進制數(shù),鑒權(quán)數(shù)據(jù)管理 配置K4,Page37,OP（Operator Variant Algorithm Configuration Field）,鑒權(quán)數(shù)據(jù)管理配置OP,OP是鑒權(quán)計算的一個輸入?yún)?shù) 保存于Auc 和 ISIM卡內(nèi) 一個運營商的所有用戶可以使用相同的OP，以區(qū)別于其他運營商

19、的用戶 。 ADD HOP ADD HOP: OPSNO=1, OPVALUE=”1234567890ABCDEF” 32位16進制數(shù),Page38,鑒權(quán)數(shù)據(jù)管理配置AMF,AMF (Authentication management field ),AMF作用為： 指示生成某一個鑒權(quán)向量所使用的算法和密鑰。 變換SQN驗證參數(shù)。 設置IK和CK的有效時間的閾值。 ADD HAMF ADD HAMF: AMFSNO=1, AMFVALUE=”1234”; 4位16進制數(shù),Page39,鑒權(quán)數(shù)據(jù)管理配置KI,KI,KI即鑒權(quán)密鑰，為用戶鑒權(quán)而設。 保存于Auc 和 ISIM卡內(nèi) ADD HKI

20、:IMPI=+,KI=497b2317da8719be497b2317da8719be, K4SNO=0, OPSNO=0, AMFSNO=1, OPC=4f50434f50434f50434f50434f504334; IMPI定義AKA鑒權(quán)數(shù)據(jù)索引IMPI的值 K是定義鑒權(quán)數(shù)據(jù)KI的值。 OPC是對OP值以KI為密鑰進行加密計算得到的Result,Page40,目錄,1 鑒權(quán)數(shù)據(jù)管理 1. IMS AKA 2. HTTP Digest 3. SIP Digest鑒權(quán)及配置 4. Early IMS鑒權(quán)及配置 5. NASS Bundled鑒權(quán)及配置 6. Early AKA鑒權(quán)及配置 7.

21、 Trust Access鑒權(quán)及配置 8. Cave AKA鑒權(quán)及配置,Page41,HTTP Digest鑒權(quán)說明,對于固網(wǎng)SIP終端，由于沒有SIM/USIM（UMTS Subscriber Identity Module）/ISIM卡，不支持IMS AKA鑒權(quán)機制和Early IMS鑒權(quán)機制。為了支持固網(wǎng)終端接入IMS網(wǎng)絡，對其采用HTTP（Hypertext Transfer Protocol）Digest鑒權(quán)機制。 HTTP Digest鑒權(quán)是基于HTTP協(xié)議的鑒權(quán)機制，其鑒權(quán)參數(shù)為用戶名User name和密碼Password。 對于采用HTTP Digest鑒權(quán)的固網(wǎng)終端，用戶依

22、靠User name和Password通過鑒權(quán)接入網(wǎng)絡。 HTTP Digest華為公司擴展的對無SIM/USIM /ISIM卡終端進行鑒權(quán)的一種鑒權(quán)方式。,Page42,鑒權(quán)流程HTTP Digest,HSS9820,P/S/I-CSCF,IMS phone,Register req (T),Register reg (Digest ),MAA (HA1),401(RAND),200 OK,1、UE 發(fā)起注冊請求nitiates the register procedure. 2、HSS 通過MAA消息發(fā)送HA1 給S-CSCF 3、S-CSCF 通過401發(fā)送RAND 給MS 4、MS進行

23、HTTP digest計算后，發(fā)送第二次注冊請求并帶有響應response 5、S-CSCF對比UE 和 HSS 的Digest,MAR (Auth Type: HTTP),HA1=HTTP Digest (Digest-Realm, User Name, Password),Page43,HTTP Digest鑒權(quán)流程,Client,P-CSCF,I-CSCF,HSS,S-CSCF,Register,UAR,UAA,S-CSCF,selection,Register,MAR,Calculate HA1,MAA,Unauthorized,Unauthorized,Unauthorized,Re

24、gister,Register,(Digest),UAR,UAA,Register,Authentication,SAA,OK,OK,OK,(RAND),(HA1),Register,(RAND),(RAND),(Digest),(Digest),SAR,(RAND+HA1)=Digest,Page44,配置步驟,Page45,鑒權(quán)數(shù)據(jù)管理鑒權(quán)信息配置,ADD HHDAINF: IMPI=+, USERNAME=+, PWD=100; IMPI: 用戶的URL地址 USERNAME: 用戶名 PWD: 用戶密碼（少于16個字符）,Page46,目錄,1 鑒權(quán)數(shù)據(jù)管理 1. IMS AKA 2.

25、 HTTP Digest 3. SIP Digest鑒權(quán)及配置 4. Early IMS鑒權(quán)及配置 5. NASS Bundled鑒權(quán)及配置 6. Early AKA鑒權(quán)及配置 7. Trust Access鑒權(quán)及配置 8. Cave AKA鑒權(quán)及配置,Page47,SIP Digest鑒權(quán)及配置,SIP Digest鑒權(quán)說明: 對于SIP軟終端這類沒有SIM/USIM/ISIM卡，只有UserName和Password的用戶，在IMS網(wǎng)絡中采用SIP Digest方式進行鑒權(quán)認證。 SIP Digest處理流程與HTTP Digest只有很細小的差別(SIP Digest是HTTP Dige

26、st的升級版本)，兩者都是基于MD5算法進行鑒權(quán)。 簽約SIP Digest比HTTP Digest多了一個REALM參數(shù)，計算鑒權(quán)數(shù)據(jù)時SIP Digest鑒權(quán)參數(shù)都是從HSS中讀取的，HTTP Digest中的Realm是S-CSCF通過MAR消息送過來的。 SIP Digest與對HTTP Digest的兼容，如果用戶簽約了SIP Digest鑒權(quán)方式，則認為該用戶也支持HTTP Digest鑒權(quán)方式。 用戶不能同時簽約SIP Digest鑒權(quán)和HTTP Digest鑒權(quán)。,SIP Digest鑒權(quán)配置: ADD HHDAINF: IMPI=, HUSERNAME=tom, PWD=12

27、3456“, REALM=;,Page48,目錄,1 鑒權(quán)數(shù)據(jù)管理 1. IMS AKA 2. HTTP Digest 3. SIP Digest鑒權(quán)及配置 4. Early IMS鑒權(quán)及配置 5. NASS Bundled鑒權(quán)及配置 6. Early AKA鑒權(quán)及配置 7. Trust Access鑒權(quán)及配置 8. Cave AKA鑒權(quán)及配置,Page49,Early IMS鑒權(quán),IMS建網(wǎng)初期，會存在一些UE不能支持IMS AKA鑒權(quán)機制。比如沒有ISIM卡的PS（Packet Switched）域用戶。 為了讓不支持IMS AKA鑒權(quán)機制的PS域用戶能夠接入IMS網(wǎng)絡，保障IMS網(wǎng)絡對現(xiàn)

28、有PS網(wǎng)絡的兼容性，同時確保IMS網(wǎng)絡的安全性，IMS網(wǎng)絡引入Early IMS鑒權(quán)機制，作為IMS建網(wǎng)初期的一種用戶鑒權(quán)機制。,Page50,Early IMS鑒權(quán),Early IMS鑒權(quán)過程如下： GGSN（Gateway GPRS Support Node）接收到UE的PDP（Packet Data Protocol）上下文激活請求。 GGSN給UE分配一個IP地址。 GGSN通過Gi接口將IP地址、IMSI（International Mobile Subscriber Identity）和MSISDN（Mobile Station International ISDN Number）

29、傳送給HSS。 HSS通過其存儲的IMSI/MSISDN與IMPI的關(guān)聯(lián)關(guān)系，檢索出相應的IMPI。 HSS建立IP地址與IMPI的綁定。 S-CSCF（Serving CSCF）接收到支持Early IMS鑒權(quán)機制的UE注冊或其它SIP（Session Initiation Protocol）請求。 S-CSCF比較SIP頭域里帶有的IP地址與HSS中存儲的相應IP地址是否相同，從而完成驗證。,Page51,Early IMS鑒權(quán)配置,Early IMS鑒權(quán)的配置 ADD HIMSI: IMSI=460001234567, ISDN=8613900001234; ADD HASSOC: IM

30、PI=, IMSI=460001234567; SET HEIA: IMPI=, EIAFLAG=TRUE;,Page52,目錄,1 鑒權(quán)數(shù)據(jù)管理 1. IMS AKA 2. HTTP Digest 3. SIP Digest鑒權(quán)及配置 4. Early IMS鑒權(quán)及配置 5. NASS Bundled鑒權(quán)及配置 6. Early AKA鑒權(quán)及配置 7. Trust Access鑒權(quán)及配置 8. Cave AKA鑒權(quán)及配置,Page53,NASS Bundled鑒權(quán),NASS Bundled 鑒權(quán)是對早期固網(wǎng)用戶接入IMS 網(wǎng)絡時進行認證的一種機制。在NASS Bundled 鑒權(quán)中，鑒權(quán)數(shù)據(jù)

31、為Line ID NASS Bundled 鑒權(quán)流程如下： 1. 用戶終端發(fā)起IMS 注冊請求，其IP 地址通過REGISTER 消息送到P-CSCF。 2. P-CSCF 與CLF 交互獲得用戶終端的位置信息。 3. P-CSCF 將用戶終端位置信息記錄在REGISTER 消息的“P-Access-Network-Info”頭域中發(fā)往I-CSCF。 4. I-CSCF 從HSS 中查詢到S-CSCF 的地址，將注冊請求發(fā)送到S-CSCF。 5. S-CSCF 收到REGISTER 請求，保存“P-Access-Network-Info”頭域中攜帶的終端位置信息。 6. S-CSCF 通過MA

32、R 消息向HSS 請求NASS Bundled 鑒權(quán)信息，即事先配置的固網(wǎng)終端位置信息。 7. HSS 收到要求進行NASS Bundled 鑒權(quán)的MAR 請求后，查詢出IMPI 對應的所有固網(wǎng)終端位置信息，并通過MAA 下發(fā)給S-CSCF。 8. S-CSCF 通過比較從HSS 獲得的固網(wǎng)終端位置信息以及由P-CSCF 獲得的固網(wǎng)終端位置信息，來驗證用戶身份的合法性。如兩者相同，則鑒權(quán)成功，否則拒絕REGISTER 請求。,Page54,NASS Bundled鑒權(quán)配置,NASS Bundled鑒權(quán)配置說明 /*增加IMPI 的NASS Bundled 鑒權(quán)信息*/ ADD HNBAINF:

33、 IMPI=, LINEIDIDX=1, LINEID=rack01subrack00;,Page55,目錄,1 鑒權(quán)數(shù)據(jù)管理 1. IMS AKA 2. HTTP Digest 3. SIP Digest鑒權(quán)及配置 4. Early IMS鑒權(quán)及配置 5. NASS Bundled鑒權(quán)及配置 6. Early AKA鑒權(quán)及配置 7. Trust Access鑒權(quán)及配置 8. Cave AKA鑒權(quán)及配置,Page56,Early AKA鑒權(quán),Early AKA 鑒權(quán)是在HSS 與HLR 共存的局面下，為支持PS/CS 域用戶接入IMS 網(wǎng)絡時進行認證的一種機制。 Early AKA 鑒權(quán)流程如

34、下： 1. UE 發(fā)起注冊請求。 2. P-CSCF 接收到注冊請求并向I-CSCF 發(fā)送。 3. I-CSCF 從HSS 中查詢到S-CSCF 的地址，將注冊請求發(fā)送到S-CSCF。 4. S-CSCF 接收到注冊請求，向HSS 發(fā)送MAR 消息。 5. HSS 根據(jù)MAR 消息中攜帶的Authentication-Scheme AVP 判斷用戶的鑒權(quán)模式是Early AKA 鑒權(quán)，則根據(jù)IMPI 查找關(guān)聯(lián)的IMSI，并向HLR 發(fā)送MAP 消息MAP_SAI_REQ 請求鑒權(quán)向量。 6. HLR 通過MAP 消息MAP_SAI_RSP 向HSS 返回鑒權(quán)向量。 7. HSS 將獲得的鑒權(quán)向

35、量通過MAA 消息返回給S-CSCF。,Page57,Early AKA鑒權(quán)（續(xù)）,8. S-CSCF 按照先入先出的原則從鑒權(quán)向量集中選擇一個鑒權(quán)向量向I-CSCF 發(fā)送鑒權(quán)請求。 9. I-CSCF 將鑒權(quán)請求轉(zhuǎn)發(fā)給P-CSCF。 10. P-CSCF 接收到鑒權(quán)請求，從中取出IK 和CK 并保存，將鑒權(quán)請求繼續(xù)向UE 發(fā)送。 11. UE 接收到鑒權(quán)請求，獲取AUTN 以對IMS 網(wǎng)進行鑒權(quán)認證。 12. 對網(wǎng)絡的鑒權(quán)通過后，UE 使用RAND 計算出鑒權(quán)響應RES，并通過注冊消息發(fā)往P-CSCF。 13. P-CSCF 接收到鑒權(quán)響應并向I-CSCF 發(fā)送，I-CSCF 從HSS 中查

36、詢到S-CSCF 的地址，將鑒權(quán)響應向S-CSCF 發(fā)送。 14. S-CSCF 接收到鑒權(quán)響應，將期望收到的鑒權(quán)響應XRES 和實際收到的鑒權(quán)響應RES進行比較。如果兩者匹配，則UE 通過網(wǎng)絡鑒權(quán)。 15. S-CSCF 經(jīng)過I-CSCF，P-CSCF 向UE 發(fā)送鑒權(quán)成功響應消息。,Page58,Early AKA鑒權(quán)配置,Early AKA 鑒權(quán)流程如下： /*增加IMSI*/ ADD HIMSI: IMSI=216011234567890, ISDN=361200123456789; /*建立IMPI 與IMSI 的關(guān)聯(lián)關(guān)系*/ ADD HASSOC: IMPI=, IMSI=2160

37、11234567890; /*設置IMPI 支持Early AKA 鑒權(quán)*/ SET HEAA: IMPI=, EAAFLAG=TRUE;,Page59,目錄,1 鑒權(quán)數(shù)據(jù)管理 1. IMS AKA 2. HTTP Digest 3. SIP Digest鑒權(quán)及配置 4. Early IMS鑒權(quán)及配置 5. NASS Bundled鑒權(quán)及配置 6. Early AKA鑒權(quán)及配置 7. Trust Access鑒權(quán)及配置 8. Cave AKA鑒權(quán)及配置,Page60,Trust Access鑒權(quán)配置及配置,Trust Access鑒權(quán)說明: 對于固網(wǎng)PVS用戶，其接入IMS網(wǎng)絡的安全性由前端保

38、證，沒有任何鑒權(quán)數(shù)據(jù)在HSS保存。為了支持PVS用戶接入IMS網(wǎng)絡，對其采用Trust Access鑒權(quán)機制。 PVS通過MAR消息向HSS獲取鑒權(quán)數(shù)據(jù)，HSS下發(fā)MAA消息的處理需要根據(jù)PVS上的不同用戶進行區(qū)分處理： 如果PVS上的是一般用戶（僅指在HSS上配置HDA鑒權(quán)后開戶的用戶），則HSS保持R5C01版本的處理流程不變； 如果PVS上的是沒有鑒權(quán)信息的用戶（即PVS上配置的可信用戶，在HSS上為這種可信用戶指定TAA無鑒權(quán)方式），則HSS會根據(jù)該用戶是否支持TAA無鑒權(quán)方式進行處理： 支持TAA鑒權(quán)：返回MAA消息，通知PVS該用戶是無鑒權(quán)用戶。 不支持TAA鑒權(quán)：返回鑒權(quán)失敗 T

39、rust Access鑒權(quán)配置說明: SET HTAA: IMPI=, TAAFLAG=TRUE;,Page61,目錄,1 鑒權(quán)數(shù)據(jù)管理 1. IMS AKA 2. HTTP Digest 3. SIP Digest鑒權(quán)及配置 4. Early IMS鑒權(quán)及配置 5. NASS Bundled鑒權(quán)及配置 6. Early AKA鑒權(quán)及配置 7. Trust Access鑒權(quán)及配置 8. Cave AKA鑒權(quán)及配置,Page62,Cave AKA鑒權(quán)說明,終端發(fā)起注冊時，S-CSCF發(fā)現(xiàn)終端沒有進行鑒權(quán)，則S-CSCF會向HSS請求該終端對應的鑒權(quán)數(shù)據(jù)；HSS根據(jù)S-CSCF的請求，生成n(n=

40、5)組鑒權(quán)向量(RAND、XRES、CK、IK、AUTN),并將生成的鑒權(quán)向量通過MAA消息返回給S-CSCF。 S-CSCF保留RAND和XRES,并將RAND、CK、IK、AUTN發(fā)送給P-CSCF，P-CSCF保留IK和CK,并將RAND和AUTN發(fā)送給終端，AUTN包含三部分(MAC、AMF、SQN)。 終端根據(jù)AUTN和保存在ISIM卡上的K計算出XMAC,并與MAC進行比較，如果不相同，則終端對網(wǎng)絡鑒權(quán)失?。蝗绻嗤瑒t終端對網(wǎng)絡鑒權(quán)通過。 對網(wǎng)絡鑒權(quán)通過后，如果SQN在可接受的范圍內(nèi)，終端會計算出RES并返回給S-CSCF,如果S-CSCF判斷RES和XRES相同，則對終端的鑒權(quán)成

41、功；如果SQN不在可接受的范圍內(nèi)，則發(fā)起重同步過程，向HSS重新請求鑒權(quán)向量，HSS更新保存的SQN后生成新的鑒權(quán)向量返回給S-CSCF，S-CSCF與終端之間重新進行鑒權(quán)。,Page63,Cave AKA鑒權(quán)說明（續(xù)）,Page64,Cave AKA鑒權(quán)配置,使用ADD HIMSI添加IMSI號碼，該命令中，IMSI對應的IMPI必須通過IMSI導出，即IMPI = IMSI形式。 ADD HIMSI: IMPI=, IMSI=123455555555555; 使用SET HCAA設定IMPI支持CAVE AKA鑒權(quán) SET HCAA: IMPI=, CAVEAKAFLG=TRUE, UIM

42、ID=12365411; UIMID即為C網(wǎng)編號計劃中的ESN號碼。 使用ADD HSUB添加用戶 ADD HSUB: SUBID=123455555555555, IMPI=, IMPU=sip:; 使用SET HVNTPLID簽約IMPU對應的漫游地址 SET HVNTPLID: IMPU=sip:, VNTPLID=100;,Page65,目錄,2 用戶管理 1. 基本概念 2. IMS用戶管理 3. Early IMS用戶管理 4. PSI用戶管理,Page66,IMS用戶標識的關(guān)聯(lián)關(guān)系,Page67,Early IMS用戶標識的關(guān)聯(lián)關(guān)系,Page68,PSI用戶標識,PSI(Publ

43、ic Service Identity)用于標識由AS（Application Server）提供的業(yè)務，在HSS中，將此類業(yè)務當作用戶進行處理，稱為PSI用戶。PSI用戶有兩種標識：私有業(yè)務標識PISI（Private Service Identity）和公有業(yè)務標識PUSI（Public Service Identity）。 HSS內(nèi)部保存的PUSI分為“通配PUSI”（Wildcarded PSI，簡稱WPUSI）和“非通配PUSI”（Distinct PUSI，簡稱DPUSI）兩類。一個通配PUSI代表著一組PUSI。例如，用戶呼叫sip:chatlist_的PUSI，HSS可以將呼叫

44、路由到一個通配PUSI: sip:chatlist_!*!。,Page69,目錄,2 用戶管理 1. 基本概念 2. IMS用戶管理 3. Early IMS用戶管理 4. PSI用戶管理,Page70,添加一個新的IMS用戶簽約,對于IMS用戶，開戶之前IMPI必須已經(jīng)增加IMS AKA鑒權(quán)信息或HTTP Digest鑒權(quán)信息。 一般IMS用戶開戶: 命令ADD HSUB 用于增加一個IMS subscription，并且可以同時為這個SUBID增加IMPI和IMPU。 ADD HSUB: SUBID= 100 , IMPI= + , IMPU= sip:+ ;,Subscription I

45、D 100,+,sip:+,Page71,增加一個新IMPI（可選 ）,命令ADD HIMPI用于對存在的SUBID增加一個新IMPI ADD HIMPI: SUBID=“100, IMPI=+;,Subscription ID,+,+,Page72,多IMPU的IMS用戶開戶,多IMPU的IMS用戶開戶指多個IMPU被一個IMPI共享 增加一個新IMS用戶： ADD HSUB: SUBID= 100 , IMPI= + , IMPU= sip:+ ; 為IMPI增加一個新的tel URL ADD HIMPU: IMPI=+, IMPU=tel:+8675528780808;,Subscrip

46、tion ID,+,sip:+,tel:+8675528780808,Page73,隱式注冊IMS用戶開戶,隱式注冊集IRS: Implicit Register Set 只要一個IMPU完成注冊，屬于相同的IRS的所有IMPU會完成注冊,HSS,IRS (sip:+ /*設置Early IMS鑒權(quán)模式*/ SET HEIA: IMPI=, EIAFLAG=TRUE; /*增加一個IMS Subscription*/ ADD HSUB: SUBID=sub1, IMPI=, IMPU=sip:;,Page78,目錄,2 用戶管理 1. 基本概念 2. IMS用戶管理 3. Early IMS用

47、戶管理 4. PSI用戶管理,Page79,PSI用戶開戶,第三方注冊PSI用戶開戶 ADD HPSI: PISI=, PUSI=sip:, PUSITYPE = DPUSI; ADD HIFC: PUSI=sip:, PRIORITY =4, PARTIND =REGISTERED, SERVER =sip:, DEFHND = SESSION_CONTINUED; SET HAS: PUSI=sip:, AS =sip:;,Page80,目錄,3簽約數(shù)據(jù)管理 1. 基本概念 2. 用戶簽約數(shù)據(jù)配置,Page81,基本概念,用戶簽約數(shù)據(jù)管理的基本概念主要從以下八個方面進行介紹： 計費 閉鎖

48、注冊權(quán)限 漫游權(quán)限 游牧權(quán)限 簽約媒體ID IFC 能力集,Page82,基本概念,閉鎖 每個IMPU都有一個閉鎖標志，用于指示該IMPU是否被閉鎖，即是否被禁止使用IMS業(yè)務。 當IMPU被閉鎖，且該IMPU不屬于任何隱式注冊集，或者該IMPU屬于某隱式注冊集，但該隱式注冊集中的其它IMPU都被閉鎖，該IMPU不能注冊。 注冊權(quán)限 注冊權(quán)限表示IMPU是否允許注冊。 隱式注冊集中所有IMPU的注冊權(quán)限都相同。 漫游權(quán)限 漫游權(quán)限表示IMPU在哪些拜訪網(wǎng)絡中允許漫游。 隱式注冊集中所有IMPU的漫游權(quán)限都相同。 游牧權(quán)限 游牧權(quán)限用于表示固網(wǎng)用戶在哪些網(wǎng)絡中允許漫游。,Page83,基本概念,

49、能力集 當一個用戶發(fā)起SIP注冊請求時，I-CSCF（Interrogating CSCF）需要為該用戶分配一個S-CSCF，即選擇合適的S-CSCF。 I-CSCF通過能力集選擇S-CSCF，能力集包含必選/可選能力和S-CSCF名稱兩部分。 必選/可選能力 I-CSCF能夠從HSS接收用戶所需的S-CSCF的必選能力和可選能力列表，根據(jù)S-CSCF所具有的能力選擇S-CSCF。 首先，I-CSCF選擇具有用戶所需的所有必選能力和可選能力的S-CSCF。如果沒有，I-CSCF將使用最大匹配原則，先匹配必選能力，后匹配可選能力。如果有多個S-CSCF具有用戶所需的所有必選能力，I-CSCF將根

50、據(jù)可選能力選擇S-CSCF。 S-CSCF名稱 I-CSCF能夠根據(jù)業(yè)務簽約信息選擇S-CSCF。對此，需要給用戶指派特定的S-CSCF，即S-CSCF名稱，并將S-CSCF名稱作為業(yè)務簽約信息的一部分。 例如，可以把一個公司、集團的所有用戶包含在同一個S-CSCF中以提供VPN（Virtual Private Network）業(yè)務。,Page84,基本概念,簽約媒體ID 簽約媒體ID標識允許用戶請求的一組會話描述參數(shù)，作為業(yè)務簽約信息的一部分存儲在HSS中，當用戶注冊或者未注冊用戶收到終止初始請求時下載到S-CSCF中，S-CSCF根據(jù)運營商配置將簽約媒體ID翻譯成簽約媒體組。 IFC IF

51、C即初始過濾規(guī)則，表示一個用戶對一個應用的簽約情況，作為業(yè)務簽約信息的一部分存儲在HSS中，當用戶注冊或者未注冊用戶作被叫時下載到S-CSCF中，S-CSCF根據(jù)過濾規(guī)則向應用服務器轉(zhuǎn)發(fā)SIP（Session Initiation Protocol）請求。 用戶請求調(diào)用的每個應用或業(yè)務，都對應一組IFC數(shù)據(jù)。每組IFC數(shù)據(jù)包括優(yōu)先級、業(yè)務相關(guān)性、AS（Application Server）地址、默認處理方式、業(yè)務信息和觸發(fā)點。,Page85,目錄,3簽約數(shù)據(jù)管理 1. 基本概念 2. 用戶簽約數(shù)據(jù)配置,Page86,設置計費信息,這個命令用于為一個指定的IMPI或PISI設置計費地址： SET

52、 HCHARGID: IMPI=+, CHARGTPLID=1; The PCCFID is defined by command ADD HCHGTPL ADD HCHGTPL: TPLID=1, PECF=“”, SECF=“”;,Page87,設置閉鎖狀態(tài),設置閉鎖狀態(tài) SET HBAR命令用于設置指定IMPU或PUSI的閉鎖標志狀態(tài)。PUSI的閉鎖狀態(tài)對PUSI的流程處理暫無任何影響。需要注意以下兩種情況： 當IMPU被閉鎖,且不屬于任何隱式注冊集，或?qū)儆陔[式注冊集，但該隱式注冊集中的其它IMPU也都被閉鎖時，該用戶不能注冊。 當該IMPU為某IRS的Default IMPU時，不能將

53、該IMPU設置為閉鎖狀態(tài)。 配置實例 SET HBAR: IMPU=sip:, BAR=TRUE;,Page88,設置注冊權(quán)限,這個命令用于設置一個IMPU是否具有注冊權(quán)限 SET HREGAUTH: IMPU=“sip:+, REGAUTH=TRUE; SET HREGAUTH: IMPU=“tel:+8675528780808, REGAUTH=TRUE;,SET HREGAUTH: IMPU=“tel:+8675528780808, REGAUTH=TRUE SET HREGAUTH: IMPU=“tel:+8675528780810, REGAUTH=FALSE,設置漫游權(quán)限,根據(jù)IM

54、PU在HSS內(nèi)定義用戶的漫游權(quán)限,選擇是否檢查漫游權(quán)限,為IMPU分配拜訪模板,定義拜訪模板,Page90,設置漫游權(quán)限(續(xù)),SET HVNCFLAG 用于是否對一個特定的IMPU進行漫游權(quán)限檢查 SET HVNCFLAG: IMPU=“sip:+, VNCFLAG=TURE; SET HVNCFLAG: IMPU=tel:+8675528780808 , VNCFLAG=TURE; VNCFLAG TURE FALSE,設置漫游權(quán)限(續(xù)),這個命令是用于為一個IMPU設置漫游模板ID SET HVNTPLID: IMPU=“sip:+, VNTPLID=0; SET HVNTPLID: I

55、MPU=“tel:+8675528780808, VNTPLID=0;,ADD HVNTPLADDR: VNTPLID=0, VN=“p-”, VNTYPE=PERMISSION,P-CSCF: ,Page92,設置漫游權(quán)限(續(xù)),命令ADD HVNTPLADDR 和 ADD HVNTPL是用于在HSS數(shù)據(jù)庫內(nèi)為特定的拜訪網(wǎng)絡設置一個 拜訪網(wǎng)絡地址 ADD HVNTPL: TPLID=0, MATCHTYPE=FRONT, VN=“p-”, TYPE=PERMISSION; ADD HVNTPLADDR: VNTPLID=0, VN=“p-cscf_”, VNTYPE=PERMISSION;,

56、Page93,設置IMPU的游牧權(quán)限,設置IMPU的游牧權(quán)限 SET HNATPLID命令用于設置指定IMPU的游牧模板ID。 漫游模板可以在Portal 客戶端上使用SET HNATPLID 命令或在Portal 上使用“Set NASS AccessTemplate ID”操作來為IMPU 設置一個游牧模板ID。游牧模板ID 用于標識一個游牧模板的信息。 配置實例 SET HNATPLID: IMPU=“sip:, NATPLID=1;,Page94,設置簽約媒體ID,命令SET HMEDIAID 用于設置與指定IMPU或PUSI相關(guān)聯(lián)的SMPID。 SET HMEDIAID :IMPU=

57、”sip:+ , MEDIAID =3; 說明：簽約媒體ID是在S-CSCF上由命令ADD SMPF配置的。,Media ID=3,SDP(steam),Reject,設置IMPU的iFC,iFC的參數(shù)復雜，一般由AS的提供商進行編寫，形成腳本，用戶只需要執(zhí)行腳本即可。 iFC的具體參數(shù)含義可查閱手冊 iFC腳本例子（粗體部分需要根據(jù)實際用戶進行修改）： ADD HIFC : IMPU=“sip:+, PRIORITY=1,PARTIND=REGISTERED,SERVER=sip::5060,DEFHND=SESSION_TERMINATED,SERVINFO=“AS,

58、TRIGPT=005REGISTER;,Page96,設置IMPU的iFC（續(xù)）,PRIORITY:定義一個新iFC的優(yōu)先級，S-CSCF會根據(jù)優(yōu)先級一個一個地處理所有的iFC。 PARTIND (Profile part indicator):指定iFC是與注冊業(yè)務還是非注冊業(yè)務相關(guān)。 SERVER:用于指定iFC所要觸發(fā)的AS地址 DEFHND (default handling ):指定觸發(fā)指定AS失敗后的處理方式 。,Page97,設置一個IMPU的能力集,命令SET HMOCAP是用于設置一個IMS簽約用戶的業(yè)務能力 SET HMOCAP: SUBID=100, MCAP=100 MCAP/OCAP: 只有一個無效ID值0，取值為0時，表示將參數(shù)原有的必選/可選能力置為無效。 由1到32個整數(shù)用“,HSS,S-CSCF,I-CSCF,(),(),I-CSCF 根據(jù)HSS的用戶簽約數(shù)據(jù)選擇 S-CSCF 來處理業(yè)務,Page100,設置業(yè)務簽約信息共享,設置業(yè)務簽約信息