IP多媒體子系統分組視頻實現及鑒權分析

中國電信股份有限公司淮安分公司 王之順

IP多媒體子系統分組視頻實現及鑒權分析

中國電信股份有限公司淮安分公司 王之順

摘要：對基于IMS（IP多媒體子系統）的PSVT（分組視頻）業務進行分析，討論了業務的特性和業務實現組網方案，并對該業務的鑒權流程進行了分析討論。該業務的部署，將給用戶提供更豐富的業務體驗，增強運營商業務競爭能力。

關鍵詞：多媒體子系統；分組交換；視頻電話

0 引言

PSVT（分組交換視頻電話）業務，是基于EV-DO RevA（evolution-data only A版本）分組網絡以及基于IMS（IP多媒體子系統）的控制系統實現的兩個可視移動終端之間的實時雙工音視頻通信業務。由于CDMA（碼分多址）不支持電路域的視頻電話，只支持分組域視頻電話，所以對于電信企業而言，PSVT技術能更好地提供移動視頻電話業務。

PSVT業務是業界公認的3G標志性業務之一，它也可以作為4G LTE（長期演進）網絡下的擴展業務，屬于對稱性的實時多媒體應用，EV-DO RevA在反向容量的大幅提升，多業務流支持、低時延接入、低時延傳輸和快速切換等特點都很好地保證了視頻業務質量。它能充分利用IP視頻壓縮技術，對靜止或變化圖像大大壓縮占用的帶寬，節省的帶寬可以供其他業務。IMS網絡作為最新的核心網，它的協議擴展性好，可以支持多種SIP-AS（基于會話初始協議應用服務器）接入和多媒體業務的融合嵌套，可以更好地讓PSVT業務和其他多媒體業務進行結合，是公認的支持PSVT業務較好的架構。

目前PSVT業務需要進行終端定制，無需用戶登錄客戶端，需要支持SIP，以完成和IMS網絡的交互。終端需要設置BAC（邊緣接入控制）域名，實現BAC發現功能。PSVT最基本的支持點對點視頻電話，接通后，雙方可以看到對方的音頻和視頻。當視頻呼叫失敗時，提示或者自動轉語音呼出。能同時看到本端和遠端的視頻并可以切換本端和遠端圖像。

1 PSVT業務實現

目前江蘇電信IMS采取大區組網，全省分為華為、中興兩個大區。每個大區如CSCF（呼叫會話控制功能）、HSS（歸屬用戶服務器）、ENS（E.164域名服務）、MRFP（多媒體資源功能處理器）、MRFC（多媒體資源功能控制器）、計費網關等集中部署，有兩套BAC（邊界會話控制）為分組域漫游BAC集中建設，其余BAC為固定終端接入按本地網部署，全省集中建設一套貝爾融合視頻AS（應用服務器）。

VT（視頻）用戶通過省內的PDSN（分組數據交換網）設備接入到分組域BAC，再通過BAC接入到CSCF。BAC實現SIP信令代理功能，保證IMS核心網的安全。計費網關負責收集會話控制服務器、AS的計費數據，生成VT業務的CDR（呼叫記錄）。PSVT業務系統基于CN2（下一代承載網）網絡承載，采用獨立的VPN（虛擬專用網絡）方式，與CTWAP（電信無線應用協議）網絡隔離。

當用戶發起PSVT呼叫時，信令經過RAN（無線接入網絡）和PDSN，通過IP網絡進入IMS核心網，之后的呼叫流程和IMS基本呼叫流程相同，只是根據主叫和被叫是否簽約VT業務，選擇是否觸發VT-AS，VT-AS主要負責視頻通話的業務邏輯并觸發媒體資源系統放音。而媒體流只經過分組域設備BAC和IP網絡。基于IMS的PSVT業務系統如圖1所示。

2 鑒權分析

PSVT業務鑒權注冊，涉及到以下網元：AN（接入網）、AAA（認證，授權，計費）、AN-AAA（接入網AAA認證服務器）、PDSN和IMS核心網元。

VT業務對用戶的認證鑒權按順序包括以下3個步驟：接入網鑒權、分組業務鑒權和VT業務鑒權。

1）接入網鑒權。終端開機后即啟動，網絡對VT終端進行認證，通過AN-AAA實現。由于目前CDMA的UIM（用戶識別模塊）卡僅支持CAVE（蜂窩認證和語音加密）算法，3GPP2（第三代移動通信合作計劃組織2組）在規范A.S0006中提出了基于CAVE算法的CHAP（點對點詢問握手認證協議）鑒權，要求AN-AAA支持CAVE鑒權算法。基于CAVE算法的鑒權流程如圖2所示。

UE（用戶設備）向AN發起CHAP協商，AN發起挑戰，終端響應后，AN向AN-AAA發起接入請求，AN-AAA會向HLR（歸屬位置寄存器）進行認證請求，認證成功后，HLR發AuthReq（鑒權申請消息）響應返回，AN收到響應后，向終端發認證成功消息。

基于CAVE算法的鑒權過程需要增加AN-AAA與HLR/AC（接入控制器）之間的IS-41（蜂窩無線通信系統間運行建議）信令鏈路，實現AN-AAA與HLR/AC之間的SSD（共享加密數據）動態更新或共享。此時，AN-AAA完成類似于CDMA 1x核心網電路域中的VLR（拜訪位置寄存器）的功能。

2）分組業務鑒權是PDSN從AAA獲取用戶的權限信息，分配IP地址的過程。開通VT業務時，需要在AAA中開設該用戶VT業務所對應的不同流的權限〔包括QoS（服務質量）profile〕。當VT終端軟件啟動時，PDSN從AAA獲取與用戶相關的權限信息后，完成對VT用戶身份的鑒權，給用戶分配IP地址（私有地址）。鑒權流程見圖3。

終端與PDSN協商建立PPP（點對點）連接，PDSN連接AAA實現分組業務鑒權。PDSN發送auth/profile request消息，消息里帶有鑒權請求以及IP地址請求，AAA返回的auth/profile response消息里帶有鑒權響應和分配的IP地址，DNS（域名系統）等信息。創建PPP鏈路成功后，PDSN發送計費請求，計費請求完畢，終端可以發起VT業務。PDSN另外還有一個功能就是統計用戶上網流量或者時長，按照IMSI（國際移動用戶識別碼）產生計費消息發送給AAA。

3）VT業務鑒權即IMS網絡鑒權，通過HSS（歸屬用戶服務器）完成VT用戶身份驗證。

終端接入VT業務系統鑒權存在以下兩種方案：

HTTP（超文本傳輸協議）digest（UIM-ID做密碼）鑒權密碼采用UIM卡內的參數，鑒權采用用戶移動終端內的UIM卡內的UIM-ID進行鑒權，不需要用戶輸入賬號密碼，技術實現簡單，只需要用戶申請VT業務時，業務系統將用戶的UIM-ID寫入HSS即可。但是UIM-ID屬于UIM卡內可讀出的參數，存在可能的安全隱患。

CAVE AKA（認證和密鑰協商）鑒權采用用戶移動終端內的UIM卡內的非公開參數AKEY（鑒權碼）進行鑒權，不需要用戶輸入賬號密碼，而且安全性非常好，用戶無需換卡即可享受IMS業務。但是技術實現較復雜。建網初期可以采用HTTP digest（UIM-ID做密碼）鑒權方式，隨著設備成熟，可以采用CAVE AKA方式。

圖4為CAVE AKA方式鑒權流程。VT業務終端在IMS側的注冊流程和固定終端標準IMS注冊流程相同，需要進行二次注冊，第一次注冊SCSCF（服務呼叫控制功能）通過MAR/MAA（多媒體鑒權請求/響應）到HSS下載鑒權向量，HSS從HLR獲取AKA鑒權五元組AUTN（認證令牌），rand_AKA（隨機數），XRES（期望響應），CK（加密密鑰），IK（完整性密鑰）。第二次注冊通過SAR/SAA（服務分配請求/響應）下載用戶service profile（業務數據）。當完成注冊后，SCSCF將會向視頻業務提供的AS進行第三方注冊。

3 結束語

目前電信運營商業務增長點少，而視頻通話業務滿足了用戶的需求，也是能使運營商擺脫困境的新業務。電路域的視頻通話業務技術成熟，而分組域視頻技術仍然不是非常完善，在用戶體驗、終端等方面還有提升空間。相信隨著業務開展，將進一步完善各方面的標準和用戶體驗，具有廣闊的應用前景。◆