FMC中固定终端如何鉴权

　　中国电信股份有限公司北京研究院 郑涛

　　由于固定网络和移动网络在接入的带宽、终端的鉴权认证、终端的移动性等等方面存在差异，如何看待和解决这些差异成为能否实现基于IMS的FMC的关键问题。

　　IMS的概念和架构最初由3GPP在R5版本中提出，作为第三代移动通信中一个新的域，IMS为用户提供多媒体业务，实现了业务和控制的分离。在3GPPR7的版本中，IMS由只提供GPRS接入扩展到支持WLAN、固定宽带接入等方式，实现了接入的无关性。同时IMS采用了与固定软交换相同的SIP协议和类似的架构，这些都为实现基于IMS的固定与移动的融合打下了基础。目前，IMS已经被多个标准组织作为研究的方向，其中3GPP和3GPP2关注于IMS在移动通信中的应用，TISPAN和ITU-T研究IMS在固网和在网络融合领域的应用。可以说IMS的出现为固定和移动在业务和网络上的融合提供了一个前所未有的机遇。

　　从标准成熟度上来看，通过IMS的创造者3GPP制定的R5、R6和R7等一系列标准，IMS在移动通信的应用已经成熟，各个厂商也已经能提供基于R5和R6的商用IMS设备和终端。相对移动方面，基于IMS的固网和网络融合方面的标准还不是很成熟，有些问题还正在研究过程中。由于固定网络和移动网络在接入的带宽、终端的鉴权认证、终端的移动性等等方面存在差异，如何看待和解决这些差异成为能否实现基于IMS的FMC的关键问题。

　　由于固定终端和移动终端存在先天的差异，而IMS发源于移动通信领域，因此在将IMS扩展到固网这一领域的时候，固定终端会面临一些问题。下面主要探讨一下固定终端在IMS的接入鉴权认证方面所存在的问题和可以采取的解决方案。

　　差异化

　　我们知道，固定终端和移动终端相对比，最大的不同在于终端的便携性和移动性。移动终端大多属于私有性质，由个人随身携带，具有很强的移动性，需要支持网内和网间的漫游和切换，漫游范围很大，可以到全球范围。而固网终端一般设置于一个固定的场所内，如家庭或办公室，具有一些共用性的特点，如家庭成员间、同事间可能会有一定的共用。固定终端一般不具有很强的移动和漫游特性(WLAN终端具有一定的移动和漫游性)。

　　正因为这些特性的存在，固网终端和移动终端在设计之初就存在较大的差异。移动终端一开始就注重对鉴权和认证的支持，而且具有强大的信息加密、移动、漫游等功能。移动终端对用户有自己的公共标志，如MSISDN，对网络有自己的私有标志，如IMSI。而固定终端大多是直接通过有线线路接入网络，因此对鉴权和认证等方面没有太多的关注，另外一般也只有公共标志(如电话号码、IP地址等等)，缺少自身的私有标志。为了满足基于IMS的固定和移动的融合需求，固定终端需要进行相应地改进和完善。

　　满足认证要求

　　IMS对识别用户有自己特定的要求。IMS用户有公共用户标志和私有用户标志，这与目前移动用户的MSISDN和IMSI相对应，但在IMS阶段，它们具有自己的特性。

　　每个IMS用户至少被分配一个公共用户标志。公共用户标志可以是SIPURI，或者是TelURI。有些情况下一个用户需要多个公共用户标志，如用户希望将自己的办公和家庭号码区别开来，这时就需要为该用户分配一个办公的公共用户标志和一个家庭的公共用户标志。

　　每个IMS用户都需要有至少一个私有用户标识，与公共用户标识不同，私有用户标识的格式不是SIPURI或TelURI，而是采用网络接入标识的方式。与公共用户标识不同，私有用户标识不用于决定网络的路由，而是专门用于识别和认证的，它存在于终端的UICC中。

　　那么用户、公共用户标志和私有用户标志之间关系是怎样的呢？私有公共用户标志对应于用户的终端中智能卡，一个用户可以有多个终端智能卡，因此可以有多个私有用户标志，每个私有公共用户标识又可以对应多个公共用户标识(即“一机多号”)，反过来一个公共用户标志也可以与多个私有用户标志相关联(类似“一号通”)。因此用户、私有公共用户标志和公共用户标志之间的关系是1：m：n。

　　3GPP标准中规定IMS用户采用AKA的鉴权认证方式，这种方式是通过对Digest认证的扩展来携带AKA的认证参数进行鉴权认证的。网络允许包含ISIM和USIM的UICC卡接入IMS，对于安全性较弱的SIM卡接入是不支持的。ISIM源自IMS，其中存储用户的公共用户标志和私有用户标志以及鉴权认证的参数，对于没有升级到ISIM的USIM，需要终端能根据USIM中的IMSI来生成公共用户标志和私有用户标志，才可以接入IMS网络。

　　固定终端IMS

　　固网IMS的终端将会包括目前正在使用的大量传统终端和今后出现的支持IMS业务的新式终端。其中传统的固定终端通常没有配置UICC卡，只有公共用户标志，缺少私有用户标志，也不支持AKA的鉴权认证方式。因此实现基于IMS的FMC时，需要对固定终端的用户标志和鉴权认证方式进行扩展，同时需要IMS支持不同的认证方式。

　　TISPAN参照上述3GPP对移动终端的鉴权认证方式，推荐终端支持包含ISIM/USIM的UICC卡，采用AKA鉴权认证方式；对于不支持UICC的终端，可以采用SIPDigest的鉴权认证方式，但要求固定终端能够具有公共用户标志、私有用户标志等参数用于鉴权。

　　结合TISPAN的规定和终端类型，对于固网IMS的终端鉴权认证，建议采用如下的原则：

　　尽量与移动终端保持一致，优先支持UICC卡和AKA鉴权方式，对于无法采用UICC卡的终端，可以采用Digest等认证方式。终端的公共用户标志可以采用目前的号码等对外公开的标志，私有用户标志可以根据终端的唯一特性。固定终端的IMS的鉴权和认证可以采用以下的解决方案：

　　1)对于支持IMS业务的新式终端，要求终端支持包含ISIM的UICC卡，采用和3GPP标准一致的公共用户标志和私有用户标志，同时支持AKA的鉴权方式；

　　2)对于计算机、PDA等公共平台上使用的软终端，需要进行升级，增加相应的软件模块，采用软件的方式生成终端的私有用户标志，鉴权认证可以采用SIPDigest方式；

　　3)对于无法升级的传统硬终端，可以采用外挂的方式实现鉴权和认证。将所有没有UICC卡的硬终端接入外挂的设备(如家庭网关)，该设备可以为每个终端生成私有用户标志以及AKA鉴权所需要的密钥等参数，由设备负责完成基于AKA的终端的鉴权认证。

　　目前IMS已经成为被普遍看好的实现固定和移动网络融合的技术，也是业界认可的技术发展趋势。标准组织、设备商、运营商都对基于IMS的网络融合给予了高度的关注。相关标准的指定、网络设备的研制、IMS的技术实验等都正在进行中，大家都希望通过统一的IMS来实现固定和移动网络的融合。终端衔接和支持，尤其是固网终端，也是这一系列工作中的一个重要环节，还需要不断地研究和探索。