中国移动CMIMS企业用户接入设备开通网关设备规范.docx
《中国移动CMIMS企业用户接入设备开通网关设备规范.docx》由会员分享,可在线阅读,更多相关《中国移动CMIMS企业用户接入设备开通网关设备规范.docx(45页珍藏版)》请在冰豆网上搜索。
中国移动CMIMS企业用户接入设备开通网关设备规范
中国移动通信企业标准
QB-╳╳-╳╳╳-╳╳╳╳
中国移动CM-IMS接入开通网关规范
TechnicalSpecificationforCM-IMSAccessDeviceServiceProvisioningGateway
版本号:
0.9.3
前言
本标准依据ITU-T和3GPP制定的相关标准,结合有关国内标准和中国移动其他企业标准,基于中国移动CM-IMS总体技术要求和实际需求而拟定,充分考虑了网络的平滑演进能力,为中国移动CM-IMS的技术试验、网络建设和运行维护提供技术依据。
本标准主要包括CM-IMS接入开通网关的以下几方面内容:
组网要求、功能要求、性能要求、接口与信令要求、软硬件要求、网管要求、环境要求等。
本标准由中国移动通信集团公司计划部提出,由集团公司技术部归口。
本标准由标准归口部门负责解释。
本标准起草单位:
中国移动通信研究院
本标准主要起草人:
范围
本标准规定了接入开通网关在组网、设备功能、性能、接口与信令、软硬件、网管等方面的要求,为中国移动引入提供技术依据,供中国移动内部和厂商共同使用;适用于接入设备业务开通的技术试验、网络建设和运行维护。
规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
表1-1
序号
标准编号
标准名称
发布单位
[1]
中国移动CM-IMS_CSCF_BGCF设备规范
中国移动通信集团公司
[2]
中国移动CM-IMS业务开通总体技术要求
中国移动通信集团公司
[3]
中国移动CM-IMS业务开通接口规范-HSS分册
中国移动通信集团公司
[4]
TS23.228
IPMultimediasubsystem(IMS)
3GPP
[5]
TS24.229
IPMultimediaCallControlProtocolbasedonSIPandSDP
3GPP
[6]
YDN065-1997
邮电部电话设备总技术规范书
中华人民共和国信令产业部
[7]
YDN034-1997
ISDN用户-网络接口规范
中华人民共和国信令产业部
术语、定义和缩略语
下列术语、定义和缩略语适用于本标准:
表1-2
缩略语
英文
中文
IAD
IntegratedAccessDevice
综合接入设备
IMS
IPMultimediaSubsystem
IP多媒体子系统
NAT
NetworkAddressTranslation
网络地址转换
DTMF
DualToneMultiFrequency
双音多频
FSK
Frequency-shiftkeying
频移键控
总体概述
1.2.组网
CM-IMS网络企业用户开通体系包含业务支撑系统,网管系统(综合资源管理系统)、接入开通网关、HSS/SLF、ENUMServer、AS、HLR、SCP、接入设备和终端等网络实体。
其中,接入设备(主要包括IAD、UCS、AG、SIPGW和IPPBX)可由业务支撑系统通过接入开通网关连接,实现业务开通,其中主要开通的业务数据包括用户的IMPI、IMPU、鉴权数据、少量业务数据(签约呼叫等待、遇忙前转业务数据)等。
上述CM-IMS接入设备开通组网如图4-1所示:
图4-1接入设备业务开通组网图
如图4-1所示,在CM-IMS接入设备开通体系中,业务支撑系统负责业务受理、资源操作等功能;负责所有码号IMPI、IMPU、鉴权密码的生成、配置等功能;负责CM-IMS业务开通定单执行等功能。
综合资源管理系统负责接入设备、端口、传输线路等相关资源的管理,支持资源查询、资源预占、资源占用等相关操作,配合业务支撑系统实现业务开通功能。
施工管理系统支持人工施工的派单、回单等相关功能,实现接入设备业务开通相关部署跳线、拨测等施工工作。
接入开通网关实现接入设备的实时业务开通,其北向通过标准化的SOAP接口接收业务支撑系统发送的业务开通指令,并通过南向TR069接口实时开通接入设备,反馈命令执行结果。
接入开通网关主要实现接口协议转换、业务开通接口汇聚功能,并维护与接入设备的链接,减少业务支撑系统链接数和接口协议复杂度。
接入开通网关部署在业务支撑系统与接入设备之间,汇聚局侧接入设备业务开通接口。
接入开通网关与网管OMC设备分开建设、独立部署。
接入开通网关负责用户数据的开通,北向连接业务支撑系统;OMC负责设备数据的配置,北向连接综合资管系统(OMC相关要求请参见集团网管相关规范)。
接入开通网关负责用户数据的开通,网管OMC负责设备数据的配置,在功能上严格区分,考虑到接入开通网关相比网管OMC在可靠性方面要求较高,以及接入设备业务开通的实时性要求,接入开通网关应直连接入设备,中间不设置任何关口设备。
接入开通网关统一建设,业务支撑系统连接接入开通网关,通过资源查询流程获取某个接入设备所连接的接入开通网关的地址。
接入开通网关需跨接在CMNet网络与MDCN网络,并配置CMNet静态IP地址和MDCN静态IP地址,用于南向连接接入设备。
接入开通网关设备应具备接口汇聚功能,即能够汇聚接入设备的业务开通接口,减少业务支撑系统的南向连接数量,保证业务支撑系统的处理能力和安全。
接入开通网关部署要求每个省建设部署一套接入开通网关,图4-1中的业务支撑系统为省级业务支撑系统。
1.3.Centrix端到端开通流程
具体的端到端开通流程可以在业务支撑系统执行,如图4-2所示;也可以网络支撑系统执行,如图4-3所示。
4.2.1和4.2.2分别描述了施工管理在业务支撑系统和网络支撑系统分别执行的流程和接口业务交互的接口情况。
具体省份根据本省实际施工情况可采用相应的模式参考以下说明。
1.3.1.客户端施工在业务支撑系统的流程
图4-2客户端施工在业务支撑系统的流程
1.3.2.客户端施工在网络支撑系统的流程
图4-3客户端施工在网络支撑系统的流程
功能要求
1.4.维护与接入设备间的链接
接入设备部署后,需配置其连接的接入开通网关IP地址和端口,用于设备上电后主动连接接入开通网关,通知接入开通网关其IP地址、端口以及接入设备ID。
要求接入设备IP地址或端口发生变化时,能够主动连接接入开通网关,通知其更新后的IP地址和端口。
对于部署在企业内网的接入设备,也需支持维护与接入开通网关间的连接。
接入开通网关在接收到接入设备发送的IP地址信息与接入设备ID时,需维护该IP地址和接入设备ID的对应关系。
当业务支撑系统向其发送开通指令时,接入开通网关需根据开通消息中的接入设备ID查询到接入设备的IP地址,并向该地址发送相关开通命令。
1.4.1.HTTPS链路要求
接入开通网关与接入设备之间按需建立HTTPs链路,采用TLS加密和WWW-Authentication组合使用方式实现接口的安全。
要求接入开通网关和接入设备配备证书。
要求对链路进行加密,数据加密可选。
5.1.1.1接入设备发起的安全连接流程
a)无NAT场景下建立HTTPs链路
接入设备上电、重启、变更IP地址时,要求建立HTTPs链路,并向接入开通网关注册。
当部署场景无NAT时,发起连接建立流程如图5-1所示。
图5-1接入设备发起的安全连接流程(无NAT时)
1)接入设备首次上电,主动向接入开通网关发起建立TLS安全通信通道的流程。
在建立TLS连接过程中,接入开通网关向CA请求证书(包含接入开通网关的相关身份信息),并将CA颁发的证书发送给接入设备。
接入设备利用证书中的相关信息验证接入开通网关的身份。
2)接入设备主动向接入开通网关发起使用WWW-Authentication的认证过程,通过Inform发起认证的HttpRequest连接,认证采用Digest的方式,其中Digest方式应遵循RFC2617。
b)有NAT场景建立HTTPs链路
接入设备上电、重启、变更IP地址时,要求建立HTTPs链路,并向接入开通网关注册。
当部署场景有NAT时,发起连接建立流程如图5-2所示。
图5-2接入设备发起的安全连接流程(有NAT时)
1)接入设备首次上电,主动向接入开通网关发起建立TLS安全通信通道的流程。
在建立TLS连接过程中,接入开通网关向CA请求证书(包含接入开通网关的相关身份信息),并将CA颁发的证书发送给接入设备。
接入设备利用证书中的相关信息验证接入开通网关的身份。
2)接入设备主动向接入开通网关发起使用WWW-Authentication的认证过程,通过Inform发起认证的HttpRequest连接,认证采用Digest的方式,其中Digest方式应遵循RFC2617。
5.1.1.2接入开通网关发起的安全连接流程
接入开通网关发起建立安全链接流程用于向接入设备下发、修改、查询用户数据等场景。
a)无NAT场景建立HTTPs链路
无NAT时,接入开通网关发起的连接建立流程如图5-3所示。
图5-3接入开通网关发起的安全连接流程(无NAT时)
1)接入开通网关向接入设备发送反向建立连接请求消息。
2)接入设备收到消息后,主动向接入开通网关发起建立TLS安全通信通道的流程。
在建立TLS连接过程中,接入开通网关向CA请求证书(包含接入开通网关的相关身份信息),并将CA颁发的证书发送给接入设备。
接入设备利用证书中的相关信息验证接入开通网关的身份。
3)接入设备主动向接入开通网关发起使用WWW-Authentication的认证过程,通过Inform发起认证的HttpRequest连接,认证采用Digest的方式,其中Digest方式应遵循RFC2617。
b)有NAT场景建立HTTPs链路
有NAT时,接入开通网关发起的连接建立流程如图5-4所示。
图5-4接入开通网关发起的安全连接流程(有NAT时)
1)接入开通网关通过TCP长连接(TCP长连接在接入设备上电完成注册后建立)向接入设备发送反向建立连接请求消息。
2)接入设备收到消息后,主动向接入开通网关发起建立TLS安全通信通道的流程。
在建立TLS连接过程中,接入开通网关向CA请求证书(包含接入开通网关的相关身份信息),并将CA颁发的证书发送给接入设备。
接入设备利用证书中的相关信息验证接入开通网关的身份。
3)接入设备主动向接入开通网关发起使用WWW-Authentication的认证过程,通过Inform发起认证的HttpRequest连接,认证采用Digest的方式,其中Digest方式应遵循RFC2617。
1.4.2.接入设备初始上电注册要求
业务支撑系统通过SOAP接口下发双密码至接入开通网关(请参见《中国移动CM-IMS业务开通接口规范-接入开通网关分册》)。
5.1.2.1无NAT场景下初始注册流程
无NAT时,接入设备初始上电注册流程如图5-5所示。
图5-5接入设备初始上电注册要求(无NAT时)
1)业务支撑系统生成(或获取)设备逻辑ID、临时密码和永久密码,输出到业务开通工单中,业务开通工单中仅配置设备逻辑ID和临时密码。
2)业务支撑系统下发施工单,等待施工完成后的回单。
3)业务支撑系统下发设备逻辑ID、临时密码和永久密码给接入开通网关。
4)施工人员根据施工单中的临时密码配置设备,设备上电、保存设备逻辑ID和临时密码。
施工人员根据施工单完成接入设备。
5)接入设备根据临时密码向接入开通网关发起注册。
6)接入开通网关根据接入设备发送的临时密码进行Digest认证。
7)接入开通网关下发永久密码给接入设备。
8)接入设备收到永久密码后,废除临时密码,保存永久密码。
9)接入设备根据永久密码向接入开通网关发起注册。
10)接入开通网关回复注册成功。
11)接入开通网关通知业务支撑系统下发用户名和密码。
12)业务支撑系统回复响应消息给接入开通网关。
13)业务支撑系统下发用户名和密码给接入开通网关。
要求:
接入开通网关留有接口,用于接收业务支撑系统发来的用户名和密码。
14)接入开通网关下发用户名和密码给接入设备。
15)接入设备保存用户名和密码。
16)接入设备回复接入开通网关用户名和密码下发成功。
17)接入开通网关回复业务支撑系统用户名和密码下发成功。
5.1.2.2有NAT场景下初始注册流程
有NAT时,接入设备初始上电注册流程如图5-6所示。
图5-6设备初始上电注册要求(有NAT时)
1)业务支撑系统生成(或获取)设备逻辑ID、临时密码和永久密码,输出到业务开通工单中,业务开通工单中仅配置设备逻辑ID和临时密码。
2)业务支撑系统下发施工单,等待施工完成后的回单。
3)业务支撑系统下发设备逻辑ID、临时密码和永久密码给接入开通网关。
4)施工人员根据施工单中的临时密码配置设备,设备上电、保存设备逻辑ID和临时密码。
施工人员根据施工单完成接入设备。
5)接入设备根据临时密码向接入开通网关发起注册。
6)接入开通网关根据接入设备发送的临时密码进行Digest认证。
7)接入开通网关下发永久密码给接入设备。
8)接入设备收到永久密码后,废除临时密码,保存永久密码。
9)接入设备根据永久密码向接入开通网关发起注册。
10)接入开通网关回复注册成功。
11)接入设备主动向接入开通网关发起建立TCP长连接的流程。
对接入设备要求:
能够与接入开通网关建立上述TCP长连接;周期性发送心跳消息保持该TCP连接在NAT上的消息;能够在该TCP连接上接收接入开通网关发送的消息。
对接入开通网关要求:
能够与接入设备建立上述TCP长连接;能够对该TCP连接上的心跳消息进行响应;在需要时通过该TCP连接发送消息给接入设备。
12)接入开通网关通知业务支撑系统下发用户名和密码。
13)业务支撑系统回复响应消息给接入开通网关。
14)业务支撑系统下发用户名和密码给接入开通网关。
要求:
接入开通网关留有接口,用于接收业务支撑系统发来的用户名和密码。
15)接入开通网关下发用户名和密码给接入设备。
16)接入设备保存用户名和密码。
17)接入设备回复接入开通网关用户名和密码下发成功。
18)接入开通网关回复业务支撑系统用户名和密码下发成功。
1.4.3.接入设备非初始上电注册要求
5.1.3.1无NAT场景下非初始注册流程
接入设备超时重注册、重启、变更IP地址时采用该流程。
无NAT场景下,接入设备非初始上电注册流程如图5-7所示。
图5-7接入设备非初始上电注册要求(无NAT时)
1)接入设备根据永久密码主动向接入开通网关发起注册。
2)接入开通网关验证接入设备发送的永久密码,通过注册。
3)接入开通网关回复接入设备注册成功。
5.1.3.2有NAT场景下非初始注册流程
a)接入设备超时重注册流程
接入设备超时重注册场景下采用该流程。
有NAT场景下,接入设备非初始上电注册流程如图5-8所示。
图5-8接入设备非初始上电注册要求(有NAT时)
1)接入设备根据永久密码主动向接入开通网关发起注册。
2)接入开通网关验证接入设备发送的永久密码,通过注册。
3)接入开通网关回复接入设备注册成功。
b)接入设备重启、变更IP地址时重注册流程
接入设备重启、变更IP地址时采用该流程。
有NAT场景下,接入设备非初始上电注册流程如图5-8所示。
图5-8接入设备非初始上电注册要求(有NAT时)
1)接入设备根据永久密码主动向接入开通网关发起注册。
2)接入开通网关验证接入设备发送的永久密码,通过注册。
3)接入开通网关回复接入设备注册成功。
4)接入设备主动向接入开通网关发起建立TCP长连接的流程。
对接入设备要求:
能够与接入开通网关建立上述TCP长连接;周期性发送心跳消息保持该TCP连接在NAT上的消息;能够在该TCP连接上接收接入开通网关发送的消息。
对接入开通网关要求:
能够与接入设备建立上述TCP长连接;能够对该TCP连接上的心跳消息进行响应;在需要时通过该TCP连接发送消息给接入设备。
1.5.接入设备开通功能
CM-IMS接入开通网关应能接受从业务支撑系统发来的接入设备开通请求和相关参数信息,并在完成对应的协议转换之后,将该请求和参数信息传递至接入设备,完成接入设备开通,并反馈命令执行结果,无需人工参与对接入设备用户数据相关参数配置。
接入开通网关需支持实时业务开通能力,能够实时返回命令执行结果。
1.6.接口协议转换功能
CM-IMS接入开通网关应能够正确完成SOAP协议(与业务支撑系统之间的通信协议)与南向连接接入设备的TR069协议接口通信协议的转换,实现所有业务开通功能。
1.7.操作记录维护功能
接入开通网关需支持维护开通操作记录,并能够对开通记录信息进行日志方式备份,要求至少备份30天,供系统管理员查看。
1.8.其他能力要求
1.8.1.IP地址的获取
接入开通网关应能够支持自身IP地址的静态配置。
可选支持DHCP动态获取IP地址。
1.8.2.防火墙的穿越
防火墙接口要求:
基于HTTP链路接口是80,基于HTTPS链路接口是443。
1.8.3.安全要求
接入开通网关需保证敏感信息在存储、传输等方面的安全。
账号、双密码等用户数据加密保存可选。
要求数据不能被读取,仅能在接入开通网关自身的安全环境中做数据处理。
接入开通网关需保证与业务支撑系统之间链接的安全性,能够屏蔽来自CMNET网络的攻击,实现MDCN与CMNET的安全隔离。
要求使用HTTPS链路加密,接入开通网关与接入设备相连接时,需配置证书(配置IP地址),满足证书要求。
用户号码、密码从业务支撑系统开通到接入开通网关,进而开通到接入设备,接入开通网关支持通过HTTPS链路接收业务支撑系统下发的双密码。
安全措施要求包括部署防火墙、身份认证等。
只允许必要的访问发生,任何其他的访问均被禁止。
防火墙的配备和使用应符合以下原则性要求:
●按照“统一规划、集中保护”的原则进行部署。
●防火墙不能成为网络瓶颈,不能造成单点故障。
●必须在整体安全策略的指导下正确配置防火墙的访问控制策略。
●在集团公司防火墙测试结果较好的范围之内进行选择。
●有集中的控制端,可以实现集中安全监控。
接入设备通过临时密码和永久密码的双密码机制防止被仿冒。
接入设备通过HTTPs证书认证接入开通网关;接入开通网关通过账户、密码认证接入设备。
禁止接入设备主动从接入开通网关获取数据,仅能从业务支撑系统、接入开通网关下发数据。
1.9.SOAP(与业务支撑系统北向接口协议)
CM-IMS接入开通网关与业务支撑系统之间的消息(包括请求和应答)是以SOAP格式表达的,遵循SOAP1.1规范。
所有请求消息和响应消息格式在WSDL文件中定义,WSDL文件遵循W3CWSDL1.1协议规范。
具体要求参见《中国移动CM-IMS业务开通接口规范-接入开通网关分册》。
1.10.TR069协议(南向接口)
CM-IMS接入开通网关与接入设备之间接口遵循TR069协议,具体要求参见《中国移动CM-IMS接入开通网关设备南向接口规范》。
接口要求
1.11.与业务支撑系统接口(北向接口)
不少于2个100/1000兆自适应以太网口。
1.12.与接入设备接口(南向接口)
不少于2个100/1000兆自适应以太网口。
1.13.维护管理接口
不少于2个100兆自适应以太网口。
1.14.双机备份接口
不少于2个100/1000M自适应以太网口。
业务流程
要求:
有NAT时,接入设备每30秒发送一次保活消息(默认值,可以根据部署情况修改);无NAT时,接入设备每12小时发送一次保活消息。
1.15.HTTPS建链流程
1.15.1.接入设备发起
7.1.1.1无NAT场景下建立HTTPs链路
无NAT时,接入设备发起的HTTPS建链流程如图7-1所示。
图7-1接入设备发起的HTTPS建链流程(无NAT时)
1)接入设备主动向接入开通网关发起建立TCP连接的流程。
2)接入设备主动向接入开通网关发起建立TLS安全通信通道的流程。
在建立TLS连接过程中,接入开通网关向CA请求证书(包含接入开通网关的相关身份信息),并将CA颁发的证书发送给接入设备。
接入设备利用证书中的相关信息验证接入开通网关的身份。
7.1.1.2有NAT场景下建立HTTPs链路
有NAT时,接入设备发起的HTTPS建链流程如图7-2所示。
图7-2接入设备发起的HTTPS建链流程(有NAT时)
1)接入设备主动向接入开通网关发起建立TCP连接的流程。
2)接入设备主动向接入开通网关发起建立TLS安全通信通道的流程。
在建立TLS连接过程中,接入开通网关向CA请求证书(包含接入开通网关的相关身份信息),并将CA颁发的证书发送给接入设备。
接入设备利用证书中的相关信息验证接入开通网关的身份。
1.15.2.接入开通网关发起
7.1.2.1无NAT场景下建立HTTPs链路
无NAT时,接入开通网关发起的HTTPS建链流程如图7-3所示。
图7-3接入设备发起的HTTPS建链流程(无NAT时)
1)接入开通网关发送反向通知消息给接入设备。
2)接入设备主动向接入开通网关发起建立TCP连接的流程。
3)接入设备主动向接入开通网关发起建立TLS安全通信通道的流程。
在建立TLS连接过程中,接入开通网关向CA请求证书(包含接入开通网关的相关身份信息),并将CA颁发的证书发送给接入设备。
接入设备利用证书中的相关信息验证接入开通网关的身份。
7.1.2.2有NAT场景下建立HTTPs链路
有NAT时,接入开通网关发起的HTTPS建链流程如图7-4所示。
图7-4接入设备发起的HTTPS建链流程(有NAT时)
1)接入开通网关通过TCP长连接发送反向通知消息给接入设备。
2)接入设备主动向接入开通网关发起建立TCP连接的流程。
3)接入设备主动向接入开通网关发起建立TLS安全通信通道的流程。
在建立TLS连接过程中,接入开通网关向CA请求证书(包含接入开通网关的相关身份信息),并将CA颁发的证书发送给接入设备。
接入设备利用证书中的相关信息验证接入开通网关的身份。
1.16.双密码下发流程
当业务支撑系统通过Soap指令下发双密码给接入开通网关时,具体流程如图7-5所示。
图7-5双密码下发流程
1)业务支撑系统通过Soap指令(Soap指令请参见《中国移动CM-IMS业务开通接口规范-接入开通网关分册v1.0.0》)下发临时密码、永久密码和设备逻辑ID给接入开通网关。
2)接入开通网关保存临时密码、永久密码、设备逻辑ID。
3)接入开通网关发送响应消息Response。
1.17.接入设备初始上电注册流程
1.17.1.无NAT场景下初始注册流程
无NAT时,当接入设备初始上电后,具体注册流程如图7-6所示。
图7-6接入设备初始上电注册流程(无NAT)
1)业务支撑系统通过SO