中国移动CMIMS企业用户接入设备开通网关设备规范V6.docx

1、中国移动CMIMS企业用户接入设备开通网关设备规范V6中国移动通信企业标准QB-中国移动CM-IMS接入开通网关规范Technical Specification for CM-IMS Access Device Service Provisioning Gateway版本号：0.9.3-实施-发布中国移动通信集团公司 发布目 录前 言 IV1. 范围 12. 规范性引用文件 13. 术语、定义和缩略语 14. 总体概述 24.1. 组网 24.2. Centrix端到端开通流程 34.2.1. 客户端施工在业务支撑系统的流程 44.2.2. 客户端施工在网络支撑系统的流程 55. 功能要求

2、65.1. 维护与接入设备间的链接 65.1.1. HTTPS链路要求 65.1.2. 接入设备初始上电注册要求 95.1.3. 接入设备非初始上电注册要求 115.2. 接入设备开通功能 135.3. 接口协议转换功能 135.4. 操作记录维护功能 135.5. 其他能力要求 135.5.1. IP 地址的获取 135.5.2. 防火墙的穿越 135.5.3. 安全要求 145.6. SOAP（与业务支撑系统北向接口协议） 145.7. TR069协议（南向接口） 156. 接口要求 156.1. 与业务支撑系统接口（北向接口） 156.2. 与接入设备接口（南向接口） 156.3. 维护

3、管理接口 156.4. 双机备份接口 157. 业务流程 157.1. HTTPS建链流程 157.1.1. 接入设备发起 157.1.2. 接入开通网关发起 167.2. 双密码下发流程 187.3. 接入设备初始上电注册流程 187.3.1. 无NAT场景下初始注册流程 187.3.2. 有NAT场景下初始注册流程 197.4. 超时重注册流程 217.5. 重启、变更IP地址重注册 217.5.1. 无NAT场景下重启、变更IP地址重注册流程 217.5.2. 有NAT场景下重启、变更IP地址重注册流程 227.6. 开户 237.7. 修改 247.8. 查询 247.9. 销户 25

4、7.10. 用户名和密码下发流程 268. 接入设备要求 278.1. HTTPS建链要求 278.2. 注册要求 278.3. 协议要求 278.4. 长连接要求 279. 性能要求 289.1. 容量要求 289.2. 性能要求 289.3. 可靠性要求 2910. 硬件要求 2911. 软件要求 2911.1. 软件基本要求 2911.2. 软件功能要求 3011.3. 软件维护管理功能要求 3112. 设备维护管理要求整个11章替代业支的材料 3112.1. 网管接口 3212.1.1. 基本要求 3212.1.2. 功能要求 3212.2. 统计与测量要求 3212.3. 操作维护要

5、求 3212.3.1. CM-IMS接入开通网关设备的管理、排障和维护 3212.3.2. 维护管理的方式 3212.3.3. CM-IMS接入开通网关设备软件升级和配置修改 3412.3.4. CM-IMS接入开通网关设备在线保障 3513. 安全要求 3613.1. 组网安全要求 3613.2. 安全配置要求 3613.3. 操作系统安全要求 3613.4. 设备网管安全要求对照业支的材料修改 3613.5. 设备业务安全要求 3714. 环境要求 3714.1. 环境温、湿度要求 3714.2. 机房地面要求 3814.3. 防尘要求 3814.4. 抗电磁干扰的能力 3814.5. 本

6、身产生的电磁干扰要求 3814.6. 安装应有抗地震措施 3914.7. 运输和仓储要求 3914.8. 噪声要求 3915. 编制历史 39前 言本标准依据ITU-T和3GPP制定的相关标准，结合有关国内标准和中国移动其他企业标准，基于中国移动CM-IMS总体技术要求和实际需求而拟定，充分考虑了网络的平滑演进能力，为中国移动CM-IMS的技术试验、网络建设和运行维护提供技术依据。本标准主要包括CM-IMS接入开通网关的以下几方面内容：组网要求、功能要求、性能要求、接口与信令要求、软硬件要求、网管要求、环境要求等。本标准由中国移动通信集团公司计划部提出，由集团公司技术部归口。本标准由标准归口部

7、门负责解释。本标准起草单位：中国移动通信研究院本标准主要起草人：范围本标准规定了接入开通网关在组网、设备功能、性能、接口与信令、软硬件、网管等方面的要求，为中国移动引入提供技术依据，供中国移动内部和厂商共同使用；适用于接入设备业务开通的技术试验、网络建设和运行维护。规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。表1-1 序号标准编号标准名称发布单位1中国移动CM-IMS _C

8、SCF_BGCF设备规范中国移动通信集团公司2中国移动CM-IMS业务开通总体技术要求中国移动通信集团公司3中国移动CM-IMS业务开通接口规范-HSS分册中国移动通信集团公司4TS 23.228IP Multimedia subsystem (IMS)3GPP5TS 24.229IP Multimedia Call Control Protocol based on SIP and SDP3GPP6YDN 065-1997邮电部电话设备总技术规范书中华人民共和国信令产业部7YDN 034-1997ISDN用户-网络接口规范中华人民共和国信令产业部术语、定义和缩略语下列术语、定义和缩略语适用于

9、本标准：表1-2 缩略语英文中文IADIntegrated Access Device综合接入设备IMSIP Multimedia SubsystemIP多媒体子系统NATNetwork Address Translation网络地址转换DTMFDual Tone Multi Frequency双音多频FSKFrequency-shift keying频移键控总体概述组网CM-IMS网络企业用户开通体系包含业务支撑系统，网管系统（综合资源管理系统）、接入开通网关、HSS/SLF、ENUM Server、AS、HLR、SCP、接入设备和终端等网络实体。其中，接入设备（主要包括IAD、UCS、AG

10、、SIP GW和IP PBX）可由业务支撑系统通过接入开通网关连接，实现业务开通，其中主要开通的业务数据包括用户的IMPI、IMPU、鉴权数据、少量业务数据（签约呼叫等待、遇忙前转业务数据）等。上述CM-IMS接入设备开通组网如图4-1所示： 图4-1接入设备业务开通组网图如图4-1所示，在CM-IMS接入设备开通体系中，业务支撑系统负责业务受理、资源操作等功能；负责所有码号IMPI、IMPU、鉴权密码的生成、配置等功能；负责CM-IMS业务开通定单执行等功能。综合资源管理系统负责接入设备、端口、传输线路等相关资源的管理，支持资源查询、资源预占、资源占用等相关操作，配合业务支撑系统实现业务开通

11、功能。施工管理系统支持人工施工的派单、回单等相关功能，实现接入设备业务开通相关部署跳线、拨测等施工工作。接入开通网关实现接入设备的实时业务开通，其北向通过标准化的SOAP接口接收业务支撑系统发送的业务开通指令，并通过南向TR069接口实时开通接入设备，反馈命令执行结果。接入开通网关主要实现接口协议转换、业务开通接口汇聚功能，并维护与接入设备的链接，减少业务支撑系统链接数和接口协议复杂度。接入开通网关部署在业务支撑系统与接入设备之间，汇聚局侧接入设备业务开通接口。接入开通网关与网管OMC设备分开建设、独立部署。接入开通网关负责用户数据的开通，北向连接业务支撑系统；OMC负责设备数据的配置，北向连

12、接综合资管系统（OMC相关要求请参见集团网管相关规范）。接入开通网关负责用户数据的开通，网管OMC负责设备数据的配置，在功能上严格区分，考虑到接入开通网关相比网管OMC在可靠性方面要求较高，以及接入设备业务开通的实时性要求，接入开通网关应直连接入设备，中间不设置任何关口设备。接入开通网关统一建设，业务支撑系统连接接入开通网关，通过资源查询流程获取某个接入设备所连接的接入开通网关的地址。接入开通网关需跨接在CMNet网络与MDCN网络，并配置CMNet静态IP地址和MDCN静态IP地址，用于南向连接接入设备。接入开通网关设备应具备接口汇聚功能，即能够汇聚接入设备的业务开通接口，减少业务支撑系统的

13、南向连接数量，保证业务支撑系统的处理能力和安全。接入开通网关部署要求每个省建设部署一套接入开通网关，图4-1中的业务支撑系统为省级业务支撑系统。Centrix端到端开通流程具体的端到端开通流程可以在业务支撑系统执行，如图4-2所示；也可以网络支撑系统执行，如图4-3所示。4.2.1和4.2.2分别描述了施工管理在业务支撑系统和网络支撑系统分别执行的流程和接口业务交互的接口情况。具体省份根据本省实际施工情况可采用相应的模式参考以下说明。1.1.2. 客户端施工在业务支撑系统的流程 图4-2 客户端施工在业务支撑系统的流程1.1.3. 客户端施工在网络支撑系统的流程图4-3 客户端施工在网络支撑系

14、统的流程功能要求维护与接入设备间的链接接入设备部署后，需配置其连接的接入开通网关IP地址和端口，用于设备上电后主动连接接入开通网关，通知接入开通网关其IP地址、端口以及接入设备ID。要求接入设备IP地址或端口发生变化时，能够主动连接接入开通网关，通知其更新后的IP地址和端口。对于部署在企业内网的接入设备，也需支持维护与接入开通网关间的连接。接入开通网关在接收到接入设备发送的IP地址信息与接入设备ID时，需维护该IP地址和接入设备ID的对应关系。当业务支撑系统向其发送开通指令时，接入开通网关需根据开通消息中的接入设备ID查询到接入设备的IP地址，并向该地址发送相关开通命令。1.1.4. HTTP

15、S链路要求接入开通网关与接入设备之间按需建立HTTPs链路，采用TLS加密和 WWW-Authentication组合使用方式实现接口的安全。要求接入开通网关和接入设备配备证书。要求对链路进行加密，数据加密可选。5.1.1.1 接入设备发起的安全连接流程a）无NAT场景下建立HTTPs链路接入设备上电、重启、变更IP地址时，要求建立HTTPs链路，并向接入开通网关注册。当部署场景无NAT时，发起连接建立流程如图5-1所示。图 5-1 接入设备发起的安全连接流程（无NAT时）1) 接入设备首次上电，主动向接入开通网关发起建立TLS安全通信通道的流程。在建立TLS连接过程中，接入开通网关向CA请求

16、证书（包含接入开通网关的相关身份信息），并将CA颁发的证书发送给接入设备。接入设备利用证书中的相关信息验证接入开通网关的身份。2) 接入设备主动向接入开通网关发起使用WWW-Authentication的认证过程，通过Inform发起认证的Http Request连接，认证采用Digest的方式，其中Digest方式应遵循RFC2617。b）有NAT场景建立HTTPs链路接入设备上电、重启、变更IP地址时，要求建立HTTPs链路，并向接入开通网关注册。当部署场景有NAT时，发起连接建立流程如图5-2所示。图 5-2 接入设备发起的安全连接流程（有NAT时）1) 接入设备首次上电，主动向接入开通

17、网关发起建立TLS安全通信通道的流程。在建立TLS连接过程中，接入开通网关向CA请求证书（包含接入开通网关的相关身份信息），并将CA颁发的证书发送给接入设备。接入设备利用证书中的相关信息验证接入开通网关的身份。2) 接入设备主动向接入开通网关发起使用WWW-Authentication的认证过程，通过Inform发起认证的Http Request连接，认证采用Digest的方式，其中Digest方式应遵循RFC2617。5.1.1.2 接入开通网关发起的安全连接流程接入开通网关发起建立安全链接流程用于向接入设备下发、修改、查询用户数据等场景。a）无NAT场景建立HTTPs链路无NAT时，接入开

18、通网关发起的连接建立流程如图5-3所示。图 5-3 接入开通网关发起的安全连接流程（无NAT时）1) 接入开通网关向接入设备发送反向建立连接请求消息。2) 接入设备收到消息后，主动向接入开通网关发起建立TLS安全通信通道的流程。在建立TLS连接过程中，接入开通网关向CA请求证书（包含接入开通网关的相关身份信息），并将CA颁发的证书发送给接入设备。接入设备利用证书中的相关信息验证接入开通网关的身份。3) 接入设备主动向接入开通网关发起使用WWW-Authentication的认证过程，通过Inform发起认证的Http Request连接，认证采用Digest的方式，其中Digest方式应遵循R

19、FC2617。b）有NAT场景建立HTTPs链路有NAT时，接入开通网关发起的连接建立流程如图5-4所示。图 5-4 接入开通网关发起的安全连接流程（有NAT时）1) 接入开通网关通过TCP长连接（TCP长连接在接入设备上电完成注册后建立）向接入设备发送反向建立连接请求消息。2) 接入设备收到消息后，主动向接入开通网关发起建立TLS安全通信通道的流程。在建立TLS连接过程中，接入开通网关向CA请求证书（包含接入开通网关的相关身份信息），并将CA颁发的证书发送给接入设备。接入设备利用证书中的相关信息验证接入开通网关的身份。3) 接入设备主动向接入开通网关发起使用WWW-Authenticatio

20、n的认证过程，通过Inform发起认证的Http Request连接，认证采用Digest的方式，其中Digest方式应遵循RFC2617。1.1.5. 接入设备初始上电注册要求业务支撑系统通过SOAP接口下发双密码至接入开通网关（请参见中国移动CM-IMS业务开通接口规范-接入开通网关分册）。5.1.2.1 无NAT场景下初始注册流程无NAT时，接入设备初始上电注册流程如图5-5所示。图5-5 接入设备初始上电注册要求（无NAT时）1) 业务支撑系统生成（或获取）设备逻辑ID、临时密码和永久密码，输出到业务开通工单中，业务开通工单中仅配置设备逻辑ID和临时密码。2) 业务支撑系统下发施工单，

21、等待施工完成后的回单。3) 业务支撑系统下发设备逻辑ID、临时密码和永久密码给接入开通网关。4) 施工人员根据施工单中的临时密码配置设备，设备上电、保存设备逻辑ID和临时密码。施工人员根据施工单完成接入设备。5) 接入设备根据临时密码向接入开通网关发起注册。6) 接入开通网关根据接入设备发送的临时密码进行Digest认证。7) 接入开通网关下发永久密码给接入设备。8) 接入设备收到永久密码后，废除临时密码，保存永久密码。9) 接入设备根据永久密码向接入开通网关发起注册。10) 接入开通网关回复注册成功。11) 接入开通网关通知业务支撑系统下发用户名和密码。12) 业务支撑系统回复响应消息给接入

22、开通网关。13) 业务支撑系统下发用户名和密码给接入开通网关。要求：接入开通网关留有接口，用于接收业务支撑系统发来的用户名和密码。14) 接入开通网关下发用户名和密码给接入设备。15) 接入设备保存用户名和密码。16) 接入设备回复接入开通网关用户名和密码下发成功。17) 接入开通网关回复业务支撑系统用户名和密码下发成功。5.1.2.2 有NAT场景下初始注册流程有NAT时，接入设备初始上电注册流程如图5-6所示。图5-6 设备初始上电注册要求（有NAT时）1) 业务支撑系统生成（或获取）设备逻辑ID、临时密码和永久密码，输出到业务开通工单中，业务开通工单中仅配置设备逻辑ID和临时密码。2)

23、业务支撑系统下发施工单，等待施工完成后的回单。3) 业务支撑系统下发设备逻辑ID、临时密码和永久密码给接入开通网关。4) 施工人员根据施工单中的临时密码配置设备，设备上电、保存设备逻辑ID和临时密码。施工人员根据施工单完成接入设备。5) 接入设备根据临时密码向接入开通网关发起注册。6) 接入开通网关根据接入设备发送的临时密码进行Digest认证。7) 接入开通网关下发永久密码给接入设备。8) 接入设备收到永久密码后，废除临时密码，保存永久密码。9) 接入设备根据永久密码向接入开通网关发起注册。10) 接入开通网关回复注册成功。11) 接入设备主动向接入开通网关发起建立TCP长连接的流程。对接入

24、设备要求：能够与接入开通网关建立上述TCP长连接；周期性发送心跳消息保持该TCP连接在NAT上的消息；能够在该TCP连接上接收接入开通网关发送的消息。对接入开通网关要求：能够与接入设备建立上述TCP长连接；能够对该TCP连接上的心跳消息进行响应；在需要时通过该TCP连接发送消息给接入设备。12) 接入开通网关通知业务支撑系统下发用户名和密码。13) 业务支撑系统回复响应消息给接入开通网关。14) 业务支撑系统下发用户名和密码给接入开通网关。要求：接入开通网关留有接口，用于接收业务支撑系统发来的用户名和密码。15) 接入开通网关下发用户名和密码给接入设备。16) 接入设备保存用户名和密码。17)

25、 接入设备回复接入开通网关用户名和密码下发成功。18) 接入开通网关回复业务支撑系统用户名和密码下发成功。1.1.6. 接入设备非初始上电注册要求5.1.3.1 无NAT场景下非初始注册流程接入设备超时重注册、重启、变更IP地址时采用该流程。无NAT场景下，接入设备非初始上电注册流程如图5-7所示。图5-7 接入设备非初始上电注册要求（无NAT时）1) 接入设备根据永久密码主动向接入开通网关发起注册。2) 接入开通网关验证接入设备发送的永久密码，通过注册。3) 接入开通网关回复接入设备注册成功。5.1.3.2 有NAT场景下非初始注册流程a）接入设备超时重注册流程接入设备超时重注册场景下采用该

26、流程。有NAT场景下，接入设备非初始上电注册流程如图5-8所示。图5-8 接入设备非初始上电注册要求（有NAT时）1) 接入设备根据永久密码主动向接入开通网关发起注册。2) 接入开通网关验证接入设备发送的永久密码，通过注册。3) 接入开通网关回复接入设备注册成功。b）接入设备重启、变更IP地址时重注册流程接入设备重启、变更IP地址时采用该流程。有NAT场景下，接入设备非初始上电注册流程如图5-8所示。图5-8 接入设备非初始上电注册要求（有NAT时）1) 接入设备根据永久密码主动向接入开通网关发起注册。2) 接入开通网关验证接入设备发送的永久密码，通过注册。3) 接入开通网关回复接入设备注册成

27、功。4) 接入设备主动向接入开通网关发起建立TCP长连接的流程。对接入设备要求：能够与接入开通网关建立上述TCP长连接；周期性发送心跳消息保持该TCP连接在NAT上的消息；能够在该TCP连接上接收接入开通网关发送的消息。对接入开通网关要求：能够与接入设备建立上述TCP长连接；能够对该TCP连接上的心跳消息进行响应；在需要时通过该TCP连接发送消息给接入设备。接入设备开通功能CM-IMS接入开通网关应能接受从业务支撑系统发来的接入设备开通请求和相关参数信息，并在完成对应的协议转换之后，将该请求和参数信息传递至接入设备，完成接入设备开通，并反馈命令执行结果，无需人工参与对接入设备用户数据相关参数配

28、置。接入开通网关需支持实时业务开通能力，能够实时返回命令执行结果。接口协议转换功能CM-IMS接入开通网关应能够正确完成SOAP协议（与业务支撑系统之间的通信协议）与南向连接接入设备的TR069协议接口通信协议的转换，实现所有业务开通功能。操作记录维护功能接入开通网关需支持维护开通操作记录，并能够对开通记录信息进行日志方式备份，要求至少备份30天，供系统管理员查看。其他能力要求1.1.7. IP 地址的获取接入开通网关应能够支持自身IP地址的静态配置。可选支持DHCP动态获取IP地址。1.1.8. 防火墙的穿越防火墙接口要求：基于HTTP链路接口是80，基于HTTPS链路接口是443。1.1.

29、9. 安全要求 接入开通网关需保证敏感信息在存储、传输等方面的安全。账号、双密码等用户数据加密保存可选。要求数据不能被读取，仅能在接入开通网关自身的安全环境中做数据处理。接入开通网关需保证与业务支撑系统之间链接的安全性，能够屏蔽来自CMNET网络的攻击，实现MDCN与CMNET的安全隔离。要求使用HTTPS链路加密，接入开通网关与接入设备相连接时，需配置证书（配置IP地址），满足证书要求。用户号码、密码从业务支撑系统开通到接入开通网关，进而开通到接入设备，接入开通网关支持通过HTTPS链路接收业务支撑系统下发的双密码。安全措施要求包括部署防火墙、身份认证等。只允许必要的访问发生，任何其他的访问

30、均被禁止。防火墙的配备和使用应符合以下原则性要求： 按照“统一规划、集中保护”的原则进行部署。 防火墙不能成为网络瓶颈，不能造成单点故障。 必须在整体安全策略的指导下正确配置防火墙的访问控制策略。 在集团公司防火墙测试结果较好的范围之内进行选择。 有集中的控制端，可以实现集中安全监控。接入设备通过临时密码和永久密码的双密码机制防止被仿冒。接入设备通过HTTPs证书认证接入开通网关；接入开通网关通过账户、密码认证接入设备。禁止接入设备主动从接入开通网关获取数据，仅能从业务支撑系统、接入开通网关下发数据。SOAP（与业务支撑系统北向接口协议）CM-IMS接入开通网关与业务支撑系统之间的消息(包括请求和应答)是以SOAP格式表达的，遵循SOAP 1.1规范。所有请求消息和响应消息格式在WSDL文件中定义，WSDL文件遵循W3C WSDL1.1协议规范。具体要求参见中国移动CM-IMS业务开通接口规范-接入开通网关分册。TR069协议（南向接口）CM-IMS接入开通网关与接入设备之间接口遵循TR069协议，具体要求参见中国移动CM-IMS接入开通网关设备南向接口规范。接口要求与业务支撑系统接口（北向接口）不少于2个100/1000兆自适应以太网口。与接入设备接口（南向接口）不少于2个100/100