Home Subscriber Server
Home Subscriber Server (HSS) — это центральная база данных подписчиков в сети подвижной связи стандарта LTE (Long-Term Evolution) и в архитектуре IMS (IP Multimedia Subsystem), выполняющая функции хранения и управления профилями абонентов, а также обеспечивающая поддержку процедур аутентификации, авторизации и определения местоположения. HSS является эволюционным развитием Home Location Register (HLR) и Authentication Center (AuC) сетей 2G/3G, объединяя их функции в единой системе.
Функции и назначение
HSS выполняет ключевую роль в управлении мобильностью и безопасностью абонентов. Основные функции включают:
- Хранение профиля абонента: содержит постоянные и временные данные о каждом подписчике, включая идентификаторы (IMSI, MSISDN), список разрешённых услуг, параметры качества обслуживания (QoS), а также информацию о тарифном плане и ограничениях.
- Аутентификация и авторизация: взаимодействует с сетью для проверки подлинности абонента при подключении к сети. Для этого HSS использует алгоритмы, основанные на секретных ключах, хранящихся в модуле идентификации абонента (SIM/USIM). В LTE применяется процедура взаимной аутентификации (Authentication and Key Agreement, AKA), которая защищает как сеть, так и абонента от подмены.
- Управление мобильностью: хранит информацию о текущем местоположении абонента (идентификатор обслуживающей MME или SGSN) и поддерживает процедуры обновления местоположения, хэндовера и отслеживания.
- Поддержка IMS: в архитектуре IMS HSS дополнительно хранит данные о регистрации абонента в IP-мультимедийной подсистеме, включая идентификаторы SIP (например, IMPI, IMPU) и профили услуг, таких как голосовая связь по LTE (VoLTE) и видеозвонки.
- Интеграция с биллинговыми системами: предоставляет данные для тарификации и выставления счетов, хотя непосредственное формирование счетов обычно выполняется отдельными системами (OCS, PCRF).
Архитектура и взаимодействие
HSS является частью опорной сети (Evolved Packet Core, EPC) и взаимодействует с другими элементами сети через стандартизированные интерфейсы:
- S6a: интерфейс между HSS и Mobility Management Entity (MME). Используется для передачи данных аутентификации, обновления местоположения и получения профиля абонента.
- Cx/Dx: интерфейс между HSS и Call Session Control Function (CSCF) в IMS. Обеспечивает регистрацию абонента и передачу данных для маршрутизации вызовов.
- Sh: интерфейс между HSS и Application Server (AS) в IMS, позволяющий серверам приложений получать информацию о подписчиках.
- S6d: интерфейс между HSS и Serving GPRS Support Node (SGSN) в сетях 3G/2G, обеспечивающий совместимость с устаревшими технологиями.
Внутренняя архитектура HSS обычно включает модули управления базами данных, подсистемы аутентификации (AuC), а также интерфейсы для администрирования и мониторинга. Для обеспечения высокой доступности и отказоустойчивости HSS часто разворачивается в кластерной конфигурации с репликацией данных.
Данные, хранящиеся в HSS
HSS хранит два основных типа данных: постоянные (неизменные или редко изменяемые) и временные (динамические).
Постоянные данные
- IMSI (International Mobile Subscriber Identity) — уникальный международный идентификатор абонента.
- MSISDN (Mobile Station International Subscriber Directory Number) — телефонный номер абонента.
- Секретный ключ Ki — используется для аутентификации и генерации сессионных ключей.
- OPc (Operator Variant Algorithm Configuration Field) — дополнительный параметр для алгоритмов аутентификации в LTE.
- Список разрешённых услуг (например, доступ к VoLTE, SMS, передаче данных).
- Профиль QoS — параметры максимальной и гарантированной скорости передачи данных, приоритет трафика.
Временные данные
- Идентификатор обслуживающей MME — текущий узел, обслуживающий абонента.
- Идентификатор обслуживающего SGSN — для абонентов, использующих сети 2G/3G.
- Статус регистрации в IMS — зарегистрирован ли абонент в мультимедийной подсистеме.
- Данные о местоположении — идентификатор зоны отслеживания (Tracking Area) или сота (Cell ID) последнего подключения.
Эволюция от HLR к HSS
HSS пришёл на смену HLR (Home Location Register) сетей 2G/3G, расширив его функциональность. Основные отличия:
- Поддержка IMS: HSS интегрирован с IP-мультимедийной подсистемой, что необходимо для VoLTE и других IP-услуг.
- Улучшенная аутентификация: в LTE используется более сложный протокол EPS-AKA, который требует от HSS хранения дополнительных параметров (OPc) и алгоритмов.
- Масштабируемость: HSS спроектирован для работы с миллионами абонентов и высокой нагрузкой, характерной для современных сетей.
- Виртуализация: современные реализации HSS часто разворачиваются в виртуализированной среде (NFV — Network Functions Virtualization), что позволяет гибко управлять ресурсами.
Производители и стандарты
HSS разрабатывается и поставляется ведущими производителями телекоммуникационного оборудования, такими как Ericsson, Nokia, Huawei, ZTE, Cisco и Oracle. Стандартизация функций и интерфейсов HSS осуществляется в рамках проектов 3GPP (3rd Generation Partnership Project), в частности в спецификациях TS 23.002 (архитектура сети) и TS 29.002 (протокол MAP). В России операторы связи, включая ПАО «МТС», ПАО «МегаФон», ПАО «ВымпелКом» (бренд «Билайн») и ПАО «Ростелеком», используют HSS в своих сетях LTE и IMS.
Безопасность и риски
HSS является критически важным элементом сети, так как содержит конфиденциальные данные абонентов и ключи аутентификации. Компрометация HSS может привести к утечке персональных данных, несанкционированному доступу к сети и подмене абонентов. Для защиты HSS применяются:
- Физическая изоляция серверов в защищённых дата-центрах.
- Шифрование данных при хранении и передаче.
- Многоуровневая аутентификация для административного доступа.
- Мониторинг и логирование всех операций для выявления аномалий.
В России требования к безопасности HSS регулируются Федеральным законом «О связи» и приказами Министерства цифрового развития, связи и массовых коммуникаций РФ, а также рекомендациями ФСБ России по криптографической защите информации.
Применение в сетях 5G
В архитектуре 5G (5G Core) роль HSS частично переходит к Unified Data Management (UDM) и Unified Data Repository (UDR). UDM выполняет функции управления данными подписчиков и аутентификации, а UDR — хранение профилей. Однако в сетях 5G, работающих в режиме неавтономной архитектуры (NSA), HSS продолжает использоваться для взаимодействия с опорной сетью LTE. В перспективе HSS будет полностью заменён компонентами 5G Core, но на этапе миграции операторы сохраняют совместимость с существующими системами.
Источники
- 3GPP TS 23.002: Network architecture (Release 16).
- 3GPP TS 29.002: Mobile Application Part (MAP) specification.
- 3GPP TS 33.401: 3GPP System Architecture Evolution (SAE); Security architecture.
- Федеральный закон «О связи» от 07.07.2003 № 126-ФЗ (с изменениями).
- Приказ Минцифры России от 05.04.2021 № 210 «Об утверждении требований к сетям подвижной радиотелефонной связи».
- Материалы курса «Архитектура сетей LTE и 5G» (Московский технический университет связи и информатики, 2022).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →