1、引言

　　IMS是3G系统中核心网的一部分，它通过由SIP协议提供的会话发起能力，建立起端到端的会话，并获得所需要的服务质量。IMS实现了控制和承载的分离，IMS终端可以通过不同的接入方式，接入到分组域核心网PS（WCDMA网络、cdma2000网络和固定网络等），由PS提供SIP信令和媒体数据的承载，而由IMS的核心部分提供会话和业务的控制。IMS为未来的多媒体数据业务提供了一个通用平台，它是向全IP网络演进的重要一步。

　　3GPP和3GPP2都对IMS网络进行了定义，其中3GPP2 IMS Rev 0对应于3GPP IMS R5；3GPP2 IMS Rev A对应于3GPP IMS R6。

　　2、IMS安全标准体系

　　安全部分是IMS网络的重要组成部分，3GPP和3GPP2对IMS网络的安全机制都有专门的标准。

　　2.1　3GPP

　　目前，3GPP已经发布的IMS安全标准有：

　　（1）3GPP TS 33.203:IMS接入网络的安全机制；

　　（2）3GPP TS 33.210:IMS核心网络的安全机制。

　　3GPP IMS安全规范目前已经发布的版本有R5和R6。R7的制定目前正在进行。R6与R5的主要区别在于：R5中没有对SIP信令的保密性作出要求，而R6提出了SIP信令的保密性机制。

　　2.2　3GPP2

　　3GPP2已经发布的IMS安全规范是S.S0086:IMS安全框架。S.S0086主要参考3GPP TS 33.203和3GPP TS 33.210，其中包括了IMS接入网和网络域的安全。目前，已发布的最新版本为Rev B，Rev B和3GPP的R6相对应。

　　2.3　国内

　　在国内，CCSA TC5 WG5已经参考3GPP和3GPP2的相关规范制定了相应的行标。

　　●  TD-SCDMA/WCDMA IP多媒体子系统安全技术要求V1.0；

　　●  cdma2000 IP多媒体子系统安全技术要求V1.0。

　　以上两个行标已处于报批阶段，另外WG5还会根据3GPP和3GPP2的不同版本来更新行标的版本。

　　3、IMS安全体系

　　在IMS的安全体系中，从UE到网络的各个实体（P-CSCF，S-CSCF，HSS）都涉及到了接入和核心网两个部分的安全概念。IMS安全体系的整体思想是使用IPSec的安全特性为IMS系统提供安全保护。整个IMS安全体系结构如图1所示。

图1　IMS安全体系结构图

　　        图1显示了5个不同的安全层面，它们将用于IMS安全保护中不同的需求，并分别被标注为（1）、（2）、（3）、（4）和（5）。

　　（1）提供用户和网络之间的双向身份认证。HSS委托S-CSCF执行用户认证，认证基于保存在HSS中的密钥和函数。

　　（2）为UE和P-CSCF间的通信提供一个安全连接，用以保护Gm参考点的安全。其中，包括加密和完整性保护。

　　（3）提供网络域内CSCF和HSS之间的安全。

　　（4）为不同网络间的CSCF提供安全。

　　（5）为网络内部的CSCF提供安全。

　　对于接入部分而言，UE和P-CSCF之间涉及到接入安全与身份认证。IMS AKA实现了UE与网络的双向认证功能；UE与P-CSCF之间协商SA（Security Association，安全联盟），并通过IPSec提供了接入安全保护。

　　核心网部分引入了安全域的概念。安全域是由某个单独机构所管理的网络，在同一安全域内的网元具有相同的安全级别并享有特定的安全服务。特别指出，某个运营商自己的网络就可以作为一个安全域，虽然这个网络可能包含多个独立的子网。网络域内部的实体和网络域之间都可以使用IPSec来提供安全保护。

[1] [2] [3] [4] 下一页