中兴通讯IMS网络安全解决方案

IMS采用基于会话初始协议（SIP）的全IP架构，旨在建立一个与接入无关、支持多媒体的平台，以提供丰富的业务。SIP协议和IP网络固有的缺陷和安全漏洞使得IMS网络很容易遭受攻击，另外，IMS对开放性接入的支持也对其网络安全提出挑战。如何保证用户安全地接入网络，保证IMS网络的可靠性，成为IMS技术商用的关键。

IMS网络的安全威胁主要来自于几个方面：未经授权地访问敏感数据以破坏机密性；未经授权地篡改敏感数据以破坏完整性；干扰或滥用网络业务导致拒绝服务或降低系统可用性；用户或网络否认已完成的操作；未经授权地接入业务等。

在3GPP中，IMS安全体系架构如图1所示。

   接口①提供终端用户和IMS网络之间的相互认证。

接口②在UE和P-CSCF之间提供一个安全链接（Link）和一个安全联盟（SA），用以保护Gm接口，同时提供数据源认证。

接口③在网络域内为Cx接口提供安全。

接口④为不同网络之间的SIP节点提供安全，并且这个安全联盟只适用于代理呼叫会话控制功能（P-CSCF）位于拜访网络（VN）时。

接口⑤为同一网络内部的SIP节点提供安全，并且这个安全联盟同样适用于P-CSCF位于归属网络（HN）时。

根据3GPP标准规定，在IMS安全体系架构中，要求所有用户在使用IMS服务之前都必须进行鉴权（认证和授权），协商建立安全的接入通道。用户和网络实体之间以及网络实体之间的通信必须时刻处于安全保护之中。

中兴通迅IMS安全解决方案将IMS网络分成接入网安全和核心网安全两个层面，如图2所示。

IMS接入网安全

IMS的接入安全机制承担着两大任务：一是对接入用户的鉴权认证；二是在鉴权认证结束之后，在UE和IMS网元之间建立安全链接，为后续SIP信令的交互提供安全保护。

●    用户认证

用户为获取IMS基本服务，首先必须在IMS网络成功注册，之后用户可以接受或发起IMS基本会话。无论对用户的IMS 注册过程，或者对用户注册后发起的基本会话请求，IMS网络设备都需要验证发起该请求用户的“真实性”，用户也必须对接入IMS网络的“合法性”进行验证。

中兴通讯IMS安全解决方案根据用户终端类型的不同，提供了丰富的认证方案，包括Early IMS认证、IMS AKA、HTTP Digest和NASS-Bundled认证等。对于IMS的3G终端，首选IMS AKA

[关键词] IMS