IMS信令接入安全机制

jacqueline0125

       参考3GPP TS 24.229和3GPP TS 33.203，常用的信令面接入安全机制有以下几种：

      1）IMS AKA（使用SIP Digest AKAV1-MD5） +IPsec ESP：这种方式适用于有卡（USIM/ ISIM）终端通过4G/5G接入IMS的场景。通过IMS AKA做基本接入鉴权，并通过IPsec建立安全通道确保数据完整性。我们目前使用的所有手机终端基本上都属于这种接入模式；

      2）IMS AKA （使用HTTP Digest AKAV2）+TLS：这种方式适用于有卡（USIM卡或者USIM卡集成 ISIM模块）终端使用WIC(WebRTCIMS Client, WebRTC是一种通过浏览器进行实时通信的技术。它使用HTTP、WebSocket和DTLS-SRTP等协议)的场景。通过IMS AKA做基本接入鉴权，并通过TLS确保数据完整性。

      3）SIP Digest+TLS：它应用在非3GPP定义的接入网类型（如非3G/4G/5G IP接入），支持IP和浏览器协议的智能终端设备，如便携电脑、PDA等场合。SIP Digest是基于HTTP Digest AKA的双向鉴权机制，在该机制中HSS与用户设备分别存放一个预先设定的、相同的、与IMPI关联的密码。其流程与上述的IMS AKA类似，AV和算法不同。由于本SIP Digest不产生IPsec安全关联所用的密钥，它不能与IPsec联合使用，但可以与TLS一起使用提供信令的机密性和完整性保护。

      4）Trusted Node：适用于增强的MSC-Server处理ICS（IMS集中业务）、AGCF将固网终端接入IMS的场景。I-CSCF直接将可信节点AGCF和MSC-Server的信令接入IMS。

      5）GPRS-IMS绑定鉴权(GIBA) ：GIBA用于不支持USIM/ISIM接口的用户设备，如2G手机使用IMS业务的场合。该机制在HSS中建立用户身份IMPI和IMPU与GPRS当前分配给用户的IP地址的安全捆绑。在S-CSCF收到SIP注册请求或任何后续的请求时，检查在SIP头中的IP地址是否与HSS中的相一致，如果一致则容许接入。

     6）NASS-IMS绑定鉴权(NBA)：这方法应用于TISPAN NGN的NASS接入类型，如DSL等固定宽带，并且老的终端不支持AKA机制的接入的场合。NBA是基于接入层鉴权成功的基础上获得IMS接入的一种机制。通过将用户设备的位置配置在HSS的用户数据中，把IMS身份与固定的特定位置关联起来。在用户设备接入时，其接入的位置需要通过NASS的验证，NASS还进行接入层的鉴权/授权处理。如果NASS的位置等于配置的位置，那么就授权该用户设备接入IMS。该机制将由接入网络来提供信令的机密性和完整性保护以及防IP欺骗的手段，不支持游牧和漫游。