IMS在安全功能和机制上继承自UMTS系统，提出了完整的安全体系以保证业务的端到端安全。从网络结构看，IMS的安全分为接入安全和网络安全。

一、IMS安全体系

针对安全需求，IMS构建了完整的安全体系，如图12.11所示，其保证业务端到端的安全策略可以分解为5个方面：

1、HSS和ISIM通过AKA(AuthenticationandKeyAgreement,认证和密钥协商）机制提供双向鉴权；

2、UE和P-CSCF之间的Gm接口安全，包括信令完整性、加密；

3、为网络域的Cx接口提供安全；

4、不同网络间SIP节点之间的安全；

5、同一网络中SIP节点之间的安全。

        上述5个方面的安全从网络结构上可以归纳两个部分：1、2属于IMS接入网的安全，定义了终端安全接入到IMS网络的安全特性和机制；3、4、5则涉及IMS核心网络域的安全，定义了IMS核心网络基于IP协议的控制面的安全体系。

二、接入网络域安全

接入网络安全定义了终端接入到IMS的安全特性和机制。接入IMS的用户首先需要被认证和授权以确认用户有使用某一种业务的权限。一旦用户被授权，就会在UE和IMS网络之间建立IPSec安全联盟(SecurityAssociation)来保护其接入安全。

1.用户和网络的认证

IMS认证和授权依靠终端中的安全功能实现。事实上，终端并不直接实施安全功能，而是在插入终端的智能卡中实现。智能卡的功能依靠实际的网络来实现。在3GPP网络中，智能卡通常被称为UICC(UniversalIntegratedCircuitCard,通用集成电路卡）。UICC包含一个或者两个应用程序（模块）。每一个应用程序（模块）储存一些对应于特殊用途的配置和参数。其中一个应用程序是ISIM(IP-MultimediaServ:icesIdentityMod­ule,IP多媒体服务识别模块），其他可能的应用模块是SIM(SubscriberIdentityModule,签约用户识别模块）和USIM(UMTSSubscriberIdentityModule,UMTS签约用户识别模块），如图所示。

ISIM是专为IMS定义的，它是IMS安全中最重要的组成模块。ISIM存储着IMS相关的安全数据和算法。IMS规范中定义ISIM里面主要包含以下参数。

•IMPI:用户的私有身份标识；

•IMPU:用户的一个或多个公共身份标识；

•用户归属网络的域名；

•IMS域内的SQN序列号；

•认证密钥(IMS安全的基础）。

        IMS接入认证、加密和完整性保护等都基于这些参数。在IMS网络中只有ISIM和HSS共享这些秘密参数和算法，其他的任何网络实体都不知道密钥和用户私有身份。用户终端与网络的认证就是基于ISIM和HSS间的共享密钥进行的。为了获得相互认证，ISIM和HSS必须向对方证明自已知道那个共享密钥。

        认证是在用户注册或重新注册的时候进行的。IMS对用户的认证采用IMSAKA机制，可提供用户和网络之间的双向认证，其流程完全类似于UMTSAKA。AKA是一个为UMTS开发的安全协议，采用质询－应答(Challenge-response)模式提供UMTS中的相互认证机制，相同的概念／原理应用于IMS就称为IMSAKA。IMS使用AKA协议完成HSS与ISIM的相互认证，同时完成UE和P-CSCF之间加密和完整性密钥的协商。

        在IMS网络中，AKA协议以SIP协议作为其传输媒介，在SIP协议内部以隧道的方式传送。但是，包含ISIM的终端使用SIP协议，而HSS并不使用SIP协议。为了解决这个问题，在用户注册时被指定为该用户服务的S-CSCF就担当了认证者的角色。S-CSCF使用Diameter协议从HSS处获得认证向量（这个认证向量包含了一个质询以及该质询期望从用户代理获得的应答），并质询用户终端。如果用户应答不同，那么S-CSCF就认为认证失败。下面描述IMS终端和网络间的认证和授权的过程，如图12.13所示。

        SM1~SM3,用户终端在登录IMS网络时要做的第一件事就是给归属网络发送一个Regiser请求。1-CSCF使用从HSS中获得的准则对Regiser消息进行处理，为用户分配一个用于认证和授权的S-CSCF。CMl~CM2:为了完成认证功能，S-CSCF需要从HSS下载多个认证向量。每一个认证向量包含一个随机质询(RAND)、一个网络认证签名(AUTN)、一个期望从IMS终端获得的应答<XRES)、一个为了完整性检查的会话密钥(IK)和一个加密密钥(CK)。HSS使用与ISIM共享的密钥以及在ISIM与HSS同步中保存的序列号生成AUTH。每一个认证向蜇只能用来认证一次ISIM。S-CSCF下载多个向量是为了避免每次用户需要认证时都与HSS相连接。