早期IMS安全

10.15.1回退到早期IMS安全的IMS注册示例

3.19节介绍了早期IMS安全的通用原则和需求。图10-17显示了当网络需要

基于IP的认证，并且UE同时支持两种IMS安全机制（即完全IMS安全和早期IMS安全）时，早期IMS安全的工作原理。其他可能的情形将在10.15.2节中给出。

图10-17   早期IMS安全流程示例

当UE建立IMS信令PDP上下文时,GGSN创建RADIUS“Accounting-RequestSTART“请求发往GGSN,GGSN将指示用户的MSISDN（移动用户ISDN号码，即手机号）以及IMS特定PDP上下文的IP地址。

在建立了信令PDP上下文以后，UE将发送初始REGISTER请求，如前面章节所述，包括Authentication消息头、Security-Client消息头，以及Require和Proxy-Require消息头中的“sec-agree“可选标签。

REGISTERsip:homel.fr SIP/2.0

From:<sip:tobias@homel.fr>;tag=pohja

To:<sip:tobias@homel.fr>

Authorization:Digestusemame=ntobias_private@home1.fr",

                      realm="home1.fr",nonce="",

                      uri="sip:homel.fr",response=""

                      integrity-protected="yes"

Security-Client:digest,IPsec-3gpp;alg=hmac-sha-1-96

                       ;spi-c=23456789;spi-s=12345678

                        ;port-c=2468;port-s=1357

Require:sec-agree

Proxy-Require:sec-agree

Contact:<sip:[5555::1:2:3:4]>;expires=600000

当P-CSCF（本例中仅支持早期IMS安全）收到这个REGISTER请求时，它将使用420（不支持）响应发出拒绝，指示它不支持Sip-Sec-Agree扩展。

SIP/2.0420Unsupported

Unsupported:sec-agree

该拒绝消息在UE端是作为指示使用的，它表明必须启用早期IMS安全机制。

因为这个原因，UE构造了新的REGISTER请求，其中不包括Authorization和Security-Client消息头、Require和Proxy-Require消息头，也不包括sec-agree可选标签。

现在系统已经从UE的USIM应用中获知REGISTER请求中的标识。这意味着即使UE配备了ISIM应用（在早期IMS安全的情况下）,它仍然需要能够从USIM获取标识（见10.12.3节）。这是必需的，因为第二个REGISTER请求Authorization消息头中不包括私有用户标识。因此，在早期IMS安全的情况下，用户将总是用临时公共用户标识注册。

REGISTER sip:33.222.IMSI.3gppnetworks.orgSIP/2.0

From:<sip:222330999999999@33.222.IMSI.3gppnetworks.org>;tag=t2

To:<sip:222330999999999@33.222.IMSI.3gppnetworks.org>

Contact:<sip:[5555::1:2:3:4]>;expires=600000

第二个REGISTER请求将会采用本章前面章节介绍的同样的方式传送到网络中。

当收到REGISTER请求时，P-CSCF将检测到启用了早期IMS安全，因为Require和Proxy-Require消息头没有包括sec-agree可选标签"sec-agree“。

S-CSCF也将检测到启用了早期IMS安全，因为在收到的REGISTER请求中没有包括Authorization消息头。于是，它将通过Cx接口向HSS发送To消息头中的标识和Contact消息头中的IP地址。

HSS将检查在提供的MSIDSN与由用户标识提供的IMSI之间是否存在关联关系，然后它检查S-CSCF指示的IP地址是否是GGSN指派给那个MSDISN的。与以前看到的一样，HSS从HSS处收到指派给那个MSISDN的IP地址，这是在PDP上下文建立过程中指派的。只有当检查成功时，HSS才通知S-CSCF认证成功。当收到HSS发来的这个指示以后，S-CSCF对收到的REGISTER请求反馈200（OK）响应。完成了这个过程以后，用户就通过了IMS认证。

为了保证发往IMS网络的SIP消息是发自已认证的UE,GGSN需要对照已注册的contact地址检查这些消息中的IP地址。

10.15.2早期IMS安全情形

表10-4给出了可能出现的早期IMS安全和完全IMS安全的组合。如果UE只支持早期IMS安全而网络只支持完全IMS安全，P-CSCF将用421（需要扩展）响应来拒绝初始REGISTER请求，指示它需要Sip-Sec-Agree过程以支持完全IMS安全。

SIP/2.0421ExtensionRequired

Require:sec-agree

由于这种情况下UE不支持完全IMS安全，它将不再尝试注册IMS网络。

表10-4显示在两种情况下不能进行IMS注册，这也强调了这个替代性安全机制的早期特性。只有两种机制（早期IMS安全和完全IMS安全）都提供的网络中，用户才不至于遭受服务不连续的问题。

表10-4早期IMS安全注册的情形