SIP消息加密

A. HSS是什麼材質

IMS域中3種類型的呼叫會話控制功能（CSCF）承擔著不同的功能。P-CSCF是SIP[2]中的代理伺服器，它負責接受請求或響應並進行轉發。S-CSCF執行會話控制服務，包括注冊並維持會話的狀態，擔任SIP伺服器的功能。而I-CSCF則是外部網路訪問IMS與之進行交互通信的介面，通過這種方式可實現對本網路結構的隱藏。HSS由2G的歸屬位置寄存器（HLR）演化而來，是支持用戶注冊並存放用戶身份、位置數據和過濾策略信息的網路資料庫。HSS也負責用戶進行網路接入的認證和授權控制信息的管理。

3GPP在IMS中提供了對三類服務與應用的接入，基本涵蓋了可能的應用：

a） IMS中，SIP被引入作為核心信令協議，SIP應用伺服器可被用來提供服務。

b） 由快速部署和第三方可提供服務所驅動的開放式應用編程介面（API），如OSA /Parlay API[3，4]，因此OSA/Parlay伺服器等可用作服務的提供和控制。

c） 為了保護傳統網路中已有的投資，利用已有的智能網服務，必須提供一種方法來實現傳統智能網與新的IMS域的終端用戶的互通，如CAMEL[5]等。

這些應用伺服器通過各自的服務平台，即SIP AS、OSA SCS和IM SSF，與S-SCSF通信，為用戶提供符合其配置策簡局升略的服務。

作為對移動用戶的媒體服務和應用的支持，IMS給用戶提供服務的過程如下：

a） 移動用戶已經通過GPRS的注冊，獲得了網路分配的IP地址，並執行P-CSCF發現；

b） 通過CSCF向IMS進行注冊，並執行安全認證，業務配置信息有效地存儲在HSS中；

c） 用戶通過CSCF與應用伺服器通信，請求相應的服務；攔老

d） 應用伺服器根據服務策略進行相應的響應，如提供服務或報錯，最後拆除會話。

1.2 協議

IMS為了支持基於IP的多媒體服務，實現移動網路與IP網路的融合，全面引入了IETF的協議，可分為下述幾類。

1.2.1 信令和會話協議

3GPP採用SIP作為IMS中的核心信令協議，用於會話的建立、更改和拆除，並且獨立於媒體的傳輸，但SIP並不負責QoS的保障。SIP通過開發新的方法、頭部欄位、消息體類型來實現強大的可擴展性，支持了未來潛在的應用。會話中消息體的描述使用的是SDP協議。

1.2.2 媒體傳輸協議

媒體傳輸與會臘吵話控制分離，使用實時傳輸協議（RTP）來傳輸，並同時利用實時傳輸控制協議（RTCP）為RTP提供與媒體流相關的信息。RTP中使用時間戳來為接收方提供媒體流的次序，利用序列號來測量數據包的丟失情況。RTCP統計並匯報RTP數據包的收發數量，同時還提供時間戳和參考時間之間的映射。而「參考時間」是確保在接收方確定媒體同步的重要參數。

1.2.3 驗證和安全協議

除了使用IP安全協議IPSec之外，IMS還引入了Diameter[6]協議，它是基於RADIUS協議發展而來，採用AAA客戶—伺服器結構，作為查詢和訪問HSS的安全協議。IMS中Cx、Dx和Sh介面使用了Diameter協議來執行驗證功能。

1.2.4 支持運營管理的協議

為了使運營商能對用戶不同QoS等級的服務和計費信息進行管理，並驗證用戶相應的QoS策略的合法性，引入了IETF開發的普通開放策略服務協議（COPS）[7]。

1.2.5 媒體網關控制協議

採用MEGACO/H.248協議，通過MGCF對媒體網關進行控制。媒體網關（MGW）和信令網關（SGW）互聯了IMS與傳統電路交換網路ISDN/PSTN。

2 服務平台

IMS設計了3個平台來為用戶提供多媒體的服務，統稱為應用伺服器（AS）。OSA SCS用於接入基於OSA/Parlay API的第三方業務，SIP AS用於提供基於SIP的應用服務，而IM SSF是接入智能網業務的介面。它們都通過S-CSCF來進行業務的實施，與S-CSCF的介面定義為ISC，它是基於SIP及其擴展之上的標准介面。從S-CSCF角度來看，OSA SCS、SIP AS和IM SSF都呈現出同樣的介面特性。S-CSCF根據從HSS取得的配置信息和收到SIP消息的不同，做出向應用伺服器直接轉發消息（直接方式），或是轉化成一個新的SIP消息再傳給AS（間接方式）。

在具體的應用中，應用伺服器在不同的環境下，也在SIP對話中充當了不同的SIP網元的角色，包括被叫UA或重定向伺服器、主叫UA、SIP代理伺服器、第三方呼叫控制器。在某些情況下，SIP對話直接通過S-CSCF進行轉接，而並不通過應用伺服器。前三種模式下的工作遵循RFC3261及其擴展協議。第三方的呼叫控制模式下，AS要新發起一個消息或呼叫，如執行預定的呼叫轉移的情形等。

雖然從ISC介面上，三類AS的行為以統一的方式與S-CSCF進行交互，但它們本身提供的業務方式以及與HSS的介面是有所區別的。

2.1 基於SIP的業務

S-CSCF利用的是基於SIP及其擴展的呼叫信令協議，通過SIP應用伺服器直接利用SIP協議可以獲得SIP AS到IMS的接入。這種方式不需要進行呼叫會話協議之間的映射，因此S-CSCF和SIP AS之間沒有中間的過渡平台，部署方便。SIP AS和HSS之間的介面是Sh，HSS負責控制提供何種信息給SIP AS。Sh上傳輸的是與用戶相關的信息，也可以是對HSS透明的信息和數據。

2.2 基於開放式應用編程介面的業務

下一代網路是一個開放的網路，允許第三方業務提供商通過標準的應用編程介面（API）接入網路資源，進行各種業務或應用。3GPP與Parlay組織合作制定了Parlay/OSA的標准,支持獨立於網路的第三方業務的接入和利用網路功能的體系，為用戶提供服務。

在Parlay/OSA API中，提供給應用的網路功能實體被定義為若干業務能力特徵（SCF）的集合，由業務能力伺服器（SCS）支持，這些SCF為應用開發提供了必要的網路接入功能。Parlay/OSA API是分層結構，可分別提供網路安全、發現並接入SCF等功能。第三方應用伺服器通過Parlay/OSA API和SCS相連接，而OSA SCS則在3rd AS和S-CSCF之間負責API和ISC之間的映射。此外，Parlay/OSA利用中間件技術實現對於特定廠家解決方案的獨立性，並且也獨立於所使用的編程語言和操作系統等。OSA SCS與HSS之間的介面也是Sh。

2.3 基於智能網的業務

之前已經提到，已有的正在為現行通信提供強力支持的智能網不會在短期內消失，而且IMS系統必須考慮與UMTS的電路交換域的互聯互通。要做到兼容已有的網路資源，實現技術和服務提供的平滑過渡，IMS需要接入現有的智能網。特別是3GPP提出的UMTS網路是在GSM/GPRS的基礎上發展起來的，因此接入GSM/GPRS原有的移動智能網CAMEL就顯得尤為重要。

IM SSF就是供CAMEL與S-CSCF互聯為IMS提供服務的平台。從CAMEL角度來看，IM SSF是智能網的服務交換節點SSP，相當於CAMEL中業務交換功能SSF和呼叫控制功能CCF。IM SSF在S-CSCF和CAMEL之間實現SIP消息和CAP信令的映射。Si是IM SSF與HSS交互通信的介面，傳輸的是CAMEL相關的信息。因此，通過IMS也可以得到在電路交換中智能網所提供的服務。

3 發展與應用

3.1 應用

從以上描述可知，IMS中呼叫和會話的控制是基於SIP進行的，具體的信令流程和會話的狀態變遷可參閱參考文獻2。IMS體系結構和CSCF的設計利用了軟交換技術，實現了業務與控制相分離、呼叫控制與媒體傳輸相分離。IMS雖然是3GPP為了移動用戶接入多媒體服務而開發的系統，但由於它全面融合了IP域的技術，並在開發階段就和其他組織進行密切合作，如Parlay，IETF等，就使得IMS實際已經不僅僅局限於只為移動用戶進行服務。

IMS的無線接入技術除了GSM/GPRS和WCDMA之外，WLAN通過SIP Proxy也可以接入。此外，固定網路的LAN和xDSL接入技術也可以接入到IMS。而且IMS還提供了與ISDN/PSTN傳統電路交換網路的互聯機制。這樣，IMS提供服務的終端除了移動終端之外，還包括固定的電話終端、多媒體智能終端、PC機的軟終端等。

移動通信和固定通信的融合以及聲音、數據、圖像多媒體的融合是未來通信發展的趨勢，IMS則初步體現了這兩大融合。IMS的優勢和前景使得3GPP2組織也將之引入，作為其提供實時多媒體服務的系統平台。

3.2 待解決的問題

IMS發展中，有以下兩個問題比較突出。

3.2.1 QoS保障

盡管IMS為用戶的服務需求提供了一個統一的平台，但由於服務的多樣性以及其對網路資源的依賴程度決定了在網路中實現QoS保障的復雜性。

現行的IP網路中QoS保障機制有：資源預留協議（RSVP）、區分服務（Diffserv）、多協議標簽交換（MPLS）等，但它們各有其局限性：

a） RSVP採用會話前預留資源的方法，額外開銷大，且不適合在較大型的網路內使用；

b） Diffserv利用優先順序分配資源的方法，實際上只是一種區分優先的技術，需要公認的QoS類別的劃分機制；

c） MPLS利用劃分等價類的方法來提供QoS的保障，但需要大規模更新網路中的路由器。

因此，為了實現所需的QoS，則需要綜合利用各種不同的技術。此外，為了實現異構網路以及不同運營商之間網路互聯中的QoS保障，網路間服務等級約定（SLAs）也是極其重要的。

3.2.2 安全問題

移動終端在接入網路時要通過鑒權認證，在接入IMS時還要再進行安全認證。此外，IMS對SIP文本消息進行了加密保護。但對於固定用戶而言，在接入網路的時候，並沒有身份鑒權的過程，這使得IMS內網元受攻擊的安全隱患加大。因此，為了實現固定和IMS的融合，必須考慮固定接入時的安全問題。

4 結束語

基於IP技術之上的IMS的出現體現了固定、移動網路融合的需要，並且不限定下層接入技術，因此提供了極大的便利性和自由度，為網路的發展指出了方向。傳統網路運營商希望可以藉助於這一結構體系，充分利用現有網路資源來滿足用戶多媒體服務的需求，而新興運營商則要求通過開放的介面快速部署業務和應用，盡快進入市場。IMS都滿足了這些要求。

在網路演進的過程中，不同運營商會根據自身情況考慮適合的演進策略，但需要遵循標准化發展的要求。雖然IMS為移動或是固定終端提供了相同的服務體系，但如何在網路中，特別是異構網路之間實現QoS的保障和安全也是必須考慮的重要問題，這方面的技術還需要進一步完善。

B. sip電話無法接通

加密配置問題。
sip電話無法接通一般由於電話編碼和中繼編碼不匹配，旅局且系統無法進行編碼轉換的原因造成。解決辦法：檢查終端手念，系統，中繼三者是否設定了相同的語音編碼
SIP(SessionInitiationProtocol)是一畢鎮困個應用層的信令控制協議。SIP電話是具有SIP功能的電話，在IP電話環境中以硬體或軟體的形式使用，並使用開放的SIP標准。是可以訪問SIP技術的設備。

C. 代理CSCF/詢問CSCF/服務CSCF是什麼意思

它處於IMS終端和罩亂IMS網路之間的節點上，因此它的作用猶如一個IM網的輸入口/輸出口的代理伺服器。所有的IMS終端發起的請求和接收端回送的響應都跨越P-CSCF。P-CSCF在一定方向轉發SIP請求和響應。除了受理SIP用戶的接入SIP消息轉發外，還具有完全性保護、壓縮、QoS策略裁決等功能。 詢問CSCF也稱查詢CSCF。I-CSCF位於歸屬網路域的邊緣。I-CSCF的地址見該域的DNS卡。主要的功能是：查詢HSS（歸屬用戶伺服器）選擇S-CSCF，並將SIP消息轉發到該S-CSCF；作為外部網路與IMS歸屬網路間的網關，支持防火牆神並功能；此外，I-CSCF還可對SIP消息中的敏物瞎檔感信息進行加密。 服務CSCF位於歸屬網路。S-CSCF是IMS信令平面的核心節點。

D. IMS的問題分析

IP多媒體子系統（IMS）是3GPP在R5規范中提出的，旨在建立一個與接入無關、基於開放的SIP/IP協議及支持多種多媒體業務類型的平台來提供豐富的業務。它將蜂窩移動通信網路技術、傳統固定網路技術和互聯網技術有機結合起來，為未來的基於全IP網路多媒體應用提供了一個通用的業務智能平台，也為未來網路發展過程中的網路融合提供了技術基礎。IMS的諸多特點使得其一經提出就成為業界的研究熱點，是業界普遍認同的解決未來網路融合的理想方案和發展方向，但對於IMS將來如何提供統一的業務平台實現全業務運營，IMS的標准化及安全等問題仍需要進一步的研究和探討。
1、IMS存在的安全問題分析
傳統的電信網路採用獨立的信令網來完成呼叫的建立、路由和控制等過程，信令網的安全能夠保證網路的安全。而且傳輸採用時分復用（TDM）的專線，用戶之間採用面向連接的通道進行通信，避免了來自其他終端用戶的各種竊聽和攻擊。
而IMS網路與互聯網相連接，基於IP協議和開放的網路架構可以將語音、數據、多媒體等多種不同業務，通過採用多種不同的接入方式來共享業務平台，增加了網路的靈活性和終端之間的互通性，不同的運營商可以有效快速地開展和提供各種業務。由於IMS是建立在IP基礎上，使得IMS的安全性要求比傳統運營商在獨立網路上運營要高的多，不管是由移動接入還是固定接入，IMS的安全問題都不容忽視。
IMS的安全威脅主要來自於幾個方面：未經授權地訪問敏感數據以破壞機密性；未經授權地篡改敏感數據以破壞完整性；干擾或濫用網路業務導致拒絕服務或降低系統可用性；用戶或網路否認已完成的操作；未經授權地接入業務等。主要涉及到IMS的接入安全（3GPP TS33.203），包括用戶和網路認證及保護IMS終端和網路間的業務；以及IMS的網路安全（3GPP TS33.210），處理屬於同一運營商或不同運營商網路節點之間的業務保護。除此之外，還對用戶終端設備和通用集成電路卡/IP多媒體業務身份識別模塊（UICC/ISIM）安全構成威脅。
2、IMS安全體系
IMS系統安全的主要應對措施是IP安全協議（IPSec），通過IPSec提供了接入安全保護，使用IPSec來完成網路域內部的實體和網路域之間的安全保護。3GPP IMS實質上是疊加在原有核心網分組域上的網路，對PS域沒有太大的依賴性，在PS域中，業務的提供需要移動設備和移動網路之間建立一個安全聯盟（SA）後才能完成。對於IMS系統，多媒體用戶也需要與IMS網路之間先建立一個獨立的SA之後才能接入多媒體業務。
3GPP終端的核心是通用集成電路卡（UICC），它包含多個邏輯應用，主要有用戶識別模塊（SIM）、UMTS用戶業務識別模塊（USIM）和ISIM。ISIM中包含了IMS系統用戶終端在系統中進行操作的一系列參數（如身份識別、用戶授權和終端設置數據等），而且存儲了共享密鑰和相應的AKA（Authentication and Key Agreement）演算法。其中，保存在UICC上的用戶側的IMS認證密鑰和認證功能可以獨立於PS域的認證密鑰和認證功能，也可和PS使用相同的認證密鑰和認證功能。IMS的安全體系如圖1所示。
圖1中顯示了5個不同的安全聯盟用以滿足IMS系統中不同的需求，分別用①、②、③、④、⑤來加以標識。①提供終端用戶和IMS網路之間的相互認證。
②在UE和P-CSCF之間提供一個安全鏈接（Link）和一個安全聯盟（SA），用以保護Gm介面，同時提供數據源認證。
③在網路域內為Cx介面提供安全。
④為不同網路之間的SIP節點提供安全，並且這個安全聯盟只適用於代理呼叫會話控制功能（P-CSCF）位於拜訪網路（VN）時。
⑤為同一網路內部的SIP節點提供安全，並且這個安全聯盟同樣適用於P-CSCF位於歸屬網路（HN）時。
除上述介面之外，IMS中還存在其他的介面，在上圖中未完整標識出來，這些介面位於安全域內或是位於不同的安全域之間。這些介面（除了Gm介面之外）的保護都受IMS網路安全保護。
SIP信令的保密性和完整性是以逐跳的方式提供的，它包括一個復雜的安全體系，要求每個代理對消息進行解密。SIP使用兩種安全協議：傳輸層安全協議（TLS）和IPSec，TLS可以實現認證、完整性和機密性，用TLS來保證安全的請求必須使用可靠的傳輸層協議，如傳輸控制協議（TCP）或流控制傳輸協議（SCTP）；IPSec通過在IP層對SIP消息提供安全來實現認證、完整性和機密性，它同時支持TCP和用戶數據報協議（UDP）。在IMS核心網中，可通過NDS/IP來完成對網路中SIP信令的保護；而第一跳，即UE和P-CSCF間的信令保護則需要附加的測量，在3GPP TS 33.203中有具體描述。
3、IMS的接入安全
IMS用戶終端（UE）接入到IMS核心網需經一系列認證和密鑰協商過程，具體而言，UE用戶簽約信息存儲在歸屬網路的HSS中，且對外部實體保密。當用戶發起注冊請求時，查詢呼叫會話控制功能（I-CSCF）將為請求用戶分配一個服務呼叫會話控制功能（S-CSCF），用戶的簽約信息將通過Cx介面從HSS下載到S-CSCF中。當用戶發起接入IMS請求時，該S-CSCF將通過對請求內容與用戶簽約信息進行比較，以決定用戶是否被允許繼續請求。
在IMS接入安全中，IPSec封裝安全凈荷（ESP）將在IP層為UE和P-CSCF間所有SIP信令提供機密性保護，對於呼叫會話控制功能（CSCF）之間和CSCF和HSS之間的加密可以通過安全網關（SEG）來實現。同時，IMS還採用IPSec ESP為UE和P-CSCF間所有SIP信令提供完整性保護，保護IP層的所有SIP信令，以傳輸模式提供完整性保護機制。
在完成注冊鑒權之後，UE和P-CSCF之間同時建立兩對單向的SA，這些SA由TCP和UDP共享。其中一對用於UE埠為客戶端、P-CSCF埠作為伺服器端的業務流，另一對用於UE埠為伺服器、P-CSCF埠作為客戶端的業務流。用兩對SA可以允許終端和P-CSCF使用UDP在另一個埠上接收某個請求的響應，而不是使用發送請求的那個埠。同時，終端和P-CSCF之間使用TCP連接，在收到請求的同一個TCP連接上發送響應；而且通過建立SA實現在IMS AKA提供的共享密鑰以及指明在保護方法的一系列參數上達成一致。SA的管理涉及到兩個資料庫，即內部和外部資料庫（SPD和SAD）。SPD包含所有入站和出站業務流在主機或安全網關上進行分類的策略。SAD是所有激活SA與相關參數的容器。SPD使用一系列選擇器將業務流映射到特定的SA，這些選擇器包括IP層和上層（如TCP和UDP）協議的欄位值。
與此同時，為了保護SIP代理的身份和網路運營商的網路運作內部細節，可通過選擇網路隱藏機制來隱藏其網路內部拓撲，歸屬網路中的所有I-CSCF將共享一個加密和解密密鑰。
在通用移動通信系統（UMTS）中相互認證機制稱為UMTS AKA，在AKA過程中採用雙向鑒權以防止未經授權的「非法」用戶接入網路，以及未經授權的「非法」網路為用戶提供服務。AKA協議是一種挑戰響應協議，包含用戶鑒權五元參數組的挑戰由AUC在歸屬層發起而發送到服務網路。
UMTS系統中AKA協議，其相同的概念和原理被IMS系統重用，我們稱之為IMS AKA。AKA實現了ISIM和AUC之間的相互認證，並建設了一對加密和完整性密鑰。用來認證用戶的身份是私有的身份（IMPI），HSS和ISIM共享一個與IMPI相關聯的長期密鑰。當網路發起一個包含RAND和AUTN的認證請求時，ISIM對AUTN進行驗證，從而對網路本身的真實性進行驗證。每個終端也為每一輪認證過程維護一個序列號，如果ISIM檢測到超出了序列號碼范圍之外的認證請求，那麼它就放棄該認證並向網路返回一個同步失敗消息，其中包含了正確的序列號碼。
為了響應網路的認證請求，ISIM將密鑰應用於隨機挑戰（RAND），從而產生一個認證響應（RES）。網路對RES進行驗證以認證ISIM。此時，UE和網路已經成功地完成了相互認證，並且生成了一對會話密鑰：加密密鑰（CK）和完整性密鑰（IK）用以兩個實體之間通信的安全保護。
4、IMS的網路安全
在第二代移動通信系統中，由於在核心網中缺乏標準的安全解決方案，使得安全問題尤為突出。雖然在無線接入過程中，移動用戶終端和基站之間通常可由加密來保護，但是在核心網時，系統的節點之間卻是以明文來傳送業務流，這就讓攻擊者有機可乘，接入到這些媒體的攻擊者可以輕而易舉對整個通信過程進行竊聽。
針對2G系統中的安全缺陷，第三代移動通信系統中採用NDS對核心網中的所有IP數據業務流進行保護。可以為通信服務提供保密性、數據完整性、認證和防止重放攻擊，同時通過應用在IPSec中的密碼安全機制和協議安全機制來解決安全問題。
在NDS中有幾個重要的概念，它們分別是安全域（Security Domains）、安全網關（SEG）。
4.1安全域
NDS中最核心的概念是安全域，安全域是一個由單獨的管理機構管理運營的網路。在同一安全域內採用統一的安全策略來管理，因此同一安全域內部的安全等級和安全服務通常是相同的。大多情況下，一個安全域直接對應著一個運營商的核心網，不過，一個運營商也可以運營多個安全域，每個安全域都是該運營商整個核心網路中的一個子集。在NDS/IP中，不同的安全域之間的介面定義為Za介面，同一個安全域內部的不同實體之間的安全介面則定義為Zb介面。其中Za介面為必選介面，Zb介面為可選介面。兩種介面主要完成的功能是提供數據的認證和完整性、機密性保護。
4.2安全網關
SEG位於IP安全域的邊界處，是保護安全域之間的邊界。業務流通過一個SEG進入和離開安全域，SEG被用來處理通過Za介面的通信，將業務流通過隧道傳送到已定義好的一組其他安全域。這稱為輪軸-輻條（hub-and-spoke）模型，它為不同安全域之間提供逐跳的安全保護。SEG負責在不同安全域之間傳送業務流時實施安全策略，也可以包括分組過濾或者防火牆等的功能。IMS核心網中的所有業務流都是通過SEG進行傳送，每個安全域可以有一個或多個SEG，網路運營商可以設置多個SEG以避免某獨立點出現故障或失敗。當所保護的IMS業務流跨越不同安全域時，NDS/IP必須提供相應的機密性、數據完整性和認證。
4.3基於IP的網路域安全體系[2]
NDS/IP體系結構最基本的思想就是提供上從一跳到下一跳的安全，逐跳的安全也簡化了內部和面向其他外部安全域分離的安全策略的操作。
在NDS/IP中只有SEG負責與其他安全域中的實體間進行直接通信。兩個SEG之間的業務被採用隧道模式下的IPSec ESP安全聯盟進行保護，安全網關之間的網路連接通過使用IKE來建立和維護[3]。網路實體（NE）能夠面向某個安全網關或相同安全域的其他安全實體，建立維護所需的ESP安全聯盟。所有來自不同安全域的網路實體的NDS/IP業務通過安全網關被路由，它將面向最終目標被提供逐跳的安全保護[5]。其網路域安全體系結構如圖2所示。
4.4密鑰管理和分配機制[5]每個SEG負責建立和維護與其對等SEG之間的IPSec SA。這些SA使用網際網路密鑰交換（IKE）協議進行協商，其中的認證使用保存在SEG中的長期有效的密鑰來完成。每個對等連接的兩個SA都是由SEG維護的：一個SA用於入向的業務流，另一個用於出向的業務流。另外，SEG還維護了一個單獨的網際網路安全聯盟和密鑰管理協議（ISAKMP）SA，這個SA與密鑰管理有關，用於構建實際的對等主機之間的IPSec SA。對於ISAKMP SA而言，一個關鍵的前提就是這兩個對等實體必須都已經通過認證。在NDS/IP中，認證是基於預先共享的密鑰。
NDS/IP中用於加密、數據完整性保護和認證的安全協議是隧道模式的IPSec ESP。在隧道模式的ESP中，包括IP頭的完整的IP數據包被封裝到ESP分組中。對於三重DES加密（3DES）演算法是強制使用的，而對於數據完整性和認證，MD5和SHA-1都可以使用。
4.5IPSec安全體系中的幾個重要組成和概念[5]
1）IPSec：IPSec在IP層（包括IPv4和IPv6）提供了多種安全服務，從而為上層協議提供保護。IPSec一般用來保護主機和安全網關之間的通信安全，提供相應的安全服務。
2）ISAKMP：ISAKMP用來對SA和相關參數進行協商、建立、修改和刪除。它定義了SA對等認證的創建和管理過程以及包格式，還有用於密鑰產生的技術，它還包括緩解某些威脅的機制。
3）IKE：IKE是一種密鑰交換協議，和ISAKMP一起，為SA協商認證密鑰材料。IKE可以使用兩種模式來建立第一階段ISAKMP SA，即主模式和侵略性模式。兩種模式均使用短暫的Diffie-Hellman密鑰交換演算法來生成ISAKMP SA的密鑰材料。
4）ESP：ESP用來在IPv4和IPv6中提供安全服務。它可以單獨使用或與AH一起使用，可提供機密性（如加密）或完整性（如認證）或同時提供兩種功能。ESP可以工作在傳送模式或隧道模式。在傳送模式中，ESP頭插入到IP數據報中IP頭後面、所有上層協議頭前面的位置；而在隧道模式中，它位於所封裝的IP數據報之前。
標准化組織對IMS的安全體系和機製做了相應規定，其中UE和P-CSCF之間的安全由接入網路安全機制提供，IMS網路之上的安全由IP網路的安全機制保證，UE與IMS的承載層分組網路安全仍由原來的承載層安全機制支持。所有IP網路端到端安全基於IPSec，密鑰管理基於IKE協議。對於移動終端接入IMS之前已經進行了相應的鑒權，所以安全性更高一些。但是對於固定終端來說，由於固定接入不存在類似移動網路空中介面的鑒權，P-CSCF將直接暴露給所有固定終端，這使P-CSCF更易受到攻擊。為此，在IMS的接入安全方面有待於進一步的研究，需要不斷完善IMS的安全機制。

E. SIP協議 SUBSCRIBE訂閱 404出錯碼

404錯誤的意思是沒有找陪帶到匹配的用戶，也就是請求URI里user部分（你包里的340200.。。。）。你需要查一下這個值你是從哪裡來的，server是否有與兆慶之匹配的已經注冊的用戶。
此外訂閱如果想要成功的話，幾個sip頭也必須是server能夠認識的，比如訂閱的事件包類型（Event header），消息體類型（content-type）。至於消息體力的內容，你這個看起來是私有協議，別人是幫不到蘆猜蘆你的。

F. IMS Sip中的注冊消息MD5加密是如何進行的

MD5 Algorithm Description

We begin by supposing that we have a b-bit message as input, and that
we wish to find its message digest. Here b is an arbitrary
nonnegative integer; b may be zero, it need not be a multiple of
eight, and it may be arbitrarily large. We imagine the bits of the
message written down as follows:

m_0 m_1 ... m_{b-1}

The following five steps are performed to compute the message digest
of the message.

G. 【opensips】使用tls加密後的sip流如何通過wireshark查看

使用tls加密sip後，所有的sip都是密文，所以即使抓包，也無法查看到sip信令流。

實際上如果有tls伺服器端certificate的private key的話，是可以把tls的sip流解密的。

選擇 wireshark首先項，在prototols中選擇TLS（有的版本是SSL）
選擇 RSA keys list 彈出第二頁配置窗

配置tls 的private key

整個pcap包里有兩個IP，一個是server ip（這里是private IP），一個是client IP。

H. sip協議框架中,使用什麼協議實現視頻會議加密

使用高級迴路協議實乎耐現視頻會議加密。因為sip協議歲春春框架中的加密步驟很復雜，效果森租非常非常好，性能很好，所以使用高級迴路協議實現視頻會議加密

I. sip alg是什麼

SIP
ALG（SIP
Application
Layer
Gateways）：SIP應用層網關
其主要作用就是幫助NAT下的私網終端設備，在不做任何改動的情況下能夠與公網上的SIP軟交換進行正常的數據交互。
由於其僅是簡單的消息數悄銀衫納據修改，類似於一種透明代理，並沒有事務層相關概念，同時在現網使用中兼容性等問題，導致ALG在啟塌宴解決NAT私網穿越方面並沒有得到很好的應用。

J. sip 鑒權中password 怎麼來,UE 和 HSS 怎麼知道這個password

部署的時候衡首知道pwd的，然後注冊時候先返回4xx的相應攜帶加密信畢仔息，ue用利用加密信息對usr/pwd加密後再重新注冊手攔汪，伺服器解密後如果匹配返回200ok