SIP消息加密

A. HSS是什么材质

IMS域中3种类型的呼叫会话控制功能（CSCF）承担着不同的功能。P-CSCF是SIP[2]中的代理服务器，它负责接受请求或响应并进行转发。S-CSCF执行会话控制服务，包括注册并维持会话的状态，担任SIP服务器的功能。而I-CSCF则是外部网络访问IMS与之进行交互通信的接口，通过这种方式可实现对本网络结构的隐藏。HSS由2G的归属位置寄存器（HLR）演化而来，是支持用户注册并存放用户身份、位置数据和过滤策略信息的网络数据库。HSS也负责用户进行网路接入的认证和授权控制信息的管理。

3GPP在IMS中提供了对三类服务与应用的接入，基本涵盖了可能的应用：

a） IMS中，SIP被引入作为核心信令协议，SIP应用服务器可被用来提供服务。

b） 由快速部署和第三方可提供服务所驱动的开放式应用编程接口（API），如OSA /Parlay API[3，4]，因此OSA/Parlay服务器等可用作服务的提供和控制。

c） 为了保护传统网络中已有的投资，利用已有的智能网服务，必须提供一种方法来实现传统智能网与新的IMS域的终端用户的互通，如CAMEL[5]等。

这些应用服务器通过各自的服务平台，即SIP AS、OSA SCS和IM SSF，与S-SCSF通信，为用户提供符合其配置策简局升略的服务。

作为对移动用户的媒体服务和应用的支持，IMS给用户提供服务的过程如下：

a） 移动用户已经通过GPRS的注册，获得了网络分配的IP地址，并执行P-CSCF发现；

b） 通过CSCF向IMS进行注册，并执行安全认证，业务配置信息有效地存储在HSS中；

c） 用户通过CSCF与应用服务器通信，请求相应的服务；拦老

d） 应用服务器根据服务策略进行相应的响应，如提供服务或报错，最后拆除会话。

1.2 协议

IMS为了支持基于IP的多媒体服务，实现移动网络与IP网络的融合，全面引入了IETF的协议，可分为下述几类。

1.2.1 信令和会话协议

3GPP采用SIP作为IMS中的核心信令协议，用于会话的建立、更改和拆除，并且独立于媒体的传输，但SIP并不负责QoS的保障。SIP通过开发新的方法、头部字段、消息体类型来实现强大的可扩展性，支持了未来潜在的应用。会话中消息体的描述使用的是SDP协议。

1.2.2 媒体传输协议

媒体传输与会腊吵话控制分离，使用实时传输协议（RTP）来传输，并同时利用实时传输控制协议（RTCP）为RTP提供与媒体流相关的信息。RTP中使用时间戳来为接收方提供媒体流的次序，利用序列号来测量数据包的丢失情况。RTCP统计并汇报RTP数据包的收发数量，同时还提供时间戳和参考时间之间的映射。而“参考时间”是确保在接收方确定媒体同步的重要参数。

1.2.3 验证和安全协议

除了使用IP安全协议IPSec之外，IMS还引入了Diameter[6]协议，它是基于RADIUS协议发展而来，采用AAA客户—服务器结构，作为查询和访问HSS的安全协议。IMS中Cx、Dx和Sh接口使用了Diameter协议来执行验证功能。

1.2.4 支持运营管理的协议

为了使运营商能对用户不同QoS等级的服务和计费信息进行管理，并验证用户相应的QoS策略的合法性，引入了IETF开发的普通开放策略服务协议（COPS）[7]。

1.2.5 媒体网关控制协议

采用MEGACO/H.248协议，通过MGCF对媒体网关进行控制。媒体网关（MGW）和信令网关（SGW）互联了IMS与传统电路交换网络ISDN/PSTN。

2 服务平台

IMS设计了3个平台来为用户提供多媒体的服务，统称为应用服务器（AS）。OSA SCS用于接入基于OSA/Parlay API的第三方业务，SIP AS用于提供基于SIP的应用服务，而IM SSF是接入智能网业务的接口。它们都通过S-CSCF来进行业务的实施，与S-CSCF的接口定义为ISC，它是基于SIP及其扩展之上的标准接口。从S-CSCF角度来看，OSA SCS、SIP AS和IM SSF都呈现出同样的接口特性。S-CSCF根据从HSS取得的配置信息和收到SIP消息的不同，做出向应用服务器直接转发消息（直接方式），或是转化成一个新的SIP消息再传给AS（间接方式）。

在具体的应用中，应用服务器在不同的环境下，也在SIP对话中充当了不同的SIP网元的角色，包括被叫UA或重定向服务器、主叫UA、SIP代理服务器、第三方呼叫控制器。在某些情况下，SIP对话直接通过S-CSCF进行转接，而并不通过应用服务器。前三种模式下的工作遵循RFC3261及其扩展协议。第三方的呼叫控制模式下，AS要新发起一个消息或呼叫，如执行预定的呼叫转移的情形等。

虽然从ISC接口上，三类AS的行为以统一的方式与S-CSCF进行交互，但它们本身提供的业务方式以及与HSS的接口是有所区别的。

2.1 基于SIP的业务

S-CSCF利用的是基于SIP及其扩展的呼叫信令协议，通过SIP应用服务器直接利用SIP协议可以获得SIP AS到IMS的接入。这种方式不需要进行呼叫会话协议之间的映射，因此S-CSCF和SIP AS之间没有中间的过渡平台，部署方便。SIP AS和HSS之间的接口是Sh，HSS负责控制提供何种信息给SIP AS。Sh上传输的是与用户相关的信息，也可以是对HSS透明的信息和数据。

2.2 基于开放式应用编程接口的业务

下一代网络是一个开放的网络，允许第三方业务提供商通过标准的应用编程接口（API）接入网络资源，进行各种业务或应用。3GPP与Parlay组织合作制定了Parlay/OSA的标准,支持独立于网络的第三方业务的接入和利用网络功能的体系，为用户提供服务。

在Parlay/OSA API中，提供给应用的网络功能实体被定义为若干业务能力特征（SCF）的集合，由业务能力服务器（SCS）支持，这些SCF为应用开发提供了必要的网络接入功能。Parlay/OSA API是分层结构，可分别提供网络安全、发现并接入SCF等功能。第三方应用服务器通过Parlay/OSA API和SCS相连接，而OSA SCS则在3rd AS和S-CSCF之间负责API和ISC之间的映射。此外，Parlay/OSA利用中间件技术实现对于特定厂家解决方案的独立性，并且也独立于所使用的编程语言和操作系统等。OSA SCS与HSS之间的接口也是Sh。

2.3 基于智能网的业务

之前已经提到，已有的正在为现行通信提供强力支持的智能网不会在短期内消失，而且IMS系统必须考虑与UMTS的电路交换域的互联互通。要做到兼容已有的网络资源，实现技术和服务提供的平滑过渡，IMS需要接入现有的智能网。特别是3GPP提出的UMTS网络是在GSM/GPRS的基础上发展起来的，因此接入GSM/GPRS原有的移动智能网CAMEL就显得尤为重要。

IM SSF就是供CAMEL与S-CSCF互联为IMS提供服务的平台。从CAMEL角度来看，IM SSF是智能网的服务交换节点SSP，相当于CAMEL中业务交换功能SSF和呼叫控制功能CCF。IM SSF在S-CSCF和CAMEL之间实现SIP消息和CAP信令的映射。Si是IM SSF与HSS交互通信的接口，传输的是CAMEL相关的信息。因此，通过IMS也可以得到在电路交换中智能网所提供的服务。

3 发展与应用

3.1 应用

从以上描述可知，IMS中呼叫和会话的控制是基于SIP进行的，具体的信令流程和会话的状态变迁可参阅参考文献2。IMS体系结构和CSCF的设计利用了软交换技术，实现了业务与控制相分离、呼叫控制与媒体传输相分离。IMS虽然是3GPP为了移动用户接入多媒体服务而开发的系统，但由于它全面融合了IP域的技术，并在开发阶段就和其他组织进行密切合作，如Parlay，IETF等，就使得IMS实际已经不仅仅局限于只为移动用户进行服务。

IMS的无线接入技术除了GSM/GPRS和WCDMA之外，WLAN通过SIP Proxy也可以接入。此外，固定网络的LAN和xDSL接入技术也可以接入到IMS。而且IMS还提供了与ISDN/PSTN传统电路交换网络的互联机制。这样，IMS提供服务的终端除了移动终端之外，还包括固定的电话终端、多媒体智能终端、PC机的软终端等。

移动通信和固定通信的融合以及声音、数据、图像多媒体的融合是未来通信发展的趋势，IMS则初步体现了这两大融合。IMS的优势和前景使得3GPP2组织也将之引入，作为其提供实时多媒体服务的系统平台。

3.2 待解决的问题

IMS发展中，有以下两个问题比较突出。

3.2.1 QoS保障

尽管IMS为用户的服务需求提供了一个统一的平台，但由于服务的多样性以及其对网络资源的依赖程度决定了在网络中实现QoS保障的复杂性。

现行的IP网络中QoS保障机制有：资源预留协议（RSVP）、区分服务（Diffserv）、多协议标签交换（MPLS）等，但它们各有其局限性：

a） RSVP采用会话前预留资源的方法，额外开销大，且不适合在较大型的网络内使用；

b） Diffserv利用优先级分配资源的方法，实际上只是一种区分优先的技术，需要公认的QoS类别的划分机制；

c） MPLS利用划分等价类的方法来提供QoS的保障，但需要大规模更新网络中的路由器。

因此，为了实现所需的QoS，则需要综合利用各种不同的技术。此外，为了实现异构网络以及不同运营商之间网络互联中的QoS保障，网络间服务等级约定（SLAs）也是极其重要的。

3.2.2 安全问题

移动终端在接入网络时要通过鉴权认证，在接入IMS时还要再进行安全认证。此外，IMS对SIP文本消息进行了加密保护。但对于固定用户而言，在接入网络的时候，并没有身份鉴权的过程，这使得IMS内网元受攻击的安全隐患加大。因此，为了实现固定和IMS的融合，必须考虑固定接入时的安全问题。

4 结束语

基于IP技术之上的IMS的出现体现了固定、移动网络融合的需要，并且不限定下层接入技术，因此提供了极大的便利性和自由度，为网络的发展指出了方向。传统网络运营商希望可以借助于这一结构体系，充分利用现有网络资源来满足用户多媒体服务的需求，而新兴运营商则要求通过开放的接口快速部署业务和应用，尽快进入市场。IMS都满足了这些要求。

在网络演进的过程中，不同运营商会根据自身情况考虑适合的演进策略，但需要遵循标准化发展的要求。虽然IMS为移动或是固定终端提供了相同的服务体系，但如何在网络中，特别是异构网络之间实现QoS的保障和安全也是必须考虑的重要问题，这方面的技术还需要进一步完善。

B. sip电话无法接通

加密配置问题。
sip电话无法接通一般由于电话编码和中继编码不匹配，旅局且系统无法进行编码转换的原因造成。解决办法：检查终端手念，系统，中继三者是否设定了相同的语音编码
SIP(SessionInitiationProtocol)是一毕镇困个应用层的信令控制协议。SIP电话是具有SIP功能的电话，在IP电话环境中以硬件或软件的形式使用，并使用开放的SIP标准。是可以访问SIP技术的设备。

C. 代理CSCF/询问CSCF/服务CSCF是什么意思

它处于IMS终端和罩乱IMS网络之间的节点上，因此它的作用犹如一个IM网的输入口/输出口的代理服务器。所有的IMS终端发起的请求和接收端回送的响应都跨越P-CSCF。P-CSCF在一定方向转发SIP请求和响应。除了受理SIP用户的接入SIP消息转发外，还具有完全性保护、压缩、QoS策略裁决等功能。 询问CSCF也称查询CSCF。I-CSCF位于归属网络域的边缘。I-CSCF的地址见该域的DNS卡。主要的功能是：查询HSS（归属用户服务器）选择S-CSCF，并将SIP消息转发到该S-CSCF；作为外部网络与IMS归属网络间的网关，支持防火墙神并功能；此外，I-CSCF还可对SIP消息中的敏物瞎档感信息进行加密。 服务CSCF位于归属网络。S-CSCF是IMS信令平面的核心节点。

D. IMS的问题分析

IP多媒体子系统（IMS）是3GPP在R5规范中提出的，旨在建立一个与接入无关、基于开放的SIP/IP协议及支持多种多媒体业务类型的平台来提供丰富的业务。它将蜂窝移动通信网络技术、传统固定网络技术和互联网技术有机结合起来，为未来的基于全IP网络多媒体应用提供了一个通用的业务智能平台，也为未来网络发展过程中的网络融合提供了技术基础。IMS的诸多特点使得其一经提出就成为业界的研究热点，是业界普遍认同的解决未来网络融合的理想方案和发展方向，但对于IMS将来如何提供统一的业务平台实现全业务运营，IMS的标准化及安全等问题仍需要进一步的研究和探讨。
1、IMS存在的安全问题分析
传统的电信网络采用独立的信令网来完成呼叫的建立、路由和控制等过程，信令网的安全能够保证网络的安全。而且传输采用时分复用（TDM）的专线，用户之间采用面向连接的通道进行通信，避免了来自其他终端用户的各种窃听和攻击。
而IMS网络与互联网相连接，基于IP协议和开放的网络架构可以将语音、数据、多媒体等多种不同业务，通过采用多种不同的接入方式来共享业务平台，增加了网络的灵活性和终端之间的互通性，不同的运营商可以有效快速地开展和提供各种业务。由于IMS是建立在IP基础上，使得IMS的安全性要求比传统运营商在独立网络上运营要高的多，不管是由移动接入还是固定接入，IMS的安全问题都不容忽视。
IMS的安全威胁主要来自于几个方面：未经授权地访问敏感数据以破坏机密性；未经授权地篡改敏感数据以破坏完整性；干扰或滥用网络业务导致拒绝服务或降低系统可用性；用户或网络否认已完成的操作；未经授权地接入业务等。主要涉及到IMS的接入安全（3GPP TS33.203），包括用户和网络认证及保护IMS终端和网络间的业务；以及IMS的网络安全（3GPP TS33.210），处理属于同一运营商或不同运营商网络节点之间的业务保护。除此之外，还对用户终端设备和通用集成电路卡/IP多媒体业务身份识别模块（UICC/ISIM）安全构成威胁。
2、IMS安全体系
IMS系统安全的主要应对措施是IP安全协议（IPSec），通过IPSec提供了接入安全保护，使用IPSec来完成网络域内部的实体和网络域之间的安全保护。3GPP IMS实质上是叠加在原有核心网分组域上的网络，对PS域没有太大的依赖性，在PS域中，业务的提供需要移动设备和移动网络之间建立一个安全联盟（SA）后才能完成。对于IMS系统，多媒体用户也需要与IMS网络之间先建立一个独立的SA之后才能接入多媒体业务。
3GPP终端的核心是通用集成电路卡（UICC），它包含多个逻辑应用，主要有用户识别模块（SIM）、UMTS用户业务识别模块（USIM）和ISIM。ISIM中包含了IMS系统用户终端在系统中进行操作的一系列参数（如身份识别、用户授权和终端设置数据等），而且存储了共享密钥和相应的AKA（Authentication and Key Agreement）算法。其中，保存在UICC上的用户侧的IMS认证密钥和认证功能可以独立于PS域的认证密钥和认证功能，也可和PS使用相同的认证密钥和认证功能。IMS的安全体系如图1所示。
图1中显示了5个不同的安全联盟用以满足IMS系统中不同的需求，分别用①、②、③、④、⑤来加以标识。①提供终端用户和IMS网络之间的相互认证。
②在UE和P-CSCF之间提供一个安全链接（Link）和一个安全联盟（SA），用以保护Gm接口，同时提供数据源认证。
③在网络域内为Cx接口提供安全。
④为不同网络之间的SIP节点提供安全，并且这个安全联盟只适用于代理呼叫会话控制功能（P-CSCF）位于拜访网络（VN）时。
⑤为同一网络内部的SIP节点提供安全，并且这个安全联盟同样适用于P-CSCF位于归属网络（HN）时。
除上述接口之外，IMS中还存在其他的接口，在上图中未完整标识出来，这些接口位于安全域内或是位于不同的安全域之间。这些接口（除了Gm接口之外）的保护都受IMS网络安全保护。
SIP信令的保密性和完整性是以逐跳的方式提供的，它包括一个复杂的安全体系，要求每个代理对消息进行解密。SIP使用两种安全协议：传输层安全协议（TLS）和IPSec，TLS可以实现认证、完整性和机密性，用TLS来保证安全的请求必须使用可靠的传输层协议，如传输控制协议（TCP）或流控制传输协议（SCTP）；IPSec通过在IP层对SIP消息提供安全来实现认证、完整性和机密性，它同时支持TCP和用户数据报协议（UDP）。在IMS核心网中，可通过NDS/IP来完成对网络中SIP信令的保护；而第一跳，即UE和P-CSCF间的信令保护则需要附加的测量，在3GPP TS 33.203中有具体描述。
3、IMS的接入安全
IMS用户终端（UE）接入到IMS核心网需经一系列认证和密钥协商过程，具体而言，UE用户签约信息存储在归属网络的HSS中，且对外部实体保密。当用户发起注册请求时，查询呼叫会话控制功能（I-CSCF）将为请求用户分配一个服务呼叫会话控制功能（S-CSCF），用户的签约信息将通过Cx接口从HSS下载到S-CSCF中。当用户发起接入IMS请求时，该S-CSCF将通过对请求内容与用户签约信息进行比较，以决定用户是否被允许继续请求。
在IMS接入安全中，IPSec封装安全净荷（ESP）将在IP层为UE和P-CSCF间所有SIP信令提供机密性保护，对于呼叫会话控制功能（CSCF）之间和CSCF和HSS之间的加密可以通过安全网关（SEG）来实现。同时，IMS还采用IPSec ESP为UE和P-CSCF间所有SIP信令提供完整性保护，保护IP层的所有SIP信令，以传输模式提供完整性保护机制。
在完成注册鉴权之后，UE和P-CSCF之间同时建立两对单向的SA，这些SA由TCP和UDP共享。其中一对用于UE端口为客户端、P-CSCF端口作为服务器端的业务流，另一对用于UE端口为服务器、P-CSCF端口作为客户端的业务流。用两对SA可以允许终端和P-CSCF使用UDP在另一个端口上接收某个请求的响应，而不是使用发送请求的那个端口。同时，终端和P-CSCF之间使用TCP连接，在收到请求的同一个TCP连接上发送响应；而且通过建立SA实现在IMS AKA提供的共享密钥以及指明在保护方法的一系列参数上达成一致。SA的管理涉及到两个数据库，即内部和外部数据库（SPD和SAD）。SPD包含所有入站和出站业务流在主机或安全网关上进行分类的策略。SAD是所有激活SA与相关参数的容器。SPD使用一系列选择器将业务流映射到特定的SA，这些选择器包括IP层和上层（如TCP和UDP）协议的字段值。
与此同时，为了保护SIP代理的身份和网络运营商的网络运作内部细节，可通过选择网络隐藏机制来隐藏其网络内部拓扑，归属网络中的所有I-CSCF将共享一个加密和解密密钥。
在通用移动通信系统（UMTS）中相互认证机制称为UMTS AKA，在AKA过程中采用双向鉴权以防止未经授权的“非法”用户接入网络，以及未经授权的“非法”网络为用户提供服务。AKA协议是一种挑战响应协议，包含用户鉴权五元参数组的挑战由AUC在归属层发起而发送到服务网络。
UMTS系统中AKA协议，其相同的概念和原理被IMS系统重用，我们称之为IMS AKA。AKA实现了ISIM和AUC之间的相互认证，并建设了一对加密和完整性密钥。用来认证用户的身份是私有的身份（IMPI），HSS和ISIM共享一个与IMPI相关联的长期密钥。当网络发起一个包含RAND和AUTN的认证请求时，ISIM对AUTN进行验证，从而对网络本身的真实性进行验证。每个终端也为每一轮认证过程维护一个序列号，如果ISIM检测到超出了序列号码范围之外的认证请求，那么它就放弃该认证并向网络返回一个同步失败消息，其中包含了正确的序列号码。
为了响应网络的认证请求，ISIM将密钥应用于随机挑战（RAND），从而产生一个认证响应（RES）。网络对RES进行验证以认证ISIM。此时，UE和网络已经成功地完成了相互认证，并且生成了一对会话密钥：加密密钥（CK）和完整性密钥（IK）用以两个实体之间通信的安全保护。
4、IMS的网络安全
在第二代移动通信系统中，由于在核心网中缺乏标准的安全解决方案，使得安全问题尤为突出。虽然在无线接入过程中，移动用户终端和基站之间通常可由加密来保护，但是在核心网时，系统的节点之间却是以明文来传送业务流，这就让攻击者有机可乘，接入到这些媒体的攻击者可以轻而易举对整个通信过程进行窃听。
针对2G系统中的安全缺陷，第三代移动通信系统中采用NDS对核心网中的所有IP数据业务流进行保护。可以为通信服务提供保密性、数据完整性、认证和防止重放攻击，同时通过应用在IPSec中的密码安全机制和协议安全机制来解决安全问题。
在NDS中有几个重要的概念，它们分别是安全域（Security Domains）、安全网关（SEG）。
4.1安全域
NDS中最核心的概念是安全域，安全域是一个由单独的管理机构管理运营的网络。在同一安全域内采用统一的安全策略来管理，因此同一安全域内部的安全等级和安全服务通常是相同的。大多情况下，一个安全域直接对应着一个运营商的核心网，不过，一个运营商也可以运营多个安全域，每个安全域都是该运营商整个核心网络中的一个子集。在NDS/IP中，不同的安全域之间的接口定义为Za接口，同一个安全域内部的不同实体之间的安全接口则定义为Zb接口。其中Za接口为必选接口，Zb接口为可选接口。两种接口主要完成的功能是提供数据的认证和完整性、机密性保护。
4.2安全网关
SEG位于IP安全域的边界处，是保护安全域之间的边界。业务流通过一个SEG进入和离开安全域，SEG被用来处理通过Za接口的通信，将业务流通过隧道传送到已定义好的一组其他安全域。这称为轮轴-辐条（hub-and-spoke）模型，它为不同安全域之间提供逐跳的安全保护。SEG负责在不同安全域之间传送业务流时实施安全策略，也可以包括分组过滤或者防火墙等的功能。IMS核心网中的所有业务流都是通过SEG进行传送，每个安全域可以有一个或多个SEG，网络运营商可以设置多个SEG以避免某独立点出现故障或失败。当所保护的IMS业务流跨越不同安全域时，NDS/IP必须提供相应的机密性、数据完整性和认证。
4.3基于IP的网络域安全体系[2]
NDS/IP体系结构最基本的思想就是提供上从一跳到下一跳的安全，逐跳的安全也简化了内部和面向其他外部安全域分离的安全策略的操作。
在NDS/IP中只有SEG负责与其他安全域中的实体间进行直接通信。两个SEG之间的业务被采用隧道模式下的IPSec ESP安全联盟进行保护，安全网关之间的网络连接通过使用IKE来建立和维护[3]。网络实体（NE）能够面向某个安全网关或相同安全域的其他安全实体，建立维护所需的ESP安全联盟。所有来自不同安全域的网络实体的NDS/IP业务通过安全网关被路由，它将面向最终目标被提供逐跳的安全保护[5]。其网络域安全体系结构如图2所示。
4.4密钥管理和分配机制[5]每个SEG负责建立和维护与其对等SEG之间的IPSec SA。这些SA使用因特网密钥交换（IKE）协议进行协商，其中的认证使用保存在SEG中的长期有效的密钥来完成。每个对等连接的两个SA都是由SEG维护的：一个SA用于入向的业务流，另一个用于出向的业务流。另外，SEG还维护了一个单独的因特网安全联盟和密钥管理协议（ISAKMP）SA，这个SA与密钥管理有关，用于构建实际的对等主机之间的IPSec SA。对于ISAKMP SA而言，一个关键的前提就是这两个对等实体必须都已经通过认证。在NDS/IP中，认证是基于预先共享的密钥。
NDS/IP中用于加密、数据完整性保护和认证的安全协议是隧道模式的IPSec ESP。在隧道模式的ESP中，包括IP头的完整的IP数据包被封装到ESP分组中。对于三重DES加密（3DES）算法是强制使用的，而对于数据完整性和认证，MD5和SHA-1都可以使用。
4.5IPSec安全体系中的几个重要组成和概念[5]
1）IPSec：IPSec在IP层（包括IPv4和IPv6）提供了多种安全服务，从而为上层协议提供保护。IPSec一般用来保护主机和安全网关之间的通信安全，提供相应的安全服务。
2）ISAKMP：ISAKMP用来对SA和相关参数进行协商、建立、修改和删除。它定义了SA对等认证的创建和管理过程以及包格式，还有用于密钥产生的技术，它还包括缓解某些威胁的机制。
3）IKE：IKE是一种密钥交换协议，和ISAKMP一起，为SA协商认证密钥材料。IKE可以使用两种模式来建立第一阶段ISAKMP SA，即主模式和侵略性模式。两种模式均使用短暂的Diffie-Hellman密钥交换算法来生成ISAKMP SA的密钥材料。
4）ESP：ESP用来在IPv4和IPv6中提供安全服务。它可以单独使用或与AH一起使用，可提供机密性（如加密）或完整性（如认证）或同时提供两种功能。ESP可以工作在传送模式或隧道模式。在传送模式中，ESP头插入到IP数据报中IP头后面、所有上层协议头前面的位置；而在隧道模式中，它位于所封装的IP数据报之前。
标准化组织对IMS的安全体系和机制做了相应规定，其中UE和P-CSCF之间的安全由接入网络安全机制提供，IMS网络之上的安全由IP网络的安全机制保证，UE与IMS的承载层分组网络安全仍由原来的承载层安全机制支持。所有IP网络端到端安全基于IPSec，密钥管理基于IKE协议。对于移动终端接入IMS之前已经进行了相应的鉴权，所以安全性更高一些。但是对于固定终端来说，由于固定接入不存在类似移动网络空中接口的鉴权，P-CSCF将直接暴露给所有固定终端，这使P-CSCF更易受到攻击。为此，在IMS的接入安全方面有待于进一步的研究，需要不断完善IMS的安全机制。

E. SIP协议 SUBSCRIBE订阅 404出错码

404错误的意思是没有找陪带到匹配的用户，也就是请求URI里user部分（你包里的340200.。。。）。你需要查一下这个值你是从哪里来的，server是否有与兆庆之匹配的已经注册的用户。
此外订阅如果想要成功的话，几个sip头也必须是server能够认识的，比如订阅的事件包类型（Event header），消息体类型（content-type）。至于消息体力的内容，你这个看起来是私有协议，别人是帮不到芦猜芦你的。

F. IMS Sip中的注册消息MD5加密是如何进行的

MD5 Algorithm Description

We begin by supposing that we have a b-bit message as input, and that
we wish to find its message digest. Here b is an arbitrary
nonnegative integer; b may be zero, it need not be a multiple of
eight, and it may be arbitrarily large. We imagine the bits of the
message written down as follows:

m_0 m_1 ... m_{b-1}

The following five steps are performed to compute the message digest
of the message.

G. 【opensips】使用tls加密后的sip流如何通过wireshark查看

使用tls加密sip后，所有的sip都是密文，所以即使抓包，也无法查看到sip信令流。

实际上如果有tls服务器端certificate的private key的话，是可以把tls的sip流解密的。

选择 wireshark首先项，在prototols中选择TLS（有的版本是SSL）
选择 RSA keys list 弹出第二页配置窗

配置tls 的private key

整个pcap包里有两个IP，一个是server ip（这里是private IP），一个是client IP。

H. sip协议框架中,使用什么协议实现视频会议加密

使用高级回路协议实乎耐现视频会议加密。因为sip协议岁春春框架中的加密步骤很复杂，效果森租非常非常好，性能很好，所以使用高级回路协议实现视频会议加密

I. sip alg是什么

SIP
ALG（SIP
Application
Layer
Gateways）：SIP应用层网关
其主要作用就是帮助NAT下的私网终端设备，在不做任何改动的情况下能够与公网上的SIP软交换进行正常的数据交互。
由于其仅是简单的消息数悄银衫纳据修改，类似于一种透明代理，并没有事务层相关概念，同时在现网使用中兼容性等问题，导致ALG在启塌宴解决NAT私网穿越方面并没有得到很好的应用。

J. sip 鉴权中password 怎么来,UE 和 HSS 怎么知道这个password

部署的时候衡首知道pwd的，然后注册时候先返回4xx的相应携带加密信毕仔息，ue用利用加密信息对usr/pwd加密后再重新注册手拦汪，服务器解密后如果匹配返回200ok