2024年6月6日发(作者：乜昊穹)

公共用户标识IMPU

私有用户标识IMPV

Mw：CSCF之间接口 (Within)

Mm：CSCF与其他IP多媒体网络之间接口(Middle)

Mr：CSCF与MRFC之间接口(MRFC)

Mg：CSCF与MGCF之间接口(MGCF)

Mi：CSCF与BGCF之间接口(I+J=G)

Mj：BGCF与MGCF之间接口

Mk：BGCF之间接口(Trunk)

ISC：CSCF与AS之间接口

Gm：CSCF与UE之间接口

Mx：IBCF与P/S/I-CSCF、BGCF之间的接口(eXternal)

1.1 鉴权和授权

目前对UE的认证支持四种方式：

AKA(Authentication and Key Agreement)认证是一种是长期的认证方式。这种方式安全性较

高，适合于终端中含有ISIM/USIM的情况。具体请参见6.2.1。

Early IMS是R5/6提出的鉴权方式，主要用于向前兼容，为不支持IPSec的2G终端和不具

备ISIM卡的用户提供IMS业务能力，是一种过滤方案。

对于非AKA的鉴权方式，在固定网络中又可以分为两种：NBA（NASS-Bundled

Authentication）和HTTP DIGEST鉴权。

NBA是一种早期的认证方式。这种方式安全性较低，适合于终端中不含有ISIM的情况，并

且假设接入网与IMS核心网属于同一个运营商。具体参见6.2.2。

HTTP DIGEST也是一种早期的认证方式。但它仅用于支持传统的SIP终端的鉴权。

P-CSCF负责完成与UE之间的SA建立，S-CSCF对用户执行鉴权和授权。IMS实体区分

AKA和NBA的方式如下：

1. P-CSCF检查收到的REGISTER消息:

如果有Security-Client头域，并且该头域的安全机制列表中含有”ipsec-3GPP”，则按AKA鉴

权方式处理。

如果没有Security-Client头域，并且注册消息是从固定接入网络收到的，则按NBA鉴权方

式处理或者HTTP DIGEST处理。

2. S-CSCF检查收到的REGISTER消息：

如果消息中的Authorization头域中有integrity-protected参数，就按照AKA鉴权方式处理，

发给UPSF的MAR消息中填写表示AKA的鉴权方式。

如果消息中没有integrity-protected参数（即没有Authorization头域或者Authorization头域中

没有integrity-protected参数），并且消息中的P-Access-Network-Info头域中的接入网类型参

数表示是固定接入网络，则按照按NBA鉴权方式处理或者HTTP DIGEST处理，发给UPSF

的MAR消息中填写表示未知（例如 unknown）的鉴权方式，S-CSCF根据UPSF在MAA

中返回的NBA或者HTTP DIGEST鉴权配置信息来做进一步的鉴权处理。

3. UPSF检查S-CSCF发送的MAR中填写的鉴权方式参数的值：

如果鉴权方式表示AKA，并且UPSF配置有AKA相应的鉴权数据，则将AKA的鉴权数据

在MAA消息中返回给S-CSCF。

对于鉴权方式表示为未知（例如unknown）的情况：

如果UPSF只配置有NBA相应的鉴权数据，则将NBA对应的鉴权数据通过MAA消息返回

给S-CSCF。

如果UPSF只配置有HTTP Digest的鉴权数据，则将HTTP Digest对应的鉴权数据通过MAA

消息返回给S-CSCF。

如果UPSF同时配置有NBA和HTTP Digest的鉴权数据，则将两者对应的鉴权数据通过MAA

都返回给S-CSCF。

4. S-CSCF检查UPSF返回的MAA消息中填写的鉴权方式参数的值：

如果鉴权方式指示为AKA，则S-CSCF按照AKA鉴权方式继续处理。

如果鉴权方式指示为NBA，则S-CSCF按照NBA鉴权方式继续处理。

如果鉴权方式指示为HTTP DIGEST，则S-CSCF按照HTTP DIGEST鉴权方式继续处理。

如果鉴权方式指示NBA和HTTP DIGEST都支持，则S-CSCF优先按照NBA鉴权方式处理；

如果NBA鉴权失败，再按照HTTP DIGEST鉴权方式处理。

1.2 信令路由

1.2.1 前提条件

IMS中的SIP信令的路由需要使用SIP URI或其它非SIP的绝对URI。绝对URI的定义

在RFC2396中表述。绝对URI进行路由仅在从IMS用户到外部网络路由时使用。E.164格

式的公共用户标识IMPU不被用于IMS中路由，并且基于E.164格式的IMPU的会话请求，

为了内部IMS用途，需要进行转换成为SIP URI格式。SIP URI可以通过公共的DNS，私有

的DNS或者对等实体之间的协定完成解析。

归属网络运营商需要为用户分配一个或更多公共用户标识IMPU。IMPU可以是RFC

3261定义SIP URI格式或RFC 3966定义的TEL URI格式。但至少有一个IMPU是SIP URI

格式并保存在ISIM应用中，如果没有ISIM应用，但有USIM，UE通过IMSI推导出临时

的IMPU。所有注册过的IMPU对UE中的SIP应用可见。

为了在IMS系统中引入标准的呈现、消息、会议、群组等业务，引入了公共业务标识PSI

（Public Service Identities），由AS负责执行。PSI可以是SIP URI形式，也可以是tel URI

形式，公共业务标识可以用来路由。

S-CSCF应能通过ENUM DNS翻译机制将E.164地址翻译为一个SIP可路由的SIP URI。

如果翻译失败，根据运营商的设置，S-CSCF应将会话路由到PSTN网络，或者发通知给移

动终端。实际ENUM/DNS数据库的部署取决于运营商，3GPP不做具体的规定。

2024年6月6日发(作者：乜昊穹)

公共用户标识IMPU

私有用户标识IMPV

Mw：CSCF之间接口 (Within)

Mm：CSCF与其他IP多媒体网络之间接口(Middle)

Mr：CSCF与MRFC之间接口(MRFC)

Mg：CSCF与MGCF之间接口(MGCF)

Mi：CSCF与BGCF之间接口(I+J=G)

Mj：BGCF与MGCF之间接口

Mk：BGCF之间接口(Trunk)

ISC：CSCF与AS之间接口

Gm：CSCF与UE之间接口

Mx：IBCF与P/S/I-CSCF、BGCF之间的接口(eXternal)

1.1 鉴权和授权

目前对UE的认证支持四种方式：

AKA(Authentication and Key Agreement)认证是一种是长期的认证方式。这种方式安全性较

高，适合于终端中含有ISIM/USIM的情况。具体请参见6.2.1。

Early IMS是R5/6提出的鉴权方式，主要用于向前兼容，为不支持IPSec的2G终端和不具

备ISIM卡的用户提供IMS业务能力，是一种过滤方案。

对于非AKA的鉴权方式，在固定网络中又可以分为两种：NBA（NASS-Bundled

Authentication）和HTTP DIGEST鉴权。

NBA是一种早期的认证方式。这种方式安全性较低，适合于终端中不含有ISIM的情况，并

且假设接入网与IMS核心网属于同一个运营商。具体参见6.2.2。

HTTP DIGEST也是一种早期的认证方式。但它仅用于支持传统的SIP终端的鉴权。

P-CSCF负责完成与UE之间的SA建立，S-CSCF对用户执行鉴权和授权。IMS实体区分

AKA和NBA的方式如下：

1. P-CSCF检查收到的REGISTER消息:

如果有Security-Client头域，并且该头域的安全机制列表中含有”ipsec-3GPP”，则按AKA鉴

权方式处理。

如果没有Security-Client头域，并且注册消息是从固定接入网络收到的，则按NBA鉴权方

式处理或者HTTP DIGEST处理。

2. S-CSCF检查收到的REGISTER消息：

如果消息中的Authorization头域中有integrity-protected参数，就按照AKA鉴权方式处理，

发给UPSF的MAR消息中填写表示AKA的鉴权方式。

如果消息中没有integrity-protected参数（即没有Authorization头域或者Authorization头域中

没有integrity-protected参数），并且消息中的P-Access-Network-Info头域中的接入网类型参

数表示是固定接入网络，则按照按NBA鉴权方式处理或者HTTP DIGEST处理，发给UPSF

的MAR消息中填写表示未知（例如 unknown）的鉴权方式，S-CSCF根据UPSF在MAA

中返回的NBA或者HTTP DIGEST鉴权配置信息来做进一步的鉴权处理。

3. UPSF检查S-CSCF发送的MAR中填写的鉴权方式参数的值：

如果鉴权方式表示AKA，并且UPSF配置有AKA相应的鉴权数据，则将AKA的鉴权数据

在MAA消息中返回给S-CSCF。

对于鉴权方式表示为未知（例如unknown）的情况：

如果UPSF只配置有NBA相应的鉴权数据，则将NBA对应的鉴权数据通过MAA消息返回

给S-CSCF。

如果UPSF只配置有HTTP Digest的鉴权数据，则将HTTP Digest对应的鉴权数据通过MAA

消息返回给S-CSCF。

如果UPSF同时配置有NBA和HTTP Digest的鉴权数据，则将两者对应的鉴权数据通过MAA

都返回给S-CSCF。

4. S-CSCF检查UPSF返回的MAA消息中填写的鉴权方式参数的值：

如果鉴权方式指示为AKA，则S-CSCF按照AKA鉴权方式继续处理。

如果鉴权方式指示为NBA，则S-CSCF按照NBA鉴权方式继续处理。

如果鉴权方式指示为HTTP DIGEST，则S-CSCF按照HTTP DIGEST鉴权方式继续处理。

如果鉴权方式指示NBA和HTTP DIGEST都支持，则S-CSCF优先按照NBA鉴权方式处理；

如果NBA鉴权失败，再按照HTTP DIGEST鉴权方式处理。

1.2 信令路由

1.2.1 前提条件

IMS中的SIP信令的路由需要使用SIP URI或其它非SIP的绝对URI。绝对URI的定义

在RFC2396中表述。绝对URI进行路由仅在从IMS用户到外部网络路由时使用。E.164格

式的公共用户标识IMPU不被用于IMS中路由，并且基于E.164格式的IMPU的会话请求，

为了内部IMS用途，需要进行转换成为SIP URI格式。SIP URI可以通过公共的DNS，私有

的DNS或者对等实体之间的协定完成解析。

归属网络运营商需要为用户分配一个或更多公共用户标识IMPU。IMPU可以是RFC

3261定义SIP URI格式或RFC 3966定义的TEL URI格式。但至少有一个IMPU是SIP URI

格式并保存在ISIM应用中，如果没有ISIM应用，但有USIM，UE通过IMSI推导出临时

的IMPU。所有注册过的IMPU对UE中的SIP应用可见。

为了在IMS系统中引入标准的呈现、消息、会议、群组等业务，引入了公共业务标识PSI

（Public Service Identities），由AS负责执行。PSI可以是SIP URI形式，也可以是tel URI

形式，公共业务标识可以用来路由。

S-CSCF应能通过ENUM DNS翻译机制将E.164地址翻译为一个SIP可路由的SIP URI。

如果翻译失败，根据运营商的设置，S-CSCF应将会话路由到PSTN网络，或者发通知给移

动终端。实际ENUM/DNS数据库的部署取决于运营商，3GPP不做具体的规定。