IMS即IP多媒体子系统,是一种定义在IP技术基础上的网络体系架构,可以提供语音视频等多媒体服务,是为业界公认的未来互联网发展的关键技术架构。运营商采用了多种技术确保IMS核心网络的安全,但在用户接入侧并未提供更多的安全保障。随着移动互联网的发展和智能终端的普及,人们的工作空间得到空前解放。用户群提出了将IP-PBX直接接入互联网的需求,使智能终端可以通过更多渠道接入互联网,实现随时随地移动办公。这将使IMS接入侧设备失去核心网的多种安全机制保护,开放互联网环境的引入将令其面临更多的安全威胁。其中,由单向身份认证导致的假冒服务器攻击;由未采取保密措施而引起的通信内容泄密;安全执法部门对有密钥保护的保密通信难以有效监听。这是IMS接入侧三个亟待解决的安全问题。本文通过对IMS网络进行研究,在原有SIP协议框架的基础上,针对IMS接入侧的安全威胁提出了一种安全模型,通过扩展SIP头域的方式,分别从以下三个方面解决了上述安全问题。1.通过反向应用HTTP摘要认证协议,实现了终端和服务器之间的双向认证。2.通过使用Diffie-Hellman密钥交换算法,实现了终端间会话密钥的自主协商。3.通过提出两阶段Diffie-Hellman密钥交换算法,实现了对终端间保密通信的合法监听。最后,在相关开源库的基础上,对安全模型进行了实现。验证测试结果表明该模型可以有效解决上述安全问题,万次测试平均时间延迟在可接受范围。