Trong miền PS, dịch vụ chỉ được cung cấp khi đã thiết lập một liên kết an ninh giữa thiết bị di động và mạng. IMS về bản chất là một hệ thống xếp chồng liên miền. Vì thế cần có một liên kết an ninh riêng giữa Client đa phương tiện và IMS, trước khi cho phép truy nhập các dịch vụ đa phương tiện. Kiến trúc an ninh IMS
được cho ở hình 3.14.
Các khóa nhận thực IMS và các hàm tại phía người sử dụng được lưu tại UICC. Các khóa và các hàm này có thể độc lập logic với các khóa và các hàm sử dụng để nhận thực cho miền. Tuy nhiên, điều này không cản trở việc sử dụng các khóa nhận thực và các hàm chung cho việc nhận thực cả miền IMS lẫn miền PS.
Hình 3.14 Kiến trúc an ninh IMS.
Tồn tại năm liên kết an ninh và các nhu cầu khác nhau để bảo vệ an ninh cho IMS, các liên kết này được đánh số 1, 2...5 trên hình 3.14 như sau:
1. Đảm bảo nhận thực tương hỗ. HSS giao phó thực hiện nhận thực thuê bao cho IMS CSCF. Tuy nhiên nó chịu trách nhiệm tạo ra các khóa và các hô lệnh. Khóa dài hạn trong mô dun nhận dạng dịch vụ đa phương tiện Internet (ISIM) và HSS liên kết với nhận dạng riêng đa phương tiện Internet (IMPI). Thuê bao sẽ có một nhận dạng riêng người sử dụng trong mạng (IMPI) và ít nhất một dạng công cộng người sử dụng bên ngoài (IMPI: nhận dạng công cộng đa phương tiện Internet).
2. Đảm bảo đường truyền an ninh và liên kết an ninh giữa UE và P-CSCF để bảo vệ điểm giao diện Gm. Nhận thực nguồn gốc số liệu được đảm bảo (chứng thực rằng nguồn gốc số liệu nhận được là đúng như yêu cầu).
3. Đảm bảo an ninh giữa miền mạng bên ngoài cho giao diện Cx.
4. Đảm bảo an ninh giữa các mạng khác nhau đối với các nút có khả năng SIP.
5. Đảm bảo an ninh trong mạng giữa các nút có khả năng SIP.