[发明专利]一种鉴权方法及鉴权系统以及相关设备

说明书

技术领域

本发明涉及通信领域，尤其涉及一种鉴权方法及鉴权系统以及相关设备。

背景技术

随着网络技术的发展，为保证数据通信的安全性，通信双方需要进行必要的鉴权。

现有过程中一种基于信息-摘要(MD，Message-Digest Algorithm)5的鉴权与密钥协商(AKA，Authentication and Key Agreement)鉴权方法大致流程如下：

(1)移动终端(MS，Mobile Subscriber)首先发送注册Register消息；

(2)无线局域网接入网关(WAG，Wireless local area network Access Gateway)收到Register消息后，发起一个挑战握手认证协议(CHAP，Challenge Handshake Authentication Protocol)Random Challenge的随机数和CHAP ID，通过401 Unauthorized消息发送给MS；

(3)MS收到401 Unauthorized消息后，与用户识别模块(UIM，User Identity Module)卡交互，传递CHAP-ID、CHAP-Challenge参数，UIM执行MD5算法，产生128-bits的CHAP-Response返回给MS；

(4)MS产生一个64-bits的随机数(称之为AKASEED)，与UIM返回的CHAP-Response，计算产生一个CHAP-Response′：

CHAP-Response′＝64MSBs of CHAP-Response|(64LSBs of CHAP-Response^AKASEED)

即CHAP-Response′共128bit，其中高64bit与CHAP-Response的高64bit相同，CHAP-Response′的低64bit为CHAP-Response的低64bit与AKASEED的异或结果。

其中：“|”表示直接串联，“^”表示按位异或。

(5)MS将产生的CHAP-Response′通过Register消息发送到WAG；

(6)WAG向接入网络认证、鉴权和计费服务器(AN-AAA，Access Network，Authentication，Authorization，Accounting)发送Access Request消息，携带远程认证拨号接入服务(RADIUS，Remote Authentication DialIn User Service)属性CHAP-Challenge、CHAP-Password(承载CHAP-ID和CHAP-Response′)和和认证方式等参数；

(7)AN-AAA首先根据提供的参数和用户密码运行MD5算法，产生CHAP-Response，并校验请求中的CHAP-Response′的高64bit是否正确。并通过自己产生的CHAP-Response的低64个bit还原出AKASEED参数，然后产生AKA的算法参数；

(8)AN-AAA运行AKA算法，通过Radius Access Challenge消息将AT_AUTN，AT_RAND，AT_MAC，IK，CK发送到WAG；

(9)WAG收到后发送401Unauthorized消息，携带AT_RAND、AT_AUTN等参数和初次协商的IPSEC SA参数，发起AKA认证；

(10)MS根据同样的算法产生AKA_KEY，并根据AT_RAND参数计算AKA鉴权向量，发送携带AKA鉴权响应XRES的register消息。同时携带两端的IPSEC SA参数；

(11)WAG向AN-AAA发送Access Request消息，携带上述鉴权响应值XRES；

(12)AN-AAA向WAG发送Access Accept消息，指示认证成功。

(13)WAG向MS返回200OK消息。后续SIP信令将使用MS和WAG间新成功建立的IPSEC SA进行保护，IK和CK分别作为完整性和加密密钥。

但是，上述现有技术中存在以下一些问题：

上述现有技术中，AN-AAA在接收到WAG发送的请求之后，校验请求中的CHAP-Response′的高64bit是否正确，也就是说AN-AAA只能完成对CHAP-Response′的高64bit的比较，在得到AKASEED之前不能完成对CHAP-Response′的低64-bit的比较，从而不能真正完成MD5鉴权；