[发明专利]鉴权和密钥协商方法、认证方法、系统及设备

说明书

技术领域

本发明涉及通信领域，特别涉及认证技术。

背景技术

随着技术的进步，传统核心网向全IP网络演进成为网络发展的趋势。第三代移动通信合作伙伴项目(3rd Generation Partnership Project，简称“3GPP”)在R5/R6标准提出的基于IP的多媒体子系统(IP based Multimedia Subsystem，简称“IMS”)即专门为下一代全IP的多媒体移动网络设计的系统，着眼于用IP网络承载移动多媒体业务，使运营商和终端用户从多媒体服务的革新中获取更快速、更灵活的应用，从而为运营商增加收入、创造利润。

第三代合作伙伴项目2(3rd Generation Partnership Project 2，简称“3GPP2”)已经制定了相应的IMS规范，即多媒体域(Multimedia Domain，简称“MMD”)标准。MMD与3GPP中IMS对应的实体和接口是基本一一对应的。

IMS是基于会话初始化协议(Session Initiation Protocol，简称“SIP”)的体系，SIP是按客户端/服务器方式工作的基于文本的信息协议，IMS使用SIP呼叫控制机制来创建、管理和终结各种类型的多媒体业务。

3GPP定义的IMS的框架结构包括呼叫会话控制功能(Call Session Control Function，简称“CSCF”)、媒体网关控制功能(Media Gateway Control Function，简称“MGCF”)、多媒体资源功能(Multimedia Resource Function，简称“MRF”)、和归属用户服务器(Home Subscriber Server，简称“HSS”)等功能实体。

其中，CSCF又可以分成服务CSCF(Serving CSCF，简称“S-CSCF”)、代理CSCF(Proxy CSCF，简称“P-CSCF”)和查询CSCF(Interrogating CSCF，简称“I-CSCF”)三个逻辑实体。S-CSCF是IMS的业务交换中心，执行会话控制，负责管理用户信息，产生计费信息等；P-CSCF是终端用户接入IMS的接入点，完成用户注册，负责服务质量控制和安全管理等；I-CSCF负责IMS域之间的互通，管理S-CSCF的分配，对外隐藏网络拓扑和配置，产生计费数据等。

在终端发起呼叫前，需要在IMS核心网实体进行注册。注册过程使得终端可以使用IMS服务。IMS注册使用的是基于鉴权和密钥协商(Authentication and Key Agreement，简称“AKA”)的流程。

在AKA流程中，首先由终端向网络侧发送认证请求，在请求中包含用户身份。网络侧根据该请求中的用户身份获取该终端的根密钥，并根据该根密钥计算用于认证的认证向量(AV)，AV包括五个参数：随机数RAND，AUTN，期待的响应XRES以及完整性密钥IK和加密密钥CK；其中，AUTN又包含有序列号SQN和MAC两个参数，MAC值是根据随机数RAND、SQN以及终端根密钥计算得到的，用来让终端认证网络侧。之后，网络侧将RAND和AUTN通过认证挑战消息Auth_Challenge发送给终端。终端收到该挑战消息后，根据其中的RAND、SQN以及该终端的根密钥计算相应的XMAC，并将XMAC和消息中的MAC做比较，如果相同，则接着校验收到的SQN是否大于本地保存的SQN，并且其差值在有效范围内，以防止重放攻击。如果是，则该终端成功地认证了网络。终端接着根据该RAND计算RES、完整性密钥IK和加密密钥CK，其中RES是用来让网络认证终端的参数。之后终端向网络侧发送认证响应SIP Register，在响应消息中包含用户身份，将RES作为该响应消息的密钥。网络侧根据该响应消息中的用户身份找到对应的XRES，检验该RES，判断该响应消息是否合法，如果合法则认证成功。

可见，在该AKA流程中，只有在终端侧验证网络合法、且网络侧验证终端合法，才均使得认证成功。