[发明专利]固定网络接入IMS双向认证及密钥分发方法

摘要

本发明公开了一种固定网络接入IMS双向认证及密钥分发方法，解决了固定宽带接入IMS的安全机制标准组织中没有解决方案的问题。包括：用户终端通过CSCF向HSS发起鉴权认证请求，并提供用户标志；HSS返回认证请求的响应给CSCF，将CK和IK传给P－CSCF，将验证字XRES传给S－CSCF；CSCF向UE返回注册响应报文；用户终端通过与HSS共享的共享密钥Ku，对返回的响应报文相应部分进行完整性验证，实现对IMS网络侧的认证；认证通过后，用户终端计算验证字RES，重新向CSCF发起注册请求；CSCF将用户终端的验证字RES与HSS的验证字XRES进行认证；通过后，CSCF向HSS发出用户认证成功消息。本发明通过基本的加密和完整性保护算法，实现与IMS网络域的双向身份认证，并完成密钥分发。

主权项

1.固定网络接入IMS双向认证及密钥分发方法，包括如下步骤：步骤A，用户终端通过呼叫/会话控制功能向归属用户服务器发起鉴权认证请求，并提供用户标志；步骤B，归属用户服务器根据用户标志，获取与该用户终端的共享密钥Ku，生成一个随机数Rand，由Rand，UE ID和共享密钥Ku等一起生成对用户终端的验证字XRES，同时生成UE和P-呼叫/会话控制功能之间的加密密钥CK和完整性保护密钥IK，其中CK，IK由共享密钥Ku加密，最后将挑战字Rand、加密后的密钥(EKu(CK，IK))，用Ku进行完整性保护；步骤C，归属用户服务器返回认证请求的响应给呼叫/会话控制功能，将CK和IK传给代理呼叫/会话控制功能，将验证字XRES传给服务呼叫/会话控制功能；呼叫/会话控制功能向UE返回注册响应报文，回注册失败消息；步骤D，用户终端通过与归属用户服务器共享的共享密钥Ku，对返回的响应报文相应部分进行完整性验证，实现对IMS网络侧的认证；步骤E，认证通过后，用户终端计算验证字RES，重新向呼叫/会话控制功能发起注册请求；步骤F，呼叫/会话控制功能将用户终端的验证字RES与归属用户服务器的验证字XRES进行比较认证；步骤G，认证通过后，呼叫/会话控制功能向用户终端返回注册响应成功报文，向归属用户服务器发出用户认证成功消息。