技術(shù)領(lǐng)域

本發(fā)明涉及無線通信網(wǎng)絡(luò)領(lǐng)域，尤其涉及一種用于鑒權(quán)的系統(tǒng)、裝置及方法。

背景技術(shù)

隨著向下一代網(wǎng)絡(luò)(NGN)的演進，基于IP的網(wǎng)絡(luò)架構(gòu)必將使移動網(wǎng)絡(luò)面臨IP網(wǎng)絡(luò)固有的一些安全問題。移動通信網(wǎng)絡(luò)最終會演變成開放式的網(wǎng)絡(luò)，能向用戶提供開放式的應(yīng)用程序接口，以滿足用戶的個性化需求。網(wǎng)絡(luò)的開放性以及無線傳播的特性，安全問題將成為整個移動通信系統(tǒng)的核心問題之一。

WCDMA、CDMA2000、TD-SCDMA將是第三代移動通信的主流技術(shù)。WCDMA、TD-SCDMA的安全規(guī)范由以歐洲為主體的3GPP(3GPartnershipProject)制訂，CDMA2000的安全規(guī)范由以北美為首的3GPP2制訂。

3GPP網(wǎng)絡(luò)接入安全機制有三種：根據(jù)臨時身份(TMSI)識別，使用永久身份(IMSI)識別，認證和密鑰協(xié)商(AKA)。AKA機制可完成移動臺(MS)和網(wǎng)絡(luò)的相互認證，并建立新的加密密鑰和完整性密鑰。

在IP多媒體子系統(tǒng)(IMS)的注冊流程中使用的鑒權(quán)算法就是AKA鑒權(quán)算法，該算法根據(jù)密鑰，隨機數(shù)以及相關(guān)參數(shù)生成一個認證向量AV，該認證向量AV是一個5元組，包括隨機數(shù)RAND、認證令牌AUTN、認證應(yīng)答XRES、加密密鑰CK及消息完整性密鑰IK。用于用戶對網(wǎng)絡(luò)認證、網(wǎng)絡(luò)對用戶認證或IP安全性(IPSEC)的建立等。

下面結(jié)合圖1來說明AKA鑒權(quán)算法。3GPP為3G系統(tǒng)定義了12種安全算法：f0-f9、f1^*和f5^*，應(yīng)用于不同的安全服務(wù)。身份認證與密鑰分配方案中移動用戶登記和認證參數(shù)的調(diào)用過程與GSM網(wǎng)絡(luò)基本相同，不同之處在于3GPP認證向量AV是5元組，并實現(xiàn)了用戶對網(wǎng)絡(luò)的認證。AKA利用f0至f5^*算法，這些算法僅在鑒權(quán)中心(AC)和用戶終端的身份識別卡(如SIM)中執(zhí)行。其中，f0算法僅在AC中執(zhí)行，用于產(chǎn)生隨機數(shù)RAND；f1算法用于產(chǎn)生消息認證碼(AC中為MAC-A，用戶身份識別卡中為XMAC-A)；f1^*是重同步消息認證算法，用于產(chǎn)生MAC-S；f2算法用于產(chǎn)生期望的認證應(yīng)答(AC中為XRES，SIM卡中為RES)；f3算法用于產(chǎn)生加密密鑰CK；f4算法用于產(chǎn)生消息完整性密鑰IK；f5算法用于產(chǎn)生匿名密鑰AK，該匿名密鑰AK用于對序列號SQN加解密，以防止被位置跟蹤；f5^*是重同步時的匿名密鑰生成算法。AKA由訪客位置寄存器(VLR)發(fā)起，在AC中產(chǎn)生認證向量AV＝(RAND，XRES，CK，IK，AUTN)和認證令牌AUTN＝SQNAK‖AMF‖MAC-A。VLR發(fā)送RAND和AUTN至用戶(SIM)。用戶計算XMAC-A＝f1K(SQN‖RAND‖AMF)，若該XMAC-A等于AUTN中的MAC-A，并且SQN在有效范圍，則認為對網(wǎng)絡(luò)鑒權(quán)成功；并分別用f2、f3、f4計算RES、CK、IK，發(fā)送RES至VLR。VLR驗證RES，若與先前所產(chǎn)生的認證向量中的XRES相符，則認為對用戶終端鑒權(quán)成功；否則，拒絕用戶終端的接入。當SQN不在有效范圍時，SIM和AC利用f1^*算法進入重新同步程序，VLR向HLR/AC請求新的認證向量AV。

如圖2所示，即為現(xiàn)有的一種IP多媒體子系統(tǒng)(IMS)鑒權(quán)流程示意圖。

其中：

1、由用戶設(shè)備(UE)向IMS網(wǎng)絡(luò)中的發(fā)送注冊請求(REGISTER)；

2、服務(wù)CSCF(S-CSCF)向歸屬用戶服務(wù)器(HSS)請求鑒權(quán)數(shù)據(jù)；

3、HSS根據(jù)AKA算法得出的認證向量AV的5元組(RAND、AUTN、XRES、CK及IK)，并發(fā)送給S-CSCF；

4、S-CSCF把5元組中的RAND、AUTN、CK及IK發(fā)給代理CSCF(P-CSCF)，P-CSCF把認證令牌AUTN和隨機數(shù)RAND發(fā)給用戶設(shè)備(UE)，請求用戶產(chǎn)生認證數(shù)據(jù)；

5、用戶設(shè)備(UE)接收到該認證請求后，首先計算XMAC，并與AUTN中的MAC進行比較，若不同，則向VLR發(fā)送拒絕認證消息，并放棄該過程。同時還要驗證接受到的序列號SQN是否在有效的范圍內(nèi)，若不在，MS向VLR發(fā)送同步失敗消息，并放棄該過程。上述兩項均通過后，用戶終端用f2計算出RES，用f3計算出CK，用f4算法計算出IK，并根據(jù)IK、CK與P-CSCF建立IP安全(IPSEC)隧道，并把RES發(fā)送給IMS網(wǎng)絡(luò)；