技術領域

本發明涉及一種認證方法，尤其涉及一種固定網絡接入IMS(IP多媒體子系統)過程中，雙向認證及密鑰分發方法。

背景技術

IMS(IP?Multimedia?Subsystem)是3GPP在Release5版本提出的支持IP多媒體業務的子系統，它的核心特點是采用SIP協議和與接入的無關性，目前IMS支持2G和3G的移動接入方式，還不能支持固定接入方式。在網絡融合的發展趨勢下，3GPP、ETSI和ITU-T都在研究基于IMS的網絡融合方案，目的是使IMS成為基于SIP會話的通用平臺，同時支持固定和移動的多種接入方式，實現固定網和移動網的融合。目前，IMS基本能夠支持2G、3G的接入，但還不能夠支持固定網絡的接入。

寬帶固定網絡用戶(如xDSL、HFC等方式)接入IMS系統是未來發展的必然趨勢。固定寬帶接入IMS的安全機制在標準組織中只是提出了需求，還沒有進入解決方案階段。而且，如果固定寬帶用戶終端不具有UICC卡，也不能夠支持復雜的IMS?AKA機制的話，那么其接入IMS更是個尚待解決的技術問題。

此外，在3GPP中，用戶終端接入IMS的認證過程是通過IMS?AKA機制實現的，終端需要支持幾種必須的安全算法來實現完整的認證過程，但對于固定網絡終端接入IMS的情況，固定網絡終端的能力不能夠完全滿足3GPP?IMS?AKA機制的要求，需要降低3GPP?IMS?AKA對終端的能力要求，即適當減少安全算法。

因此，針對上述問題，需要一種有效的方法，能夠實現固定網絡終端與IMS網絡域的雙向身份認證，并完成密鑰分發，降低了接入IMS對終端能力的要求，保證固定網絡用戶終端與P-CSCF之間通信的機密性和完整性。

發明內容

針對現有技術存在的缺陷和不足，本發明提供一種固定網絡接入IMS雙向認證及密鑰分發方法，實現固定網絡用戶終端與IMS網絡側的雙向認證，并完成密鑰分發及安全能力的協商，保證寬帶固定用戶與P-CSCF之間通信的機密性和完整性。

為達到上述目的，本發明采用以下技術方案：本發明固定網絡接入IMS雙向認證及密鑰分發方法，包括如下步驟：

步驟A，用戶終端通過CSCF向歸屬用戶服務器發起鑒權認證請求，并提供用戶標志；

步驟B，歸屬用戶服務器根據用戶標志，獲取與該用戶終端的共享密鑰Ku，生成一個隨機數Rand，由Rand，UE?ID和共享密鑰Ku等一起生成對用戶終端的驗證字XRES，同時生成UE和P-CSCF之間的加密密鑰CK和完整性保護密鑰IK，其中CK，IK由共享密鑰Ku加密，最后將挑戰字Rand、加密后的密鑰(EKu(CK，IK))，用Ku進行完整性保護；

步驟C，歸屬用戶服務器返回認證請求的響應給CSCF，將CK和IK傳給P-CSCF，將驗證字XRES傳給S-CSCF；CSCF向UE返回注冊響應報文，回注冊失敗消息；

步驟D，用戶終端通過與歸屬用戶服務器共享的共享密鑰Ku，對返回的響應報文相應部分進行完整性驗證，實現對IMS網絡側的認證；

步驟E，認證通過后，用戶終端計算驗證字RES，重新向CSCF發起注冊請求；

步驟F，CSCF將用戶終端的驗證字RES與歸屬用戶服務器的驗證字XRES進行比較認證；

步驟G，認證通過后，CSCF向用戶終端返回注冊響應成功報文，向歸屬用戶服務器發出用戶認證成功消息。

優選的：在所述的固定網絡接入IMS雙向認證及密鑰分發方法中，步驟A具體為：

步驟A1，用戶終端按協議流程向P-CSCF發起注冊請求，正常的協議注冊報文，報文中攜帶用戶終端的用戶標志；

步驟A2，P-CSCF向S-CSCF轉發用戶的注冊報文；

步驟A3，S-CSCF沒有該用戶終端UE的用戶鑒權信息，向歸屬用戶服務器發出對用戶的鑒權認證請求，提供用戶終端的用戶標志。

優選的：在所述的固定網絡接入IMS雙向認證及密鑰分發方法中，步驟C具體為：

步驟C1，歸屬用戶服務器將用Ku進行完整性保護的挑戰字Rand、加密后的密鑰(EKu(CK，IK))，和傳給P-CSCF的CK和IK，傳給S-CSCF的驗證字XRES，作為認證請求的響應返回給S-CSCF；

步驟C2，S-CSCF保留驗證字XRES，并向P-CSCF返回注冊響應報文，回注冊失敗消息；

步驟C3，P-CSCF保留注冊響應報文中的CK和IK，并向用戶終端返回注冊響應報文，回注冊失敗消息；響應報文中包括挑戰字Rand、加密后的密鑰(EKu(CK，IK))，并用Ku對上述報文進行完整性保護。