技術領域

本發明涉及通信領域，特別涉及認證技術。

背景技術

隨著技術的進步，傳統核心網向全IP網絡演進成為網絡發展的趨勢。第三代移動通信合作伙伴項目(3rd?Generation?Partnership?Project，簡稱“3GPP”)在R5/R6標準提出的基于IP的多媒體子系統(IP?based?Multimedia?Subsystem，簡稱“IMS”)即專門為下一代全IP的多媒體移動網絡設計的系統，著眼于用IP網絡承載移動多媒體業務，使運營商和終端用戶從多媒體服務的革新中獲取更快速、更靈活的應用，從而為運營商增加收入、創造利潤。

第三代合作伙伴項目2(3rd?Generation?Partnership?Project?2，簡稱“3GPP2”)已經制定了相應的IMS規范，即多媒體域(Multimedia?Domain，簡稱“MMD”)標準。MMD與3GPP中IMS對應的實體和接口是基本一一對應的。

IMS是基于會話初始化協議(Session?Initiation?Protocol，簡稱“SIP”)的體系，SIP是按客戶端/服務器方式工作的基于文本的信息協議，IMS使用SIP呼叫控制機制來創建、管理和終結各種類型的多媒體業務。

3GPP定義的IMS的框架結構包括呼叫會話控制功能(Call?SessionControl?Function，簡稱“CSCF”)、媒體網關控制功能(Media?Gateway?ControlFunction，簡稱“MGCF”)、多媒體資源功能(Multimedia?Resource?Function，簡稱“MRF”)、和歸屬用戶服務器(Home?Subscriber?Server，簡稱“HSS”)等功能實體。

其中，CSCF又可以分成服務CSCF(Serving?CSCF，簡稱“S-CSCF”)、代理CSCF(Proxy?CSCF，簡稱“P-CSCF”)和查詢CSCF(Interrogating?CSCF，簡稱“I-CSCF”)三個邏輯實體。S-CSCF是IMS的業務交換中心，執行會話控制，負責管理用戶信息，產生計費信息等；P-CSCF是終端用戶接入IMS的接入點，完成用戶注冊，負責服務質量控制和安全管理等；I-CSCF負責IMS域之間的互通，管理S-CSCF的分配，對外隱藏網絡拓撲和配置，產生計費數據等。

在終端發起呼叫前，需要在IMS核心網實體進行注冊。注冊過程使得終端可以使用IMS服務。IMS注冊使用的是基于鑒權和密鑰協商(Authenticationand?Key?Agreement，簡稱“AKA”)的流程。

在AKA流程中，首先由終端向網絡側發送認證請求，在請求中包含用戶身份。網絡側根據該請求中的用戶身份獲取該終端的根密鑰，并根據該根密鑰計算用于認證的認證向量(AV)，AV包括五個參數：隨機數RAND，AUTN，期待的響應XRES以及完整性密鑰IK和加密密鑰CK；其中，AUTN又包含有序列號SQN和MAC兩個參數，MAC值是根據隨機數RAND、SQN以及終端根密鑰計算得到的，用來讓終端認證網絡側。之后，網絡側將RAND和AUTN通過認證挑戰消息Auth_Challenge發送給終端。終端收到該挑戰消息后，根據其中的RAND、SQN以及該終端的根密鑰計算相應的XMAC，并將XMAC和消息中的MAC做比較，如果相同，則接著校驗收到的SQN是否大于本地保存的SQN，并且其差值在有效范圍內，以防止重放攻擊。如果是，則該終端成功地認證了網絡。終端接著根據該RAND計算RES、完整性密鑰IK和加密密鑰CK，其中RES是用來讓網絡認證終端的參數。之后終端向網絡側發送認證響應SIP?Register，在響應消息中包含用戶身份，將RES作為該響應消息的密鑰。網絡側根據該響應消息中的用戶身份找到對應的XRES，檢驗該RES，判斷該響應消息是否合法，如果合法則認證成功。

可見，在該AKA流程中，只有在終端側驗證網絡合法、且網絡側驗證終端合法，才均使得認證成功。