技術領域

本發明涉及通信領域，尤其涉及一種鑒權方法及鑒權系統以及相關設備。

背景技術

隨著網絡技術的發展，為保證數據通信的安全性，通信雙方需要進行必要的鑒權。

現有過程中一種基于信息-摘要(MD，Message-Digest?Algorithm)5的鑒權與密鑰協商(AKA，Authentication?and?Key?Agreement)鑒權方法大致流程如下：

(1)移動終端(MS，Mobile?Subscriber)首先發送注冊Register消息；

(2)無線局域網接入網關(WAG，Wireless?local?area?network?Access?Gateway)收到Register消息后，發起一個挑戰握手認證協議(CHAP，Challenge?Handshake?Authentication?Protocol)Random?Challenge的隨機數和CHAP?ID，通過401?Unauthorized消息發送給MS；

(3)MS收到401?Unauthorized消息后，與用戶識別模塊(UIM，User?Identity?Module)卡交互，傳遞CHAP-ID、CHAP-Challenge參數，UIM執行MD5算法，產生128-bits的CHAP-Response返回給MS；

(4)MS產生一個64-bits的隨機數(稱之為AKASEED)，與UIM返回的CHAP-Response，計算產生一個CHAP-Response′：

CHAP-Response′＝64MSBs?of?CHAP-Response|(64LSBs?of?CHAP-Response^AKASEED)

即CHAP-Response′共128bit，其中高64bit與CHAP-Response的高64bit相同，CHAP-Response′的低64bit為CHAP-Response的低64bit與AKASEED的異或結果。

其中：“|”表示直接串聯，“^”表示按位異或。

(5)MS將產生的CHAP-Response′通過Register消息發送到WAG；

(6)WAG向接入網絡認證、鑒權和計費服務器(AN-AAA，Access?Network，Authentication，Authorization，Accounting)發送Access?Request消息，攜帶遠程認證撥號接入服務(RADIUS，Remote?Authentication?DialIn?User?Service)屬性CHAP-Challenge、CHAP-Password(承載CHAP-ID和CHAP-Response′)和和認證方式等參數；

(7)AN-AAA首先根據提供的參數和用戶密碼運行MD5算法，產生CHAP-Response，并校驗請求中的CHAP-Response′的高64bit是否正確。并通過自己產生的CHAP-Response的低64個bit還原出AKASEED參數，然后產生AKA的算法參數；

(8)AN-AAA運行AKA算法，通過Radius?Access?Challenge消息將AT_AUTN，AT_RAND，AT_MAC，IK，CK發送到WAG；

(9)WAG收到后發送401Unauthorized消息，攜帶AT_RAND、AT_AUTN等參數和初次協商的IPSEC?SA參數，發起AKA認證；

(10)MS根據同樣的算法產生AKA_KEY，并根據AT_RAND參數計算AKA鑒權向量，發送攜帶AKA鑒權響應XRES的register消息。同時攜帶兩端的IPSEC?SA參數；

(11)WAG向AN-AAA發送Access?Request消息，攜帶上述鑒權響應值XRES；

(12)AN-AAA向WAG發送Access?Accept消息，指示認證成功。

(13)WAG向MS返回200OK消息。后續SIP信令將使用MS和WAG間新成功建立的IPSEC?SA進行保護，IK和CK分別作為完整性和加密密鑰。

但是，上述現有技術中存在以下一些問題：

上述現有技術中，AN-AAA在接收到WAG發送的請求之后，校驗請求中的CHAP-Response′的高64bit是否正確，也就是說AN-AAA只能完成對CHAP-Response′的高64bit的比較，在得到AKASEED之前不能完成對CHAP-Response′的低64-bit的比較，從而不能真正完成MD5鑒權；