技術領域

本發明涉及CDMA和WiFi應用技術領域，尤其涉及一種基于共享加密數據的雙向鑒權方法及系統。

背景技術

基于WLAN接入網關(WAG)的CDMA+WiFi的統一認證方案，實現了電信運營商的固定和移動網絡的有效融合，充分分流了移動3G的業務流量，為電信運營商在全業務的競爭背景下贏得了先機。

但是，基于WAG的CDMA+WiFi的統一認證實現方案，在接入認證方式上采用的是網絡側單向的CAVE或MD5鑒權算法，空口采用的是簡單UDP的數據通道方式，鑒權認證方式及空口數據通道的安全性都有待提高。

發明內容

鑒于以上，本發明提出一種基于共享加密數據的雙向鑒權方法及系統。

本發明提出一種基于共享加密數據的雙向鑒權方法，包括以下步驟：在接入鑒權協商過程中，網絡側與終端側協商采用雙向鑒權，并協商采用的鑒權算法；網絡側根據共享加密數據計算第一鑒權密鑰，以所述第一鑒權密鑰作為所述鑒權算法的入參，計算第一鑒權向量，并將所述第一鑒權向量傳送給終端側；終端側根據共享加密數據計算第二鑒權密鑰，以所述第二鑒權密鑰作為所述鑒權算法的入參，計算第二鑒權向量；終端側判斷所述第一鑒權向量與所述第二鑒權向量是否一致，完成終端側對網絡側的鑒權認證，如果一致，則鑒權通過，并將終端側的鑒權響應發給網絡側；網絡側比較終端側傳送的鑒權響應與網絡側生成的鑒權響應是否一致，完成網絡側對終端側的鑒權認證，如果一致，則鑒權通過。

本發明提出一種基于共享加密數據的雙向鑒權系統，其中：終端側包括UIM卡和MS：所述MS在接入鑒權協商過程中，與網絡側協商采用雙向鑒權，并協商采用的鑒權算法；根據共享加密數據計算第二鑒權密鑰，以所述第二鑒權密鑰作為所述鑒權算法的入參，計算第二鑒權向量；判斷所述第一鑒權向量與所述第二鑒權向量是否一致，完成終端側對網絡側的鑒權認證，如果一致，則鑒權通過，并將終端側的鑒權響應發給網絡側；網絡側包括WAG、AN-AAA以及HLR：所述WAG將第一鑒權向量傳送給終端側，以及接收終端側傳送的鑒權響應；所述AN-AAA根據共享加密數據計算第一鑒權密鑰，以所述第一鑒權密鑰作為所述鑒權算法的入參，計算第一鑒權向量，并將所述第一鑒權向量傳送給WAG；從WAG接收終端側傳送的鑒權響應，比較終端側傳送的鑒權響應與AN-AAA生成的鑒權響應是否一致，完成網絡側對終端側的鑒權認證，如果一致，則鑒權通過。

本發明提出了一種基于共享加密數據的CAVE+AKA雙向鑒權實現方法，可以適用于現有CDMA移動核心網絡，能有效地解決基于WLAN接入網關的CDMA+WiFi統一認證接入模式下單向鑒權存在的安全問題。

在此基礎上，還提出了一種基于CAVE+AKA雙向鑒權的空口加密IPsec安全通道的實現方案，解決了簡單UDP數據通道的安全問題。

附圖說明

此處所說明的附圖用來提供對本發明的進一步理解，構成本發明的一部分，本發明的示意性實施例及其說明用于解釋本發明，并不構成對本發明的不當限定。在附圖中：

圖1是示出本發明實施例中，在基于共享SSD的CAVE+AKA雙向鑒權流程示意圖。

圖2是示出本發明隨機數(RANDOM)與鑒權序列號(SQN)的同步流程示意圖。

圖3是示出本發明基于CAVE+AKA雙向鑒權的IPsec實現流程示意圖。

圖4是示出本發明的一種基于共享加密數據的雙向鑒權系統結構示意圖。

具體實施方式

現有技術進行單向鑒權，單向鑒權是網絡側對終端側的認證鑒權，終端側對網絡側沒有認證鑒權，無法保證接入的網絡是合法的網絡，比如非法份子建設的偽運營商的網絡，騙取用戶的信息。

本發明的目的在于提出一種基于WLAN接入網關(WAG)的CDMA+WiFi統一認證網絡的雙向鑒權(AKA)實現方法，本發明的雙向鑒權基于共享加密數據，既由終端側對網絡側進行認證鑒權，也由網絡側對終端側進行認證鑒權，從而能保證雙方的安全。進一步提出基于雙向鑒權模式下的IPsec加密通道實現方法。

為使本發明的目的、技術方案和優點更加清楚明白，以下結合具體實施例，并參照附圖，對本發明進一步詳細說明。

本發明需要在HLR/AC上配置SSD共享方式。SSD共享方式包含以下功能：