技術領域

本發明涉及通信技術領域，尤其涉及一種鑒權、信息處理方法及裝置。

背景技術

在對IP多媒體子系統IMS網絡功能實體進行合法監聽的過程中，IMS網絡功能實體與監聽設備需要進行雙向鑒權過程來驗證雙方的身份合法性，目前在3GPP和歐洲電信標準化協會（European?Telecommunications?Standards?Institute，ETSI）的協議中對鑒權的步驟和參數尚無明確說明。

經常使用消息摘要算法來實現雙方的身份鑒權認證。在合法監聽的鑒權認證過程中，經常使用消息摘要算法第五版（Message?Digest?Algorithm，MD5）作為消息摘要算法，目前MD5算法已經被攻破，在安全性方面存在一定隱患。攻擊者比較容易使用碰撞的方法模仿簽名來通過驗證，從而造成非法設備冒充警用信息中心對IMS網絡功能實體進行監聽。消息摘要算法有多種，在運算快慢和安全性強弱方面有各自特點。固定使用MD5作為消息摘要算法，使用者無法根據具體情況在運算效率以及安全性之間做選擇。

在3GPP?TS33.107V11.2.0中對基于IMS網絡的合法監聽做出說明，如圖1和圖2所示，考慮到今后X1、X2接口在警用信息中心側可能在設備上是分離的，因此，X1、X2兩個接口的認證相互獨立，使用獨立的認證參數（監聽設備對應的秘密數據Ki、加密密鑰Kc、警用信息中心（Lawful?Interception?Center，LIC）接入密碼Password、序列號SQN和隨機數RAND），但這些參數的取值可以相同。X1，X2接口認證是警用信息中心和軟交換系統必須支持的功能，X3接口不做認證。

綜上所述，現有技術中，警用信息中心與軟交換系統之間在建立信令和業務連接時，無法實現雙方身份認證，因此無法保證警用接口的安全，無法防止非法軟交換系統對警用信息中心的惡意攻擊，以及非法的警用信息中心接入軟交換系統執行非法監聽活動。

發明內容

本發明實施例提供了一種鑒權、信息處理方法及裝置，用以實現IP多媒體子系統IMS網絡功能實體與監聽設備的雙向鑒權，并且可以靈活選擇摘要算法，提高鑒權的效率與安全性。

本發明實施例提供了一種鑒權方法，包括：

監聽設備向IP多媒體子系統IMS網絡功能實體發送攜帶有摘要算法和通過該摘要算法計算得到的認證字段的連接建立請求消息；

監聽設備接收IMS網絡功能實體發送的連接建立響應消息。

從上述方案中可以看出，監聽設備向IMS網絡功能實體發送的連接建立請求消息中攜帶有摘要算法，這樣，在IMS網絡功能實體與監聽設備進行雙向鑒權時可以靈活選擇摘要算法，提高該雙向鑒權的效率與安全性。

較佳地，監聽設備接收IMS網絡功能實體發送的連接建立響應消息，包括：如果IMS網絡功能實體利用所述連接建立請求消息對該監聽設備鑒權失敗，則監聽設備接收IMS網絡功能實體發送的攜帶有連接建立失敗指示和連接建立失敗原因的連接建立響應消息。

這樣，監聽設備便可以得知IMS網絡功能實體對該監聽設備鑒權失敗。

較佳地，在監聽設備接收所述連接建立響應消息之后，該方法還包括：

監聽設備接收IMS網絡功能實體發送的連接釋放消息。

這樣，監聽設備便可以在得知IMS網絡功能實體對該監聽設備鑒權失敗后，接收該IMS網絡功能實體發送的連接釋放消息，終斷雙向鑒權連接。

較佳地，監聽設備接收IMS網絡功能實體發送的連接建立響應消息，包括：如果IMS網絡功能實體利用所述連接建立請求消息對該監聽設備鑒權成功，則該監聽設備接收IMS網絡功能實體發送的攜帶有連接建立成功指示的連接建立響應消息，并且該連接建立響應消息中還包括利用所述摘要算法、加密密鑰Kc、隨機數RAND和序列號SQN計算得到的應答字段，其中，所述Kc是IMS網絡功能實體根據所述摘要算法、所述RAND、SQN、以及所述監聽設備對應的秘密數據Ki計算得到的，所述RAND攜帶于所述連接建立請求消息中，所述SQN為所述連接建立請求消息中攜帶的SQN組別號所對應的SQN組中的第一個SQN。

這樣，在IMS網絡功能實體對監聽設備鑒權成功后，該監聽設備接收IMS網絡功能實體發送的攜帶有計算的應答字段和連接建立成功指示的連接建立響應消息，為監聽設備對IMS網絡功能實體進行鑒權做準備。

較佳地，監聽設備接收IMS網絡功能實體發送的連接建立響應消息之后，該方法還包括：