欧美极品高清xxxxhd,国产日产欧美最新,无码AV国产东京热AV无码,国产精品人与动性XXX,国产传媒亚洲综合一区二区,四库影院永久国产精品,毛片免费免费高清视频,福利所导航夜趣136

標(biāo)題: AKA的IMS接入認(rèn)證機(jī)制 [打印本頁(yè)]

作者: 51黑tt 時(shí)間: 2016-3-5 23:32
標(biāo)題: AKA的IMS接入認(rèn)證機(jī)制
IMS AKA機(jī)制是對(duì)HTTP摘要認(rèn)證機(jī)制[5]的擴(kuò)展，主要用于用戶的認(rèn)證和會(huì)話密鑰的分發(fā)，它的實(shí)現(xiàn)基于一個(gè)長(zhǎng)期共享密鑰(Key)和一個(gè)序列號(hào)(SQN)，它們僅在HSS的認(rèn)證中心模塊(AuC)和UE的ISIM中可見(jiàn)。由于HSS不與UE直接通信，而是由S-CSCF執(zhí)行認(rèn)證過(guò)程，因此它們不會(huì)將真實(shí)的Key暴露給外界。
IMS AKA機(jī)制使用“提問(wèn)/回答”的模式實(shí)現(xiàn)用戶和網(wǎng)絡(luò)之間的雙向認(rèn)證，并通過(guò)協(xié)商產(chǎn)生的密碼對(duì)(CK, IK)作為IPSec SA所需的密鑰，為后續(xù)的通信提供安全保護(hù)。IMS AKA機(jī)制是基于SIP協(xié)議來(lái)實(shí)現(xiàn)的。AKA與SIP的結(jié)合在IETF RFC3310中定義。在IMS的注冊(cè)過(guò)程中，攜帶AKA參數(shù)的SIP信令在UE和IMS網(wǎng)絡(luò)認(rèn)證實(shí)體之間進(jìn)行交互，按照AKA機(jī)制來(lái)傳輸和協(xié)商AKA參數(shù)，從而實(shí)現(xiàn)接入認(rèn)證和密鑰協(xié)商的過(guò)程。
2.2IMS接入認(rèn)證的實(shí)現(xiàn)
通過(guò)IMS注冊(cè)過(guò)程實(shí)現(xiàn)基于AKA機(jī)制的IMS接入認(rèn)證的具體流程[6] 如圖2所示。

(1) 用戶發(fā)起注冊(cè)請(qǐng)求
用戶在使用IMS服務(wù)之前必須向IMS網(wǎng)絡(luò)進(jìn)行注冊(cè)，注冊(cè)的目的是將用戶的私有身份(IMPI)與用戶想要注冊(cè)的公開身份(IMPU)綁定。每個(gè)用戶只有一個(gè)IMPI，而可擁有多個(gè)IMPU，每個(gè)IMPU對(duì)應(yīng)相應(yīng)的服務(wù)配置。
UE在初始的注冊(cè)請(qǐng)求SIP REGISTER消息中發(fā)送它的IMPI，該IMPI保存在ISIM應(yīng)用中，只用于認(rèn)證和注冊(cè)過(guò)程。這個(gè)初始的REGISTER消息的主要頭域和參數(shù)如圖3所示。

由于3GPP AKA被映射到HTTP摘要機(jī)制，因此認(rèn)證方案的值被設(shè)置為“Digest”，而“response”和“nonce”域的值在初始注冊(cè)請(qǐng)求消息中都設(shè)置為空。P-CSCF將這個(gè)REGISTER消息轉(zhuǎn)發(fā)給I-CSCF，I-CSCF聯(lián)系HSS，以選擇為用戶提供服務(wù)的S-CSCF，然后將REGISTER請(qǐng)求消息轉(zhuǎn)發(fā)給選定的S-CSCF。當(dāng)S-CSCF收到REGISTER消息后，如果發(fā)現(xiàn)該用戶還沒(méi)有被認(rèn)證，則S-CSCF向HSS發(fā)送多媒體認(rèn)證請(qǐng)求(MAR)消息[7]以請(qǐng)求認(rèn)證數(shù)據(jù)。
(2) 計(jì)算認(rèn)證向量
HSS收到MAR消息之后，運(yùn)行AKA算法，為該用戶計(jì)算認(rèn)證向量(AV)，計(jì)算過(guò)程如下：HSS中的AuC運(yùn)行AKA機(jī)制，首先產(chǎn)生最新的序列號(hào)SQN和一個(gè)不可預(yù)測(cè)的隨機(jī)提問(wèn)數(shù)(RAND)。然后HSS將根據(jù)它與該UE之間的共享密鑰Key，以及剛剛產(chǎn)生的SQN和RAND來(lái)計(jì)算其他的參數(shù)，其原理如圖4所示，AKA參數(shù)核心算法由3GPP TS35.206[8]提供。

其中，各個(gè)參數(shù)的計(jì)算公式如下( ?茌表示按位異或，|| 表示串接)：
計(jì)算消息認(rèn)證碼(MAC)：MAC=F1K(SQN|| RAND || AMF) ；
計(jì)算期望的認(rèn)證應(yīng)答(XRES)：XRES=F2K(RAND)；
計(jì)算保密性密鑰(CK)：CK=F3K(RAND)；
計(jì)算完整性密鑰(IK)：IK=F4K(RAND)；
匿名密鑰(AK)：AK=F5K(RAND)；
網(wǎng)絡(luò)認(rèn)證令牌(AUTN)：AUTN=SQN?茌AK|| AMF || MAC；
AV：AV=RAND||XRES||CK||IK||AUTN；
AK用來(lái)隱藏SQN，因?yàn)镾QN可能會(huì)暴露用戶的位置信息。如果不需要隱藏SQN，那么AK被設(shè)置為0。
(3) 網(wǎng)絡(luò)向用戶提問(wèn)
HSS通過(guò)上述的計(jì)算過(guò)程得到了一組AV，其中每個(gè)AV都是一個(gè)五元組(RAND, XRES, AUTN, CK, IK)，該認(rèn)證五元組并不包括Key和SQN本身。然后，HSS將這些認(rèn)證數(shù)據(jù)通過(guò)多媒體認(rèn)證應(yīng)答(MAA)消息發(fā)送給S-CSCF。
S-CSCF從HSS得到所需的安全相關(guān)的參數(shù)，即所謂的AV。這些參數(shù)使得S-CSCF可以在不需要知道共享密鑰Key和SQN的情況下就可以執(zhí)行認(rèn)證過(guò)程。
S-CSCF將剔除XRES的AV包含在401 Unauthorized應(yīng)答消息的WWW-Authenticate頭域中向用戶提問(wèn)，401應(yīng)答主要的頭域和字段如圖5所示。

其中，在nonce字段填入了將RAND和AUTN參數(shù)串接后進(jìn)行Base64編碼后的字符串。在ik和ck字段加入完整性密鑰和保密性密鑰。在algorithm字段放入值“AKAv1-MD5”，表示使用的是3GPP AKA認(rèn)證機(jī)制。
當(dāng)接收到S-CSCF返回的401應(yīng)答消息后，P-CSCF在將其發(fā)往UE之前，將其中的完整性密鑰IK和保密性密鑰CK保存下來(lái)，并將它們從AV中刪除掉(IK，CK這兩個(gè)參數(shù)不能暴露，網(wǎng)絡(luò)認(rèn)證通過(guò)后，UE的ISIM會(huì)根據(jù)收到的AV，重新計(jì)算出來(lái))。
(4) 用戶認(rèn)證網(wǎng)絡(luò)身份
接收到網(wǎng)絡(luò)返回的401應(yīng)答消息后，UE將接收到的AKA參數(shù)傳遞給ISIM應(yīng)用，由ISIM模塊運(yùn)行AKA算法，執(zhí)行以下工作：
首先基于ISIM中存儲(chǔ)的共享密鑰Key來(lái)校驗(yàn)網(wǎng)絡(luò)認(rèn)證令牌AUTN，如果AUTN校驗(yàn)成功，網(wǎng)絡(luò)就被認(rèn)證通過(guò)(即確認(rèn)認(rèn)證數(shù)據(jù)是從歸屬網(wǎng)絡(luò)中發(fā)來(lái)的)。ISIM計(jì)算AKA參數(shù)的過(guò)程如圖6所示。UE中的認(rèn)證服務(wù)模塊通過(guò)隨機(jī)數(shù)RAND計(jì)算出匿名密鑰AK，然后使用匿名密鑰AK來(lái)恢復(fù)序列號(hào)SQN，接著通過(guò)得到的序列號(hào)SQN、RAND和ISIM中保存的認(rèn)證管理域AMF來(lái)計(jì)算期望的消息認(rèn)證碼XMAC。將計(jì)算得到的期望的消息認(rèn)證碼XMAC和從網(wǎng)絡(luò)認(rèn)證令牌AUTN中取得的由HSS計(jì)算的消息認(rèn)證碼MAC相比較。如果這兩個(gè)參數(shù)一致，那么用戶認(rèn)證網(wǎng)絡(luò)身份成功，接著進(jìn)行下面的步驟；如果不一致，則用戶認(rèn)證網(wǎng)絡(luò)身份失敗，UE向網(wǎng)絡(luò)發(fā)送不攜帶response字段的REGISTER消息，以此通知網(wǎng)絡(luò)提問(wèn)無(wú)效。

如果用戶認(rèn)證網(wǎng)絡(luò)身份成功，UE將接著檢查序列號(hào)SQN是否在正確的范圍之內(nèi)(比較這次提問(wèn)的序列號(hào)SQN是否比上次提問(wèn)時(shí)使用的SQNi大)。如果SQN在正確的范圍之內(nèi)(即SQN>SQNi，將SQNi更新為SQN，并保存，以備下次使用)，UE將會(huì)計(jì)算認(rèn)證應(yīng)答(RES)。如果SQN不大于SQNi，則認(rèn)為本次提問(wèn)的AV是不新鮮的，UE與網(wǎng)絡(luò)失同步，則UE計(jì)算重同步參數(shù)AUTS，使用攜帶該重同步參數(shù)的REGISTER消息重新發(fā)起注冊(cè)請(qǐng)求。

歡迎光臨 (http://www.raoushi.com/bbs/)