欧美极品高清xxxxhd,国产日产欧美最新,无码AV国产东京热AV无码,国产精品人与动性XXX,国产传媒亚洲综合一区二区,四库影院永久国产精品,毛片免费免费高清视频,福利所导航夜趣136

標題: AKA的IMS接入認證機制 [打印本頁]

作者: 51黑tt 時間: 2016-3-5 23:32
標題: AKA的IMS接入認證機制
IMS AKA機制是對HTTP摘要認證機制[5]的擴展，主要用于用戶的認證和會話密鑰的分發，它的實現基于一個長期共享密鑰(Key)和一個序列號(SQN)，它們僅在HSS的認證中心模塊(AuC)和UE的ISIM中可見。由于HSS不與UE直接通信，而是由S-CSCF執行認證過程，因此它們不會將真實的Key暴露給外界。
IMS AKA機制使用“提問/回答”的模式實現用戶和網絡之間的雙向認證，并通過協商產生的密碼對(CK, IK)作為IPSec SA所需的密鑰，為后續的通信提供安全保護。IMS AKA機制是基于SIP協議來實現的。AKA與SIP的結合在IETF RFC3310中定義。在IMS的注冊過程中，攜帶AKA參數的SIP信令在UE和IMS網絡認證實體之間進行交互，按照AKA機制來傳輸和協商AKA參數，從而實現接入認證和密鑰協商的過程。
2.2IMS接入認證的實現
通過IMS注冊過程實現基于AKA機制的IMS接入認證的具體流程[6] 如圖2所示。

(1) 用戶發起注冊請求
用戶在使用IMS服務之前必須向IMS網絡進行注冊，注冊的目的是將用戶的私有身份(IMPI)與用戶想要注冊的公開身份(IMPU)綁定。每個用戶只有一個IMPI，而可擁有多個IMPU，每個IMPU對應相應的服務配置。
UE在初始的注冊請求SIP REGISTER消息中發送它的IMPI，該IMPI保存在ISIM應用中，只用于認證和注冊過程。這個初始的REGISTER消息的主要頭域和參數如圖3所示。

由于3GPP AKA被映射到HTTP摘要機制，因此認證方案的值被設置為“Digest”，而“response”和“nonce”域的值在初始注冊請求消息中都設置為空。P-CSCF將這個REGISTER消息轉發給I-CSCF，I-CSCF聯系HSS，以選擇為用戶提供服務的S-CSCF，然后將REGISTER請求消息轉發給選定的S-CSCF。當S-CSCF收到REGISTER消息后，如果發現該用戶還沒有被認證，則S-CSCF向HSS發送多媒體認證請求(MAR)消息[7]以請求認證數據。
(2) 計算認證向量
HSS收到MAR消息之后，運行AKA算法，為該用戶計算認證向量(AV)，計算過程如下：HSS中的AuC運行AKA機制，首先產生最新的序列號SQN和一個不可預測的隨機提問數(RAND)。然后HSS將根據它與該UE之間的共享密鑰Key，以及剛剛產生的SQN和RAND來計算其他的參數，其原理如圖4所示，AKA參數核心算法由3GPP TS35.206[8]提供。

其中，各個參數的計算公式如下( ?茌表示按位異或，|| 表示串接)：
計算消息認證碼(MAC)：MAC=F1K(SQN|| RAND || AMF) ；
計算期望的認證應答(XRES)：XRES=F2K(RAND)；
計算保密性密鑰(CK)：CK=F3K(RAND)；
計算完整性密鑰(IK)：IK=F4K(RAND)；
匿名密鑰(AK)：AK=F5K(RAND)；
網絡認證令牌(AUTN)：AUTN=SQN?茌AK|| AMF || MAC；
AV：AV=RAND||XRES||CK||IK||AUTN；
AK用來隱藏SQN，因為SQN可能會暴露用戶的位置信息。如果不需要隱藏SQN，那么AK被設置為0。
(3) 網絡向用戶提問
HSS通過上述的計算過程得到了一組AV，其中每個AV都是一個五元組(RAND, XRES, AUTN, CK, IK)，該認證五元組并不包括Key和SQN本身。然后，HSS將這些認證數據通過多媒體認證應答(MAA)消息發送給S-CSCF。
S-CSCF從HSS得到所需的安全相關的參數，即所謂的AV。這些參數使得S-CSCF可以在不需要知道共享密鑰Key和SQN的情況下就可以執行認證過程。
S-CSCF將剔除XRES的AV包含在401 Unauthorized應答消息的WWW-Authenticate頭域中向用戶提問，401應答主要的頭域和字段如圖5所示。

其中，在nonce字段填入了將RAND和AUTN參數串接后進行Base64編碼后的字符串。在ik和ck字段加入完整性密鑰和保密性密鑰。在algorithm字段放入值“AKAv1-MD5”，表示使用的是3GPP AKA認證機制。
當接收到S-CSCF返回的401應答消息后，P-CSCF在將其發往UE之前，將其中的完整性密鑰IK和保密性密鑰CK保存下來，并將它們從AV中刪除掉(IK，CK這兩個參數不能暴露，網絡認證通過后，UE的ISIM會根據收到的AV，重新計算出來)。
(4) 用戶認證網絡身份
接收到網絡返回的401應答消息后，UE將接收到的AKA參數傳遞給ISIM應用，由ISIM模塊運行AKA算法，執行以下工作：
首先基于ISIM中存儲的共享密鑰Key來校驗網絡認證令牌AUTN，如果AUTN校驗成功，網絡就被認證通過(即確認認證數據是從歸屬網絡中發來的)。ISIM計算AKA參數的過程如圖6所示。UE中的認證服務模塊通過隨機數RAND計算出匿名密鑰AK，然后使用匿名密鑰AK來恢復序列號SQN，接著通過得到的序列號SQN、RAND和ISIM中保存的認證管理域AMF來計算期望的消息認證碼XMAC。將計算得到的期望的消息認證碼XMAC和從網絡認證令牌AUTN中取得的由HSS計算的消息認證碼MAC相比較。如果這兩個參數一致，那么用戶認證網絡身份成功，接著進行下面的步驟；如果不一致，則用戶認證網絡身份失敗，UE向網絡發送不攜帶response字段的REGISTER消息，以此通知網絡提問無效。

如果用戶認證網絡身份成功，UE將接著檢查序列號SQN是否在正確的范圍之內(比較這次提問的序列號SQN是否比上次提問時使用的SQNi大)。如果SQN在正確的范圍之內(即SQN>SQNi，將SQNi更新為SQN，并保存，以備下次使用)，UE將會計算認證應答(RES)。如果SQN不大于SQNi，則認為本次提問的AV是不新鮮的，UE與網絡失同步，則UE計算重同步參數AUTS，使用攜帶該重同步參數的REGISTER消息重新發起注冊請求。

歡迎光臨 (http://m.raoushi.com/bbs/)