一种鉴权方法和设备技术

技术编号:15441696 阅读:63 留言:0更新日期:2017-05-26 06:46
本发明专利技术公开了一种鉴权方法和设备,该方法,包括:获取鉴权信息;基于不同的鉴权方式选择与鉴权方式对应的加密方式对所述鉴权信息进行加密;利用加密后的鉴权信息完成鉴权;以此通过对鉴权信息进行加密,以此有效防止鉴权信息泄露以及回放攻击等威胁,增强了IMS鉴权过程的安全性;同时遵循IMS鉴权相关的3GPP和IETF协议,利用已有的鉴权密钥,实现方法简单且降低了对系统改动及要求。

Authentication method and equipment

The invention discloses an authentication method and device, the method comprises: acquiring authentication information; corresponding different authentication and authentication based on the encryption method to encrypt the authentication information; the authentication information is encrypted in order to complete the authentication; through the authentication information in order to effectively prevent the encryption, authentication information leaks and replay attacks and other threats, enhance the security of the IMS authentication process; at the same time to follow the IMS authentication related 3GPP and IETF protocol, using the existing authentication key, realization method is simple and reduces the cost of the system changes and requirements.

【技术实现步骤摘要】
一种鉴权方法和设备
本申请实施例涉及通信
,特别涉及一种鉴权方法。本申请实施例同时还涉及一种鉴权设备。
技术介绍
目前根据IMS标准的鉴权过程中,在SIP消息中携带鉴权头域和参数中携带鉴权信息,客户端和服务端网络通过这些鉴权信息实现互鉴权。但鉴权信息均以可见字符串文本形式进行传输,因此一旦SIP消息全部或部分被截获,那么鉴权信息就有泄露的可能,出现用户仿冒等攻击和非法使用的安全隐患,而鉴权信息的安全性依赖于IMS架构中相关的安全措施,包括IPSec、TLS、S/MIME等安全措施;但首先,这些安全措施并非直接针对SIP消息和鉴权信息的安全性而设计,一旦这些安全措施出现疏漏,鉴权信息就会直接泄露,再者这些安全技术是针对不同网络层次的安全防护,并非都是针对应用层的SIP消息而制定的安全措施,而且也并不能够完全解决IMS的安全技术;最后,IMS标准的鉴权流程中,很多重要鉴权信息在SIP消息中明文传输,比如:私有用户标识,很容易泄露,并且一旦泄露带来的安全问题较为严重。
技术实现思路
基于现有技术中的缺陷,本专利技术提出了一种鉴权方法,用以保证鉴权过程中的安全性,包括:获取鉴权信息;基于不同的鉴权方式选择与鉴权方式对应的加密方式对所述鉴权信息进行加密;利用加密后的鉴权信息完成鉴权。优选的,基于不同的鉴权方式选择与鉴权方式对应的加密方式对对所述鉴权信息进行加密,具体包括:基于不同的鉴权方式选择与鉴权方式对应的密钥对所述鉴权信息进行加密;其中所述密钥具体为IMS鉴权中的鉴权密钥,或在鉴权过程中的客户端和服务端预先协商好的鉴权密钥。优选的,所述基于不同的鉴权方式选择与鉴权方式对应的加密方式对所述鉴权信息进行加密,具体包括:当鉴权方式对应的鉴权信息为非随机鉴权参数时,基于不可逆的加解密技术对所述非随机鉴权参数进行加密;其中基于不可逆的加解密技术对所述非随机鉴权参数进行加密后,所生成的密文被解密的难度系数大于阈值。优选的,所述基于不同的鉴权方式选择与鉴权方式对应的加密方式对所述鉴权信息进行加密,具体包括:当鉴权方式对应的鉴权信息为随机鉴权参数时,利用高强度的加密算法对所述随机鉴权参数进行加密,其中利用高强度的加密算法对所述随机鉴权参数进行加密后生成的密文在一个鉴权周期内被解密的概率小于阈值。本专利技术还提出了一种鉴权设备,包括:获取模块,用于获取鉴权信息;加密模块,用于基于不同的鉴权方式选择与鉴权方式对应的加密方式对所述鉴权信息进行加密;鉴权模块,用于利用加密后的鉴权信息完成鉴权。优选的,所述加密模块,具体用于:基于不同的鉴权方式选择与鉴权方式对应的密钥对所述鉴权信息进行加密;其中所述密钥具体为IMS鉴权中的鉴权密钥,或在鉴权过程中的客户端和服务端预先协商好的鉴权密钥。优选的,所述加密模块,具体用于:当鉴权方式对应的鉴权信息为非随机鉴权参数时,基于不可逆的加解密技术对所述非随机鉴权参数进行加密;其中基于不可逆的加解密技术对所述非随机鉴权参数进行加密后,所生成的密文被解密的难度系数大于阈值。优选的,所述加密模块,具体用于:当鉴权方式对应的鉴权信息为随机鉴权参数时,利用高强度的加密算法对所述随机鉴权参数进行加密,其中利用高强度的加密算法对所述随机鉴权参数进行加密后生成的密文在一个鉴权周期内被解密的概率小于阈值。与现有技术相比,本专利技术通过对鉴权信息进行加密,以此有效防止鉴权信息泄露以及回放攻击等威胁,增强了IMS鉴权过程的安全性;同时遵循IMS鉴权相关的3GPP和IETF协议,利用已有的鉴权密钥,实现方法简单且降低了对系统改动及要求。附图说明图1为本专利技术实施例提出的一种鉴权方法的流程示意图;图2为本专利技术实施例提出的一种针对非随机鉴权参数进行加密处理的示意图;图3为本专利技术实施例提出的一种针对随机鉴权参数进行加密处理的示意图;图4为本专利技术实施例提出的一种鉴权的流程示意图;图5为本专利技术实施例提出的一种鉴权设备的结构示意图。具体实施方式如
技术介绍
所述,现有技术中的鉴权方案存在安全隐患,为此本专利技术提出了一种鉴权方法,用于进行IMS鉴权,如图1所示,包括以下步骤:步骤101、获取鉴权信息。步骤102、基于不同的鉴权方式选择与鉴权方式对应的加密方式对所述鉴权信息进行加密。具体的加密过程,可以如下:基于不同的鉴权方式选择与鉴权方式对应的密钥密钥对所述鉴权信息进行加密;其中所述密钥具体为IMS鉴权中的鉴权密钥,或在鉴权过程中的客户端和服务端预先协商好的鉴权密钥。具体的,鉴权方式与密钥的对应关系是可以预设设置的,在该对应关系中,一种鉴权方式可以对应多种密钥,在具体的鉴权过程中选择预先设置的一种,不管具体是哪种,只要能顺利完成对鉴权信息进行加密,且加密后的鉴权信息能顺利完成鉴权即可,如此,首先,该密钥不在网络中进行传输,一定程度上降低了密钥泄露的风险;此外,该密钥在鉴权的客户端(UAC)和服务端(UAS)都预先配置或协商内置;例如,IMS用户和网络互鉴权,通常服务端在HSS中配置,客户端在USIM卡中或内置;如果是设备互鉴权,则采用预先在客户端(UAC)和服务端(UAS)预先协商好的密钥。这样采用该密钥后,系统无需额外的密钥管理。此外,由于鉴权方式对应的鉴权信息可以是非随机鉴权参数或随机鉴权参数,因此对应有以下两种情况:情况1、当鉴权方式对应的鉴权信息为非随机鉴权参数时,基于不可逆的加解密技术对所述非随机鉴权参数进行加密;其中基于不可逆的加解密技术对所述非随机鉴权参数进行加密后,所生成的密文被解密的难度系数大于阈值。具体的,非随机鉴权参数主要是指在鉴权过程中,用于鉴权结果或中间结果计算的参数,是鉴权参与双方都预先已经设置、配置或通过某种途径可以获取到的相同的鉴权数据,根据3GPPTS24.228和RFC2617,主要包含以下数据(不限于):Username:IMS鉴权过程中,用于计算鉴权中间及最终结果的主要参数,填充内容为PVI(privateuseridentity)。Realm:IMS鉴权过程中,用于计算鉴权结果的主要参数Uri:IMS鉴权过程中,用于计算鉴权结果的主要参数,内容运营商网络名,在USIM卡中,与Request-Uri具有相同的内容。由于非随机鉴权参数是鉴权客户端和服务端都预先能够获取,按照现有协议,这些鉴权参数在网络上直接通过SIP消息进行明文传输。另一方面,这些鉴权参数一般存于USIM卡、随电话配置、或者配置文件中,一般是不会改变。基于以上两方面的原因,对于这些鉴权数据,可采用现有不可逆的加解密等技术(比如SHA1、MD5等)对这些参数进行处理,不直接在网络上进行明文传输,带来的安全性包括:(1)首先,通过在客户端和服务端之间传输密文,不直接在网路上传输这些关键鉴权参数的明文,这就防止恶意截获;(2)鉴权客户端和服务端使用不可逆的加解密技术(比如SHA1、MD5等)对这些参数进行加密,通过该加密技术加密后生成的密文被解密的难度系数超过阈值(难度系数表示被解密的困难程度,难度系数越大,表示越难以被解密),防止被截获的密文被很容易的解密从而导致鉴权信息泄露。具体的,UAC和UAS关于鉴权参数私有用户标识采用MD5哈希(密钥128位)的处理过程如图2所示。情况2、当鉴权方式对应的鉴权信息为随机鉴权参数时,利本文档来自技高网
...
一种鉴权方法和设备

【技术保护点】
一种鉴权方法,其特征在于,包括:获取鉴权信息;基于不同的鉴权方式选择与鉴权方式对应的加密方式对所述鉴权信息进行加密;利用加密后的鉴权信息完成鉴权。

【技术特征摘要】
1.一种鉴权方法,其特征在于,包括:获取鉴权信息;基于不同的鉴权方式选择与鉴权方式对应的加密方式对所述鉴权信息进行加密;利用加密后的鉴权信息完成鉴权。2.如权利要求1所述的方法,其特征在于,所述基于不同的鉴权方式选择与鉴权方式对应的加密方式对所述鉴权信息进行加密,具体包括:基于不同的鉴权方式选择与鉴权方式对应的密钥对所述鉴权信息进行加密;其中所述密钥具体为IMS鉴权中的鉴权密钥,或在鉴权过程中的客户端和服务端预先协商好的鉴权密钥。3.如权利要求1所述的方法,其特征在于,所述基于不同的鉴权方式选择与鉴权方式对应的加密方式对所述鉴权信息进行加密,具体包括:当鉴权方式对应的鉴权信息为非随机鉴权参数时,基于不可逆的加解密技术对所述非随机鉴权参数进行加密;其中基于不可逆的加解密技术对所述非随机鉴权参数进行加密后,所生成的密文被解密的难度系数大于阈值。4.如权利要求1所述的方法,其特征在于,所述基于不同的鉴权方式选择与鉴权方式对应的加密方式对所述鉴权信息进行加密,具体包括:当鉴权方式对应的鉴权信息为随机鉴权参数时,利用高强度的加密算法对所述随机鉴权参数进行加密,其中利用高强度的加密算法对...

【专利技术属性】
技术研发人员:师亚刚
申请(专利权)人:大唐移动通信设备有限公司
类型:发明
国别省市:北京,11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1