【技术实现步骤摘要】
本专利技术涉及通信领域,尤其涉及一种鉴权方法及鉴权系统以及相关设备。技术背景随着网络技术的发展,为保证数据通信的安全性,通信双方需要进行必要的鉴 权。现有过程中一种基于信息-摘要(MD,Messiige-Digest Algorithm) 5的鉴权与密 钥协商(AKA,Authentication and KeyAgreement)鉴权方法大致流程如下(1)移动终端(MS,Mobile Subscriber)首先发送注册 Register 消息;(2)无线局域网接入网关(WAG,Wireless local area network Access Gateway)收到 Register 消息后,发起一个挑战握手认证协议(CHAP,Challenge Handshake Authentication Protocol) Random Challenge 的随机数和 CHAP ID,通过 401 Unauthorized 消息发送给 MS ;(3) MS 收到 401 Unauthorized 消息后,与用户识别模块(UIM,User Identity Module)卡交互,传递CHAP-ID、CHAP-Challenge参数,UIM执行MD5算法,产生 128-bits 的 CHAP-Response 返回给 MS ;(4) MS产生一个64-bits的随机数(称之为AKASEED),与UIM返回的 CHAP-Response,计算产生一个 CHAP-Response'CHAP-Response ‘ = 64MSBs of CHAP-Response| ...
【技术保护点】
一种鉴权方法,其特征在于,包括: 移动终端根据第一挑战握手认证协议响应CHAP-Response进行处理得到第二CHAP-Response,所述第一CHAP-Response由用户识别模块运行MD5算法生成; 移动终端通过无线局域网接入网关WAG将所述第二CHAP-Response发送至鉴权设备; 鉴权设备对所述第二CHAP-Response与第四CHAP-Response进行比较以进行MD5认证,所述第四CHAP-Response由所述鉴权设备根据第三CHAP-Response进行处理得到,所述第三CHAP-Response由所述鉴权设备运行MD5算法生成; 鉴权设备根据所述第三CHAP-Response生成第二AKA基础密钥,根据所述第二AKA基础密钥生成鉴权参数,将所述鉴权参数中的随机参数RAND以及认证参数AUTN通过WAG发送至移动终端; 移动终端根据所述AUTN对网络侧进行认证,移动终端根据所述RAND以及第一AKA基础密钥计算认证结果RES,所述第一AKA基础密钥由所述移动终端根据所述第一CHAP-Response得到;移动终端通过WAG将所述RES发送至鉴权设 ...
【技术特征摘要】
1.一种鉴权方法,其特征在于,包括移动终端根据第一挑战握手认证协议响应CHAP-Resp0nse进行处理得到第二 CHAP-Response,所述第一 CHAP-Response由用户识别模块运行MD5算法生成;移动终端通过无线局域网接入网关WAG将所述第二 CHAP-Respanse发送至鉴权设备;鉴权设备对所述第二 CHAP-Response与第四CHAP-Response进行比较以进行MD5 认证,所述第四CHAP-Response由所述鉴权设备根据第三CHAP-Response进行处理得 至IJ,所述第三CHAP-Response由所述鉴权设备运行MD5算法生成;鉴权设备根据所述第三CHAP-Response生成第二 AKA基础密钥,根据所述第二 AKA基础密钥生成鉴权参数,将所述鉴权参数中的随机参数RAND以及认证参数AUTN 通过WAG发送至移动终端;移动终端根据所述AUTN对网络侧进行认证,移动终端根据所述RAND以及第一 AKA基础密钥计算认证结果RES,所述第一AKA基础密钥由所述移动终端根据所述第一 CHAP-Response 得到;移动终端通过WAG将所述RES发送至鉴权设备;鉴权设备对所述RES与所述鉴权参数中的期望认证结果XRES进行比较以进行AKA 认证。2.根据权利要求1所述的方法,其特征在于,所述第一AKA基础密钥由所述移 动终端在通过WAG将所述第二 CHAP-Response发送至鉴权设备之前根据所述第一 CHAP-Response 得到;或,所述第一 AKA基础密钥由所述移动终端在通过WAG接收到鉴权设备发送的RAND 以及AUTN之后根据所述第一 CHAP-Response得到。3.根据权利要求1或2所述的方法,其特征在于,所述鉴权参数中还包括完整性保 护密钥参数IK以及加密密钥参数CK ;所述方法还包括鉴权设备将所述IK以及CK发送至WAG ;移动终端根据所述RAND以及第一 AKA基础密钥计算IK,CK ;移动终端与WAG分别使用各自的IK以及CK对进行安全处理。4.根据权利要求1或2所述的方法,其特征在于,所述移动终端根据第一 CHAP-Response进行处理得到第二 CHAP-Response之前或之后还包括移动终端向WAG发送注册消息,所述注册消息中包含移动终端支持的互联网协议安 全IPSEC安全联盟SA参数;WAG根据所述移动终端支持的IPSEC SA参数与WAG支持的IPSEC SA参数选取共 同支持的IPSEC SA参数;WAG向移动终端发送401挑战消息,所述401挑战消息中携带移动终端支持的IPSEC SA参数,WAG支持的IPSEC SA参数;移动终端检查所述401挑战消息中携带的移动终端支持的IPSEC SA参数与本地保存 的移动终端支持的IPSEC SA参数一致时,则根据所述WAG支持的IPSEC SA参数与移动终端支持的IPSEC SA参数选取共同支持的IPSEC SA参数。5.根据权利要求1或2所述的方法,其特征在于,所述移动终端根据第一 CHAP-Response进行处理得到第二 CHAP-Response之前或之后还包括移动终端向WAG发送注册消息,所述注册消息中包含移动终端支持的IPSEC SA参数;WAG根据所述移动终端支持的IPSEC SA参数与WAG支持的IPSEC SA参数选取共 同支持的IPSEC SA参数;WAG向移动终端发送401挑战消息,所述401挑战消息中携带共同支持的IPSEC SA参数;移动终端保存所述401挑战消息中携带的共同支持的IPSEC SA参数。6.根据权利要求1或2所述的方法,其特征在于,所述移动终端通过WAG将所述第二CHAP-Response发送至鉴权设备包括WAG接收移动终端发送的注册消息,所述注册消息中携带第二 CHAP-Response ; WAG向鉴权设备发送接入请求,所述接入请求中携带所述第二 CHAP-Response, CHAP挑战参数以及指示为基于MD5的AKA认证的标识。7.根据权利要求1或2所述的方法,其特征在于,用户识别模块运行MD5算法生成 第一 CHAP-Response 包括用户识别模块接收移动终端发送的MD5运行命令,所述MD5运行命令中包含CHAP 挑战参数,所述CHAP挑战参数由WAG在401挑战消息中带给所述移动终端;用户识别模块根据所述CHAP挑战参数以及共享密码运行MD5算法生成第一 CHAP-Response ;鉴权设备运行MD5算法生成第三CHAP-Response包括鉴权设备接收WAG发送的接入请求,所述接入请求中携带CHAP挑战参数;鉴权设备根据所述接入请求中的CHAP挑战参数以及共享密码运行MD5算法生成第三CHAP-Response ο8.根据权利要求1或2所述的方法,其特征在于,移动终端根据第一CHAP-Response 计算第一 AKA基础密钥包括移动终端根据第一 CHAP-Response计算得到临时密钥,进而得到第一 AKA基础密钥;鉴权设备根据第三CHAP-Response计算第二 AKA基础密钥包括鉴权设备根据第三CHAP-Response计算得到临时密钥,进而得到第二 AKA基础密钥。9.根据权利要求1或2所述的方法,其特征在于...
【专利技术属性】
技术研发人员:何承东,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:94[中国|深圳]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。