一种鉴权方法及鉴权系统以及相关设备技术方案

本发明专利技术实施例公开了一种鉴权方法及鉴权系统以及相关设备，用于提高鉴权过程的安全性。本发明专利技术实施例方法包括：移动终端根据第一ＣＨＡＰ－Ｒｅｓｐｏｎｓｅ进行处理得到第二ＣＨＡＰ－Ｒｅｓｐｏｎｓｅ，通过ＷＡＧ将第二ＣＨＡＰ－Ｒｅｓｐｏｎｓｅ发送至鉴权设备，鉴权设备对第二ＣＨＡＰ－Ｒｅｓｐｏｎｓｅ与第四ＣＨＡＰ－Ｒｅｓｐｏｎｓｅ进行比较以进行ＭＤ５认证，之后鉴权设备与移动终端各自生成ＡＫＡ基础密钥，并根据该ＡＫＡ基础密钥生成鉴权矢量，并进行ＡＫＡ认证。本发明专利技术实施例还提供一种鉴权系统以及相关设备。本发明专利技术实施例可以有效地提高鉴权过程的安全性。

【技术实现步骤摘要】

本专利技术涉及通信领域，尤其涉及一种鉴权方法及鉴权系统以及相关设备。技术背景随着网络技术的发展，为保证数据通信的安全性，通信双方需要进行必要的鉴 权。现有过程中一种基于信息-摘要(MD，Messiige-Digest Algorithm) 5的鉴权与密 钥协商(AKA，Authentication and KeyAgreement)鉴权方法大致流程如下(1)移动终端(MS，Mobile Subscriber)首先发送注册 Register 消息；(2)无线局域网接入网关(WAG，Wireless local area network Access Gateway)收到 Register 消息后，发起一个挑战握手认证协议(CHAP，Challenge Handshake Authentication Protocol) Random Challenge 的随机数和 CHAP ID,通过 401 Unauthorized 消息发送给 MS ；(3) MS 收到 401 Unauthorized 消息后，与用户识别模块(UIM，User Identity Module)卡交互，传递CHAP-ID、CHAP-Challenge参数，UIM执行MD5算法，产生 128-bits 的 CHAP-Response 返回给 MS ；(4) MS产生一个64-bits的随机数(称之为AKASEED)，与UIM返回的 CHAP-Response,计算产生一个 CHAP-Response'CHAP-Response ‘ = 64MSBs of CHAP-Response| (64LSBs of CHAP-ResponseAAKASEED)即CHAP-Response'共 l28bit，其中高64bit与 CHAP-Response 的高64bit相同， CHAP-Response'的低 64bit 为 CHAP-Response 的低 64bit 与 AKASEED 的异或结果。其中“|”表示直接串联，“Λ”表示按位异或。(5) MS 将产生的 CHAP-Response ‘通过 Register 消息发送到 WAG ；(6)WAG向接入网络认证、鉴权和计费服务器(AN-AAA，Access Network, Authentication, Authorization, Accounting)发送 Access Request 消息，携带远禾呈认证拨号 接入服务(RADIUS，Remote Authentication DialIn User Service)属性 CHAP-Challenge、 CHAP-Password (承载 CHAP-ID 和 CHAP-Response')和和认证方式等参数；(7) AN-AAA首先根据提供的参数和用户密码运行MD5算法，产生 CHAP-Response,并校验请求中的CHAP-Response'的高64bit是否正确。并通过自己 产生的CHAP-Response的低64个bit还原出AKASEED参数，然后产生AKA的算法参 数；(8) AN-AAA 运行 AKA 算法，通过 Radius Access Challenge 消息将 AT_AUTN， AT_RAND, AT_MAC, IK, CK 发送到 WAG ;(9)\^0收到后发送40111皿也1101^6(1消息，携带AT_RAND、AT_AUTN等参数 和初次协商的IPSEC SA参数，发起AKA认证；(10) MS根据同样的算法产生AKA_KEY，并根据AT_RAND参数计算AKA鉴 权向量，发送携带AKA鉴权响应XRES的register消息。同时携带两端的IPSEC SA参 数；(11) WAG向AN-AAA发送Access Request消息，携带上述鉴权响应值XRES ；(12) AN-AAA向WAG发送Access Accept消息，指示认证成功。(13) WAG向MS返回2000K消息。后续SIP信令将使用MS和WAG间新成功建立的IPSEC SA进行保护，IK和CK分别作为完整性和加密密钥。但是，上述现有技术中存在以下一些问题上述现有技术中，AN-AAA在接收到WAG发送的请求之后，校验 请求中的CHAP-Response ‘的高64bit是否正确，也就是说AN-AAA只能完 成对CHAP-Response ‘的高64bit的比较，在得到AKASEED之前不能完成对 CHAP-Response'的低64-bit的比较，从而不能真正完成MD5鉴权；其次，由于用于计算AKA鉴权的基础密钥的Key material，其是由64bit的 AKASEED和CHAP-Response‘的高64bit串联组成的。而由于第(5)步中Register消息 是明文传送的，因此攻击者也可以得到正确的CHAP-Respanse'的高64bit。这样实际上 Key material只有64bk密钥长度(即AKASEED的长度)的安全级别，并没有真正达到 AKA鉴权的12 bit密钥长度的安全级别的要求。
技术实现思路
本专利技术实施例提供了一种鉴权方法及鉴权系统以及相关设备，能够提高基于 MD5的AKA鉴权过程的安全性。本专利技术实施例提供的鉴权方法，包括移动终端根据第一挑战握手认证协议 响应 CHAP-Response 进行处理得到第 二 CHAP-Response，所述第一 CHAP-Response 由用户识别模块运行MD5算法生成；移动终端通过无线局域网接入网关WAG将所述 第二 CHAP-Response发送至鉴权设备；鉴权设备对所述第二 CHAP-Response与第四 CHAP-Response进行比较以进行MD5认证，所述第四CHAP-Response由所述鉴权设备 根据第三CHAP-Response进行处理得到，所述第三CHAP-Response由所述鉴权设备运行 MD5算法生成；鉴权设备根据所述第三CHAP-Response生成第二 AKA基础密钥，根据 所述第二 AKA基础密钥生成鉴权参数，将所述鉴权参数中的随机参数RAND以及认证参 数AUTN通过WAG发送至移动终端；移动终端根据所述AUTN对网络侧进行认证，移动 终端根据所述RAND以及第一 AKA基础密钥计算认证结果RES，所述第一 AKA基础密 钥由所述移动终端根据所述第一 CHAP-Response得到；移动终端通过WAG将所述RES 发送至鉴权设备；鉴权设备对所述RES与所述鉴权参数中的期望认证结果XRES进行比 较以进行AKA认证。本专利技术实施例提供的鉴权系统，包括用户识别模块，移动终端，鉴权设备， 以及无线局域网接入网关WAG;所述用户识别模块用于运行MD5算法生成第一挑战握 手认证协议响应CHAP-Response，并将所述第一 CHAP-Response发送至移动终端；所 述移动终端用于根据所述第一 CHAP-Response进行处理得到第二 CHAP-Response，通过 WAG将所述第二 CHAP-Response发送至鉴权设备；所述鉴权设备用于运行MD5算法生成第三CHAP-Response，根据第三CHAP-Response进本文档来自技高网...

【技术保护点】
一种鉴权方法，其特征在于，包括：　　移动终端根据第一挑战握手认证协议响应ＣＨＡＰ－Ｒｅｓｐｏｎｓｅ进行处理得到第二ＣＨＡＰ－Ｒｅｓｐｏｎｓｅ，所述第一ＣＨＡＰ－Ｒｅｓｐｏｎｓｅ由用户识别模块运行ＭＤ５算法生成；　　移动终端通过无线局域网接入网关ＷＡＧ将所述第二ＣＨＡＰ－Ｒｅｓｐｏｎｓｅ发送至鉴权设备；　　鉴权设备对所述第二ＣＨＡＰ－Ｒｅｓｐｏｎｓｅ与第四ＣＨＡＰ－Ｒｅｓｐｏｎｓｅ进行比较以进行ＭＤ５认证，所述第四ＣＨＡＰ－Ｒｅｓｐｏｎｓｅ由所述鉴权设备根据第三ＣＨＡＰ－Ｒｅｓｐｏｎｓｅ进行处理得到，所述第三ＣＨＡＰ－Ｒｅｓｐｏｎｓｅ由所述鉴权设备运行ＭＤ５算法生成；　　鉴权设备根据所述第三ＣＨＡＰ－Ｒｅｓｐｏｎｓｅ生成第二ＡＫＡ基础密钥，根据所述第二ＡＫＡ基础密钥生成鉴权参数，将所述鉴权参数中的随机参数ＲＡＮＤ以及认证参数ＡＵＴＮ通过ＷＡＧ发送至移动终端；　　移动终端根据所述ＡＵＴＮ对网络侧进行认证，移动终端根据所述ＲＡＮＤ以及第一ＡＫＡ基础密钥计算认证结果ＲＥＳ，所述第一ＡＫＡ基础密钥由所述移动终端根据所述第一ＣＨＡＰ－Ｒｅｓｐｏｎｓｅ得到；移动终端通过ＷＡＧ将所述ＲＥＳ发送至鉴权设备；　　鉴权设备对所述ＲＥＳ与所述鉴权参数中的期望认证结果ＸＲＥＳ进行比较以进行ＡＫＡ认证。...

【技术特征摘要】
1.一种鉴权方法，其特征在于，包括移动终端根据第一挑战握手认证协议响应CHAP-Resp0nse进行处理得到第二 CHAP-Response,所述第一 CHAP-Response由用户识别模块运行MD5算法生成；移动终端通过无线局域网接入网关WAG将所述第二 CHAP-Respanse发送至鉴权设备；鉴权设备对所述第二 CHAP-Response与第四CHAP-Response进行比较以进行MD5 认证，所述第四CHAP-Response由所述鉴权设备根据第三CHAP-Response进行处理得 至IJ，所述第三CHAP-Response由所述鉴权设备运行MD5算法生成；鉴权设备根据所述第三CHAP-Response生成第二 AKA基础密钥，根据所述第二 AKA基础密钥生成鉴权参数，将所述鉴权参数中的随机参数RAND以及认证参数AUTN 通过WAG发送至移动终端；移动终端根据所述AUTN对网络侧进行认证，移动终端根据所述RAND以及第一 AKA基础密钥计算认证结果RES，所述第一AKA基础密钥由所述移动终端根据所述第一 CHAP-Response 得到；移动终端通过WAG将所述RES发送至鉴权设备；鉴权设备对所述RES与所述鉴权参数中的期望认证结果XRES进行比较以进行AKA 认证。2.根据权利要求1所述的方法，其特征在于，所述第一AKA基础密钥由所述移 动终端在通过WAG将所述第二 CHAP-Response发送至鉴权设备之前根据所述第一 CHAP-Response 得到；或，所述第一 AKA基础密钥由所述移动终端在通过WAG接收到鉴权设备发送的RAND 以及AUTN之后根据所述第一 CHAP-Response得到。3.根据权利要求1或2所述的方法，其特征在于，所述鉴权参数中还包括完整性保 护密钥参数IK以及加密密钥参数CK ；所述方法还包括鉴权设备将所述IK以及CK发送至WAG ；移动终端根据所述RAND以及第一 AKA基础密钥计算IK，CK ；移动终端与WAG分别使用各自的IK以及CK对进行安全处理。4.根据权利要求1或2所述的方法，其特征在于，所述移动终端根据第一 CHAP-Response进行处理得到第二 CHAP-Response之前或之后还包括移动终端向WAG发送注册消息，所述注册消息中包含移动终端支持的互联网协议安 全IPSEC安全联盟SA参数；WAG根据所述移动终端支持的IPSEC SA参数与WAG支持的IPSEC SA参数选取共 同支持的IPSEC SA参数；WAG向移动终端发送401挑战消息，所述401挑战消息中携带移动终端支持的IPSEC SA参数，WAG支持的IPSEC SA参数；移动终端检查所述401挑战消息中携带的移动终端支持的IPSEC SA参数与本地保存 的移动终端支持的IPSEC SA参数一致时，则根据所述WAG支持的IPSEC SA参数与移动终端支持的IPSEC SA参数选取共同支持的IPSEC SA参数。5.根据权利要求1或2所述的方法，其特征在于，所述移动终端根据第一 CHAP-Response进行处理得到第二 CHAP-Response之前或之后还包括移动终端向WAG发送注册消息，所述注册消息中包含移动终端支持的IPSEC SA参数；WAG根据所述移动终端支持的IPSEC SA参数与WAG支持的IPSEC SA参数选取共 同支持的IPSEC SA参数；WAG向移动终端发送401挑战消息，所述401挑战消息中携带共同支持的IPSEC SA参数；移动终端保存所述401挑战消息中携带的共同支持的IPSEC SA参数。6.根据权利要求1或2所述的方法，其特征在于，所述移动终端通过WAG将所述第二CHAP-Response发送至鉴权设备包括WAG接收移动终端发送的注册消息，所述注册消息中携带第二 CHAP-Response ； WAG向鉴权设备发送接入请求，所述接入请求中携带所述第二 CHAP-Response， CHAP挑战参数以及指示为基于MD5的AKA认证的标识。7.根据权利要求1或2所述的方法，其特征在于，用户识别模块运行MD5算法生成 第一 CHAP-Response 包括用户识别模块接收移动终端发送的MD5运行命令，所述MD5运行命令中包含CHAP 挑战参数，所述CHAP挑战参数由WAG在401挑战消息中带给所述移动终端；用户识别模块根据所述CHAP挑战参数以及共享密码运行MD5算法生成第一 CHAP-Response ；鉴权设备运行MD5算法生成第三CHAP-Response包括鉴权设备接收WAG发送的接入请求，所述接入请求中携带CHAP挑战参数；鉴权设备根据所述接入请求中的CHAP挑战参数以及共享密码运行MD5算法生成第三CHAP-Response ο8.根据权利要求1或2所述的方法，其特征在于，移动终端根据第一CHAP-Response 计算第一 AKA基础密钥包括移动终端根据第一 CHAP-Response计算得到临时密钥，进而得到第一 AKA基础密钥；鉴权设备根据第三CHAP-Response计算第二 AKA基础密钥包括鉴权设备根据第三CHAP-Response计算得到临时密钥，进而得到第二 AKA基础密钥。9.根据权利要求1或2所述的方法，其特征在于...

【专利技术属性】
技术研发人员：何承东，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：94[中国|深圳]