鑒權

鑒權(authentication)是指驗證用戶是否擁有訪問系統的權利。傳統的鑒權是通過密碼來驗證的。這種方式的前提是,每個獲得密碼的用戶都已經被授權。在建立用戶時,就為此用戶分配一個密碼,用戶的密碼可以由管理員指定,也可以由用戶自行申請。這種方式的弱點十分明顯,一旦密碼被偷或用戶遺失密碼,情況就會十分麻煩,需要管理員對用戶密碼進行重新修改,而修改密碼之前還要人工驗證用戶的合法身份。為了克服這種鑒權方式的缺點,需要一個更加可靠的鑒權方式。目前的主流鑒權方式是利用認證授權來驗證數字簽名的正確與否。邏輯上,授權發生在鑒權之後,而實際上,這兩者常常是一個過程。

簡介

要解釋什麼是鑒權之前,我們先看看如果沒有鑒權會怎么樣?

如果沒有鑒權功能,移動用戶可隨意接入和使用任一無線網路,運營商的利益得不到保障,同時,用戶的安全也會受到威脅。移動通訊網路發展之初,就考慮並解決了這個問題:採取用戶鑒權的方式來識別出非法用戶。用戶鑒權,是對試圖接入網路的用戶進行鑒權,審核其是否有權訪問網路。通過用戶鑒權可以保護網路,防止非法盜用;同時通過拒絕假冒合法客戶的“入侵”而保護該網路中的客戶。

然而,道高一尺魔高一丈。相信大家聽過或者親身經歷這樣的事件吧。某人的手機上收到“恭喜你獲得一等獎,請預付稅費”、“本公司出售各類發票”之類的非法詐欺、推銷簡訊,因而上當受騙,損失了錢財。有的甚至顯示是110發來的。這種情況,可能是用戶接入了假冒的網路,所以,用戶也需要對網路進行鑒權。

鑒權包括兩個方面:

用戶鑒權,網路對用戶進行鑒權,防止非法用戶占用網路資源。

網路鑒權,用戶對網路進行鑒權,防止用戶接入了非法的網路,被騙取關鍵信息。

這種雙向的認證機制,就是AKA(Authentication and Key Agreement,鑒權和密鑰協商)鑒權。

除了AKA鑒權,也可以使用其它鑒權方式。在IMS AKA鑒權廣泛實施之前,或在特定的條件下(例如通過固定網路ADSL連線方式接入IMS),可以使用HTTP摘要鑒權等其他鑒權方式。

3G UMTS(Universal Mobile Telecommunication System,通用移動通訊系統)、EPS(Evolved Packet System,演進的分組系統)、IMS(IP Multimedia Subsystem,IP多媒體子系統)網路都採用了AKA雙向鑒權機制,鑒權原理也大致相同。而2G網路,只有用戶鑒權,無網路鑒權。

鑒權過程

我們以3G UMTS網路鑒權為例,看看網路和用戶分別是怎么鑒權的。

當用戶購機入網時,運營商將IMSI(International Mobile Subscriber Identity,國際移動用戶標識)和用戶鑒權鍵Ki一起分配給用戶,同時將該用戶的IMSI和Ki存入AUC(Authentication Center,鑒權中心),這樣鑒權參數信息存儲在手機的USIM(UMTS Subscriber Identity Module,UMTS用戶身份模組)卡和AUC中。

VLR(Visitor Location Register,拜訪位置暫存器)從AUC獲得用戶的鑒權數據,MSC(Mobile Switching Center,移動交換中心)/VLR從鑒權數據中選取一組未使用過的鑒權參數。MSC/VLR向手機發起鑒權請求。請求訊息中攜帶所選取的鑒權參數中的RAND、AUTN和CKSN參數。

手機中的USIM根據收到的RAND和自己保存的IMSI、Ki一起計算出XMAC,與從網路側收到的AUTN中的MAC值進行比較。

MSC/VLR將自己用RAND、IMSI和Ki算出的XRES與手機返回的RES進行比較。如果相同,則認為用戶合法,用戶鑒權成功,網路允許手機接入;否則認為用戶不合法,用戶鑒權失敗,拒絕為其服務。

鑒權時機

行動網路對鑒權時機的要求為:

2G、3G網路中,鑒權發生在開機、呼叫、位置更新以及在補充業務的激活、去活、登記或刪除操作之前。

2G網路中,運營商都是啟用的“按比例鑒權”方案。

3G網路中,用戶首次接入網路必須鑒權,此後啟用“按比例鑒權”方案。

IMS網路中,網路可以通過註冊或重註冊過程,在任何時候對用戶進行鑒權。

相關詞條

相關搜尋

熱門詞條

聯絡我們