专利名称:一种改进的ip多媒体子系统认证和密钥协商的方法
技术领域:
本发明涉及通讯领域中的认证和密钥协商方法,尤其涉及的是,通讯领域中的一种改进的IP多媒体子系统的认证和密钥协商(IMS AKA)的方法。
背景技术:
第三代移动通信伙伴工程(3GPP)正在进行基于WCDMA的第三代移动通信的标准的定义工作,该标准可以提供基于电路域和分组域的高速移动通信业务。为了确保在固定网络、移动网络中IP实时、非实时业务的互操作性,3GPP组织在分组域上定义了IP多媒体子系统(IP multimedia subsystem,以下简称IMS)。在IMS中,认证和密钥协商采用和UMTS(通用移动陆地系统)认证和密钥协商(AKA)类似的机制,它是一个请求/响应协议。IMS中的认证和密钥协商被称为IMS AKA,它提供用户和IMS之间的双向认证来增强IMS网络的接入安全能力。
现有技术的IMS AKA的流程是这样的(1).用户设备UE向代理呼叫会话控制功能P-CSCF发送一个会话发起协议会话发起协议注册信息,其中包含IP多媒体私有身份IMPI和IP多媒体公开身份IMPU。P-CSCF和查询呼叫会话控制功能I-CSCF把会话发起协议注册消息发送给服务呼叫会话控制功能S-CSCF。
(2).S-CSCF向归属订户服务器HSS请求认证向量。
(3).HSS发送认证向量响应给S-CSCF,每一个认证向量包括以下的元素一个随机数RAND,一个期待的响应XRES,一个加密密钥CK,一个完整性密钥IK和一个认证标志AUTN。
(4).S-CSCF向UE发送认证请求,包括随机数RAND,认证标志AUTN,加密密钥CK和完整性密钥IK。P-CSCF存储这些密钥,并将随机数RAND和认证标志AUTN发送给UE。
(5).UE收到AUTN,其中包括MAC和SQN,UE计算XMAC,并检查XMAC是否等于MAC及SQN是不是在正确范围内。如果这些检验是成功的,那么UE将计算RES,并发送给P-CSCF。同时UE计算CK和IK。P-CSCF把消息发送给I-CSCF,其中I-CSCF要求HSS给出S-CSCF的地址。然后,I-CSCF把RES发送给S-CSCF。
(6).S-CSCF得到XRES,并将它和UE所发送的RES进行比较,如果相同,那么用户认证网络成功。
现有技术的该协议存在以下缺陷(1).容易受到重定向攻击假设用户及P-CSCF在拜访网内,并且攻击者正操作一个有基站功能的设备,我们把这个设备叫假基站,它广播HSS的身份。一旦攻击者从用户那截取了连接,他就引诱用户驻扎在假基站的无线信道上。然后攻击者以用户身份向他选择的拜访网发送连接请求,并在用户和S-CSCF间如实地传递信息。用户端和S-CSCF认证都将成功,通过建立的密钥保护通信。用这种方法,攻击者能重定向用户业务流到非目的网络。
(2).易受破坏网中的主动攻击当一个网络被破坏,攻击者能偷听破坏网络发送或接收的信息,而且能伪造认证数据请求通过破坏网络发送到归属网。用这种方法可获得任何用户的认证向量,不受用户实际位置限制。攻击者也能模仿破坏网络的任何订户。而且可使用获得的认证向量模仿破坏网络。通过向HSS泛洪认证数据请求,攻击者能促使计数器SQNHSS达到最高值。因为SQNHSS的最大值受限,这样可以缩短移动站的生命期。
(3).序列号管理困难序列号由计数器SQNHSS产生SQNISIM验证,SQNHSS在归属网,SQNISIM在移动站。两个计数器发生不匹配可能是由归属网失败引起的,即SQNHSS<SQNISIM。这时将丢弃认证向量,初始化重同步调整SQNHSS值。只要序列号不正确,用户就判定归属网同步失败,向归属网初始化重同步请求。这可能引起虚假重同步请求。因为序列号不在正确范围内不一定就意味着计数器SQNHSS失败,还可能由攻击者重放一对用过的RAND和AUTN引起,而且认证向量在S-CSCF的无序使用也可能引起同步失败,然而用户并不能区别序列号错误的真实原因。而且伪造的重同步增加了信令的额外开销,并且可能删除未使用的认证向量。
因此,现有技术存在缺陷,而有待于改进和发展。
发明内容
本发明的目的在于提供一种改进的IP多媒体子系统认证和密钥协商的方法,克服上述现有技术IMS AKA协议的不足,即重定向攻击、网络伪装以及序列号管理困难,提出一种更安全更便捷的认证和密钥协商方法。
本发明所述的方法的技术方案如下一种改进的IP多媒体子系统认证和密钥协商的方法,所述方法包括以下步骤0(1).用户设备向代理呼叫会话控制功能发送一个会话发起协议注册信息,其中包含IP多媒体私有身份和IP多媒体公开身份,代理呼叫会话控制功能和查询呼叫会话控制功能把会话发起协议注册消息发送给服务呼叫会话控制功能;(2).服务呼叫会话控制功能发用户数据请求到代理呼叫会话控制功能,然后代理呼叫会话控制功能发送第一随机数给用户设备;(3).所述用户设备返回一个响应,经过代理呼叫会话控制功能和查询呼叫会话控制功能发送第二随机数和消息认证码给服务呼叫会话控制功能;(4).接到用户数据响应后,服务呼叫会话控制功能向归属网的归属订户服务器请求认证数据;
(5).所述归属订户服务器验证接到的消息认证码的正确性,如果验证成功,返回一批认证向量给服务呼叫会话控制功能;(6).服务呼叫会话控制功能向用户设备发送认证请求,包括第三随机数,认证标志,加密密钥和完整性密钥,代理呼叫会话控制功能存储这些密钥,并将第三随机数和认证标志发送给用户设备;(7).用户设备检验MAC地址的正确性,如果验证失败,用户拒绝网络;否则用户继续验证包含在认证标志中的SQN或RNidx是否可接受;如果检验成功,那么用户设备将计算RES并发送给代理呼叫会话控制功能,同时用户设备也计算加密密钥和完整性密钥;代理呼叫会话控制功能把消息发送给查询呼叫会话控制功能,其中查询呼叫会话控制功能要求归属订户服务器给出服务呼叫会话控制功能的地址;查询呼叫会话控制功能把RES发送给服务呼叫会话控制功能;(8).服务呼叫会话控制功能得到期望响应,并将它和用户设备所发送的RES进行比较,如果相同,那么用户认证成功。
所述的方法,其中,所述每一个认证向量包括以下的元素所述第三随机数,期望响应,加密密钥,完整性密钥,和认证标志。
所述的方法,其中,所述抵御重放有两种方法如用SQN机制,则检查SQN;如用RNidx机制,则检查RNidx。
本发明所提供的一种改进的IP多媒体子系统认证和密钥协商的方法,由于网络通过UMAC及RES认证用户,用户通过MAC及RNidx验证网络,如果验证成功,那么用户就可以保证网络或是它的归属网,或是被归属网验证的拜访网;而且,通过验证RNidx,用户保证认证向量是由这个拜访网预定的,而且以前没有使用过的,由此能够去掉序列号,排除重同步;抵御重定向攻击;抵御破坏网络影响,与现有IMS AKA相比,很好的改进了它的三个缺陷重定向攻击、网络伪装以及序列号管理困难,提高了安全性。
图1是本发明所述的改进的IMS AKA协议流程示意图。
具体实施例方式
下面结合附图对改进协议方案的实施作进一步的详细描述。
本发明所述的改进的IP多媒体子系统认证和密钥协商的方法,如图1所示的,其包括以下步骤(1).用户设备向代理呼叫会话控制功能发送一个会话发起协议注册信息,其中包含IP多媒体私有身份和IP多媒体公开身份。代理呼叫会话控制功能和查询呼叫会话控制功能把会话发起协议注册消息发送给服务呼叫会话控制功能;如果IP多媒体公开身份IMPU没有在S-CSCF中注册,那么S-CSCF在HSS中将注册标志设为不确定,这意味着初始化注册正在进行或没有成功完成。如果IMPU被注册,那么S-CSCF把注册标志设置成registered。同时HSS检测IMPI和IMPU是否属于同一用户;(2).服务呼叫会话控制功能发用户数据请求user data request到代理呼叫会话控制功能,然后代理呼叫会话控制功能发送第一随机数FRESH给用户设备;(3).用户设备返回一个响应user data response,经过代理呼叫会话控制功能和查询呼叫会话控制功能发送第二随机数RN和消息认证码UMAC给服务呼叫会话控制功能,其中UMAC=Fk(FRESH‖RN‖IDSN);(4).接到用户数据响应后,服务呼叫会话控制功能向归属网的归属订户服务器HSS请求认证数据Authentication data request,包括IDU,FRESH,RN,UMAC;(5).归属订户服务器HSS验证接到的UMAC的正确性,如果验证失败,HSS返回一个拒绝通知,包括IDU,FRESH和RN.一旦接到通知,S-CSCF拒绝。如果验证成功,返回一批认证向量给服务呼叫会话控制功能S-CSCF,{(RAND,XRES,IK,CK,AUTN),...}。每一个认证向量包括以下的元素一个第三随机数RAND,期望响应XRES,加密密钥CK,完整性密钥IK,和认证token串AUTH,其中XRES=Fk(RAND),IK=Gk(RAND),CK=Gk/(RAND),AUTN=idx‖RNidx‖MAC,1≤idx≤m,RNidx=Hk(idx‖RN),MAC=Fk(RAND‖idx‖RNidx);(6).服务呼叫会话控制功能向用户设备发送认证请求Auth_request,包括随机数RAND,认证标志AUTN,加密密钥CK和完整性密钥IK。代理呼叫会话控制功能存储这些密钥,并将随机数RAND和认证标志AUTN发送给用户设备;(7).用户设备检验MAC的正确性,如果验证失败,用户拒绝网络。否则用户继续验证包含在AUTN中的SQN或RNidx是否可接受。如果检验成功,那么用户设备将计算RES,RES=Fk(RAND)并发送user authentication response给代理呼叫会话控制功能P-CSCF。同时用户设备也计算加密密钥和完整性密钥;代理呼叫会话控制功能把消息发送给查询呼叫会话控制功能,其中查询呼叫会话控制功能要求HSS给出服务呼叫会话控制功能的地址。然后,查询呼叫会话控制功能把RES发送给服务呼叫会话控制功能;此处抵御抗重放有两种方法1.用SQN机制,则检查SQN2.用RNidx机制,检查RNidx(8).服务呼叫会话控制功能得到XRES,并将它和用户设备所发送的RES进行比较,如果相同,那么用户认证成功;如果不等,则拒绝。
在本发明的方法中,网络通过UMAC及RES认证用户,用户通过MAC及RNidx验证网络。如果验证成功,那么用户就可以保证网络或是它的归属网,或是被归属网验证的拜访网。而且,通过验证RNidx,用户保证认证向量是由这个拜访网预定的,而且以前没有使用过。
以下解释本发明的技术效果1.去掉序列号,排除重同步使用RNidx可以抵御重放攻击,避免UMTS AKA的同步机制。RNidx的验证方法如下每个RNidx只能用一次,把每个RNidx作为一个nonce。用户端维护一个未用过的nonce列表,每个列表由网络的IDSN指出。接到用户数据请求后,用户用RN和UMAC响应。然后用户计算nonce响应顺序RNidx=Hk(idx‖RN),并把这个计算的nonce加到IDNi所指的列表中。当用户验证接到的RNidx时,只需检验是否RNidx在IDNi所指的列表中。如果不在,RNidx不可接受;否则,可接受。在接受情况下,用户把RNidx从列表中删除。
2.抵御重定向攻击的效果用户在他的数据库中维护一个(RN,IDSN)记录。通过验证UMAC,归属网保证用户确实在他的拜访网。当产生认证向量时,归属网插入RNidx到认证向量中,RNidx是RN加上一个索引。接到认证向量请求后,用户判断这个向量是否由它的拜访网发送的,因为用户能验证是否请求中包括的RNidx是来源于发送到S-CSCF的RN。因此,该方法可以抵御重定向攻击,改进了原有IMS AKA的缺陷。
3.抵御破坏网络影响的效果假设拜访网被破坏,攻击者能监听到任何发送和接受的信息,而且能编造信息发送到S-CSCF。因为攻击者可获得认证向量,当然他就可以模仿拜访网与用户建立通信会话。他也能模仿拜访网的任何订户。现假设用户U的归属网没有破坏,用户U漫游到一个没有破坏的拜访网。要想模拟用户U,攻击者必须根据认证请求发送回一个正确的响应RES。然而用户不能从破坏网获得RES,因为包含RES的认证向量是在HSS和S-CSCF间传递的,不涉及到拜访网,所以攻击者无法模拟用户。接下来,看一下攻击者是否可以模拟网络,有两种可能a.假设用户以前访问过破坏网络并且攻击者有其预定过的未用认证向量。那么攻击者可以使用这些认证向量模拟拜访网络。与抵御重定向攻击类似,因为用户能验证出认证向量不是未破坏网络预定的,模拟将失败。
b.假设攻击者没有用户的认证向量,攻击者通过发送FRESH和IDSN给用户开始认证,用户用RN和UMAC响应。然后攻击者通过破坏网络为用户预定认证向量。然而通过验证UMAC,HSS能判断出用户不在未破坏网络中,拒绝该请求。
采用本方法,与现有IMS AKA相比,很好的改进了它的三个缺陷重定向攻击、网络伪装以及序列号管理困难,提高了安全性。
应当理解的是,本发明上述针对具体实施例的描述较为具体,并不能因此而理解为对本发明的专利保护范围的限制,本发明的专利保护范围应以所附权利要求为准。
权利要求
1.一种改进的IP多媒体子系统认证和密钥协商的方法,所述方法包括以下步骤(1).用户设备向代理呼叫会话控制功能发送一个会话发起协议注册信息,其中包含IP多媒体私有身份和IP多媒体公开身份,代理呼叫会话控制功能和查询呼叫会话控制功能把会话发起协议注册消息发送给服务呼叫会话控制功能;(2).服务呼叫会话控制功能发用户数据请求到代理呼叫会话控制功能,然后代理呼叫会话控制功能发送第一随机数给用户设备;(3).所述用户设备返回一个响应,经过代理呼叫会话控制功能和查询呼叫会话控制功能发送第二随机数和消息认证码给服务呼叫会话控制功能;(4).接到用户数据响应后,服务呼叫会话控制功能向归属网的归属订户服务器请求认证数据;(5).所述归属订户服务器验证接到的消息认证码的正确性,如果验证成功,返回一批认证向量给服务呼叫会话控制功能;(6).服务呼叫会话控制功能向用户设备发送认证请求,包括第三随机数,认证标志,加密密钥和完整性密钥,代理呼叫会话控制功能存储这些密钥,并将第三随机数和认证标志发送给用户设备;(7).用户设备检验MAC地址的正确性,如果验证失败,用户拒绝网络;否则用户继续验证包含在认证标志中的SQN或RNidx是否可接受;如果检验成功,那么用户设备将计算RES并发送给代理呼叫会话控制功能,同时用户设备也计算加密密钥和完整性密钥;代理呼叫会话控制功能把消息发送给查询呼叫会话控制功能,其中查询呼叫会话控制功能要求归属订户服务器给出服务呼叫会话控制功能的地址;查询呼叫会话控制功能把RES发送给服务呼叫会话控制功能;(8).服务呼叫会话控制功能得到期望响应,并将它和用户设备所发送的RES进行比较,如果相同,那么用户认证成功。
2.根据权利要求1所述的方法,其特征在于,所述每一个认证向量包括以下的元素所述第三随机数,期望响应,加密密钥,完整性密钥,和认证标志。
3.根据权利要求2所述的方法,其特征在于,所述抵御重放有两种方法如用SQN机制,则检查SQN;如用RNidx机制,则检查RNidx。
全文摘要
本发明的一种改进的IP多媒体子系统认证和密钥协商的方法,所述方法包括以下步骤用户设备检验MAC地址的正确性,如果验证失败,用户拒绝网络;否则用户继续验证包含在认证标志中的SQN或RN
文档编号H04L9/32GK1863194SQ200510069328
公开日2006年11月15日 申请日期2005年5月13日 优先权日2005年5月13日
发明者吕东旭, 芦东昕, 陈璟 申请人:中兴通讯股份有限公司