本申請實(shí)施例涉及通信技術(shù)領(lǐng)域，特別涉及一種鑒權(quán)方法。本申請實(shí)施例同時(shí)還涉及一種鑒權(quán)設(shè)備。

背景技術(shù)：

目前根據(jù)IMS標(biāo)準(zhǔn)的鑒權(quán)過程中，在SIP消息中攜帶鑒權(quán)頭域和參數(shù)中攜帶鑒權(quán)信息，客戶端和服務(wù)端網(wǎng)絡(luò)通過這些鑒權(quán)信息實(shí)現(xiàn)互鑒權(quán)。但鑒權(quán)信息均以可見字符串文本形式進(jìn)行傳輸，因此一旦SIP消息全部或部分被截獲，那么鑒權(quán)信息就有泄露的可能，出現(xiàn)用戶仿冒等攻擊和非法使用的安全隱患，而鑒權(quán)信息的安全性依賴于IMS架構(gòu)中相關(guān)的安全措施，包括IPSec、TLS、S/MIME等安全措施；但首先，這些安全措施并非直接針對SIP消息和鑒權(quán)信息的安全性而設(shè)計(jì)，一旦這些安全措施出現(xiàn)疏漏，鑒權(quán)信息就會直接泄露，再者這些安全技術(shù)是針對不同網(wǎng)絡(luò)層次的安全防護(hù)，并非都是針對應(yīng)用層的SIP消息而制定的安全措施，而且也并不能夠完全解決IMS的安全技術(shù)；最后，IMS標(biāo)準(zhǔn)的鑒權(quán)流程中，很多重要鑒權(quán)信息在SIP消息中明文傳輸，比如：私有用戶標(biāo)識，很容易泄露，并且一旦泄露帶來的安全問題較為嚴(yán)重。

技術(shù)實(shí)現(xiàn)要素：

基于現(xiàn)有技術(shù)中的缺陷，本發(fā)明提出了一種鑒權(quán)方法，用以保證鑒權(quán)過程中的安全性，包括：

獲取鑒權(quán)信息；

基于不同的鑒權(quán)方式選擇與鑒權(quán)方式對應(yīng)的加密方式對所述鑒權(quán)信息進(jìn) 行加密；

利用加密后的鑒權(quán)信息完成鑒權(quán)。

優(yōu)選的，基于不同的鑒權(quán)方式選擇與鑒權(quán)方式對應(yīng)的加密方式對對所述鑒權(quán)信息進(jìn)行加密，具體包括：

基于不同的鑒權(quán)方式選擇與鑒權(quán)方式對應(yīng)的密鑰對所述鑒權(quán)信息進(jìn)行加密；其中所述密鑰具體為IMS鑒權(quán)中的鑒權(quán)密鑰，或在鑒權(quán)過程中的客戶端和服務(wù)端預(yù)先協(xié)商好的鑒權(quán)密鑰。

優(yōu)選的，所述基于不同的鑒權(quán)方式選擇與鑒權(quán)方式對應(yīng)的加密方式對所述鑒權(quán)信息進(jìn)行加密，具體包括：

當(dāng)鑒權(quán)方式對應(yīng)的鑒權(quán)信息為非隨機(jī)鑒權(quán)參數(shù)時(shí)，基于不可逆的加解密技術(shù)對所述非隨機(jī)鑒權(quán)參數(shù)進(jìn)行加密；其中基于不可逆的加解密技術(shù)對所述非隨機(jī)鑒權(quán)參數(shù)進(jìn)行加密后，所生成的密文被解密的難度系數(shù)大于閾值。

優(yōu)選的，所述基于不同的鑒權(quán)方式選擇與鑒權(quán)方式對應(yīng)的加密方式對所述鑒權(quán)信息進(jìn)行加密，具體包括：

當(dāng)鑒權(quán)方式對應(yīng)的鑒權(quán)信息為隨機(jī)鑒權(quán)參數(shù)時(shí)，利用高強(qiáng)度的加密算法對所述隨機(jī)鑒權(quán)參數(shù)進(jìn)行加密，其中利用高強(qiáng)度的加密算法對所述隨機(jī)鑒權(quán)參數(shù)進(jìn)行加密后生成的密文在一個(gè)鑒權(quán)周期內(nèi)被解密的概率小于閾值。

本發(fā)明還提出了一種鑒權(quán)設(shè)備，包括：

獲取模塊，用于獲取鑒權(quán)信息；

加密模塊，用于基于不同的鑒權(quán)方式選擇與鑒權(quán)方式對應(yīng)的加密方式對所述鑒權(quán)信息進(jìn)行加密；

鑒權(quán)模塊，用于利用加密后的鑒權(quán)信息完成鑒權(quán)。

優(yōu)選的，所述加密模塊，具體用于：

基于不同的鑒權(quán)方式選擇與鑒權(quán)方式對應(yīng)的密鑰對所述鑒權(quán)信息進(jìn)行加 密；其中所述密鑰具體為IMS鑒權(quán)中的鑒權(quán)密鑰，或在鑒權(quán)過程中的客戶端和服務(wù)端預(yù)先協(xié)商好的鑒權(quán)密鑰。

優(yōu)選的，所述加密模塊，具體用于：

當(dāng)鑒權(quán)方式對應(yīng)的鑒權(quán)信息為非隨機(jī)鑒權(quán)參數(shù)時(shí)，基于不可逆的加解密技術(shù)對所述非隨機(jī)鑒權(quán)參數(shù)進(jìn)行加密；其中基于不可逆的加解密技術(shù)對所述非隨機(jī)鑒權(quán)參數(shù)進(jìn)行加密后，所生成的密文被解密的難度系數(shù)大于閾值。

優(yōu)選的，所述加密模塊，具體用于：

當(dāng)鑒權(quán)方式對應(yīng)的鑒權(quán)信息為隨機(jī)鑒權(quán)參數(shù)時(shí)，利用高強(qiáng)度的加密算法對所述隨機(jī)鑒權(quán)參數(shù)進(jìn)行加密，其中利用高強(qiáng)度的加密算法對所述隨機(jī)鑒權(quán)參數(shù)進(jìn)行加密后生成的密文在一個(gè)鑒權(quán)周期內(nèi)被解密的概率小于閾值。

與現(xiàn)有技術(shù)相比，本發(fā)明通過對鑒權(quán)信息進(jìn)行加密，以此有效防止鑒權(quán)信息泄露以及回放攻擊等威脅，增強(qiáng)了IMS鑒權(quán)過程的安全性；同時(shí)遵循IMS鑒權(quán)相關(guān)的3GPP和IETF協(xié)議，利用已有的鑒權(quán)密鑰，實(shí)現(xiàn)方法簡單且降低了對系統(tǒng)改動(dòng)及要求。

附圖說明

圖1為本發(fā)明實(shí)施例提出的一種鑒權(quán)方法的流程示意圖；

圖2為本發(fā)明實(shí)施例提出的一種針對非隨機(jī)鑒權(quán)參數(shù)進(jìn)行加密處理的示意圖；

圖3為本發(fā)明實(shí)施例提出的一種針對隨機(jī)鑒權(quán)參數(shù)進(jìn)行加密處理的示意圖；

圖4為本發(fā)明實(shí)施例提出的一種鑒權(quán)的流程示意圖；

圖5為本發(fā)明實(shí)施例提出的一種鑒權(quán)設(shè)備的結(jié)構(gòu)示意圖。

具體實(shí)施方式

如背景技術(shù)所述，現(xiàn)有技術(shù)中的鑒權(quán)方案存在安全隱患，為此本發(fā)明提出了一種鑒權(quán)方法，用于進(jìn)行IMS鑒權(quán)，如圖1所示，包括以下步驟：

步驟101、獲取鑒權(quán)信息。

步驟102、基于不同的鑒權(quán)方式選擇與鑒權(quán)方式對應(yīng)的加密方式對所述鑒權(quán)信息進(jìn)行加密。

具體的加密過程，可以如下：

基于不同的鑒權(quán)方式選擇與鑒權(quán)方式對應(yīng)的密鑰密鑰對所述鑒權(quán)信息進(jìn)行加密；其中所述密鑰具體為IMS鑒權(quán)中的鑒權(quán)密鑰，或在鑒權(quán)過程中的客戶端和服務(wù)端預(yù)先協(xié)商好的鑒權(quán)密鑰。

具體的，鑒權(quán)方式與密鑰的對應(yīng)關(guān)系是可以預(yù)設(shè)設(shè)置的，在該對應(yīng)關(guān)系中，一種鑒權(quán)方式可以對應(yīng)多種密鑰，在具體的鑒權(quán)過程中選擇預(yù)先設(shè)置的一種，不管具體是哪種，只要能順利完成對鑒權(quán)信息進(jìn)行加密，且加密后的鑒權(quán)信息能順利完成鑒權(quán)即可，如此，首先，該密鑰不在網(wǎng)絡(luò)中進(jìn)行傳輸，一定程度上降低了密鑰泄露的風(fēng)險(xiǎn)；此外，該密鑰在鑒權(quán)的客戶端(UAC)和服務(wù)端(UAS)都預(yù)先配置或協(xié)商內(nèi)置；例如，IMS用戶和網(wǎng)絡(luò)互鑒權(quán)，通常服務(wù)端在HSS中配置，客戶端在USIM卡中或內(nèi)置；如果是設(shè)備互鑒權(quán)，則采用預(yù)先在客戶端(UAC)和服務(wù)端(UAS)預(yù)先協(xié)商好的密鑰。這樣采用該密鑰后，系統(tǒng)無需額外的密鑰管理。

此外，由于鑒權(quán)方式對應(yīng)的鑒權(quán)信息可以是非隨機(jī)鑒權(quán)參數(shù)或隨機(jī)鑒權(quán)參數(shù)，因此對應(yīng)有以下兩種情況：

情況1、當(dāng)鑒權(quán)方式對應(yīng)的鑒權(quán)信息為非隨機(jī)鑒權(quán)參數(shù)時(shí)，基于不可逆的加解密技術(shù)對所述非隨機(jī)鑒權(quán)參數(shù)進(jìn)行加密；其中基于不可逆的加解密技術(shù)對所述非隨機(jī)鑒權(quán)參數(shù)進(jìn)行加密后，所生成的密文被解密的難度系數(shù)大于閾值。

具體的，非隨機(jī)鑒權(quán)參數(shù)主要是指在鑒權(quán)過程中，用于鑒權(quán)結(jié)果或中間結(jié)果計(jì)算的參數(shù)，是鑒權(quán)參與雙方都預(yù)先已經(jīng)設(shè)置、配置或通過某種途徑可以獲取到的相同的鑒權(quán)數(shù)據(jù)，根據(jù)3GPP TS 24.228和RFC2617，主要包含以下數(shù)據(jù)(不限于)：

Username：IMS鑒權(quán)過程中，用于計(jì)算鑒權(quán)中間及最終結(jié)果的主要參數(shù)，填充內(nèi)容為PVI(private user identity)。

Realm：IMS鑒權(quán)過程中，用于計(jì)算鑒權(quán)結(jié)果的主要參數(shù)

Uri：IMS鑒權(quán)過程中，用于計(jì)算鑒權(quán)結(jié)果的主要參數(shù)，內(nèi)容運(yùn)營商網(wǎng)絡(luò)名，在USIM卡中，與Request-Uri具有相同的內(nèi)容。

由于非隨機(jī)鑒權(quán)參數(shù)是鑒權(quán)客戶端和服務(wù)端都預(yù)先能夠獲取，按照現(xiàn)有協(xié)議，這些鑒權(quán)參數(shù)在網(wǎng)絡(luò)上直接通過SIP消息進(jìn)行明文傳輸。另一方面，這些鑒權(quán)參數(shù)一般存于USIM卡、隨電話配置、或者配置文件中，一般是不會改變。基于以上兩方面的原因，對于這些鑒權(quán)數(shù)據(jù)，可采用現(xiàn)有不可逆的加解密等技術(shù)(比如SHA1、MD5等)對這些參數(shù)進(jìn)行處理，不直接在網(wǎng)絡(luò)上進(jìn)行明文傳輸，帶來的安全性包括：(1)首先，通過在客戶端和服務(wù)端之間傳輸密文，不直接在網(wǎng)路上傳輸這些關(guān)鍵鑒權(quán)參數(shù)的明文，這就防止惡意截獲；(2)鑒權(quán)客戶端和服務(wù)端使用不可逆的加解密技術(shù)(比如SHA1、MD5等)對這些參數(shù)進(jìn)行加密，通過該加密技術(shù)加密后生成的密文被解密的難度系數(shù)超過閾值(難度系數(shù)表示被解密的困難程度，難度系數(shù)越大，表示越難以被解密)，防止被截獲的密文被很容易的解密從而導(dǎo)致鑒權(quán)信息泄露。

具體的，UAC和UAS關(guān)于鑒權(quán)參數(shù)私有用戶標(biāo)識采用MD5哈希(密鑰128位)的處理過程如圖2所示。

情況2、當(dāng)鑒權(quán)方式對應(yīng)的鑒權(quán)信息為隨機(jī)鑒權(quán)參數(shù)時(shí)，利用高強(qiáng)度的加密算法對所述隨機(jī)鑒權(quán)參數(shù)進(jìn)行加密，其中利用高強(qiáng)度的加密算法對所述隨機(jī)鑒權(quán)參數(shù)進(jìn)行加密后生成的密文在一個(gè)鑒權(quán)周期內(nèi)被解密的概率小于閾 值。

具體的，隨機(jī)鑒權(quán)參數(shù)主要是指在鑒權(quán)過程中，用于鑒權(quán)結(jié)果或中間結(jié)果的計(jì)算，是鑒權(quán)參與雙方預(yù)先未知、未配置或者經(jīng)過非隨機(jī)鑒權(quán)參數(shù)計(jì)算而得的鑒權(quán)數(shù)據(jù)，根據(jù)3GPP TS 24.228和RFC2617，主要包含以下數(shù)據(jù)(不限于)：

Nonce：由鑒權(quán)服務(wù)端生成，用于計(jì)算鑒權(quán)結(jié)果。

Cnonce：由鑒權(quán)服務(wù)端生成，用于計(jì)算鑒權(quán)結(jié)果。

Response：計(jì)算的鑒權(quán)結(jié)果。

隨機(jī)鑒權(quán)參數(shù)一般是通過非隨機(jī)鑒權(quán)參數(shù)或其他鑒權(quán)信息生成，具有一定的隨機(jī)性，按照現(xiàn)有協(xié)議，在鑒權(quán)過程中，通過SIP消息直接在鑒權(quán)客戶端和服務(wù)端之間傳輸。這些信息的泄露，可導(dǎo)致用戶在當(dāng)前一段時(shí)間、一次注冊鑒權(quán)生命周期或一個(gè)會話周期內(nèi)被非法使用，重要性相比非隨機(jī)鑒權(quán)參數(shù)要低一些?？蛻舳撕头?wù)端預(yù)先不知道這些參數(shù)，那么只能采取在鑒權(quán)過程中對這些參數(shù)進(jìn)行加密，帶來的安全性包括：(1)這部分?jǐn)?shù)據(jù)量不大，可采用加密強(qiáng)度較大的加密算法(比如AES、三層DES等)，降低劫持者在一個(gè)注冊鑒權(quán)周期或一個(gè)會話周期內(nèi)破譯的可能性，增加破譯難度；(2)由于加密的密鑰是鑒權(quán)的密鑰，不會在網(wǎng)絡(luò)上傳輸，一定程度也保證了加密信息的安全性。

其中，具體的UAC和UAS關(guān)于鑒權(quán)參數(shù)私有用戶標(biāo)識采用AES加解密(密鑰128位)的處理過程如圖3所示。

步驟103、利用加密后的鑒權(quán)信息完成鑒權(quán)。

具體的，該鑒權(quán)過程，按照現(xiàn)有的協(xié)議流程進(jìn)行，不同之處在于，其中涉及到的鑒權(quán)信息是被加密后傳遞的：其中具體的，如圖4所示，包括以下步驟

步驟10.UAC對鑒權(quán)參數(shù)進(jìn)行加密處理，并將加密后的鑒權(quán)信息攜帶在 SIP Request消息中，發(fā)送給UAS；

步驟20.UAS收到SIP Request消息后，將鑒權(quán)相關(guān)信息進(jìn)行解密，解密后進(jìn)行按照協(xié)議進(jìn)行處理。UAS發(fā)起對UAC的挑戰(zhàn)，對生成的鑒權(quán)信息進(jìn)行加密，再將加密后的鑒權(quán)信息放到401/407Sip挑戰(zhàn)響應(yīng)消息中，發(fā)送給UAC。

步驟30.UAC收到挑戰(zhàn)響應(yīng)消息401/407后，對其中的鑒權(quán)參數(shù)進(jìn)行解密，并進(jìn)行后續(xù)的鑒權(quán)處理。UAC根據(jù)401/407中的鑒權(quán)信息生成鑒權(quán)結(jié)果，并對鑒權(quán)結(jié)果進(jìn)行加密，并將加密后的鑒權(quán)信息攜帶在相應(yīng)的鑒權(quán)參數(shù)中，通過Sip Request請求消息發(fā)送到UAS。

步驟40.UAS收到鑒權(quán)請求消息后，對其中的鑒權(quán)信息進(jìn)行解密，并進(jìn)行鑒權(quán)后續(xù)處理，鑒權(quán)結(jié)果正確則像UAC發(fā)送200OK相應(yīng)消息，表明鑒權(quán)成功。

為了對本發(fā)明進(jìn)行進(jìn)一步的說明，本發(fā)明還提出了一種鑒權(quán)設(shè)備，如圖5所示，包括：

獲取模塊501，用于獲取鑒權(quán)信息；

加密模塊502，用于基于不同的鑒權(quán)方式選擇與鑒權(quán)方式對應(yīng)的加密方式對所述鑒權(quán)信息進(jìn)行加密；

鑒權(quán)模塊503，用于利用加密后的鑒權(quán)信息完成鑒權(quán)。

優(yōu)選的，所述加密模塊502，具體用于：

基于不同的鑒權(quán)方式選擇與鑒權(quán)方式對應(yīng)的密鑰對所述鑒權(quán)信息進(jìn)行加密；其中所述密鑰具體為IMS鑒權(quán)中的鑒權(quán)密鑰，或在鑒權(quán)過程中的客戶端和服務(wù)端預(yù)先協(xié)商好的鑒權(quán)密鑰。

優(yōu)選的，所述加密模塊502，具體用于：

當(dāng)鑒權(quán)方式對應(yīng)的鑒權(quán)信息為非隨機(jī)鑒權(quán)參數(shù)時(shí)，基于不可逆的加解密技術(shù)對所述非隨機(jī)鑒權(quán)參數(shù)進(jìn)行加密；其中基于不可逆的加解密技術(shù)對所述 非隨機(jī)鑒權(quán)參數(shù)進(jìn)行加密后，所生成的密文被解密的難度系數(shù)大于閾值。

優(yōu)選的，所述加密模塊502，具體用于：

當(dāng)鑒權(quán)方式對應(yīng)的鑒權(quán)信息為隨機(jī)鑒權(quán)參數(shù)時(shí)，利用高強(qiáng)度的加密算法對所述隨機(jī)鑒權(quán)參數(shù)進(jìn)行加密，其中利用高強(qiáng)度的加密算法對所述隨機(jī)鑒權(quán)參數(shù)進(jìn)行加密后生成的密文在一個(gè)鑒權(quán)周期內(nèi)被解密的概率小于閾值。

與現(xiàn)有技術(shù)相比，本發(fā)明通過對鑒權(quán)信息進(jìn)行加密，以此有效防止鑒權(quán)信息泄露以及回放攻擊等威脅，增強(qiáng)了IMS鑒權(quán)過程的安全性；同時(shí)遵循IMS鑒權(quán)相關(guān)的3GPP和IETF協(xié)議，利用已有的鑒權(quán)密鑰，實(shí)現(xiàn)方法簡單且降低了對系統(tǒng)改動(dòng)及要求。

通過以上的實(shí)施方式的描述，本領(lǐng)域的技術(shù)人員可以清楚地了解到本申請可以通過硬件實(shí)現(xiàn)，也可以借助軟件加必要的通用硬件平臺的方式來實(shí)現(xiàn)?；谶@樣的理解，本申請的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來，該軟件產(chǎn)品可以存儲在一個(gè)非易失性存儲介質(zhì)(可以是CD-ROM，U盤，移動(dòng)硬盤等)中，包括若干指令用以使得一臺計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本申請各個(gè)實(shí)施場景所述的方法。

本領(lǐng)域技術(shù)人員可以理解附圖只是一個(gè)優(yōu)選實(shí)施場景的示意圖，附圖中的模塊或流程并不一定是實(shí)施本申請所必須的。

本領(lǐng)域技術(shù)人員可以理解實(shí)施場景中的裝置中的模塊可以按照實(shí)施場景描述進(jìn)行分布于實(shí)施場景的裝置中，也可以進(jìn)行相應(yīng)變化位于不同于本實(shí)施場景的一個(gè)或多個(gè)裝置中。上述實(shí)施場景的模塊可以合并為一個(gè)模塊，也可以進(jìn)一步拆分成多個(gè)子模塊。

上述本申請序號僅僅為了描述，不代表實(shí)施場景的優(yōu)劣。

以上公開的僅為本申請的幾個(gè)具體實(shí)施場景，但是，本申請并非局限于此，任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本申請的保護(hù)范圍。