簡介
要解釋什麼是鑒權之前,我們先看看如果沒有鑒權會怎么樣?
如果沒有鑒權功能,移動用戶可隨意接入和使用任一無線網路,運營商的利益得不到保障,同時,用戶的安全也會受到威脅。移動通訊網路發展之初,就考慮並解決了這個問題:採取用戶鑒權的方式來識別出非法用戶。用戶鑒權,是對試圖接入網路的用戶進行鑒權,審核其是否有權訪問網路。通過用戶鑒權可以保護網路,防止非法盜用;同時通過拒絕假冒合法客戶的“入侵”而保護該網路中的客戶。
然而,道高一尺魔高一丈。相信大家聽過或者親身經歷這樣的事件吧。某人的手機上收到“恭喜你獲得一等獎,請預付稅費”、“本公司出售各類發票”之類的非法詐欺、推銷簡訊,因而上當受騙,損失了錢財。有的甚至顯示是110發來的。這種情況,可能是用戶接入了假冒的網路,所以,用戶也需要對網路進行鑒權。
鑒權包括兩個方面:
用戶鑒權,網路對用戶進行鑒權,防止非法用戶占用網路資源。
網路鑒權,用戶對網路進行鑒權,防止用戶接入了非法的網路,被騙取關鍵信息。
這種雙向的認證機制,就是AKA(Authentication and Key Agreement,鑒權和密鑰協商)鑒權。
除了AKA鑒權,也可以使用其它鑒權方式。在IMS AKA鑒權廣泛實施之前,或在特定的條件下(例如通過固定網路ADSL連線方式接入IMS),可以使用HTTP摘要鑒權等其他鑒權方式。
3G UMTS(Universal Mobile Telecommunication System,通用移動通訊系統)、EPS(Evolved Packet System,演進的分組系統)、IMS(IP Multimedia Subsystem,IP多媒體子系統)網路都採用了AKA雙向鑒權機制,鑒權原理也大致相同。而2G網路,只有用戶鑒權,無網路鑒權。
鑒權過程
我們以3G UMTS網路鑒權為例,看看網路和用戶分別是怎么鑒權的。
當用戶購機入網時,運營商將IMSI(International Mobile Subscriber Identity,國際移動用戶標識)和用戶鑒權鍵Ki一起分配給用戶,同時將該用戶的IMSI和Ki存入AUC(Authentication Center,鑒權中心),這樣鑒權參數信息存儲在手機的USIM(UMTS Subscriber Identity Module,UMTS用戶身份模組)卡和AUC中。
VLR(Visitor Location Register,拜訪位置暫存器)從AUC獲得用戶的鑒權數據,MSC(Mobile Switching Center,移動交換中心)/VLR從鑒權數據中選取一組未使用過的鑒權參數。MSC/VLR向手機發起鑒權請求。請求訊息中攜帶所選取的鑒權參數中的RAND、AUTN和CKSN參數。
手機中的USIM根據收到的RAND和自己保存的IMSI、Ki一起計算出XMAC,與從網路側收到的AUTN中的MAC值進行比較。
MSC/VLR將自己用RAND、IMSI和Ki算出的XRES與手機返回的RES進行比較。如果相同,則認為用戶合法,用戶鑒權成功,網路允許手機接入;否則認為用戶不合法,用戶鑒權失敗,拒絕為其服務。
鑒權時機
行動網路對鑒權時機的要求為:
2G、3G網路中,鑒權發生在開機、呼叫、位置更新以及在補充業務的激活、去活、登記或刪除操作之前。
2G網路中,運營商都是啟用的“按比例鑒權”方案。
3G網路中,用戶首次接入網路必須鑒權,此後啟用“按比例鑒權”方案。
IMS網路中,網路可以通過註冊或重註冊過程,在任何時候對用戶進行鑒權。
