固定网络接入IMS双向认证及密钥分发方法

摘要

本发明公开了一种固定网络接入IMS双向认证及密钥分发方法，解决了固定宽带接入IMS的安全机制标准组织中没有解决方案的问题。包括：用户终端通过CSCF向HSS发起鉴权认证请求，并提供用户标志；HSS返回认证请求的响应给CSCF，将CK和IK传给P-CSCF，将验证字XRES传给S-CSCF；CSCF向UE返回注册响应报文；用户终端通过与HSS共享的共享密钥Ku，对返回的响应报文相应部分进行完整性验证，实现对IMS网络侧的认证；认证通过后，用户终端计算验证字RES，重新向CSCF发起注册请求；CSCF将用户终端的验证字RES与HSS的验证字XRES进行认证；通过后，CSCF向HSS发出用户认证成功消息。本发明通过基本的加密和完整性保护算法，实现与IMS网络域的双向身份认证，并完成密钥分发。

主权项

固定网络接入IMS双向认证及密钥分发方法，包括如下步骤：步骤A，用户终端通过呼叫/会话控制功能向归属用户服务器发起鉴权认证请求，并提供用户标志；其中，步骤A1，用户终端按协议流程向代理呼叫/会话控制功能发起注册请求，承载该注册请求的注册报文为正常的按照协议的注册报文，报文中携带用户终端的用户标志；步骤A2，代理呼叫/会话控制功能向服务呼叫/会话控制功能转发用户的注册报文；步骤A3，服务呼叫/会话控制功能没有该用户终端的用户鉴权信息，向归属用户服务器发出对用户的鉴权认证请求，提供用户终端的用户标志；步骤B，归属用户服务器根据用户标志，获取与该用户终端的共享密钥Ku，生成一个挑战字Rand，由挑战字Rand，用户标志和共享密钥Ku一起生成对用户终端的验证字XRES，同时生成用户终端和代理呼叫/会话控制功能之间的加密密钥CK和完整性保护密钥IK，其中CK，IK由共享密钥Ku加密，最后将挑战字Rand、经过加密后的加密密钥和完整性密钥EKu(CK+IK)，用Ku进行完整性保护；步骤C，归属用户服务器返回认证请求的响应给服务呼叫/会话控制功能，服务呼叫/会话控制功能保留验证字XRES，并向代理呼叫/会话控制功能返回注册失败消息，将CK和IK传给代理呼叫/会话控制功能；代理呼叫/会话控制功能向用户终端返回注册响应报文，返回注册失败消息；步骤D，用户终端通过与归属用户服务器共享的共享密钥Ku，对返回的响应报文相应部分进行完整性验证，实现对IMS网络侧的归属用户服务器的认证；步骤E，认证通过后，用户终端计算验证字RES，重新向代理呼叫/会话控制功能发起注册请求；步骤F，代理呼叫/会话控制功能通过事先保留的完整性保护密钥IK对注册报文进行完整性检查，如果检查通过，则通过事先保留的CK从报文解密出用户终端验证字RES，然后向服务呼叫/会话控制功能发送用户的注册报文，包含用户计算得到的验证字RES；如果完整性检查不通过，则要求用户终端重新发认证请求或直接退出流程；服务呼叫/会话控制功能将用户终端的验证字RES与归属用户服务器的验证字XRES进行比较认证；步骤G，认证通过后，服务呼叫/会话控制功能向代理呼叫/会话控制功能返回注册响应成功报文，向归属用户服务器发出用户认证成功消息，代理呼叫/会话控制功能向用户终端返回注册响应成功报文。