鑒權

簡介

要解釋什麼是鑒權之前，我們先看看如果沒有鑒權會怎么樣？

如果沒有鑒權功能，移動用戶可隨意接入和使用任一無線網路，運營商的利益得不到保障，同時，用戶的安全也會受到威脅。移動通訊網路發展之初，就考慮並解決了這個問題：採取用戶鑒權的方式來識別出非法用戶。用戶鑒權，是對試圖接入網路的用戶進行鑒權，審核其是否有權訪問網路。通過用戶鑒權可以保護網路，防止非法盜用；同時通過拒絕假冒合法客戶的“入侵”而保護該網路中的客戶。

然而，道高一尺魔高一丈。相信大家聽過或者親身經歷這樣的事件吧。某人的手機上收到“恭喜你獲得一等獎，請預付稅費”、“公司出售各類發票”之類的非法詐欺、推銷簡訊，因而上當受騙，損失了錢財。有的甚至顯示是110發來的。這種情況，可能是用戶接入了假冒的網路，所以，用戶也需要對網路進行鑒權。

鑒權包括兩個方面：

用戶鑒權，網路對用戶進行鑒權，防止非法用戶占用網路資源。
網路鑒權，用戶對網路進行鑒權，防止用戶接入了非法的網路，被騙取關鍵信息。

這種雙向的認證機制，就是AKA（Authentication and Key Agreement，鑒權和密鑰協商）鑒權。

除了AKA鑒權，也可以使用其它鑒權方式。在IMS AKA鑒權廣泛實施之前，或在特定的條件下（例如通過固定網路ADSL連線方式接入IMS），可以使用HTTP摘要鑒權等其他鑒權方式。

3G UMTS（Universal Mobile Telecommunication System，通用移動通訊系統）、EPS（Evolved Packet System，演進的分組系統）、IMS（IP Multimedia Subsystem，IP多媒體子系統）網路都採用了AKA雙向鑒權機制，鑒權原理也大致相同。而2G網路，只有用戶鑒權，無網路鑒權。

鑒權過程

我們以3G UMTS網路鑒權為例，看看網路和用戶分別是怎么鑒權的。

當用戶購機入網時，運營商將IMSI（International Mobile Subscriber Identity，國際移動用戶標識）和用戶鑒權鍵Ki一起分配給用戶，同時將該用戶的IMSI和Ki存入AUC（Authentication Center，鑒權中心），這樣鑒權參數信息存儲在手機的USIM（UMTS Subscriber Identity Module，UMTS用戶身份模組）卡和AUC中。
VLR（Visitor Location Register，拜訪位置暫存器）從AUC獲得用戶的鑒權數據，MSC（Mobile Switching Center，移動交換中心）/VLR從鑒權數據中選取一組未使用過的鑒權參數。MSC/VLR向手機發起鑒權請求。請求訊息中攜帶所選取的鑒權參數中的RAND、AUTN和CKSN參數。
手機中的USIM根據收到的RAND和自己保存的IMSI、Ki一起計算出XMAC，與從網路側收到的AUTN中的MAC值進行比較。
如果相同，繼續驗證接收到的AUTN中序列號SQN是否在有效的範圍內。序列號SQN的設定是為了防止他人冒充網路，利用截獲的、舊的鑒權參數AUTN欺騙用戶。
如果SQN有效，則認為這是個合法網路，網路鑒權成功。手機計算出RES，並將RES傳送給MSC/VLR/SGSN。否則若發現SQN值無效時，手機會向網路報錯並且觸發網路與手機間的SQN重新同步過程。
如果SQN同步失敗或者MAC值不同，則網路鑒權失敗。
MSC/VLR將自己用RAND、IMSI和Ki算出的XRES與手機返回的RES進行比較。如果相同，則認為用戶合法，用戶鑒權成功，網路允許手機接入；否則認為用戶不合法，用戶鑒權失敗，拒絕為其服務。

鑒權

基本介紹

簡介

鑒權過程

鑒權時機

鑒權方式

相關詞條

熱門詞條