複製鏈接
請複製以下鏈接發送給好友
https://baike.baidu.hk/item/鑑權/10857773
複製
複製成功

鑑權

鎖定
鑑權(authentication)是指驗證用户是否擁有訪問系統的權利。傳統的鑑權是通過密碼來驗證的。這種方式的前提是,每個獲得密碼的用户都已經被授權。在建立用户時,就為此用户分配一個密碼,用户的密碼可以由管理員指定,也可以由用户自行申請。這種方式的弱點十分明顯:一旦密碼被偷或用户遺失密碼,情況就會十分麻煩,需要管理員對用户密碼進行重新修改,而修改密碼之前還要人工驗證用户的合法身份。
為了克服這種鑑權方式的缺點,需要一個更加可靠的鑑權方式。主流鑑權方式是利用認證授權來驗證數字簽名的正確與否。
邏輯上,授權發生在鑑權之後,而實際上,這兩者常常是一個過程。
中文名
鑑權
外文名
authentication
作    用
驗證用户是否擁有訪問系統的權利
領    域
信息科學

目錄

  1. 1 簡介
  2. 2 鑑權過程
  3. 3 鑑權時機
  4. 4 鑑權方式

鑑權簡介

要解釋什麼是鑑權之前,我們先看看如果沒有鑑權會怎麼樣?
如果沒有鑑權功能,移動用户可隨意接入和使用任一無線網絡,運營商的利益得不到保障,同時,用户的安全也會受到威脅。移動通訊網絡發展之初,就考慮並解決了這個問題:採取用户鑑權的方式來識別出非法用户。用户鑑權,是對試圖接入網絡的用户進行鑑權,審核其是否有權訪問網絡。通過用户鑑權可以保護網絡,防止非法盜用;同時通過拒絕假冒合法客户的“入侵”而保護該網絡中的客户。
然而,道高一尺魔高一丈。相信大家聽過或者親身經歷這樣的事件吧。某人的手機上收到“恭喜你獲得一等獎,請預付税費”、“公司出售各類發票”之類的非法詐騙、推銷短信,因而上當受騙,損失了錢財。有的甚至顯示是110發來的。這種情況,可能是用户接入了假冒的網絡,所以,用户也需要對網絡進行鑑權。
鑑權包括兩個方面:
  • 用户鑑權,網絡對用户進行鑑權,防止非法用户佔用網絡資源。
  • 網絡鑑權,用户對網絡進行鑑權,防止用户接入了非法的網絡,被騙取關鍵信息。
這種雙向的認證機制,就是AKA(Authentication and Key Agreement,鑑權和密鑰協商)鑑權。
除了AKA鑑權,也可以使用其它鑑權方式。在IMS AKA鑑權廣泛實施之前,或在特定的條件下(例如通過固定網絡ADSL連接方式接入IMS),可以使用HTTP摘要鑑權等其他鑑權方式。
3G UMTS(Universal Mobile Telecommunication System,通用移動通訊系統)、EPS(Evolved Packet System,演進的分組系統)、IMS(IP Multimedia Subsystem,IP多媒體子系統)網絡都採用了AKA雙向鑑權機制,鑑權原理也大致相同。而2G網絡,只有用户鑑權,無網絡鑑權。 [1] 

鑑權鑑權過程

我們以3G UMTS網絡鑑權為例,看看網絡和用户分別是怎麼鑑權的。
  1. 當用户購機入網時,運營商將IMSI(International Mobile Subscriber Identity,國際移動用户標識)和用户鑑權鍵Ki一起分配給用户,同時將該用户的IMSI和Ki存入AUC(Authentication Center,鑑權中心),這樣鑑權參數信息存儲在手機的USIM(UMTS Subscriber Identity Module,UMTS用户身份模塊)卡和AUC中。
  2. VLR(Visitor Location Register,拜訪位置寄存器)從AUC獲得用户的鑑權數據,MSC(Mobile Switching Center,移動交換中心)/VLR從鑑權數據中選取一組未使用過的鑑權參數。MSC/VLR向手機發起鑑權請求。請求消息中攜帶所選取的鑑權參數中的RAND、AUTN和CKSN參數。
  3. 手機中的USIM根據收到的RAND和自己保存的IMSI、Ki一起計算出XMAC,與從網絡側收到的AUTN中的MAC值進行比較。如果相同,繼續驗證接收到的AUTN中序列號SQN是否在有效的範圍內。序列號SQN的設置是為了防止他人冒充網絡,利用截獲的、舊的鑑權參數AUTN欺騙用户。如果SQN有效,則認為這是個合法網絡,網絡鑑權成功。手機計算出RES,並將RES發送給MSC/VLR/SGSN。否則若發現SQN值無效時,手機會向網絡報錯並且觸發網絡與手機間的SQN重新同步過程。如果SQN同步失敗或者MAC值不同,則網絡鑑權失敗。
  4. MSC/VLR將自己用RAND、IMSI和Ki算出的XRES與手機返回的RES進行比較。如果相同,則認為用户合法,用户鑑權成功,網絡允許手機接入;否則認為用户不合法,用户鑑權失敗,拒絕為其服務。

鑑權鑑權時機

移動網絡對鑑權時機的要求為:
  • 2G、3G網絡中,鑑權發生在開機、呼叫、位置更新以及在補充業務的激活、去活、登記或刪除操作之前。
  • 2G網絡中,運營商都是啓用的“按比例鑑權”方案。
  • 3G網絡中,用户首次接入網絡必須鑑權,此後啓用“按比例鑑權”方案。
  • IMS網絡中,網絡可以通過註冊或重註冊過程,在任何時候對用户進行鑑權。 [2] 

鑑權鑑權方式

我們常用的鑑權有四種:
1、HTTP Basic Authentication
2、session-cookie
3、Token 驗證
4、OAuth(開放授權)
參考資料
  • 1.    劉子龍, 盧正新, 黃載祿. 2G與3G移動網系統安全性及用户鑑權[J]. 電訊技術, 2002, 42(2):116-119.
  • 2.    何晨, 楊濤, 諸鴻文. GSM移動通信用户鑑權算法的分析與實現[J]. 數據採集與處理, 1999, 14(4):438-442.