[发明专利]一种鉴权、信息处理方法及装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种鉴权、信息处理方法及装置。

背景技术

在对IP多媒体子系统IMS网络功能实体进行合法监听的过程中，IMS网络功能实体与监听设备需要进行双向鉴权过程来验证双方的身份合法性，目前在3GPP和欧洲电信标准化协会（European Telecommunications Standards Institute，ETSI）的协议中对鉴权的步骤和参数尚无明确说明。

经常使用消息摘要算法来实现双方的身份鉴权认证。在合法监听的鉴权认证过程中，经常使用消息摘要算法第五版（Message Digest Algorithm，MD5）作为消息摘要算法，目前MD5算法已经被攻破，在安全性方面存在一定隐患。攻击者比较容易使用碰撞的方法模仿签名来通过验证，从而造成非法设备冒充警用信息中心对IMS网络功能实体进行监听。消息摘要算法有多种，在运算快慢和安全性强弱方面有各自特点。固定使用MD5作为消息摘要算法，使用者无法根据具体情况在运算效率以及安全性之间做选择。

在3GPP TS33.107V11.2.0中对基于IMS网络的合法监听做出说明，如图1和图2所示，考虑到今后X1、X2接口在警用信息中心侧可能在设备上是分离的，因此，X1、X2两个接口的认证相互独立，使用独立的认证参数（监听设备对应的秘密数据Ki、加密密钥Kc、警用信息中心（Lawful Interception Center，LIC）接入密码Password、序列号SQN和随机数RAND），但这些参数的取值可以相同。X1，X2接口认证是警用信息中心和软交换系统必须支持的功能，X3接口不做认证。

综上所述，现有技术中，警用信息中心与软交换系统之间在建立信令和业务连接时，无法实现双方身份认证，因此无法保证警用接口的安全，无法防止非法软交换系统对警用信息中心的恶意攻击，以及非法的警用信息中心接入软交换系统执行非法监听活动。

发明内容

本发明实施例提供了一种鉴权、信息处理方法及装置，用以实现IP多媒体子系统IMS网络功能实体与监听设备的双向鉴权，并且可以灵活选择摘要算法，提高鉴权的效率与安全性。

本发明实施例提供了一种鉴权方法，包括：

监听设备向IP多媒体子系统IMS网络功能实体发送携带有摘要算法和通过该摘要算法计算得到的认证字段的连接建立请求消息；

监听设备接收IMS网络功能实体发送的连接建立响应消息。

从上述方案中可以看出，监听设备向IMS网络功能实体发送的连接建立请求消息中携带有摘要算法，这样，在IMS网络功能实体与监听设备进行双向鉴权时可以灵活选择摘要算法，提高该双向鉴权的效率与安全性。

较佳地，监听设备接收IMS网络功能实体发送的连接建立响应消息，包括：如果IMS网络功能实体利用所述连接建立请求消息对该监听设备鉴权失败，则监听设备接收IMS网络功能实体发送的携带有连接建立失败指示和连接建立失败原因的连接建立响应消息。

这样，监听设备便可以得知IMS网络功能实体对该监听设备鉴权失败。

较佳地，在监听设备接收所述连接建立响应消息之后，该方法还包括：

监听设备接收IMS网络功能实体发送的连接释放消息。

这样，监听设备便可以在得知IMS网络功能实体对该监听设备鉴权失败后，接收该IMS网络功能实体发送的连接释放消息，终断双向鉴权连接。

较佳地，监听设备接收IMS网络功能实体发送的连接建立响应消息，包括：如果IMS网络功能实体利用所述连接建立请求消息对该监听设备鉴权成功，则该监听设备接收IMS网络功能实体发送的携带有连接建立成功指示的连接建立响应消息，并且该连接建立响应消息中还包括利用所述摘要算法、加密密钥Kc、随机数RAND和序列号SQN计算得到的应答字段，其中，所述Kc是IMS网络功能实体根据所述摘要算法、所述RAND、SQN、以及所述监听设备对应的秘密数据Ki计算得到的，所述RAND携带于所述连接建立请求消息中，所述SQN为所述连接建立请求消息中携带的SQN组别号所对应的SQN组中的第一个SQN。

这样，在IMS网络功能实体对监听设备鉴权成功后，该监听设备接收IMS网络功能实体发送的携带有计算的应答字段和连接建立成功指示的连接建立响应消息，为监听设备对IMS网络功能实体进行鉴权做准备。

较佳地，监听设备接收IMS网络功能实体发送的连接建立响应消息之后，该方法还包括：