共找到2條詞條名為鑒權的結果 展開
鑒權
鑒權
鑒權(authentication)是指驗證用戶是否擁有訪問系統的權利。傳統的鑒權是通過密碼來驗證的。這種方式的前提是,每個獲得密碼的用戶都已經被授權。在建立用戶時,就為此用戶分配一個密碼,用戶的密碼可以由管理員指定,也可以由用戶自行申請。這種方式的弱點十分明顯:一旦密碼被偷或用戶遺失密碼,情況就會十分麻煩,需要管理員對用戶密碼進行重新修改,而修改密碼之前還要人工驗證用戶的合法身份。為了克服這種鑒權方式的缺點,需要一個更加可靠的鑒權方式。目前的主流鑒權方式是利用認證授權來驗證數字簽名的正確與否。邏輯上,授權發生在鑒權之後,而實際上,這兩者常常是一個過程。
要解釋什麼是鑒權之前,先看看如果沒有鑒權會怎麼樣?
如果沒有鑒權功能,移動用戶可隨意接入和使用任一無線網路,運營商的利益得不到保障,同時,用戶的安全也會受到威脅。移動通訊網路發展之初,就考慮並解決了這個問題:採取用戶鑒權的方式來識別出非法用戶。用戶鑒權,是對試圖接入網路的用戶進行鑒權,審核其是否有權訪問網路。通過用戶鑒權可以保護網路,防止非法盜用;同時通過拒絕假冒合法客戶的“入侵”而保護該網路中的客戶。
然而,某人的手機上收到“恭喜你獲得一等獎,請預付稅費”、“本公司出售各類發票”之類的非法詐騙、推銷簡訊,因而上當受騙,損失了錢財。有的甚至顯示是110發來的。這種情況,可能是用戶接入了假冒的網路,所以,用戶也需要對網路進行鑒權。
鑒權包括兩個方面:
用戶鑒權,網路對用戶進行鑒權,防止非法用戶佔用網路資源。
網路鑒權,用戶對網路進行鑒權,防止用戶接入了非法的網路,被騙取關鍵信息。
這種雙向的認證機制,就是AKA(Authentication and Key Agreement,鑒權和密鑰協商)鑒權。
除了AKA鑒權,也可以使用其它鑒權方式。在IMS AKA鑒權廣泛實施之前,或在特定的條件下(例如通過固定網路ADSL連接方式接入IMS),可以使用HTTP摘要鑒權等其他鑒權方式。
3G UMTS(Universal Mobile Telecommunication System,通用移動通訊系統)、EPS(Evolved Packet System,演進的分組系統)、IMS(IP Multimedia Subsystem,IP多媒體子系統)網路都採用了AKA雙向鑒權機制,鑒權原理也大致相同。而2G網路,只有用戶鑒權,無網路鑒權。
當用戶購機入網時,運營商將IMSI(International Mobile Subscriber Identity,國際移動用戶標識)和用戶鑒權鍵Ki一起分配給用戶,同時將該用戶的IMSI和Ki存入AUC(Authentication Center,鑒權中心),這樣鑒權參數信息存儲在手機的USIM(UMTS Subscriber Identity Module,UMTS用戶身份模塊)卡和AUC中。
VLR(Visitor Location Register,拜訪位置寄存器)從AUC獲得用戶的鑒權數據,MSC(Mobile Switching Center,移動交換中心)/VLR從鑒權數據中選取一組未使用過的鑒權參數。MSC/VLR向手機發起鑒權請求。請求消息中攜帶所選取的鑒權參數中的RAND、AUTN和CKSN參數。
手機中的USIM根據收到的RAND和自己保存的IMSI、Ki一起計算出XMAC,與從網路側收到的AUTN中的MAC值進行比較。
如果相同,繼續驗證接收到的AUTN中序列號SQN是否在有效的範圍內。序列號SQN的設置是為了防止他人冒充網路,利用截獲的、舊的鑒權參數AUTN欺騙用戶。
如果SQN有效,則認為這是個合法網路,網路鑒權成功。手機計算出RES,並將RES發送給MSC/VLR/SGSN。否則若發現SQN值無效時,手機會向網路報錯並且觸發網路與手機間的SQN重新同步過程。
如果SQN同步失敗或者MAC值不同,則網路鑒權失敗。
MSC/VLR將自己用RAND、IMSI和Ki算出的XRES與手機返回的RES進行比較。如果相同,則認為用戶合法,用戶鑒權成功,網路允許手機接入;否則認為用戶不合法,用戶鑒權失敗,拒絕為其服務。
移動網路對鑒權時機的要求為:
2G、3G網路中,鑒權發生在開機、呼叫、位置更新以及在補充業務的激活、去活、登記或刪除操作之前。
2G網路中,運營商都是啟用的“按比例鑒權”方案。
3G網路中,用戶首次接入網路必須鑒權,此後啟用“按比例鑒權”方案。
IMS網路中,網路可以通過註冊或重註冊過程,在任何時候對用戶進行鑒權。
常用的鑒權有四種:
1、HTTP Basic Authentication
2、session-cookie
3、Token 驗證
4、OAuth(開放授權)