LTE学习笔记 ——UE附着身份认证、鉴权、NAS安全

AUTN:Authentication Token,鉴权令牌,MME提供给UE,UE使用它对网络进行鉴权。
RAND:一个随机数,用于生成xRES、AK、CK、IK。
XRes:expected Response,期望响应,用于网络对UE鉴权。
ASME:Access Security Management entity,接入安全管理实体。
Kasme:UE或HSS根据CK、IK推演得到。
1. Initial UE Message(eNodeB ——> MME)

(1)携带消息:Attach Request, PDN Request

  • Attach Request:EMM(EPS Mobility Management)层信息。
  • PDN Request:ESM(EPS Session Management)层信息。

(2)信息:

  • 用户信息:S-TMSI,或IMSI ,或IMEI
  • UE 网络能力:支持的加密完保算法
  • TAI
  • PDN Request
  • RRC establishment原因

(3)EMM处理:利用用户信息判断是否需要用户身份识别。
 

2. Identity Request(MME ——> eNodeB ——> UE )

 

3. Identity Response(UE ——> eNodeB ——> MME)

UE 将IMSI或者IMEI带给MME。至于携带IMSI还是IMEI,由Identity Request决定。
 

4. Authentication Request(MME ——> eNodeB ——> UE )

(1) EPC准备工作:生成鉴权向量

  • Authentication Data Request(MME ——> HSS):IMSI、SN(Server Network ID)、network Type
  • Authentication Data Response(HSS ——> MME):RAND、AUTN、K-ASME、xRes

(2) 信息:RAND、AUTN(MAC、AMF、SQN xor AK)

(3) UE处理:

  • UE鉴权网络:利用K、AMF、RAND、SQN生成MAC的值,与AUTN中携带的MAC值做比较,若相同,则鉴权成功;否则鉴权失败。K:存储在USIM和认证中心AuC的永久密钥。
  • 生成RES:若鉴权成功,利用K、RAND生成RES,然后通过Authentication Response发送给MME。
     
5. Authentication Response(UE ——> eNodeB ——> MME)

(1) 信息:RES、ECGI、TAI
(2) MME处理:将RES与保存的XRES做比较,若相同,MME对UE鉴权成功;否则鉴权失败。

 

6. Security Request(MME ——> eNodeB ——> UE )

(1) 安全为NAS的加密和完保。

(2) 信息:Selected NAS Security Algorithm、UE安全能力。

(3) UE处理:

  • 检查UE能力和KSI(key set Indetifier是否合法),若不合法,回复Security Reject。
  • 根据Selected NAS Security Algorithm,解出KNAS-enc、KNAS-int
     
7. Security Response(UE ——> eNodeB ——> MME)

NAS加密完保成功。

 

8. Initial context setup Request(MME ——> eNodeB )

(1) 携带消息:Attach Accept, Activate default EPS bearer context request。
(2) 信息:

  • TAI、GUTI
  • T3412、T3402 、T3423
  • Activate default EPS bearer context request

你可能感兴趣的:(LTE)