NAS信令学习笔记 ——AKA过程

参考：3GPP 24.301

AKA过程：Authentication and Key agreement (AKA)过程，鉴权和秘钥协商过程。
eKSI：Key Set Identifier in E-UTRAN，E-UTRAN的密码组标识。
SN ID：serving network  identity ，服务网络标识。

1. 鉴权四向量

（1）K_ASME

• USIM和AuC将CK、IK、SN ID作为参数，利用秘钥生成函数KDF计算出 K_ASME。
• EPS加密和完保的根秘钥。
• 分别存储在网络侧的EPS上下文和ME的volatile memory中。

（2）RAND

• 网络提供给UE的不可预知的随机数。

（3）AUTN

• 鉴权令牌，UE根据该参数对网络进行鉴权。
• AUTN=SQN⊕||AK|| AMF|| MAC。

（4）xRES

• expect response，期望响应参数。
• 网络侧将该参数与鉴权响应携带的RES进行比较，若相同，则网络侧对UE鉴权成功；反之。

 

2. AKA过程通常由谁发起？

• 网络侧
• 当NAS信令连接存在时，网络侧可随时发起AKA流程。
   

3. AKA过程

（1）鉴权过程

（2）AUTHENTICATION REQUEST

• 网络侧向UE发送AUTHENTICATION REQUEST，并启动定时器T3460。
• AUTHENTICATION REQUEST携带的消息：NAS key set identifier ASME、RAND、AUTN。

（3）UE收到AUTHENTICATION REQUEST后的处理
         首先，UE对网络侧进行鉴权。鉴权或成功，或失败。
           —> UE鉴权成功相关处理

• 决定生成 K_ASME的相关参数：PLMN identity。
• 生成 K_ASME，并将其存储在ME的volatile memory中。
• USIM计算生成RES，并将其发送给ME。
• RAND存储：RAND与RES一起存储在USIM卡中。（ME是否将收到的RAND发送给USIM，取决于USIM卡中的RAND与收到的RAND是否相同。）
• 发送AUTHENTICATION RESPONSE到网络侧，携带的消息：RES

           —> UE鉴权失败相关处理

• MAC（Message Authentication code） fail，发送AUTHENTICATION FAILURE，携带原因：MAC failure。
• Non-EPS authentication unacceptable，发送AUTHENTICATION FAILURE，携带原因：non-EPS authentication unacceptable。
• SQN failure，SQN不在合法范围内，携带原因：“synch failure” and a re-synchronization token AUTS 。

(4）AUTHENTICATION RESPONSE：网络侧收到AUTHENTICATION RESPONSE后的行为：
     若鉴权成功，则存储相关eKSI，以便于下次鉴权时发送不同的eKSI。
     若鉴权失败，网络侧根据UE初始NAS消息携带的标识采取相应的行为：

• 若携带的是GUTI，则发起identification流程。若UE在identification提供的IMSI与网络侧存储的IMSI相同时，网络侧需根据正确的参数发起鉴权流程；若UE在identification提供的IMSI与网络侧存储的IMSI不同时，则发送AUTHENTICATION REJECT
• 若携带的是IMSI，则发送AUTHENTICATION REJECT。

(5）UE收到AUTHENTICATION REJECT后的行为：

• 若收到的消息经过完整性保护，则UE更新状态为EU3，Roaming not allowed，删除存储的GUTI， TAI列表等信息。除非关机或移除USIM卡，否则认为USIM是invalid。
• 若收到的消息未经过完整性保护，没看懂，不写了
• 终止所有EMM信令流程，停止所有相关定时器，进入EMM-DEREGISTERED态。

4. 异常情况处理

（1）底层失败

• 丢弃鉴权过程

（2）定时器T3460超时

• 若定时器超时次数不超过4次，则重置并启动定时器，重新发起AKA过程。
• 若定时器超时次数超过4次，则丢弃AKA过程，终止所有正在进行的EMM流程，释放NAS信令连接。

（3）因MAC failure鉴权失败

（4）因non-EPS authentication unacceptable鉴权失败
（5）因synch failure鉴权失败

（5）AUTHENTICATION RESPONSE 或 AUTHENTICATION FAILURE 消息发送失败

• 处理根据触发AKA过程的过程及是否存在TAI改变而定。