LTE鉴权、加密、完保详解

鉴权:身份认证,LTE鉴权需要UE、核心网实现双向鉴权,任何一方失败则UE无法完成接入流程

加密:防止数据被窃取,对数据流、控制面(RRC信令、NAS信令)进行加密处理

完保:防止数据被篡改,黑客可能不需要获取你的数据、但是会恶意破坏你的数据,完保只会对控制面进行,因为完保是对已有数据通过完保算法生成另外一个数据,会影响通信流量,如果对数据流也进行完包,对管道带宽影响很大

 

鉴权详细流程:
MME ---> HSS:imsi、sn-id、sn-type
HSS   ---> MME:鉴权向量AV = { RAND、AUTH-HSS、XRES、K-ASME }

MME ---> UE:RAND、AUTH-HSS(MAC)
                 UE处理流程:{ RAND、AUTH }   ----- 通过EPS AKA算法(RRC接口?)计算出----->   ( RES、AUTH-UE、K-ASME ),
                                     如果计算出的AUTH-UE等于MME通知的AUTH-HSS(即对核心网进行鉴权),则鉴权成功,回复RES
UE    ---> MME:RES
                MME处理流程:如果RES等于XRES,则鉴权通过
如果双方均鉴权成功,则UE、MME则共享了相同的 K-ASME(尽管 K-ASME 没有在UE、MME之间传输)


安全流程:
MME:
1、选择UE能支持的加密算法和完整性算法
2、使用{算法ID、安全算法分辨器} ---> K nas-inc、K nas-enc
3、EIA算法 + 参数 ---> NAS MAC (NAS消息鉴权码)
4、发送Security Command Complete(包含K nas-inc、K nas-enc、MAC)到UE,(此消息只是经过完保,没有加密,因为UE此时并不知道加密算法)

UE:
1、根据KSI-ASME获取Kasme
2、使用{算法ID、安全算法分辨器} ---> K nas-inc、Knas-enc
3、根据NAS-MAC检查消息的完整性

术语:
RAND:  Random Challenge,网络提供给UE的不可预知的随即数,长度为16 octets
AUTH: Authentication Token, 用于向UE提供网络信息,以使UE对网络进行鉴权(LTE的双向鉴权),长度为17 octets
MAC:  鉴权消息码  message authentication code; NAS MAC,即NAS消息鉴权码
XRES: Expected Response, 用于和UE的RES进行比较,相同则表示鉴权通过,长度为4 ~16 octets
ASME:接入安全管理实体
Kasme:由CK\IK以及ASME(MME)的PLMN ID计算出来的根密钥,长度为32 octets
AMF:  authentication management filed
AV:鉴权向量
KSI: key set identity,即UE、MME指示Kasme的值
KDF:key   derivation   function 密钥派生函数

 

参考文档:

5-LTE Security I: LTE Security Concept and LTE Authentication     ===     https://www.cnblogs.com/LearnFromNow/p/6173522.html
【LTE知识】MME的鉴权和加密过程                                        ===     https://wenku.baidu.com/view/0c5e77ecbed5b9f3f80f1c35.html
LTE相关缩略词    ===   https://wenku.baidu.com/view/f4478f4bf78a6529647d53f8.html

LTE security    ===     https://wenku.baidu.com/view/69bb05d2284ac850ad0242ea.html 

USIM鉴权过程   ===   https://wenku.baidu.com/view/8461157fccbff121dc368326.html?sxts=1525849103998

你可能感兴趣的:(通信)