【LTE知識(shí)】MME的鑒權(quán)和加密過(guò)程

【LTE知識(shí)】MME的鑒權(quán)和加密過(guò)程【LTE知識(shí)】MME的鑒權(quán)和加密過(guò)程【LTE知識(shí)】MME的鑒權(quán)和加密過(guò)程xxx公司【LTE知識(shí)】MME的鑒權(quán)和加密過(guò)程文件編號(hào)：文件日期：修訂次數(shù)：第1.0次更改批準(zhǔn)審核制定方案設(shè)計(jì)，管理制度鑒權(quán)流程的目的是由HSS向MME提供EPS鑒權(quán)向量(RAND,AUTN,XRES,KASME)，并用來(lái)對(duì)用戶進(jìn)行鑒權(quán)。

1)MME發(fā)送AuthenticationDataRequest消息給HSS，消息中需要包含IMSI，網(wǎng)絡(luò)ID，如MCC+MNC和網(wǎng)絡(luò)類(lèi)型，如E-UTRAN2)HSS收到MME的請(qǐng)求后，使用authenticationresponse消息將鑒權(quán)向量發(fā)送給MME3)MME向UE發(fā)送UserAuthenticationRequest消息，對(duì)用戶進(jìn)行鑒權(quán)，消息中包含RAND和AUTN這兩個(gè)參數(shù)4)UE收到MME發(fā)來(lái)的請(qǐng)求后，先驗(yàn)證AUTN是否可接受，UE首先通過(guò)對(duì)比自己計(jì)算出來(lái)的XMAC和來(lái)自網(wǎng)絡(luò)的MAC（包含在AUTN內(nèi)）以對(duì)網(wǎng)絡(luò)進(jìn)行認(rèn)證，如果不一致，則UE認(rèn)為這是一個(gè)非法的網(wǎng)絡(luò)。如果一致，然后計(jì)算RES值，并通過(guò)UserAuthenticationResponse消息發(fā)送給MME。MME檢查RES和XRES的是否一致，如果一致，則鑒權(quán)通過(guò)。EPS鑒權(quán)向量由RAND、AUTN、XRES和KASME四元組組成。EPS鑒權(quán)向量由MME向HSS請(qǐng)求獲取。EPS鑒權(quán)四元組：lRAND（RandomChallenge）：RAND是網(wǎng)絡(luò)提供給UE的不可預(yù)知的隨機(jī)數(shù)，長(zhǎng)度為16octets。lAUTN（AuthenticationToken）：AUTN的作用是提供信息給UE，使UE可以用它來(lái)對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)。AUTN的長(zhǎng)度為17octetslXRES（ExpectedResponse）：XRES是期望的UE鑒權(quán)響應(yīng)參數(shù)。用于和UE產(chǎn)生的RES(或RES+RES_EXT)進(jìn)行比較，以決定鑒權(quán)是否成功。XRES的長(zhǎng)度為4-16octets。lKASME是根據(jù)CK/IK以及ASME（MME）的PLMNID推演得到的一個(gè)根密鑰。KASME長(zhǎng)度32octets。lASME從HSS中接收頂層密鑰，在E-UTRAN接入模式下，MME扮演ASME的角色。lCK：為加密密鑰，CK長(zhǎng)度為16octets。lIK：完整性保護(hù)密鑰，長(zhǎng)度為16octets。在鑒權(quán)過(guò)程中，MME向USIM發(fā)送RAND和AUTN，USIM可以決定返回RES還是拒絕鑒權(quán)。1.MME發(fā)起AUTHREQ消息，攜帶鑒權(quán)相關(guān)信息RAND和AUTN；第一條S1AP_DL_NAS_TRANS

2.UE收到AUTHREQ消息后回復(fù)AUTHRES（攜帶RES參數(shù)）。第一條S1AP_UL_NAS_TRANS

3.MME收到AUTHRES后，觸發(fā)安全模式流程，否則返回AUTHREJ消息。EPS的安全架構(gòu)如下：

EPS安全架構(gòu)中有相互獨(dú)立的分層安全：MME和UE執(zhí)行NAS（Non-accessstratum，非接入層）信令加密和完整性保護(hù)。eNodeB和UE執(zhí)行RRC信令加密和完整性保護(hù)，UP加密。E-UTRAN里的密鑰層次架構(gòu)：

密鑰的層次架構(gòu)里包含以下密鑰:KeNodeB,KNASint,KNASenc,KUPenc,KRRCint和KRRCenc-KeNodeB是由UE和MME各自根據(jù)KASME計(jì)算得到的，可用于派生KRRCint、KRRCenc和KUPenc，發(fā)生切換時(shí)也可用于派生KeNodeB*。在初始連接建立時(shí)，由UE和MME分別從E-UTRAN的頂層密鑰中派生出來(lái)的。KeNodeB*是由UE和源eNodeB根據(jù)目的物理小區(qū)號(hào)、下行頻率、KeNodeB（或新NH）派生出來(lái)，并在切換后被UE和目的eNodeB用作新的KeNodeB。NH（NextHop）是用于在UE和eNodeB中派生KeNodeB*。當(dāng)安全上下文建立時(shí)，NH由UE和MME從KeNodeB派生出來(lái)；當(dāng)發(fā)生切換時(shí)，從上一個(gè)NH派生出來(lái)。-NAS信令的密鑰:-KNASint是用于NAS信令完整性保護(hù)的密鑰,是由UE和MME各自根據(jù)雙方協(xié)商的完整性算保護(hù)算法計(jì)算得到的.-KNASenc是用于NAS信令加密的密鑰,是由UE和MME各自根據(jù)雙方協(xié)商的加密算法計(jì)算得到的.-用戶數(shù)據(jù)的密鑰:-KUPenc是專(zhuān)門(mén)用于加密用戶面數(shù)據(jù)的密鑰，由KeNodeB派生出來(lái)，存在于UE和eNodeB中。-RRC信令的密鑰:-KRRCint是用于保護(hù)RRC信令完整性的密鑰，由KeNodeB派生出來(lái)，存在于UE和eNodeB中。-KRRCenc是用于加密RRC信令的密鑰，由KeNodeB派生出來(lái)，存在于UE和eNodeB中。4UE收到SMC消息后：-根據(jù)SMC消息中的SelectedNASsecurityalgorithms信元計(jì)算出KnasEnc和KnasInt密鑰；-校驗(yàn)信元UEsecuritycapabilities和KSI是否合法，如果合法，則回復(fù)MMESECURITYMODECOMPLETE消息，否則返回SECURITYMODEREJECT消息。第二條S1AP_DL_NAS_TRANS

應(yīng)用完整性保護(hù)和加密特性時(shí)，要求UE和MME滿足的如下要求：-對(duì)于NAS信令加密，UE和MME需支持128-EEA0（NULL），128-EEA1（Snow3G）和128-EEA2（AES）。-對(duì)于NAS信令的完整性保護(hù)，UE和MME需支持128-EIA1（Snow3G）和128-EIA2（AES）。-（可選）UE和MME支持128-EIA0（NULL）。對(duì)于未經(jīng)認(rèn)證的緊急呼叫，未要求必須支持，即使MME和eNodeB部署了128-EIA0（NULL）的配置也將失效。無(wú)線側(cè)的完整性保護(hù)和加密保護(hù)功能在eNodeB配置，對(duì)eNodeB上所有小區(qū)有效。第二條S1AP_UL_NAS_TRANS

eNodeB通過(guò)SecurityModeCommand通知UE啟動(dòng)完整性保護(hù)和加密過(guò)程，UE通過(guò)消息中的安全算法計(jì)算獲取密鑰。此時(shí)下行加密已開(kāi)始。

1)RRC連接建立完成后，MME生成KeNodeB和NH，并向eNodeB發(fā)送UE的安全能力和KeNodeB。安全能力包含UE支持的加密算法和完整性算法。2)eNodeB將完整性保護(hù)算法優(yōu)先級(jí)列表和UE安全能力取交集，選取優(yōu)先級(jí)最高的完整性算法。3)eNodeB將加密算法優(yōu)先級(jí)列表和UE安全能力取交集，選取優(yōu)先級(jí)最高的加密算法。4)eNodeB根據(jù)KeNodeB和選取的安全算法來(lái)計(jì)算出KUPenc，KRRCint和KRRC