鉴权流程的目的是由HSS向MME提供EPS鉴权向量(RAND, AUTN, XRES, KASME),并用来对用户进行鉴权。
1) MME发送Authentication Data Request消息给HSS,消息中需要包含IMSI,网络ID,如MCC + MNC和网络类型,如E-UTRAN
2) HSS收到MME的请求后,使用authentication response消息将鉴权向量发送给MME
3) MME向UE发送User Authentication Request消息,对用户进行鉴权,消息中包含RAND和AUTN这两个参数
4) UE收到MME发来的请求后,先验证AUTN是否可接受,UE首先通过对比自己计算出来的XMAC和来自网络的MAC(包含在AUTN内)以对网络进行认证,如果不一致,则UE认为这是一个非法的网络。如果一致,然后计算RES值,并通过User Authentication Response消息发送给MME。MME检查RES和XRES的是否一致,如果一致,则鉴权通过。
EPS鉴权向量由RAND、AUTN、XRES和KASME四元组组成。EPS鉴权向量由MME向HSS请求获取。EPS鉴权四元组:
l RAND(Random Challenge):RAND是网络提供给UE的不可预知的随机数,长度为16 octets。
l AUTN(Authentication Token):AUTN的作用是提供信息给UE,使UE可以用它来对网络进行鉴权。AUTN的长度为17octets
l XRES(Expected Response):XRES是期望的UE鉴权响应参数。用于和UE产生的RES(或RES+RES_EXT)进行比较,以决定鉴权是否成功。XRES的长度为4-16 octets。
l KASME 是根据CK/IK以及ASME(MME)的PLMN ID推演得到的一个根密钥。KASME 长度32octets。
l ASME从HSS中接收顶层密钥,在E-UTRAN接入模式下,MME扮演ASME的角色。
l CK:为加密密钥,CK长度为16 octets。 l IK:完整性保护密钥,长度为16 octets。
在鉴权过程中,MME向USIM发送RAND和AUTN,USIM可以决定返回RES还是拒绝鉴权。
1. MME发起AUTH REQ消息,携带鉴权相关信息RAND和AUTN; 第一条 S1AP_DL_NAS_TRANS
2. UE收到AUTH REQ消息后回复AUTH RES(携带RES参数)。 第一条 S1AP_UL_NAS_TRANS
3. MME收到AUTH RES后,触发安全模式流程,否则返回AUTH REJ消息。
EPS的安全架构如下:
EPS安全架构中有相互独立的分层安全:
MME和UE执行NAS( Non-access stratum,非接入层)信令加密和完整性保护。
eNodeB和UE执行RRC信令加密和完整性保护,UP加密。 E-UTRAN里的密钥层次架构:
密钥的层次架构里包含以下密钥: KeNodeB, KNASint, KNASenc, KUPenc, KRRCint 和KRRCenc
- KeNodeB是由UE和MME各自根据KASME计算得到的,可用于派生KRRCint、KRRCenc和KUPenc,发生切换时也可用于派生KeNodeB*。在初始连接建立时,由UE和MME分别从E-UTRAN的顶层密钥中派生出来的。KeNodeB*是由UE和源eNodeB根据目的物理小区号、下行频率、KeNodeB(或新NH)派生出来,并在切换后被UE和目的eNodeB用作新的KeNodeB。NH(Next Hop)是用于在UE和eNodeB中派生
LTE知识MME的鉴权和加密过程
