KeNodeB*。当安全上下文建立时,NH由UE和MME从KeNodeB派生出来;当发生切换时,从上一个NH派生出来。 - NAS信令的密钥:
- KNASint 是用于NAS信令完整性保护的密钥,是由UE和MME各自根据双方协商的完整性算保护算法计算得到的.
- KNASenc 是用于NAS信令加密的密钥,是由UE和MME各自根据双方协商的加密算法计算得到的. - 用户数据的密钥:
- KUP enc是专门用于加密用户面数据的密钥,由KeNodeB派生出来,存在于UE和eNodeB中。 - RRC信令的密钥:
- KRRC int是用于保护RRC信令完整性的密钥,由KeNodeB派生出来,存在于UE和eNodeB中。
- KRRC enc是用于加密RRC信令的密钥,由KeNodeB派生出来,存在于UE和eNodeB中。 4 UE收到SMC消息后:
- 根据SMC消息中的Selected NAS security algorithms信元计算出KnasEnc和KnasInt密钥;
- 校验信元UE security capabilities和KSI是否合法,如果合法,则回复MME SECURITY MODE COMPLETE消息,否则返回SECURITY MODE REJECT消息。 第二条 S1AP_DL_NAS_TRANS
应用完整性保护和加密特性时,要求UE和MME满足33.401的如下要求:
- 对于NAS信令加密,UE和MME需支持128-EEA0(NULL),128-EEA1(Snow3G)和128-EEA2(AES)。
- 对于NAS信令的完整性保护,UE和MME需支持128-EIA1(Snow3G)和128-EIA2(AES)。
- (可选)UE和MME支持128-EIA0(NULL)。对于未经认证的紧急呼叫,未要求必须支持,即使MME和eNodeB部署了128-EIA0(NULL)的配置也将失效。
无线侧的完整性保护和加密保护功能在eNodeB配置,对eNodeB上所有小区有效。
第二条 S1AP_UL_NAS_TRANS
eNodeB通过Security Mode Command通知UE启动完整性保护和加密过程,UE通过消息中的安全算法计算获取密钥。此时下行加密已开始。
1) RRC连接建立完成后,MME生成KeNodeB和NH,并向eNodeB发送UE的安全能力和KeNodeB。安全能力包含UE支持的加密算法和完整性算法。
2) eNodeB将完整性保护算法优先级列表和UE安全能力取交集,选取优先级最高的完整性算法。
3) eNodeB将加密算法优先级列表和UE安全能力取交集,选取优先级最高的加密算法。
4) eNodeB根据KeNodeB和选取的安全算法来计算出KUP enc,KRRC int和KRRC enc密钥,并为PDCP配置相应的加密参数和完整性参数。 5) eNodeB通过Security Mode Command消息向UE发送安全模式参数配置。Security Mode Command消息通过SRB1发送,由eNodeB进行完整性保护,没有加密保护。 6) eNodeB接收到UE反馈的消息.
【LTE知识】MME的鉴权和加密过程
