协议类鉴权专题6专家级.docx
《协议类鉴权专题6专家级.docx》由会员分享,可在线阅读,更多相关《协议类鉴权专题6专家级.docx(10页珍藏版)》请在冰豆网上搜索。
协议类鉴权专题6专家级
课程模块代码鉴权
课程目标:
●课程目标1
●课程目标2
●课程目标3
●课程目标4
参考资料:
●参考资料1
●参考资料2
●参考资料3
目录
第1章鉴权3
1.1烧号和放号3
1.2鉴权参数五元组的产生4
1.3VLR/SGSN从HLR取鉴权参数集AV4
1.4签权过程6
1.4.1VLR/SGSN选择一组AV(i)7
1.4.2CN发起authenticationrequest,将RAND、AUTN发给UE。
7
1.4.3UE对网络进行鉴权8
1.4.44.4、网络对UE进行鉴权9
第一章鉴权
知识点
提示本节含盖的知识点
一.1烧号和放号
USIM卡上烧号时烧入Ki(authenticationkey)值,和CN放号时在HLR上设的Ki(authenticationkey)值一致。
Ki应该是指:
Long-termsecretkeysharedbetweentheUSIMandtheAuC
图11鉴权
一.2鉴权参数五元组的产生
鉴权参数五元组的信息包含RAND,XRES,AUTN,CK和IK。
鉴权参数五元组的产生如下图所示,需要用到K值。
FigureshowsthegenerationofanauthenticationvectorAVbytheHE/AuC
图12Generationofauthenticationvectors
一.3VLR/SGSN从HLR取鉴权参数集AV
CN在发起鉴权前,如果VLR/SGSN中还没有鉴权参数,此时将首先发起到HLR取鉴权集的过程,并等待鉴权参数的返回。
鉴权参数五元组的信息包含RAND,XRES,AUTN,CK和IK。
如图13
图13
一.4签权过程
一.4.1VLR/SGSN选择一组AV(i)
一.4.2CN发起authenticationrequest,将RAND、AUTN发给UE。
一.4.3UE对网络进行鉴权
图14UserauthenticationfunctionintheUSIM
USIM根据K、RAND、AUTH计算出XMAC。
和AUTH中包含的MAC进行比较。
如果XMAC和MAC不同,UE发送包含失败原因(cause)的userauthenticationreject消息给CN(VLR/SGSN)。
图15Authenticationandkeyestablishment
USIM还要校验接收的sequencenumberSQN是否在正确范围内。
如果USIM认为sequencenumberSQN不在正确范围内,发送synchronisationfailure给CN(VLR/SGSN)。
如果sequencenumberSQN在正确范围内,USIM计算出RES。
发送包含RES参数的userauthenticationresponse消息给CN(VLR/SGSN)。
最后USIM还要计算出CK、IK(RAND、K)。
一.4.44.4、网络对UE进行鉴权
接收到userauthenticationresponse消息后,VLR/SGSN对RES和XRES进行比较。
如果XRES等于RES,签权通过。
VLR/SGSN从选定的AV组中选择CK、IK。
如果XRES不等于RES,鉴权失败。
VLR/SGSN将发起一个AuthenticationFailureReport过程给HLR,如下图。
并决定向用户发起新的鉴权过程。
图16ReportingauthenticationfailurefromVLR/SGSNtoHLR
附录ASymbols
||Concatenation
⊕Exclusiveor
f1MessageauthenticationfunctionusedtocomputeMAC
f1*MessageauthenticationfunctionusedtocomputeMAC-S
f2MessageauthenticationfunctionusedtocomputeRESandXRES
f3KeygeneratingfunctionusedtocomputeCK
f4KeygeneratingfunctionusedtocomputeIK
f5KeygeneratingfunctionusedtocomputeAKinnormalprocedures
f5*KeygeneratingfunctionusedtocomputeAKinre-synchronisationprocedures
KLong-termsecretkeysharedbetweentheUSIMandtheAuC
附录BAbbreviations
鉴权五元组
AUTNAuthenticationToken
RANDRandomchallenge
XRESExpectedResponse
IKIntegrityKey
CKCipherKey
AKAnonymityKey
AKAAuthenticationandkeyagreement
AMFAuthenticationmanagementfield
AVAuthenticationVector
CKSNCipherkeysequencenumber
CSCircuitSwitched
HEHomeEnvironment
HLRHomeLocationRegister
IMSIInternationalMobileSubscriberIdentity
KSIKeySetIdentifier
KSSKeyStreamSegment
LAILocationAreaIdentity
MACThemessageauthenticationcodeincludedinAUTN,computedusingf1
MACThemessageauthenticationcodeincludedinAUTN,computedusingf1*
MEMobileEquipment
MSMobileStation
MSCMobileServicesSwitchingCentre
PSPacketSwitched
P-TMSIPacket-TMSI
QQuintet,UMTSauthenticationvector
RAIRoutingAreaIdentifier
SQNSequencenumber
SQNHEIndividualsequencenumberforeachusermaintainedintheHLR/AuC
SQNMSThehighestsequencenumbertheUSIMhasaccepted
SGSNServingGPRSSupportNode
SIM(GSM)SubscriberIdentityModule
SNServingNetwork
TTriplet,GSMauthenticationvector
TMSITemporaryMobileSubscriberIdentity
UICCUMTSICCard
USIMUniversalSubscriberIdentityModule
VLRVisitorLocationRegister
UEAUMTSEncryptionAlgorithm
UIAUMTSIntegrityAlgorithm
UEA0noencryption
UEA1Kasumi
UIA1Kasumi