LTE知识MME鉴权和加密过程.docx

1、LTE知识MME鉴权和加密过程鉴权流程的目的是由 HSS向 MME供应 EPS鉴权向量 (RAND, AUTN, XRES,KASME)，并用来对用户进行鉴权。1) MME发送 Authentication Data Request 信息给 HSS，信息中需要包含 IMSI，网络 ID，如 MCC + MNC和网络种类，如 E-UTRAN2) HSS收到 MME的央求后，使用 authentication response 信息将鉴权向量发送给 MME3) MME向 UE发送 User Authentication Request 信息，对用户进行鉴权，信息中包含 RAND和 AUTN这两个参

2、数4)UE 收到 MME发来的央求后，先考据 AUTN可否可接受， UE第一经过对照自己计算出来的 XMAC和来自网络的 MAC包含在 AUTN内以对网络进行认证，若是不一致，那么 UE认为这是一个非法的网络。若是一致，尔后计算 RES值，并经过 User Authentication Response 信息发送给MME。MME检查 RES和 XRES的可否一致，若是一致，那么鉴权经过。EPS鉴权向量由 RAND、AUTN、XRES和 KASME四元组组成。 EPS鉴权向量由 MME向 HSS央求获取。 EPS鉴权四元组：l RANDRandom Challenge ： RAND是网络供应给

3、UE的不可以预知的随机数，长度为 16 octets 。l AUTNAuthentication Token ： AUTN的作用是供应信息给 UE，使UE可以用它来对网络进行鉴权。 AUTN的长度为 17octetslXRES Expected Response： XRES是希望的 UE鉴权响应参数。用于和 UE产生的 RES(或 RES+RES_EXT)进行比较，以决定鉴权可否成功。 XRES的长度为 4-16 octets 。l KASME 是依照 CK/IK 以及 ASME MME的 PLMN ID推演获取的一个根密钥。 KASME长度 32octets 。l ASME从 HSS中接收顶

4、层密钥，在 E-UTRAN接入模式下， MME扮演 ASME的角色。l CK ：为加密密钥， CK长度为 16 octets 。l IK ：完满性保护密钥，长度为 16 octets 。在鉴权过程中， MME向 USIM发送 RAND和 AUTN，USIM可以决定返回 RES还是拒绝鉴权。1. MME倡导 AUTH REQ信息，携带鉴权相关信息 RAND和 AUTN；第一条 S1AP_DL_NAS_TRANS2.UE 收到 AUTH REQ信息后回复 AUTH RES携带 RES参数。第一条 S1AP_UL_NAS_TRANS3.MME收到 AUTHRES后，触发安全模式流程，否那么返回 AU

5、THREJ信息。EPS的安全架构以下：EPS安全架构中有相互独立的分层安全：MME和 UE执行 NAS Non-access stratum ，非接入层信令加密和完整性保护。eNodeB和 UE执行 RRC信令加密和完满性保护， UP加密。E-UTRAN里的密钥层次架构：密钥的层次架构里包含以下密钥 : KeNodeB, KNASint, KNASenc, KUPenc,KRRCint 和 KRRCenc-KeNodeB 是由 UE 和 MME各自依照 KASME计算获取的，可用于派生KRRCint、 KRRCenc和 KUPenc，发生切换时也可用于派生 KeNodeB*。在初始连接成马上，

6、由 UE和 MME分别从 E-UTRAN的顶层密钥中派生出来的。 KeNodeB*是由 UE 和源 eNodeB 依照目的物理小区号、下行频率、KeNodeB或新 NH派生出来，并在切换后被 UE和目的 eNodeB用作新的 KeNodeB。NH Next Hop 是用于在 UE和 eNodeB中派生 KeNodeB*。当安全上下文成马上， NH由 UE和 MME从 KeNodeB派生出来；当发生切换时，从上一个 NH派生出来。-NAS 信令的密钥 :-KNASint 是用于 NAS信令完满性保护的密钥 , 是由 UE和 MME各自依照双方协商的完满性算保护算法计算获取的 .-KNASenc

7、是用于 NAS信令加密的密钥 , 是由 UE和 MME各自依照双方协商的加密算法计算获取的 .-用户数据的密钥 :- KUP enc 是特地用于加密用户面数据的密钥，由 KeNodeB派生出来，存在于 UE和 eNodeB中。-RRC 信令的密钥 :-KRRC int 是用于保护 RRC信令完满性的密钥，由 KeNodeB派生出来，存在于 UE和 eNodeB中。-KRRCenc 是用于加密 RRC信令的密钥，由 KeNodeB派生出来，存在于UE和 eNodeB中。4 UE 收到 SMC信息后：- 依照 SMC信息中的 Selected NAS security algorithms 信元计

8、算出KnasEnc和 KnasInt 密钥；- 校验信元 UE security capabilities 和 KSI 可否合法，若是合法，那么回复 MME SECURITY MODE COMPLETE信息，否那么返回 SECURITY MODEREJECT信息。第二条 S1AP_DL_NAS_TRANS应用完满性保护和加密特点时，要求 UE和 MME满足的以下要求：- 对于 NAS信令加密， UE和 MME需支持 128-EEA0 NULL， 128-EEA1（Snow3G和 128-EEA2AES。-对于 NAS信令的完满性保护， UE和 MME需支持 128-EIA1 Snow3G和 1

9、28-EIA2 AES。-可选 UE和 MME支持 128-EIA0 NULL。对于未经认证的紧急呼叫，未要求必定支持，即使 MME和 eNodeB部署了 128-EIA0 NULL的配置也将无效。无线侧的完满性保护和加密保护功能在eNodeB配置，对eNodeB上所有小区有效。第二条S1AP_UL_NAS_TRANSeNodeB经过 Security Mode Command 通知 UE启动完满性保护和加密过程， UE经过信息中的安全算法计算获取密钥。此时下行加密已开始。1) RRC连接建立完成后， MME生成 KeNodeB和 NH，并向 eNodeB发送 UE的安全能力和 KeNodeB

10、。安全能力包含 UE 支持的加密算法和完满性算法。2)eNodeB将完满性保护算法优先级列表和 UE安全能力取交集， 采用优先级最高的完满性算法。3)eNodeB将加密算法优先级列表和 UE安全能力取交集， 采用优先级最高的加密算法。4) eNodeB依照 KeNodeB和采用的安全算法来计算出 KUPenc，KRRCint和 KRRC enc密钥，并为 PDCP配置相应的加密参数和完满性参数。5) eNodeB经过 Security ModeCommand信息向 UE发送安全模式参数配置。 Security Mode Command 信息经过 SRB1发送，由 eNodeB进行完满性保护，没有加密保护。6) eNodeB 接收到 UE反应的信息 .