LTE知识MME鉴权及加密过程.docx
- 文档编号:10540867
- 上传时间:2023-05-26
- 格式:DOCX
- 页数:31
- 大小:228.14KB
LTE知识MME鉴权及加密过程.docx
《LTE知识MME鉴权及加密过程.docx》由会员分享,可在线阅读,更多相关《LTE知识MME鉴权及加密过程.docx(31页珍藏版)》请在冰点文库上搜索。
LTE知识MME鉴权及加密过程
.
鉴权流程的目的是由HSS向MME供应EPS鉴权向量(RAND,AUTN,
XRES,KASME),并用来对用户进行鉴权。
1)MME
发送
AuthenticationDataRequest
信息给
HSS,信息中需
要包含
IMSI,网络
ID,如
MCC+MNC
和网络种类,如
E-UTRAN
2)HSS收到MME的央求后,使用authenticationresponse信息将
鉴权向量发送给MME
3)MME向UE发送UserAuthenticationRequest信息,对用户进行
鉴权,信息中包含RAND和AUTN这两个参数
4)UE收到MME发来的央求后,先考据AUTN可否可接受,UE第一
经过对照自己计算出来的XMAC和来自网络的MAC〔包含在AUTN
内〕以对网络进行认证,若是不一致,那么UE认为这是一个非法的网络。
若是一致,尔后计算RES值,并经过UserAuthenticationResponse
信息发送给MME。
MME检查RES和XRES的可否一致,若是一致,
那么鉴权经过。
.
EPS鉴权向量由RAND、AUTN、XRES和KASME四元组组成。
EPS鉴权向量由MME向HSS央求获取。
EPS鉴权四元组:
lRAND〔RandomChallenge〕:
RAND是网络供应给UE的不可以预
知的随机数,长度为16octets。
lAUTN〔AuthenticationToken〕:
AUTN的作用是供应信息给UE,
使UE可以用它来对网络进行鉴权。
AUTN的长度为17octets
lXRES〔ExpectedResponse〕:
XRES是希望的UE鉴权响应参数。
用于和UE产生的RES(或RES+RES_EXT)进行比较,以决定鉴权可否成
功。
XRES的长度为4-16octets。
lKASME是依照CK/IK以及ASME〔MME〕的PLMNID推演获取的
一个根密钥。
KASME长度32octets。
lASME从HSS中接收顶层密钥,在E-UTRAN接入模式下,MME扮
演ASME的角色。
lCK:
为加密密钥,CK长度为16octets。
lIK:
完满性保护密钥,长度为16octets。
在鉴权过程中,MME向USIM发送RAND和AUTN,USIM可以决定
返回RES还是拒绝鉴权。
1.MME倡导AUTHREQ信息,携带鉴权相关信息RAND和AUTN;
第一条S1AP_DL_NAS_TRANS
.
2.UE收到AUTHREQ信息后回复AUTHRES〔携带RES参数〕。
第一条S1AP_UL_NAS_TRANS
.
3.MME收到AUTHRES后,触发安全模式流程,否那么返回AUTHREJ
信息。
EPS的安全架构以下:
.
EPS安全架构中有相互独立的分层安全:
MME和UE执行NAS〔Non-accessstratum,非接入层〕信令加密
和完满性保护。
eNodeB和UE执行RRC信令加密和完满性保护,UP加密。
E-UTRAN里的密钥层次架构:
密钥的层次架构里包含以下密钥:
KeNodeB,KNASint,KNASenc,
KUPenc,KRRCint和KRRCenc
-KeNodeB
是由
UE
和
MME
各自依照
KASME
计算获取的,可用于派
生
KRRCint
、KRRCenc
和
KUPenc
,发生切换时也可用于派生
KeNodeB*
。
在初始连接成马上,由
UE
和
MME
分别从
E-UTRAN
的
顶层密钥中派生出来的。
KeNodeB*是由UE和源eNodeB依照目的物
理小区号、下行频率、KeNodeB〔或新NH〕派生出来,并在切换后
.
被UE和目的eNodeB用作新的KeNodeB。
NH〔NextHop〕是用于在UE和eNodeB中派生KeNodeB*。
当安全上下文成马上,NH由
UE和MME从KeNodeB派生出来;当发生切换时,从上一个NH派
生出来。
-NAS信令的密钥:
-KNASint是用于NAS信令完满性保护的密钥,是由UE和MME各自
依照双方协商的完满性算保护算法计算获取的.
-KNASenc是用于NAS信令加密的密钥,是由UE和MME各自依照双方协商的加密算法计算获取的.
-用户数据的密钥:
-KUPenc是特地用于加密用户面数据的密钥,由KeNodeB派生出来,存在于UE和eNodeB中。
-RRC信令的密钥:
-KRRCint是用于保护RRC信令完满性的密钥,由KeNodeB派生出
来,存在于UE和eNodeB中。
-KRRCenc是用于加密RRC信令的密钥,由KeNodeB派生出来,存在于UE和eNodeB中。
4UE收到SMC信息后:
.
-依照SMC信息中的SelectedNASsecurityalgorithms信元计算出
KnasEnc和KnasInt密钥;
-校验信元
UEsecurity
capabilities
和
KSI
可否合法,若是合法,那么
回复MMESECURITYMODECOMPLETE
信息,否那么返回
SECURITY
MODEREJECT信息。
第二条
S1AP_DL_NAS_TRANS
.
应用完满性保护和加密特点时,要求UE和MME满足33.401的以下
要求:
-对于NAS信令加密,UE和MME需支持128-EEA0〔NULL〕,
128-EEA1〔Snow3G〕和128-EEA2〔AES〕。
.
-对于NAS信令的完满性保护,UE和MME需支持128-EIA1
(Snow3G〕和128-EIA2〔AES〕。
-〔可选〕UE和MME支持128-EIA0〔NULL〕。
对于未经认证的紧急呼叫,未要求必定支持,即使MME和eNodeB部署了128-EIA0
〔NULL〕的配置也将无效。
无线侧的完满性保护和加密保护功能在eNodeB配置,对eNodeB上所有小区有效。
第二条S1AP_UL_NAS_TRANS
eNodeB经过SecurityModeCommand通知UE启动完满性保护和
加密过程,UE经过信息中的安全算法计算获取密钥。
此时下行加密已
开始。
.
1)RRC连接建立完成后,MME生成KeNodeB和NH,并向eNodeB发送UE的安全能力和KeNodeB。
安全能力包含UE支持的加密算法和完满性算法。
2)eNodeB将完满性保护算法优先级列表和UE安全能力取交集,采用
优先级最高的完满性算法。
3)eNodeB将加密算法优先级列表和UE安全能力取交集,采用优先级最高的加密算法。
.
4)eNodeB依照KeNodeB和采用的安全算法来计算出KUPenc,KRRCint和KRRCenc密钥,并为PDCP配置相应的加密参数和完满性参数。
5)eNodeB
经过
SecurityModeCommand
信息向
UE
发送安全模式
参数配置。
Security
Mode
Command
信息经过
SRB1
发送,由
eNodeB
进行完满性保护,没有加密保护。
6)eNodeB
接收到
UE
反应的信息
.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- LTE 知识 MME 加密 过程