2. 2、鉴权过程
2.1 综述
EPS鉴权和密钥协商(AKA)过程的目的是实现用户和网络之间的共同鉴权,并商定一个密钥KASME。
EPS的AKA过程总是由网络初始化和控制。但是,UE能拒绝网络侧发起的EPS鉴权询问。只有USIM存在的情况下,UE才会继续进行EPS鉴权。
当EPS 鉴权成功,EPS 安全上下文就会在UE 和网络侧建立。在一个成功的鉴权过程期间,USIM 会计算密钥CK 和IK。CK 和IK 随后会被用作产生KASME 的输入。KASME 被存储在EPS 安全上下文中,该EPS 安全上下文存于网络和ME 的非永久存储介质中。
2.2 网络初始化鉴权
当NAS 信令连接存在,网络就可以再任意时刻发起鉴权过程。网络通过给UE 发送AUTHENTICATION REQUEST 消息和启动定时器T3460 来初始化鉴权过程。如下图:
AUTHENTICATION REQUEST 消息包含计算鉴权响应的必要参数。
第5页
2.3 UE 的鉴权响应
除了在2.6 中描述的情况外,UE 将处理鉴权询问数据,并回应一条AUTHENTICATION RESPONSE 消息给网络。
对于一个成功的EPS 鉴权询问,UE 将根据以下规则决定用来计算新的KASME 的PLMN Identity:
a) 当UE 从EMM-IDLE 状态转移到EMM-CONNECTED 状态,UE 将使用选择的PLMN 的PLMN Identity 直到第一次切换。
b) 在切换或者异系统切换到S1-mode 后,
- 如果目标小区不是共享网络小区,UE 将使用收到的系统信息中的PLMN Identity; - 如果目标小区是一个共享网络小区,并且UE 有一个有效的GUTI,UE 将使用GUTI 中的表示PLMN Identity 的部分;
- 如果目标小区是一个共享网络小区,并且UE有一个有效的P-TMSI 和RAI, 但是没有有效的GUTI,UE 将使用RAI 中的表示PLMN Identity 的部分。
对于一个成功的EPS 鉴权询问,根据鉴权询问数据计算获得的新的KASME 将存储在ME 非永久性存储介质中的一个新的EPS 安全上下文中。
USIM 将利用从ME 接收来的鉴权询问数据来计算鉴权响应(RES),并传递RES 给ME。
为了避免同步错误,当UE 接收到一个AUTHENTICATION REQUEST 消息,UE 将接收到的RAND 和上述的RES 一起存储到ME 的非永久性存储器。当UE 收到后续的AUTHENTICATION REQUEST,如果存储的RAND 值和收到的新的值相等,ME不会将RAND传递给USIM,但是会发送包含存储的RES的AUTHENTICATION RESPONSE消息。如果在ME中没有有效存储的RAND或者存储的RAND和收到的新值不一样,ME将传递RAND值给USIM,用新值覆盖之前存储的任何RAND和RES,并启动,或者复位并重启定时器T3416。
存储在ME中的RAND和RES值将被删除,定时器T3416(如果在运行)将被停止:
- 当接收到一个
- SECURITY MODE COMMAND, - SERVICE REJECT,
第6页
- TRACKING AREA UPDATE ACCEPT, or - AUTHENTICATION REJECT message; - 当定时器T3416超时;或者
- 如果UE进入EMM-DEREGISTERED or EMM-NULL状态。 2.4 网络侧完成鉴权
当接收到一个AUTHENTICATION RESPONSE消息,网络将停止定时器T3460并检查RES的正确性。
如果鉴权过程成功的完成,并且相关的eKSI存储在网络的EPS安全上下文中,当初始化一个新的鉴权过程,网络将包含一个不同的eKSI到AUTHENTICATION REQUEST消息中。
当接收到一条AUTHENTICATION FAILURE消息,网络将停止T3460定时器。EMM cause为 #21\的情况下,核心网可能和HSS/AuC重新协商并提供给UE新的鉴权参数。
2.5 网络拒绝鉴权
如果UE返回的鉴权响应无效,网络根据UE在初始NAS消息中使用的type of identity作出响应:
- 如果GUTI被使用; - 如果IMSI被使用;
如果GUTI被使用,网络应该初始化认证过程。如果在认证过程中由UE给出的IMSI和网络侧拥有的和GUTI相关联的IMSI不一样,将应用正确的参数重启鉴权过程。否则,如果UE提供的IMSI和网络存储的IMSI相同,网络应该按下面的描述继续。
如果初始NAS消息中的IMSI被用来认证,或者在一个不成功鉴权之后网络决定不发起认证过程,网络应该发送AUTHENTICATION REJECT消息给UE。
当接收到AUTHENTICATION REJECT消息后,UE应该将更新状态设置为EU3 ROAMING NOT ALLOWED,删除存储的GUTI,TAI列表,最近访问的TAI和KSIASME。USIM将被认为无效直到UE关机或者包含该USIM的UICC被移除。
如果支持A/Gb或者Iu模式……(省略)
如果UE收到AUTHENTICATION REJECT消息,UE将放弃任何EMM信令过程,停止任何运行的T3410,T3417或者T3430定时器,并进入EMM-DEREGISTERED状 第7页
态。
2.6 UE拒绝鉴权
在一个EPS鉴权询问中,UE需要通过AUTHENTICATION REQUEST消息中的 AUTN参数检查核心网的真实性,从而使得UE能够探测一个伪造的网络。
在EPS鉴权过程期间,UE可能由于错误的AUTN参数而拒绝核心网。该参数包含三个可能的鉴权错误:
a) MAC错误
如果UE发现MAC(在AUTN参数中由核心网提供)无效,UE将发送
AUTHENTICATION FAILURE消息给网络,消息中的EMM cause为#20”MAC failure”。UE然后将执行2.7中描述的条目c。
b) 不接受Non-EPS鉴权
如果发现由核心网提供的AUTN中的AMF域的” separation bit”的值为0,UE发送AUTHENTICATION FAILURE消息给网络,消息中的EMM cause设置为#26” non-EPS authentication unacceptable”,UE然后执行2.7中描述的条目d。
TS 33.401中的相关说明:
If the Network Type equals E-UTRAN then the \of AUTN shall be set to 1 to indicate to the UE that the authentication vector is only usable for AKA in an EPS context, if the %usable in a non-EPS context only (e.g. GSM, UMTS).
c) SQN错误
如果UE发现SQN(Sequence Number,在AUTN中由核心网提供)超出范围,UE发送AUTHENTICATION FAILURE消息给网络,消息中的EMM cause设置为#21”synch failure”,UE然后执行2.7中描述的条目e。
如果UE返回AUTHENTICATION FAILURE消息给网络,UE必须删除任何先前存储的RAND和RES,如果T3416运行,将其停止。
2.7 异常情况 a) 低层错误:
在接收到AUTHENTICATION RESPONSE之前探测到低层错误,网络将放弃该过程。 b) T3460超时
第8页