AUTN:Authentication Token,鉴权令牌,MME提供给UE,UE使用它对网络进行鉴权。
RAND:一个随机数,用于生成xRES、AK、CK、IK。
XRes:expected Response,期望响应,用于网络对UE鉴权。
ASME:Access Security Management entity,接入安全管理实体。
Kasme:UE或HSS根据CK、IK推演得到。
1. Initial UE Message(eNodeB ——> MME)
(1)携带消息:Attach Request, PDN Request
- Attach Request:EMM(EPS Mobility Management)层信息。
- PDN Request:ESM(EPS Session Management)层信息。
(2)信息:
- 用户信息:S-TMSI,或IMSI ,或IMEI
- UE 网络能力:支持的加密完保算法
- TAI
- PDN Request
- RRC establishment原因
(3)EMM处理:利用用户信息判断是否需要用户身份识别。
2. Identity Request(MME ——> eNodeB ——> UE )
3. Identity Response(UE ——> eNodeB ——> MME)
UE 将IMSI或者IMEI带给MME。至于携带IMSI还是IMEI,由Identity Request决定。
4. Authentication Request(MME ——> eNodeB ——> UE )
(1) EPC准备工作:生成鉴权向量
- Authentication Data Request(MME ——> HSS):IMSI、SN(Server Network ID)、network Type
- Authentication Data Response(HSS ——> MME):RAND、AUTN、K-ASME、xRes
(2) 信息:RAND、AUTN(MAC、AMF、SQN xor AK)
(3) UE处理:
- UE鉴权网络:利用K、AMF、RAND、SQN生成MAC的值,与AUTN中携带的MAC值做比较,若相同,则鉴权成功;否则鉴权失败。K:存储在USIM和认证中心AuC的永久密钥。
- 生成RES:若鉴权成功,利用K、RAND生成RES,然后通过Authentication Response发送给MME。
5. Authentication Response(UE ——> eNodeB ——> MME)
(1) 信息:RES、ECGI、TAI
(2) MME处理:将RES与保存的XRES做比较,若相同,MME对UE鉴权成功;否则鉴权失败。
6. Security Request(MME ——> eNodeB ——> UE )
(1) 安全为NAS的加密和完保。
(2) 信息:Selected NAS Security Algorithm、UE安全能力。
(3) UE处理:
- 检查UE能力和KSI(key set Indetifier是否合法),若不合法,回复Security Reject。
- 根据Selected NAS Security Algorithm,解出KNAS-enc、KNAS-int。
7. Security Response(UE ——> eNodeB ——> MME)
NAS加密完保成功。
8. Initial context setup Request(MME ——> eNodeB )
(1) 携带消息:Attach Accept, Activate default EPS bearer context request。
(2) 信息:
- TAI、GUTI
- T3412、T3402 、T3423
- Activate default EPS bearer context request