2G3G鉴权加密详解

3G鉴权加密特性描述
目录
关于本文档........................................................................................................... 错误!未定义书签。

1 3G鉴权加密特性描述 (1)
1.1特性概述 (1)
1.1.1功能编码 ................................................................................................................. 错误!未定义书签。

1.1.2功能定义 (1)
1.1.3应用场景 (1)
1.1.4对外接口 (2)
1.1.5遵循标准 (2)
1.1.6约束与限制.............................................................................................................. 错误!未定义书签。

1.1.7业务受益 ................................................................................................................. 错误!未定义书签。

1.1.8发布历史 ................................................................................................................. 错误!未定义书签。

1.2可获得性........................................................................................................................... 错误!未定义书签。

1.2.1涉及网元 ................................................................................................................. 错误!未定义书签。

1.2.2各网元实现的功能.................................................................................................. 错误!未定义书签。

1.2.3 License支持 ............................................................................................................ 错误!未定义书签。

1.2.4硬件兼容性.............................................................................................................. 错误!未定义书签。

1.2.5版本支持 ................................................................................................................. 错误!未定义书签。

1.3业务流程 (3)
1.3.1 GSM鉴权与加密 (3)
1.3.2 UMTS鉴权与加密 (5)
1.3.3 GSM与UMTS鉴权流程 (12)
1.3.4鉴权加密中的多网元版本兼容处理 (22)
1.3.5场景描述 (26)
1.3.6 USIM + 3G终端+ RNC接入网络成功 (27)
1.3.7 USIM + 2G终端+ BSC接入网络成功 (33)
1.3.8 SIM + 3G终端+ RNC接入网络成功 (37)
1.3.9 UE鉴权UMTS网络MAC失败场景 (41)
1.4查表流程（针对不需要细分场景的） (45)
1.5与3G计费与话单 (45)
1.5.1计费原则 (45)
1.5.2话单产生情况 (46)
1.6性能测量 (46)
1.7与其它业务的交互 (48)
1.8 3G鉴权加密特性操作维护描述 (48)
1.8.1 3G鉴权加密特性MML命令 (48)
1.8.2 3G鉴权加密特性内部软参 (49)
1.8.3 3G鉴权加密特性相关的告警信息 (49)
1.9参考信息 (50)
1.9.1术语 (50)
1.9.2缩略语 (50)
实用
插图目录
图1-1 GSM鉴权网元功能图 (4)
图1-2 GSM加密网元功能图 (5)
图1-3 UMTS鉴权集生成示意图 (6)
图1-4 USIM卡对鉴权集的处理 (7)
图1-5 USIM对SQN的检测 (9)
图1-6 AUTS的生成 (10)
图1-7 GSM鉴权流程（HLR与AUC合一） (12)
图1-8 UMTS鉴权流程（HLR与AUC合一） (13)
图1-9并行取鉴权集流程 (15)
图1-10从HLR取回鉴权集流程 (16)
图1-11到PVLR取标识流程 (17)
图1-12 UMTS鉴权MAC失败流程 (20)
图1-13 UMTS鉴权同步失败流程 (21)
图1-14 USIM卡与各不同版本的网元配合时的鉴权集处理 (23)
图1-15 SIM卡与各不同版本的网元配合时的鉴权集处理 (24)
图1-16 UMTS鉴权加密成功流程 (27)
图1-17 GSM鉴权加密成功流程 (33)
图1-18 UMTS鉴权加密成功流程 (37)
图1-19 UE鉴权MAC失败场景 (41)
表格目录表1-1 3G鉴权加密特性相关的关键性能测量指标 (46)
1 3G鉴权加密特性描述1.1 特性概述
1.1.1 功能定义
1.1.2 应用场景
鉴权加密功能在GSM和UMTS网络中皆为默认开启，以保证网络的安全性。

在UMTS（或GSM）网络中，非法入侵者为获取用户与网络交互的信息，以从中获取
有用的信息。

如窃听用户的通话获取机密信息，窃取用户与网络的信令交互，跟踪用户
的活动。

对于用户语音通信的内容，协议要提供有效的加密机制，避免非法用户窃取语
音内容。

对于信令交互，协议同样要提供安全机制予以保护。

用户每次发起的接入过程
的第一条消息，移动台和网络都无法进行加密，而用户一定要提供用户身份ID，否则
网络就无法认识该用户，这样，入侵者就可以获取这条未加密信息包含的用户身份ID
来跟踪用户，所以网络要提供合理的机制使用户不会使用永久的用户身份ID来避免用
户被跟踪。

UMTS（或GSM）网络提供了一定安全措施来避免以上问题。

主要的安全措施有：
●用户认证机制。

即网络鉴权用户，可以一定程度上避免非法用户的接入。

●无线接口的通信加密。

网络可以对用户的语音通信提供加密措施，避免用户被
窃听，在UMTS网络中也提供对信令的加密（GSM网络仅仅语音加密）。

临时标识的使用。

提供TMSI临时用户身份标识，代替用户卡永久性标识IMSI
在空口传送，可以很大程度上避免用户被跟踪。

1.1.3 对外接口
鉴权加密时，MSOFTX3000涉及到和各网元的接口，其中的主要消息交互如下：
1.1.4 遵循标准
与鉴权/加密相关的协议主要有：3GPP TS 33.102、3GPP TS 33.103、3GPP TS 33.105协
议。

其中3GPP TS 33.102是最重要的协议。

3GPP TS 33.102：该协议讲述3G安全架构，是鉴权/加密最重要的协议文档，主要讲述
如下几个方面：
1) 介绍3G安全架构。

2) 5元组的生成。

3) 鉴权质询和密钥匹配。

4) 系统内和系统间密钥传递的原则。

5) 鉴权中心序列号生成建议。

1.2 业务流程
1.2.1 GSM鉴权与加密
GSM鉴权
GSM鉴权过程主要涉及到AUC、HLR、MSC/VLR、MS和SIM卡，他们均各自存储着
用户有关的信息或参数。

当MS发出入网请求时，MSC/VLR就向MS发送RAND，SI
M卡使用该RAND与SIM卡内所保存的的鉴权密钥Ki和鉴权算法A3，计算出符号相
应SRES，然后把SRES会送给MSC/VLR，验证用户的合法性。

鉴权密钥Ki是运营商的机密数据。

鉴权密钥Ki只会在AUC和SIM卡中保存并保持一
致，别的网元无法获得。

用户鉴权实际上就是检查用户是否拥有Ki鉴权密钥的。

所以
一旦用户的Ki泄密，用户就有被盗的风险。

图1-1GSM鉴权网元功能图
GSM加密
GSM系统为了确保用户信息（语音或非语音业务）的私密性，在BTS和MS之间交换
信息时，专门采用了一个加密流程。

在鉴权过程中，当SIM卡计算SRES时，同时用
A8算法算出加密密钥Kc。

当MSC/VLR把加密模式命令（M）通过BTS发往MS时，
MS根据M、Kc及TDMA帧号通过加密算法A5，产生一个加密消息“加密模式完成”，
表明MS已经完成加密，并将加密消息回送给BTS。

BTS采用相应算法解密，恢复消息
M，如果无误则告诉MSC/VLR，表明加密模式完成。

加密算法A5是标准化的，但规范仍然是保密的。

它由GSM协会管理并在特许下发放
给GSM设备制造商，包括终端制造商和基站制造商。

加密算法的选择是由移动台上报的classmark、BTS支持的加密算法和MSC/VLR配置支
持的加密算法取交集，所以MSC/VLR设置支持的加密算法必须与接入侧协商。

图1-2GSM加密网元功能图
1.2.2 UMTS鉴权与加密
◆UMTS鉴权基本概念
由于2G系统中的鉴权机制是单方面的，即只考虑了网络对用户的认证，而没有考虑用
户对网络的识别。

由此带来的问题是，可以通过伪装成网络对用户进行攻击。

在3G系
统中，除了网络设备可以对用户终端的身份进行识别外，还增加了用户终端对网络设备
的身份进行识别的功能，即网络和用户终端之间的双向鉴权。

双向鉴权的实现是通过对
鉴权5元组（RAND/XRES/CK/ IK /AUTN）进行一系列的操作来实现。

而且3G系统考
虑了安全的可扩展性。

在UMTS鉴权机制中，包含3个实体：
●HE，归属环境，Home Environment，通常指鉴权中心AUC。

●SN，服务网络，Serving Network。

通常指用户当前所在的VLR。

●终端，实际上是USIM卡。

UMTS鉴权基本思想是使服务网络通过鉴权请求和鉴权响应来检测用户身份（和GSM
网络中的检测机制相同），而USIM卡检测服务网络是否被归属网络授权可以进行用户
身份的验证。

后者只存在于UMTS中（在GSM中不存在这种机制），通过这种验证，
USIM卡可以检测到自己是否接入合法的网络。

鉴权密钥K是双向鉴权机制的基础。

鉴权密钥K只存在用户的USIM卡和用户归属环
境的鉴权中心AUC。

鉴权密钥K是运营商的机密数据。

UMTS的鉴权使用的是5元组，这五个信元分别为：
● RAND ，网络鉴权随机数，作用：作为计算XRES 的参数，是产生不同鉴权集
的种子。

● XRES ，用户应答的期望值，作用：作为用户合法性检查的参数，是网络鉴权
用户的标准。

● CK ，加密密钥，作用：作为用户信息（语音及其他用户传输的内容）的加密
参数。

等同于2G 的KC 。

● IK ，完整性密钥，作用：作为网络与终端信令的完整性保护参数，是用于信令
加密的。

而2G 的KC 只对用户传输的内容（如语音）等进行加密，无法对信
令进行加密。

● AUTN ，鉴权令牌，作用：USIM 卡确认网络合法性的参数。

◆ UMTS 鉴权集的产生
图1-3 UMTS 鉴权集生成示意图
K
MAC XRES CK IK AK
上图详细描述了UMTS 鉴权5元组的生成。

1、 鉴权集产生的过程是从获得一个合适的SQN 开始，SQN 是一个不断变大的参
数，使用SQN 的目的是让USIM 卡能识别由AUC 鉴权中心生成的鉴权五元组的合法性（即后一个鉴权五元组中的SQN 要大于前一个鉴权五元组中的SQN ，否则USIM 卡认为后一个鉴权五元组不合法）。

2、 鉴权集的产生还需要伪随机数RAND 。

3、 AK 是为了保护SQN 而存在的，AUTN 中不直接携带SQN ，而是携带SQN ⊕A
K ，达到了隐藏SQN 的目的。

4、 AMF 是指明生成某一个A V 所使用的算法和密钥，还可以使用AMF 对SQN 进
行某些限制，如：为了防止SQN 翻转，AMF 用来指示SQNMS 和SQN 之间的最大许可差值，也就是SQNHE - SQNMS< AMF 而且SQNHE > SQNMS ，
举例：AMF 是31，SQNMS 是500，SQNHE 是536，由于SQNHE - SQNMS> AMF ，所以USIM 会产生鉴权同步失败（详细描述见5.8 UMTS 鉴权同步失
败流程）。

5、 加密算法f1，f2，f3，f4，f5在3GPP 协议相关文档TS35.205、TS35.20
6、TS3
5.207、TS35.208、TS35.209有详细的描述，相关引用信息可见本文1.1.5遵循
标准章节。

6、 MAC 是USIM 卡鉴权网络合法性的关键参数，当USIM 计算出来的MAC 值与
网络下发的MAC 不符时，则USIM 卡认为网络非法。

USIM 卡对鉴权集的处理
图1-4 USIM 卡对鉴权集的处理
K
RAND XMAC RES CK IK
AUTN
现在来研究USIM 卡对鉴权的处理。

在AUC 的f1-f5算法在USIM 卡同样也要使用。

但在顺序上有区别。

f5在f1之前进行计算，因为f5用来隐藏SQN ，这种隐藏可以有效防止窃听者通过SQN 获得用户的身份信息。

如图4所示，f1的输出在USIM 被标记为XMAC 。

把XMAC 和从网络侧收到的MAC （AUTN 的一部分）相比较，如果匹配，则
是合法的AUC生成的鉴权5元组（因为生成该五元组的AUC知道鉴权密钥K），网络
是合法的。

当然，由于RAND和AUTN是在无线信道传输的，有可能被窃听，攻击者就可以获取
到合法的RAND和AUTN。

如何防止这种情况呢？这正是SQN产生的原因。

USIM卡
每次鉴权成功后都会把当前的SQN保存到USIM的flash中。

下次鉴权时，要求当前的
收到的SQN必须大于flash中保存的SQN。

这就意味着网络不能重复使用5元组鉴权集，
同时，如果从AUC获取多组鉴权集时，必须按照一定的顺序使用。

由于电路交换（CS）
和分组交换（PS）的移动管理功能是相互独立的，这就意味着先从AUC获取的鉴权集
还是有可能在后面使用的情况，解决的办法就是将电路交换（CS）和分组交换（PS）
的鉴权集分开管理。

◆SQN的产生
原则上，SQN的管理是由运营商来规定的。

当前产生SQN有两种基本的策略：每一个
用户有一个个人的SQN，或者SQN的产生可以基于一个全局的计数器。

这两种策略的
组合也是有可能的。

3GPP TS33.102的附录C详细的介绍了SQN的管理，这里就不做
详细的介绍了。

◆USIM中的SQN检测
SQN的使用可以使USIM卡能检测鉴权集的重复使用。

除了保存最大的SQN外，USIM
维护着一个收到的SQN数组，SQN数组中由IND索引，数值中每个元素表示某种类型
的SQN最大值，目前主要分为三种类型，电路域、分组域、IMS域，每个域可能使用
多个SQN数组索引。

协议建议IND的长度是5位，则这个数组有32个元素。

数组中的
第i个元素，是到目前为止收到的IND=i的最大的SQN值。

如果收到的SQN大于数组
中第i个元素值，SQN被接受，网络鉴权成功，数组中第i个元素值由收到的SQN值
代替。

如果收到的SQN小于或等于数组中的值，收到的SQN值不被接受，网络鉴权失
败。

数组中的元素没有改变，同时同步流程被触发。

图1-5USIM对SQN的检测
SQN同步机制
双向鉴权的基础是存储在AUC和USIM的两个参数：鉴权密钥K和动态的SQN。

对于
动态的SQN来说由于某些原因而导致两边不同步，这样，鉴权就会失败。

这就需要使
用专门的同步机制来调整网络侧的SQN。

在同步期间，USIM卡生成AUTS，然后把AUTS传送给AUC。

生成AUTS中使用的参
数如下：
SQN MS：当前USIM保存的最大的SQN值。

K：USIM中存储的鉴权密钥。

RAND：导致SQN同步的鉴权集参数RAND.
AMF：导致SQN同步的鉴权集参数AMF.
图1-6 AUTS 的生成
当AUC 收到了AUTS 参数时，它会完成下列步骤：
1、从AUTS 计算出SQNMS ；
2、基于SQNMS 的值，AUC 检测网络侧的SQN 是否大于SQNMS ，如果大于SQ
NMS ，则执行步骤4；如果小于或者等于SQNMS ，则执行步骤3；
3、AUC 通过SQNMS 、K 、RAND 、AMF4个参数，使用f1算法，计算出MAC ，
然后比较MAC 与AUTS 中的MAC-S 的值是否一致。

如果一致，则网络侧的S QN 被SQNMS 替换，同时过程从第4步执行；如果不正确，则网络侧的SQN
不变，但是过程仍旧从第4步继续。

4、AUC 发送新的一批鉴权集5元组到VLR/SGSN 。

协议建议此时只发送一组鉴权
集。

MSC/VLR 收到鉴权集就可以继续向移动台发起鉴权请求。

正常的情况下，同步之后的鉴权是能通过的。

如果再次同步失败，则可能是USIM 卡有问题或者用户本身就是一个恶意攻击者。

目前MSOFTX3000在一次接入过程最多允许两次同步失败。

两次同步后，USIM 卡还是同步失败拒绝鉴权，网络侧将拒绝用户接入。

UMTS 加密
由RNC 根据MSC/VLR 发送的允许的算法列表、UE 的classmark 中允许的算法列表和node B 支持的算法列表进行对比并选择，如果三者没有共有的UEA 算法而且网络没有准备好使用不加密的连接，那么连接应该释放。

如果三者至少有一个共有的UEA 算法，网络在本次连接中应该选择一个相互都可支持的UEA 算法，以完成加密。

加密所用加密密匙（CK/IK ）是由鉴权集中获得，而鉴权流程并不是必须的，而是可由用户配置，用[MOD AUTHCFG]命令可以配置各种不同事件的鉴权频率。

所以如果对于某个事件，鉴权配置表配置该事件不用鉴权，但要求要加密。

若此时VLR 没有相应的加密上下文（鉴权集中对应的加密密钥部分），则系统会自动要求启动鉴权流程。

为了允许在一个RR 连接上不鉴权而启动加密，引入了KSI （2G 中为CKSN ），KSI 即Key Set Identifier ，CKSN 即ciphering key sequence numbers 。

KSI （CKSN ）由网络管理。

K
MAC-S AK SQN MS + AK
所以KSI的作用是使网络可以通过它识别保存在MS中的CK和IK而不用启动鉴权流程，这就可以在后来的连接建立过程中再使用CK和IK启动加密。

KSI（CKSN）是一个数值，和与此用户相关某组鉴权集在VLR中序号相对应（假使VLR 原本一次从HLR取回5组鉴权集，已用两组，那么最近一次被使用的一组鉴权集序列号为1）。

KSI和CKSN有相同的格式，占用3bits，七个值用来识别密钥集，‘111’被MS用来表示无可用密钥。

当CK/IK被删除后，KSI也设置为‘111’；在网络侧‘111’是保留值。

UE（MS）在给网络的第一条消息（LOCATION UPDATING REQUEST, CM SERVICE REQUEST, PAGING RESPONSE, CM RE-ESTABLISHMENT REQUEST）中带上KSI （CKSN）。

在GSM系统中，如果保存的CKSN和MS发送来的CKSN相同，则可以用此CKSN对应的鉴权集中加密密钥Kc来启动加密。

在UMTS系统中，如果保存的KSI 和UE发送来的KSI相同，则可以用保存的CK、IK来启动加密和完整性保护。

另外，按协议描述，在CS域和PS域并发业务时，必须使用同一加密算法，否则后发起的业务会因加密失败而被拒。

所以PS和CS必须统一规划加密算法和完整性算法，使得PS域和CS域允许的加密算法保持一致，保证（PS域所支持加密算法和RNC所支持加密算法的交集）=（PS域所支持加密算法和RNC所支持加密算法交集），才能保证在CS域和PS域并发业务时，后发起业务不会因为加密失败而被RNC拒绝。

1.2.3 GSM与UMTS鉴权流程
GSM鉴权基本流程
图1-7GSM鉴权流程（HLR与AUC合一）
1、MSC收到用户接入请求，到VLR取用户相关数据，VLR决定是否发起鉴权和
加密。

鉴权的配置由鉴权配置表[MOD AUTHCFG]配置，可以配置各种不同事
件的鉴权频率。

加密的配置由MAP功能配置表[SET MAPACCFG]中的"加密"
和"加密算法"选项配置。

如果对于某个事件，鉴权配置表配置该事件不用鉴权，
但要求要加密。

若此时VLR没有相应的加密上下文（鉴权集中对应的加密密钥
部分），则系统会自动要求启动鉴权流程。

2、当VLR决定要发起鉴权时，如果VLR没有鉴权集时，VLR就会以MAP操作
MAP_SEND_AUTHENTICATION_INFO发起到HLR获取鉴权集。

VLR到HLR
的寻址是根据用户的IMSI来获得的。

VLR通过查找IMSIGT表，将用户的IM
SI从E212编码变换为E214编码，然后在SCCP层将E214编码翻译成HLR的
信令点。

3、VLR收到HLR送过来的鉴权集后，取出第一组鉴权集，通过MAP_AUTHENT
ICATE发给MSC，对用户进行鉴权。

剩下鉴权集保存到VLR里。

4、移动台收到网络侧的鉴权请求时，将RAND发送到SIM卡，SIM卡根据RAN
D和保存在SIM卡的鉴权密钥Ki计算出鉴权结果SRES和加密密钥Kc。

然后
SIM把SRES和加密密钥Kc发送给移动台。

移动台把鉴权结果SRES通过上行
链路传送给MSC/VLR。

5、MSC 收到鉴权响应后，将鉴权响应SRES 发给VLR ，如果SRES 与VLR 保存
的SRES 相同，则鉴权通过，继续接入过程；否则，VLR 给接入侧发AUTHEN TICATION REJECT 。

移动台收到AUTHENTICA TION REJECT 消息后，将停止在该网络驻留，并将该网络加入禁止网络列表。

对于GSM 鉴权流程中各重要消息以及信元，以及对于非完全3G 网络（完全3G 网络，即移动台，接入网，核心网都3G ）的鉴权场景请参见1.3.8章节之具体场景分析。

UMTS 鉴权基本流程
图1-8 UMTS 鉴权流程（HLR 与AUC 合一）
1、MSC 收到用户接入请求，到VLR 取用户相关数据，VLR 决定是否发起鉴权和
加密。

鉴权的配置由鉴权配置表[MOD AUTHCFG]配置，可以配置各种不同事件的鉴权频率。

加密的配置由MAP 功能配置表[SET
MAPACCFG]中的"加密"和"
加密算法"选项配置。

如果对于某个事件，鉴权配置表配置该事件不用鉴权，但要求要加密。

若此时VLR 没有相应的加密上下文（鉴权集中对应的加密密钥部分），则系统会自动要求启动鉴权流程。

对于完全3G 网络（即UE ，接入网，核心网都3G ），按照协议是必须进行加密的。

但在华为MSC 侧，可由软参控制，详情可参见1.3.6节配置影响。

2、当VLR 决定要发起鉴权时，如果VLR 没有鉴权集时，VLR 就会以MAP 操作
MAP_SEND_AUTHENTICATION_INFO 发起到HLR 获取鉴权集。

VLR 到HLR 的寻址是根据用户的IMSI 来获得的。

VLR 通过查找IMSIGT 表，将用户的IM 说明
说明
SI 从E212编码变换为E214编码，然后在SCCP 层将E214编码翻译成HLR 的信令点。

对完全3G 网络，MAP 操作MAP_SEND_AUTHENTICATION_INFO
必须是V3才能获得5元组，所以必须将MAP 的版本设置为MAP PHASE 2+[S ET MAPACCFG]且软参P99BIT13=0，否则会出现GSM_AUTHENTICATION_UNACCEPTABLE 的鉴权失败。

VLR 到HLR 每次取鉴权集时，一般是取多个
鉴权集的。

一般情况下，取鉴权集的个数是由VLR 来决定的（通过[SET MAP PARA]的"取鉴权集时要求的鉴权集个数"选项配置）。

但对于某些HLR ，不会根据VLR 请求的个数来送，而是根据HLR 自己的配置来决定送给VLR 的鉴权集个数。

P99比特13（MAP_AS_2G_MSC ）
用于控制本局是作3G MSC 还是2G MSC 。

=0：表示作为3G MSC 。

=1：表示作为2G MSC 。

默认值：0
3、VLR 收到HLR 送过来的鉴权集后，取出第一组鉴权集，通过MAP_AUTHENT
ICATE 发给MSC ，对用户进行鉴权。

剩下鉴权集保存到VLR 里。

对于3G 鉴权5元组，必须按照HLR 发给MSC/VLR 的先后顺序来使用。

MSC 对鉴权参数R AND 与AUTN 不做任何分解而通过鉴权消息直接下发给UE 。

4、移动台收到网络侧的鉴权请求时，将RAND 、AUTN 发送到USIM 卡，USIM 卡
根据RAND 、AUTN 和保存在USIM 卡的鉴权密钥K 作如下的处理：
a) USIM 卡首先检查AUTN ，如果AUTN 中的MAC 与USIM 用RAND 计算
出来的MAC 相同，则转到b)，否则给网络侧回MAC failure 。

b) USIM 卡根据AUTN 计算得到的SQN 范围是否正确（与USIM 卡保存的S
QN 比较）；若SQN 正确，则转到c),否则给网络侧回synchronization fail
ure 。

c) 根据RAND 计算（XRES ，CK ，IK ），新生成的UMTS CK 、IK 应该覆盖
原来的CK 、IK ，而且和KSI 一起保存在USIM 中，并将XRES 送给网络
侧。

5、MSC 收到鉴权响应后，将鉴权响应XRES 发给VLR ，如果XRES 与VLR 保存
的XRES 相同，则鉴权通过，继续接入过程；否则，VLR 给接入侧发AUTHE
NTICATION REJECT ，同时向HLR 发MAP_AUTHENTICATION_FAILURE_R EPORT 消息，报告鉴权失败。

移动台UE 收到AUTHENTICATION REJECT 消息后，将停止在该网络驻留，并将该网络加入禁止网络列表。

对于UMTS 鉴权流程中各重要消息以及信元，以及对于非完全3G 网络（完全3G 网络，即移动台，接入网，核心网都3G ）的鉴权场景请参见1.3.6章节之具体场景分析。

说明
说明
并行取鉴权集流程
图1-9并行取鉴权集流程
每次到HLR获取多个鉴权集，可以减少MSC/VLR与HLR交互的次数。

如果每次鉴权
时，都要到HLR获取鉴权集，由于信令链路有一定的时延，会导致接入过程时间变长。

现在的问题是，一次从HLR取得了多个鉴权集，但经过几次鉴权之后，鉴权集就会用
完。

这时，如果下次接入要鉴权，则要去HLR获取鉴权集，那么这次接入的过程还是
有一定的时延。

这就是并行取鉴权集流程产生的原因。

并行取鉴权集流程就是在接入过
程中，VLR决定本次接入要鉴权，但VLR中只有这个用户的最后一个鉴权集了，则VLR
在本次鉴权成功后会启动一个新的独立流程，在不干扰用户业务的情况下，去HLR获
取一批新的鉴权集。

目前MSOFTX3000使用的是并行取鉴权集流程。

并行取鉴权集由MML命令SET MAPPARA配置：“SET MAPPARA:
SUPPARALLELAUTH=YES;”，还可以用MML命令MOD VLRCFG设置并行取鉴权集
时用户剩余鉴权集数量：“MOD VLRCFG: REMAINAUTHSETS=xxx;”。

从HLR 取回鉴权集
图1-10 从HLR 取回鉴权集流程
1、 MSC 收到用户接入请求。

2、 MSC 到VLR 取用户数据。

3、 VLR 根据鉴权加密相关配置信息决定用户接入是否需要鉴权加密，并将此信息
返回带给MSC 。

同时，如果需要鉴权，则需要从其本身存储的此用户相关鉴权集中选择一组发送给MSC （而如果此处VLR 中关于此用户的鉴权集已经用光，则MSC 会到用户相应HLR 去取新的鉴权集，取回后保留一组，然后将其余鉴权集插入到VLR 中）。

注意此处HLR 返回的鉴别权集类型（3元组/5元组），取决于两个参数：用户类型（SIM/USIM ）和MSC 的MAP 版本（V2/V3），具体区分请见下表。

4、 网络下发鉴权请求，携带鉴权参数RAND 。

5、 MS 回鉴权响应消息AUTHENTICATION RESPONSE 。

然后由网络侧来比较M
S 上报的鉴权响应消息中携带的SRES 信元值与自身所保存相应鉴权集中的SR ES 值，如果一致则网络鉴权MS 成功，网络允许此用户接入网络。

说明
到PVLR取标识流程
图1-11到PVLR取标识流程
取标识流程的最重要作用是到前VLR获取IMSI标识，而取代直接向用户索取IMSI标
识的流程，以减少空口发送IMSI的次数，增加安全性。

作为取标识流程的一个副产品，
VLR可以从前VLR获取鉴权集，所以前VLR成为了鉴权集的来源之一。

由上述可知，只有当用户携带TMSI 接入网络而且不被网络识别时才会发起取识别流程，而如果是到前VLR （PVLR ）取识别，还必须满足一个条件：MSC 能够识别用户所携带的前位置区（由ADD LAIGCI/LAISAI 命令配置非本局位置区）。

所以此处必须对用户的原位置区进行配置，然后MSC 才能根据根据此配置找到用户的PVLR ，进行取识别流程。

前VLR 发送鉴权集时，将依据双方局向的MAP 版本协商结果以及原来所保存的鉴权集类型。

例如前VLR 保存的是鉴权5元组，但是现所在局MAP 版本为V2，则前VLR 将会将鉴权集转换为3元组后发送。

下表是前后局向版本以及用户类型不同的各种情况下前VLR 发送鉴权集的结果。

需要注意的是，如果软参P184BIT7被设置为0（默认如此），而且当本局MAP 版本为V2时，本局将从前VLR 取回的鉴权集丢弃而重新从HLR 取回鉴权集。

而如果到前VLR 取识别失败，则会发起向用户取识别流程后再根据用户IMSI 到用户归属HLR 取鉴权集。

P184比特7：IF_DISCARD_AUTHENTICATION_VECTOR_FROM_PVLR
用于控制在在3G 网络中用MAP 版本1或MAP 版本2向PVLR 取识别流程中，是否支持丢弃由PVLR 返回的三元组鉴权集。

=0：表示丢弃由PVLR 返回的三元组鉴权集
=1：表示不丢弃由PVLR 返回的三元组鉴权集
默认值：0
说明
二次鉴权流程
在现网中，有可能的一些设备异常（包括MSC 、VLR 以及移动设备），会导致用户可能被分配到错误的TMSI ，则会导致一些异常发生。

如此场景：A 和B 两用户被分配到同一TMSI ，则当A 发起位置更新时，网络侧可能会认为发起请求的是用户B ，所以使用用户B 的鉴权集来鉴权用户A 。

显然，鉴权会失败，如果网络侧直接拒绝用户A 的接入，则会导致用户A 的接入失败，影响用户感受。

为了提高用户的一次接入成功率，提升用户的使用体验，MSOFTX3000作了一下措施：
1、 在用户主动用TMSI 接入鉴权失败的情况下，不直接拒绝用户的接入，而是向
用户获取IMSI ，然后再次发起鉴权，如果用户这次鉴权成功，则允许用户接入。

否则，拒绝用户接入。

2、 在用户主动用IMSI 接入鉴权失败的情况下，不直接拒绝用户的接入，而是获
取新一组鉴权集，再次发起鉴权请求，如果用户这次鉴权成功，则允许用户接入。

否则，拒绝用户接入。

3、 当网络侧用TMSI 寻呼，用户响应并接入时，鉴权失败的情况下，网络不直接
拒绝用户的接入，而是向用户获取IMSI ，如果这个IMSI 与网络侧VLR 保存的与TMSI 相对应的IMSI 一致，则获取新一组鉴权集，再次发起鉴权，如果这次鉴权成功，则允许用户接入。

否则，拒绝用户接入。

如果这个IMSI 与网络侧V LR 保存的与TMSI 的对应IMSI 不一致，如果P184BIT11=1，则获取新一组鉴权集，再次发起鉴权，如果这次鉴权成功，则允许用户接入。

否则，拒绝用户接入。

如果P184BIT11=0，则不发起再次鉴权，而直接拒绝用户的接入。

4、 当网络侧用IMSI 寻呼，用户响应并接入时，鉴权失败的情况下，网络不直接
拒绝用户的接入，而是删除VLR 中的鉴权集，到HLR 获取新的鉴权集后，再次发起鉴权，如果这次鉴权成功，则允许用户接入。

否则，拒绝用户接入。

二次鉴权由配置命令SET MAPPARA 控制，如SET MAPPARA: SECONDAUTH=YES;。

说明。