鉴权加密流程

鉴权加密流程

1、鉴权流程

一个成功的鉴权过程可以用流程图来表示，如图所示。

鉴权成功

鉴权流程由网络侧发起，其目的是：由网络来检查是否允许终端接入网络；提供鉴权参数五元组中的随机数数组，供终端计算出加密密钥（CK）；同时，供终端计算出与网络侧进行一致性检查的密钥（IK）；最后一个目的是可以提供终端对网络的鉴权。

与GSM的鉴权流程相比，3G的鉴权流程增加了一致性检查的功能及终端对网络的鉴权功能。这些功能使3G的安全特性有了进一步的增强。

网络侧在发起鉴权前，如果VLR内还没有鉴权参数五元组，此时将首先发起到HLR取鉴权集的过程，并等待鉴权参数五元组的返回。鉴权参数五元组的信息包含RAND、XRES、AUTN、CK和IK。

在检测到鉴权参数五元组的存在后，网络侧下发鉴权请求消息。此消息中将包含某个五元组的RAND和AUTN。用户终端在接收到此消息后，由其USIM验证AUTN，即终端对网络进行鉴权，如果接受，USIM卡将利用RAND来计算出CK与IK和签名XRES。如果USIM认为鉴权成功，在鉴权响应消息中将返回XRES。

网络侧在收到鉴权响应消息之后，比较此鉴权响应消息中的XRES与存储在VLR数据库中的鉴权参数五元组的XRES，确定鉴权是否成功：成功，则继续后面的正常流程；不成功，则会发起异常处理流程，释放网络侧与此终端间的连接，并释放被占用的网络资源、无线资源。

在成功的鉴权之后，终端将会把CK（加密密钥）与IK（一致性检查密钥）存放到USIM卡中。

有些情况下，终端会在收到鉴权请求消息后，上报鉴权失败！典型的鉴权失败的原因有下面两种：

手机终端在对网络鉴权时，检查由网络侧下发的鉴权请求消息中的AUTN参数，如果其中的“MAC”信息错误，终端会上报鉴权失败消息，原因值为MAC Failure。

鉴权失败（失败原因为MAC Failure）

此时，网络侧将根据手机终端上报的用户标识来决定是否发起识别过程。如果当前的标识为TMSI（或P-TMSI），则发起识别流程，要求手机终端上报IMSI 信息。然后再次发起鉴权流程。

另外一种鉴权失败的情况是手机终端检测到AUTN消息中的SQN的序列号错误，引起鉴权失败，原因值为：Synch failure!（同步失败）

鉴权失败（原因值为Synch failure）

此时，网络侧的VLR将删除所有鉴权参数5元组，并发起到HLR的同步过程，要求HLR 重新插入鉴权参数五元组，然后再开始鉴权过程。

2、新卡鉴权的打开过程：

我简单说说新卡打开鉴权的过程，现在联通公司所放的新卡都是开机自动打开鉴权的，在手机第一次开机的时，第一步，手机向网络发送一个开机请求,网络验证卡身分,身分正确后网络向手机发送验证成功，第二步，手机向网络发送鉴权认定,当此卡为新卡时网络自动打开鉴权,当此卡为旧卡时开始网络验证鉴权,如正确即可拨打电话号码。我们要是用没有信号的机子开机的话，第一和第二步都不能同网络联系，所以鉴权没有打开，读出ＥＳＮ和ＮＡＭ后写到一体机上，一体机由于只向网络发送第一步请求，所以鉴权不能打开