(完整版)【LTE知识】MME的鉴权和加密过程

鉴权流程的目的是由HSS向MME提供EPS鉴权向量(RAND, AUTN, XRES, KASME)，并用来对用户进行鉴权。

3 0

1) MME发送Authentication Data Request消息给HSS，消息中需要包含IMSI，网络ID，女口MCC + MNC 和网络类型，如E-UTRAN

2) HSS收到MME的请求后，使用authentication response消息将鉴权向量发送给MME

3) MME向UE发送User Authentication Request消息，对用户进行鉴权，消息中包含RAND和AUTN这两个参数

4) UE收到MME发来的请求后，先验证AUTN是否可接受，UE首先通过对比自己计算出来的XMAC和来自网络的MAC (包含在AUTN 内)以对网络进行认证，如果不一致，则UE认为这是一个非法的网络。

如果一致，然后计算RES值，并通过User Authentication Response消息发送给MME 。 MME检查RES和XRES的是否一致，如果一致，则鉴

权通过。

EPS鉴权向量由RAND、AUTN、XRES禾口KASME四元组组成。EPS 鉴权向量由MME向HSS请求获取。EPS鉴权四元组：

l RAND ( Random Challenge)：RA N D 是网络提供给UE 的不可预知的

随机数，长度为16 octets。

l AUTN (Authentication Token ) : AUTN 的作用是提供信息给UE，使

UE 可以用它来对网络进行鉴权。AUTN 的长度为17octets

l XRES ( Expected Response)：XRES 是期望的UE 鉴权响应参数。用于和UE产生的RES(或RES+RES_EXT)进行比较，以决定鉴权是否成功。XRES 的长度为4-16 octets。

l KASME 是根据CK/IK 以及ASME (MME )的PLMN ID 推演得到的一个根密钥。KASME 长度32octets。

l ASME 从HSS 中接收顶层密钥，在E-UTRAN 接入模式下，MME 扮演ASME 的角色。

l CK ：为加密密钥，CK 长度为16 octets。

l IK ：完整性保护密钥，长度为16 octets。

在鉴权过程中，MME 向USIM 发送RAND 和AUTN ，USIM 可以决定返回RES 还是拒绝鉴权。

1. MME 发起AUTH REQ 消息，携带鉴权相关信息RAND 和AUTN ；第

一条S1AP_DL_NAS_TRANS dcwnii nfcMftSTtanSrpcrt

p proloccllE s

白SEQUENCE

泌—Oxfl w —09000000,00000900

c ntic ti itr. -- ” reject(Oj —- O(V・

S- varus

m«E-UE-5iAP-iri -- o»gj4ir^or263)一1 QOQaooQ,OQQOi ooi,QIQQOIOQ.OOOI I IM

3 SEQUENCE

Id. ~ —>0000000,40001 (KO

critic al itir — nejetUO] OS"*""

3 Y^tue

eNB UE S1M* 10：—0t&5(10)) —OOKOO00.01100101

-SEQUENCE

M - 一OKI 1CM) —- OOOa(m),OOIH1BIO

critic al(V —Fej«ct(Q} —Q(T™*

-:vilua

总nAS-PDU

r- MAS-MESSAGE

'-■■ no - u "苧p rptffcti a n-MM-me 百$ 甲

匕.autre ntic-abo nReq u e

racial —■ o«m—- aaoQ一*

-kar 5Bbi(3&n：Jlier

Sp^lS. 6^仙r—r“--亍-“

nA5>k^wgl■記甲ntrligt —na^KSI3(2)™*™D1O

aulhentK机iOn-p arametvr-RAND- --- (hDAAfSD7DBCEWI43QFS300OD4DCBA6EE5 —11C

— (hF战剛籀WD阴CEESE “” 曲010< 2. UE收到AUTH REQ消息后回复AUTH RES （携带RES参数）第一条S1AP_UL_NAS_TRANS

3. MME收到AUTH RES后，触发安全模式流程，否则返回AUTH REJ 消息。

EPS的安全架构如下：

■ ".'E

EPS安全架构中有相互独立的分层安全:

MME 和UE 执行NAS （ Non-access stratum 非接入层）信令加密和完 整性保护

eNodeB 和UE 执行RRC 信令加密和完整性保护，UP 加密

E-UTRAN 里的密钥层次架构:

.... ..................... i r . .

www, pttcn. n 包t 密钥 的层次架构里包含以下密钥:KeNodeB, KNASint, KNASenc, KUPenc, KRRCint 和 KRRCenc

-KeNodeB 是由UE 和MME 各自根据KASME 计算得到的，可用于派 生KRRCint 、KRRCenc 和KUPenc,发生切换时也可用于派生 KeNodeB* 在初始连接建立时，由 UE 和MME 分别从E-UTRAN 的顶层密钥中派 生出来的。KeNodeB*是由UE 和源eNodeB 根据目的物理小区号、 下行 频率、KeNodeB （或新NH ）派生出来，并在切换后被UE 和目的eNodeB 用作新的KeNodeB 。NH （ Next Hop ）是用于在 UE 和eNodeB 中派生

KeNodeB* 。当安全上下文建立时， NH 由 UE 和 MME 从 KeNodeB 派 生出来；当发生切换时，从上一个 NH 派生出来。 USIM / AUC

UE ■'ASME K e

UE/HSS

UE .'ASME

P'

UE / MME