WCDMA移动核心交换网鉴权流程.ppt

鉴权流程与参数详解,主要内容,流程概述,正常流程,异常流程,其它,鉴权概述,鉴权本身是网络实体间合法性的确认过程，在WCDMA中全称为：“鉴权和键值协商”（AuthenticationandKeyAgreement）作用：完成用户对网络的鉴权完成网络对用户的鉴权产生加密键CK产生完整性保护键IK,鉴权的应用场景,5种应用场景RRC连接建立后，初始层三消息中会携带UserIdentity、KSI等信息网络决定是否发起鉴权流程。区分业务区分频次,5种场景,双向鉴权，UE有权拒绝网络发送的鉴权,鉴权结束后,鉴权成功完整性保护和加密流程继续触发鉴权的业务,鉴权失败。详见异常流程部分,主要内容,1,流程概述,正常流程,异常流程,其它,流程总体图,HLR中五元鉴权组的生成,HLR中的五元鉴权组数据的生成,AV五元鉴权组,RAND（随机序列）XRES（网络对终端的鉴权参数）AUTN（终端对网络的鉴权参数）CK（加密键）IK（完整性保护键）,用户对网络的鉴权,信令流程USIM卡收到RAND和AUTN后的操作,VLR-HLR取鉴权组的信令和消息,如果VLR中没有鉴权参数，那么VLR将首先发起到HLR中取鉴权参数集的流程，直到HLR返回鉴权参数的响应后才开始发起鉴权流程。MAP_SEND_AUTHENTICATION_INFO消息VLRHLR，MAP协议,MS-VLR/SGSN间的鉴权消息,Authenticationrequest消息VLR/SGSN-MS，层三消息,MS-VLR/SGSN间的鉴权消息,Authenticationresponse消息MS-VLR/SGSN，层三消息,主要内容,流程概述,1,正常流程,异常流程,其它,被UE拒绝的鉴权（I）-MAC失败,UMTS的鉴权已延伸到允许移动台检验核心网的合法性，所以当移动台收到不正确的AUTN参数时，移动台可以拒绝网络的鉴权要求。MAC失败,若移动台认为网络提供的AUTN参数中的MAC是无效的，那么移动台将会发送AUTHENTICATIONFAILURE响应给网络，并指明拒绝的原因是是由MACFAILURE引起的,被UE拒绝的鉴权（II）-Sync失败,Sync失败,若移动台认为网络提供的AUTN参数的SQN超出了规定的范围，会发送AUTHENTICATIONFAILURE响应给网络，同时指明拒绝的原因是是由SynchFAILURE引起的。随后网络利用USIM卡提供的AUTS参数发起一个重同步的流程。网络侧再进行鉴权。,被UE拒绝的鉴权-消息和参数,AuthenticationFailure消息MS-VLR/SGSN，层三消息,被网络拒绝的鉴权,网络判定鉴权失败时电路域核心网首先区分UE使用的标识是TMSI或是IMSI。如果是TMSI，网络可能会决定发起标识流程，如果网络得到的IMSI和TMSI没有关联网络就会用正确参数重新发起鉴权流程。如果是IMSI或网络决定不发起标识流程，就会发送AUTHENTICATIONREJECT给移动台。网络一旦发出该消息，所有正在激活的MM连接都将被释放，同时网络还会发起RRC连接释放流程。移动台一旦收到AUTHENTICATIONREJECT将USIM卡中的更新状态设置为U3ROAMINGNOTALLOWED，并删除从USIM传来的存储在UE中的TMSILAI加密密钥序列号等参数。此时该USIM卡会认为是无效的，直到移动台重新进入有效服务网络或USIM卡被去除。分组域核心网SGSN会发起一个鉴权失败报告消息给HLR，此时HLR可能会发起一个cancellocation（也就是HLR发起的分离流程）。,被网络拒绝的鉴权-消息和参数,AuthenticationReject消息VLR/SGSN-MS，层三消息,其他异常情况,RRC连接失败在收到AUTHENTICATIONRESPONSE消息之前，一旦检测到RRC连接失败，网络将会释放所有的MM连接，并终止所有的被激活的MM的特定流程。定时器T3260超时鉴权流程在网络一侧由定时器T3260控制，一旦定时器超时终端没有响应，网络会释放RRC连接，并终止鉴权流程和所有激活的MM的特定流程。释放所有的MM连接，发起RRC连接的释放。,主要内容,1,流程概述,正常流程,异常流程,其它,相关网元控制参数,MSCserverHLR,2、3G对比,WCDMA和GSM在安全性的最大差别就是体现在鉴权上WCDMA和GSM采用不同的鉴权算法和参数。GSM采用的是鉴权三元组鉴权参数是RAND、SRES、Kc。WCDMA采用的是鉴权五元组鉴权参数是RAND、XRES、AUTN、CK和IK。鉴权方向GSM是单向鉴权，只能由网络对移动台进行鉴权。WCDMA是双向鉴权。WCDMA增加了完整性保护功能。在空中接口上对UE和网络之间的信令进行完整性保护，保证UE和网络之间的信令一致性，这是GSM所没有的功能。,2、3G互操作相关场景（I）-USIM用户,不同的用户（USIM或者SIM）不同的核心网（VLR/SGSN）不同的无线侧（UTRAN/GERAN）不同的终端,鉴权流程采用的鉴权数据不同，可能需要3元鉴权组和5元鉴权组的转换。,2、3G互操作相关场景（II）-SIM用户,参考文献,3GPPTS33.1023Gsecurity;Securityarchitecture3GPPTS35系列协议，与加密、鉴权有关的算法规范3GPPTS24.008Mobiler