中国联通移动网鉴权及加密专项优化技术方案

1、中国联通移动核心网鉴权及加密专项优化技术方案v1.2中国联合网络通信有限公司目 录目 录21概述42优化目标42.1预期成果42.2涉及的网元参数53优化内容53.1信令的规范性研究53.2鉴权失败的原因分析及优化研究63.3鉴权同步失败的原因分析及优化研究63.4加密设置失败的原因分析及优化研究63.5取鉴权向量失败分析及优化研究63.6鉴权流程时延分析及优化研究63.7加密设置流程时延分析及优化研究63.8鉴权和加密设置对安全性的影响分析研究63.9复制卡双活原因分析及各厂家解决验证研究63.10其它现网鉴权与加密相关问题研究74专项优化具体方案74.1提高信令的规范性74.1.1参考信令

2、流程74.1.2涉及到的网元参数154.1.3优化工作要求154.2鉴权失败的原因分析及优化174.2.1鉴权失败的定义174.2.2鉴权失败主要原因184.2.3涉及到的网元参数194.2.4优化工作要求194.2.5预期成果214.3鉴权同步失败的原因分析及优化方法214.3.1鉴权同步原理214.3.2鉴权同步中的相关机制和算法224.3.3优化工作要求254.3.4预期成果274.4加密设置失败的原因分析及优化方法274.4.1加密设置失败定义274.4.2加密设置失败的主要原因274.4.3涉及到的网元参数284.4.4优化工作要求284.4.5预期成果304.5取鉴权向量失败的原因

3、分析及优化304.5.1取鉴权向量失败的定义304.5.2取鉴权向量失败的主要原因304.5.3涉及到的网元参数304.5.4优化工作要求314.5.5预期成果324.6鉴权及加密设置时延分析及优化方法334.6.1时延定义334.6.2测试场景334.6.3分析方法及工作要求334.7鉴权和加密设置对安全性的影响分析334.8复制卡双活分析及防止策略344.8.1复制卡双活原理344.8.2优化方案354.8.3优化工作要求364.9其它现网鉴权与加密相关问题研究365参考文献366附件361 概述鉴权和加密设置流程是电路域和分组域接入过程中的关键流程，这两个流程涉及msc server、s

4、gsn、hlr、rnc、ue及(u)sim卡，涉及网络节点众多，影响因素复杂，这两个过程的质量对业务接入质量有很大的影响。同时，2g和3g的安全架构有着很大的区别。在鉴权方面，3g的鉴权采用了5元组鉴权，不仅增强了密钥强度，而且还增加了用户对网络侧的鉴权；在加密方面，3g采用了新的加密算法，而且还实现了完整性保护。这些新的特性也带来了新的问题，在网优问题汇总过程中，分公司也反映了一些与鉴权和加密设置相关的问题，这些问题都直接影响了业务的质量。因此，对鉴权和加密设置流程的优化是实现接入优化甚至业务优化的基础。本次专项优化以鉴权和加密流程为核心，解决现网中主要的鉴权和加密问题，优化鉴权和加密设置流

5、程，为业务优化打好基础。2 优化目标本次专项优化对2g和3g中电路域和分组域的鉴权和加密设置流程的优化方法进行研究。通过对不同厂家、不同分公司现网中的鉴权和加密设置流程进行优化分析，摸索规律，总结出一套适合于全国推广的优化方法，并探索出一条专项优化思路和工作流程。2.1 预期成果1) 建立一套适合中国联通现网的鉴权和加密设置的标准信令流程，提高信令流程的规范性。2) 通过对鉴权、加密设置和取鉴权向量流程失败的场景、原因的分析，找出减少一次鉴权失败、鉴权失败、加密设置失败和取鉴权向量失败的方法或建议。3) 通过对鉴权和加密设置流程时延的分析，掌握鉴权和加密设置的时延分布情况，并给出降低时延的优化

6、方法或建议。4) 分析2g/3g中鉴权强度、加密设置、tmsi等安全特性，分析这些特性的设置对网络安全性的影响，对比分析各厂家设备对网络安全特性的支持情况。5) 验证各厂家复制卡双活的解决方案。6) 解决现网上其它与鉴权和加密相关的问题。2.2 涉及的网元参数本次专项优化涉及但不仅限于表1中列出的网元参数，在专项优化试点过程中，对涉及到的网元参数可以不断丰富。表1 专项优化涉及到的网元参数网元涉及参数参数级别参考手册章节msc server鉴权流程开关b1msc server分册第五章第1.1节用户鉴权响应计时器b1msc server分册第五章第1.2节请求鉴权数据计时器b1msc serv

7、er分册第五章第1.3节用户申请的鉴权组数控制b1msc server分册第五章第1.4节鉴权集最少组数b1msc server分册第五章第1.5节鉴权频次（区分业务）b1msc server分册第五章第1.6节加密流程开关（区分2/3g）b1msc server分册第五章第2.1节安全模式响应计时器b1msc server分册第五章第2.2节加密算法b1msc server分册第五章第2.3节hlr是否一次性返回鉴权组b1hlr分册第五章第1.1节sgsn鉴权开关（区分流程、区分业务）b1sgsn分册第五章3.1节鉴权频次（区分流程、区分业务）b1sgsn分册第五章3.2节用户鉴权超时定时器

8、（t3360）b1sgsn分册第五章3.3节获取鉴权向量等待定时器b1sgsn分册第五章3.4节sgsn申请的用户鉴权组数b1sgsn分册第五章3.5节鉴权集最小组数b1sgsn分册第五章3.6节加密开关b1sgsn分册第五章4.1节加密算法选择b1sgsn分册第五章4.2节安全模式响应定时器b1sgsn分册第五章4.3节3 优化内容3.1 信令的规范性研究通过对现网信令的分析，并结合3gpp的标准，制定一套适合联通现网的标准信令流程，包括2g/3g电路域和分组域的鉴权流程，2g/3g电路域和分组域的加密设置流程，鉴权同步流程，取鉴权向量流程。要求给出每个流程在业务中出现的要求，每个流程要求给

9、出关键的信令参数及取值要求，以及相配套的网元参数，分析各厂家设备对不同信令参数的处理机制。3.2 鉴权失败的原因分析及优化研究通过对2g/3g电路域和分组域鉴权失败事件的分析，分析引起鉴权失败的场景和原因，并对这些失败事件进行分类，找出解决方法或提出有效建议。3.3 鉴权同步失败的原因分析及优化研究鉴权同步是3g网络鉴权的一个新特性，用于防止重放攻击，进一步提高网络的安全性。鉴权同步在理论上是存在一定的失败概率的，是正常的现象，可以通过鉴权同步流程来实现重同步，完成正常的鉴权流程。但如果大量出现鉴权同步失败事件，说明鉴权流程出现了异常，需要分析解决。这部分要求对大概率的鉴权失败发生的场景和原因

10、作深入的分析，找出解决方法或提出有效建议。3.4 加密设置失败的原因分析及优化研究通过对2g/3g电路域和分组域加密设置失败事件的分析，分析引起加密设置失败的场景和原因，并对这些失败事件进行分类，找出解决方法或提出有效建议。3.5 取鉴权向量失败分析及优化研究通过对取鉴权向量流程失败事件的分析，分析引起取鉴权向量流程失败的场景和原因，并对这些失败事件进行分类，找出解决方法或提出有效建议。3.6 鉴权流程时延分析及优化研究分析2g/3g电路域和分组域鉴权流程的时延，找出影响鉴权时延的因素，并研究优化方法。3.7 加密设置流程时延分析及优化研究分析2g/3g电路域和分组域加密设置流程的时延，找出影

11、响加密设置流程时延的因素，并研究优化方法。3.8 鉴权和加密设置对安全性的影响分析研究从理论和实践上分析不同的鉴权频度、tmsi设置、加密设置对网络安全性的影响，分析各家在网络安全性上的处理机制。3.9 复制卡双活原因分析及各厂家解决验证研究分析复制卡双活发生的场景和原因，对各厂家的解决方案进行验证分析，得出各方案的有效性。3.10 其它现网鉴权与加密相关问题研究研究与解决现网发生的其它与鉴权和加密相关的问题。4 专项优化具体方案4.1 提高信令的规范性这部分工作要求明确规范的鉴权和加密设置信令流程，发现和消除不规范的信令流程及参数。4.1.1 参考信令流程4.1.1.1 鉴权流程a) 鉴权总

12、体流程图1 电路域鉴权总体流程图1给出了电路域鉴权的总体流程。step 1: 网络向 ue 发起authentication request 鉴权请求消息，从而启动鉴权流程并启动定时器t3260。step 2: 当ue 收到鉴权请求后解释该消息的具体内容并将鉴权参数传递给usim。usim 计算res，并将其发送给网络；step 3: 由网络比较鉴权响应中的res 和vlr 数据库中的存储的鉴权参数中的xres 是否一致，如果一致，则鉴权成功；否则鉴权失败。在鉴权失败的情况下，如果采用的是tmsi鉴权，则发起取用户标识流程，要求用户上报imsi；否则跳至7。step 4: 用户上报imsi。s

13、tep 5: 如果上报的imsi和tmsi没有关联，则再次发起鉴权流程。如果imsi和tmsi是相关联的，则确认鉴权失败，跳至7。step 6: 用户响应第二次鉴权请求。step 7: 如果鉴权失败，则给用户发送authentication reject。图2 分组域鉴权总体流程分组域鉴权流程与电路域类似，只是分组域鉴权消息为authentication and ciphering request消息，并且分组域在定时器t3360超时后会重发鉴权请求消息，重发次数n部分厂家设备不可调的默认机制，部分厂家可调。在2g网络中，分组域鉴权和加密通过同一条消息下发。b) 鉴权场景由于2g和3g的卡和终

14、端之间是兼容的，则存在多种鉴权场景，图3是3gpp规定的鉴权场景。 图3 各种不同组合下的鉴权场景目前，联通的hlr、vlr和sgsn全为r99，鉴权的场景没有那么复杂。根据联通现网的鉴权场景，鉴权的参数要求如表2所示。表2 各种鉴权场景下鉴权流程的参数接入网终端卡鉴权参数utranr99+simrandutranr99+usimrand、autngeranr99+simrandgeranr98-*simrandgeran3gusimrand、autngeran2gusimrand或rand、autn*: 目前r98的终端在市场上已经很少存在。表 3给出了鉴权流程中的重要消息及参数。表 3 鉴

15、权过程的重要消息及参数消息参数是否携带取值要求authentication request(场景1)ksi，也称为cksn是rand是autn是authentication request（场景2）cksn是rand是authentication response（场景1）res是authentication response（场景2）sres是authentication and ciphering request(场景1）ksi,也称为cksn是rand是autn是authentication and ciphering request（场景2）ksi,也称为cksn是rand是authe

16、ntication and ciphering response（场景1）res是authentication and ciphering response（场景2）sres是注：在不同的场景下参数取值是不一样的，参见表2。c) 3g用户鉴权拒绝流程用户侧鉴权拒绝原因值有：mac failure、synch failure和gsm authentication unacceptable。mac failure是用户对网络的合法性进行的认证，是不应该出现的，或者由于终端原因以极低概率出现。如出现，则属于不规范信令，要排查解决，以确认是网络还是终端原因。gsm authentication una

17、cceptable是终端发现收到的鉴权参数不完整，这也是不应该出现，或者由于终端原因以极低概率出现。如出现，则属于不规范信令，要排查解决，以确认是网络还是终端原因。synch failure以小概率出现是正常现象，其信令流程在4.1.1.2中详述。4.1.1.2 同步失败二次鉴权流程在鉴权过程中，如果用户发现鉴权同步失败，则向网络发送鉴权拒绝消息。网络侧收到拒绝消息后，则发起鉴权同步流程，并对用户重新进行鉴权。电路域同步失败二次鉴权的详细流程如图4所示。图4 电路域鉴权同步流程step 1: 网络向终端发起鉴权请求。step 2: 如果终端发现下发的鉴权向量的序列号不在合理范围内，则向网络侧发

18、送鉴权失败消息，并携带原因值synch failure和参数auts。step 3: msc/sgsn在收到鉴权失败消息后，向hlr发起鉴权同步过程。发送消息map_send_authentication_info request，并在参数re-synchronisation info中携带rand和auts。rand指造成鉴权同步时失败的鉴权向量的rand。step 4: hlr收到鉴权同步请求后，通过sqnms重置sqnhe，并生成下发新的鉴权向量。step 5: msc/sgsn收到鉴权向量后，用新的鉴权向量进行鉴权。分组域的鉴权同步流程如图5所示，与电路域类似。图5 分组域鉴权同步流程

19、表4给出了鉴权同步过程中的重要消息及参数。表4 鉴权同步过程的重要消息及参数消息参数是否携带取值要求authentication requestrand1携带authentication failurereject cause携带synch failure（0x15）auts1携带map_send_authentication_info req re-synchronisationinfo-rand2携带且只能在一个map对话的第一个请求消息中携带。rand2 =rand1re-synchronisationinfo- auts2携带且只能在一个map对话的第一个请求消息中携带。auts2 =

20、auts1authentication and ciphering requestrand1携带authentication and ciphering failurereject cause携带synch failure（0x15）auts1携带4.1.1.3 加密设置流程加密设置流程分成三种情况：2g电路域加密设置流程、2g分组域加密设置流程和3g完整性保护和加密设置流程。同2g相比，3g增加了对信令消息的完整性保护，且该项功能为必选项，因此3g实现加密设置的流程全称为完整性保护和加密设置流程，相关消息中会携带完整性保护算法、完整性保护密钥、加密算法、加密密钥等相关参数。a) 2g电路域加

21、密设置流程图6 2g电路域加密设置流程2g电路域加密设置流程中的重要参数如表5所示。表5 2g电路域加密设置流程中的重要参数消息参数是否携带取值要求（bssap）cipher mode commandencryption informationpermitted algorithms：加密算法携带encryption information key:加密密钥携带如果设置了加密算法，则此字段必须携带。（bssap）cipher mode completechosen encryption algorithm algorithm identifier：选中的加密算法携带b) 3g完整性保护和加密设

22、置流程图7 3g完整性保护和加密设置流程表6 3g电路域加密设置流程中的重要参数消息参数是否携带取值要求security mode commandintegrity-protection-informationintegrity protection algorithm:完整性算法携带0uia1integrity-protection-informationintegrity protection key：完整性密钥携带encryption informationencryption algorithm:加密算法可选0no encryption1uea1encryption informati

23、onencryption key：加密密钥可选key status：密钥状态，用来说明是新的密钥键还是之前用过的必选new,old,etc.security mode completechosen integrity protection algorithm携带0uia1chosen encryption algorithm可选0no encryption1uea13g完整性保护和加密设置要求优选加密算法列表中的第一个加密算法。3g完整性保护和加密设置流程中完整性保护功能为必选项，加密功能为可选项。因此，电路域发起业务时，2g中cipher mode command为可选消息，而3g中必然会出

24、现security mode command消息。如果采用不加密方式的话，可以通过security mode command消息中不携带encryption information或者采用uea0来实现。c) 2g分组域加密设置流程2g分组域加密设置流程同鉴权流程为同一流程，如图2所示。表7 2g鉴权与加密设置流程中的重要参数消息参数是否携带取值要求authentication and ciphering requestrand携带autn不携带ciphering-algorithm携带4.1.1.4 取鉴权向量流程图8 取鉴权向量流程图8是取鉴权向量的标准流程。3g的网元鉴权组字节长度比较长

25、且mtp3消息的最大长度为272，因此会分成多个消息来传送。表8给出了取鉴权向量流程中的重要参数及要求。表8 取鉴权向量流程中的重要参数消息参数是否携带取值要求map_send_authentication_info requestnumber of requested vectors要求且只能在一个map对话的第一个请求中携带requesting node type要求且只能在一个map对话的第一个请求中携带0vlr1sgsnre-synchronisation info只能在鉴权同步流程中使用，且只能在一个map对话的第一个请求中携带segmentation prohibited indi

26、cator只能在一个map对话的第一个请求中携带如果携带，必须为0；要求可以在map层进行分段。map_send_authentication_info response注authenticationset list如果是合法用用户且系统能够提供鉴权向量时必须携带user error如果是非法用户或者系统异常时必须携带- unknown subscriber;- unexpected data value;- system failure;- data missing.注：在联通现网架构中，对于sim卡用户，hlr应该响应3元鉴权组向量；对于usim卡用户，hlr应该响应5元鉴权组向量。如果h

27、lr不能响应3元鉴权组向量且用户为合法用户时，可以返回一条空消息，vlr或sgsn重用之前的鉴权向量。如果hlr不能响应5元鉴权组向量且用户为合法用户时，可以返回一条空消息，但vlr或sgsn不能重用之前的鉴权向量。4.1.2 涉及到的网元参数1） msc:a) 鉴权流程开关（区分业务）b) 鉴权频次（区分业务）c) 鉴权集最少组数d) 用户申请的鉴权组数控制e) 加密流程开关（区分2/3g）f) 加密算法2） sgsn:a) 鉴权流程开关（区分流程、区分业务）b) 鉴权频次（区分流程、区分业务）c) 鉴权集最少组数d) sgsn申请的鉴权组数控制e) 三元组五元组转换开关f) 加密开关g)

28、加密算法选择3） hlr:a) 是否一次性返回鉴权组4.1.3 优化工作要求4.1.3.1 核查场景4.1.3.1.1 鉴权场景终端：iphone、索爱、诺基亚、山寨机（2g）、上网卡（分组）。测试卡：各不同hlr机型的sim/usim卡。 无线网：2g和3g网络。核心网: msc server、sgsn。核查内容：鉴权流程是否规范；检验网元参数设置是否有效，如针对不同业务是否打开鉴权、鉴权频次是否和设置的一致等。4.1.3.1.2 加密设置场景终端：iphone、索爱、诺基亚、山寨机（2g）、上网卡（分组）。测试卡：sim/usim卡。rnc：交换机和sgsn下各机型的rnc/bsc。核心网

29、: msc server、sgsn。核查内容：加密设置流程是否规范，包括msc/sgsn下发security mode command消息的permitted encryption algorithms中应将uea1放在uea0之前（规范规定算法的位置对应其优先性）等；检验网元参数设置是否有效，如是否打开加密功能、网元设置的加密算法等。4.1.3.1.3 取鉴权向量场景测试卡：省内不同hlr机型的sim/usim卡。核心网: msc server、sgsn、hlr。核查内容：取鉴权向量流程是否规范；检验网元参数设置是否有效，如取鉴权向量请求消息中是否打开了支持map分段功能，端局是否有预留鉴权

30、组等。4.1.3.1.4 鉴权同步失败鉴权同步失败流程可以不通过拨测方式核查，采用信令采集工具采集的方式进行核查。核查内容：鉴权同步失败重同步流程是否规范。4.1.3.2 核查方法及要求1） 通过信令仪表、设备软采或网优平台在a、iu-cs、gb、iu-ps、c口上采集信令进行分析。2） 采集各场景下的信令流程，并记录各次测试的原始信令及解码信令；按照附件1的要求填写信令核查表，每一种的场景填写一张核查表，并将信令文件作为附件插入到核查表中。核查表命名规则如下：a) 鉴权核查表命名鉴权核查表命名规则如下：鉴权_”终端”_”网络类型”_”卡类型”_”msc/sgsn厂家”_”hlr厂家”_”序号

31、”终端可以为:iphone、索爱、诺基亚、山寨、上网卡网络类型可以为：2g、3g卡类型可以为：sim、usimmsc/sgsn厂家可以为：华为、爱立信、中兴、诺西、贝尔hlr厂家可以为：华为、爱立信、中兴、前诺、前西、贝尔序号从1开始递增编号。b) 加密设置核查表命名加密设置核查表命名规则如下：加密_”终端” _”卡类型”_”msc/sgsn厂家”_”rnc厂家”_”hlr厂家”_”序号”rnc厂家可以为：华为、爱立信、中兴、诺西、贝尔其它同上。c) 取鉴权向量核查表命名取鉴权向量核查表命名规则如下：取鉴权向量_”卡类型”_”msc/sgsn厂家”_”hlr厂家”_”序号”各部分定义同上。d)

32、 鉴权同步失败核查表命名鉴权同步失败核查表命名规则如下：鉴权同步_”终端”_”网络类型”_”卡类型”_”msc厂家”_sgsn厂家”_”hlr厂家”_”序号”各部分定义同上。3） 分析其中的不规范信令及场景，可能对业务功能造成的影响，并给出整改方案。4） 分析参考标准信令中不合理的地方，给出标准信令流程建议。5） 给出在建议的标准信令流程下，各相关网元参数的配置。4.2 鉴权失败的原因分析及优化4.2.1 鉴权失败的定义2g电路域鉴权失败指：1） 交换机发送authentication request后未收到authentication response消息,即t3260超时；2） 交换机收到

33、用户响应的authentication response消息后，发现用户鉴权响应消息参数不正确，认为鉴权失败。2g分组域鉴权失败指：1） sgsn发送authentication and ciphering request后未收到authentication and ciphering response消息，即t3360超时；2） sgsn到用户响应的authentication and ciphering response消息后，发现用户鉴权响应消息参数不正确，认为鉴权失败。3g电路域鉴权失败指：1） 交换机发送authentication request后未收到authentication

34、 response消息，即t3260超时；2） 用户向交换机发送authentication failure消息(原因值为mac failure、synch failure和gsm authentication unacceptable)；3） 交换机收到用户响应的authentication response消息后，发现用户鉴权响应消息参数不正确，认为鉴权失败。3g分组域鉴权失败指：1） 交换机发送authentication and ciphering request后未收到authentication and ciphering response消息，即t3260超时；2） 用户向交换机

35、发送authentication and ciphering failure消息(原因值为mac failure、synch failure和gsm authentication unacceptable)；3） 交换机收到用户响应的authentication and ciphering response消息后，发现用户鉴权响应消息参数不正确，认为鉴权失败。4.2.2 鉴权失败主要原因以下主要原因值：1） 用户鉴权响应超时2） 用户对网络鉴权失败3） 用户对网络鉴权判断为同步失败(在鉴权同步失败中专题分析)4） 用户响应的鉴权参数错误还有其它原因值。4.2.3 涉及到的网元参数1） msc:

36、a) 用户鉴权响应计时器2） sgsn:a) 用户鉴权响应计时器4.2.4 优化工作要求4.2.4.1 分析场景要求要求至少在忙时、闲时情况下分别统计分析电路域和分组域、2g和3g的鉴权事件，记录各场景下各种失败事件的次数和占比。4.2.4.2 分析方法要求通过信令仪表、设备omc或网优平台结合的方法进行统计分析数据，对统计数据中发现的失败场景进行细化分析，定位原因。1 调研评估阶段调研评估阶段是各专项优化的第一个阶段，其分析评估的粒度直接决定着后面发现问题、解决问题的程度。针对鉴权失败，要求能够利用各种方法和手段（信令仪表、设备omc、网优平台等），对2g、3g的鉴权进行全面深入的分析评估。

37、 对于3g鉴权，分公司可以从下列计数器、指标入手进行分析，参见附件2： 3g鉴权请求次数（区分一次、二次） 3g鉴权成功次数（区分一次、二次） 3g鉴权用户拒绝次数（区分一次、二次，区分失败原因值） 3g鉴权网络拒绝次数（区分一次、二次） 3g鉴权无响应次数（区分一次、二次） 3g鉴权失败次数（区分一次、二次） 3g鉴权总成功次数 3g鉴权总失败次数等计数器 3g鉴权成功率（区分一次、二次） 3g鉴权总成功率对于2g鉴权，分公司可以从下列计数器、指标入手进行分析，参见附件2： 2g鉴权请求次数（区分一次、二次） 2g鉴权成功次数（区分一次、二次） 2g鉴权网络拒绝次数（区分一次、二次） 2g鉴

38、权无响应次数（区分一次、二次） 2g鉴权失败次数（区分一次、二次） 2g鉴权总成功次数 2g鉴权总失败次数 2g鉴权成功率（区分一次、二次） 2g鉴权总成功率此外，对于鉴权中触发的取用户标识流程，还要统计触发取用户标识请求次数、取用户标识成功次数、取用户标识后重新发起鉴权次数等计数器；对于分组域，要统计同一次鉴权请求的重发次数等。以上统计需要分2g、3g分别进行。结合设备上针对不同业务的鉴权频次设置，统计分析现网鉴权失败事件对不同业务接入以及相关网络质量指标的影响。2 分析定位问题阶段结合调研评估阶段成果，本阶段可从但不限于以下方面进行定位分析：l 对各场景下各原因值的失败事件进行细化分析，逐

39、个定位失败原因和具体场景。对于mac failure、gsm authentication unacceptable等失败原因值，需要明确定位问题，给出解决方案。其中，前者对应用户对网络的鉴权失败，后者对应对3g用户采用2g 3元组鉴权时的失败，两者皆属于需要现网上数量很少但必然可以优化解决的问题。l 由于鉴权事件需要hlr和sim/usim卡中的用户数据和鉴权算法一致才能成功，对于鉴权失败事件可以尝试从用户维度、终端维度进行失败集中度分析，以确定是否有大量失败事件集中在特定用户或终端类型上；l 对于tmsi/p-tmsi用户一次鉴权失败后触发取用户标识（imsi）流程并且触发了二次鉴权事件的

40、，无论二次鉴权事件的成败与否，都需要定位端局（vlr/sgsn）中tmsi/p-tmsi和imsi映射错误的产生原因；l 结合现网的无线覆盖情况和鉴权响应定时器（t3260、t3360）设置，参考鉴权时延分布的结果，完成msc下不同区域的现网定时器时长设置和由此导致的鉴权失败率之间关系的评估。3 提出解决方案、验证阶段针对分析定位问题阶段成果，提出各种失败或异常事件的优化方法，评估其优缺点，并进行相关验证。4 总结对各失败或异常事件进行分析优化、现网进行相关操作后，重新对调研评估阶段的计数器、指标、鉴权影响的业务接入等进行统计对比，总结优化经验，得到针对鉴权失败事件的优化报告。4.2.5 预期

41、成果1） 分场景分析鉴权成功率以及对业务接入的影响等；2） 给出试点范围内鉴权失败分场景的分析结果，给出各种鉴权失败产生的原因、相应的优化建议方法及其优缺点；3） 给出由于imsi和tmsi/p-tmsi映射不一致导致的二次鉴权比例分析，并针对两者不一致的厂家进行定位分析，给出相应的优化建议方法，并分析其优缺点。4） 给出各厂家各机型设备对不同失败场景的处理机制。5） 总结优化经验，并给出优化前后鉴权成功率的变化、对业务接入的改善等。4.3 鉴权同步失败的原因分析及优化方法该部分工作要求定位各机型hlr、msc/sgsn不同的鉴权设置、不同类型usim卡下鉴权同步失败大量发生的场景并给出解决方

42、案。4.3.1 鉴权同步原理3g鉴权和2g鉴权的最明显的差别之一是3g鉴权引入了双向鉴权的概念，即用户对网络的鉴权。为了防止第三方在空口上截听网络发给用户的鉴权请求消息并实施重放攻击，3g鉴权要求鉴权向量不能重复使用，即通过五元鉴权组中autn包含的sqn（sequence number）参数递增来确保每次发给用户的鉴权向量都是之前没有用过的。在用户侧收到鉴权请求消息后，会对消息中autn做双重判断。首先通过autn和一定鉴权算法生成xmac，验证xmac是否等于mac，以确定网络的合法性；如果网络合法则再通过autn和一定算法提取sqn，并同之前鉴权成功后保存在终端上的sqnms进行比对，如

43、果sqn在合理范围内（即sqn是之前没有用过的序列号），则用户对网络的鉴权通过，否则发送authentication failure消息，其中携带的原因值为synch failure（同步失败）。当然，网络上携带原因值为synch failure的authentication failure消息并不都是由于重放攻击引起的。这是因为usim卡上保存的sqn不止一个，而是一个sqn序列，序列中的sqn元素对应之前向用户进行了成功鉴权的不同核心网域、不用运营商网络是的鉴权向量序列号等。用户在国外漫游时，经常会在不同运营商间切换，这样可以保证用户回到之前曾经登陆过的网络时，该网络不需要重新向用户所在的

44、hlr请求鉴权向量；或者，不同移动性管理域（电路域、分组域）端局msc/sgsn是分别对用户进行鉴权的，因此usim卡保存多个sqn时，可以满足用户在电路域、分组域交替鉴权的场景。但是，由于usim卡上sqn序列长度的限制及sqn判断准则的限制，在网络对用户进行正常鉴权时，也容易发生同步失败的场景。在国内，鉴权同步失败场景一般发生在手机终端为cs&ps(gprs always on) 同时激活的用户上，而纯cs终端（如gprs when needed）的用户很少发生。对于鉴权同步失败响应，端局通常会利用用户返回的信息发起二次鉴权，此次鉴权一般以成功结束，不会因此而影响触发鉴权的正常，见图4、图

45、5。如果鉴权同步失败比例较高时，容易增加网络负荷，加大业务接入时延，降低用户感受。本次鉴权同步失败优化的目标主要是结合各机型hlr（生成sqn的机制不同）、各类型的usim卡（对sqn的校验机制不同）、各类终端及端局，联合分析定位同步失败场景，提高鉴权成功率，降低网络负荷，改善用户体验。4.3.2 鉴权同步中的相关机制和算法4.3.2.1 hlr中sqn的生成机制sqn(sequence number )序列号是鉴权五元组的一个组成部分，它类似五元组的计数器，是实现ms对网络合法性验证的一个重要参数，其中usim卡上存储的sqn，叫sqnms，hlr/auc中存储的sqn叫sqnhe。sqn由

46、auc在计算每个五元组时使用专门的发生器产生并通过hlr在下发五元组的时候下发hlr同时保存一个最新的sqnhe。ms将保存接受的最新的sqnms，通过比较收到的sqn与sqnms以确保收到的下一组五元组是最新的。由于sqn在auc端生成，卡只是对sqn做验证，与其生成机制无关，因此，不同的sqn生成机制在网络上可以共存；并且，当在不同sqn生成机制的auc之间做用户数据搬移时，新的auc将采用自己的sqn生成机制生成sqn，忽略旧的auc的生成机制，不会影响鉴权的可用性。sqn由seq1(19bit) 、seq2(24bit) 和ind(5bit)三部分组成，共6个字节，ind为usim验证

47、接收的sqn是否为最新的索引值节。协议中描述了三种产生sqn的方式：部分基于时间的方式，基于时间的方式和与时间无关的方式。由于用户接入鉴权仅与归属网auc相关，所以不同的auc采用不同的方案互不影响。l 部分基于时间（partly time-bsed） sqn相关参数要求： a) 时钟时间单位：1s。 b) ind长度：5bits。 c) seq1长度：19bits。 d) seq2长度：24bits。 e) 初始状态：对所有用户选择sqnhe = 0；glc = 1。 f) 为保证临时到达率高于时钟速率：选择d = 216。 seq增加规则 a) 如果 sqn2he glc sqn2he +

48、 p d + 1，那么 seq= seq1he | glc;（p=224） b) 如果glc sqn2he glc+d - 1 或者 sqn2he + p d + 1 glc 那么seq = sqnhe +1; c) 如果 glc+d - 1 seq2，那么seq = (sqn1he +1) | glc. usim中的sqn的验证参数 a) 队列的长度：a = 32。 b) = 228。 c) sqnms = 0. l 不基于时间（not time-based） sqn相关参数要求 a) d =1 b) ind长度：5bits。 c) seq glc 0 d) 初始状态：对所有用户sqnhe

49、= 0 seq增加规则 seq = glc usim中的sqn验证参数 a) 队列长度：a = 32 b) = 228。 c) sqnms = 0. l 完全基于时间（entirely time-based） sqn相关参数要求 a) 时钟单位：0.1秒。 b) ind长度：5bits。 c) seq = glc d) 开始状态: glc = 1。对所有用户dif = 0。 seq增加规则 seqseqhe + 1 usim中的sqn验证参数 a) 队列长度：a = 32 b) = 228 c) sqnms = glc. 4.3.2.2 usim卡中sqn的判断机制sqn使usim卡能检测鉴权

50、向量是否被重复使用。除了保存最大的sqn外，usim维护着一个收到的sqn数组，sqn数组中由ind索引，数值中每个元素表示某种类型的sqn最大值，目前主要分为三种类型，电路域、分组域、ims域，每个域可能使用多个sqn数组索引。协议建议ind的长度是5位，则这个数组有32个元素。其中，sqn = seq | ind。关于usim卡对seq的检测机制（usim将从网络侧收到的seq与其存储的seqms进行比较，以决定seq是否在正常取值范围内），在3gpp ts33.102规范中也有说明，从ts33.102规范附录c.2中的描述可以看到，usim卡对sqn的检查主要有三条规则，如表9所示：表9

51、 usim对sqn的检查规则序号usim卡对sqn的检测规则检测机制说明1seq -seqms d序号的循环：新从网络侧收到的序号seq超出矩阵中存储的最大序号seqms的范围不能大于d2seqms - seq seqms(i)序号的更新：新从网络侧收到的序号seq必须大于矩阵中相同记录（ind）上存储的序号seq注：seq代表从网络侧收到的序号，而seqms代表usim侧矩阵中存储的最大序号。当usim认为其收到的seq在正常范围内，则将其存储在存储矩阵的响应记录中。否则，usim卡将拒绝鉴权请求以触发重新同步流程。4.3.2.3 hlr得到鉴权同步失败后重同步生成鉴权向量的机制当auc收到

52、了auts参数，请求消息中携带同步失败指示时，它会完成下列步骤：1. auc从auts计算出sqnms；2. 基于sqnms的值，auc检测网络侧的sqnhe是否在正确的范围内，如果合理则执行步骤4；否则执行步骤3； 3. auc通过sqnms、k、rand、amf这4个参数，使用f1算法，计算出mac，然后比较mac与auts中的mac-s的值是否一致。如果一致，则网络侧的sqn被sqnms重置， 转到4；否则网络侧的sqn不变，继续执行第4步。4. auc发送新的一批鉴权集五元组到vlr/sgsn。为了减轻auc的负担和实时性，此时只产生并发送一组鉴权集。vlr/sgsn收到hlr/auc

53、送来的鉴权数据响应后，将本地的旧的鉴权信息删除，继续向终端发起鉴权，ms也将根据这些新的鉴权参数进行鉴权。正常的情况下，同步之后的鉴权是能通过的。如果再次同步失败，则可能是usim卡有问题或者用户本身就是一个恶意攻击者。目前部分厂家设备在一次接入过程最多允许两次同步失败。两次同步后，usim卡还是同步失败拒绝鉴权，网络侧将拒绝用户接入。4.3.3 优化工作要求4.3.3.1 分析场景要求要求至少在忙时、闲时情况下分别统计分析电路域和分组域的鉴权同步失败次数、失败比率等，记录各场景下同步失败事件的次数。4.3.3.2 分析方法要求通过信令仪表、设备omc或网优平台结合的方法进行统计分析数据，对统

54、计数据中发现的鉴权同步失败场景进行细化分析，定位原因。1 调研评估阶段调研评估阶段是各专项优化的第一个阶段，其分析评估的粒度直接决定着后面发现问题、解决问题的程度。针对鉴权同步失败事件，要求能够利用各种方法和手段（信令仪表、设备omc、网优平台等）进行全面深入的分析评估。对于msc/sgsn而言，分公司可以从不同usim卡、不同机型hlr下的维度出发，对下列计数器、指标入手进行分析，参见附件2： 3g鉴权请求次数（区分一次、二次） 3g鉴权用户拒绝同步失败次数（区分一次、二次） 3g鉴权同步失败导致的二次鉴权请求次数 3g鉴权同步失败导致的二次鉴权成功次数 3g鉴权同步失败导致的鉴权失败事件 3g鉴权同步失败率（区分一次、二次） 3g鉴权最终同步失败率对于hlr而言，结合hlr自身的sqn生产机制、不同msc/sgsn区域的鉴权频次设置，需要统计不同usim卡用户同步失败取鉴权向量次数、同步失败取鉴权向量占比等。此外，为评价鉴权同步失败的优化效果，还需要统计分析不同无线区域，3g鉴权同步失败导致的最大延时、3g鉴权同步失败导致的平均延时等指标，需要得