移动网络安全标准与协议

移动网络安全标准与协议1主要内容EPS安全综述EPSAKA与S.M.C过程EPSMM程与HO过程中的安全EPSKDFEPSEEA1/2/3与EIA/1/2/3算法2安全系统的两大基本问题密钥的管理与安全算法的管理独立进行安全密钥的管理安全算法的管理产生传递更新存贮新鲜性AKAHO加密算法的选择完整性算法选择算法的更新算法的存贮新鲜性SMC及HO3EPS安全目标双向认证防止中间人攻击网络将UE的安全能力通过I.P.方式传递给UE，UE检验是否受到修改。多安全算法安全隔离足够强度的密钥长度目前定义为128位，但可容易更新到256位。向下兼容，但要有更高的安全强度支持USIM卡，但不支持SIM卡保持Key的新鲜性COUNT不允许反转两套安全上下文以支持ISRUSIM与ME同时支持两套安全上下文4EPS的最新特性：安全隔离保证非安全的影响最小化，当一个局部出现不安全时，不影响其它部分的安全性不同算法之间的安全隔离多安全算法，当一个算法不安全时，启用另一个安全算法。不同的PLMN之间安全隔离Kasme的计算需要PLMN-Id当PLMN发生改变，所有的Key及AV全部更新不同的MME之间的安全隔离当MME发生改变时，NASS.C.可更新不同的ENB之间的安全隔离当ENB发生改变时，ASS.C.全部更新不同的S.C.的安全隔离在LTE内，当一个S.C.成为Current，原来的CurrentS.C.就删除，不再使用。在LTE内，当创建一个新的S.C.则覆盖Non-CurrentS.C.当UE从GERAN/UTRAN切换到LTE后，一进入Idle或Detach，则旧RAT的S.C.删除。所有Key的计算都是单向函数当一个Key被破解了，其父Key不位被破解。5LTE/EPS加密与完整性保护NASRRCUEENBS-GWMME加密与完整性保护加密与完整性保护加密或不加密，没有完整性保护NDS/IP(TS33.210)用户平面6LTE/EPS加密与完整性保护NAS的加密（可选）KNASCenc：NASCipheringAlgorithmNAS的完整性保护KNASint：NASIntegrateProtectionAlgorithmRRC的加密（可选）KRRCenc：RRCCipheringAlgorithmRRRC的完整性保护KRRCint：RRCIntegrateProtectionAlgorithmUP的加密（可选）KUPenc：UP(=RRC)CipheringAlgorithm7

USIM/AuC

UE/

MME

KASME

K

KUPenc

KeNB

/NH

KNASint

UE/

HSS

UE/eNB

KNASenc

CK,IK

KRRCint

KRRCenc

8ME及USIM卡的能力E-UTRAN不能使用，因此不能接入到LTE系统中，也就是2G的SIM卡不能用于LTE的UE中。只可实现GERAN与UTRAN之间的移动性E-UTRAN可以使用，因此可实现GERAN、UTRAN与E-UTRAN之间的移动性E-UTRAN可以使用，因此可实现GERAN、UTRAN与E-UTRAN之间的移动性SIMMEGERANUTRANE-UTRANUSIMMEGERANUTRANE-UTRANE-USIMMEGERANUTRANE-UTRANEMMS.C.能够存放EMMS.C.的USIM为E-USIM9USIM,ME及EPSS.C.USIM产生的CK,IK传递给ME，ME产生EPSS.C.（如Kasme等）ME产生的EPSS.C.是在VotileMemeory中，进入Detach时，将Kasme,Knasenc,Knasint,NASCount,eKSI写入到ME中的Non-VotileMemeory中。USIM产生的CK,IK传递给ME，ME产生EPSS.C.（如Kasme等）ME产生的EPSS.C.是在VotileMemeory中，进入Detach时，将Kasme,Knasenc,Knasint,NASCount,eKSI写入到E-USIM中的Non-VotileMemeory中。USIMMECK,IKE-USIMMEEMMS.C.EPSS.C.CK,IKEPSS.C.10删除ME中存存储的EPSS.C.(E-)USIMMEEPSS.C.当ME中有EPSS.C.，当下下面的情形出出现时，则ME中的EPSS.C.与卡中的的数据均出现现冲突。开机状态下：：卡被拨出，，关机状态下：：换上另一张张（E-）USIM卡时时，关机状态下：：卡被拨出为了解决上面面的三个问题题，就直接(在开机后））删除ME中中存储的EPSS.C.开机状态下卡卡被拨出关机状态下USIM卡被被换成另一个个卡关机状态下卡卡被拨出11USIM,ME及S.C.及IRAT移动性GERAN/UTRAN的3GS.C.与EPSS.C.是相互互独立的。即即使将一个映映射到另一个个时，就成为为另外一个类类型，而原来来的类型不变变，即两者还还是独立的。。当UE从LTE进入（HO或Idle的RAU）到GERAN/UTRAN后，，SGSN执执行UMTSAKA后后，会出现两两个S.C.，一个用于于GERAN/UTRAN，而另一一个用于EPS，这两个个S.C.是是独立的。若SGSN不不执行UMTSAKA，则SGSN一直使用用从EPSS.C.映映射过来的3GS.C.，并且将将此映射的3GS.C.替代所有有的原来SGSN及UE上的3GS.C.然后，当UE从GERAN/UTRAN通过HO到LTE后，UE使使用的是从3GS.C.映射过来来的MappedEPSS.C.；若前面SGSN没有执行行UMTSAKA，则则UE将原来来的EPSS.C.映映射为Mapped3GS.C.,此时时使用的MappedEPSS.C.是在在此Mapped3GS.C.的再次映射射，而此时最最初的EPSS.C.还是有效的的但是进入了了Non-Current状态。若此后，UE进入Idle状态后，，再次进入连连接状态，则则使用原来的的EPSS.C.2次Mapped的EPSS.C.被删除（（但Mapped3GS.C.还是不作任任何的变化））若UE从GERAN/UTRAN通通过Idle的TAU进进入到LTE，则UE使使用EPSS.C.，，而3GS.C.（包包括（E-））USIM中中的CK,IK）不作任任何的变化。。USIMMEE-USIMMEEMMS.C.EPSS.C.3GS.C.CK,IK,KSI3GS.C.CK,IK,KSIEPSS.C.12TypeofEPSSecurityContextSecurityContextFullnativeSCPartialNativeSC没有确定NAS完整保护护算法及加密密算法MappedSCCNCNCC13SecurityContextSecurityContextEPSNASSecurityContextEPSASSecurityContextASkeys&IDNHNCCtheidentifiersoftheselectedAScryptographicalgorithms&countersusedforreplayprotectionKASME,KSIasmeUEsecuritycapabilitiesUL&DLNASCOUNTKnas-int&Knas-enc&identifiersoftheselectedNASintegrity&encryptionalgorithms.FullEPS14EPSS.C.状状态的转移移在EPS中中，最多只只能有一个个Current及及一个Non-CurrentEPSS.C.当AKA产产生一个Non-CurrentEPSS.C.时时，若存在在其它Non-Current，则覆覆盖之前的的。通过NASS.M.C.将将一个Non-Current的EPSS.C.激活活为Current时，新激激活的EPSS.C.覆盖盖之前的CurrentEPSS.C.(可能是Native，也可可能是Mapped)。但是当UE从GERAN/UTRAN切换到E-UTRAN时，，UMTSS.C.是映射射到EPSS.C.并自动动成为CurrentEPS(mapped)S.C.，，同时原来来LTE中中的CurrentEPSnativeS.C.就自动动地变为Non-Current，并并覆盖原来来的Non-Current。这是一一个很大的的不同的。。NativeEPSS.C.CurrentNon-CurrentFull(Knas)Partial(noKnas)MappedEPSS.C.Full(Knas)Partial(noKnas)AKANASSMC从GERAN/UTRAN切换到LTE从GERAN/UTRAN切切换到LTE15EPSUE与EMMS.C.当UE关机机或进入DEREGISTER状态时时，EMMS.C.只能放放入到ME中的Non-VotileMemeory中。当UE开机机时，使用用ME中的的EMMS.C.当UE关机机或进入DEREGISTER状态时时，ME中中的EMMS.C.必须存存放到USIM中的的Non-VotileMemeory中并并标识有效效，还标识识ME中的的S.C.无效（相相当于删除除）。当UE开机机时，使用用USIM中的EMMS.C.（如如果标识为为有效）.UMTSUSIME-UTRANMEE-UTRANUSIME-UTRANMEEMMS.C.EMMS.C.EMMS.C.16CurrentEPSS.C.的的选择与激激活IftheMMEreceivesaTAURequestorAttachRequestprotectedwithanon-currentfullEPSsecuritycontext,thenthiscontextbecomesthecurrentEPSsecuritycontextandtheMMEshalldeleteanyexistingcurrentEPSsecuritycontext.AfterasuccessfulrunofaNASSMCrelatingtotheeKSIassociatedwithanEPSsecuritycontext,thiscontextbecomesthecurrentEPSsecuritycontextandshalloverwriteanyexistingcurrentEPSsecuritycontext.17S.C.的的类类型型与与状状态态的的关关系系Non-CurrentCurrentFullMappedEPSS.C.Notallowed当UE从GERAN/UTRAN通过HO进入到E-UTRAN中。当UE从G/U通过IdleTAU（或先是HO进入E然后进入Idle)进入E时，若UE有FullNativeS.C.时，UE应当使用这个FullNativeS.C.，否则，UE使用MappedEPSS.C.Partial(Native)EPSS.C.执行了EPSAKA过程，但没有通过NASS.M.C过程激活使用此KSIasme。NotallowedFullnativeEPSS.C.执行了EPSAKA过程，并且通过NASS.M.C过程激活Kasme0，此时Kasme0是FullNativeCurrent。但UE进入GERAN/UTRAN后通过UMTSAKA及S.M.C过程激活了UMTSS.C.，当UE切换到回LTE时，MappedEPSS.C.成为Current时，则Kasme0就成为了Non-Current。执行了EPSAKA过程，并且通过NASS.M.C过程激活使用此KSIasme。18StorageS.C.intheUEduringpower-offS.C.intheMEvolatileMemoryUSIMMENV-MEMEMMcapableinUSIMNoEMMcapableinUSIMFullnativeEPSS.C.FullnativeS.CisStoredandmarkedvalidN/AAnynativeS.C.ismarkedinvalidorremoved.N/AYesFullnativeS.CisStoredandmarkedvalidFullmappedEPSS.C.orpartialnativeEPSS.C.AnynativeS.C.ismarkedinvalidorremoved.19主要要内内容容EPS安安全全综综述述EPSAKA与与S.M.C过过程程EPSMM程程与与HO过过程程中中的的安安全全EPSKDFEPSEEA1/2/3与与EIA/1/2/3算算法法20EPSAuthenticationandKeyAgreemenUEMMEHSSGenerateauthenticationvectorsAV(1..n)StoreauthenticationvectorsSelectauthenticationvectorAV(i)AuthenticationdatarequestAuthenticationdataresponseAV(1..n)UserauthenticationrequestKSIasme,RAND(i)||AUTN(i)UserauthenticationresponseRES(i)CompareRES(i)andXRES(i)VerifyAUTN(i)ComputeRES(i)SelectKasme(i)AuthenticationandkeyestablishmentDistributionofauthenticationvectorsfromHEtoSNComputeCK(i)andIK(i),thenKasme(i)21EPSAKAIfthekeysCK,IKresultingfromanEPSAKArunwerestoredinthefieldsalreadyavailableontheUSIMforstoringkeysCKandIKthiscouldleadtooverwritingkeysresultingfromanearlierrunofUMTSAKA.ThiswouldleadtoproblemswhenEPSsecuritycontextandUMTSsecuritycontextwereheldsimultaneously(asisthecasewhensecuritycontextisstorede.g.forthepurposesofIdleModeSignalingReduction).Therefore,"plasticroaming"whereaUICCisinsertedintoanotherMEwillnecessitateanEPSAKAauthenticationruniftheUSIMdoesnotsupportEMMparametersstorage.也就就是是说说，，在在EPSAKA过过程程中中产产生生的的CK,IK不不能能存存贮贮于于USIM中中存存贮贮UMTSAKA产产生生的的CK,IK的的地地方方。。USIM应应当当为为EPSAKA的的CK,IK使使用用独独立立的的Files。。若若USIM不不支支持持EMMFile，，则则EPSCK,IK必必须须存存贮贮在在ME中中。。这这就就说说明明，，当当USIM不不支支持持EMMFiles，，当当USIM卡卡换换ME时时，，则则必必须须要要执执行行EPSAKA过过程程。。22EPS-AuthenticationVector说明Kasme不是由由MME产生的的，而而是由由HE直接产产生的的EPSAV(4)RANDUMTSAV(5)GERANAV(3)XRESAUTNKasmeCKIKKc23EPSuserauthentication(EPSAKA)24UMTSHSSAMFRANDSQNKf1f2f3f4f5MACXRESCKIKAKAMFSQNSQN(+)AKAMFMACMAC认证向量量五元组组认证令牌牌认证算法认证配置置RANDAUTNHSS25UMTSUERANDKf1f2f3f4f5XMACRESCKIKSQN(+)AK双向认证证认证令牌牌及随机机数AMFMACSQNAK认证算法MACUSIMMEME26EPSHSSAMFRANDSQNKf1f2f3f4f5MACXRESCKIKAKAMFSQNSQN(+)AKAMFMACMAC认证向量量四元组组认证令牌牌认证算法认证配置置RANDAUTNSN-IdKasmeHSS27EPSUERANDKf1f2f3f4f5XMACRESCKIKSQN(+)AK双向认认证认证令令牌及及随机机数AMFMACSQNAK认证算法MACUSIMSN-IdKasmeMEME28DifferentservingnetworkdomainsMMEMMESGSNAnSGSNmayforwardunusedUMTSauthenticationvectorstoanMMEUMTSAVswhichwerepreviouslystoredintheMMEmaybeforwardedbacktowardsthesameSGSN.UMTSAVswhichwerepreviouslystoredintheMMEshallnotbeforwardedtowardsotherSGSNs.EPSauthenticationvectorsshallnotbeforwardedfromanMMEtowardsanSGSN.UnusedEPSauthenticationvectorsshallnotbedistributedbetweenMME'sbelongingtodifferentservingdomains(PLMNs)UMTSauthenticationvectorsthatwerepreviouslyreceivedfromanSGSNshallnotbeforwardedbetweenMME'sOnlyEPSAVsinthesamePLMNOnlyUMTSAVsinthesameSGSNOnlyUMTSAVsinthesamePLMN2930MMEHSSCK,IKKDF256256SNid,SQN,

AKKeNBKASME256KDFKDFKDFKDF256-bitkeysKNASencKNASint128-bitkeysKNASencKNASintTruncTrunc256256128128256256256NAS-enc-alg,Alg-IDNAS-int-alg,Alg-IDNASUPLINKCOUNTKDFKDF256-bitkeysKRRCencKRRCint128-bitkeysKRRCencKRRCintTruncTrunc256256128128256256RRC-enc-alg,Alg-IDRRC-int-alg,Alg-IDUP-enc-alg,Alg-ID256256PhysicalcellID,EARFCN-DL256KeNBeNBeNBKeNB*KDFKUPencKUPenc256256128TruncKDFNHNHKeNB25631MECK,IKKDF256256SNid,SQN,

AKKeNBKASME256KDFKDFKDFKDF256-bitkeysKNASencKNASint128-bitkeysKNASencKNASintTruncTrunc256256128128256256256NAS-enc-alg,Alg-IDNAS-int-alg,Alg-IDNASUPLINKCOUNTKDFKDF256-bitkeysKRRCencKRRCint128-bitkeysKRRCencKRRCintTruncTrunc256256128128256256RRC-enc-alg,Alg-IDRRC-int-alg,Alg-IDUP-enc-alg,Alg-ID256PhysicalcellID,EARFCN-DL256256KeNB*KDFKUPencKUPencTrunc256128256KDFNHNHKeNB25632Kasme与与SNIDSNID=MCC+MNCKasme=f(CK,IK,SNid,SQN(+)AK)Kasme的的产产生生与与SNid有有关关，，因因此此，，当当SNid发发生生改改变变时时，，则则原原来来的的Kasme不不能能使使用用。。因此，在在Inter-PLMN的TAU时时，则必必须要运运行EPSAKA。。33NASCOUNTReset0NASCount(复位））AKAS.C.MappinginUTRAN/GERANE-UTRANHOS.C.MappinginUTRAN/GERANE-UTRANidleMobilityTheNASCOUNTsshallnotberesetduringidlemodemobilityorhandoverforanalreadyexistingnativeEPSNASsecuritycontext.也就是是说NASCount快还返返转时时，就就要更更换Kasme了34NASS.M.CTheNASsecuritymodecommandmessagefromMMEtoUEshallcontainthereplayedUEsecuritycapabilities,theselectedNASalgorithms,theeKSIforidentifyingKASME,andbothNONCEueandNONCEmmeinthecaseofcreatingamappedcontextinidlemobility.Thismessageshallbeintegrityprotected(butnotciphered)withNASintegritykeybasedonKASMEindicatedbytheeKSIinthemessage.TheUEshallverifytheintegrityoftheNASsecuritymodecommandmessage.ThisincludesensuringthattheUEsecuritycapabilitiessentbytheMMEmatchtheonesstoredintheUEtoensurethatthesewerenotmodifiedbyanattackerandcheckingtheintegrityprotectionusingtheindicatedNASintegrityalgorithmandtheNASintegritykeybasedonKASMEindicatedbytheeKSI.Inaddition,whencreatingamappedcontextforthecasedescribedinclause9.1.2,theUEshallensurethereceivedNONCEUEisthesameastheNONCEUEsentintheTAURequestandalsocalculateK'ASMEfromCK,IKandthetwononces(seeAnnexA.11).Ifsuccessfullyverified,theUEshallstartNASintegrityprotectionandciphering/decipheringwiththissecuritycontextandsendstheNASsecuritymodecompletemessagetoMMEcipheredandintegrityprotectedTheNASsecuritymodecompletemessageshallincludeIMEIincaseMMErequesteditintheNASSMCCommandmessage.TheMMEshallde-cipherandchecktheintegrityprotectionontheNASSecurityModeCompleteusingthekeysandalgorithmsindicatedintheNASSecurityModeCommand.NASdownlinkcipheringattheMMEwiththissecuritycontextshallstartafterreceivingtheNASsecuritymodecompletemessage.NASuplinkdecipheringattheMMEwiththiscontextstartsaftersendingtheNASsecuritymodecommandmessage.MMEUENASS.M.Command(UES.Cap,SelectedNASAlgoritm,eKSI,IMEISVRequest,NONCEue,NONCEmme,NAS-MAC)NASS.M.Complete(IMEISV,NAS-MAC)StartI.P.&(de-)CipheringStartULde-CipheringStartDL-CipheringStartI.P.35NonceIftheMMEdoesnothavethecontextindicatedbytheUEintheTAUrequest,ortheTAUrequestwasreceivedunprotected,theMMEshallcreateanewmappedsecuritycontext(thatshallbecomethecurrentsecuritycontext).Inthiscase,theMMEshallgeneratea32bitNONCEmmeandusethereceivedNONCEuewiththeNONCEmmetogenerateafreshmappedK'ASMEfromCKandIK,whereCK,IKwereidentifiedbytheKSIandP-TMSIintheTAURequest.SeeAnnexA.11formoreinformationonhowtoderivethefreshK'ASME.TheMMEinitiatesaNASSecuritymodecommandprocedurewiththeUEincludingtheKSISGSN,NONCEUE,andNONCEMMEintheNASSecuritymodecommand.TheuplinkanddownlinkNASCOUNTformappedsecuritycontextshallbesettostartvalue(i.e.,0)whennewmappedsecuritycontextiscreatedinUEandMME.Nonce-UEWhencreatingamappedcontextforthecasedescribedinclause9.1.2,theUEshallensurethereceivedNONCEUEisthesameastheNONCEUEsentintheTAURequestandalsocalculateK'ASMEfromCK,IKandthetwononces(seeAnnexA.11).36ASS.M.CTheASsecuritymodecommandmessagefromeNBtoUEshallcontaintheselectedASalgorithms.ThismessageshallbeintegrityprotectedwithRRCintegritykeybasedonthecurrentKASME.TheASsecuritymodecompletemessagefromUEtoeNBshallbeintegrityprotectedwiththeselectedRRCalgorithmindicatedintheASsecuritymodecommandmessageandRRCintegritykeybasedonthecurrentKASME.RRCandUPdownlinkciphering(encryption)attheeNBshallstartaftersendingtheASsecuritymodecommandmessage.RRCandUPuplinkdeciphering(decryption)attheeNBshallstartafterreceivingandsuccessfulverificationoftheASsecuritymodecompletemessage.RRCandUPuplinkciphering(encryption)attheUEshallstartaftersendingtheASsecuritymodecompletemessage.RRCandUPdownlinkdeciphering(decryption)attheUEshallstartafterreceivingandsuccessfulverificationoftheASsecuritymodecommandmessage37ASSMC过程38ASSMC与NASSMC的同同步NASSMC正在进行行1:MME不不应当发起触触发ASSMC的S1-AP过程程6：MME只只有完成了NASSMC后才继续续Inter-MMEHO。Inter-ENBHO正在进行行5：源ENBreject触发发ASSMC的S1-AP过程5：源ENB当ASRefresh/Re-key结束束后，才可以以进行HOHO过程中3：MME发发起NASSMC，但但在HORequest/PathSwitchRequestAcknowledge中使使用OldASS.C.4：UE收到到NASSMC，但在在HO过程中中继续使用OldASS.C.触发ASSMC的SA-AP正在在进行中2：MME不不应当发起NASSMC.7：MME当当S1-AP结束后，才才可以进行Inter-MMEHONASSMC完成，但但S1-AP未进行8,9：有Inter-MMEHO，新旧MME则继续续使用OldASS.C.传输输，同时在S10接口上上传输两套S.C.39主要内容EPS安全全综述EPSAKA与S.M.C过程EPSMM程与HO过过程中的安全全EPSKDFEPSEEA1/2/3与EIA/1/2/3算法40EPSMM程与HO过过程中的安全全LTE内的状状态迁移时的的安全上下文文的处理LTE内TAU过程。UTMS与LTE之间的的RAU，TAU过程LTE内的X2,S1Handover过程程LTE与UMTS之间的的切换过程41TransitionToEMM-DEREGISTEREDIfUEandMMEhaveafullnon-currentnativeEPSsecuritycontextandacurrentmappedEPSsecuritycontext,thentheyshallmakethenon-currentnativeEPSsecuritycontextthecurrentone.UEandMMEshalldeleteanymappedorpartialEPSsecuritycontextstheyhold.NC-FNC-PC-MC-FEMM-DEREGISTEREDEMM-REGISTEREDC-FE-USIMMEUSIMMEC-F42ToEMM-DEREGISTERED的其其它场景AVNC-PC-FAVC-FAVNC-PC-FUE-initiatedDetachwithPoweroffUE-intDetachwithoutPoweroffMME-intDetachExplicitlywithre-attachMME-intDetachImplicitlyHSS-initiatedDetachwithSubscriptionwithdrawn43ToEMM-DEREG.withTAURejectNC-PC-FNC-PC-FMEE-USIMNC-PME(E-)USIMMEMENC-PC-FMEUSIMMENC-PC-F44AwayFromEMM-DEREGISTEREDNC-PC-FE-USIMMEUSIMMENC-PC-F(E-)USIMMEC-FAttachRequestwithI.P.andMMEsetsnewC-FS.C.IfthereisnoF-S.C.inMME,AKAisrunned.C-FAttachRequestwithI.P.andMMEsetsnewC-FS.C.IfthereisnoF-S.C.inMME,AKAisrunned.AttachRequestwithoutI.P.MMERunsEPSAKA45FromECM-IDLEtoECM-CONNECTED初始化的NAS消息不能加加密NC-PC-FE-USIMMEMENC-PC-FC-FC-FKnasint对初始化的的NAS消消息进行I.P.KnasencKnasint对初始化的的NAS消消息进行I.P.Knasenc进入入ECM-Connected时时，，MME将将E-USIM中中的的C-F标标识识为为无无效效！！以以保保证证ME中中的的C-F是是有有效效的的。。USIM46FromECM-IDLEtoECM-CONNECTEDKnasenc=f(Kasme,0x15|0x01|0x0001|EEA1/2|0x0001)Knasint=f(Kasme,0x15|0x02|0x0001|EIA1/2|0x0001)Kenb=f(Kasme,0x11|ULNASCount|0x0004)NH0=f(Kasme,0x12|Kenb|len(Kenb)=0x0020=32)NH*=f(Kasme,0x12|NH|len(NH))NC-P/FC-F/ME-USIMMEC-FKnasint对初始化的NAS消息进进行I.P.KnasencInitialUEContextSetup(UES.Capability,Kenb)Kenbf(Kasme)NCC0NHf(Kasme,Kenb)NCC1EPSAKAUL/DLNASCount0当MME改变变且PLMN-ID发生生改变时，必必须要执行，，否则根据MME的Policy来来决定NASS.M.C.ASS.M.C(EncAlg,IpAlg),仅仅用于(extended)ServiceRequest消消息或TAUWithActiveFlag消息47FromECM‑CONNECTEDtoECM-IDLENC-P/FC-F/xE-USIMMEMEC-F/MNC-P/FNC-P/FC-F/MUES.Capability对于FullNativeS.C中Knasint,Knasenc不存贮贮USIMUES.Capability对于FullNativeS.C中Knasint,Knasenc不存贮贮48MME传递递Kenb给ENBMMETargeteNBInitialContextSetup(UES.Cap,Kenb)UEContextModification(UES.Cap,Kenb)eNB:0NCC,afterreceivingS1-APInitialContextSetupRequestmessage.49Intra-LTETAUK’asme=f(CK||IK,0x19|NONCEue|0x0004|NONCEmme|0x0004)UEMMEoMMEnUE注注册到到MMEo中TAURequestwithI.P.(nativeGUTI,eKSI,LVTAI)ContextRequest(GUTI,CompleteTAUmessage)ContextResponse(IMSI,MMContext(CK,IK,KSI),UES.Capability,EPSBearers,EPSAVs)TAUResponse(GUTI,TAIList)NASS.M.Command(eKSI,SelectedNASS.Alg,UES.Cap)NASS.M.Complete()50FromE-UTRANtoUTRANRAUNAS-Token=f(Kasme,0x17|ULNASCOUNT|0x0004)CK’|IK’’=f(Kasme,0x1B|ULNASCOUNT|0x0004)Kc=f(CK|IK,0x32)UEMMESGSNUE注册册到MME中RAURequest(P-TMSI,oldRAI,P-TMSISignature,KSI)RAURequest(P-TMSI,oldRAI,P-TMSISignatureKNAS-Token,KSI)ContextRequest(P-TMSI,oldRAI,P-TMSISignatureNAS-Token)ContextResponse(IMSI,MMContext(CK’,IK’’,KSI,UEU/GS.Cap),PDPContext)比较NAS-Token，为为了可靠靠，使用一个个区间的的ULNASCount值,验证通过过后，计计算出CK’,IK’’通过Kasme及ULNASCount+1计算算出Nas-Token，放到P-TMSISignature中中,并计计算出CK’,IK’’，并将CK’’|IK’，KSI将将代替USIM中所有有的CK,IK,KSI，，计算更更新USIM中中的Kc，CKSN。。RAUResponse(P-TMSI，P-TMSISignature)将CK’’|IK’，KSI将将代替SGSN中所有的可可能CK,IK,KSI。RNCS.M.C.(AllowedS.AlgList,CK,IK)S.M.C.(SelectedS.Alg)S.M.Complete()S.M.Complete(SelectedS.Alg)ISR激激活的情情形ISR没没有激活活，或一一般的情情形51FromUTRANtoE-UTRANTAUK’asme=f(CK||IK,0x19|NONCEue|0x0004|NONCEmme|0x0004)UESGSNMMEUE注册册到SGSN中中TAURequest(nativeGUTI,eKSI)TAURequest(mappedGUTI,P-TMSISignature,CKSN,LVTAI,NONCEue,nativeGUTI,eKSI)ContextRequest(IMSI,OldGUTI(P-TMSI,oldRAI),P-TMSISignature)ContextResponse(IMSI,MMContext(CK,IK,KSI),PDPContext)若UE还还有CurrentEPSNASS.C.,则TAURequest消消息必须须包含nGUTI,eKSI,并用用此S.C.进进行I.P.,否则此此消息无I.P.，且且没有nGUTI,eKSITAUResponse(GUTI,TAIList)若前面通通过了I.P.，则使使用原来来的EPSNASS.C.,否则，则则根据CKSN及CK,IK，NONCEue/mme产生MappedKasme。eNBNASS.M.Com/CmpISR激激活的情情形ISR没没有激活活，即一一般的情情形若MME上有此此UE的的Context，则则通过I.P.的比较较，则可可得到UE的IMSI。不是使用用原来的的CurrentEPSNASS.C.或或改变算算法时，，执行此此过程CurrentEPSNASS.C.也可可以是MappedEPSNASS.C.52Key-change-on-theflyinitiatedbytheeNBwhenaPDCPCOUNTsisabouttobere-usedwiththesameRadioBeareridentityandwiththesameKenbIntra-CellHandoverAKAandlaterNASS.M.C.orActivationofanativecontextafterhandoverfromUTRANorGERANinitiatedbytheMMEwhenaNASEPSsecuritycontextdifferentfromthecurrentlyactiveoneshallbeactivated.initiatedbytheMMEwhenanEPSASsecuritycontextdifferentfromthecurrentlyactiveoneshallbeactivated.Re-freshKenbKrrcencKrrcintKupencRe-KeyingKasmeKnasencKnasintKenbKrrcencKrrcintKupenc53=f(Kasme,0x12|Kenb|0x0020)f(NH,0x13|PCI|0x0002|EARFCN-DL|0x0002)f(Kasme,0x12|NH|len(NH))f(Kasme,0x11|ULNASCount|0x0004)Modelforthehandoverkeychainingf(Kenb,0x13|PCI|0x0002|EARFCN-DL|0x0002)NCC:NextHopChainingCountPCI:PhysicalCellIdentifier.EARFCN:E-UTRAAbsoluteRadioFrequencyChannelNumber.当Kasme变变化化时时，，NCC，，Kenb及及NH需需要要全全部部重重新新开开始始计计算算！！54KeNBderivationIfKeNB*isderivedfromthecurrentlyactiveKeNBthisisreferredtoasahorizontalkeyderivationiftheKeNB*isderivedfromtheNHparameterthederivationisreferredtoasaverticalkeyderivationOnhandoverswithverticalkeyderivationtheNHisfurtherboundtothetargetPCIanditsfrequencyEARFCN-DLbeforeitistakenintouseastheKeNBinthetargeteNBKenb*=f(NH,0x13|PCI|0x0002|EARFCN-DL|0x0002)OnhandoverswithhorizontalkeyderivationthecurrentlyactiveKeNBisfurtherboundtothetargetPCIanditsfrequencyEARFCN-DLbeforeitistakenintouseastheKeNBinthetargeteNBKenb*=f(Kenb,0x13|PCI|0x0002|EARFCN-DL|0x0002)55Inter-ENB切换换的所要解决决的问题前向切换后，源ENB不能知知道目标ENB所使用的的Kenb切换后，目标标ENB通过过使用Intra-eNBHO来来实现。目标ENB，，使用目标MME所采用用的NH，产产生新的Kenb*反向切换后，目标标ENB不能能知道源ENB所使用的的Kenb源ENB以空空闲的｛NH,NCC}产生Kenb*（若没没有空闲的，，则以当前的的Kenb来来产生）并传传输给目标ENB，目标标ENB无法法知道源ENB所使用的的Kenb。。56从SourceeNB传递Kenb*到TargeteNBTargeteNBSourceRAN(eNB)S-2-TTC(HandoverPreparationInformation)S1-HandoverorIRAT_HOtoLTEHandoverRequest(UES.Capability,Kenb*,NCC)X2-HandoverUERRCConnectionReconfigurationintheHOCommandIntraLTE:(SelectedS.Alg,NCC)InterRAT:(SelectedS.Alg,NasSecurityParamToEUTRA）在S1HO及IRATHOtoLTE中，Kenb*及S-eNB所选选择的AS算算法的功能与与X2中的不不一样,T-eNBcandecipherandintegrityverifytheRRCReestablishmentCompletemessageonSRB1inthepotentialRRCConnectionRe-establishmentprocedure.57HO中MME传递NCC与NH给ENBMMETargeteNBHandoverRequest(NCC,NH,NASSecurityParamerstoEUTRAN)PathSwitchAck(NCC,NH)X2-HandoverS1-HandoverorIRAT_HOtoLTE通过Kenb=f(NH,PCI,EARFCN-DL)T-eNB实现现前向向的安安全保保护。。T-eNB通过过Intra-Cell的HO实实现Kenb的的更新新。UERRCConnectionReconfigurationintheHOCommandIntraLTE:(SelectedS.Alg,NCC)InterRAT:(SelectedS.Alg,NasSecurityParamToEUTRA）NasSecurityParamToEUTRA用于于IRATHOtoLTE58HO中中UE中Kenb的的计算算UE(Kenb,sNCC,NH)(Kenb*,NCC*,NH*)RRCConnectionReconfiguration(rNCC)IfrNCC=sNCC,thenKenb*=f(Kenb,0x13|PCI|0x0002|EARFCN-DL|0x0002)IfrNCC>sNCC,thenNCC+1,NH*=f(Kasme,0x12|NH|len(NH))untilrNCC=sNCC,thenKenb*=f(NH)Kenb=f(Kasme,0x11|ULNASCount|0x0004)NH0=f(Kasme,0x12|Kenb|len(Kenb)=0x0020=32)NH*=f(Kasme,0x12|NH|len(NH))Kenb*=f(KenborNH,0x13|PCI|0x0002|EARFCN-DL|0x0002)59LTEIntra-cellHOKenb*成为为新的Kenb，并根根据选择择的的算算法对后后面的RRC消消息进行行C.及及I.P.eNBMMEUERRCConnectionReconfigurationIntraLTE(SelectedS.Alg,NCC)产生新的的Kenb*=f(NH/Kenb）RRCConnectionReconfigurationComplete仍然使用用原来的的Kenb来CP及I.P.此消息息使用新的的Kenb*来来检查CP及I.P.此消息息，然后后Kenb*成成为新的的Kenb60Kenb*成为为新的Kenb，并根根据选择择的的算算法对后后面的RRC消消息进行行C.及及I.P.UE根据据NCC从Kenb计计算出Kenb*，然然后成为新Kenb,并以以此Kenb及及选择的的算法对对HOCMP消息进进行C.及I.P.X2Handover过程程中的安安全处理理S-eNBT-eNBMMEHandoverRequest(UES.Capability,Kenb*,NCC)HandoverRequestAck(T-2-STC(HOCommand(RRCConnectionReconfig(NCC))))UERRCConnectionReconfig(NCC)HandoverCompletePathSwitchRequest(UES.Capability)PathSwitchRequestAck(NCC,NH)RRCConnectionReconfigurationIntraLTE(SelectedS.Alg,NCC)产生新的的Kenb*=f(NH）产生新的的Kenb*=f(NH）RRCConnectionReconfigurationComplete仍然使用用原来的的Kenb来CP及I.P.此消息息使用新的的Kenb*来来检查CP及I.P.此消息息，然后后Kenb*成成为新的的KenbKenb*成成为Kenb。但是TC中的RRC消息还是明明文的处理的的。NCC+1,NH=f(NH,Kasme)Kenb*应应用未用的NH来计算，，否则,使用用当前的Kenb来计算算。61Kenb*成成为新的Kenb，并根根据选择的的的算法对后面面的RRC消消息进行C.及I.P.UE根据NCC从Kenb计算出Kenb*，，然后成为新Kenb,并并以此Kenb及选择的的算法对HOCMP消消息进行C.及I.P.X2Handover过程中的特特殊情形S-eNBT-eNBMMEHandoverRequest(UES.Capability,Kenb*,NCC)HandoverRequestAck(T-2-STC(HOCommand(RRCConnectionReconfig(NCC))))UERRCConnectionReconfig(NCC)HandoverCompletePathSwitchRequest(UES.Capability)PathSwitchRequestAck(NCC,NH)RRCConnectionReconfigurationIntraLTE(SelectedS.Alg,NCC)产生新的Kenb*=f(NH）产生新的Kenb*=f(NH）RRCConnectionReconfigurationComplete仍然使用原原来的Kenb来CP及I.P.此消消息使用新的Kenb*来检查CP及I.P.此消消息，然后后Kenb*成为新新的KenbKenb*成为Kenb。但但是TC中中的RRC消息还是是明文的处处理的。NCC+1,NH=f(NH,Kasme0)Kenb*应用未用用的NH来来计算，否否则,使用用当前的Kenb来来计算。EPSAKAandNASS.M.CMME发起起的Kenb，Krrc*,Kupenc的更更新62已计算出Kenb*，但是TC中的RRC消息息还是明文文的处理的的。UE根据NCC从Kenb计计算出Kenb*，，然后成为新Kenb,并以此Kenb及及选择的算算法对HOCMP消息进行行C.及I.P.S1Handover过程程中的安全全处理S-eNBT-eNBMMEHandoverRequired(S-2-TTC(HandoverPreparationInformation)))HandoverRequest(NCC,NH,NASS.P.tE,S-2-TTC(HOPreparationInforamtion))UERRCConnectionReconfig(NCC)HandoverCompleteHandoverRequestAck(T-2-STC(HOCMD(RRCConnectionReconfig(NASS.P.tE))))HandoverNotify产生新的Kenb*=f(NH）使用新的Kenb*来检查CP及I.P.此消消息，然后后Kenb*成为新新的KenbNCC+1,NH=f(NH,Kasme)HandoverCommand(NASS.P.fE,T-2-CTC(HOCMD(RRCConnectionReconfiguration)))若MME发生了了改变，，旧的MME也也会将当当前正在在使用的的Kasme及及eKSI传递递给新的的MME。旧的MME，NCC+，并计计算出一一个新NH，并并将｛NCC,NH}传递给给新的MME。。NASS.M.C.(eKSI,SelectedNASS.Alg,UES.Cap)NASS.M.Complete63已计算出出Kenb*，，但是TC中的的RRC消息还还是明文文的处理理的。UE根据据NCC从Kenb计计算出Kenb*，然然后成为新Kenb,并以以此Kenb及及选择的的算法对对HOCMP消息进进行C.及I.P.S1Handover过程程中的特特殊的情情形S-eNBT-eNBMMEHandoverRequired(S-2-TTC(HandoverPreparationInformation)))HandoverRequest(NCC,NH,NASS.P.tE,S-2-TTC(HOPreparationInforamtion))UERRCConnectionReconfig(NCC)HandoverCompleteHandoverRequestAck(T-2-STC(HOCMD(RRCConnectionReconfig(NASS.P.tE))))HandoverNotify产生新的的Kenb*=f(NH）使用新的的Kenb*来来检查CP及I.P.此消息息，然后后Kenb*成成为新的的KenbNCC+1,NH=f(NH,Kasme)HandoverCommand(NASS.P.fE,T-2-CTC(HOCMD(RRCConnectionReconfiguration)))若MME发生了了改变，，旧的MME也也会将以以前使用用的Kasme及eKSI传传递给新新的MME。并并且旧的的MME，NCC+，，并以旧旧的Kasme计算出出一个新新NH，，并将｛｛NCC,NH}传递递给新的的MME。若MME发生了了改变，，旧的MME也也会将新新的Kasme及eKSI传传递给新新的MME。并并且，将将{NCC=1,NH}传递递给新的的MME。EPSAKAandNASS.M.C若MME发生了了改变，，则MME再次次执行NASS.M.C，，整个Key的的Re-key若MME没有发发生改变变，则MME则则要进入入整个ASKey的的Re-Key过程64ForwardsecurityInthecontextofKeNBkeyderivation,forwardsecurityreferstothepropertythat,foraneNBwithknowledgeofaKeNB,sharedwithaUE,itshallbecomputationallyinfeasibletopredictanyfutureKeNB,thatwillbeusedbetweenthesameUEandanothereNB.Morespecifically,nhopforwardsecurityreferstothepropertythataneNBisunabletocomputekeysthatwillbeusedbetweenaUEandanothereNBtowhichtheUEisconnectedafternormorehandovers(n=1or2).65防止KSI与eKSI冲冲突的的方法法由于R8的的SGSN只认认识KSIsgsn，因因此当当EPSS.C.UMTSS.C.时，，必须须是Replace。但由于MME认认识KSIsgsn与与KSIasme，因因此当UMTSS.C.EPSS.C.时时无需进进行Replace，，因为KSIsgsn与KSIasme即即使是相相同的取取值但使使用不同同的类型型。66UTRANLTE的场景景UE有多多个UMTSS.C.没有有任何的的NativeEPSS.C.Idle:使用用KSIsgsn来保保护TAU，MME根根据SGSN的的CK,IK,KSIsgsn，产产生K’’asme，并并产生NASKey与Kenb及及选择安安全算法法。后面面，执行行EPSAKA（Fly））或C-->IC。HO:使使用KSIsgsn来来作HO，后面面同上。。UE有多多个UMTSS.C.有一一个FullnativeEPSS.C.Idle：使用用FNEPSS.C.来来保护TAU。。HO：使使用KSIsgsn来来作HO。MME产生生K’asme，并产产生NASKey与与Kenb及选选择安全全