NB-TOT的鉴权和加密
移动通信中的鉴权与加密
移动通信中的鉴权与加密在当今数字化的时代,移动通信已经成为我们生活中不可或缺的一部分。
我们通过手机与亲朋好友保持联系、获取信息、进行娱乐和工作。
然而,在这个便捷的背后,隐藏着一系列保障通信安全的技术,其中鉴权与加密就是至关重要的环节。
想象一下,您在手机上发送的每一条消息、每一次通话,都如同在一个无形的通道中穿梭。
如果这个通道没有任何保护措施,那么您的信息就有可能被他人窃取、篡改甚至滥用。
鉴权与加密就像是为这个通道设置的两道坚固的关卡,确保只有合法的用户能够进入通道,并且通道中的信息在传输过程中不被泄露和篡改。
那么,什么是鉴权呢?简单来说,鉴权就是验证用户身份的过程。
当您打开手机并尝试连接到移动网络时,网络会对您的身份进行验证,以确保您是合法的用户,有权使用网络提供的服务。
这就好比您进入一个需要门票的场所,工作人员会检查您的门票是否真实有效。
在移动通信中,鉴权通常是通过一系列的参数和算法来实现的。
例如,您的手机会向网络发送一个特定的标识码,网络会将这个标识码与存储在其数据库中的信息进行比对。
如果两者匹配,那么您就通过了鉴权,可以正常使用网络服务。
如果不匹配,那么您的连接请求就会被拒绝。
为了提高鉴权的安全性,移动通信系统还采用了多种加密技术。
加密的目的是将您的通信内容转换为一种难以理解的形式,只有拥有正确密钥的接收方才能将其解密还原为原始内容。
这就像是给您的信息穿上了一层“隐形衣”,即使被他人截获,也无法读懂其中的含义。
常见的加密算法有对称加密和非对称加密两种。
对称加密就像是一把相同的钥匙,发送方和接收方都使用这把钥匙来加密和解密信息。
这种方式的优点是加密和解密速度快,但缺点是密钥的分发和管理比较困难。
非对称加密则使用一对不同的密钥,即公钥和私钥。
公钥可以公开,用于加密信息;私钥则只有接收方拥有,用于解密信息。
这种方式解决了密钥分发的问题,但加密和解密的速度相对较慢。
在实际的移动通信中,通常会结合使用对称加密和非对称加密来达到更好的效果。
移动通信中的鉴权
移动通信中的鉴权随着移动通信技术的不断发展和普及,移动通信中的鉴权问题也日益重要。
鉴权是指通过验证用户身份,确定用户权限,防止未经授权者获取数据或进行操作的过程。
在移动通信中,鉴权是保证数据安全和网络稳定运行的重要环节之一。
移动通信中的鉴权机制主要采用了以下几种方式:1.密码鉴权密码鉴权是最基本的鉴权方式,通常采用用户名和密码的组合方式进行验证。
用户在注册时设置账号和密码,登录时输入账号和密码进行验证。
这种方式简单易用,但也容易被破解。
因此,密码鉴权一般会采用加密算法加密用户密码,提高密码的安全性。
2.数字证书鉴权数字证书鉴权采用公钥加密技术进行验证,具有较高的安全性。
用户在注册时申请数字证书,数字证书由一组公钥和私钥组成,保证了数据传输的安全性。
虽然数字证书鉴权的过程比较复杂,但可以有效避免密码被破解的问题,保障数据传输的安全性。
3.短信验证码鉴权短信验证码鉴权是一种常用的手机认证方式,用户在登录时需要输入接收到的手机验证码。
这种方式相比于密码鉴权更安全,因为验证码具有时效性,一旦过期就无法使用,有效保护了用户账号的安全性。
4.硬件鉴权硬件鉴权是一种基于设备的验证方式,通过对设备的唯一标识进行验证来确认用户身份。
例如移动设备的IMEI、MAC 地址等,这些信息都是唯一的标识符,可以有效防止非法设备登录。
硬件鉴权可以将用户账号与设备绑定,提高了安全性和稳定性。
移动通信中的鉴权机制不止上述所述几种,硬件鉴权为安全高但较为复杂,密码鉴权为最简单的鉴权方式,短信验证码鉴权为了更好地保护用户账号的安全。
不同的鉴权方式各有优缺点,移动通信运营商需要根据业务需求和安全性要求来选择适合的鉴权方式。
总结来说,移动通信中的鉴权问题是保障网络通信安全和用户信息私密性的重要环节。
移动通信运营商需要针对业务需求和安全性要求,选择合适的鉴权方式,确保移动通信网络的稳定、安全运行。
同时,用户也需要树立安全的意识,加强对密码的保护和隐私信息泄露的防范,共同构建一个安全稳定的移动通信环境。
移动通信中的鉴权
GSM系统的鉴权为了保障GSM系统的安全保密性能,在系统设计中采用了很多安全、保密措施,其中最主要的有以下四类:防止未授权的非法用户接入的鉴权(认证)技术,防止空中接口非法用户窃听的加、解密技术,防止非法用户窃取用户身份码和位置信息的临时移动用户身份码TMSI更新技术,防止未经登记的非法用户接入和防止合法用户过期终端(手机)在网中继续使用的设备认证技术。
鉴权(认证)目的是防止未授权的非法用户接入GSM系统。
其基本原理是利用认证技术在移动网端访问寄存器VLR时,对入网用户的身份进行鉴别。
GSM系统中鉴权的原理图如下所示。
本方案的核心思想是在移动台与网络两侧各产生一个供鉴权(认证)用鉴别响应符号SRES1和SRES2,然后送至网络侧VLR中进行鉴权(认证)比较,通过鉴权的用户是合理用户可以入网,通不过鉴权的用户则是非法(未授权)用户,不能入网。
在移动台的用户识别卡SIM中,分别给出一对IMSI和个人用户密码Ki。
在SIM卡中利用个人密码Ki与从网络侧鉴权中心AUC和安全工作站SWS并经VLR传送至移动台SIM 卡中的一组随机数RAND通过A3算法产生输出的鉴权响应符号SRES2。
在网络侧,也分为鉴权响应符号SRES1的产生与鉴权比较两部分。
为了保证移动用户身份的隐私权,防止非法窃取用户身份码和相应的位置信息,可以采用不断更新临时移动用户身份码TMSI取代每个用户唯一的国际移动用户身份码IMSI。
TMSI的具体更新过程原理如下图所示,由移动台侧与网络侧双方配合进行。
这项技术的目的是防止非法用户接入移动网,同时也防止已老化的过期手机接入移动网。
在网络端采用一个专门用于用户设备识别的寄存器EIR,它实质上是一个专用数据库。
负责存储每个手机唯一的国际移动设备号码IMEI。
根据运营者的要求,MSC/VLR能够触发检查IMEI的操作。
IS-95系统的鉴权IS-95中的信息安全主要包含鉴权(认证)与加密两个方面的问题,而且主要是针对数据用户,以确保用户的数据完整性和保密性。
移动通信中的鉴权与加密
移动通信中的鉴权与加密移动通信中的鉴权与加密引言移动通信技术的快速发展和广泛应用,使得人们越来越依赖于方式和其他移动设备进行通信和互联网访问。
这也带来了一系列的安全挑战和隐私问题。
为了保障通信安全和用户隐私,移动通信中的鉴权与加密技术变得至关重要。
鉴权的意义和方式鉴权是指验证用户身份和确认其权限的过程。
在移动通信中,鉴权起到了保护通信安全的重要作用。
常见的鉴权方式包括密码验证、数字证书和双因素身份认证等。
密码验证是最常见的鉴权方式,通过用户输入正确的密码进行验证。
数字证书鉴权则使用公钥和私钥进行身份验证。
双因素身份认证结合了多种验证方式,进一步提高了鉴权的安全性。
加密保障通信安全加密是指将明文转换为密文的过程,通过加密可以保障通信的机密性和完整性。
在移动通信中,加密技术广泛应用于网络通信、数据传输和存储等环节,以防止数据泄漏和篡改。
常见的加密算法有对称加密算法和非对称加密算法。
对称加密算法使用相同的密钥进行加密和解密,速度较快,但密钥的传输和管理较为复杂。
非对称加密算法则使用公钥加密、私钥解密的方式,安全性较高,但速度较慢。
移动通信中的鉴权与加密技术移动通信中的鉴权与加密技术涵盖了多个环节和多个层次。
在网络层面上,鉴权与加密技术可以通过访问控制列表和虚拟专用网络等手段进行。
在传输层面上,使用传输层安全协议(TLS)可以实现通信数据的加密和身份验证。
在应用层面上,通过应用层协议(如HTTPS)和数字证书可以保障用户的隐私和数据安全。
移动通信中的鉴权与加密的挑战移动通信中的鉴权与加密面临着一系列的挑战。
移动通信的发展使得通信网络变得更加复杂,需要应对更多的安全威胁。
大规模的移动设备和用户使得鉴权和加密的算法和密钥管理变得更加困难。
通信过程中的延迟和带宽限制也对鉴权与加密的性能提出了要求。
在移动通信中,鉴权与加密是保障通信安全和用户隐私的重要手段。
通过合理选择鉴权与加密的方式和技术,可以有效地防止数据泄漏、篡改和未授权访问。
移动通信中的鉴权与加密
移动通信中的鉴权与加密在当今高度数字化的社会,移动通信已经成为我们生活中不可或缺的一部分。
从日常的电话通话、短信交流,到各种移动应用的使用,我们无时无刻不在依赖移动通信技术。
然而,在享受其便捷的同时,我们也面临着信息安全的严峻挑战。
为了保障用户的隐私和通信的安全,鉴权与加密技术在移动通信中发挥着至关重要的作用。
首先,我们来了解一下什么是鉴权。
简单来说,鉴权就是验证用户身份的过程。
当您使用手机拨打电话、发送短信或者连接网络时,移动通信网络需要确认您是否是合法的用户,这就是鉴权在发挥作用。
想象一下,如果没有鉴权,任何人都可以随意使用您的手机号码进行通信,那将会造成多么混乱和危险的局面!鉴权的实现通常依赖于一系列的身份验证信息。
比如,您的 SIM 卡中存储着一些独特的密钥和身份标识,这些信息会与移动通信网络中的数据库进行比对。
当您开机或者进行重要的通信操作时,手机会向网络发送这些身份信息,网络会进行验证,如果匹配成功,您就被允许使用相应的服务。
除了 SIM 卡中的信息,还有其他的鉴权方式。
例如,一些网络可能会要求您输入密码、验证码或者使用生物识别技术(如指纹识别、面部识别等)来进一步确认您的身份。
这些多样化的鉴权方式增加了身份验证的可靠性和安全性。
接下来,我们谈谈加密。
加密就像是给您的通信内容加上了一把锁,只有拥有正确钥匙的人才能解开并理解其中的信息。
在移动通信中,加密技术可以确保您的通话内容、短信、数据传输等不被未授权的人员获取和理解。
加密的原理基于复杂的数学算法。
当您发送信息时,这些信息会通过特定的加密算法进行处理,转化为一种看似无规律的密文。
接收方在接收到密文后,使用相应的解密算法和密钥将其还原为原始的明文。
这样,即使在传输过程中有人截获了这些信息,由于没有解密的密钥和算法,也无法得知其中的真正内容。
在移动通信中,加密通常应用于多个层面。
比如,语音通话可以通过数字加密技术来保护,确保您和对方的对话不被窃听。
碳中和之水务行业发展研究报告
「碳中和」之水务行业发展研究报告第一章行业概况水务行业是指由原水、供水、节水、排水、污水处理及水资源回收利用等构成的产业链。
水务行业是中国乃至世界上所有国家和她区最重要的城市基本服务行业之一,日常的生产、生活都离不开城市供水。
一般指生产和提供水务产品及服务的主体的集合,及水务运营子行业。
整个水务产业链包括供水、污水设备生产制造,原水收集与制造、存储、输送,水的生产和销售,水的供应网管、中水回用,污水排放,污水收集与处理、污泥处理等。
根据水的流转路径,水务产业链可以分为:原水生产和供应、自来水生产和供应、自来水销售、污水处理(排水)、再生水(中水)生产和销售,这些价值环节构成了狭义的水务产业链。
从业务增长速度与市场发展空间来看,我国城市自来水供应业务已经进入了成熟期的初级阶段,我国污水处理行业正处于快速成长期;再生水利用业务还处于导入期,发展前景看好。
全球及我国水资源状况1)全球水资源状况全球水资源总量约为13.86亿立方千米,其中咸水占比为97.47%,淡水占比为2.53%。
在当前的技术条件下,地下水资源及咸水还不能大规模开发利用,容易利用的淡水仅占淡水总量的1%左右,约占全球水资源总量的0.026%左右。
在全球人口增长和经济发展的背景下,自然水资源的需求日益增加。
自然水资源的供应则由于污染、地下水的下沉以及气候变化等因素使人类可利用的自然水资源量正在萎缩。
尽管全球海水资源极其丰富,但目前海水淡化成本较高且技术也不够成熟,尚未形成规模化生产,若能充分利用海水资源将有效缓解日益萎缩的水资源状况。
尽管水资源是可再生资源,但受世界人口增长、人类对自然资源的过度开发、基础设施建设投入不足等因素影响,水资源供应可能会成为制约经济和社会发展的重要因素。
2)我国水资源状况我国的淡水资源总量为2.8万亿立方米,其中地表水2.7万亿立方米,地下水0.83万亿立方米,水资源总量占全球的6%,居世界第六位。
但我国水资源的人均占有量较低,仅为2,240立方米,约为世界人均的1/4,在世界银行连续统计的153个国家中居第88位。
国标级联鉴权的加密方法
国标级联鉴权的加密方法
首先,对称加密算法是指加密和解密使用相同密钥的算法,常
见的国标对称加密算法包括SM4算法。
SM4算法是一种分组密码算法,适用于电子数据加密。
在级联鉴权中,可以使用SM4算法对数
据进行加密,确保数据传输过程中的机密性。
其次,非对称加密算法也是级联鉴权中常用的加密方法之一。
非对称加密算法使用一对密钥,分别是公钥和私钥,常见的国标非
对称加密算法包括RSA算法和SM2算法。
在级联鉴权中,可以使用
非对称加密算法实现数字签名和密钥交换等功能,确保数据的完整
性和认证性。
此外,哈希算法也是级联鉴权中不可或缺的一部分。
哈希算法
可以将任意长度的数据映射为固定长度的哈希值,常见的国标哈希
算法包括SM3算法。
在级联鉴权中,可以使用哈希算法对数据进行
摘要计算,确保数据的完整性和防篡改性。
综合来看,国标级联鉴权的加密方法通常是通过对称加密算法、非对称加密算法和哈希算法的组合使用,来保障数据在传输和存储
过程中的安全性和可靠性。
这些加密方法的选择和使用需要根据具体的安全需求和标准来进行合理的设计和实施。
移动通信中的鉴权与加密
移动通信中的鉴权与加密在当今数字化的时代,移动通信已经成为我们生活中不可或缺的一部分。
我们通过手机与亲朋好友保持联系、获取信息、进行工作和娱乐。
然而,在这个便捷的通信背后,存在着诸多的安全隐患。
为了保障我们的通信安全,鉴权与加密技术应运而生。
什么是鉴权呢?简单来说,鉴权就是验证用户身份的合法性。
想象一下,你要进入一个只允许特定人员进入的房间,门口的保安会检查你的证件,确认你有进入的资格。
在移动通信中,网络就像是那个房间,而手机用户就是想要进入的人。
网络会对手机用户进行一系列的验证,以确定这个用户是否是合法的,是否有权使用网络提供的服务。
鉴权的过程通常涉及到多个环节和信息的交互。
比如,手机会向网络发送一些特定的信息,如国际移动用户识别码(IMSI)等。
网络接收到这些信息后,会与自己存储的合法用户信息进行比对。
如果匹配成功,就认为用户通过了鉴权,可以正常使用网络服务;如果不匹配,那么就会拒绝用户的接入请求。
那么,为什么鉴权如此重要呢?首先,它可以防止非法用户接入网络。
如果没有鉴权,任何人都可以随意使用移动通信网络,这不仅会造成网络资源的浪费,还可能导致网络拥堵、服务质量下降等问题。
其次,鉴权可以保障用户的权益。
只有合法用户才能享受网络提供的各种服务,如通话、短信、上网等,避免了非法用户盗用服务造成的费用纠纷。
最后,鉴权有助于维护网络的安全和稳定。
通过排除非法用户,网络可以减少受到恶意攻击的风险,保障整个通信系统的正常运行。
说完了鉴权,我们再来说说加密。
加密就是对通信内容进行特殊处理,使得只有合法的接收方能够理解其含义。
就好像你给朋友写了一封秘密信件,为了防止别人看懂,你用一种特殊的密码方式来书写,只有你和你的朋友知道如何解读。
在移动通信中,加密技术可以保护用户的通话内容、短信、数据流量等信息不被窃取或篡改。
当你打电话时,声音会被转换成数字信号,然后通过网络传输。
在传输之前,这些数字信号会经过加密处理,变成一堆看似毫无规律的乱码。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
IDENTITY REQUEST IDENTITY RESPUNSE
(IMSI) Stop T3418
AUTHENTICATION REQUEST AUTHENTICATION REPONSE
10
终端对网侧鉴权失败的流程
UE MME AUTHENTICATION REQUEST
(RAND||AUTN, KSIASME ) Start T3420
SECURITY MODE COMPLETE
([IMEI], NAS-MAC)
加密并且完整性保护
……
验证NAS-MAC失败
开始下行加密 随后交互的消息都即 加密又完整性保护
SECURITY MODE REJECT
14
1) RRC连接建立完成后,MME生成KeNodeB和NH,并向eNodeB发送UE的安全能力和 KeNodeB。安全能力包含UE支持的加密算法和完整性算法。 2) eNodeB将完整性保护算法优先级列表和UE安全能力取交集,选取优先级最高 的完整性算法。 3) eNodeB将加密算法优先级列表和UE安全能力取交集,选取优先级最高的加密 算法。
128-EEA2
128-EIA1 128-EIA2
‘010’B 基于AES算法,使用128比特输入密钥
‘001’B
‘010’B 基于AES算法,使用128比特输入密钥
18
3
安全连接的建立
• 消息安全交互的连接建立主要包括以下几个过程: 1、建立RRC连接,同时也建立起SRB1; 2、建立NAS连接; 3、发起AKA过程,完成UE和网侧进行双向鉴权和共 同基础密钥KASME的协商; 4、发起NAS安全模式控制(SMC)流程,激活NAS安 全机制,随后交互的NAS消息都进行安全保护。 5、发起AS安全模式控制(SMC)流程,激活AS安全 机制,随后交互的RRC消息都进行安全保护。
NB-TOT的鉴权和加密
保护机制是指实现消息的安全交互,包括UE 和网侧间的双向鉴权,对空口消息的加密和 完整性保护两方面。分为NAS Security和AS Security。 NAS Security负责对NAS数据的加密和完整性保 护,在MME和UE间对等的NAS层实现。 AS Security负责对AS数据中控制平面(RRC) 数据(即SRB1、SRB2)的加密和完整性保护, 以及数据平面(UP)数据(即所有的DRB)的 加密,在eNodeB和UE间对等的PDCP层实现。 注意:SRB0既不加密也不进行完整性保护。
HE
Start T3460
AUTHENTICATION FAILURE
(cause = "synch failure", AUTS)
Stop T3460 报告SQN同步失败
Authentication data request
如果AUTS中的MACS验证成功,则重新 申请鉴权参数,MME 删除原有参数 (RAND, AUTS )
Authentication data response
(New EPS AVs) Start T3460 重新发起鉴权请求 Stop T3460 终端重新鉴权
Stop T3420
AUTHENTICATION REQUEST AUTHENTICATION REPONSE
11
EPS的安全架构
EPS安全架构中有相互独立的分层安全: MME和UE执行NAS( Non-access stratum,非接入层)信令加密和完整性保护。 eNodeB和UE执行RRC信令加密和完整性保护,UP加密。
相关参数说明
• 算法类型标识:用于区分NAS,UP和RRC消 息的加密和完整性保护算法类型,长度为1 octet。
Algorithm distinguisher NAS-enc-alg NAS-int-alg RRC-enc-alg RRC-int-alg UP-enc-alg Value 0x01 0x02 0x03 0x04 0x05 说明 NAS消息加密算法 NAS消息完整性保护算法 RRC消息加密算法 RRC消息完整性保护算法 UP消息加密算法
8终端对Βιβλιοθήκη 侧鉴权失败的流程• EPS鉴权请求中,UE通过AUTHENTICATION REQUEST中的参数AUTN对核心网进 行鉴权,如果AUTN参数验证失败,UE则拒绝核心网,并向网络发送鉴权失 败消息AUTHENTICATION FAILURE。 AUTN中有以下三种原因可以导致鉴权失败: 1)MAC校验失败:终端判定MAC参数有错时会向网侧发送失败消息,并指明失 败原因是MAC Failure。随后网侧将发起身份认证流程,向终端索要IMSI,网 络用得到的IMSI所对应的TMSI与初始鉴权的TMSI相比较,若不一致网络将重 新发起鉴权流程。 2)缺少有效EPS鉴权:UE检查AUTN中的AMF中的特殊比特是为0,表示核心网不 支持EPS鉴权。 3)同步失败引起:终端判定同步失败后,会向网侧回复包含参数AUTS的失败消 息,发起重同步流程。网侧收到该消息之后,验证AUTS中的MSC-S,如果验 证成功,则删除MME中的鉴权参数,并且从HSS得到新的鉴权参数,重新发 起鉴权流程。
4) eNodeB根据KeNodeB和选取的安全算法来计算出KUP enc,KRRC int和KRRC enc密钥,并为PDCP配置相应的加密参数和完整性参数。
5) eNodeB通过Security Mode Command消息向UE发送安全模式参数配置。 Security Mode Command消息通过SRB1发送,由eNodeB进行完整性保护,没有加 密保护。 6) eNodeB接收到UE反馈的消息.
17
相关参数说明
• Alg-ID:算法标识,用于标识具体使用的算 法类型。
算法类型 EEA0 128-EEA1 Value ‘000’B 空加密,不做处理 ‘001’B 基于SNOW 3G算法,使用128比特输入密 钥,与3G中的UEA2算法相同 基于SNOW 3G算法,使用128比特输入密 钥,与3G中的UIA2算法相同 说明
9
终端对网侧鉴权失败的流程
UE AUTHENTICATION REQUEST AUTHENTICATION FAILURE
(cause = "MAC failure")
MME
Start T3460
Start T3418
Stop T3460 报告鉴权码验证失败 Start T3470 网侧向终端索要IMSI Stop T3470 比较IMSI所对应的TMSI 与初始鉴权的TMSI Start T3460 若TMSI不一致,则重新 发起鉴权请求 Stop T3460 终端重新鉴权
7
网侧发起的鉴权流程
UE AUTHENTICATION REQUEST
(RAND||AUTN, KSIASME )
MME
Start T3460
AUTHENTICATION REPONSE
(RES)
Stop T3460 比较RES和XRES 对终端鉴权失败 RES与XRES不相等
AUTHENTICATION REJECT
RAND:(Random Challenge):RAND是网络提供给UE的不可预知的随机数,长度为16 octets。 AUTN:(Authentication Token):AUTN的作用是提供信息给UE,使UE可以用它来对网络进行鉴权。 AUTN的长度为17octets XRES:(Expected Response):XRES是期望的UE鉴权响应参数。用于和UE产生的RES(或RES+RES_EXT)进行 比较,以决定鉴权是否成功。XRES的长度为4-16 octets。 KASME: 是根据CK/IK以及ASME(MME)的PLMN ID推演得到的一个根密钥。KASME 长度32octets。
ASME从HSS中接收顶层密钥,在E-UTRAN接入模式下,MME扮演ASME的角色。 l CK:为加密密钥,CK长度为16 octets。 l IK:完整性保护密钥,长度为16 octets。
网侧发起的鉴权流程
• 如果NAS信令连接已经建立,网侧就可以随 时发起一个鉴权流程。 • 网侧向UE发送AUTHENTICATION REQUEST消 息,发起鉴权流程。终端对网侧的成功完 成鉴权后,ME通过接受到的鉴权请求中的 参数计算出新的KASME。USIM计算出RES后, 传给ME。 • 网侧接收到AUTHENTICATION RESPONSE后, 验证RES是否正确。
密钥层次架构
NAS安全模式控制流程
ME MME
开始完整性保护
SECURITY MODE COMMAND
(eKSI, UE安全性能, EEA, EIA, [IMEI request], [NONCEME, NONCEME], NAS-MAC) 开始上行加密 使用所选算法 验证NAS-MAC成功 完整性保护但不加密
4
鉴权
鉴权流程的目的是由HSS向MME提供EPS鉴权向量(RAND, AUTN, XRES, KASME),并用来对用户进行鉴权
1) MME发送Authentication Data Request消息给HSS,消息中需要包含IMSI,网络ID,如MCC + MNC 和网络类型,如E-UTRAN 2) HSS收到MME的请求后,使用authentication response消息将鉴权向量发送给MME 3) MME向UE发送User Authentication Request消息,对用户进行鉴权,消息中包含RAND和AUTN这两 个参数 4) UE收到MME发来的请求后,先验证AUTN是否可接受,UE首先通过对比自己计算出来的XMAC和 来自网络的MAC(包含在AUTN内)以对网络进行认证,如果不一致,则UE认为这是一个非法的网 络。如果一致,然后计算RES值,并通过User Authentication Response消息发送给MME。MME检查 RES和XRES的是否一致,如果一致,则鉴权通过。 EPS鉴权向量由RAND、AUTN、XRES和KASME四元组组成。EPS鉴权向量由MME向HSS请求获取。EPS鉴权四元组: