发布时间 : 星期三 文章3GPP 24008中文版协议更新完毕开始阅读
- 收到SECURITY MODE COMMAND(Iu mode only),CIPHERING MODE COMMAND(A/Gb mode only),CM SERVICE ACCEPT, CM SERVICE REJECT, LOCATION UPDATING ACCEPT,或AUTHENTICATION REJECT消息 - 时钟T3218超时
- MS进入MM IDLE或NULL。
4.3.2.3 网络侧鉴权处理
收到AUTHENTICAION RESPONSE,网络停止T3260,检验该响应是否有效。GSM鉴权请参考3GPP 43.020,UMTS鉴权请参考3GPP 33.102。 如果收到AUTHENTICATION FAILURE,网络停止T3260。如果是同步失败,核心网将和HLR/AuC协商后再提供MS新的鉴权参数。 4.3.2.4 加密密钥序列号
鉴权和加密的安全参数都是捆绑在集合里的。在GSM鉴权里,只要密钥和IMSI相关,通过参数RAND可以计算出鉴权响应参数SRES和GSM加密密钥。在UMTS鉴权里,只要密钥和IMSI相关,通过参数RAND可以计算出RES和UMTS加密密钥,UMTS完整性密钥。另外,GSM加密密钥还可以用UMTS完整性密钥和UMTS加密密钥通过非加密公式计算出来。
为了在没有鉴权的RR连接上启用加密,引入了加密密钥序列号。加密密钥序列号由网络控制,网络通过AUTHENTICATION REQUEST将其分配给GSM加密密钥或UMTS加密密钥和UMTS完整性密钥,这些密钥都是可以通过信令中携带的RAND计算出来。
MS把这个加密密钥序列号和对应的密钥存储在一起,并在第一条消息(LOCATION UPDATING REQUEST, CM SERVICE REQUEST, PAGING RESPONSE, CM RE-ESTABLISHMENT REQUEST)中告知网络这些密钥用的哪个序列号。 在讲到删除加密密钥序列号时,同样意味着关联的GSM加密密钥,UMTS加密密钥和UMTS完整性密钥也无效了。 在GSM,如果存储的加密密钥序列号和MS提供的一致,网络可以选择使用存储的GSM加密密钥来启动加密(3GPP 42.009有讲)。 在UMTS,如果存储的加密密钥序列号和MS提供的一致,网络可以选择使用存储的UMTS加密密钥和UMTS完整性密钥来启动加密和完整保护。
注意:在某些特殊情况,可能会使用KSI取代加密密钥序列号。 4.3.2.5 网络不接受鉴权
如果鉴权失败,比如,响应的无效,网络需要根据MS使用的标识区分以下两种情况: - 使用的TMSI;
- 使用的IMSI
如果是使用的TMSI,网络会发起标识流程。如果MS提供的IMSI和网络用来和TMSI关联的不一致,鉴权将使用正确的参数重新启动。如果MS提供的IMSI和期望一致,网络按下文描述执行。
如果使用的是IMSI,网络不会使用标识流程,发送AUTHENTICATION REJECT到MS。 消息发出后,所有进行中的MM连接都被释放,网络还会发起RR连接释放流程。 收到AUTHENTICATION REJECT消息,MS设置SIM/USIM卡里的更新状态为U3 ROAMING NOT ALLOWED,删除卡里存储的TMSI, LAI和加密密钥序列号。SIM/USIM被视为无效,直到关机或取出卡。
如果在IMSI DETACH INITIATED状态收到了AUTHENTICATION REJECT,MS的行为按照4.3.4.3所述。
如果是其他状态收到的,MS会终止任何MM特殊流程,MM连接的建立或呼叫重建立流程,
停止时钟T3210或T3230,释放MM连接,启动时钟T3240并进入WAIT FOR NETWORK COMMAND状态,等待释放RR连接。如果在T3240内没有释放RR连接,MS就自己终止RR连接。不管是网络发起的RR释放还是MS自己终止的,气候MS都会进入MM IDLE,子状态NO IMSI。
4.3.2.5.1 MS不接受鉴权
在UMTS鉴权里,鉴权流程被扩展到允许MS检验核心网。因此可以检查基站是否有效。 在UMTS发起鉴权后,如果参数AUTN出错,MS可以拒绝核心网。该参数包括两种可能的鉴权错误:
a) MAC code failure:
如果MS认为MAC码(核心网提供在AUTN参数中)无效,发送AUTHENTICATION FAILURE消息给网络,拒绝原因为\failure\。而后,MS按照4.3.2.6(c)中描述操作进行。
b) SQN failure:
如果MS认为SQN(核心网提供在AUTN参数中)的值超出范围,也会发送AUTHENTICATION FAILURE消息到网络,携带USIM提供的再同步标记AUTS,填入拒绝原因为\。MS后续动作按照4.3.2.6(d)执行。
在UMTS,如果插入卡USIM,MS会拒绝没有携带参数AUTN的鉴权消息(比如MS等待UMTS鉴权却收到了GSM鉴权)。这时,MS回复AUTHENTICATION FAILURE给网络,拒绝原因为\。MS后续动作按照4.3.2.6(c)执行。
如果MS返回了AUTHENTICATION FAILURE,它会删除之前存储的RAND和RES参数并停止时钟T3218,如果在跑的话。
4.3.2.6 异常情况 a) RR连接失败:
在收到AUTHENTICATION RESPONSE前检测到RR连接断开,网络会释放所有MM连接,并终止任何进行中的MM特殊流程。
b) T3260超时
在网络侧时钟T3260监督着鉴权的进行。当它超时,网络会释放RR连接。这时,网络还会终止鉴权流程以及任何进行中的MM特殊流程,释放所有MM连接,发起RR连接释放流程。
c) 鉴权失败(拒绝原因为\或\:
MS发送AUTHENTICATION FAILURE消息,如上文所述拒绝原因为\failure\或\,启动时钟T3214。另外,MS还会停止其他跑动的重传时钟(比如T3210,T3220或T3230)。第一次收到MS发来的拒绝原因为\failure\或\authentication unacceptable\的AUTHENTICATION FAILURE时,网络按4.3.3所述发起标识流程,这是让网络获取IMSI。之后网络可以检查之前鉴权流程中用到的TMSI是否和正确的IMSI关联。MS收到IDENTITY REQUEST后回复IDENTITY RESPONSE。
注意:网络收到拒绝原因为\failure\或\authentication unacceptable\的AUTHENTICATION FAILURE时,也可以终止鉴权流程(见4.3.2.5)。 如果网络发现自身使用的TMSI/IMSI是错的,发起新的AUTHENTICATION REQUEST。MS收到后停止时钟T3214,按照正常情况处理这次鉴权。 如果MS对网络的验证通过(AUTHENTICATION REQUEST中携带的SQN和MAC都是有效的),MS才回复AUTHENTICATION RESPONSE给网络,并开启重传输时钟(比如T3210,T3220或T3230),如果他们是在第一次收到失败的鉴权消息时正在运行而后却被停止的话。
如果在T3214运行时,收到了第二次AUTHENTICATION REQUEST,且MAC值不能确定,或者消息包含了GSM鉴权,那MS会按照上文描述的情况c)从头执行。如果SQN无效,MS按照情况d)执行。
如果下列情况发生,鉴权被视为虚假:
- 发送拒绝原因为\failure\或\authentication unacceptable\的AUTHENTICATION FAILURE后,时钟T3214超时;
- 在连续三次鉴权中,MS均检测到以下错误集合中的一种:\failure\\SQN\\authentication unacceptable\。这里所说的连续,指的是当MS收到引起第二和第三次鉴权失败的鉴权消息时,前一次鉴权失败后启动的时钟T3214或T3216正在运行中。 当MS认定鉴权源为虚假时,将按照4.3.2.6.1所述执行。 d) 鉴权失败(拒绝原因为\
MS向网络发送拒绝原因为\failure\的AUTHENTICATION FAILURE后,启动时钟T3216。另外MS还会停止在跑的任何重传时钟(比如T3210, T3220或T3230)。网络第一次收到这样的FAILURE消息时,使用消息中返回的AUTS参数进行再同步。再同步需要VLR/MSC删除IMSI对应的所有未使用鉴权向量,并从HLR获取新的向量。当再同步完成,网络重新发起鉴权流程。如果收到AUTHENTICATION REQUEST时,T3216在跑,MS停之。
注意:连续两次都收到拒绝原因为\的AUTHENTICATION FAILURE后,网络可以发送AUTHENTICATION REJECT终止鉴权流程。 如果对网络的验证通过(新的AUTHENTICATION REQUEST包含的SQN和MAC均有效)而此时T3216在跑,MS将回复AUTHENTICATION RESPONSE,并开启重传输时钟(比如T3210,T3220或T3230),如果他们是在第一次收到失败的鉴权消息时正在运行而后却被停止的话。
如果在T3216运行时,收到了第二次AUTHENTICATION REQUEST,且MAC值不能确定,或者消息包含了GSM鉴权,那MS会按照上文描述的情况c)执行。如果SQN无效,MS按照情况d)从头执行。
当以下任一情况发生时,MS认定网络鉴权失败,并按照4.3.2.6.1中所述进行后续动作: - T3216超时;
- 在连续三次鉴权中,MS均检测到以下错误集合中的一种:\failure\\SQN\\authentication unacceptable\。这里所说的连续,指的是当MS收到引起第二和第三次鉴权失败的鉴权消息时,前一次鉴权失败后启动的时钟T3214或T3216正在运行中。 4.3.2.6.1 MS对鉴权失败的网络端的动作
如果MS认定网络的鉴权检验已经失败,请求RR或RRC释放RR连接和PS信令连接,并设服务小区为禁用。MS启动重传输时钟(比如T3210,T3220或T3230),如果他们是在MS第一次收到包含无效MAC或SQN或者期望UMTS鉴权时缺失AUTN的鉴权消息时正在运行而后却被停止的话。
4.3.2.7 在从UMTS到GSM的异系统更换时密钥的处理
从UMTS异系统换到GSM后,不用任何新的鉴权流程就可以启动加密。是否要减少一些GSM下使用的安全密钥,取决于当前存储在MS和网络中的GSM/UMTS安全上下文。 ME根据下表4.3.2.7.1处理GSM加密密钥。 表4.3.2.7.1 从UMTS异系统换到GSM
Security context established in MS At inter-system change to GSM: and network in UMTS GSM security context An ME shall apply the stored GSM cipher key that was received from the GSM security context residing in the SIM/USIM during the latest successful ciphering mode setting or security mode control procedure before the inter-system change. An ME shall apply the stored GSM cipher key that was derived by the USIM from the UMTS cipher key and the UMTS integrity key and provided by the USIM during the latest successful ciphering mode setting or security mode control procedure before the inter-sytem change. UMTS security context 注意:存有UMTS安全上下文的USIM,是否将UMTS加密密钥,UMTS完整性密钥和提取出来的GSM加密密钥传递给ME取决于当前的无线接入是UMTS还是GSM。 4.3.2.7a 使用建立了的安全上下文
在GSM,如果GSM安全上下文已建立,在有RR连接时收到有效的CIPHERING MODE COMMAND,ME会直接从SIM/USIM中加载GSM加密密钥并使用(有效CIPHERING MODE COMMAND的定义在3GPP 44.018第3.4.7.2节)。
在GSM,如果UMTS安全上下文已建立,在有RR连接时收到有效的CIPHERING MODE COMMAND,ME会直接从USIM中加载GSM加密密钥并使用。网络可以使用名为\的转换公式(参考3GPP 33.102)用UMTS加密密钥和UMTS完整性密钥提取到GSM加密密钥。 在UMTS,如果GSM安全上下文已建立,ME可以通过转换公式\和\使用GSM加密密钥计算出UMTS加密密钥和UMTS完整性密钥。GSM加密密钥可以从SIM/USIM中读取,当收到了有效的指示CS域的SECURITY MODE COMMAND时MS会用到计算出来的UMTS加密密钥和UMTS完整性密钥。网络也可以使用\公式从GSM加密密钥中提取出UMTS加密密钥和UMTS完整性密钥。
在UMTS,如果UMTS安全上下文已建立,MS收到了指示CS域的有效SECURITY MODE COMMAND(有效的定义在3GPP 25.331)时,可直接从USIM卡中导出UMTS加密密钥和UMTS完整性密钥使用。
对于UMTS和GSM,在网络发起新的鉴权流程,建立新的GSM/UMTS安全上下文之前,如果在UMTS下MS收到指示CS域的SECURITY MODE COMMAND或在GSM的MS收到有效的CIPHERING MODE COMMAND信令,MS会使用新的密钥。在UMTS内部切换,GSM内部切换,或UMTS到GSM切换的情况,在收到UMTS下新的有效的SECURITY MODE COMMAND之前,或者GSM下在收到新的有效的CIPHERING MODE COMMAND之前,MS和网络都将继续使用旧的密钥集产生的密钥。如果是GSM切换到UMTS的情况,在第二次收到指示CS域有效的SECURITY MODE COMMAND命令前,MS和网络都会继续使用原密钥生成的密钥。
注意1:如果在异系统转换到UMTS之前,MS收到了有效的CIPHERING MODE COMMAND,那么在异系统变更后,MS收到的第一条指示为CS域,且只包含完整性保护IE的SECURITY MODE COMMAND,是在UTRAN没有从MSC/VLR调用RANAP安全控制模式流程就已经发起了。唯一的目的是只启动完整性保护,而不是从SIM/USIM中提取新的加密密钥。
注意2:条件如上同,如果异系统转移到UMTS后,收到的第一条指示CS域的SECURITY MODE COMMAND(没说只包含完整性保护IE)是UTRAN从MSC/VLR调用了RANAP安全模式控制流程后发起的,目的为了从SIM/USIM中提取密钥集来激活完整性保护或加密