51学通信技术论坛

标题: 2G及3G中鉴权场景的说明 [打印本页]

作者: 爱卫生    时间: 2012-10-28 16:02:00     标题: 2G及3G中鉴权场景的说明

在不同的版本的网络侧、无线侧、终端和用户的场景下,鉴权会采用不同的鉴权数据。需要明确的几个概念:

- UMTS 的AKA(Authentication and key agreement)指网络下发鉴权五元组进行鉴权加密的过程。GSM 的AKA 指网络下发鉴权三元组进行鉴权加密的过程。

- R98-: 指按照R97 或R98 技术协议设计的network node 或ME。

- R99+: 指按照R99 或之后的技术协议设计的network node 或ME。

- UMTS 用户包括:R99+ME 带USIM、R98-ME 带USIM。

- GSM 用户包括:R99+ME 带SIM、R98-ME 带SIM。

一 USIM用户的鉴权场景:

[attach]1835[/attach]

图例 USIM用户的鉴权场景

R99+UE 带USIM 卡的UMTS 用户接入UTRAN 时,使用UMTS 的AKA。HLR发送5元鉴权组到VLR/SGSN, VLR将IK 和CK下发给UTRAN,USIM卡将IK和CK发给UE。

R99+UE 带USIM 卡的UMTS 用户接入GSM BSS,而VLR 为R99+时使用UMTS的AKA。HLR发送5元鉴权组到VLR/SGSN,但是空口使用2G的加密算法,因此VLR要将IK 和CK 计算得到Kc 下发给GSM BSS,USIM卡将IK和CK计算得到Kc,发给UE。

R99+UE 带USIM 卡的UMTS 用户接入GSM BSS,而VLR 为R98-时使用GSM的AKA。HLR发送3元鉴权组到VLR/SGSN, VLR直接将Kc 下发给GSM BSS,USIM卡将IK和CK计算得到Kc,发给UE。

注:对于GSM BSS无线侧,CS域加密是在GSM BSS和UE间进行,PS域加密则是在SGSN和UE间进行。因此,PS域时不需要将Kc传送给GSM BSS。

对于UTRAN无线侧时,加密都是在RNC和UE间进行,所以CK和IK总是要送到RNC上。

二 SIM用户鉴权的场景

[attach]1836[/attach]

图例 SIM用户的鉴权场景

R99+UE 带SIM 卡的GSM 用户接入UTRAN,使用GSM AKA。HLR发送3元鉴权组到VLR/SGSN,但是空口使用3G的加密算法,因此VLR要将KC计算得到IK 和CK,下发给GSM BSS,UE要将USIM发来的Kc计算得到IK和CK。

R99+UE 带SIM 卡的GSM 用户接入GSM BSS,VLR/SGSN 是R99+时,使用GSM AKA。HLR发送3元鉴权组到VLR/SGSN, VLR将Kc下发给GSM BSS,UE直接使用USIM卡发来的Kc。

R99+UE 带SIM 卡的GSM 用户接入GSM BSS,VLR/SGSN 是R98-时,使用GSM AKA。HLR发送3元鉴权组到VLR/SGSN, VLR将Kc下发给GSM BSS,UE直接使用USIM卡发来的Kc。


作者: hycl5410    时间: 2012-10-29 11:21:25

对于USIM卡插在不支持UMTS AKA的手机在GERAN接入场景,有一个小疑问:
VLR/SGSN如何知道需要进行GSM authentication而直接发RAND&SRES而不发AUTN?按照24.008的说法,AUTN只用于UMTS authentication。

9.2.2.1        Authentication Parameter AUTN
This IE shall be present if and only if the authentication challenge is a UMTS authentication challenge.The presence or absence of this IE defines- in the case of its absence- a GSM authentication challenge or- in the case of its presence- a UMTS authentication challenge.
The MS shall ignore the IE if a SIM is inserted in the MS.
In UMTS, the MS shall reject the AUTHENTICATION REQUEST message as specified in subclause 4.3.2.5.1 if this IE is not present and a USIM is inserted in the MS.

也就是说,VLR/SGSN知道某一个USIM卡在GERAN下不支持UMTS AKA。
HLR源头肯定区分不了,因为下发的一样是5元组。是从ATTACH REQ, RAU REQ中的哪个字段确定了ME不支持UMTS AKA(USIM inserted)?

实际中又是怎么用的呢?个人感觉VLR/SGSN彻底不去判断好一点,只要收到5元组,就发AUTN默认UMTS AKA,ME不支持让它自己去忽略好了。。。只要回来的SRES(ME选择了GSM authentication)能正确处理就行。。。



作者: yuqinwan    时间: 2013-8-21 12:27:19

定起学习一下。




欢迎光临 51学通信技术论坛 (http://51xuetongxin.com/bbs/) Powered by Discuz! X2