在不同的版本的网络侧、无线侧、终端和用户的场景下,鉴权会采用不同的鉴权数据。需要明确的几个概念: - UMTS 的AKA(Authentication and key agreement)指网络下发鉴权五元组进行鉴权加密的过程。GSM 的AKA 指网络下发鉴权三元组进行鉴权加密的过程。 - R98-: 指按照R97 或R98 技术协议设计的network node 或ME。 - R99+: 指按照R99 或之后的技术协议设计的network node 或ME。 - UMTS 用户包括:R99+ME 带USIM、R98-ME 带USIM。 - GSM 用户包括:R99+ME 带SIM、R98-ME 带SIM。 一 USIM用户的鉴权场景: 图例 USIM用户的鉴权场景 R99+UE 带USIM 卡的UMTS 用户接入UTRAN 时,使用UMTS 的AKA。HLR发送5元鉴权组到VLR/SGSN, VLR将IK 和CK下发给UTRAN,USIM卡将IK和CK发给UE。 R99+UE 带USIM 卡的UMTS 用户接入GSM BSS,而VLR 为R99+时使用UMTS的AKA。HLR发送5元鉴权组到VLR/SGSN,但是空口使用2G的加密算法,因此VLR要将IK 和CK 计算得到Kc 下发给GSM BSS,USIM卡将IK和CK计算得到Kc,发给UE。 R99+UE 带USIM 卡的UMTS 用户接入GSM BSS,而VLR 为R98-时使用GSM的AKA。HLR发送3元鉴权组到VLR/SGSN, VLR直接将Kc 下发给GSM BSS,USIM卡将IK和CK计算得到Kc,发给UE。 注:对于GSM BSS无线侧,CS域加密是在GSM BSS和UE间进行,PS域加密则是在SGSN和UE间进行。因此,PS域时不需要将Kc传送给GSM BSS。 对于UTRAN无线侧时,加密都是在RNC和UE间进行,所以CK和IK总是要送到RNC上。 二 SIM用户鉴权的场景 图例 SIM用户的鉴权场景 R99+UE 带SIM 卡的GSM 用户接入UTRAN,使用GSM AKA。HLR发送3元鉴权组到VLR/SGSN,但是空口使用3G的加密算法,因此VLR要将KC计算得到IK 和CK,下发给GSM BSS,UE要将USIM发来的Kc计算得到IK和CK。 R99+UE 带SIM 卡的GSM 用户接入GSM BSS,VLR/SGSN 是R99+时,使用GSM AKA。HLR发送3元鉴权组到VLR/SGSN, VLR将Kc下发给GSM BSS,UE直接使用USIM卡发来的Kc。 R99+UE 带SIM 卡的GSM 用户接入GSM BSS,VLR/SGSN 是R98-时,使用GSM AKA。HLR发送3元鉴权组到VLR/SGSN, VLR将Kc下发给GSM BSS,UE直接使用USIM卡发来的Kc。 |