• 判断一个要接入网络的用户是否是授权用户。这个过程是双向的。
a)UE要接入网络,发送Attach request(IMSI, K , ue capability, KSI==7).
b)MME收到UE的请求后,知道UE没有初始的KASME来鉴权,使用IMSI作为ID向HSS请求鉴权向量。 Authentication Information Request ( IMSI, SNID, n, Network Type) to HSS过程.
c)MME保留这些Avs, Authentication Request转发其中的(AUTN,RAND,KSI,)给UE,UE利用这些信息(K, SQN, RAND)计算RES,AUTN和K。
d)UE与MME发来的AUTN比较. 如果鉴权成功,UE发送RES给MME, Authentication Response (RES ).如果失败Authentication Failure (CAUSE)
e)MME将RES与HSS得到的XRES比较,通过即鉴权成功。
3,NAS安全
UE和MME已经各自鉴权并共享同一个KASME,但仍然是没有加密和完整性保护的信令,触发NAS安全建立过程。
a)首先MME选择NAS安全算法(ID)和 KASME来计算一个完整性密钥Knasint 和加密密钥Knasenc, 然后应用Knasint生成NAS-MAC ,MME发送 NAS Security Mode Command (KSIASME, UE Capability, EEA, EIA, NAS-MAC)给UE. 由于UE还不知道选择的加密算法,所以这条信息只用了完整性保护,没有加密。
b)UE收到信令后,使用MME选择的NAS完整性算法验证,然后用完整性/加密算法从KASME生成NAS完整性密钥Knasint 和加密密钥Knasenc 。然后通过加密和加完整性保护发送Security Command Complete 给MME.
c) MME使用nasint和nasenc成功验证消息的完整性和解密消息,这个过程就结束了,
到此为止,UE和MME之间传送的消息就安全交付的(加密的和NAS安全完整保护的报文)。
___________________________________________________________________________________
