05-鉴权

M900/M1800 基站子系统 信令手册 目 录 i 目 录 第 5 章 鉴权............................................................................................................................5-1 5.1 概述 ................................................................................................................................... 5-1 5.2 鉴权流程............................................................................................................................ 5-1 5.2.1 鉴权成功 ................................................................................................................. 5-2 5.2.2 鉴权拒绝 ................................................................................................................. 5-2 5.2.3 鉴权异常 ................................................................................................................. 5-3 M900/M1800 基站子系统 信令分析手册 第 5章 鉴权 5-1 第5章 鉴权 翻译请参考 0408 4.3.2节 5.1 概述 鉴权是指 GSM 网络侧确定移动台在身份验证过程中在无线接口上传输的 IMSI或 TMSI合法性的过程。 鉴权的目的是为了防止非法用户接入 GSM网络系统，同时也防止合法用户的 私人信息被非法用户窃取。 网络侧在下列条件下可以启动鉴权流程： - MS申请在 VLR或 HLR用户相关信息更改； - 业务接入时（包括 MS主叫、移动态被叫、MS激活或去活及补充业务时）； - MSC/VLR重启后的第一次网络接入； - 密钥序列 Kc不匹配时； 鉴权过程具体有两方面作用： - 确定 MS提供的身份是否可以接入网络； - 提供参数供 MS计算新的密钥； 鉴权总是由网络侧发起和控制。 5.2 鉴权流程 网络侧通过向 MS发送 AUTHENTICATION REQUEST消息启动鉴权流程， 同时启动定时器 T3260。AUTHENTICATION REQUEST消息中包含计算鉴 权响应的参数和分配给密钥的“密钥序列号码”（CKSN）。 MS收到 AUTHENTICATION REQUEST消息后，根据其中提供的参数计算 AUTHENTICATION RESPONSE所需的信息和新的密钥 Kc，在给网络侧发 送 AUTHENTICATION RESPONSE消息之前，将新的密钥 Kc取代原密钥连 同“密钥序列号码”（CKSN）存于 SIM 卡中，并给网络侧回送 AUTHENTICATION RESPONSE消息。 M900/M1800 基站子系统 信令分析手册 第 5章 鉴权 5-2 网络侧在收到 AUTHENTICATION RESPONSE后，停止 T3260定时器，检 查 AUTHENTICATION RESPONSE消息的有效性。 5.2.1 鉴权成功 鉴权成功流程示意如图 5-1： AUT_REQ(1) AUT_RES(2) MSCBSCBTSMS 图5-1 鉴权成功流程 (1) AUTHENTICATION REQUEST消息中包含了包含一个随机数（RAND） 和 CKSN号码，RAND共 128bit。 (2) AUTHENTICATION RESPONSE消息中包含了一个响应数 SRES（由 RAND和 Ki经过 A3算法计算获得）。 网络侧比较自己保存的 SRES和 AUTHENTICATION RESPONSE消息中的 SRES 是否一致，若一致则鉴权权通过。如果 AUTHENTICATION RESPONSE消息验证通过，则进入其他后续子流程（如：加密流程）。 5.2.2 鉴权拒绝 如果鉴权失败，即 AUTHENTICATION RESPONSE 消息无效： (1) 如果 MS的采用 TMSI身份指示方式，网络侧将启动身份识别过程。如 果 MS的提供的 IMSI身份指示信息与网络侧 TMSI相关的 IMSI信息不 同，则网络侧将重启动鉴权过程。如果 MS 的提供的 IMSI 信息正确， 则网络侧将回送 AUTHENTICATION REJECT消息。 (2) 如果 MS 采用 IMSI 身份指示方式，则网络侧将直接回送 AUTHENTICATION REJECT消息。鉴权拒绝流程示意图如图 5-2： M900/M1800 基站子系统 信令分析手册 第 5章 鉴权 5-3 MSC AUT_RES(2) AUT_REJ(3) BSCBTSMS AUT_REQ(1) 图5-2 鉴权拒绝流程 网络侧发送 AUTHENTICATION REJECT 消息后，释放所有正在进行中的 MM连接，并重启 RR连接释放流程。 MS在收到 AUTHENTICATION REJECT消息后，MS将置漫游禁止标志，删 除 TMSI，LAI密钥信息等。 如果 MS 是在 IMSI DETACH INITIATED 状态下收到 AUTHENTICATION REJECT 消息，则 RR 连接释放后，停止 T3220 定时器；如果可能，MS 在 正常释放流程后或 T3220定时器超时后，启动本地释放流程。如果不可能（如： 在关机 IMSI分离时）MSRR子层会异常退出。 如果在其它状态下收到 AUTHENTICATION REJECT消息，MS异常退出所 有 MM 连接和呼叫重建流程，停止所有 T3210 或 T3230 定时器，释放所有 MM 连接，置位并启动 T3240 定时器并进入 WAIT FOR NETWORK COMMAND状态，等待 RR连接释放。如果 T3240超时后，RR连接还没有 释放，MS则异常退出 RR连接。在上述两种情况下，网络侧触发的 RR连接 释放，或者 MS异常退出 RR连接，MS进入 MM IDLE的 NO IMSI子状态。 5.2.3 鉴权异常 1. RR 连接失败 如果在收到 AUTHENTICATION RESPONSE 消息之前，网络侧到 RR 连接失败，网络侧将释放所有 MM连接并终止所有正在进行的 MM流程。 2. T3260 定时器超时 如果在收到 AUTHENTICATION RESPONSE消息之前，T3260定时器超时， 网络侧释放 RR 连接，终止鉴权流程和所有正在进行的 MM 流程，释放所有 MM连接，并启动 RR连接释放流程。 M900/M1800 基站子系统 信令分析手册 第 5章 鉴权 5-4 3. SIM 卡未注册 如果 MS 的 SIM 卡没有在网络侧注册时，网络侧直接会给 MS 回 AUTHENTICATION REJECT消息。