05-鉴权

M900/M1800 基站子系统 信令 目 录 i 目 录 第 5章 鉴权............................................................................................................................5-1 5.1 概述 ................................................................................................................................... 5-1 5.2 鉴权............................................................................................................................ 5-1 5.2.1 鉴权成功 ................................................................................................................. 5-2 5.2.2 鉴权拒绝 ................................................................................................................. 5-2 5.3 BSC 内部处理流程 ............................................................................................................. 5-3 5.4 鉴权异常............................................................................................................................ 5-3 M900/M1800 基站子系统 信令分析手册 第 5 章 鉴权 5-1 第5章 鉴权 5.1 概述 鉴权是指 GSM 网络侧确定移动台在身份验证过程中，在无线接口上传输的 IMSI 或 TMSI 合法性的过程。 鉴权的目的是为了防止非法用户接入 GSM 网络系统，同时也防止合法用户的私人 信息被非法用户窃取。 网络侧在下列条件下可以启动鉴权流程： z MS 申请在 VLR 或 HLR 用户相关信息更改。 z 业务接入时（包括 MS 主叫、MS 被叫、MS 激活或去活及补充业务时）。 z MSC/VLR 重启后的第一次网络接入。 z 密钥序列 Kc 不匹配时。 鉴权过程具体有两方面作用： z 确定 MS 提供的身份是否可以接入网络； z 提供参数供 MS 计算新的密钥； 鉴权总是由网络侧发起和控制。 5.2 鉴权流程 网络侧通过向 MS 发送 AUTHENTICATION REQUEST 消息启动鉴权流程，同时启 动定时器 T3260。AUTHENTICATION REQUEST 消息中包含计算鉴权响应的参数 和分配给密钥的“密钥序列号码”（CKSN）。 MS 收到 AUTHENTICATION REQUEST 消息后，根据其中提供的参数计算 AUTHENTICATION RESPONSE 所需的信息和新的密钥 Kc，在给网络侧发送 AUTHENTICATION RESPONSE 消息之前，将新的密钥 Kc 取代原密钥连同“密钥 序列号码”（CKSN）存于 SIM 卡中，并给网络侧回送 AUTHENTICATION RESPONSE 消息。 网络侧在收到 AUTHENTICATION RESPONSE 后，停止 T3260 定时器，检查 AUTHENTICATION RESPONSE 消息的有效性。 M900/M1800 基站子系统 信令分析手册 第 5 章 鉴权 5-2 5.2.1 鉴权成功 鉴权成功流程示意如图 5-1： AUT_REQ(1) AUT_RES(2) MSCBSCBTSMS 图5-1 鉴权成功流程 (1) AUTHENTICATION REQUEST 消息中包含了一个随机数（RAND）和 CKSN 号码，RAND 共 128bit。 (2) AUTHENTICATION RESPONSE 消息中包含了一个响应数 SRES（由 RAND 和 Ki 经过 A3 算法计算获得）。 网络侧比较自己保存的 SRES 和 AUTHENTICATION RESPONSE 消息中的 SRES 是否一致，若一致则鉴权通过。如果 AUTHENTICATION RESPONSE 消息验证通 过，则进入其他后续子流程（如：加密流程）。 5.2.2 鉴权拒绝 如果鉴权失败，即 AUTHENTICATION RESPONSE 消息无效： (1) 如果 MS 采用 TMSI 身份指示方式，网络侧将启动身份识别过程。 z 如果 MS 的提供的 IMSI 身份指示信息与网络侧 TMSI 相关的 IMSI 信息不同， 则网络侧将重启动鉴权过程。 z 如果 MS 的提供的 IMSI 信息正确，则网络侧将回送 AUTHENTICATION REJECT 消息。 (2) 如果 MS 采用 IMSI 身份指示方式，则网络侧将直接回送 AUTHENTICATION REJECT 消息。鉴权拒绝流程示意图如图 5-2： M900/M1800 基站子系统 信令分析手册 第 5 章 鉴权 5-3 MSC AUT_RES(2) AUT_REJ(3) BSCBTSMS AUT_REQ(1) 图5-2 鉴权拒绝流程 网络侧发送AUTHENTICATION REJECT消息后，释放所有正在进行中的MM连接， 并重启 RR 连接释放流程。 MS 在收到 AUTHENTICATION REJECT 消息后，MS 将置漫游禁止标志，删除 TMSI，LAI 密钥信息等。 如果 MS 是在 IMSI DETACH INITIATED 状态下收到 AUTHENTICATION REJECT 消息，则 RR 连接释放后，停止 T3220 定时器；如果可能，MS 在正常释放流程后 或 T3220 定时器超时后，启动本地释放流程。如果不可能（如：在关机 IMSI 分离 时）MSRR 子层会异常退出。 如果在其它状态下收到 AUTHENTICATION REJECT 消息，MS 异常退出所有 MM 连接和呼叫重建流程，停止所有 T3210 或 T3230 定时器，释放所有 MM 连接，置 位并启动 T3240 定时器并进入 WAIT FOR NETWORK COMMAND 状态，等待 RR 连接释放。如果 T3240 超时后，RR 连接还没有释放，MS 则异常退出 RR 连接。 在上述两种情况下，网络侧触发的 RR 连接释放，或者 MS 异常退出 RR 连接，MS 进入 MM IDLE 的 NO IMSI 子状态。 5.3 BSC内部处理流程 鉴权由网络侧发起和控制，BSC 侧无特殊处理。 5.4 鉴权异常 1. RR连接失败 如果在收到 AUTHENTICATION RESPONSE 消息之前，网络侧检测到 RR 连接失 败，网络侧将释放所有 MM 连接并终止所有正在进行的 MM 流程。 M900/M1800 基站子系统 信令分析手册 第 5 章 鉴权 5-4 2. T3260定时器超时 如果在收到 AUTHENTICATION RESPONSE 消息之前，T3260 定时器超时，网络 侧释放 RR 连接，终止鉴权流程和所有正在进行的 MM 流程，释放所有 MM 连接， 并启动 RR 连接释放流程。 3. SIM卡未注册 如果MS的SIM卡没有在网络侧注册时，网络侧直接会给MS回AUTHENTICATION REJECT 消息。