文档介绍：鉴权
翻译请参考0408
概述
鉴权是指GSM网络侧确定移动台在身份验证过程中在无线接口上传输的IMSI或TMSI合法性的过程。
鉴权的目的是为了防止非法用户接入GSM网络系统,同时也防止合法用户的私人信息被非法用户窃取。
网络侧在下列条件下可以启动鉴权流程:
- MS申请在VLR或HLR用户相关信息更改;
- 业务接入时(包括MS主叫、移动态被叫、MS激活或去活及补充业务时);
- MSC/VLR重启后的第一次网络接入;
- 密钥序列Kc不匹配时;
鉴权过程具体有两方面作用:
- 确定MS提供的身份是否可以接入网络;
- 提供参数供MS计算新的密钥;
鉴权总是由网络侧发起和控制。
鉴权流程
网络侧通过向MS发送AUTHENTICATION REQUEST消息启动鉴权流程,同时启动定时器T3260。AUTHENTICATION REQUEST消息中包含计算鉴权响应的参数和分配给密钥的“密钥序列号码”(CKSN)。
MS收到AUTHENTICATION REQUEST消息后,根据其中提供的参数计算AUTHENTICATION RESPONSE所需的信息和新的密钥Kc,在给网络侧发送AUTHENTICATION RESPONSE消息之前,将新的密钥Kc取代原密钥连同“密钥序列号码”(CKSN)存于SIM卡中,并给网络侧回送AUTHENTICATION RESPONSE消息。
网络侧在收到AUTHENTICATION RESPONSE后,停止T3260定时器,检查AUTHENTICATION RESPONSE消息的有效性。
鉴权成功
鉴权成功流程示意如图5-1:
鉴权成功流程
AUTHENTICATION REQUEST消息中包含了包含一个随机数(RAND)和CKSN号码,RAND共128bit。
AUTHENTICATION RESPONSE消息中包含了一个响应数SRES(由RAND和Ki经过A3算法计算获得)。
网络侧比较自己保存的SRES和AUTHENTICATION RESPONSE消息中的SRES是否一致,若一致则鉴权权通过。如果AUTHENTICATION RESPONSE消息验证通过,则进入其他后续子流程(如:加密流程)。
鉴权拒绝
如果鉴权失败,即AUTHENTICATION RESPONSE 消息无效:
如果MS的采用TMSI身份指示方式,网络侧将启动身份识别过程。如果MS的提供的IMSI身份指示信息与网络侧TMSI相关的IMSI信息不同,则网络侧将重启动鉴权过程。如果MS的提供的IMSI信息正确,则网络侧将回送AUTHENTICATION REJECT消息。
如果MS采用IMSI身份指示方式,则网络侧将直接回送AUTHENTICATION REJECT消息。鉴权拒绝流程示意图如图5-2:
鉴权拒绝流程
网络侧发送AUTHENTICATION REJECT消息后,释放所有正在进行中的MM连接,并重启RR连接释放流程。
MS在收到AUTHENTICATION REJECT消息后,MS将置漫游禁止标志,删除TMSI,LAI密钥信息等。
如果MS是在IMSI DETACH INITIATED状态下收到