移动网络安全标准与协议课件

移动网络安全标准与协议1移动网络安全标准与协议1主要内容EPS安全综述EPSAKA与S.M.C过程EPSMM程与HO过程中的安全EPSKDFEPSEEA1/2/3与EIA/1/2/3算法2主要内容EPS安全综述2安全系统的两大基本问题密钥的管理与安全算法的管理独立进行安全密钥的管理安全算法的管理产生传递更新存贮新鲜性AKAHO加密算法的选择完整性算法选择算法的更新算法的存贮新鲜性SMC及HO3安全系统的两大基本问题密钥的管理与安全算法的管理独立进行安全EPS安全目标双向认证防止中间人攻击网络将UE的安全能力通过I.P.方式传递给UE，UE检验是否受到修改。多安全算法安全隔离足够强度的密钥长度目前定义为128位，但可容易更新到256位。向下兼容，但要有更高的安全强度支持USIM卡，但不支持SIM卡保持Key的新鲜性COUNT不允许反转两套安全上下文以支持ISRUSIM与ME同时支持两套安全上下文4EPS安全目标双向认证4EPS的最新特性：安全隔离保证非安全的影响最小化，当一个局部出现不安全时，不影响其它部分的安全性不同算法之间的安全隔离多安全算法，当一个算法不安全时，启用另一个安全算法。不同的PLMN之间安全隔离Kasme的计算需要PLMN-Id当PLMN发生改变，所有的Key及AV全部更新不同的MME之间的安全隔离当MME发生改变时，NASS.C.可更新不同的ENB之间的安全隔离当ENB发生改变时，ASS.C.全部更新不同的S.C.的安全隔离在LTE内，当一个S.C.成为Current，原来的CurrentS.C.就删除，不再使用。在LTE内，当创建一个新的S.C.则覆盖Non-CurrentS.C.当UE从GERAN/UTRAN切换到LTE后，一进入Idle或Detach，则旧RAT的S.C.删除。所有Key的计算都是单向函数当一个Key被破解了，其父Key不位被破解。5EPS的最新特性：安全隔离保证非安全的影响最小化，当一个局部LTE/EPS加密与完整性保护NASRRCUEENBS-GWMME加密与完整性保护加密与完整性保护加密或不加密，没有完整性保护NDS/IP(TS33.210)用户平面6LTE/EPS加密与完整性保护LTE/EPS加密与完整性保护NAS的加密（可选）KNASCenc：NASCipheringAlgorithmNAS的完整性保护KNASint：NASIntegrateProtectionAlgorithmRRC的加密（可选）KRRCenc：RRCCipheringAlgorithmRRRC的完整性保护KRRCint：RRCIntegrateProtectionAlgorithmUP的加密（可选）KUPenc：UP(=RRC)CipheringAlgorithm7LTE/EPS加密与完整性保护NAS的加密（可选）7

USIM/AuC

UE/

MME

KASME

K

KUPenc

KeNB

/NH

KNASint

UE/

HSS

UE/eNB

KNASenc

CK,IK

KRRCint

KRRCenc

8USIM/AuCUE/MMEKASMEKME及USIM卡的能力E-UTRAN不能使用，因此不能接入到LTE系统中，也就是2G的SIM卡不能用于LTE的UE中。只可实现GERAN与UTRAN之间的移动性E-UTRAN可以使用，因此可实现GERAN、UTRAN与E-UTRAN之间的移动性E-UTRAN可以使用，因此可实现GERAN、UTRAN与E-UTRAN之间的移动性SIMMEGERANUTRANE-UTRANUSIMMEGERANUTRANE-UTRANE-USIMMEGERANUTRANE-UTRANEMMS.C.能够存放EMMS.C.的USIM为E-USIM9ME及USIM卡的能力E-UTRAN不能使用，因此不能接入到USIM,ME及EPSS.C.USIM产生的CK,IK传递给ME，ME产生EPSS.C.（如Kasme等）ME产生的EPSS.C.是在VotileMemeory中，进入Detach时，将Kasme,Knasenc,Knasint,NASCount,eKSI写入到ME中的Non-VotileMemeory中。USIM产生的CK,IK传递给ME，ME产生EPSS.C.（如Kasme等）ME产生的EPSS.C.是在VotileMemeory中，进入Detach时，将Kasme,Knasenc,Knasint,NASCount,eKSI写入到E-USIM中的Non-VotileMemeory中。USIMMECK,IKE-USIMMEEMMS.C.EPSS.C.CK,IKEPSS.C.10USIM,ME及EPSS.C.USIM产生的CK,IK传递删除ME中存储的EPSS.C.(E-)USIMMEEPSS.C.当ME中有EPSS.C.，当下面的情形出现时，则ME中的EPSS.C.与卡中的数据均出现冲突。开机状态下：卡被拨出，关机状态下：换上另一张（E-）USIM卡时，关机状态下：卡被拨出为了解决上面的三个问题，就直接(在开机后）删除ME中存储的EPSS.C.开机状态下卡被拨出关机状态下USIM卡被换成另一个卡关机状态下卡被拨出11删除ME中存储的EPSS.C.(E-)USIMMEEPSUSIM,ME及S.C.及IRAT移动性GERAN/UTRAN的3GS.C.与EPSS.C.是相互独立的。即使将一个映射到另一个时，就成为另外一个类型，而原来的类型不变，即两者还是独立的。当UE从LTE进入（HO或Idle的RAU）到GERAN/UTRAN后，SGSN执行UMTSAKA后，会出现两个S.C.，一个用于GERAN/UTRAN，而另一个用于EPS，这两个S.C.是独立的。若SGSN不执行UMTSAKA，则SGSN一直使用从EPSS.C.映射过来的3GS.C.，并且将此映射的3GS.C.替代所有的原来SGSN及UE上的3GS.C.然后，当UE从GERAN/UTRAN通过HO到LTE后，UE使用的是从3GS.C.映射过来的MappedEPSS.C.；若前面SGSN没有执行UMTSAKA，则UE将原来的EPSS.C.映射为Mapped3GS.C.,此时使用的MappedEPSS.C.是在此Mapped3GS.C.的再次映射，而此时最初的EPSS.C.还是有效的但是进入了Non-Current状态。若此后，UE进入Idle状态后，再次进入连接状态，则使用原来的EPSS.C.2次Mapped的EPSS.C.被删除（但Mapped3GS.C.还是不作任何的变化）若UE从GERAN/UTRAN通过Idle的TAU进入到LTE，则UE使用EPSS.C.，而3GS.C.（包括（E-）USIM中的CK,IK）不作任何的变化。USIMMEE-USIMMEEMMS.C.EPSS.C.3GS.C.CK,IK,KSI3GS.C.CK,IK,KSIEPSS.C.12USIM,ME及S.C.及IRAT移动性GERAN/UTRATypeofEPSSecurityContextSecurityContextFullnativeSCPartialNativeSC没有确定NAS完整保护算法及加密算法MappedSCCNCNCC13TypeofEPSSecurityContextSeSecurityContextSecurityContextEPSNASSecurityContextEPSASSecurityContextASkeys&IDNHNCCtheidentifiersoftheselectedAScryptographicalgorithms&countersusedforreplayprotectionKASME,KSIasmeUEsecuritycapabilitiesUL&DLNASCOUNTKnas-int&Knas-enc&identifiersoftheselectedNASintegrity&encryptionalgorithms.FullEPS14SecurityContextSecurityConteEPSS.C.状态的转移在EPS中，最多只能有一个Current及一个Non-CurrentEPSS.C.当AKA产生一个Non-CurrentEPSS.C.时，若存在其它Non-Current，则覆盖之前的。通过NASS.M.C.将一个Non-Current的EPSS.C.激活为Current时，新激活的EPSS.C.覆盖之前的CurrentEPSS.C.(可能是Native，也可能是Mapped)。但是当UE从GERAN/UTRAN切换到E-UTRAN时，UMTSS.C.是映射到EPSS.C.并自动成为CurrentEPS(mapped)S.C.，同时原来LTE中的CurrentEPSnativeS.C.就自动地变为Non-Current，并覆盖原来的Non-Current。这是一个很大的不同的。NativeEPSS.C.CurrentNon-CurrentFull(Knas)Partial(noKnas)MappedEPSS.C.Full(Knas)Partial(noKnas)AKANASSMC从GERAN/UTRAN切换到LTE从GERAN/UTRAN切换到LTE15EPSS.C.状态的转移在EPS中，最多只能有一个CurrEPSUE与EMMS.C.当UE关机或进入DEREGISTER状态时，EMMS.C.只能放入到ME中的Non-VotileMemeory中。当UE开机时，使用ME中的EMMS.C.当UE关机或进入DEREGISTER状态时，ME中的EMMS.C.必须存放到USIM中的Non-VotileMemeory中并标识有效，还标识ME中的S.C.无效（相当于删除）。当UE开机时，使用USIM中的EMMS.C.（如果标识为有效）.UMTSUSIME-UTRANMEE-UTRANUSIME-UTRANMEEMMS.C.EMMS.C.EMMS.C.16EPSUE与EMMS.C.当UE关机或进入DEREGISCurrentEPSS.C.的选择与激活IftheMMEreceivesaTAURequestorAttachRequestprotectedwithanon-currentfullEPS

securitycontext,thenthiscontextbecomesthecurrentEPSsecuritycontextandtheMMEshalldeleteanyexistingcurrentEPSsecuritycontext.AfterasuccessfulrunofaNASSMCrelatingtotheeKSIassociatedwithanEPSsecuritycontext,thiscontextbecomesthecurrentEPSsecuritycontextandshalloverwriteanyexistingcurrentEPSsecuritycontext.17CurrentEPSS.C.的选择与激活IftheMS.C.的类型与状态的关系Non-CurrentCurrentFullMappedEPSS.C.Notallowed当UE从GERAN/UTRAN通过HO进入到E-UTRAN中。当UE从G/U通过IdleTAU（或先是HO进入E然后进入Idle)进入E时，若UE有FullNativeS.C.时，UE应当使用这个FullNativeS.C.，否则，UE使用MappedEPSS.C.Partial(Native)EPSS.C.执行了EPSAKA过程，但没有通过NASS.M.C过程激活使用此KSIasme。NotallowedFullnativeEPSS.C.执行了EPSAKA过程，并且通过NASS.M.C过程激活Kasme0，此时Kasme0是FullNativeCurrent。但UE进入GERAN/UTRAN后通过UMTSAKA及S.M.C过程激活了UMTSS.C.，当UE切换到回LTE时，MappedEPSS.C.成为Current时，则Kasme0就成为了Non-Current。执行了EPSAKA过程，并且通过NASS.M.C过程激活使用此KSIasme。18S.C.的类型与状态的关系Non-CurrentCurrenStorageS.C.intheUEduringpower-offS.C.intheMEvolatileMemoryUSIMMENV-MEMEMMcapableinUSIMNoEMMcapableinUSIMFullnativeEPSS.C.FullnativeS.CisStoredandmarkedvalidN/AAnynativeS.C.ismarkedinvalidorremoved.N/AYesFullnativeS.CisStoredandmarkedvalidFullmappedEPSS.C.orpartialnativeEPSS.C.AnynativeS.C.ismarkedinvalidorremoved.19StorageS.C.intheUEduring主要内容EPS安全综述EPSAKA与S.M.C过程EPSMM程与HO过程中的安全EPSKDFEPSEEA1/2/3与EIA/1/2/3算法20主要内容EPS安全综述20EPSAuthenticationandKeyAgreemenUEMMEHSSGenerateauthenticationvectorsAV(1..n)StoreauthenticationvectorsSelectauthenticationvectorAV(i)AuthenticationdatarequestAuthenticationdataresponseAV(1..n)UserauthenticationrequestKSIasme,RAND(i)||AUTN(i)UserauthenticationresponseRES(i)CompareRES(i)andXRES(i)VerifyAUTN(i)ComputeRES(i)SelectKasme(i)AuthenticationandkeyestablishmentDistributionofauthenticationvectorsfromHEtoSNComputeCK(i)andIK(i),thenKasme(i)21EPSAuthenticationandKeyAgrEPSAKAIfthekeysCK,IKresultingfromanEPSAKArunwerestoredinthefieldsalreadyavailableontheUSIMforstoringkeysCKandIKthiscouldleadtooverwritingkeysresultingfromanearlierrunofUMTSAKA.ThiswouldleadtoproblemswhenEPSsecuritycontextandUMTSsecuritycontextwereheldsimultaneously(asisthecasewhensecuritycontextisstorede.g.forthepurposesofIdleModeSignalingReduction).Therefore,"plasticroaming"whereaUICCisinsertedintoanotherMEwillnecessitateanEPSAKAauthenticationruniftheUSIMdoesnotsupportEMMparametersstorage.也就是说，在EPSAKA过程中产生的CK,IK不能存贮于USIM中存贮UMTSAKA产生的CK,IK的地方。USIM应当为EPSAKA的CK,IK使用独立的Files。若USIM不支持EMMFile，则EPSCK,IK必须存贮在ME中。这就说明，当USIM不支持EMMFiles，当USIM卡换ME时，则必须要执行EPSAKA过程。22EPSAKAIfthekeysCK,IKresuEPS-AuthenticationVector说明Kasme不是由MME产生的，而是由HE直接产生的EPSAV(4)RANDUMTSAV(5)GERANAV(3)XRESAUTNKasmeCKIKKc23EPS-AuthenticationVector说明KasEPSuserauthentication(EPSAKA)24EPSuserauthentication(EPSAUMTSHSSAMFRANDSQNKf1f2f3f4f5MACXRESCKIKAKAMFSQNSQN(+)AKAMFMACMAC认证向量五元组认证令牌认证算法认证配置RANDAUTNHSS25UMTSHSSAMFRANDSQNKf1f2f3f4f5MUMTSUERANDKf1f2f3f4f5XMACRESCKIKSQN(+)AK双向认证认证令牌及随机数AMFMACSQNAK认证算法MACUSIMMEME26UMTSUERANDKf1f2f3f4f5XMACRESCEPSHSSAMFRANDSQNKf1f2f3f4f5MACXRESCKIKAKAMFSQNSQN(+)AKAMFMACMAC认证向量四元组认证令牌认证算法认证配置RANDAUTNSN-IdKasmeHSS27EPSHSSAMFRANDSQNKf1f2f3f4f5MAEPSUERANDKf1f2f3f4f5XMACRESCKIKSQN(+)AK双向认证认证令牌及随机数AMFMACSQNAK认证算法MACUSIMSN-IdKasmeMEME28EPSUERANDKf1f2f3f4f5XMACRESCKDifferentservingnetworkdomainsMMEMMESGSNAnSGSNmayforwardunusedUMTSauthenticationvectorstoanMMEUMTSAVswhichwerepreviouslystoredintheMMEmaybeforwardedbacktowardsthesameSGSN.UMTSAVswhichwerepreviouslystoredintheMMEshallnotbeforwardedtowardsotherSGSNs.EPSauthenticationvectorsshallnotbeforwardedfromanMMEtowardsanSGSN.UnusedEPSauthenticationvectorsshallnotbedistributedbetweenMME'sbelongingtodifferentservingdomains(PLMNs)UMTSauthenticationvectorsthatwerepreviouslyreceivedfromanSGSNshallnotbeforwardedbetweenMME'sOnlyEPSAVsinthesamePLMNOnlyUMTSAVsinthesameSGSNOnlyUMTSAVsinthesamePLMN29Differentservingnetworkdoma3030MMEHSSCK,IKKDF256256SNid,SQN,

AKKeNBKASME256KDFKDFKDFKDF256-bitkeysKNASencKNASint128-bitkeysKNASencKNASintTruncTrunc256256128128256256256NAS-enc-alg,Alg-IDNAS-int-alg,Alg-IDNASUPLINKCOUNTKDFKDF256-bitkeysKRRCencKRRCint128-bitkeysKRRCencKRRCintTruncTrunc256256128128256256RRC-enc-alg,Alg-IDRRC-int-alg,Alg-IDUP-enc-alg,Alg-ID256256PhysicalcellID,EARFCN-DL256KeNBeNBeNBKeNB*KDFKUPencKUPenc256256128TruncKDFNHNHKeNB25631MMEHSSCK,IKKDF256256SNid,SQNMECK,IKKDF256256SNid,SQN,

AKKeNBKASME256KDFKDFKDFKDF256-bitkeysKNASencKNASint128-bitkeysKNASencKNASintTruncTrunc256256128128256256256NAS-enc-alg,Alg-IDNAS-int-alg,Alg-IDNASUPLINKCOUNTKDFKDF256-bitkeysKRRCencKRRCint128-bitkeysKRRCencKRRCintTruncTrunc256256128128256256RRC-enc-alg,Alg-IDRRC-int-alg,Alg-IDUP-enc-alg,Alg-ID256PhysicalcellID,EARFCN-DL256256KeNB*KDFKUPencKUPencTrunc256128256KDFNHNHKeNB25632MECK,IKKDF256256SNid,SQN,Kasme与SNIDSNID=MCC+MNCKasme=f(CK,IK,SNid,SQN(+)AK)Kasme的产生与SNid有关，因此，当SNid发生改变时，则原来的Kasme不能使用。因此，在Inter-PLMN的TAU时，则必须要运行EPSAKA。33Kasme与SNIDSNID=MCC+MNC33NASCOUNTReset0NASCount(复位）AKAS.C.Mapping

inUTRAN/GERANE-UTRAN

HOS.C.Mapping

inUTRAN/GERANE-UTRAN

idleMobilityTheNASCOUNTsshallnotberesetduringidlemodemobilityorhandoverforanalreadyexistingnativeEPSNASsecuritycontext.也就是说NASCount快还返转时，就要更换Kasme了34NASCOUNTReset0NASCoNASS.M.CTheNASsecuritymodecommandmessagefromMMEtoUEshallcontainthereplayedUEsecuritycapabilities,theselectedNASalgorithms,theeKSIforidentifyingKASME,andbothNONCEueandNONCEmmeinthecaseofcreatingamappedcontextinidlemobility.Thismessageshallbeintegrityprotected(butnotciphered)withNASintegritykeybasedonKASMEindicatedbytheeKSIinthemessage.TheUEshallverifytheintegrityoftheNASsecuritymodecommandmessage.ThisincludesensuringthattheUEsecuritycapabilitiessentbytheMMEmatchtheonesstoredintheUEtoensurethatthesewerenotmodifiedbyanattackerandcheckingtheintegrityprotectionusingtheindicatedNASintegrityalgorithmandtheNASintegritykeybasedonKASMEindicatedbytheeKSI.Inaddition,whencreatingamappedcontextforthecasedescribedinclause9.1.2,theUEshallensurethereceivedNONCEUEisthesameastheNONCEUEsentintheTAURequestandalsocalculateK'ASMEfromCK,IKandthetwononces(seeAnnexA.11).Ifsuccessfullyverified,theUEshallstartNASintegrityprotectionandciphering/decipheringwiththissecuritycontextandsendstheNASsecuritymodecompletemessagetoMMEcipheredandintegrityprotectedTheNASsecuritymodecompletemessageshallincludeIMEIincaseMMErequesteditintheNASSMCCommandmessage.TheMMEshallde-cipherandchecktheintegrityprotectionontheNASSecurityModeCompleteusingthekeysandalgorithmsindicatedintheNASSecurityModeCommand.NASdownlinkcipheringattheMMEwiththissecuritycontextshallstartafterreceivingtheNASsecuritymodecompletemessage.NASuplinkdecipheringattheMMEwiththiscontextstartsaftersendingtheNASsecuritymodecommandmessage.

MMEUENASS.M.Command(UES.Cap,SelectedNASAlgoritm,eKSI,

IMEISVRequest,NONCEue,NONCEmme,NAS-MAC)NASS.M.Complete(IMEISV,NAS-MAC)StartI.P.&(de-)CipheringStartULde-CipheringStartDL-CipheringStartI.P.35NASS.M.CTheNASsecuritymodeNonceIftheMMEdoesnothavethecontextindicatedbytheUEintheTAUrequest,ortheTAUrequestwasreceivedunprotected,theMMEshallcreateanewmappedsecuritycontext(thatshallbecomethecurrentsecuritycontext).Inthiscase,theMMEshallgeneratea32bitNONCEmmeandusethereceivedNONCEuewiththeNONCEmmetogenerateafreshmappedK'ASMEfromCKandIK,whereCK,IKwereidentifiedbytheKSIandP-TMSIintheTAURequest.SeeAnnexA.11formoreinformationonhowtoderivethefreshK'ASME.TheMMEinitiatesaNASSecuritymodecommandprocedurewiththeUEincludingtheKSISGSN,NONCEUE,andNONCEMMEintheNASSecuritymodecommand.

TheuplinkanddownlinkNASCOUNTformappedsecuritycontextshallbesettostartvalue(i.e.,0)whennewmappedsecuritycontextiscreatedinUEandMME.Nonce-UEWhencreatingamappedcontextforthecasedescribedinclause9.1.2,theUEshallensurethereceivedNONCEUEisthesameastheNONCEUEsentintheTAURequestandalsocalculateK'ASMEfromCK,IKandthetwononces(seeAnnexA.11).36NonceIftheMMEdoesnothaveASS.M.CTheASsecuritymodecommandmessagefromeNBtoUEshallcontaintheselectedASalgorithms.ThismessageshallbeintegrityprotectedwithRRCintegritykeybasedonthecurrentKASME.TheASsecuritymodecompletemessagefromUEtoeNBshallbeintegrityprotectedwiththeselectedRRCalgorithmindicatedintheASsecuritymodecommandmessageandRRCintegritykeybasedonthecurrentKASME.RRCandUPdownlinkciphering(encryption)attheeNBshallstartaftersendingtheASsecuritymodecommandmessage.RRCandUPuplinkdeciphering(decryption)attheeNBshallstartafterreceivingandsuccessfulverificationoftheASsecuritymodecompletemessage.RRCandUPuplinkciphering(encryption)attheUEshallstartaftersendingtheASsecuritymodecompletemessage.RRCandUPdownlinkdeciphering(decryption)attheUEshallstartafterreceivingandsuccessfulverificationoftheASsecuritymodecommandmessage37ASS.M.CTheASsecuritymodecASSMC过程38ASSMC过程38ASSMC与NASSMC的同步NASSMC正在进行1:MME不应当发起触发ASSMC的S1-AP过程6：MME只有完成了NASSMC后才继续Inter-MMEHO。Inter-ENBHO正在进行5：源ENBreject触发ASSMC的S1-AP过程5：源ENB当ASRefresh/Re-key结束后，才可以进行HOHO过程中3：MME发起NASSMC，但在HORequest/PathSwitchRequestAcknowledge中使用OldASS.C.4：UE收到NASSMC，但在HO过程中继续使用OldASS.C.触发ASSMC的SA-AP正在进行中2：MME不应当发起NASSMC.7：MME当S1-AP结束后，才可以进行Inter-MMEHONASSMC完成，但S1-AP未进行8,9：有Inter-MMEHO，新旧MME则继续使用OldASS.C.传输，同时在S10接口上传输两套S.C.39ASSMC与NASSMC的同步NASSMC正在进行39主要内容EPS安全综述EPSAKA与S.M.C过程EPSMM程与HO过程中的安全EPSKDFEPSEEA1/2/3与EIA/1/2/3算法40主要内容EPS安全综述40EPSMM程与HO过程中的安全LTE内的状态迁移时的安全上下文的处理LTE内TAU过程。UTMS与LTE之间的RAU，TAU过程LTE内的X2,S1Handover过程LTE与UMTS之间的切换过程41EPSMM程与HO过程中的安全LTE内的状态迁移时的安全上TransitionToEMM-DEREGISTEREDIfUEandMMEhaveafullnon-currentnativeEPSsecuritycontextandacurrentmappedEPSsecuritycontext,thentheyshallmakethenon-currentnativeEPSsecuritycontextthecurrentone.UEandMMEshalldeleteanymappedorpartialEPSsecuritycontextstheyhold.NC-FNC-PC-MC-FEMM-DEREGISTEREDEMM-REGISTEREDC-FE-USIMMEUSIMMEC-F42TransitionToEMM-DEREGISTEREDToEMM-DEREGISTERED的其它场景AVNC-PC-FAVC-FAVNC-PC-FUE-initiatedDetachwithPoweroffUE-intDetachwithoutPoweroffMME-intDetachExplicitlywithre-attachMME-intDetachImplicitlyHSS-initiatedDetachwithSubscriptionwithdrawn43ToEMM-DEREGISTERED的其它场景AVNC-PToEMM-DEREG.withTAURejectNC-PC-FNC-PC-FMEE-USIMNC-PME(E-)USIMMEMENC-PC-FMEUSIMMENC-PC-F44ToEMM-DEREG.withTAURejectNAwayFromEMM-DEREGISTEREDNC-PC-FE-USIMMEUSIMMENC-PC-F(E-)USIMMEC-FAttachRequestwithI.P.andMMEsetsnewC-FS.C.IfthereisnoF-S.C.inMME,AKAisrunned.C-FAttachRequestwithI.P.andMMEsetsnewC-FS.C.IfthereisnoF-S.C.inMME,AKAisrunned.AttachRequestwithoutI.P.MMERunsEPSAKA45AwayFromEMM-DEREGISTEREDNC-P

FromECM-IDLEtoECM-CONNECTED初始化的NAS消息不能加密NC-PC-FE-USIMMEMENC-PC-FC-FC-FKnasint对初始化的NAS消息进行I.P.KnasencKnasint对初始化的NAS消息进行I.P.Knasenc进入ECM-Connected时，MME将E-USIM中的C-F标识为无效！以保证ME中的C-F是有效的。USIM46FromECM-IDLEtoECM-CONNECTE

FromECM-IDLEtoECM-CONNECTEDKnasenc=f(Kasme,0x15|0x01|0x0001|EEA1/2|0x0001)Knasint=f(Kasme,0x15|0x02|0x0001|EIA1/2|0x0001)Kenb=f(Kasme,0x11|ULNASCount|0x0004)NH0=f(Kasme,0x12|Kenb|len(Kenb)=0x0020=32)NH*=f(Kasme,0x12|NH|len(NH))NC-P/FC-F/ME-USIMMEC-FKnasint对初始化的NAS消息进行I.P.KnasencInitialUEContextSetup(UES.Capability,Kenb)Kenbf(Kasme)NCC0NHf(Kasme,Kenb)NCC1EPSAKAUL/DLNASCount0当MME改变且PLMN-ID发生改变时，必须要执行，否则根据MME的Policy来决定NASS.M.C.ASS.M.C(EncAlg,IpAlg),仅仅用于(extended)ServiceRequest消息或TAUWithActiveFlag消息47FromECM-IDLEtoECM-CONNECTEFromECM‑CONNECTEDtoECM-IDLENC-P/FC-F/xE-USIMMEMEC-F/MNC-P/FNC-P/FC-F/MUES.Capability对于FullNativeS.C中Knasint,Knasenc不存贮USIMUES.Capability对于FullNativeS.C中Knasint,Knasenc不存贮48FromECM‑CONNECTEDtoECM-IDLEMME传递Kenb给ENBMMETargeteNBInitialContextSetup(UES.Cap,Kenb)UEContextModification(UES.Cap,Kenb)eNB:0NCC,afterreceivingS1-APInitialContextSetupRequestmessage.49MME传递Kenb给ENBMMETargeteNBInitIntra-LTETAUK’asme=f(CK||IK,0x19|NONCEue|0x0004|NONCEmme|0x0004)UEMMEoMMEnUE注册到MMEo中TAURequestwithI.P.(nativeGUTI,eKSI,LVTAI)ContextRequest(GUTI,CompleteTAUmessage)ContextResponse(IMSI,MMContext(CK,IK,KSI),UES.Capability,EPSBearers,EPSAVs)TAUResponse(GUTI,TAIList)NASS.M.Command(eKSI,SelectedNASS.Alg,UES.Cap)NASS.M.Complete()50Intra-LTETAUK’asme=f(CK||IKFromE-UTRANtoUTRANRAUNAS-Token=f(Kasme,0x17|ULNASCOUNT|0x0004)CK’|IK’=f(Kasme,0x1B|ULNASCOUNT|0x0004)Kc=f(CK|IK,0x32)UEMMESGSNUE注册到MME中RAURequest(P-TMSI,oldRAI,P-TMSISignature,KSI)RAURequest(P-TMSI,oldRAI,P-TMSISignatureKNAS-Token,KSI)ContextRequest(P-TMSI,oldRAI,P-TMSISignatureNAS-Token)ContextResponse(IMSI,MMContext(CK’,IK’,KSI,

UEU/GS.Cap),PDPContext)比较NAS-Token，为了可靠，使用一个区间的ULNASCount值,验证通过后，计算出CK’,IK’通过Kasme及ULNASCount+1计算出Nas-Token，放到P-TMSISignature中,并计算出CK’,IK’，并将CK’|IK’，KSI将代替USIM中所有的CK,IK,KSI，计算更新USIM中的Kc，CKSN。RAUResponse(P-TMSI，P-TMSISignature)将CK’|IK’，KSI将代替SGSN中所有的可能CK,IK,KSI。RNCS.M.C.(AllowedS.AlgList,CK,IK)S.M.C.(SelectedS.Alg)S.M.Complete()S.M.Complete(SelectedS.Alg)ISR激活的情形ISR没有激活，或一般的情形51FromE-UTRANtoUTRANRAUNAS-TFromUTRANtoE-UTRANTAUK’asme=f(CK||IK,0x19|NONCEue|0x0004|NONCEmme|0x0004)UESGSNMMEUE注册到SGSN中TAURequest(nativeGUTI,eKSI)TAURequest(mappedGUTI,P-TMSISignature,CKSN,LVTAI,NONCEue,nativeGUTI,eKSI)ContextRequest(IMSI,OldGUTI(P-TMSI,oldRAI),P-TMSISignature)ContextResponse(IMSI,MMContext(CK,IK,KSI),PDPContext)若UE还有CurrentEPSNASS.C.,则TAURequest消息必须包含nGUTI,eKSI,并用此S.C.进行I.P.,否则此消息无I.P.，且没有nGUTI,eKSITAUResponse(GUTI,TAIList)若前面通过了I.P.，则使用原来的EPSNASS.C.,否则，则根据CKSN及CK,IK，NONCEue/mme产生MappedKasme。eNBNASS.M.Com/CmpISR激活的情形ISR没有激活，即一般的情形若MME上有此UE的Context，则通过I.P.的比较，则可得到UE的IMSI。不是使用原来的CurrentEPSNASS.C.或改变算法时，执行此过程CurrentEPSNASS.C.也可以是MappedEPSNASS.C.52FromUTRANtoE-UTRANTAUK’asmKey-change-on-theflyinitiatedbythe

eNB

whenaPDCPCOUNTsisabouttobere-usedwiththesameRadioBeareridentityandwiththesameKenbIntra-CellHandoverAKAandlaterNASS.M.C.orActivationofanativecontextafterhandoverfromUTRANorGERANinitiatedbytheMMEwhenaNASEPSsecuritycontextdifferentfromthecurrentlyactiveoneshallbeactivated.initiatedbytheMMEwhenanEPSASsecuritycontextdifferentfromthecurrentlyactiveoneshallbeactivated.Re-freshKenbKrrcencKrrcintKupencRe-KeyingKasmeKnasencKnasintKenbKrrcencKrrcintKupenc53Key-change-on-theflyinitiate=f(Kasme,0x12|Kenb|0x0020)f(NH,0x13|PCI|0x0002|EARFCN-DL|0x0002)f(Kasme,0x12|NH|len(NH))f(Kasme,0x11|ULNASCount|0x0004)Modelforthehandoverkeychainingf(Kenb,0x13|PCI|0x0002|EARFCN-DL|0x0002)NCC:NextHopChainingCountPCI:PhysicalCellIdentifier.EARFCN:E-UTRAAbsoluteRadioFrequencyChannelNumber.当Kasme变化时，NCC，Kenb及NH需要全部重新开始计算！54=f(Kasme,0x12|Kenb|0x0020)f(NKeNBderivation

IfKeNB*isderivedfromthecurrentlyactiveKeNBthisisreferredtoasahorizontalkeyderivationiftheKeNB*isderivedfromtheNHparameterthederivationisreferredtoasaverticalkeyderivation

OnhandoverswithverticalkeyderivationtheNHisfurtherboundtothetargetPCIanditsfrequencyEARFCN-DLbeforeitistakenintouseastheKeNBinthetargeteNBKenb*=f(NH,0x13|PCI|0x0002|EARFCN-DL|0x0002)OnhandoverswithhorizontalkeyderivationthecurrentlyactiveKeNBisfurtherboundtothetargetPCIanditsfrequencyEARFCN-DLbeforeitistakenintouseastheKeNBinthetargeteNBKenb*=f(Kenb,0x13|PCI|0x0002|EARFCN-DL|0x0002)

55KeNBderivationIfKeNB*isdeInter-ENB切换的所要解决的问题前向切换后，源ENB不能知道目标ENB所使用的Kenb切换后，目标ENB通过使用Intra-eNBHO来实现。目标ENB，使用目标MME所采用的NH，产生新的Kenb*反向切换后，目标ENB不能知道源ENB所使用的Kenb源ENB以空闲的｛NH,NCC}产生Kenb*（若没有空闲的，则以当前的Kenb来产生）并传输给目标ENB，目标ENB无法知道源ENB所使用的Kenb。56Inter-ENB切换的所要解决的问题前向56从SourceeNB传递Kenb*到TargeteNBTargeteNBSourceRAN(eNB)S-2-TTC(HandoverPreparationInformation)S1-HandoverorIRAT_HOtoLTEHandoverRequest(UES.Capability,Kenb*,NCC)X2-HandoverUERRCConnectionReconfigurationintheHOCommandIntraLTE:(SelectedS.Alg,NCC)InterRAT:(SelectedS.Alg,NasSecurityParamToEUTRA）在S1HO及IRATHOtoLTE中，Kenb*及S-eNB所选择的AS算法的功能与X2中的不一样,T-eNBcandecipherandintegrityverifytheRRCReestablishmentCompletemessageonSRB1inthepotentialRRCConnectionRe-establishmentprocedure.57从SourceeNB传递Kenb*到TargeteNBTHO中MME传递NCC与NH给ENBMMETargeteNBHandoverRequest(NCC,NH,NASSecurityParamerstoEUTRAN)PathSwitchAck(NCC,NH)X2-HandoverS1-HandoverorIRAT_HOtoLTE通过Kenb=f(NH,PCI,EARFCN-DL)T-eNB实现前向的安全保护。T-eNB通过Intra-Cell的HO实现Kenb的更新。UERRCConnectionReconfigurationintheHOCommandIntraLTE:(SelectedS.Alg,NCC)InterRAT:(SelectedS.Alg,NasSecurityParamToEUTRA）NasSecurityParamToEUTRA用于IRATHOtoLTE58HO中MME传递NCC与NH给ENBMMETargeteNHO中UE中Kenb的计算UE(Kenb,sNCC,NH)(Kenb*,NCC*,NH*)RRCConnectionReconfiguration(rNCC)IfrNCC=sNCC,thenKenb*=f(Kenb,0x13|PCI|0x0002|EARFCN-DL|0x0002)IfrNCC>sNCC,thenNCC+1,NH*=f(Kasme,0x12|NH|len(NH))untilrNCC=sNCC,thenKenb*=f(NH)Kenb=f(Kasme,0x11|ULNASCount|0x0004)NH0=f(Kasme,0x12|Kenb|len(Kenb)=0x0020=32)NH*=f(Kasme,0x12|NH|len(NH))Kenb*=f(KenborNH,0x13|PCI|0x0002|EARFCN-DL|0x0002)59HO中UE中Kenb的计算UERRCConnectionLTEIntra-cellHOKenb*成为新的Kenb，并根据选择的的算法对后面的RRC消息进行C.及I.P.eNBMMEUERRCConnectionReconfigurationIntraLTE(SelectedS.Alg,NCC)产生新的Kenb*=f(NH/Kenb）RRCConnectionReconfigurationComplete仍然使用原来的Kenb来CP及I.P.此消息使用新的Kenb*来检查CP及I.P.此消息，然后Kenb*成为新的Kenb60LTEIntra-cellHOKenb*成为新的KenbKenb*成为新的Kenb，并根据选择的的算法对后面的RRC消息进行C.及I.P.UE根据NCC从Kenb计算出Kenb*，然后成为新Kenb,并以此Kenb及选择的算法对HOCMP消息进行C.及I.P.X2Handover过程中的安全处理S-eNBT-eNBMMEHandoverRequest(UES.Capability,Kenb*,NCC)HandoverRequestAck(T-2-STC(HOCommand(RRCConnectionReconfig(NCC))))UERRCConnectionReconfig(NCC)HandoverCompletePathSwitchRequest(UES.Capability)PathSwitchRequestAck(NCC,NH)RRCConnectionReconfigurationIntraLTE(SelectedS.Alg,NCC)产生新的Kenb*=f(NH）产生新的Kenb*=f(NH）RRCConnectionReconfigurationComplete仍然使用原来的Kenb来CP及I.P.此消息使用新的Kenb*来检查CP及I.P.此消息，然后Kenb*成为新的KenbKenb*成为Kenb。但是TC中的RRC消息还是明文的处理的。NCC+1,NH=f(NH,Kasme)Kenb*应用未用的NH来计算，否则,使用当前的Kenb来计算。61Kenb*成为新的Kenb，并根据选择的的算法对后面的RRCKenb*成为新的Kenb，并根据选择的的算法对后面的RRC消息进行C.及I.P.UE根据NCC从Kenb计算出Kenb*，然后成为新Kenb,并以此Kenb及选择的算法对HOCMP消息进行C.及I.P.X2Handover过程中的特殊情形S-eNBT-eNBMMEHandoverRequest(UES.Capability,Kenb*,NCC)HandoverRequestAck(T-2-STC(HOCommand(RRCConnectionReconfig(NCC))))UERRCConnectionReconfig(NCC)HandoverCompletePathSwitchRequest(UES.Capability)PathSwitchRequestAck(NCC,NH)RRCConnectionReconfigurationIntraLTE(SelectedS.Alg,NCC)产生新的Kenb*=f(NH）产生新的Kenb*=f(NH）RRCConnectionReconfigurationComplete仍然使用原来的Kenb来CP及I.P.此消息使用新的Kenb*来检查CP及I.P.此消息，然后Kenb*成为新的KenbKenb*成为Kenb。但是TC中的RRC消息还是明文的处理的。NCC+1,NH=f(NH,Kasme0)Kenb*应用未用的NH来计算，否则,使用当前的Kenb来计算。EPSAKAandNASS.M.CMME发起的Kenb，Krrc*,Kupenc的更新62Kenb*成为新的Kenb，并根据选择的的算法对后面的RRC已计算出Kenb*，但是TC中的RRC消息还是明文的处理的。UE根据NCC从Kenb计算出Kenb*，然后成为新Kenb,并以此Kenb及选择的算法对HOCMP消息进行C.及I.P.S1Handover过程中的安全处理S-eNBT-eNBMMEHandoverRequired(S-2-TTC(HandoverPreparationInformation)))HandoverRequest(NCC,NH,NASS.P.tE,S-2-TTC(HOPreparationInforamtion))UERRCConnectionReconfig(NCC)HandoverCompleteHandoverRequestAck(T-2-STC(HOCMD(RRCConnectionReconfig(NASS.P.tE))))HandoverNotify产生新的Kenb*=f(NH）使用新的Kenb*来检查CP及I.P.此消息，然后Kenb*成为新的KenbNCC+1,NH=f(NH,Kasme)HandoverCommand(NASS.P.fE,T-2-CTC(HOCMD(RRCConnectionReconfiguration)))若MME发生了改变，旧的MME也会将当前正在使用的Kasme及eKSI传递给新的MME。旧的MME，NCC+，并计算出一个新NH，并将｛NCC,NH}传递给新的MME。NASS.M.C.(eKSI,SelectedNASS.Alg,UES.Cap)NASS.M.Complete63已计算出Kenb*，但是TC中的RRC消息还是明文的处理的。已计算出Kenb*，但是TC中的RRC消息还是明文的处理的。UE根据NCC从Kenb计算出Kenb*，然后成为新Kenb,并以此Kenb及选择的算法对HOCMP消息进行C.及I.P.S1Handover过程中的特殊的情形S-eNBT-eNBMMEHandoverRequired(S-2-TTC(HandoverPreparationInformation)))HandoverRequest(NCC,NH,NASS.P.tE,S-2-TTC(HOPreparationInforamtion))UERRCConnectionReconfig(NCC)HandoverCompleteHandoverRequestAck(T-2-STC(HOCMD(RRCConnectionReconfig(NASS.P.tE))))HandoverNotify产生新的Kenb*=f(NH）使用新的Kenb*来检查CP及I.P.此消息，然后Kenb*成为新的KenbNCC+1,NH=f(NH,Kasme)HandoverCommand(NASS.P.fE,T-2-CTC(HOCMD(RRCConnecti