网络优化信令分析GSM04-鉴权.docVIP

鉴权 概述 所谓鉴权就是GSM网络侧确定移动台在身份验证过程中无线接口上传输的IMSI或TMSI是否为合法用户的过程。 鉴权为GSM网络一项重要的安全特性，其目的是为了防止非法用户接入GSM网络系统，同时也杜绝了合法用户被非法用户窃取私人信息的可能。 鉴权流程是一个子流程，网络侧在下列条件下启动： - 移动台申请与之相关的用户信息更改； - 接入业务时（包括移动台主叫、移动态被叫、移动台激活或去活补充业务时）； - MSC/VLR重启后的第一次网络接入； - 密钥序列不匹配时； 鉴权过程具体有两方面作用： - 确定移动台提供的身份是否可以接入网络； - 提供参数供移动台计算新的密钥； 鉴权总是由网络侧发起和控制。 鉴权流程 网络侧通过向无线接口发送AUTHENTICATION REQUEST消息启动鉴权流程，同时启动定时器T3260。AUTHENTICATION REQUEST消息中包含计算鉴权响应的参数和分配给密钥的加密序列（密钥可以通过给定的参数计算出来）。 移动台收到AUTHENTICATION REQUEST消息后，由其中提供的参数计算AUTHENTICATION RESPONSE所需的信息和新的密钥，在给网罗侧发送AUTHENTICATION RESPONSE消息之前，将新的密钥取代原密钥连同加密序列存于SIM卡中，并给网络侧回送AUTHENTICATION RESPONSE消息。 网络侧在收到AUTHENTICATION RESPONSE后，停止T3260定时器，检查AUTHENTICATION RESPONSE消息的合法性。 鉴权成功 如果AUTHENTICATION RESPONSE消息验证通过，则进入下一子流程（如：加密流程）。鉴权成功流程示意如下图： 鉴权拒绝 如果鉴权失败，即AUTHENTICATION RESPONSE 消息无效，如果移动台的采用TMSI身份指示方式，网络侧将启动身份识别过程。如果移动台的提供的IMSI身份指示信息与网络侧TMSI相关的IMSI信息不同，则网络侧将重启动鉴权过程。如果移动台的提供的IMSI信息正确，则网络侧将回送AUTHENTICATION REJECT消息。 如果移动台采用IMSI身份指示方式，则网络侧将直接回送AUTHENTICATION REJECT消息。鉴权拒绝流程示意图如下图： 网络侧发送AUTHENTICATION REJECT消息后，释放所有正在进行中的MM连接，并重启RR连接释放流程。 移动台在收到AUTHENTICATION REJECT消息后，移动台将置漫游禁止标志，删除TMSI，LAI密钥信息等。 如果移动台是在IMSI DETACH INITIATED状态下收到AUTHENTICATION REJECT消息，则RR连接释放后，停止T3220定时器；如果可能，移动台在正常释放流程后或T3220定时器超时后，启动本地释放流程。如果不可能（如：在关机IMSI分离时）移动台RR子层会异常退出。 如果在其它状态下收到AUTHENTICATION REJECT消息，移动台异常退出所有MM连接和呼叫重建流程，停止所有T3210或T3230定时器，释放所有MM连接，置位并启动T3240定时器并进入WAIT FOR NETWORK COMMAND状态，等待RR连接释放。如果T3240超时后，RR连接还没有释放，移动台则异常退出RR连接。在上述两种情况下，网络侧触发的RR连接释放，或者移动台异常退出RR连接，移动台进入MM IDLE的NO IMSI子状态。 鉴权异常 RR连接失败 如果在收到AUTHENTICATION RESPONSE消息之前，网络侧检测到RR连接失败，网络侧将释放所有MM连接并终止所有正在进行的MM流程。 T3260定时器超时 如果在收到AUTHENTICATION RESPONSE消息之前，T3260定时器超时，网络侧释放RR连接，终止鉴权流程和所有正在进行的MM流程，释放所有MM连接，并启动RR连接释放流程。 M900/M1800 基站子系统 信令分析手册 信令分析指导 4-2 4-3