鉴权、加密、完整性保护、TMSI重分配配置使用说明.docVIP

. . 技 术 文 件 文件名称：鉴权、加密、完整性保护、TMSI重分配配置使用说明 文件编号： 版 本：V1.0 拟 制 王志刚 审 核 会 签 标准化 批 准 目 录 TOC \o 1-3 \h \z \u 1. 概述 4 1.1. 鉴权 4 1.2. 加密 5 1.3. 完整性保护 5 1.4. TMSI重分配 6  概述 随着CS版本的不断演进，设备支持的功能比以前更加丰富和完善了，但是为了满足不同应用场景的需要，大量的安全变量和配置项被引入版本，给机房测试和现场开局带来了很多不便，其中甚至还隐藏了很多陷阱，错误的配置有时会带来极其严重的后果。本文主要针对位置更新和接入流程，讲述如何正确配置鉴权、加密、完整性保护、TMSI重分配等功能，以满足现场的需要。 鉴权 鉴权主要是网络对SIM卡合法性进行检查，以决定是否为用户提供相应的服务。当前位置更新和接入流程中与鉴权相关的安全变量（710版本后部分变成配置项）见下表： 序号 安全变量（或配置项）名 作用 1 鉴权-移动起呼时 起呼鉴权比例 2 鉴权-补充业务激活时 补充业务鉴权比例 3 鉴权-紧急呼叫建立时 紧急呼叫鉴权比例 4 鉴权-呼叫重建时 呼叫重建鉴权比例 5 鉴权-短消息业务时 短信息业务鉴权比例 6 鉴权-LCS业务时 LCS业务鉴权比例 7 鉴权-移动终呼时 终呼鉴权比例 8 鉴权-一般性位置更新时 一般位置更新鉴权比例 9 鉴权-IMSI附着时 开机鉴权比例 10 鉴权-周期性位置更新时 周期性位置更新鉴权比例 11 鉴权-MS首次登记时 手机首次登记是否鉴权 12 鉴权矢量重复使用次数 鉴权矢量重复使用次数 13 预留的鉴权参数组数 预留的鉴权参数组数 14 TMSI可知，CKSN相等时是否需要鉴权 用户使用TMSI接入时，CKSN与网络侧保存的相同是否要鉴权 15 支持中移二次鉴权 是否支持中移二次鉴权 鉴权的设置相对比较简单，而且不论如何设置都不会导致位置更新或接入失败。 变量1～变量10决定了相应业务是否需要鉴权，鉴权比例为多少，比例的计算是渐进式的，而且不针对用户，如果设为50％，则本MP每2次此类业务需要鉴权1次。 变量11，“鉴权-MS首次登记时”只在用户使用IMSI位置更新或接入，并且之前VLR没有用户数据的情况起作用，它一旦起作用要比鉴权比例设置的优先级高，是否鉴权由它决定。 变量12，“鉴权矢量重复使用次数”，仅对3元组有效，五元组不能重用。 变量13，“预留的鉴权参数组数”，当本次鉴权后，剩余鉴权参数组数低于此值时单独发起流程从HLR获取鉴权参数。 变量14，“TMSI可知，CKSN相等时是否需要鉴权”，仅对接入流程有效，对位置更新无效，而且用户必须是使用TMSI接入，CKSN有效且与网络侧保存的相同时，此变量为1一定鉴权，为0，可以不鉴权，此时它的优先级比业务的鉴权比例、首次登记是否鉴权都要高。 变量15，“支持中移二次鉴权”，是中移的一个需求，在本次鉴权失败后，重新从数据库中读取一组鉴权参数，发送给手机，重新比较鉴权结果。 前面说过了鉴权比例、首次登记是否鉴权、CKSN相同是否鉴权等设置均可以影响一次业务是否鉴权，这些设置可以说是为了鉴权而鉴权。还有一些因素也会导致用户要鉴权，但那些因素并不是为了鉴权，而是为了后续流程能够顺利进行： 加密 如果本次业务需要TMSI重分配，则一定要有加密过程，虽然不一定有加密算法（可以无加密），但网络侧一般会把尽量多的加密算法发送给BSC或RNC，同时带上加密密钥Kc(2G)或Ck(3G)，而无论是Kc还是Ck，都来自鉴权矢量，所以如果此时VLR中没有此用户的鉴权参