内容发布更新时间 : 2024/6/20 19:59:22星期一 下面是文章的全部内容请认真阅读。

T3410, T3417, T3421 , T3430）。当第一次收到来自UE 的EMM cause 为\failure\的AUTHENTICATION FAILURE 消息，网络将使用AUTHENTICATION FAILURE 消息中authentication failure parameter IE 中的AUTS 参数进行重同步。重同步过程要求MME 删除与IMSI 对应的所有未使用的鉴权向量，并从HSS 重新获取新的向量。如果重同步时完整的，网络将发起鉴权过程。当接收到AUTHENTICATION REQUEST 消息，UE 将停止处于运行态的定时器T3420。

NOTE3：当收到来自UE 的EMM cause 为\的AUTHENTICATION FAILURE 消息，网络也可能通过发送一条AUTHENTICATION REJECT 消息来终止鉴权过程（参考2.5）。

如果网络在定时器T3420运行时成功经过验证（AUTHENTICATION REQUEST消息中包含有效的SQN和MAC），UE将发送AUTHENTICATION RESPONSE消息给网络，并启动任一重传定时器（例如：T3410，T3417，T3421或者T3430），当UE收到第一个错误的AUTHENTICATION REQUEST消息，这些运行中的定时器将被停止。

T3420处于运行状态时，如果UE收到第二个AUTHENTICATION REQUEST，并且MAC值不能被解决，UE将执行本小节指定的条目c，或者如果消息包含一个UMTS鉴权询问，UE将执行条目d指定的过程。如果SQN无效，UE将从条目e重新开始执行。

如果下面的情况发生，UE将认为网络鉴权失败并按条目f的描述继续执行： - 定时器T3420超时；

- 在连续3次鉴权询问期间，UE探测到组合鉴权错误：EMM causes #20 \

第11页

failure\，#21 \和#26\。如果UE收到引起第二次、第三次鉴权错误的鉴权询问，且定时器T3418或者T3420（在之前鉴权错误后被开启）处于运行状态，那么该鉴权询问被认为是连续的鉴权询问。

f) 网络鉴权失败

如果UE认为网络鉴权失败，UE将要求RRC本地释放RRC连接，并认为该活跃小区为禁止接入。UE将启动任一重传定时器（e.g. T3410, T3417, T3421 or T3430），，当UE收到第一个包含无效MAC或者SQN的AUTHENTICATION REQUEST消息，这些运行中的定时器将被停止。

g) 来自低层的AUTHENTICATION RESPONSE消息或者AUTHENTICATION FAILURE消息的传输错误指示（如果鉴权过程被跟踪区域更新过程触发）。

UE将重新发起跟踪区域更新。

h) 来自低层的包含TAI变化信息的AUTHENTICATION RESPONSE或者AUTHENTICATION FAILURE消息的传输错误指示（如果鉴权过程被服务请求过程触发）。

如果当前的TAI不在TAI列表中，鉴权过程将被放弃，并且跟踪区域更新过程被触发。

如果当前TAI任然是TAI列表的一部分，则取决于UE如何实现重运行之前触发鉴权的进行中的过程。

i) 来自低层的不包含TAI变化信息的AUTHENTICATION RESPONSE或者AUTHENTICATION FAILURE消息的传输错误指示（如果鉴权过程被服务请求过程触发）。

如果当前TAI任然是TAI列表的一部分，则取决于UE如何实现重运行之前触发鉴权的进行中的过程。

j) 低层指示由于切换而没有发送NAS PDU

如果由于同MME切换而造成AUTHENTICATION REQUEST消息不能被发送，并且目标TA包含在TAI列表中，然后当成功完成同MME切换后，MME将重传

AUTHENTICATION REQUEST消息。如果低层报告切换过程错误，且S1信令连接存在，MME将重传AUTHENTICATION REQUEST消息。

第12页

3. 3、安全模式控制过程

3.1 综述

NAS安全模式控制过程的目的是使用EPS安全上下文，并初始化和启用UE与MME之间的NAS信令安全（包括NAS keys和安全算法）。

此外，网络也可以发起SECURITY MODE COMMAND从而改变当前使用的EPS安全上下文的NAS安全算法。

3.2 网络发起NAS 安全模式控制

MME 通过给UE 发送SECURITY MODE COMMAND 消息和启动T3460 定时器来发起NAS 安全模式控制过程（见图3.2.1 例子）。

MME 只会重置下行NAS COUNT 计数器并将其用于SECURITY MODE COMMAND 消息的完整性保护，如果安全模式控制过程被发起：

- 为了使用EPS 鉴权过程成功完成后建立的EPS 安全上下文；或者

- 当收到包含GPRS 加密密钥序列号IE 的TRACKING AREA UPDATE REQUEST 消息，如果MME 希望建立一个映射的EPS 安全上下文（也就是在SECURITY MODE COMMAND 消息中的NAS key set identifier IE 中的security context flag 的类型被设置为” mapped security context”）。

MME 将发送未加密的SECURITY MODE COMMAND 消息，但是该消息将被完整性保护，所使用的密钥是基于KASME 或者mapped K'ASME（由消息中的eKSI 指示）的

第13页

NAS 完整性密钥。MME 将该消息的security header type 为\new EPS security context\。

当收到包含GPRS 加密密钥序列号IE 的TRACKING AREA UPDATE REQUEST 消息， 如果UE 指示MME 没有有效的当前EPS 安全上下文，MME 将通过设置NAS key set identifier IE 中的security context flag 的类型为” mapped security context”来指示UE 使用新的映射EPS 安全上下文，并且KSI 的值和原系统的安全上下文相关。

如果MME 想要使用本地EPS 安全上下文，而当前使用的是映射安全上下文，那么MME 需要在SECURITY MODE COMMAND 中包含匹配本地EPS 上下文的eKSI。

MME 需要包括the replayed security capabilities of the UE（包括NAS、RRC 和UP 加密，NAS、RRC 完整性和其他可能的目标网络安全能力），replayed nonceUE（如果UE 之前发给网络的消息中包含nonceUE），the selected NAS security algorithms 和the Key Set Identifier (eKSI)。

当在异系统从A/Gb模式改变到S1模式或者Iu模式到S1模式期间，要创建一个映射EPS安全上下文的时候，MME需要包含nonceMME和nonceUE。

MME可能发起SECURITY MODE COMMAND来改变当前在使用的EPS安全上下文的NAS安全算法。MME从KASME重新获取NAS密钥，并使用新的NAS算法标识作为输入，在SECURITY MODE COMMAND消息中提供新的NAS算法标识。

此外，MME可以请求UE在SECURITY MODE COMPLETE消息中包含其IMEISV。 NOTE: AS和NAS安全能力将会相同，也就是，UE对NAS支持某种算法，那么同时对AS也支持。

3.3 UE接受NAS安全模式命令

当收到SECURITY MODE COMMAND消息，UE应该检查安全模式命令是否能被接受。该检查通过对消息执行完整性检验，以及检验收到的UE security capabilities和nonceUE（与UE提供的触发该过程的初始层三消息中相应的内容对比）没有被改变。但是，如果不想重新生成K'ASME，UE不会要求执行对收到的nonceUE进行检验。

如果security context flag的类型为” native security context”且如果KSI匹配UE中保存的一个有效的非当前本地EPS安全上下文，而US的当前EPS安全上下文为一个映射EPS安全上下文，UE应该使用那个非当前的本地EPS安全上下文（该安全上下文随后变成当前安全上下文）并删除映射EPS安全上下文。

如果SECURITY MODE COMMAND消息能被接受，UE应该使用该消息中指示的

第14页

EPS安全上下文。此外UE应该重置上行NAS COUNT计数器仅当：

- 为了使用成功执行鉴权过程建立的EPS安全上下文，SECURITY MODE COMMAND消息被接收；或者

- 接收到的SECURITY MODE COMMAND消息包含的security context flag的类型被设置为”mapped security context”且eKSI不匹配当前EPS安全上下文，如果当前EPS安全上下文是一个映射EPS安全上下文。

如果安全模式命令能被接受，UE应该发送SECURITY MODE COMPLETE消息，该消息的完整性保护由选择的NAS完整性算法和基于KASME或者mapped K'ASME 的NAS完整性密钥实现。当SECURITY MODE COMMAND消息包含type of security context flag（在IE NAS key set identifiersecurity中其值被设置为”mapped security context”）、nonceMME和nonceUE，UE应该：

- 通过两个nonce产生K'ASME；或者

- 检查SECURITY MODE COMMAND消息是否为当前EPS安全上下文（如果该上下文是映射EPS安全上下文）指示了eKSI，以避免重新生成K'ASME。

另外，如果SECURITY MODE COMMAND消息能被接受，UE需要使用选择的NAS加密算法和基于KASME或者mapped K'ASME的NAS加密密钥对SECURITY MODE COMPLETE消息进行加密。UE应该将该消息的security header type设置为\protected and ciphered with new EPS security context\。

从此时开始，UE需要利用选择的NAS加密和完整性保护算法为之后所有NAS信令消息进行加密和完整性保护。

如果MME在SECURITY MODE COMMAND消息中指示要求IMEISV，那么UE需要包含将其IMEISV包含在SECURITY MODE COMPLETE消息中。

3.4 网络完成NAS安全模式控制

当收到SECURITY MODE COMPLETE消息，MME应该停止T3460定时器。从此时开始，MME需要利用选择的NAS完整性和加密算法为所有信令消息进行完整性保护和加密。

3.5 UE拒绝NAS安全模式命令

如果安全模式命令不被接受，UE需要发送包含EMM cause的SECURITY MODE REJECT消息给网络。EMM cause指示下面某一种原因：

第15页