Вектора аутентификации
При первом подключении к сети абонент сообщает свой системный номер IMSI, при последующих - временный идентификатор. Далее следует обмен информационными сообщениями между MME и HSS (рис.6.1):
Рис.6.1. Начало процедуры AKA На рис.6.1 SN (Serving Network) identity – идентификатор обслуживающей сети (24 бита), состоящий из MCC и MNC (кода страны и кода оператора). Тип сети (Network Type) – E-UTRAN. Из HSS обслуживающая сеть (ММЕ) получает вектор аутентификации EPS (Evolved Packet System). Вектор аутентификации в HSS генерируют в два этапа. На первом этапе используют алгоритм, принятый в UMTS (рис.6.2). Рис.6.2. Исходный алгоритм генерации вектора аутентификации Криптографический алгоритм (рис.6.2) реализован с помощью однонаправленных функций. Это значит, что прямой результат получают путем простых вычислений, но не существует эффективного алгоритма для получения обратного результата. В самом алгоритме использованы 5 однонаправленных функций: f1, f2, f3, f4 и f5. Исходными параметрами являются случайное число RAND <128бит>, Master Key K абонента <128бит> и порядковый номер процедуры Sequence Number SQN. Счетчик SQN меняет свое значение при каждой генерации вектора аутентификации. Аналогичный счетчик SQN работает в USIM. Это позволяет всякий раз получать новый вектор аутентификации и делает невозможным повторение уже использованного вектора. Кроме трех исходных величин: SQN, RAND и К в алгоритме f1 участвует поле управления аутентификацией Authentication Management Field AMF, в алгоритмах f2 – f5 исходные параметры – RAND и К. На выходах соответствующих функций получают Message Authentication Code (MAC) <64 бита>, XRES – eXpected Response, результат работы алгоритма аутентификации <32 – 128 бит>, ; ключ шифрации СК, генерируемый с использованием входящих (K,RAND)->f3->CK; ключ целостности IK, сгенерированный с использованием входящего (K,RAND)->f4->IK; и промежуточный ключ Anonymity Key (AK), генерируемый с помощью (K,RAND)->f5->AK - 64 бита. Второй этап генерации вектора аутентификации зависит от типа сети обслуживания. Поле AMF содержит специальный бит (separation bit), определяющий тип сети: если он равен 0, то это сеть GERAN/UMTS. В этом случае вектор аутентификации состоит из чисел RAND, XRES, ключей CK, IK и числа AUTN представляющего собой запись в строку трех параметров: SQN Å AK, AMF и МАС.
©2015 arhivinfo.ru Все права принадлежат авторам размещенных материалов.
|