NB-IoT UE进行初始接入时,首先使用EPS-AKA(Evolved Packet System-Authentication and Key Agreement)机制实现UE和网络之间的双向认证与密钥协商。如图5.2所示,步骤0.1~0.4为用户进行网络接入请求的过程,步骤1、2为HSS计算并向MME分发认证向量的过程,步骤3、4为MME与UE进行认证与密钥协商的过程。
步骤0.1~0.4:MME向申请接入网络的UE发送身份请求信息;UE收到来自网络的身份信息请求之后,向网络发送永久身份IMSI。
步骤1:MME收到IMSI后,向HSS发起认证向量请求。
图5.2 EPS-AKA流程
步骤2:HSS收到MME的认证向量请求之后,计算一组或多组认证向量AV(n),并将其发送给MME。
注:认证向量(AV)是一个四元组,包括随机数RAND、认证码AUTN、期望响应XRES,及协商密钥KASME。其中,HSS根据与用户端USIM卡共享的永久密钥K先推演出一对密钥CK、IK,再由CK、IK推演产生KASME(详见图5.3)。(www.xing528.com)
步骤3:MME收到认证向量组AV(n),对认证向量组进行排序,选择一个序号最小的认证向量,将向量组中的RAND、AUTN和KASME的密钥标识KSIASME发送给UE,请求UE产生认证数据。
图5.3 NB-IoT/eMTC密钥层次架构
步骤4:UE收到来自MME的认证请求之后,验证AUTN;若认证通过,UE计算RES和CK、IK,并将RES发送给MME。MME收到RES后,将RES与XRES进行比较。若相同,则UE认证成功,建立连接。
此外,为保护用户身份隐私,避免用户可溯性,用户在接入网络之后,网络分配临时标识给用户,用户可使用临时标识再次接入网络。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。