? 当处于EMM-IDLE模式的UE建立了一个新的NAS信令连接并且有一个有效的current EPS安全上下文时,NAS消息的安全交换可以通过以下方式进行重建(略)。
? 安全密钥的变化
当MME启动一个重鉴权来创建new EPS安全上下文时,鉴权过程中的消息交换要用current EPS安全上下文进行加密和完整性保护。
如果存在current EPS安全上下文,那么UE和MME应该继续使用current EPS安全上下文,直到MME启动一个SMC流程为止。由MME发送的SECURITY MODE COMMAND消息包含将要使用的new EPS安全上下文的eKSI。MME需要使用new EPS安全上下文对消息进行完整性保护,但不用加密。当UE以SECURITY MODE COMPLETE响应时,它需要使用new EPS安全上下文对发送的消息进行加密和完整性保护。 MME也可以修改current EPS安全上下文或者使用一个已经存在的native EPS安全上下文。这时,MME发送一个包含将要修改的EPS安全上下文的eKSI和新选定的NAS安全算法的SECURITY MODE COMMAND消息。在这种情况下,MME需要使用修改的EPS 安全上
下文对SECURITY MODE COMMAND消息进行完整性保护,但不加密。当UE回复SECURITY MODE COMPLETE消息时,UE需要使用修改的 EPS安全上下文对该消息进行加密和完整性保护。
NAS COUNT和NAS序列号的处理
? 有两个NAS COUNT:uplink NAS COUNT和downlink NAS COUNT。
? NAS COUNT由NAS sequence number(低有效位)和NAS overflow counter(高有效位)串联而成。共24bit。由UE和MME独自维护。
? 当NAS COUNT作为加密函数等的参数时,需要对高位补0,组成32bit的整数。
? UTRAN/GERAN切换到E-UTRAN过程中,如果mapped EPS安全上下文投入使用,那么NAS COUNT 均要初始化为0。
? NAS COUNT中NAS sequence number部分会作为NAS信令部分在UE和MME之间进行交换。每次NAS保护消息发送后,NAS COUNT都要加1(NAS sequence number部分加1,若溢出,则NAS overflower counter部分加1)。
? Replay protection:保证相同的NAS信息仅被接收方接
收一次。
? 完整性保护和验证:
发送方应该使用本地存储的NAS COUNT作为完整性保护算法的输入;
接收方应该使用接收消息中的NAS sequence number和一个估计的NAS overflow counter组成的NAS COUNT来作为完整性保护算法的输入。
? 加密和解密
发送方应该使用本地存储的NAS COUNT作为完整性保护算法的输入;
接收方应该使用接收消息中的NAS sequence number和一个估计的NAS overflow counter组成的NAS COUNT来作为完整性保护算法的输入。
? NAS COUNT wrap around
当MME检测到NAS COUNT接近卷绕界限(224),MME就会重启一个AKA流程,来创建新的NAS安全上下文,并且将NAS COUNT 清0;
同样地,当MME检测到UE’s uplink NAS COUNT 接近卷绕界限(224)时,MME会重启一个AKA流程。 如果因为某种原因,在卷绕之前,KASME没有创建成功,
那么,MME或UE会释放NAS信令连接。
EMM的基本规程
? EMM的主要功能:支持UE端的移动性管理,比如通知网络侧有关UE当前位置信息和提供用户身份的保密性。
? 进一步功能:提供与ESM的连接管理服务和短消息服务
注:EMM的所有规程是建立在NAS信令连接基础上的。 ? 根据发起的方式,EMM规程可以区分为三种 ? EMM通用规程
在NAS信令连接存在的情况下,EMM通用规程可以随时发起。由网络侧发起 - GUTI重分配 - 鉴权 - SMC - 鉴别 - 通知 ? EMM专用规程
任意时间,只能存在一个UE发起的EMM专用规程。 - attach;附着
由UE侧发起,附着网络侧的IMSI用于EPS服务,创
建EMM上下文和默认承载 - detach;去附着
由UE侧或者网络侧发起,去附着IMSI,释放EMM上下文和所有承载 - 正常TAU(S1 mode only)
在EMM上下文已经创建的基础上,由UE发起 - 周期性TAU(S1 mode only)
TAU过程也可用来请求预留资源来发送数据。 ? EMM连接管理规程(S1 mode only) - service request;服务请求
由UE发起,用以创建到网络侧的安全连接或请求预留资源。服务请求只能在没有UE发起的EMM专用规程运行的时候才可由UE发起。 - 寻呼规程
由网络侧发起,用以请求创建NAS信令连接或者提示UE在网络失败的情况下进行重附着。 - NAS信息传送
由UE侧或者网络侧发起,用以传输NAS消息。 注:在EMM专用规程进行的时候,不能发起NAS消息
传输过程
EMM模式和NAS信令连接