中国联通移动网鉴权及加密专项优化技术方案.doc

中国联通移动核心网鉴权及加密专项优化技术方案V1.2中国联合网络通信有限公司目 录目 录 21 概述 42 优化目标 42.1 预期成果 42.2 涉及的网元参数 53 优化内容 53.1 信令的规范性研究 53.2 鉴权失败的原因分析及优化研究 63.3 鉴权同步失败的原因分析及优化研究 63.4 加密设置失败的原因分析及优化研究 63.5 取鉴权向量失败分析及优化研究 63.6 鉴权流程时延分析及优化研究 63.7 加密设置流程时延分析及优化研究 63.8 鉴权和加密设置对安全性的影响分析研究 63.9 复制卡双活原因分析及各厂家解决验证研究 63.10 其它现网鉴权与加密相关问题研究 74 专项优化具体方案 74.1 提高信令的规范性 74.1.1 参考信令流程 74.1.2 涉及到的网元参数 154.1.3 优化工作要求 154.2 鉴权失败的原因分析及优化 174.2.1 鉴权失败的定义 174.2.2 鉴权失败主要原因 184.2.3 涉及到的网元参数 194.2.4 优化工作要求 194.2.5 预期成果 214.3 鉴权同步失败的原因分析及优化方法 214.3.1 鉴权同步原理 214.3.2 鉴权同步中的相关机制和算法 224.3.3 优化工作要求 254.3.4 预期成果 274.4 加密设置失败的原因分析及优化方法 274.4.1 加密设置失败定义 274.4.2 加密设置失败的主要原因 274.4.3 涉及到的网元参数 284.4.4 优化工作要求 284.4.5 预期成果 304.5 取鉴权向量失败的原因分析及优化 304.5.1 取鉴权向量失败的定义 304.5.2 取鉴权向量失败的主要原因 304.5.3 涉及到的网元参数 304.5.4 优化工作要求 314.5.5 预期成果 324.6 鉴权及加密设置时延分析及优化方法 334.6.1 时延定义 334.6.2 测试场景 334.6.3 分析方法及工作要求 334.7 鉴权和加密设置对安全性的影响分析 334.8 复制卡双活分析及防止策略 344.8.1 复制卡双活原理 344.8.2 优化方案 354.8.3 优化工作要求 364.9 其它现网鉴权与加密相关问题研究 365 参考文献 366 附件 36 1 概述鉴权和加密设置流程是电路域和分组域接入过程中的关键流程，这两个流程涉及MSC Server、SGSN、HLR、RNC、UE及(U)SIM卡，涉及网络节点众多，影响因素复杂，这两个过程的质量对业务接入质量有很大的影响。

同时，2G和3G的安全架构有着很大的区别在鉴权方面，3G的鉴权采用了5元组鉴权，不仅增强了密钥强度，而且还增加了用户对网络侧的鉴权；在加密方面，3G采用了新的加密算法，而且还实现了完整性保护这些新的特性也带来了新的问题，在网优问题汇总过程中，分公司也反映了一些与鉴权和加密设置相关的问题，这些问题都直接影响了业务的质量因此，对鉴权和加密设置流程的优化是实现接入优化甚至业务优化的基础本次专项优化以鉴权和加密流程为核心，解决现网中主要的鉴权和加密问题，优化鉴权和加密设置流程，为业务优化打好基础2 优化目标本次专项优化对2G和3G中电路域和分组域的鉴权和加密设置流程的优化方法进行研究通过对不同厂家、不同分公司现网中的鉴权和加密设置流程进行优化分析，摸索规律，总结出一套适合于全国推广的优化方法，并探索出一条专项优化思路和工作流程2.1 预期成果1) 建立一套适合中国联通现网的鉴权和加密设置的标准信令流程，提高信令流程的规范性2) 通过对鉴权、加密设置和取鉴权向量流程失败的场景、原因的分析，找出减少一次鉴权失败、鉴权失败、加密设置失败和取鉴权向量失败的方法或建议3) 通过对鉴权和加密设置流程时延的分析，掌握鉴权和加密设置的时延分布情况，并给出降低时延的优化方法或建议。

4) 分析2G/3G中鉴权强度、加密设置、TMSI等安全特性，分析这些特性的设置对网络安全性的影响，对比分析各厂家设备对网络安全特性的支持情况5) 验证各厂家复制卡双活的解决方案6) 解决现网上其它与鉴权和加密相关的问题2.2 涉及的网元参数本次专项优化涉及但不仅限于表1中列出的网元参数，在专项优化试点过程中，对涉及到的网元参数可以不断丰富表1 专项优化涉及到的网元参数网元涉及参数参数级别参考手册章节MSC Server鉴权流程开关B1MSC Server分册第五章第1.1节用户鉴权响应计时器B1MSC Server分册第五章第1.2节请求鉴权数据计时器B1MSC Server分册第五章第1.3节用户申请的鉴权组数控制B1MSC Server分册第五章第1.4节鉴权集最少组数B1MSC Server分册第五章第1.5节鉴权频次（区分业务）B1MSC Server分册第五章第1.6节加密流程开关（区分2/3G）B1MSC Server分册第五章第2.1节安全模式响应计时器B1MSC Server分册第五章第2.2节加密算法B1MSC Server分册第五章第2.3节HLR是否一次性返回鉴权组B1HLR分册第五章第1.1节SGSN鉴权开关（区分流程、区分业务）B1SGSN分册第五章3.1节鉴权频次（区分流程、区分业务）B1SGSN分册第五章3.2节用户鉴权超时定时器（T3360）B1SGSN分册第五章3.3节获取鉴权向量等待定时器B1SGSN分册第五章3.4节SGSN申请的用户鉴权组数B1SGSN分册第五章3.5节鉴权集最小组数B1SGSN分册第五章3.6节加密开关B1SGSN分册第五章4.1节加密算法选择B1SGSN分册第五章4.2节安全模式响应定时器B1SGSN分册第五章4.3节3 优化内容3.1 信令的规范性研究通过对现网信令的分析，并结合3GPP的标准，制定一套适合联通现网的标准信令流程，包括2G/3G电路域和分组域的鉴权流程，2G/3G电路域和分组域的加密设置流程，鉴权同步流程，取鉴权向量流程。

要求给出每个流程在业务中出现的要求，每个流程要求给出关键的信令参数及取值要求，以及相配套的网元参数，分析各厂家设备对不同信令参数的处理机制3.2 鉴权失败的原因分析及优化研究通过对2G/3G电路域和分组域鉴权失败事件的分析，分析引起鉴权失败的场景和原因，并对这些失败事件进行分类，找出解决方法或提出有效建议3.3 鉴权同步失败的原因分析及优化研究鉴权同步是3G网络鉴权的一个新特性，用于防止重放攻击，进一步提高网络的安全性鉴权同步在理论上是存在一定的失败概率的，是正常的现象，可以通过鉴权同步流程来实现重同步，完成正常的鉴权流程但如果大量出现鉴权同步失败事件，说明鉴权流程出现了异常，需要分析解决这部分要求对大概率的鉴权失败发生的场景和原因作深入的分析，找出解决方法或提出有效建议3.4 加密设置失败的原因分析及优化研究通过对2G/3G电路域和分组域加密设置失败事件的分析，分析引起加密设置失败的场景和原因，并对这些失败事件进行分类，找出解决方法或提出有效建议3.5 取鉴权向量失败分析及优化研究通过对取鉴权向量流程失败事件的分析，分析引起取鉴权向量流程失败的场景和原因，并对这些失败事件进行分类，找出解决方法或提出有效建议。

3.6 鉴权流程时延分析及优化研究分析2G/3G电路域和分组域鉴权流程的时延，找出影响鉴权时延的因素，并研究优化方法3.7 加密设置流程时延分析及优化研究分析2G/3G电路域和分组域加密设置流程的时延，找出影响加密设置流程时延的因素，并研究优化方法3.8 鉴权和加密设置对安全性的影响分析研究从理论和实践上分析不同的鉴权频度、TMSI设置、加密设置对网络安全性的影响，分析各家在网络安全性上的处理机制3.9 复制卡双活原因分析及各厂家解决验证研究分析复制卡双活发生的场景和原因，对各厂家的解决方案进行验证分析，得出各方案的有效性3.10 其它现网鉴权与加密相关问题研究研究与解决现网发生的其它与鉴权和加密相关的问题4 专项优化具体方案4.1 提高信令的规范性这部分工作要求明确规范的鉴权和加密设置信令流程，发现和消除不规范的信令流程及参数4.1.1 参考信令流程4.1.1.1 鉴权流程a) 鉴权总体流程图1 电路域鉴权总体流程图1给出了电路域鉴权的总体流程step 1: 网络向 UE 发起Authentication Request 鉴权请求消息，从而启动鉴权流程并启动定时器T3260step 2: 当UE 收到鉴权请求后解释该消息的具体内容并将鉴权参数传递给USIM。

USIM 计算RES，并将其发送给网络；step 3: 由网络比较鉴权响应中的RES 和VLR 数据库中的存储的鉴权参数中的XRES 是否一致，如果一致，则鉴权成功；否则鉴权失败在鉴权失败的情况下，如果采用的是TMSI鉴权，则发起取用户标识流程，要求用户上报IMSI；否则跳至7step 4: 用户上报IMSIstep 5: 如果上报的IMSI和TMSI没有关联，则再次发起鉴权流程如果IMSI和TMSI是相关联的，则确认鉴权失败，跳至7step 6: 用户响应第二次鉴权请求step 7: 如果鉴权失败，则给用户发送Authentication Reject图2 分组域鉴权总体流程分组域鉴权流程与电路域类似，只是分组域鉴权消息为Authentication and Ciphering Request消息，并且分组域在定时器T3360超时后会重发鉴权请求消息，重发次数N部分厂家设备不可调的默认机制，部分厂家可调在2G网络中，分组域鉴权和加密通过同一条消息下发b) 鉴权场景由于2G和3G的卡和终端之间是兼容的，则存在多种鉴权场景，图3是3GPP规定的鉴权场景 图3 各种不同组合下的鉴权场景目前，联通的HLR、VLR和SGSN全为R99＋，鉴权的场景没有那么复杂。

根据联通现网的鉴权场景，鉴权的参数要求如表2所示表2 各种鉴权场景下鉴权流程的参数接入网终端卡鉴权参数UTRANR99+SIMRANDUTRANR99+USIMRAND、AUTNGERANR99+SIMRANDGERANR98-*SIMRANDGERAN3GUSIMRAND、AUTNGERAN2GUSIMRAND或RAND、AUTN*: 目前R98－的终端在市场上已经很少存在表 3给出了鉴权流程中的重要消息及参数表 3 鉴权过程的重要消息及参数消息参数是否携带取值要求Authentication Request(场景1)KSI，也称为CKSN是RAND是AUTN是Authentication Request（场景2）CKSN是RAND是Authentication Response（场景1）RES是Authentication R。