安全性功能包括以下三个方面:
防止未授权使用GPRS业务 (鉴权和服务请求确认)。
保持用户身份机密性 (临时身份和加密)。
保持用户数据的机密性 (加密)。
下面从这三个方面对GPRS的安全性功能做简要介绍。
1.用户鉴权
GPRS鉴权流程和GSM原有的鉴权流程是相似的,不同点在于GPRS鉴权流程是由SGSN发起的,GPRS鉴权三元组存储在SGSN中,同时在开始加密时,将对所采用的加密算法进行选择。图2-8-7给出了GPRS用户鉴权流程。
图2-8-7 用户鉴权流程
对该流程说明如下:
(1)SGSN向HLR发出发送鉴权信息 (IMSI),HLR返回鉴权信息确认 (包含鉴权三参数组:RAND、SRES和Kc)。
(2)SGSN向MS发出鉴权请求 (RAND、CKSN、加密算法),MS返回鉴权响应(SRES),完成鉴权过程。
2.用户身份机密性
临时逻辑链路标志 (TLLI)用来唯一表示一个用户,在同一路由区,IMSI和TLLI具有一一对应关系,这种对应关系只有MS和SGSN知道。TLLI的地址范围可以分为三部分:本地地址、外部地址以及随机地址,其中本地地址是由SGSN分配的,并且只在地址分配时所在路由区有效;外部地址是由MS分配的,源于旧路由区中的本地地址;当MS不具备本地地址和外部地址或MS发起一个匿名接入时,MS将随机选择一个TLLI。当MS处于READY状态时,SGSN可随时为MS重新分配TLLI,可以通过一个TLLI再分配流程或在连接流程、路由区更新流程时进行。
与TLLI相联系的还有TLLI标记这个概念,TLLI标记用来对用户的身份进行验证。在SGSN向MS发送Attach Accept和Area Update Accept消息时,可以将TLLI标记作为一个可选的参数,如果MS接收到TLLI标记,将在下一个连接请求或路由区请求中附加TLLI标记,供SGSN验证。图2-8-8给出了TLLI再分配的流程。
图2-8-8 P-TMSI重新分配流程
P-TMSI的分配:
P-TMSI由SGSN分配。
SGSN:向MS发出P-TMSI重新分配命令消息(新P-TMSI,P-TMSI签名,RAI)。
MS:向SGSN返回P-TMSI重新分配完成消息。
注:P-TMSI签名是一个与P-TMSI相关的可选参数,用于附着和位置更新等规程。
3.用户数据和GMM/SM信令机密性
在GPRS中,加密的范围在MS和SGSN之间,而与此对应,GSM加密的作用范围在MS和BTS之间,如图2-8-9所示。加密操作是由LLC层完成的。
图2-8-9 用户数据和GMM/SM信令机密性
GPRS增加了一个新的加密算法,另外由于SGSN不知道TDMA的帧数,因此在加密算法中,用逻辑链路控制帧数量来代替TDMA帧号。
4.用户身份检查
GPRS的用户身份检验规程基本等同于GSM,不同点在于检验的执行者是SGSN。
如图2-8-10所示,用户身份检验规程如下:
图2-8-10 用户身份检验规程
SGSN:向MS发出标识请求 (标识类型)。 MS:向SGSN返回标识响应 (移动标识)。
SGSN:如果需要校验IMEI,则向EIR发出校验IMEI消息。
EIR:向SGSN返回校验IMEI确认。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。