2. Идентификация абонентского оборудования

Идентификация абонентского оборудования позволяет исключить использование в сети украденных либо дефектных мобильных терминалов.

Идентификация мобильного терминала выполняется модулем управления мобильностью MMЕ и сервером абонентских данных HSS с помощью регистра идентификации EIR.

Узел MME посылает запрос международного идентификатора абонентскому устройству, в ответ абонентское устройство посылает данный идентификатор (IMEI). IMEI отправляется с использованием процедур шифрования.

Узел ММЕ передает полученный IMEI регистру идентификации EIR для последующей проверки подлинности терминала. EIR посылает результат проверки подлинности, на основе которого абонентскому устройству разрешается либо запрещается работа в сети.

Рисунок 6.1 – Процедура идентификации мобильного терминала в сети LTE

В условиях роуминга идентификация выполняется регистром EIR домашней сети в случаях, когда визитная сеть получает от мобильного терминала запрос на присоединение (кроме случая, когда запрос связан с выполнением процедуры хэндовера), а также в случае реализации процедуры обновления данных о зоне местоположения мобильного терминала в сети E-UTRAN, если до этого мобильный терминал находился в сети UTRAN/GERAN и обслуживающий его ранее узел SGSN не предоставил данные об идентификации мобильного терминала.

2. Аутентификация в сети lte

В сети LTE поддерживается процедура взаимной аутентификации, то есть пользователь аутентифицирует сеть (действительно ли эта та сеть, к которой он желает получить доступ), а сеть аутентифицирует пользователя (действительно ли это тот пользователь, за которого он себя выдает) (рис. 6.2).

Рисунок 6.2 – Процедура аутентификации

Аутентификация пользователя осуществляется для защиты от несанкционированного использования сервисов, аутентификация сети осуществляется для подтверждения ее надежности.

Процедура аутентификации и согласования ключей (АКА) основана на ключе управления безопасностью доступа объекта КASME. Ключ КASME формирует основу для осуществления AS и NAS шифрования и проверки целостности.

ASME – это объект управления безопасностью доступа. Он получает ключи от домашнего сервера HSS. В сети LTE роль объекта управления играет узел ММЕ.

Процедура аутентификации.

Аутентификационная информация выдается HSS по запросу элемента ММЕ и передается в ММЕ по интерфейсу S6a. Такой запрос включает IMSI (мобильный код страны и код сети мобильной связи), тип сети, число запрашиваемых векторов аутентификации.

После получения запроса от ММЕ, сервер HSS запрашивает центр аутентификации сгенерировать вектор аутентификации AV, если нет доступных векторов в базе данных сервера HSS.

Ключ KASME передается сервером HSS в ММЕ как часть вектора EPS AV в качестве ответа на запрос аутентификации. Вектор EPS AV состоит из случайного числа (RAND), ожидаемого ответа пользователя (XRES), аутентификационных данных (AUTN) и ключа KASME.

ММЕ посылает запрос аутентификации абонентскому устройству, который содержит RAND, AUTN и KSIASME.

KSIASME однозначно определяется KASME. Этот ключ отправляется абонентскому устройству от узла ММЕ вместе с временным идентификатором при входе в сеть и хранится в нем. Абонентское устройство реагирует на запрос ответом аутентификации, содержащим реакцию пользователя RES. ММЕ сравнивает полученное от абонентского устройства RES и XRES и аутентифицирует (или нет) абонента. Одновременно с этим, осуществляется и аутентификация сети мобильным терминалом. Процедура аутентификации показана на рисунке.