1、1,LTE协议栈EMM培训,移动通信协议研究所2012-03-08,EMM,2,内容提要,开机信令流程(EMM相关) EMM过程类型表述 移动性管理 安全性,3,协议栈各子层功能实现及验证,协议研究 C代码设计 测试 联合调试,实现步骤,4,开机信令流程(EMM相关),EMM,5,LTE network architecture,E-UTRAN,UE,Evolved packet core (EPC),6,LTE NE Function,7,LTE协议栈架构,7,8,UE端EMM模块结构,9,EMM=DEREGISTERED,Press a button to switch on the ph
2、one,UE,ECM=IDLE,10,eNB S1AP ID,eNB S1AP ID MME S1AP ID,RRC connection established,ECM=CONNECTED,EMM=REGISTERED-INITIATED,Authentication Request,Attach Request IMSI,MME,HSS,eNB,UE,ECM=IDLE,EMM=DEREGISTERED,Initial UE message (eNB S1AP ID, Attach Request IMSI),EMM=COMMON-PROCEDURE-INITIATED,ECM=CONNEC
3、TED,Stored,Allocated,Authentication Information Request (IMSI),Authentication Information Answer (Authentication & security parameters),ECM=,EMM=,Downlink NAS transport (eNB S1AP ID1, MME S1AP ID, Authentication Request),S1-MME interface S1AP protocol,S6A interface Diameter protocol,Allocated,Stored
4、,IMSI,MME S1AP ID MTMSI (GUTI) MME TEID-C,eNB S1AP ID,11,eNB S1AP ID MME S1AP ID,EMM=REGISTERED-INITIATED,ECM=CONNECTED,Uplink NAS transport (eNB S1AP ID, MME S1AP ID, Authentication Response),Downlink NAS transport ( eNB S1AP ID1, MME S1AP ID, ),Authentication Response, = integrity protection,MME,H
5、SS,eNB,UE,EMM=COMMON-PROCEDURE-INITIATED,ECM=,ECM=CONNECTED,MME S1AP ID MTMSI (GUTI) MME TEID-C,IMSI,eNB S1AP ID,12,EMM=REGISTERED-INITIATED,SGW,Uplink NAS transport (eNB S1AP ID, MME S1AP ID, ),Update Location Request (IMSI),Update Location Answer (QoS profile, APN), = integrity protection, = confi
6、dentiality protection,MME,HSS,eNB,UE,EMM=COMMON-PROCEDURE-INITIATED,ECM=CONNECTED,ECM=CONNECTED,eNB S1AP ID MME S1AP ID,Create Session Request (MME TEID-C, IMSI),IMSI,MME TEID-C,Stored,SGW TEID-C SGW TEID-U SGW IP-U,Allocated,DNS,APN,SGW IP,S11 interface GTPv2 protocol,MME S1AP ID MTMSI (GUTI) MME T
7、EID-C,IMSI,eNB S1AP ID,13,Initial Context Setup Request ( eNB S1AP ID1, MME S1AP ID, SGW TEID-U, SGW IP-U, ),eNB TEID-U eNB IP-U SGW TEID-U SGW IP-U,EMM=REGISTERED-INITIATED,SGW,Initial Context Setup Response (eNB S1AP ID, MME S1AP ID, eNB TEID-U, eNB IP-U), = integrity protection, = confidentiality
8、 protection,MME,eNB,UE,EMM=COMMON-PROCEDURE-INITIATED,ECM=CONNECTED,ECM=CONNECTED,eNB S1AP ID MME S1AP ID,Create Session Response (MME TEID-C, SGW TEID-C, SGW TEID-U, SGW IP-U),SGW TEID-C SGW TEID-U SGW IP-U,Stored,EMM=REGISTERED,Stored,Allocated,GUTI TAI LIST,Stored,eNB TEID-U eNB IP-U,Temporarily
9、stored,MME S1AP ID MTMSI (GUTI) MME TEID-C,IMSI,eNB S1AP ID,IMSI,MME TEID-C,SGW TEID-C SGW TEID-U SGW IP-U,14,Modify Bearer Request (SGW TEID-C, eNB TEID-U, eNB IP-U),Modify Bearer Response (MME TEID-C),EMM=REGISTERED,Attach completed!,eNB S1AP ID MME S1AP ID eNB TEID-U eNB IP-U SGW TEID-U SGW IP-U,
10、SGW, = integrity protection, = confidentiality protection,MME,eNB,UE,EMM=COMMON-PROCEDURE-INITIATED,ECM=CONNECTED,ECM=CONNECTED,GUTI TAI LIST,Uplink NAS transport (eNB S1AP ID, MME S1AP ID, ),EMM=REGISTERED,eNB TEID-U eNB IP-U,Temporarily stored,First uplink data packet,First downlink data packet,IM
11、SI,MME TEID-C,SGW TEID-C SGW TEID-U SGW IP-U,eNB TEID-U eNB IP-U,SGW TEID-C SGW TEID-U SGW IP-U,MME S1AP ID MTMSI (GUTI) MME TEID-C,IMSI,eNB S1AP ID,15,EMM过程类型,EMM,16,EMM实体主要过程描述,17,EMM状态转换,根据协议规范和设计实现EMM共分为7个大状态和20个小状态: 7个大状态为EMM-NULL,EMM-DER,EMM-DIN,EMM-REG,EMM-RIN,EMM-SRI,EMM-TRACKING-AREA-UPDATI
12、NG-INITIATED。 20个小状态为NUL,DPS,DNC,DNS,DLS,DNI,DAA,DAN,RIN,RNS,RPS,RLS,RAU,RUN,RUM,RID,RNC,TAI,DIN,SRI。在进行状态跳转时会根据不同的EMM原因值跳转到不同的小状态。,18,UE端EMM状态跃迁图,EMM_NUL,Disenable s1模式,Enable s1模式,EMM_DER,关机信号,任意状态,EMM_DIN,EMM_RIN,EMM_SRI,EMM_REG,EMM_TAI,-分离接受 -底层失败,-非关机分离,附着拒绝,附着请求,-附着接受; -默认上下文激活,业务请求,业务接受,TAU请求
13、,TAU拒绝或小区 禁止接入或TAU仅 EPS业务成功,TAU拒绝,19,Attach和Detach过程,作用: Attach过程完成UE在网络的注册,完成核心网(EPC)对该UE默认承载的建立 Detach过程完成UE在网络侧的注销和所有EPS承载的删除 Attach说明: LTE中,Attach伴随着核心网处默认承载的建立 Detach说明: UE/MME/SGSN/HSS均可发起detach过程 若网络侧长时间没有获得UE的信息,则会发起隐式的Detach过程,即核心网将该UE的所有承载释放而不通知UE,Attach与Detach过程,20,Attach Procedure,在无线网部分
14、,LTE的attach与3G的类似,完成相同的功能 而在核心网部分,除鉴权、身份验证、用户注册以外,LTE还包含默认承载的建立,而3G中没有,Attach信令流程 E-UTRAN部分,21,Attach过程说明,处在RRC_IDLE态的UE进行Attach过程,首先发起随机接入过程,即MSG1消息; eNB检测到MSG1消息后,向UE发送随机接入响应消息,即MSG2消息; UE收到随机接入响应后,根据MSG2的TA调整上行发送时机,向eNB发送RRCConnectionRequest消息; eNB向UE发送RRCConnectionSetup消息,包含建立SRB1承载信息和无线资源配置信息;
15、UE完成SRB1承载和无线资源配置,向eNB发送RRCConnectionSetupComplete消息,包含NAS层Attach request信息; eNB选择MME,向MME发送INITIAL UE MESSAGE消息,包含NAS层Attach request消息; MME向eNB发送INITIAL CONTEXT SETUP REQUEST消息,请求建立默认承载,包含NAS层Attach Accept、Activate default EPS bearer context request消息; eNB接收到INITIAL CONTEXT SETUP REQUEST消息,如果不包含UE能
16、力信息,则eNB向UE发送UECapabilityEnquiry消息,查询UE能力; UE向eNB发送UECapabilityInformation消息,报告UE能力信息; eNB向MME发送UE CAPABILITY INFO INDICATION消息,更新MME的UE能力信息; eNB根据INITIAL CONTEXT SETUP REQUEST消息中UE支持的安全信息,向UE发送 SecurityModeCommand消息,进行安全激活; UE向eNB发送SecurityModeComplete消息,表示安全激活完成; eNB根据INITIAL CONTEXT SETUP REQUEST
17、消息中的ERAB建立信息,向UE发送RRCConnectionReconfiguration消息进行UE资源重配,包括重配SRB1和无线资源配置,建立SRB2、DRB(包括默认承载)等; UE向eNB发送RRCConnectionReconfigurationComplete消息,表示资源配置完成; eNB向MME发送INITIAL CONTEXT SETUP RESPONSE响应消息,表明UE上下文建立完成; UE向eNB发送ULInformationTransfer消息,包含NAS层Attach Complete、Activate default EPS bearer context ac
18、cept消息; eNB向MME发送上行直传UPLINK NAS TRANSPORT消息,包含NAS层Attach Complete、Activate default EPS bearer context accept消息。,Attach流程说明,22,Connected UE initiated Detach,Detach信令流程连接态UE发起,23,Connected UE initiated Detach说明,处在RRC_CONNECTED态的UE进行Detach过程,向eNB发送UL NAS Transfer消息,包含NAS层Detach request信息; eNB向MME发送上行直传
19、UPLINK NAS TRANSPORT消息,包含NAS层Detach request信息; MME向Serving-GW发送Delete Session Request,以删除EPS承载; Serving-GW向MME发送Delete Session Response,以确认EPS承载删除; MME向基站发送下行直传DOWNLINK NAS TRANSPORT消息,包含NAS层Detach accept消息; eNB向UE发送DLInformationTransfer消息,包含NAS层Detach accept消息; MME向eNB发送UE CONTEXT RELEASE COMMAND消息
20、,请求eNB释放UE上下文信息; eNB接收到UE CONTEXT RELEASE COMMAND消息,向UE发送RRCConnectionRelease消息,释放RRC连接; eNB释放UE上下文信息,向MME发送UE CONTEXT RELEASE COMPLETE消息进行响应。,24,Service Request过程,作用 把EMM模式从EMM-IDLE转换成EMM-CONNECTED模式,并为上行链路用户数据或信令发送建立无线链路和S1承载。另一个目的是,唤起MO/MT CS 滚回过程以下情况UE会唤起业务请求过程:a) UE处于EMM-IDLE模式时,从网络收到一个CN域为“PS”
21、的 寻呼请求;b) UE在EMM-IDLE模式,挂起发送的用户数据;c) UE在EMM-IDLE模式,上行信令挂起;d) UE用CS fallback和从低层请求生成的CS fallback来配置 EMM-IDLE或EMM-CONNECTED模式。e) UE用CS fallback和收到的CN域为“CS”的寻呼请求来配置EMM-IDLE模式,或者用CS fallback与收到的CS SERVICE NOTIFICATION 消息来配置EMM-CONNECTED。,25,UE triggered Service Request,26,Service Request过程,说明 当UE发起servi
22、ce request时,需先发起随机接入过程 Service Request由RRC Connection Setup Comlete携带上去 当下行数据达到时,网络侧先对UE进行寻呼,随后UE发起随机接入过程,并发起service request过程 UE发起service request相当于主叫过程 下行数据达到发起的service request相当于被叫接入,27,寻呼(Paging),由网络向空闲态或连接态的UE发起 Paging消息会在UE注册的所有小区发送(TA范围内) 核心网触发:通知UE接收寻呼请求(被叫,数据推送) eNodeB触发:通知系统消息更新以及通知UE接收ETW
23、S等信息,目的: 1)网络端请求建立与UE的NAS 信令连接(也可以用来建立与UE之间传输cdma2000信令消息); 2)触发UE的重附着(当由于网络失败时)。如果当UE收到EPS 业务时还没有附着,UE则忽视该寻呼。另外,网络可以用寻呼来发起移动性终止CS fallback过程或SMS。,28,S-TMSI寻呼,当NAS信令消息,或用户数据在等待发送给UE而此时没有NAS信令连接存在时,网络将会发起一个用于EPS业务的寻呼过程。该过程用S-TMSI,CN域指示器设置为PS。为了初始该过程,网络端的EMM实体会请求低层发起寻呼,开启T3413。UE收到寻呼后,将发送一个SERVICE REQ
24、UEST消息响应。如果EPS业务寻呼与EMM特殊过程,或者业务请求过程冲突,则UE将会忽视该寻呼过程。 UE和网络将进行EMM特殊过程和业务请求过程。网络收到来自UE的响应将停止定时器。,29,IMSI寻呼,当网络发生错误需要恢复时(例如S-TMSI不可用),可发起IMSI寻呼,UE收到后执行本地detach,然后再开始attach。,30,移动性管理,EMM,31,TAU概述,当移动台由一个TA移动到另一个TA时,必须在新的TA上重新进行位置登记以 通知网络来更改它所存储的移动台的位置信息,这个过程就是跟踪区更新 (Tracking Area Update,TAU),TAU的定义,32,TA
25、U概述,为了确认移动台的位置,LTE网络覆盖区将被分为许多个跟踪区(Tracking Area, TA) TA功能与3G的位置区(LA)和路由区(RA)类似,是LTE系统中位置更新和寻呼的基本单位。TA用TA码(Tracking Area Code, TAC)标识,一个TA可包含一个或多个小区,TAC在这些小区的SIB1中广播 与LAC、RAC类似,网络运营时用TAI作为TA的唯一标识,TAI由MCC、MNC和TAC组成,共计6字节,TA和TAI的定义,UE在附着时,MME会为UE分配一组TA list(长度116)并发送给UE保存,当需要寻呼UE时,网络会在TA list所包含的小区内向UE
26、发送寻呼消息。,TAI LIST长度为898字节,分为三种类型,最多可包含16个TAIs UE附着时,MME通过ATTACH ACCEPT或TAU ACCEPT消息为UE分配一组TAI(TAI list) 当需要寻呼UE时,网络在TAI list所包含的所有小区内向UE发送寻呼 UE收到TAI LIST后保存在本地,移动过程中只要进入的新TA的TAI包含在TA LIST中,UE都无需发起TAU过程,33,Identifier,PLMN-Identity = MCC+MNC TAI = PLMN-Identity + TAC,34,TAU概述,UE状态不同 空闲态TAU 连接态TAU 更新内容不
27、同 非联合TAU更新TAI LIST 联合TAU更新TAI LIST + LAU,当前TA不在UE的TAI list里 周期性TAU表明UE Alive;网络配置, IDLE或连接态均强制执行 从服务区外返回服务区时,且周期性TAU到期,立刻执行 MME负载均衡时,可要求UE发起TAU ECM-IDLE状态下UE的GERAN和UTRAN Radio能力发生变化 从UTRAN PMM Connected或GPRS READY状态通过小区重选进入E-UTRAN时。,TAU的应用场景,TAU分类,35,TAU过程,在网络登记新的用户位置信息 进入新的TA,其TAI不在UE存储的TAI LIST内 给
28、用户分配新的GUTI 核心网在同一个MME pool用GUTI唯一标识一个UE。若TAU过程中更换了MME pool,则核心网会在TAU ACCEPT消息中携带新GUTI 分配给UE 使UE和MME的状态由EMM-DEREGISTERED变为EMM-REGISTERED UE短暂进入无服务区后回到覆盖区,信号恢复,且周期性TAU到期 IDLE态用户可通过TAU过程请求建立用户面资源 IDLE下发起TAU过程时,如果有上行数据或者上行信令(与TAU无关的)发送,UE可以在TAU request消息中设置an “active”标识,来请求建立用户面资源,并且在TAU完成后保持NAS信令连接连接态不
29、可设置该标识,TAU的作用,36,安全性,EMM,37,鉴权过程说明,EPS的鉴权和密钥协商过程的目是,提供UE和网络间的相互鉴权和约定一个密钥KASME。EPS鉴权过程总是由网络发起和控制,但是,UE可以拒绝网络发送的鉴权过程。UE当且仅当只有USIM卡存在是才能执行鉴权任务。当EPS鉴权过程成功完成,一部分本地的的EPS安全上下文在UE端和网络端被建成。在成功的EPS鉴权过程中,CK和IK由USIM计算出。然后CK和IK被ME当做密钥原料来计算新的密钥KASME.。KASME存储在网络的安全上文和ME可变存储器的安全上文中。它是EPS完整性保护密钥和加密密钥的根要密钥。,38,图中的Key
30、进行相关说明,IK、CK: 这是一对在AKA过程中,在AuC和USIM中产生的密钥,这两个密钥在产生过程中都是以USIM和AuC中的永久密钥K作为密钥输入,以鉴权向量中的随机数RAND作为参数输入,在不同的函数中产生(f3,f4)。IK、CK在应用于an EPS security context or a legacy security context时,将进行不同的处理。 NAS keys: KNASint:它同它一个产生该key时选定的的完整性保护算法一起用于对NAS事务进行完整性保护,它是在UE和MME通过KASME和一个选定的完整性保护算法的标识由KDF产生的。 KNASenc:它同一
31、个产生该key时选定的加密算法一起用于对NAS事物进行加密保护,它是由UE和MME通过KASME和一个选定的加密算法的标识由KDF产生的。,密钥等级,39,鉴权参数产生流程,40,鉴权过程,41,加密和完整性保护,UE在加密和完整性保护都被激活的情况下,NAS消息将先被加密,然后再将加密后的NAS消息同NAS序列号一起计算MAC-I。 注意:NAS消息中的Protocol discriminator和Security header type IE项是不会被加密的。 UE在新建一个信令连接时,初始直传NAS消息是没有被加密的。一旦NAS信令的安全连接建立好之后,除了ATTACH REQUEST
32、message and TRACKING AREA UPDATE REQUEST message,UE将对所有的NAS消息进行加密处理,直到NAS信令连接被释放或UE切换到A/Gb mode or Iu mode。,42,加密数据,EEA为加密算法,是在SMC过程中由网络选定的; - KEY 为KNASenc(128bit),它是在SMC过程中计算出来的; - COUNT(32bit)为NAS sequence number (低8bit)、NAS overflow counter (中间16bit)两部分的组合,除此之外还要在高8bit填0,它是由UE自己维护的; - BEARER(5bit
33、)为一个5bit全0常数; - DIRECTION(1bit)为0; - LENGTH为KEYSTREAM的长度; - KEYSTREAM BLOCK为计算出来的密钥流; - PLAINTEXT BLOCK为加密前的明文; - CIPHERTEXT BLOCK为加密后的密文。,Figure : Ciphering of data,43,完整性保护,-EIA为完整性保护算法,这是在SMC过程中由网络选定通知给UE的;-KEY为KNASint,这是在SMC过程中计算出来的;-COUNT为NAS sequence number (低8bit)、NAS overflow counter (高16bit
34、)两部分的组合,它是由UE自己维护的;-MESSAGE为要进行完整性保护的消息;-DIRECTION为0;-BEARER-ID 为5bit全0常数;-MAC-I为计算出来的完整性保护码。,Derivation of MAC-I,44,消息,Message Type,EPS mobile identity,45,2019年5月22日,重庆邮电大学硕士论文答辩,EMM子层功能实现及验证,C代码设计,1、入口函数设计,操作系统调用从操作系统队列接收原语对原语进行处理,2、原语处理函数 3、消息解析函数 4、消息处理函数 5、消息组装函数,46,2019年5月22日,重庆邮电大学硕士论文答辩,EMM子层功能实现及验证,联合调试结果,附着过程结果图 鉴权过程 安全模式过程,47,Thank You !,
