Thủ tục nhận thực và thỏa thận khóa AKA đƣợc thực hiện khi:
Đăng ký người sử dụng trong mạng phục vụ: khi một thuê bao lần đầu tiên nối đến mạng phục vụ (mới bật máy hay di chuyển sang nƣớc khác) nó phải tiến hành đăng ký với mạng phục vụ.
Sau mỗi yêu cầu dịch vụ: là khả năng để thuê bao ứng dụng các giao thức cao hơn vì thế phải thực hiện AKA.
Yêu cầu cập nhật vị trí: khi đầu cuối thay đổi vùng định vị nó cần cập nhật vị trí của mình vào HLR và VLR.
Yêu cầu đăng nhập và hủy đăng nhập: đây là các thủ tục kết nối và hủy kết nối thuê bao đến mạng phục vụ.
Yêu cầu thiết lập lại kết nối: yêu cầu này đƣợc thực hiện khi số lƣợng các nhận thực địa phƣơng đƣợc thực hiện cực đại.
Yêu cầu thiết lập lại kết nối: yêu cầu này đƣợc thực hiện khi số lƣợng các nhận thực địa phƣơng đƣợc thực hiện cực đại.
3.2.5.1. Tổng quan về AKA
Nhận thực và thỏa thuận khóa (AKA) là một trong các tính năng quan trọng của hệ thống 3G UMTS. Tất cả các dịch vụ khác đều phụ thuộc vào AKA, vì không thể sử dụng bất cứ dịch vụ nào cao hơn mà không phải nhận thực ngƣời sử dụng. Để thực hiện các quá trình này trong 3G UMTS, AuC phải tạo ra các vec-tơ nhận thực (AV) dựa trên bốn thông số: số ngẫu nhiên (RAND); khóa chủ (K); số trình tự (SQN) và trƣờng quản lý nhận thực (AMF). AV nhận đƣợc sẽ bao gồm: mã nhận thực bản tin để nhận thực mạng (MAC-A); chữ ký kỳ vọng từ ngƣời sử dụng để nhận thực ngƣời này (X- RES), khóa mật mã (CK); khóa toàn vẹn (IK); khóa dấu tên (AK) và một số thông số khác đƣợc sử dụng để chống phát lại. Mạng cũng sẽ phát các thông số RAND và AUTN=(SQN AK, AMF, MAC-A) đến USIM để nó tạo ra mã nhận thực bản tin kỳ vọng để nhận thực mạng(X-MACA), chữ ký để nhận thực nó với mạng (RES), CK, IK, AK và SQN.
3.2.5.2. Các thủ tục AKA
Hình 3.16 đã miêu tả cụ thể các quá trình nhận thực thỏa thuận khóa AKA.
Hình 3.17. Tổng quan quá trình nhận thực và thỏa thuận khóa AKA
Các thủ tục AKA xảy ra tại USIM, SGSN/VLR và HLR/AuC. Vì mạng phục vụ đƣợc chia thành các miền CS và PS. Các thủ tục đƣợc nhận thực giống nhau và độc lập trong cả hai miền.Tiếp theo chúng ta sẽ đi tìm hiểu quá trình nhận thực AKA đƣợc minh họa ở hình 3.17.
Nhận thực và thỏa thuận khóa AKA đƣợc quản lý bởi LR/SGSN mà thuê bao nối tới. Trƣớc hết VLR/SGSN phụ trách máy di động gửi bản tin “yêu cầu số liệu nhận thực IMSI” đến HLR (1). Sau khi nhận đƣợc bản tin này HLR sẽ định vị tới AuC (nơi chứa số liệu thuê bao) và yêu cầu các AV từ trung tâm này. Nếu AuC đã lƣu các AV cho thuê bao nó sẽ trả lời bằng cách gửi một hay nhiều AV trở lại VLR/SGSN (2). Thông thƣờng nhiều AV đƣợc gửi đi một lần (có tới 5AV), nhờ vậy giảm bớt đƣợc số lần yêu cầu AuC và giảm thiểu lƣu lƣợng mạng. Tuy nhiên, nếu tải AuC cao nó có thể chỉ gửi đi một AV. Nếu chƣa có sẵn AV trong cơ sở dữ liệu của mình AuC sẽ tiến hành tạo ra các AV mới.
Sau khi đã nhận đƣợc các AV từ HLR gửi đến, VLR/SGSN sẽ lƣu chúng trong cơ sở dữ liệu của mình và chọn một trong số chúng kèm theo hai thông số RAND và AUTN để gửi tới USIM trong bản tin gọi là “yêu cầu nhận thực RAND(i)||AUTN(i)” (3) thông qua UTRAN.
Sau khi nhận đƣợc bản tin này, USIM tiến hành kiểm tra thẻ nhận thực mạng AUTN để nhận thực mạng. Bằng cách mở thẻ AUTN ra và tiến hành so sánh MAC-A với XMAC-A do nó tạo ra. Nếu hai thông số này không trùng
USIM ME NUTB RNC MSC/VLC SGSN HLR/AuC UE UTRAN CN HE 1 2 4 3
nhau thì nhận thực mạng bị từ chối. Điều này có nghĩa là khóa chủ (K) ở cả hai miền không giống nhau. Vì thế bản tin này không bắt nguồn từ môi trƣờng nhà (HE) của thuê bao. Khi đó, nó hủy thủ tục nhận thực mạng và gửi đi bản tin “từ chối nhận thực của ngƣời sử dụng, kèm theo lý do” về phía VLR/SGSN. Nhận đƣợc bản tin này VLR/SGSN gửi “báo cáo nhận thực thất bại kèm lý do” tới HLR. Và có thể khởi đầu lại các thủ tục AKA. Quá trình này đƣợc gọi là USIM từ chối trả lời. Nếu MAC-A và XMAC-A trùng nhau thì quá trình nhận thực mạng thành công.
Tiếp theo USIM tiến hành tạo ra các trả lời từ ngƣời sử dụng để nhận thực mạng (RES) và gửi nó ngƣợc trở lại VLR/SGSN (4). Tại đây RES sẽ đƣợc so sánh với X-RES (có trong AV do HLR gửi đến). Nếu chúng giống nhau thì thuê bao đƣợc nhận thực. Nhƣ vậy hai nửa nhận thực đã hoàn tất. Khi đó VLR/SGSN nhận các khóa mật mã và toàn vẹn (CK, IK) từ AV và gửi chúng đến HE đang quản lý thuê bao. Các khóa này đƣợc sử dụng để mật mã hóa truyền thông và kiểm tra sự toàn vẹn của bản tin.
Tƣơng tự nhƣ thế, USIM cũng đồng thời tạo ra các khóa này.