鑒權流程的目的是由HSS向MME提供EPS鑒權向量(RAND, AUTN, XRES, KASME)，并用來對用戶進行鑒權。1) MME發送Authentication Data Request消息給HSS，消息中需要包含IMSI，網絡ID，如MCC + MNC和網絡類型，如E-UTRAN2) HSS收到MME的請求后，使用authentication response消息將鑒權向量發送給MME3) MME向UE發送User Authentication Request消息，對用戶進行鑒權，消息中包含RAND和AUTN這兩個參數4) UE收到MME發來的請求后，先驗證AUTN是否可接受，UE首先通過對比自己計算出來的XMAC和來自網絡的MAC（包含在AUTN內）以對網絡進行認證，如果不一致，則UE認為這是一個非法的網絡。如果一致，然后計算RES值，并通過User Authentication Response消息發送給MME。MME檢查RES和XRES的是否一致，如果一致，則鑒權通過。EPS鑒權向量由RAND、AUTN、XRES和KASME四元組組成。EPS鑒權向量由MME向HSS請求獲取。EPS鑒權四元組：l RAND（Random Challenge）：RAND是網絡提供給UE的不可預知的隨機數，長度為16 octets。l AUTN（Authentication Token）：AUTN的作用是提供信息給UE，使UE可以用它來對網絡進行鑒權。AUTN的長度為17octetsl XRES（Expected Response）：XRES是期望的UE鑒權響應參數。用于和UE產生的RES(或RES+RES_EXT)進行比較，以決定鑒權是否成功。XRES的長度為4-16 octets。l KASME 是根據CK/IK以及ASME（MME）的PLMN ID推演得到的一個根密鑰。KASME 長度32octets。l ASME從HSS中接收頂層密鑰，在E-UTRAN接入模式下，MME扮演ASME的角色。l CK：為加密密鑰，CK長度為16 octets。l IK：完整性保護密鑰，長度為16 octets。在鑒權過程中，MME向USIM發送RAND和AUTN，USIM可以決定返回RES還是拒絕鑒權。1. MME發起AUTH REQ消息，攜帶鑒權相關信息RAND和AUTN；第一條 S1AP_DL_NAS_TRANS2. UE收到AUTH REQ消息后回復AUTH RES（攜帶RES參數）。第一條 S1AP_UL_NAS_TRANS3. MME收到AUTH RES后，觸發安全模式流程，否則返回AUTH REJ消息。EPS的安全架構如下：EPS安全架構中有相互獨立的分層安全：MME和UE執行NAS（ Non-access stratum，非接入層）信令加密和完整性保護。eNodeB和UE執行RRC信令加密和完整性保護，UP加密。E-UTRAN里的密鑰層次架構：密鑰的層次架構里包含以下密鑰: KeNodeB, KNASint, KNASenc, KUPenc, KRRCint 和KRRCenc- KeNodeB是由UE和MME各自根據KASME計算得到的，可用于派生KRRCint、KRRCenc和KUPenc，發生切換時也可用于派生KeNodeB*。在初始連接建立時，由UE和MME分別從E-UTRAN的頂層密鑰中派生出來的。KeNodeB*是由UE和源eNodeB根據目的物理小區號、下行頻率、KeNodeB（或新NH）派生出來，并在切換后被UE和目的eNodeB用作新的KeNodeB。NH（Next Hop）是用于在UE和eNodeB中派生KeNodeB*。當安全上下文建立時，NH由UE和MME從KeNodeB派生出來；當發生切換時，從上一個NH派生出來。- NAS信令的密鑰:- KNASint 是用于NAS信令完整性保護的密鑰,是由UE和MME各自根據雙方協商的完整性算保護算法計算得到的.- KNASenc 是用于NAS信令加密的密鑰,是由UE和MME各自根據雙方協商的加密算法計算得到的.- 用戶數據的密鑰:- KUP enc是專門用于加密用戶面數據的密鑰，由KeNodeB派生出來，存在于UE和eNodeB中。- RRC信令的密鑰:- KRRC int是用于保護RRC信令完整性的密鑰，由KeNodeB派生出來，存在于UE和eNodeB中。- KRRC enc是用于加密RRC信令的密鑰，由KeNodeB派生出來，存在于UE和eNodeB中。4 UE收到SMC消息后：- 根據SMC消息中的Selected NAS security algorithms信元計算出KnasEnc和KnasInt密鑰；- 校驗信元UE security capabilities和KSI是否合法，如果合法，則回復MME SECURITY MODE COMPLETE消息，否則返回SECURITY MODE REJECT消息。第二條 S1AP_DL_NAS_TRANS應用完整性保護和加密特性時，要求UE和MME滿足33.401的如下要求：- 對于NAS信令加密，UE和MME需支持128-EEA0（NULL），128-EEA1（Snow3G）和128-EEA2（AES）。- 對于NAS信令的完整性保護，UE和MME需支持128-EIA1（Snow3G）和128-EIA2（AES）。- （可選）UE和MME支持128-EIA0（NULL）。對于未經認證的緊急呼叫，未要求必須支持，即使MME和eNodeB部署了128-EIA0（NULL）的配置也將失效。無線側的完整性保護和加密保護功能在eNodeB配置，對eNodeB上所有小區有效。第二條 S1AP_UL_NAS_TRANSeNodeB通過Security Mode Command通知UE啟動完整性保護和加密過程，UE通過消息中的安全算法計算獲取密鑰。此時下行加密已開始。1) RRC連接建立完成后，MME生成KeNodeB和NH，并向eNodeB發送UE的安全能力和KeNodeB。安全能力包含UE支持的加密算法和完整性算法。2) eNodeB將完整性保護算法優先級列表和UE安全能力取交集，選取優先級最高的完整性算法。3) eNodeB將加密算法優先級列表和UE安全能力取交集，選取優先級最高的加密算法。4) eNodeB根據KeNodeB和選取的安全算法來計算出KUP enc，KRRC int和KRRC enc密鑰，并為