Pool de MME

I) Principe et rappels

Lorsque l’UE est à l’état EMM-Registered et ECM-Idle, il est localisé sur une zone nommée Tracking Area. Une seule zone de localisation suffit pour le LTE puisque l’UE n’est enregistré que sur le domaine en commutation de paquets.

A ce titre, on peut rappeler que sur le réseau 2G/3G, le mobile est localisé :

  • LA : Location Area pour la localisation dans le domaine CS
  • RA : Routing Area pour la localisation dans le domaine PS

Pour le LTE, la localisation de l’UE est initialisée par la requête d’attachement au réseau. Ensuite, la requête de Update de TA (TAU) est déclenchée soit périodiquement à la fin d’un Timer soit sur détection de changement de TA par l’UE.

Des mécanismes particuliers ont été mis en oeuvre en 4G permettant à l’UE d’être enregistré sur plusieurs TA simultanément.

imgf0001

II) Enregistrement de l’UE sur Plusieurs TA

Dans des zones à forte mobilité (Voie ferroviaire ou autoroutière), l’UE passe rapidement d’une zone de TA à une autre, déclenchant ainsi de la sig pour la mise à jour de la localisation. Pour alléger le nombre de requêtes TAU, le MME peut indiquer une liste de TA à l’UE et tant que l’UE est sur un eNb ayant un TAI appartenant à cette liste, l’UE ne procède par à une demande de mise à jour.

III) Pool de MME : Mécanisme S1-flex

A l’inverse, une zone de TA peut aussi être gérée par plusieurs MME. On parle de pool MME (ensemble). L’avantage est de pouvoir faire basculer le contexte d’un UE (contexte crée lors de l’attachement par exemple) vers un autre MME appartenant au même pool afin de faire du partage de charge ou un partage de réseau (network sharing). Dans le cas du partage de réseau, un pool de MME peut appartenir à plusieurs opérateurs. Lorsque le réseau veut réaliser un partage de charge, il doit donc transférer le contexte de l’UE d’un MME à un autre MME du même pool, ce qui nécessite de la part du mobile de lancer une procédure de TAU. Or comme cette demande est à l’initiative du réseau, l’UE est notifié de cette demande par l’eNB qui relâche la connexion RRC avec la cause loadbalancing (même si le MME est mis en maintenance).

Un eNb, comme par exemple l’eNB 2 est connecté à différents MME, cela est nécessaire dans le cas de RAN Sharing ou plusieurs opérateurs ne souhaitent partager que les antennes.

On appelle le mécanisme S1-flex la possibilité pour un eNb d’être connecté à plusieurs MME, mais attention il n’existe qu’une seule interface S1-MME par couple MME – eNb. L’eNb est à l’initiative de cette association et les fonctions du S1-MME sont gérées par le protocole S1-AP

IV) Mécanisme ISR

ISR Idle mode Signaling Reduction est un mécanisme qui permet de réduire la signalisation lorsque l’UE fait une procédure de re-sélection inter-RAT.

Nous avons vu dans le premier paragraphe que l’UE est localisé en fonction du réseau 2G/3G ou 4G selon le LA, RA ou TA. Dans le cas du passage du réseau LTE au réseau UMTS, l’UE sera localisé en TA puis en RA. Lors de la re-sélection de cellule, l’UE doit faire une mise à jour de sa localisation, même s’il passe régulièrement de la 3G au LTE en restant toujours dans les mêmes cellules.

Le mécanisme ISR consiste à conserver au niveau de l’UE les identifiants de cellules ( RA et TA seulement car le LTE ne fonctionne que dans le domaine Paquet) et en cas de re-sélection d’un système à un autre, l’UE compare l’information de la cellule et n’alerte le MME ou le SGSN qu’en cas de modification de cellule. Par contre, en cas de paging, les notifications d’appels seront envoyées sur les deux cellules des zones TA et RA

Lorsque l’UE fait une demande de localisation LA pour le domaine CS, et si l’UE est attaché au domaine CS du LTE (cas pour le mécanisme de CSFB) alors l’ISR est désactivé.

ESM – EPS Session Manager

Continuons notre étude sur les protocoles établies entre l’UE et le MME, et intéressons maintenant au protocole ESM : EPS Session Manager.

I) Principe Général

Lorsqu’un utilisateur souhaite accéder à un service sur Internet (Internet, Streaming, …), l’UE doit mettre en place une session .

Une session EPS (aussi nommée PDN Connection) est en charge de coordonner une connexion IP entre l’UE et le PDN. Le session est caractérisée par l’adresse IP de l’UE et l’APN caractérisant le PGW d’accès au PDN. Lorsqu’une session EPS est établie alors, la QoS et les règles de taxation sont définies (PCC avec le PCRF) et un Default EPS bearer ou un Dedicaded EPS bearer est mis en place pour délivrer les paquets IP. Le Default EPS bearer ou Dedicated EPS bearer correspond à un support (tuyau) sur lequel sont transmis les flux IP jusqu’à la passerelle du réseau (PGW)

Le rôle de la session EPS est donc de gérer les flux de paquets IP de l’UE vers le SGW jusqu’au PGW en s’assurant que les règles PCC soient correctement appliquées.

Etablir une session EPS signifie :

  1. Sélectionner le PDN approprié pour apporter le service demandé par l’utilisateur. (APN sur la carte USIM ou délivré par le HSS)
  2. Attribuer une adresse IP joignable et connue par le PDN
  3. Appliquer les règles de politique sur la QoS et la taxation par rapport à l’abonnement de l’utilisateur
  4. Créer un Default EPS bearer pour délivrer les paquets IP 

Toute session est controlée par le MME, l’UE doit en conséquence informer le MME même si la DATA ne passe pas par le MME. Le MME prend connaissance de la demande (caractérisé par un contexte de bearer), afin de créer un support (bearer) pour la DATA entre l’UE et le SGW et entre le SGW et le PGW concerné (c’est à dire le PGW correspondant à l’application et fourni soit par le téléphone soit par le HSS via l’APN). Ceci permet de créer une connectivité de bout en bout jusqu’au réseau de donné PDN.

Le protocole ESM a donc pour rôle de :

  • Activer et désactiver des contextes de bearer EPS
  • Modifiier des contextes de bearer

Dans le cadre du GPRS et de la 3G, nous parlions de PDP context. L’équivalent en 4G est l’EPS bearer.

II) ESM 

Lors de la création d’une connexion IP entre l’UE et le PDN (à la demande de l’UE) un contexte de bearer EPS par défaut (à ne pas confondre avec un Default EPS bearer) est créé au niveau du MME. Le contexte définit les paramètres du bearer (QoS, le SGW associé, …) et la connectivité IP (APN, @IP UE). Il s’agit de l’équivalent du PDP Context établi pour la 3G.

Le MME peut aussi lancer une procédure ESM pour activer, modifier ou désactiver un context de Bearer EPS (à la demande de l’UE ou de l’EPC).

EMM Procédure – Initial Attach

Au cours de l’article précédent, nous nous étions intéressés aux états EMM de l’UE et du MME. Nous avons notamment vu que le protocole EMM réalise les fonctions suivantes : L’attachement et le détachement, l’authentification, la mise à jour de la localisation de l’UE et la mise en place d’une connexion sécurisée entre l’UE et le MME pour échanger de la signalisation NAS.

La procédure d’attachement (enregistrement) est initiée par le téléphone afin que ce dernier puisse accéder au réseau 4G, mais de surcroît la procédure d’attachement est couplé avec la création de contexte pour établir un support (bearer) par défaut . En effet, contrairement à l’UMTS, la procédure d’enregistrement permet d’établir un bearer DATA (sur le plan usager), nommé default bearer.

Cette procédure est donc la première procédure établie par l’UE (ayant un abonnement 4G) lorsque l’utilisateur allume son téléphone. Cependant, sur cette première phase, plusieurs scénarios peuvent se produire :

  • L’UE était déjà attaché sur le réseau et sur la même TA
  • L’UE était déjà attaché sur le réseau mais sur une autre TA
  • L’UE s’attache pour la première fois au réseau

Comment un téléphone s’identifie t’il auprès du réseau cellulaire? La réponse est assez simple, l’UE doit envoyer son identifiant IMSI ou GUTI, tout dépend du scénario ci-dessus. Nous allons illustrer ces scénarios sur une première présentation simplifiée de l’attachement initiale.

Nous verrons prochainement le call flow détaillé sur la procédure d’enregistrement après avoir étudié le protocole RRC. Cela sera donc étudié dans un autre article. Dans cet article nous nous concentrons sur les procédures EMM.

I) Initial Attach – Attachement Initale

L’enregistrement initial est déclenché  à l’allumage de l’UE. Suite à cette procédure, l’UE est enregistré sur un ensemble de zones de TA, zones indiquées par le MME dans le message EMM Attach Accept.

Comme la procédure d’enregistrement initie également une connexion sur le plan usager, l’UE peut recevoir et transmettre des sessions. C’est au cours de cette phase que l’UE obtient une adresse IP (soit IPv4 avec un NAT au niveau du PGW, soit IPv6). Le context bearer est sauvegardé au niveau du PGW. Cela signifie qu’il n’y a plus de bearer entre le SGW et le PGW (ni sur le plan usager, ni sur le plan contrôle), seul le contexte est sauvegardé au niveau du PGW. Si un appel arrive pour l’UE, le PGW contacte le MME pour positionner l’UE et construit le bearer sans avoir besoin d’authentifier à nouveau l’UE. Le réseau réduit ainsi la latence pour l’utilisateur.

Au cours de la procédure d’enregistrement, l’UE indique dans le message NAS Attach Request (transmis à l’eNb) les informations suivantes :

  • Identifiant temporaire GUTI s’il existe ou l’IMSI sinon
  • Le dernier TA visité s’il existe

Ces informations permettent donc de définir quel scénario d’attachement va être réalisé.

Cas 1 : L’UE fait une demande d’attachement avec son IMSI.

Dans la suite, l’UE possède un GUTI (attribué par un MME lors de son dernier attachement). A partir du GUTI, on connait l’adresse du précédent MME (GUMMEI). La procédure est la suivante : Le MME sur lequel l’UE fait sa demande d’attachement (qui peut être le même que celui sur lequel il était attaché) va demander à l’ancien MME de lui transférer le contexte de l’UE via le message IDENTIFICATION REQUEST. L’ancien MME répond par IDENTIFICATION RESPONSE

Cas 2 : Le contexte de l’UE n’est plus sauvegardé dans le précédent MME

Le précédent MME n’ayant pas le contexte répond par un message d’erreur. Le nouveau MME va alors demander à l’UE de lui fournir l’IMSI comme identifiant (EMM Identity Request)

Cas 3 : Le contexte de l’UE est sauvegardé

Le précédent MME envoie le contexte au MME. Le contexte contient l’IMSI de l’UE et les clés K_asme, ainsi que les clés de chiffrement et d’intégrité NAS. Un message de vérification des clés (Clé d’intégrité NAS et de chiffrement) s’effectue entre le MME et l’UE par l’envoi du message EMM SECURITY MODE.

Ainsi, pour  le cas 1 et le cas 2, l’identification via l’IMSI permet de lancer une procédure d’authentification : le MME demande au HSS de fournir un numéro aléatoire RAND, le sceau d’identification du mobile et un sceau d’identification du réseau et une clé Kasme. Une fois authentifié, il est nécessaire d’activer la sécurité de la signalisation en dérivant de la clé Kasme trois clés, CK_nas, IK_nas et K_eNb.

Pour le cas 3, le MME récupère le contexte.

Une fois la mise en sécurité effectuée, le MME récupère le profil de l’utilisateur du HSS  (APN, QoS de l’utilisateur et AMBR) et le HSS sauvegarde l’adresse du MME qui gère l’UE

La création du bearer par défaut s’effectue ensuite.

EMM Initial Attach

Lorsque le MME a récolté ces dernières informations, il sélectionne le SGW et déclenche la création de contexte au niveau du SGW, lequel demande la création de contexte vers le PGW. Le PGW peut valider ou refuser la création du contexte en fonction de la réponse du PCRF.

II) Call Flow simplifié

Nous allons présenter un call flow simplifié permettant à un UE de s’enregistrer sur le réseau de son opérateur. Rappelons avant tout l’architecture du réseau afin de présenter les différentes interfaces existantes entre les équipements.

introduction-to-mobile-core-network

Le call Flow est extrait d’une formation EFORT, lequel détaille dans ce document le rôle du HSS. DIAMETER est un protocole sur lequel s’appuie le coeur de réseau pour permettre :

  • l’authentification des UE
  • l’autorisation de l’accès au réseau et aux  services
  • la taxation des services.

Lorsque l’UE s’allume, voici l’échange de trames entre l’UE et le réseau permettant l’enregistrement de l’UE au niveau du réseau.

L’ attachement au réseau EPS correspond à :

  • L’authentification de l’UE
  • Rappatriement du profil souscrit par le client au niveau du  MME qui gère l’UE
  • La création d’un default bearer permanent correspondant à une connectivité permanente IP.

EMM call flow

Lorsque l’UE s’allume, il procède dans un premier temps à la recherche d’information sur la cellule dans laquelle il est situé (synchronisation et récupération des informations de la cellule, le tout étant émis périodiquement par le eNb). Une fois cette étape passé :

1. L’UE fait la demande d’enregistrement en émettant  la requête Attach a destination du MME. Le protocole de signalisation d’accès appelé EMM (EPS Mobility Management Protocol est porté par DIAMETER (Signalisation réseau).

2. Le MME envoie un message DIAMETER AIR (Authentication Information Request) au HSS  sur l’interface S6a. C’est par ce message que le MME demande au HSS de fournir un vecteur d’authentification de l’UE. L’UE étant défini par son identifiant IMSI, cet identifiant est transmis dans la requête DIAMETER. Le HSS fait une requête dans sa base de données afin de trouver la clé K correspondant à l’IMSI. Il tire ensuite un numéro aléatoire RAND et calcule le sceau du mobile RES, le sceau du réseau AUTN et la clé Kasme à partir de laquelle le MME va construire une clé de chiffrement NAS (CKnas), une clé d’intégrité NAS (IKnas) et une clé de chiffrement pour l’eNb (KeNb). Par conséquent, le HSS renvoie au MME par le message AIA (Authentication Information Answer) les paramètres suivants : RAND, RES, AUTN et Kasme (3GPP TS 35.206).

3. Le MME envoie à l’UE un requete d’authentification. Cette requête est émise par le protocole EMM. Via le message EMM Authentification Request, le MME transmet le nombre aléatoire RAND et le sceau d’authentifcation du réseau AUTN à l’UE. Ces deux paramètres sont transférées vers la carte USIM, laquelle calcule le résultat XRES (obtenu à partir du rand et de sa clé privé), vérifie le sceau d’authentification du réseau, et calcule la clé Kasme.

Si la valeur calculée par l’UE est identique au sceau AUTN, alors l’UE considère le réseau comme le réseau de confiance.

L’UE retourne sa réponse XRES au MME afin que celui-ci vérifie le résultat d’authentification RES obtenu par le HSS avec le résultat XRES calculé par l’UE. Si les résultats sont identiques, cela signifie que les clés privées sont les mêmes et par conséquent la double authentification est validée (AKA).

4. L’abonné (la carte USIM) est authentifiée, mais pas le terminal. Le MME demande à l’UE de lui fournir son IMEI.

5. A partir de la réponse obtenue, le MME interroge l’EIR pour savoir si le terminal fait ou ne fait pas partie de la liste des équipements interdits (black list). L’interface DIAMETER S13 est utilisée entre le MME et l’EIR.

 

 

6. Si l’UE et l’USIM sont authentifiés, le MME délivre une requête Update Location Request (adresse MME sous forme de hostname, IMSI) au HSS via l’inteface S6. Sur cette même interface, le HSS acquitte la mise à jour de localisation par une réponse Update Location Answer au MME qui contient les données de souscription EPS de l ’UE incluant la liste de tous les APNs que l’UE est en droit d’accéder, une indication sur l’APN par défaut, et les paramètres de QoS associés à chaque APN. Si le HSS rejette la procédure de mise à jour de localisation, alors le MME rejette la demande d’attachement de l’UE.

7. Le MME établit le premier default bearer pour l ’UE.

8. Le MME retourne à l’UE une réponse EMM Attach Accept informant l’UE qu’il est accepté par le réseau. Cette réponse permet à l’UE de connaître l’APN qui a été activé et l‘adresse IP du PGW assignée à l’UE pour cet APN

NB : Les étapes 2 et 3 correspondent à l’authentification EPS, nommée EPS AKA. Cela consiste (en attente d’un article décrivant la procédure complète) :

  1. authentifier l’UE de la part du réseau
  2. authentifier le réseau de la part de l’UE (pour garantir que le réseau est bien celui de son opérateur et non un réseau tiers malveillant)
  3. créer un contexte de sécurité pour le calcul de clé de chiffrement.