YD/T 2911-2015
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 2911-2015.Mobility security framework in NGN.
1范围
YD/T 2911描述下一代网络(NGN)传输层移动性安全框架,内容包括认证和密钥管理,安全上下文建立,IP移动性安全,传输层中移动性管理、控制和传输的安全。本标准涉及的场景包括相同和不同接入技术间的移动性,域内和域间的移动性。
YD/T 2911适用于下一代网络(NGN)传输层的移动性安全。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本( 包括所有的修改单)适用于本文件。
ITU-T Y.2011 (2004) 下一代网络一般原理和通用参考模型
ITU-T Y.2012 (2010) 下一代网络的功能需求和架构
ITU-T Y.2014 (2010) 下一代网络中网络附着功能
ITU-T Y.2018 (2009) 下一代网络移动性管理和控制功能
ITU-T Q.1706 /Y.2801(2006) 下一代网络移动性管理需求
ITU-T Y.2701 (2007) 下一代网络版本1的安全需求
ITU-T Y.2704 (2010) 下一代网络的安全安全机制和过程
ITU-T Y.2000增补7(2008) 下一代网络版本2范围的补充
ITU-R M.1645 (2003) IMT-2000和超IMT2000系统未来发展的框架和总体目标。
ITU-T X.805 (2003) 提供端到端通信系统的安全架构
3术语和定义
下列术语和定义适用于本文件。
3.1
切换 Handover
给移动体移动期间和移动以后提供业务的能力,但对它们的业务级协议有某些影响。
1范围
YD/T 2911描述下一代网络(NGN)传输层移动性安全框架,内容包括认证和密钥管理,安全上下文建立,IP移动性安全,传输层中移动性管理、控制和传输的安全。本标准涉及的场景包括相同和不同接入技术间的移动性,域内和域间的移动性。
YD/T 2911适用于下一代网络(NGN)传输层的移动性安全。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本( 包括所有的修改单)适用于本文件。
ITU-T Y.2011 (2004) 下一代网络一般原理和通用参考模型
ITU-T Y.2012 (2010) 下一代网络的功能需求和架构
ITU-T Y.2014 (2010) 下一代网络中网络附着功能
ITU-T Y.2018 (2009) 下一代网络移动性管理和控制功能
ITU-T Q.1706 /Y.2801(2006) 下一代网络移动性管理需求
ITU-T Y.2701 (2007) 下一代网络版本1的安全需求
ITU-T Y.2704 (2010) 下一代网络的安全安全机制和过程
ITU-T Y.2000增补7(2008) 下一代网络版本2范围的补充
ITU-R M.1645 (2003) IMT-2000和超IMT2000系统未来发展的框架和总体目标。
ITU-T X.805 (2003) 提供端到端通信系统的安全架构
3术语和定义
下列术语和定义适用于本文件。
3.1
切换 Handover
给移动体移动期间和移动以后提供业务的能力,但对它们的业务级协议有某些影响。
标准图片预览
标准内容
ICS33.040.01
中华人民共和国通信行业标准
YD/T2911-2015
下一代网络移动性安全框架
MobilitysecurityframeworkinNGN(ITU-TY.2760Mobility SecurityFramework in NGN,MOD)2015-07-14发布
2015-10-01实施
中华人民共和国工业和信息化部发布前
范围-
规范性引用文件·
3术语和定义
缩略语·
网络架构-
5.1安全威胁
5.2安全需求
支持安全能力的相关功能实体
密钥管理与认证
7.1密钥管理框架
7.2认证
8安全上下文建立
8.1服务AM-FE与目标AM-FE间安全上下文传输·次
8.2服务AR-FE与目标AR-FE间安全上下文传输8.3UE和HDC-FE间安全上下文传输9IP移动性安全.
9.1主机移动性安全
9.2网络移动性安全·
10UE和HDC-FE间的安全
10.1主机发起的UE与HDC-FE间安全联盟的建立·10.2网络发起的UE与HDC-FE间的安全关联建立11传输功能层的安全*
11.1UE与接入节点功能模块的安全11.2UE与L3HEF(层3切换执行功能)附录A(资料性附录)若干实例-参考文献·
YD/T2911-2015
YD/T2911-2015
本标准修改采用ITU-TY.2760,与ITU-TY.2760相比主要差异如下:-ITU-TY.2760中第5章“下一代网络的安全要求”,在本标准中修改为第5章“网络架构”。-ITU-TY.2760中第11章“UE与NID-FE之间的安全”,在本标准中没有包括。本标准按照GB/T1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位:中兴通信股份有限公司、华为技术有限公司、中国移动通信集团公司。本标准主要起草人:韦银星、王鸿彦。1范围
下一代网络移动性安全框架
YD/T2911-2015
本标准描述下一代网络(NGN)传输层移动性安全框架,内容包括认证和密钥管理,安全上下文建立,IP移动性安全,传输层中移动性管理、控制和传输的安全。本标准涉及的场景包括相同和不同接入技术间的移动性,域内和域间的移动性。本标准适用于下一代网络(NGN传输层的移动性安全。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。ITU-TY.2011 (2004)
ITU-TY.2012(2010)
ITU-T Y.2014 (2010)
ITU-T Y.2018 (2009)
下一代网络一般原理和通用参考模型下一代网络的功能需求和架构
下一代网络中网络附着功能
下一代网络移动性管理和控制功能下一代网络移动性管理需求
ITU-TQ.1706/Y.2801(2006)
ITU-TY.2701(2007)
ITU-TY.2704 (2010)
ITU-TY.2000增补7(2008)
ITU-R M.1645 (2003)
ITU-T X.805 (2003)
3术语和定义
下一代网络版本1的安全需求
下一代网络的安全安全机制和过程下一代网络版本2范围的补充
IMT-2000和超IMT2000系统未来发展的框架和总体目标。提供端到端通信系统的安全架构下列术语和定义适用于本文件。3.1
切换Handover
给移动体移动期间和移动以后提供业务的能力,但对它们的业务级协议有某些影响。3.2
移动性Mobility
用户或其它移动实体不因其位置或技术环境的改变而进行传递和接入业务的能力。3.3
水平移动性HorizontalMobility相同层次上的移动性。一般它被称为在相同接入技术内的移动性。3.4
垂直移动性VerticalMobility
YD/T2911-2015
不同层次之间的移动性。一般它被称为不同接入技术之间的移动性。3.5
下一代网络传输层NGNTransportStratumNGN的一部分,为用户提供传输数据的功能,在终结实体之间控制和管理传输资源来传输这些数据。3.6
信任Trust
实体X信任实体Y是指当且仅当实体X信赖实体Y以某种特定的方式执行一组活动。3.7
安全上下文SecurityContext
-组安全参数,包括标识符、密钥材料、密码算法等。4缩略语
下列缩略语适用于本文件。
ABG-FE
HDC-FE
MLM-FE
MOBIKE
3rdGeneration
Access Border Gateway Functional EntityAuthentication Extension
Authentication and Key AgreementAccess Management Functional EntityAccess Node Functional EntityApplication to Network InterfaceAccess Relay Functional EntityDistributed Deny of Service
Extensible Authentication ProtocolEdge Node Functional Entity
Foreign Agent
HomeAgent
HandoverDecisionandControlFunctionalEntityInternet Protocol
Layer 3 Handover Execution FunctionMobileIP
Mobile IP for IP version 4.
Mobile IP for IP version 6.
Mobile Location Management FunctionMobility Management Control FunctionsMobile Node
IKEv2 Mobility and Multihoming ProtocolNetwork Attachment Control FunctionsNext Generation Network
第三代
接入边界网关功能实体
认证扩展
认证和密钥协商
接入管理功能实体
接入节点功能实体
应用到网络接口
接入中继功能实体
分布式拒绝服务
扩展认证协议
边界节点功能实体
外部代理
家乡代理
切换决策与控制功能实体
互联网协议
层3切换执行功能
移动IP
移动IP第四版
移动IP第六版
移动位置管理功能
移动管理控制功能
移动节点
互联网密钥交换第二版移动和
多穴协议
网络附着控制功能
下一代网络
NID-FE
PMIPv6
TAA-FE
TLM-FE
TUP-FE
5网络架构
NetworkInformationDistributionFunctional EntityNetwork to Network InterfacePublic Key Infrastructure
Proxy Mobile IPv6
Radio Access Network
Registration Reply
Registration Request
Transport Authentication and AuthorizationFunctional Entity
Transport Location Management Functional EntityTransport Layer Security
TunneledTransportLayerSecurityTransportUserProfileFunctional EntityUserEquipment
User to Network Interface
Worldwide Interoperability for Microwave AccessWireless LAN
YD/T2911-2015
网络信息分发功能实体
网络到网络接口
公钥基础设施
代理移动IP第六版
无线接入网
注册响应
注册请求
传输认证和授权功能实体
传输位置管理功能实体
传输层安全
隧道传输层安全
传输用户属性功能实体
用户设备
用户到网络接口
全球互操作性微波接入
无线局域网
下一代网络(NGN)支持多种接入技术,如WLAN、WiMax和3GRAN等。支持移动性是NGN的一个特性,包括游牧和切换。在NGN版本2中,切换覆盖不同接入技术网络和相同接入技术的场景。NGN支持以下特性:
(1)信任模型:NGN安全信任模型定义了三个安全域:信任、信任但脆弱的、不信任的。接入网在接入核心网前要通过安全网关。(2)支持多种接入技术。
(3)支持多种移动性协议:MIPv4,MIPv6,DSMIPv6,PMIPv6,MOBIKE。(4)终端支持多模UE:如WLAN,WiMax,3GRAN等。(5)支持业务连续性:在异构接入系统间切换时保持业务连续性。根据NGN框架,定义五个安全特性组,如图1所示。(I):最终用户功能与传输层间的安全:保护最终用户功能和传输功能的接入网络实体之间的物理或逻辑安全:包括最终用户功能和传输功能间UNI接口的安全。(I):最终用户功能与传输控制功能间的安全:包括传输功能和传输控制功能接口间控制消息的安全:关注最终用户功能和传输控制功能间UNI接口的安全(II):最终用户功能与业务层间的安全:包括传输控制功能实体与业务层间控制消息接口的安全:关注最终用户功能与业务层间UNI接口的安全。(IV):业务层与应用实体间的安全:包括最终用户功能与业务功能间ANI接口的安全。(V):NGN与其他网络间的安全:包括NGN与其他网络间NNI接口的安全。X.805原理适用于本标准中提出的安全威胁和安全需求。3
YD/T2911-2015
最终用户
5.1安全威助
网络附着控制功能
移动性管理控制
传输控制功能
传输功能
资源接纳控制
图1下一代网络移动性安全框架
下列安全威胁在ITU-TY.2018中定义。威胁1:UE未经授权向MLM-FE发起移动性信令。威胁2:移动性信令可能被攻击者篡改。威胁3:MLM-FE可能被假冒,这样可能会提供假信息给UE。威胁4:UE的位置可能被攻击者窃听。威胁5:流量重定向攻击可能会发生。威胁6:攻击者通过中间人攻击在路径上插入信息威胁7:DDoS攻击可能消耗大量的网络资源威胁8:UE可能未经授权来获取来自HDC-FE或NID-FE的信息威胁9:HDC-FE或NID-FE可能被假冒,发送错误的信息给UE。威胁10:UE和HDC-FE或NID-FE间的信令可能被修改或窃听。威胁11:用户面数据可能被窃听或修改。5.2安全需求
下列安全需求在ITU-TY.2018中定义。需求1:UE和NID-FE需要相互认证。需求2:UE和MLM-FE间信令需要完整性和机密性保护。需求3:UE和MLM-FE间的信令需要防止重放攻击。需求4:网络需要提供对UE位置的隐私保护。需求5:UE和HDC-FE需要相互认证。需求6:UE和HDC-FE间的信令需要完整性和机密性保护。4
其他网络
需求7:UE和HDC-FE间的信令需要防正重放攻击。需求8:网络需要提供低延迟的认证和信令保护。需求9:安全上下文的传递需要被优化。需求10:支持介质无关的移动性安全。需求1I:在UE和EN-FE间需要保护用户面流量。需求12:支持多连接安全。
6支持安全能力的相关功能实体
NGN中下列功能实体与移动性安全相关。传输用户属性功能实体(TUP-FE)YD/T2911-2015
TUP-FE存储用户认证数据,如密钥材料、认证方法和用户签约信息等。TUP-FE的详细功能描述见ITU-TY.2014。bzxZ.net
传输认证授权功能实体(TAA-FE)TAA-FE从TUP-FE中提取认证数据和接入授权信息。TAA-FE也作为一个代理。详细的功能模式见ITU-TY.2014。
移动位置管理功能实体(MLM-FE)MLM-FE从NACF中获取认证、授权和记账信息,和UE进行双向认证,在UE与MLM-FE间创建安全关联。详细的功能描述见ITU-TY.2018。切换决策控制功能实体(HDC-FE)HDC-FE需要与UE建立安全关联,经过TLM-FE从TAA-FE中获取安全密钥。详细的功能描述见ITU-TY.2018。
网络信息分发功能实体(NID-FE)NID-FE需要和UE建立安全关联来保护网络选择之类的信息。NID-FE通过TLM-FE从TAA-FE中获取安全信息。详细的功能描述见ITU-TY.2018。接入管理功能实体(AM-FE)
AM-FE转发网络接入请求至TAA-FE来认证用户,授权或拒绝网络接入,提取用户特定接入配置参数。AM-FE可以重用网络注册/认证数据来快速恢复而不需要反复地执行完整的注册/认证/配置过程。详细的功能描述见ITU-TY.2014
层3切换执行功能(L3HEF)
L3HEF需要和UE建立安全关联来保护两者之间的流量。详细的功能描述见ITU-TY.2018。注:L3HEF的安全表达了UE和EN-FE之间用户面流量保护的安全需求。接入节点功能实体(AN-FE)
AN-FE需要和UE建立安全关联,通过AM-FE从TAA-FE获取密钥材料。详细的功能描述见ITU-TY.2018。
7密钥管理与认证
7.1密钥管理框架
NGN移动性安全使用分层密钥派生机制。NGN中有几类密钥材料,如根密钥、会话密钥等。根密5
YD/T2911-2015
钥是一种长期安全存储的凭据(例如,共享密钥或密码)。会话密钥是一种短期的由根密钥产生的密钥材料。在NGN中UE和认证实体(例如TAA-FE/TUP-FE)存储共享的根密钥。通常会话密钥材料是通过根密钥和其他密钥产生参数(如认证过程中协商信息)来产生的。会话密钥材料用于保护信令流量和用户流量。会话密钥可以进一步派生。密钥的推导机制依赖于特定的加密算法或协议。
最终用
户功能
TAA-FE
TLM-FE
TUP-FE
传轮控制功能
ABG-FE
传输功能
图2下一代网络中移动性安全通用密钥框架在图2中,下一代网络中移动性安全通用密钥框架描述如下。(I)UE与NGN中功能实体执行相互认证的过程。在认证过程中,TUP-FE基于根密钥材料产生认证矢量并发送这些认证矢量至TAA-FE。双向认证过程成功结束后,TAA-FE和UE生成会话密钥材料。会话密钥材料可用于生成子会话密钥材料。会话密钥材料传递到功能实体如AM-FE、MMCF。AM-FE和MMCF根据收到的会话密钥材料生成子会话密钥材料。(I)UE与MIMCF间的安全关联是基于通过TLM-FE从TAA-FE获得的密钥材料。该会话密钥根据TAA-FE中会话密钥产生或推导。(III)UE与NGN传输层的安全关联基于共享密钥。该共享密钥由TAA-FE、AM-FE或MMCF中的会话密钥材料产生。AN-FE通过AM-FE从TAA-FE中接收会话密钥。如果AM-FE有推导会话密钥材料的能力,AN-FE直接从AM-FE中获取会话密钥材料。EN-FE和ABG-FE通过TLM-FE和MMCF从TAA-FE中接收密钥材料。如果MMCF可以产生会话密钥,EN-FE和ABG-FE可以直接从MMCF中获取密钥材料。
认证过程是基于挑战一响应协议。7.2认证
7.2.1通用认证流程
在假设UE和TAA-FE均有快速再认证能力的前提下,执行下列步骤,如图3所示。6
认证网络
1.在UE和AN间建立控制通道
5.认证请求
6.认证确应
2.认证数据请求
TAA-FE
4.认证数据响应
认证UE
图3通用认证流程
TUP-FEI
TLM-FE
3.获取用户属性
(1)UE与接入网功能间建立控制通道(该过程不在本标准的范围内)。(2)AM-FE向TAA-FE发送UE的信息来请求认证数据。YD/T2911-2015
(3)TAA-FE从认证请求中获取认证信息,与TUP-FE/TLM-FE交互获取用户属性和包括认证令牌和会话密钥材料的认证矢量,其中认证信息包括用户D和接入网信息。(4)TAA-FE发送包含认证令牌的认证数据响应到AM-FE。(5)AM-FE发送认证请求至UE。UE从认证请求中获取认证令牌,产生本地认证矢量,该认证失量包括基于认证令牌和根密钥的会话密钥材料。UE通过验证收到的认证令牌来认证网络。(6)UE发送认证响应至AM-FE,该响应包含UE产生的认证令牌。AM-FE转发该信息到TAA-FE。TAA-FE获取认证令牌,TAA-FE检查收到的认证令牌的有效性来认证UE。7.2.2快速重认证流程
快速重认证用来减少切换时延。TUP-FE/TLM-FE不参与快速重新认证过程,这使得认证过程速度更快,并减少TUP-FE/TLM-FE负载。推荐UE和NGN中的认证实体支持通用快速重认证。假设UE和TAA-FE具备快速重认证能力的情况下执行下述步骤,如图4所示。UE
认证网络
1.在UE和AN间建立控制通道
4.认证请求
5.认证响应
TAA-FE
2.认证数据请求
3.认证数据响应
认证UE
图4通用快速重认证流程
(1)UE与接入网功能间建立控制通道(该过程不在本标准的范围内)。TUP-FE
TLM-FE
YD/T2911-2015
(2)AM-FE向TAA-FE发送UE的信息来请求认证数据。(3)TAA-FE发送包含认证令牌的认证数据响应到AM-FE。(4)AM-FE发送认证请求至UE。UE从认证请求中获取认证令牌,产生本地认证矢量,该认证矢量包括基于认证令牌和根密钥的会话密钥材料。UE通过验证收到的认证令牌来认证网络。(5)UE发送认证响应至AM-FE,该响应包含UE产生的认证令牌。AM-FE转发该信息到TAA-FE。TAA-FE获取认证令牌,TAA-FE检查收到的认证令牌的有效性来认证UE。7.2.2.1优化的快速重认证
对于优化的快速重认证,UE产生认证信息并由NGN网络首先认证UE。该流程与通用重认证流程区别在于后者NGN网络产生认证令牌并首先由UE认证NGN网络。优化的快速重认证流程执行如下步骤,如图5所示。UE
认证网络
1.快速重认证标志
2.快速重认证请求
3.快速冲认证响应
图5优化的快速重认证流程
TAA-FE
认证UE
TUP-FE
(1)UE与接入网功能建立控制通道(该过程不在本标准的范围内)。AM-FE发送优化的重认证标志到UE,表示TAA-FE支持优化的快速重认证。(2)UE产生认证矢量并通过AM-FE发送优化的重认证请求至TAA-FE。优化的重认证请求包括认证令牌和重认证信息。TAA-FE基于重认证信息和会话密钥材料产生本地认证矢量和新的会话密钥材料。TAA-FE通过验证收到的认证令牌认证UE。(3)TAA-FE通过AM-FE发送包含认证令牌的重认证响应到UE。UE根据自已的认证矢量认证网络。当认证成功结束后,UE产生子会话密钥。7.2.3域内认证
7.2.3.1在单个网络连接中的认证单个网络连接是指UE能够检测不同的网络,但是一次只能接入一个网络。预认证指UE切换到目标网络前通过服务网络与目标网络相互认证。预认证过程与通用认证过程类似。服务AM-FE和目标AM-FE涉及到预认证过程。
基于单网络连接的预认证执行如下步骤,如图6所示。8
1.UE和AN间建立控制通道
5.认证请求
认证网络
6.认选响应
服务AM-FE
H标AM-FE
2.认证数据请求
4.认证数据响应
TAA-FE
YD/T2911-2015
TUP-FE
3.获取用户属性
认证UE
7.发送密钥材料
图6基于单网络连接的预认证流程(1)UE与接入网功能建立控制通道(该过程不在本标准的范围内)(2)AM-FE发送认证数据请求至TAA-FE,该请求中包含用户签约信息。认证数据请求通过服务AM-FE和目标AM-FE进行转发。
(3)TAA-FE与TUP-FE交互获取用户属性。(4)TAA-FE发送认证数据响应至目标AM-FE和服务AM-FE,该响应中包括认证令牌。(5)服务AM-FE发送认证请求至UE。UE获取认证令牌并根据认证信息认证网络。认证成功结束后,UE产生会话密钥材料。
(6)UE发送认证响应至服务AM-FE。服务AM-FE转发信息至目标AM-FE和TAA-FE,该信息包含认证令牌。TAA-FE提取认证令牌并认证UE。当认证成功结束后,TAA-FE产生会话密钥材料,在需要时可以导出子会话密钥。
(7)TAA-FE发送密钥材料至目标AM-FE,在UE切换到目标网络后用于保护UE和目标网络间的通信。
7.2.4域间认证
不同的管理域是指不同的NGN提供商。UE在不同管理域之间的切换描述如下。不同管理域间认证执行如下步骤,如图7所示。UE
1.UE和AN间建立控制通道
5.认证请求
认证阿络
6.认正响应
Serving
2.认证数据请求
4.认证数据响应
Target
TAA-FE
TAA-FE
3.获取用户属行
认证UE
7.发送密钊材料
图7不同管理域间认证流程
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T2911-2015
下一代网络移动性安全框架
MobilitysecurityframeworkinNGN(ITU-TY.2760Mobility SecurityFramework in NGN,MOD)2015-07-14发布
2015-10-01实施
中华人民共和国工业和信息化部发布前
范围-
规范性引用文件·
3术语和定义
缩略语·
网络架构-
5.1安全威胁
5.2安全需求
支持安全能力的相关功能实体
密钥管理与认证
7.1密钥管理框架
7.2认证
8安全上下文建立
8.1服务AM-FE与目标AM-FE间安全上下文传输·次
8.2服务AR-FE与目标AR-FE间安全上下文传输8.3UE和HDC-FE间安全上下文传输9IP移动性安全.
9.1主机移动性安全
9.2网络移动性安全·
10UE和HDC-FE间的安全
10.1主机发起的UE与HDC-FE间安全联盟的建立·10.2网络发起的UE与HDC-FE间的安全关联建立11传输功能层的安全*
11.1UE与接入节点功能模块的安全11.2UE与L3HEF(层3切换执行功能)附录A(资料性附录)若干实例-参考文献·
YD/T2911-2015
YD/T2911-2015
本标准修改采用ITU-TY.2760,与ITU-TY.2760相比主要差异如下:-ITU-TY.2760中第5章“下一代网络的安全要求”,在本标准中修改为第5章“网络架构”。-ITU-TY.2760中第11章“UE与NID-FE之间的安全”,在本标准中没有包括。本标准按照GB/T1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位:中兴通信股份有限公司、华为技术有限公司、中国移动通信集团公司。本标准主要起草人:韦银星、王鸿彦。1范围
下一代网络移动性安全框架
YD/T2911-2015
本标准描述下一代网络(NGN)传输层移动性安全框架,内容包括认证和密钥管理,安全上下文建立,IP移动性安全,传输层中移动性管理、控制和传输的安全。本标准涉及的场景包括相同和不同接入技术间的移动性,域内和域间的移动性。本标准适用于下一代网络(NGN传输层的移动性安全。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。ITU-TY.2011 (2004)
ITU-TY.2012(2010)
ITU-T Y.2014 (2010)
ITU-T Y.2018 (2009)
下一代网络一般原理和通用参考模型下一代网络的功能需求和架构
下一代网络中网络附着功能
下一代网络移动性管理和控制功能下一代网络移动性管理需求
ITU-TQ.1706/Y.2801(2006)
ITU-TY.2701(2007)
ITU-TY.2704 (2010)
ITU-TY.2000增补7(2008)
ITU-R M.1645 (2003)
ITU-T X.805 (2003)
3术语和定义
下一代网络版本1的安全需求
下一代网络的安全安全机制和过程下一代网络版本2范围的补充
IMT-2000和超IMT2000系统未来发展的框架和总体目标。提供端到端通信系统的安全架构下列术语和定义适用于本文件。3.1
切换Handover
给移动体移动期间和移动以后提供业务的能力,但对它们的业务级协议有某些影响。3.2
移动性Mobility
用户或其它移动实体不因其位置或技术环境的改变而进行传递和接入业务的能力。3.3
水平移动性HorizontalMobility相同层次上的移动性。一般它被称为在相同接入技术内的移动性。3.4
垂直移动性VerticalMobility
YD/T2911-2015
不同层次之间的移动性。一般它被称为不同接入技术之间的移动性。3.5
下一代网络传输层NGNTransportStratumNGN的一部分,为用户提供传输数据的功能,在终结实体之间控制和管理传输资源来传输这些数据。3.6
信任Trust
实体X信任实体Y是指当且仅当实体X信赖实体Y以某种特定的方式执行一组活动。3.7
安全上下文SecurityContext
-组安全参数,包括标识符、密钥材料、密码算法等。4缩略语
下列缩略语适用于本文件。
ABG-FE
HDC-FE
MLM-FE
MOBIKE
3rdGeneration
Access Border Gateway Functional EntityAuthentication Extension
Authentication and Key AgreementAccess Management Functional EntityAccess Node Functional EntityApplication to Network InterfaceAccess Relay Functional EntityDistributed Deny of Service
Extensible Authentication ProtocolEdge Node Functional Entity
Foreign Agent
HomeAgent
HandoverDecisionandControlFunctionalEntityInternet Protocol
Layer 3 Handover Execution FunctionMobileIP
Mobile IP for IP version 4.
Mobile IP for IP version 6.
Mobile Location Management FunctionMobility Management Control FunctionsMobile Node
IKEv2 Mobility and Multihoming ProtocolNetwork Attachment Control FunctionsNext Generation Network
第三代
接入边界网关功能实体
认证扩展
认证和密钥协商
接入管理功能实体
接入节点功能实体
应用到网络接口
接入中继功能实体
分布式拒绝服务
扩展认证协议
边界节点功能实体
外部代理
家乡代理
切换决策与控制功能实体
互联网协议
层3切换执行功能
移动IP
移动IP第四版
移动IP第六版
移动位置管理功能
移动管理控制功能
移动节点
互联网密钥交换第二版移动和
多穴协议
网络附着控制功能
下一代网络
NID-FE
PMIPv6
TAA-FE
TLM-FE
TUP-FE
5网络架构
NetworkInformationDistributionFunctional EntityNetwork to Network InterfacePublic Key Infrastructure
Proxy Mobile IPv6
Radio Access Network
Registration Reply
Registration Request
Transport Authentication and AuthorizationFunctional Entity
Transport Location Management Functional EntityTransport Layer Security
TunneledTransportLayerSecurityTransportUserProfileFunctional EntityUserEquipment
User to Network Interface
Worldwide Interoperability for Microwave AccessWireless LAN
YD/T2911-2015
网络信息分发功能实体
网络到网络接口
公钥基础设施
代理移动IP第六版
无线接入网
注册响应
注册请求
传输认证和授权功能实体
传输位置管理功能实体
传输层安全
隧道传输层安全
传输用户属性功能实体
用户设备
用户到网络接口
全球互操作性微波接入
无线局域网
下一代网络(NGN)支持多种接入技术,如WLAN、WiMax和3GRAN等。支持移动性是NGN的一个特性,包括游牧和切换。在NGN版本2中,切换覆盖不同接入技术网络和相同接入技术的场景。NGN支持以下特性:
(1)信任模型:NGN安全信任模型定义了三个安全域:信任、信任但脆弱的、不信任的。接入网在接入核心网前要通过安全网关。(2)支持多种接入技术。
(3)支持多种移动性协议:MIPv4,MIPv6,DSMIPv6,PMIPv6,MOBIKE。(4)终端支持多模UE:如WLAN,WiMax,3GRAN等。(5)支持业务连续性:在异构接入系统间切换时保持业务连续性。根据NGN框架,定义五个安全特性组,如图1所示。(I):最终用户功能与传输层间的安全:保护最终用户功能和传输功能的接入网络实体之间的物理或逻辑安全:包括最终用户功能和传输功能间UNI接口的安全。(I):最终用户功能与传输控制功能间的安全:包括传输功能和传输控制功能接口间控制消息的安全:关注最终用户功能和传输控制功能间UNI接口的安全(II):最终用户功能与业务层间的安全:包括传输控制功能实体与业务层间控制消息接口的安全:关注最终用户功能与业务层间UNI接口的安全。(IV):业务层与应用实体间的安全:包括最终用户功能与业务功能间ANI接口的安全。(V):NGN与其他网络间的安全:包括NGN与其他网络间NNI接口的安全。X.805原理适用于本标准中提出的安全威胁和安全需求。3
YD/T2911-2015
最终用户
5.1安全威助
网络附着控制功能
移动性管理控制
传输控制功能
传输功能
资源接纳控制
图1下一代网络移动性安全框架
下列安全威胁在ITU-TY.2018中定义。威胁1:UE未经授权向MLM-FE发起移动性信令。威胁2:移动性信令可能被攻击者篡改。威胁3:MLM-FE可能被假冒,这样可能会提供假信息给UE。威胁4:UE的位置可能被攻击者窃听。威胁5:流量重定向攻击可能会发生。威胁6:攻击者通过中间人攻击在路径上插入信息威胁7:DDoS攻击可能消耗大量的网络资源威胁8:UE可能未经授权来获取来自HDC-FE或NID-FE的信息威胁9:HDC-FE或NID-FE可能被假冒,发送错误的信息给UE。威胁10:UE和HDC-FE或NID-FE间的信令可能被修改或窃听。威胁11:用户面数据可能被窃听或修改。5.2安全需求
下列安全需求在ITU-TY.2018中定义。需求1:UE和NID-FE需要相互认证。需求2:UE和MLM-FE间信令需要完整性和机密性保护。需求3:UE和MLM-FE间的信令需要防止重放攻击。需求4:网络需要提供对UE位置的隐私保护。需求5:UE和HDC-FE需要相互认证。需求6:UE和HDC-FE间的信令需要完整性和机密性保护。4
其他网络
需求7:UE和HDC-FE间的信令需要防正重放攻击。需求8:网络需要提供低延迟的认证和信令保护。需求9:安全上下文的传递需要被优化。需求10:支持介质无关的移动性安全。需求1I:在UE和EN-FE间需要保护用户面流量。需求12:支持多连接安全。
6支持安全能力的相关功能实体
NGN中下列功能实体与移动性安全相关。传输用户属性功能实体(TUP-FE)YD/T2911-2015
TUP-FE存储用户认证数据,如密钥材料、认证方法和用户签约信息等。TUP-FE的详细功能描述见ITU-TY.2014。bzxZ.net
传输认证授权功能实体(TAA-FE)TAA-FE从TUP-FE中提取认证数据和接入授权信息。TAA-FE也作为一个代理。详细的功能模式见ITU-TY.2014。
移动位置管理功能实体(MLM-FE)MLM-FE从NACF中获取认证、授权和记账信息,和UE进行双向认证,在UE与MLM-FE间创建安全关联。详细的功能描述见ITU-TY.2018。切换决策控制功能实体(HDC-FE)HDC-FE需要与UE建立安全关联,经过TLM-FE从TAA-FE中获取安全密钥。详细的功能描述见ITU-TY.2018。
网络信息分发功能实体(NID-FE)NID-FE需要和UE建立安全关联来保护网络选择之类的信息。NID-FE通过TLM-FE从TAA-FE中获取安全信息。详细的功能描述见ITU-TY.2018。接入管理功能实体(AM-FE)
AM-FE转发网络接入请求至TAA-FE来认证用户,授权或拒绝网络接入,提取用户特定接入配置参数。AM-FE可以重用网络注册/认证数据来快速恢复而不需要反复地执行完整的注册/认证/配置过程。详细的功能描述见ITU-TY.2014
层3切换执行功能(L3HEF)
L3HEF需要和UE建立安全关联来保护两者之间的流量。详细的功能描述见ITU-TY.2018。注:L3HEF的安全表达了UE和EN-FE之间用户面流量保护的安全需求。接入节点功能实体(AN-FE)
AN-FE需要和UE建立安全关联,通过AM-FE从TAA-FE获取密钥材料。详细的功能描述见ITU-TY.2018。
7密钥管理与认证
7.1密钥管理框架
NGN移动性安全使用分层密钥派生机制。NGN中有几类密钥材料,如根密钥、会话密钥等。根密5
YD/T2911-2015
钥是一种长期安全存储的凭据(例如,共享密钥或密码)。会话密钥是一种短期的由根密钥产生的密钥材料。在NGN中UE和认证实体(例如TAA-FE/TUP-FE)存储共享的根密钥。通常会话密钥材料是通过根密钥和其他密钥产生参数(如认证过程中协商信息)来产生的。会话密钥材料用于保护信令流量和用户流量。会话密钥可以进一步派生。密钥的推导机制依赖于特定的加密算法或协议。
最终用
户功能
TAA-FE
TLM-FE
TUP-FE
传轮控制功能
ABG-FE
传输功能
图2下一代网络中移动性安全通用密钥框架在图2中,下一代网络中移动性安全通用密钥框架描述如下。(I)UE与NGN中功能实体执行相互认证的过程。在认证过程中,TUP-FE基于根密钥材料产生认证矢量并发送这些认证矢量至TAA-FE。双向认证过程成功结束后,TAA-FE和UE生成会话密钥材料。会话密钥材料可用于生成子会话密钥材料。会话密钥材料传递到功能实体如AM-FE、MMCF。AM-FE和MMCF根据收到的会话密钥材料生成子会话密钥材料。(I)UE与MIMCF间的安全关联是基于通过TLM-FE从TAA-FE获得的密钥材料。该会话密钥根据TAA-FE中会话密钥产生或推导。(III)UE与NGN传输层的安全关联基于共享密钥。该共享密钥由TAA-FE、AM-FE或MMCF中的会话密钥材料产生。AN-FE通过AM-FE从TAA-FE中接收会话密钥。如果AM-FE有推导会话密钥材料的能力,AN-FE直接从AM-FE中获取会话密钥材料。EN-FE和ABG-FE通过TLM-FE和MMCF从TAA-FE中接收密钥材料。如果MMCF可以产生会话密钥,EN-FE和ABG-FE可以直接从MMCF中获取密钥材料。
认证过程是基于挑战一响应协议。7.2认证
7.2.1通用认证流程
在假设UE和TAA-FE均有快速再认证能力的前提下,执行下列步骤,如图3所示。6
认证网络
1.在UE和AN间建立控制通道
5.认证请求
6.认证确应
2.认证数据请求
TAA-FE
4.认证数据响应
认证UE
图3通用认证流程
TUP-FEI
TLM-FE
3.获取用户属性
(1)UE与接入网功能间建立控制通道(该过程不在本标准的范围内)。(2)AM-FE向TAA-FE发送UE的信息来请求认证数据。YD/T2911-2015
(3)TAA-FE从认证请求中获取认证信息,与TUP-FE/TLM-FE交互获取用户属性和包括认证令牌和会话密钥材料的认证矢量,其中认证信息包括用户D和接入网信息。(4)TAA-FE发送包含认证令牌的认证数据响应到AM-FE。(5)AM-FE发送认证请求至UE。UE从认证请求中获取认证令牌,产生本地认证矢量,该认证失量包括基于认证令牌和根密钥的会话密钥材料。UE通过验证收到的认证令牌来认证网络。(6)UE发送认证响应至AM-FE,该响应包含UE产生的认证令牌。AM-FE转发该信息到TAA-FE。TAA-FE获取认证令牌,TAA-FE检查收到的认证令牌的有效性来认证UE。7.2.2快速重认证流程
快速重认证用来减少切换时延。TUP-FE/TLM-FE不参与快速重新认证过程,这使得认证过程速度更快,并减少TUP-FE/TLM-FE负载。推荐UE和NGN中的认证实体支持通用快速重认证。假设UE和TAA-FE具备快速重认证能力的情况下执行下述步骤,如图4所示。UE
认证网络
1.在UE和AN间建立控制通道
4.认证请求
5.认证响应
TAA-FE
2.认证数据请求
3.认证数据响应
认证UE
图4通用快速重认证流程
(1)UE与接入网功能间建立控制通道(该过程不在本标准的范围内)。TUP-FE
TLM-FE
YD/T2911-2015
(2)AM-FE向TAA-FE发送UE的信息来请求认证数据。(3)TAA-FE发送包含认证令牌的认证数据响应到AM-FE。(4)AM-FE发送认证请求至UE。UE从认证请求中获取认证令牌,产生本地认证矢量,该认证矢量包括基于认证令牌和根密钥的会话密钥材料。UE通过验证收到的认证令牌来认证网络。(5)UE发送认证响应至AM-FE,该响应包含UE产生的认证令牌。AM-FE转发该信息到TAA-FE。TAA-FE获取认证令牌,TAA-FE检查收到的认证令牌的有效性来认证UE。7.2.2.1优化的快速重认证
对于优化的快速重认证,UE产生认证信息并由NGN网络首先认证UE。该流程与通用重认证流程区别在于后者NGN网络产生认证令牌并首先由UE认证NGN网络。优化的快速重认证流程执行如下步骤,如图5所示。UE
认证网络
1.快速重认证标志
2.快速重认证请求
3.快速冲认证响应
图5优化的快速重认证流程
TAA-FE
认证UE
TUP-FE
(1)UE与接入网功能建立控制通道(该过程不在本标准的范围内)。AM-FE发送优化的重认证标志到UE,表示TAA-FE支持优化的快速重认证。(2)UE产生认证矢量并通过AM-FE发送优化的重认证请求至TAA-FE。优化的重认证请求包括认证令牌和重认证信息。TAA-FE基于重认证信息和会话密钥材料产生本地认证矢量和新的会话密钥材料。TAA-FE通过验证收到的认证令牌认证UE。(3)TAA-FE通过AM-FE发送包含认证令牌的重认证响应到UE。UE根据自已的认证矢量认证网络。当认证成功结束后,UE产生子会话密钥。7.2.3域内认证
7.2.3.1在单个网络连接中的认证单个网络连接是指UE能够检测不同的网络,但是一次只能接入一个网络。预认证指UE切换到目标网络前通过服务网络与目标网络相互认证。预认证过程与通用认证过程类似。服务AM-FE和目标AM-FE涉及到预认证过程。
基于单网络连接的预认证执行如下步骤,如图6所示。8
1.UE和AN间建立控制通道
5.认证请求
认证网络
6.认选响应
服务AM-FE
H标AM-FE
2.认证数据请求
4.认证数据响应
TAA-FE
YD/T2911-2015
TUP-FE
3.获取用户属性
认证UE
7.发送密钥材料
图6基于单网络连接的预认证流程(1)UE与接入网功能建立控制通道(该过程不在本标准的范围内)(2)AM-FE发送认证数据请求至TAA-FE,该请求中包含用户签约信息。认证数据请求通过服务AM-FE和目标AM-FE进行转发。
(3)TAA-FE与TUP-FE交互获取用户属性。(4)TAA-FE发送认证数据响应至目标AM-FE和服务AM-FE,该响应中包括认证令牌。(5)服务AM-FE发送认证请求至UE。UE获取认证令牌并根据认证信息认证网络。认证成功结束后,UE产生会话密钥材料。
(6)UE发送认证响应至服务AM-FE。服务AM-FE转发信息至目标AM-FE和TAA-FE,该信息包含认证令牌。TAA-FE提取认证令牌并认证UE。当认证成功结束后,TAA-FE产生会话密钥材料,在需要时可以导出子会话密钥。
(7)TAA-FE发送密钥材料至目标AM-FE,在UE切换到目标网络后用于保护UE和目标网络间的通信。
7.2.4域间认证
不同的管理域是指不同的NGN提供商。UE在不同管理域之间的切换描述如下。不同管理域间认证执行如下步骤,如图7所示。UE
1.UE和AN间建立控制通道
5.认证请求
认证阿络
6.认正响应
Serving
2.认证数据请求
4.认证数据响应
Target
TAA-FE
TAA-FE
3.获取用户属行
认证UE
7.发送密钊材料
图7不同管理域间认证流程
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。