YD/T 2910-2015
基本信息
标准号:
YD/T 2910-2015
中文名称:LTE/SAE 安全技术要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:38460700
相关标签:
安全
技术
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 2910-2015.Technical requirements of LTE/SAE security.
1范围
YD/T 2910规定了LTE/SAE网络安全架构、接入网及核心网的安全技术要求,包括安全架构、安全功能、安全流程等。
YD/T 2910适用于LTE/SAE终端、基站设备、核心网设备。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD/T 1414-2007 2GHz TD-SCDMA/WCDMA数字蜂窝移动通信网安全技术要求(第二阶段)
YD/T 1762-2008 TD-SCDMA/WCDMA 数字蜂窝移动通信网通用用户识别模块(USIM)与终端(ME)间Cu接口技术要求
3GPP TR 21.9053GPP 规范的词汇表(Vocabulary for 3GPP Specifications)
3GPP TS 22.101 服务原则(Service aspects; Service principles)
3GPP TS 23.003编号、编址和标识(Numbering, addressing and identification)
3GPP TS 23.122与空闲模式 下的MS相关的NAS功能(Non-Access-Stratum (NAS) functions related to Mobile Station (MS) in idle mode)
标准内容
ICS33.060.01
中华人民共和国通信行业标准
YD/T2910-2015
LTE/SAE安全技术要求
TechnicalreguirementsofLTE/SAEsecurity(3GPPTS33.401v11.5.0,SystemArchitectureEvolution(SAE);SecurityArchitecture, NEQ)
2015-07-14发布
2015-10-01实施
中华人民共和国工业和信息化部发布前
1范围
2规范性引用文件
3术语、定义和缩略语
3.1术语和定义
3.2缩略语·
4安全架构概述
5安全功能
5.1概述
5.2用户到网络之间的安全
5.3安全的可视性和可配置性
5.4eNodeB安全要求·
6UE与核心网间的安全流程
认证和密钥协商协议
EPS密钥体系
EPS密钥标识符
EPS安全上下文的处理·
6.6NASCOUNT处理机制
7UE与EPS接入网间的安全流程
概述·
用户身份保密机制.
7.3在E-UTRAN中处理用户有关的密钥·7.4用户面数据安全机制.
7.5RRC安全机制…
7.6周期性本地认证的信令流程:8NAS层信令的安全机制
概述·
8.2NAS完整性保护机制
8.3NAS加密机制·
9E-UTRAN和UTRAN间的互操作性·9.1RAU和TAU过程
YD/T2910-2015
YD/T2910-2015
9.3到E-UTRAN的IRAT移动性时AKA相关推荐9.4附着步骤
10E-UTRAN和GERAN间的互操作性10.1概述
10.2RAU和TAU步骤
切换:
10.4对IRAT移动性到E-UTRAN时的AKA的建议10.5附着流程-
网络域控制面保护
Backhaul链路用户面保护。
S1接口的管理面保护
14E-UTRAN和电路交换的UTRAN/GERAN之间的SRVCC..14.1从E-UTRAN到UTRAN/GERAN的电路域14.2从E-UTRAN到UTRAN/GERAN电路域的SRVCC中的紧急呼叫-14.3从UTRAN/GERAN电路域到E-UTRAN的SRVCC..15IMS紧急会话处理的安全考虑
15.1概述
15.2安全过程及其适用性·
附录A(规范性附录)
附录B(规范性附录)
附录C(规范性附录)
密钥推导函数
加密及完整性保护算法
中继节点架构安全
本标准依据GB/T1.1-2009给出的规则进行起草。YD/T2910-2015
本标准对应于3GPPTS33.401v11.5.0“SAE安全架构”(SystemArchitectureEvolution(SAE);Securityarchitecture),一致性程度为非等效。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位:中国信息通信研究院、中国联合网络通信集团有限公司、华为技术有限公司、中兴通讯股份有限公司、诺基亚通信有限公司、上海贝尔股份有限公司、诺基亚西门子通信(上海)有限公司、大唐电信科技产业集团。本标准主要起草人:崔媛媛、袁、琦、张尼、崔洋、许怡娴、李阳、张大江、胡志远、陆
徐晖。
1范围
LTE/SAE安全技术要求
YD/T2910-2015
本标准规定了LTE/SAE网络安全架构、接入网及核心网的安全技术要求,包括安全架构、安全功能、安全流程等。
本标准适用于LTE/SAE终端、基站设备、核心网设备。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T1414-20072GHzTD-SCDMA/WCDMA数字蜂窝移动通信网安全技术要求(第二阶段)YD/T1762-2008TD-SCDMA/WCDMA数字峰窝移动通信网通用用户识别模块(USIM)与终端(ME)间Cu接口技术要求
3GPPTR21.9053GPP规范的词汇表(Vocabularyfor3GPPSpecifications)3GPPTS22.101服务原则(ServiceaspectsServiceprinciples)3GPPTS23.003编号、编址和标识(Numbering,addressingandidentification)3GPPTS23.122与空闲模式下的MS相关的NAS功能(Non-Access-Stratum(NAS)functionsrelatedto Mobile Station (MS) in idle mode)3GPPTS23.216SRVCC之第二阶段(SingleRadioVoiceCallContinuity(SRVCC);Stage2)3GPPTS23.401E-UTRAN接入的通用分组无线业务(GPRS)增强(GeneralPacketRadioService(GPRS) enhancements forEvolved Universal Terrestrial RadioAccess Network (E-UTRAN) access)3GPPTS24.301EPS的NAS协议之第三阶段(Non-Access-Stratum(NAS)protocolforEvolvedPacketSystem (EPS);Stage3)
3GPPTS25.331RRC协议规范(RadioResourceControl(RRC);Protocolspecification)3GPPTS31.116USIM应用工具箱APDU结构(RemoteAPDUStructurefor(U)SIMToolkitapplications)
3GPPTS33.2103G安全之网络域安全(NDS)之IP网络层安全(3Gsecurity:NetworkDomainSecurity (NDS); IP network layer security)3GPPTS33.220通用认证架构(GAA)之通用自举架构(GenericAuthenticationArchitecture(GAA))GenericBootstrappingArchitecture(GBA))3GPPTS33.310网络域安全(NDS)之认证框架(AF)(NetworkDomainSecurity(NDS);AuthenticationFramework (AF))
3GPPTS33.320家庭NodeB和演进家庭NodeB的安全机制(SecurityofHomeNodeB(HNB)/HomeevolvedNodeB(HeNB))
3GPPTS35.215保密性和完整性算法UEA2和ULA2,文档1:UEA2和ULA2规范(SpecificationofYD/T2910-2015
the 3GPP Confidentiality and Integrity Algorithms UEA2 & UIA2;Document 1:UEA2 and UIA2specifications
3GPPTS35.221加密和完整性保护算法EEA3&EIA3,文档1:EEA3和EIA3规范(Specificationofthe 3GPP Confidentiality and Integrity Algorithms EEA3 & EIA3Document 1:EEA3 and EIA3specifications)
3GPPTS35.222加密和完整性保护算法EEA3&EIA3,文档2:ZUC规范(Specificationofthe3GPFConfidentiality and IntegrityAlgorithms EEA3&EIA3;Document2:ZUC specification)3GPPTS36.300E-UTRA和E-UTRAN,总体描述,第二阶段(EvolvedUniversalTerrestrialRadioAccess (E-UTRA) and Evolved Universal Terrestrial Radio Access Network (E-UTRAN); Overall description;Stage2)
3GPPTS36.323演进的通用陆地无线接入(E-UTRA),PDCP规范(EvolvedUniversalTerrestrialRadioAccess (E-UTRA); PacketData Convergence Protocol (PDCP) specification)3GPPTS36.331演进的通用陆地无线接入(E-UTRA)的RRC协议规范(EvolvedUniversalTerrestrialRadio Access (E-UTRA); Radio Resource Control (RRC); Protocol specification)3GPPTS44.060GPRS移动台(MS)和基站系统(BSS)间的接口:无线链路控制/介质访问(RLC/MAC)协议 (Technical Specification Group GSM/EDGE Radio Access Network, General Packet Radio Service(GPRS);Mobile Station (MS)-Base Station System (BSS)interface; Radio Link Control/Medium AccessControl(RLC/MAC)protocol)
ETSITS102221V9.2.0智能卡;UICC和终端接口;物理和逻辑特性(SmartCards;UICC-Terminalinterface;Physicaland logical characteristics)ETSITS102484智能卡:UICC和终端间的安全信道(SmartCards;SecurechannelbetweenaUICCand an end-point terminal)
IETFRFC4301IP安全架构(SecurityArchitecturefortheInternetProtocol)IETFRFC4303IP封装安全协议(ESP)(IPEncapsulatingSecurityPayload(ESP))NISTAES(FIPSPUB197)(AdvancedEncryptionStandard (AES)(FIPSPUB197))NIST特别出版物800-38A(2001)对块加密模式操作的建议(RecommendationforBlockCipherModesof Operation)
NIST特别出版物800-38B(2001)对块加密模式操作的建议:用于认证的CMAC模式(Recommendation for Block Cipher Modes of Operation:The CMAC Mode for Authentication)3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1
接入安全管理实体AccesssecurityManagementEntity接入网中从HSS接收顶级(top-level)密钥的实体。E-UTRAN接入网的ASME是MME。3.1.2
激活安全上下文ActivationofSecurityContext2
导致使用安全上下文的过程。
认证数据AuthenticationData
安全上下文或认证向量的一部分。3.1.4
KeNB 链 Chainingof KeNB
(在小区切换时)从另一个KeNB派生出一个新的KeNB。3.1.5
当前的EPS安全上下文CurrentEPsSecurityContextYD/T2910-2015
最近被激活的安全上下文。当前的EPS安全上下文来源于映射的EPS安全上下文或本地的EPS安全上下文,可以与一个本地的非当前的EPS安全上下文并存。3.1.6
EPS安全上下文EPSSecurityContext在UE和服务网域建立的一种状态,存储EPS安全上下文,包括EPSNAS安全上下文和EPSAS安全上下文。
EPSAS安全上下文EPSASSecurityContext包括AS层的各类密钥及标识符、下一跳参数NH和下一跳链计数器NCC(用于产生下一跳接入密钥)、选定的AS层密码算法标识符和用于重放保护的计数器。注意EPSAS安全上下文仅在加密保护的无线承载建立后才存在,其它状态下为空。3.1.8
EPSNAS安全上下文EPSNASSecurityContext包括KASME及相关联的密钥集标识符、UE安全能力、上行和下行链路NASCOUNT值。特别地,对于每个EPSNAS安全上下文使用不同的NASCOUNT对。与EPS安全上下文类似,EPSNAS安全上下文也分为本地的和映射的。如果还包含KNASint和KNASene及选定的NAS完整性算法和加密算法,EPSNAS安全上下文被称作“完整的”。
完整的本地的EPS安全上下文FullNativeEPSSecurityContext所包含的EPSNAS安全上下文是“完整的”。完整的本地的EPS安全上下文的状态是“当前的”或“非当前的”。
前向安全ForwardSecurity
在KeNB派生过程中,前向安全指的是这样一种特性,即eNB和UE共享KeNB应不可能预先计算出任何后续的用于该UE和其它eNB之间的KeNB。特别地,n跳前向安全指的是一个eNB无法计算出用于UE和另一个eNB之间的密钥,这个eNB是UE经n(n=1或2)次或更多次切换后连接上的。3.1.11
继承的安全上下文LegacySecurityContext销
YD/T2910-2015
根据YD/T1414-2007建立的安全上下文。3.1.12
映射的安全上下文MappedSecurityContext在系统间移动时,由源系统当前的安全上下文转化而来的目标系统的安全上下文,例如从EPS密钥转换来的UMTS密钥。映射的安全上下文中的EPSNAS安全上下文是完整的,且是当前的。3.1.13
本地的EPS安全上下文NativeEPSSecurityContext该EPS安全上下文中的KASME是通过运行EPSAKA得到的。3.1.14
非当前的EPS安全上下文Non-CurrentEPSSecurityContext非当前的本地的EPS安全上下文,可以与当前的本地的EPS安全上下文并存在UE和MME中。非当前的EPS安全上下文不包含EPSAS安全上下文。非当前的EPS安全上下文的类型是“完整的本地的”或“部分本地的”。
部分本地的EPS安全上下文PartialNativeEPSSecurityContext部分本地的EPS安全上下文包括KASME及相关联的密钥集标识符、UE安全能力、上行和下行链路NASCOUNT值。特别地,对于每个EPSNAS安全上下文使用不同的NASCOUNT对。在首次NAS安全模式命令(SMC)之前,该安全上下文的NASCOUNT初始化为O。如果没有相应成功的NAS安全模式命令执行,部分本地的EPS安全上下文通过EPSAKA过程产生。部分本地的EPS安全上下文总是“非当前的”。
重新派生NAS密钥Re-DerivationofNASKeys从同一个KASM派生出新的NAS密钥,但是包括不同的算法(没有更新参数)。3.1.17
KeNB更新RefreshofKeNB
从同一个KASME派生出一个新的KeNB,即新参数。3.1.18
KeNB刷新 Re-Keying ofKeNB
在ECM-CONNECTED状态下从一个新的KASME派生出一个新的KeNB(即激活一个部分本地的EPS安全上下文,或重新激活一个非当前的完整的EPS安全上下文)。3.1.19
NAS密钥刷新Re-KeyingofNASKeys从一个新的KASME派生出新的NAS密钥3.1.20
UE安全能力UESecurityCapabilities在UE上实现的加密和完整性算法对应的标识符集合,包括与EPSAS和NAS有关的能力。如果UE支持UTRAN和GERAN,还包括与UTRAN和GERAN有关的能力。4
UEEPS安全能力
UEEPSSecurityCapabilities
UE的EPSAS和NAS安全能力。
3.2缩略语
下列缩略语适用于本文件。
Cell-ID
C-RNTI
EARFCN-DL
EPS-AV
E-UTRAN
Advanced Encryption StandardAnonymityKey
Authentication and Key AgreementAuthentication Management FieldAccess Network
AccessStratum
Authentication token
Authentication Vector
Access SecurityManagementEntityCellldentity as used in TS 36.331CipherKey
Cipher Key Sequence Number
CellRNTIasused in3GPPTS36.331Denial of Service
Differentiated Service Code PointE-UTRA Absolute Radio Frequency ChannelNumber-Down Link
EPs Connection Management
EPS Encryption Algorithm
EIA Integrity Algorithm
Key Set Identifier in E-UTRANEPS Mobility Management
Evolved Node-B
Evolved Packet Core
Evolved Packet System
EPS authentication vector
Evolved UTRAN
GSMEDGERadioAccessNetwork
GloballyUnique Temporary IdentityHome Environment
Hyper Frame Number
Hand Over
高级加密标准
名密钥
YD/T2910-2015
认证和密钥协商协议
认证管理字段
接入网络
接入层
认证令牌
认证向量
接入安全管理实体
小区标识
加密密钥
加密密钥序列号
小区RNTI
拒绝服务攻击
差分服务代码点
E-UTRA下行载频号
EPS连接管理
EPS加密算法
EPS完整性保护算法
E-UTRAN密钥集标识符
EPS移动性管理
演进的Node-B
演进的分组核心(网)
演进的分组系统
EPS认证向量
演进的UTRAN
GSMEDGE无线接入网
全球唯一临时身份标识
归属域
超顿号
YD/T2910-2015
IMEISV
NAS-MAC
P-TMSI
Home Subscriber Server
IntegrityKey
Internet Key Exchange
International Mobile Equiptment IdentityInternational Mobile Station EquipmentIdentity and Software Version numberInternational Mobile Subscriber IdentityInter-Radio Access TechnologyIdle Mode Signaling ReductionKey Derivation Function
Key Set Identifier
Least Significant Bit
Limited Service Mode
Long Term Evolution
Message Authentication Code for IntegrityMessage Authentication Code T used in AESCMAC calculation
Mobile Equipment
MobilityManagement Entity
Mobile Station
Mobile Switching Centre
Mobile Station Identification NumberNon Access Stratum
归属用户服务器
完整性保护密钥
因特网密钥交换协议
国际移动设备标识
国际移动设备标识软件版本号
国际移动用户标识
跨无线接入技术
空闲模式信令缩减
密钥衍生算法
密钥集标识符
最低位
受限服务模式
长期演进
用于完整性保护的消息认证码
用于AESCMAC计算的消息认证码
移动设备
移动管理实体
移动台
移动交换中心
移动台标识号
非接入层
Message Authentication Code for NAS for IntegrityJ用于NAS完整性保护的消息认证码Next hop Chaining Counter
NextHop
Physical Cell Identity
Public Key Infrastructure
Public Land Mobile Network
PseudoRandomNumberGenerator
PreSharedKey
Packet-Temporary Mobile Subscriber IdentityPacket Data Convergence ProtocolRANDom number
Routing Area Update
RelayNode
Radio Resource Control
下一跳链计数器
下一跳切换密钥
物理小区标识
公钥基础设施
公众陆地移动通信网
伪随机数生成器
预共享密钥
分组临时移动用户识别码
分组数据汇聚协议
随机数
路由区域更新
中继节点
无线资源控制
S-TMSI
4安全架构概述
System architecture evolutionServing GPRS Support Node
Subscriber Identity Module
Security Mode Command
Serving Network
Serving Network identity
Sequence Number
Signaling Radio Bearer
Single Radio Voice Call ContinuityS-Temporary Mobile Subscriber IdentityTracking Area Identity
Tracking Area Update
User Equipment
UMTS Encryption Algorithm
UMTS Integrity Algorithm
Universal Integrated Circuit CardUniversalMobileTelecommunicationSystemUserPlane
Universal Subscriber Identity ModuleUniversal Terrestrial Radio Access NetworkExpectedResponse
图1给出了LTE/SAE安全架构的总体情况。V
用户应用
服务商应用
传翰层
图1安全架构总体情况
系统架构演进
YD/T2910-2015
服务GPRS支持节点
GSM用户识别模块
安全模式命令
服务网
服务网标识
序列号
信令无线承载
单无线语音呼叫连续性
SAE临时移动用户标识bzxz.net
跟踪区域标识
跟踪区域更新
用户设备
UMTS加密算法
UMTS完整性保护算法
通用集成电路卡
通用移动通信系统
用户面
通用用户识别模块
通用陆地无线接入网
期望的响应参数
应用层
归属层
服务层
下面定义了5个类型的安全功能,每个类型的安全功能满足一定的威胁,完成一定的安全目标a)网络接入安全(I):此安全功能保证用户安全接入业务,尤其是避免遭受来自无线网络上的攻击。b)网络域安全(II):此安全功能保证节点间安全交换信令,避免遭受来自有线网络上的攻击。
c)用户安全(III):此安全功能负责保证机卡接口安全。7
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。