YD/T 1858-2009
基本信息
标准号: YD/T 1858-2009
中文名称:2GHz TD-SCDMA/WCDMA 数字蜂窝移动通信网通用认证架构(第二阶段)
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:8252817
相关标签: 数字 蜂窝 移动 通信网 通用 认证 架构 第二阶段
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1858-2009.Digital Cellular Mobile Telecommunication Network Generic Authentication Architecture for 2GHz TD-SCDMAVWCDMA (Phase 2).
1范围
YD/T 1858规定了2GHz TD-SCDMA/WCDMA数字蜂窝移动通信网通用认证框架的架构模型,协议体系,通用认证框架的认证与密钥协商的流程,通用认证框架的使用,漫游应用以及扩展的push业务应用。
YD/T 1858适用于用户访问TD-SCDMA/WCDMA网络中多种应用业务。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
3GPP TS 33.102:第三代伙伴计划;技术规范组,服务与系统方面; 3G安全; 安全架构
IETF RFC 2818: TLS上的HTTP
3GPP TS 29.109: 第三代伙伴计划;技术规范组,核心网;通用认证架构(GAA) ;基于Diameter协议的Zh和Zn接口;协议详述.
3GPP TS 24.109:第三代伙伴计划;技术规范组,核心网; Bootstrapping接口 (Ub) 和网络应用功能接口(Ua) ;协议详述
3GPP TS 29.198-03:第三代伙伴计划;技术规范组,核心网;开放服务接入(OSA) ;应用编程接口(API) ;第三部分:框架
3GPP TS 29.199-01:第三代伙伴计划;技术规范组,核心网;开放服务接入(OSA) ; ParlayX 网络服务;第一部分: Common
3GPP TS 31.102:第三代伙伴计划;技术规范组,终端; USIM应用 的特征OMA: Provisioning内 容版本1.1,版本2003年8月13日开放移动联盟
IETF RFC 3546 (2003) :运输层安全(TLS)扩展
3GPP TS 31.103:第三代伙伴计划;技术规范组,终端; IP多媒体服务身份模块(ISIM) 应用的特征
1范围
YD/T 1858规定了2GHz TD-SCDMA/WCDMA数字蜂窝移动通信网通用认证框架的架构模型,协议体系,通用认证框架的认证与密钥协商的流程,通用认证框架的使用,漫游应用以及扩展的push业务应用。
YD/T 1858适用于用户访问TD-SCDMA/WCDMA网络中多种应用业务。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
3GPP TS 33.102:第三代伙伴计划;技术规范组,服务与系统方面; 3G安全; 安全架构
IETF RFC 2818: TLS上的HTTP
3GPP TS 29.109: 第三代伙伴计划;技术规范组,核心网;通用认证架构(GAA) ;基于Diameter协议的Zh和Zn接口;协议详述.
3GPP TS 24.109:第三代伙伴计划;技术规范组,核心网; Bootstrapping接口 (Ub) 和网络应用功能接口(Ua) ;协议详述
3GPP TS 29.198-03:第三代伙伴计划;技术规范组,核心网;开放服务接入(OSA) ;应用编程接口(API) ;第三部分:框架
3GPP TS 29.199-01:第三代伙伴计划;技术规范组,核心网;开放服务接入(OSA) ; ParlayX 网络服务;第一部分: Common
3GPP TS 31.102:第三代伙伴计划;技术规范组,终端; USIM应用 的特征OMA: Provisioning内 容版本1.1,版本2003年8月13日开放移动联盟
IETF RFC 3546 (2003) :运输层安全(TLS)扩展
3GPP TS 31.103:第三代伙伴计划;技术规范组,终端; IP多媒体服务身份模块(ISIM) 应用的特征
标准图片预览
标准内容
ICS33.040
中华人民共和国通信行业标准
YD/T 1858-2009
2GHzTD-SCDMAMWCDMA
数字蜂窝移动通信网通用认证架构(第二阶段)
Digital Cellular Mobile Telecommunication Network GenericAuthentication Architecture for 2GHz TD-SCDMAWCDMA(Phase 2)2009-06-15发布
2009-09-01实施
中华人民共和国工业和信息化部发布前言
1范围
2规范性引用文件
3定义和缩略语·
4通用认证架构的系统性描述(终端分离情况下的通用认证解决方案详见附录K)4.1总体介绍…
GAA 介绍·
4.3发放认证凭证
4.4GAA结构模块
使用 GAA 的应用指南
4.6GBA的使用·
5 GBA 过程
5.1GBA架构·
5.2 UICC 增强型 GBA (GBA_U)5.3终端分离情况下的增强通用认证框架6用户证书的支持:
7 UE 采用 HTTPS 接入 NAF-
7.1安全构架概述·…
7.2认证机制·
7.3认证代理的使用
8道用认证框架Push功能
概述·
8.2GBAPush架构描述及基木原理8.3GBA Push 需求
8.4GBAPush功能
附录A(规范性附录)密钥衍生函数KDF的规范,附录B(资料性附录)GBA中,用户选择UICC 应用的对话框实例·附录C(规范性附录)保护参考点Zn/Zn'的TLS描述文件附录D(资料性附录)TLS证书的处埋…附录E(规范性附录)GBA_UUICC-ME接口·附录F(资料性附录)密钙对存储附录G(资料性附录)通过认证代理和HITIPS接入到应用服务器的技术方案附录H(资料性附录)UE和应用服务器问基于证书的互认证向导…YKAONIKAca
YD/T 1858-2009
YD/T1858-2009
附录1(规范性附录)
2G GBA..-...
附录J(资料性附录)具备GBA功能的漫游用户访问漫游网络的 GAA应用.·附录K(资料性附录)终端分离情况下的通用认证解决方案…I
YD/T1858-2009
本标准是2GHzTD-SCDMA/WCDMA数字蜂窝移动信网通用认证架构系列标雅之·-,该系列标准结构如下:
a)YD/T1857-20092GHzTD-SCDMA/WCDMA数字蜂窝移动通信网通用认证架构(第一阶段)b)YD/T[858-20092GHz TD-SCDMA/WCDMA数字蜂窝移动通信网通用认证架构(第二阶段)本标准与《2GHzTD-SCDMA/WCDMA数字蜂窝移动通信网通用认证架构(第一阶段)》相比较,增加了通用认证架构push功能章节(第8章),2GGBA功能(附录I):具备GBA功能的漫游用户访问漫游网络GAA应用(附录J),终端分离情况下的通用认证架构需求和解决方案(5.3节和附录K)。本标准1要参考3GPP TR 33.919 V 7.2.0、TS 33.220 V 7.7.0、TS33.221 V 6.3.0,TS33.222 V 7.2.0以及TS33.223V0.3.0。
一第4章与3GPPTR33.919V7.2.0的第4~7章在技术内容上保持一效:·其中第4.1节对应丁3GPPTR33.919V7.2.0的概述部分:·其中第4.2节对应于3GPPTR33.919V72.0的第4章部分:,其中第4.3节对应于3GPPTR33.919V7.2.0的第5章部分;·其中第4.4节对应于-3GPPTR33.919V7.2.0的第6章部分;:其中第4.5节对应于3GPPTR33.919V7.2.0的第7章部分。第5章与3GPPTS33.220V7.7.0的第45章在技术内容上保持一致:●其中第5.1节对应于3GPPTS33.220V7.7.0的第4章部分:,其中第5.2节对应于3GPPTS33.220V7.7.0的第5章部分。第6章与3GPPTS33.221V6.3.0的第4章在技术内容上保持一-致:第7章与3GPPTS33.222V7.2.0的第4~~6章在技术内容上保持一致:·其中第7.1节对应-3GPPTS33.222V7.2.0的第4章部分;其中第7.2节对应于3GPPTS33.222V7.2.0的第5章部分;其中第7.3节对应丁-3GPPTS33.222V7.2.0的第6章部分。第9章与3GPPTS33.223V0.3.0的部分在技术内容上保持一致。一附录A与3GPPTS33.220V7.7.0的AnnexB在技术内容上保持一-致。附录B与3GPPTS33.220V7.7.0的AnnexD在技术内容上保持--致。附录C与3GPPTS33.220V7.7.0的AnnexE在技术内容上保持--致。附录D与3GPPTS33.220V7.7.0的AnnexF在技术内容上保持.-致。附录E与3GPPTS33.220V7.7.0的AnnexG在技术内容_上保持一致。附录F与3GPPTS33.221V6.3.0的AnnexA在技术内穿工保持--致。附录G与3GPPTS33.222V7.2.0的AnnexA在技术内容上保持一致附录H与3GPPTS33.222V7.2.0的AnnexB在技术内容上保持一致。附录I与3GPPTS33.220V7.7.0的Annex在技术内容上保持--致。YKAoNrkAca
YD/T 1858-2009
本标准的附录A、附录C、附录E、附录I为规范性附录,附录B、附录D、附录F、附录G、附录H、附录J、附录K为资料性附录。
本标准出中国通信标准化协会提出并归口。本标准起草单位:华为技术有限公司、诺基亚通信有限公司、中国移动通信集团公司、上海贝尔阿尔卡特股份有限公司、青岛朗讯科技通讯设备有限公司、南京爱立信熊猫通信有限公司、工业和信息化部电信研究院
本标主要起草人:许怡娴、杨艳梅、黄迎新、张大江、刘斐、朱红儒、袁兵兵、胡志远、南明凯、TV
1范围
YD/T 1858-2009
2GHzTD-SCDMAWCDMA数字蜂窝移动通信网通用认证架构(第二阶段)
本标准规定了2GHzTD-SCDMA/WCDMA数字蜂窝移动通信网通用认证框架的架构模型,协议体系,通用认证框架渠的认证与密钥协商的流程,通用认证框架的使用,漫游应用以及扩展的push业务应用。本标准适用于用户访问TD-SCDMA/WCDMA网络中多种应用收务2规范性引用文件
下列文件中的条款通过本标准的用而成为本标准的条款。凡是准日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用-本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。3GPPTS33.102:第三代伙伴计划:技术规范组,服务与系统方面;3G安全;安全架构ETF RFC 2818: TLS上的HTTP
3GPPTS29.109:第三代伙伴计别;技术规范组,核心网:通用认证架构(GAA):基丁Diametez协议的Zh和Zn接口;协议详述
3GPPTS24.109:第三代伙伴计划:技术规范组,核心网;Bootstrapping接口(Ub)和网络应用功能接口(Ua):协议详述
3GPPTS29.19803:第三代伙伴计划:技术规范纠,核心网:开放服务接入(OSA);应用编程接口(API);第三部分:架
3GPPTS29.199-01:第二代伙伴计划;技术规范组,核心网;开放服务接入(OSA):ParlayX网络服务;第一部分:Cammon
3GPPTS31.102:第三代伙伴计-划:技术规范组,终端:USIM应用的特征OMA:Provisioning内容版本1.1,版本2003年8月13日开放移动联腿IETFRFC3546(2003):运输层安全(TLS)扩展3GPPTS31.103:第三代伙作计划技术规范组,终端:IP多媒体服务身份模块(ISIM)应用的特征3GPPTS23.003:第三代伙伴让:划:技术规范组,核心网:Numberingaddressingandidentification3GPPTS33.210:第三代伙伴计划:技术规范纠,服务与系统方面;30安全;网络域安全;IP网络层安全
ETFRFC3588(2003):Diameter协议3GPPTS31.101:第三代伙伴让划:技术规范组,终端;UICC终端接口:物理和逻辑特性正TFRFC3280(2002):因特网X.509公基础设施证书和证书撤销列表(CRL)描述3GPPTS33.310:第三代伙伴计划;技术规范组,服务与系统方而:网络域安全(NDS):认证框架(AF)FIPSPUB180-2(2002):安全Ia5h标准[ETFRFC2104(1997):JIMAC:消息总认证的hash密钊1
KANIKCa
YD/T1858-2009
ISO/IEC10118-3:2004:信息技术一安全技术一Hash函数—第三部分:专用的hash函数IETFRFC3629(2003):UTF-8:ISO10646的转换格式PKCS#10:ETFRFC2510证书请求语法标准IETFRFC2510:因特网X.509公钥基础设施证书管理协议IETFRFC2511:因特网X.509证书请求信息格式IETFRFC2527:因特网X.509公钥基础设施公钥政策和证书实践框架OMA:WAP证书利ICRL描述
OMA:光线身份模块:安全
OMA:无线应用描述;公钥基础设施定义ITU T Recommendation X.509(1997)IISO/IEC 9594-8:1997:信息技术一开放系统互联一目录:认证掘架
OMA;ECMAScript移动文件的密码对象欧洲国会和理事会关于电子信号的通信架构:Directive1999/93/ECoftheEuropeanParliamentandofthe Council of 13 December 1999 on a Community framework for electronic signaturesIETFRFC3039:因特网X.509公钥基础设施合格证书描述ETSITS101862:合格证书描述
ETFRFC2797:CMS上的证书管理信息3GPPTS23.002:网络架构
3GPPTS22.250:IP多媒体子系统(IMS)组管理:阶段13GPPTS33.141:第三代伙伴计划技术规范组,服务与系统方面;Presence服务:安全ETFRFC2246(1999):TLS协议版本1IETFRFC3268(2002):运输层安全(TLS)高级加密标准(AES)密码组IETFRFC3310(2002):使用AKA算法的超文本传输协议密码组IETFRFC2616(1999):超文本传输协议(HTTP)-HTTP/1.1OMA WAP-219-TLS,4.11.2001:
http:/ppenmobilealliance.org/tech/affiliates/wap/wap-219-tls-20010411-a.pdfOMAWAP-211-WAPCert,22.5.2001:http://openmobilealliance.org/tech/affiliates/wap/wap-211-wapcert-20010522-a.pdfW3C:网络服务描述语言(WSDL)版本2,部分O:初级http: //w3.org/TR/2005/WD-wsd120-primer-20050803/IETFRFC4279(2005):传输层安全(TLS)的预共享密码组3GPPTS33.246:第三代伙伴计划;技术规范组,服务与系统方面;3G安全,多媒体广播/多波服务的安全
3GPPTR33.905:第二代伙伴计划:技术规范组,服务与系统方面:可信开放平台的建议3GPPTR33.920:第三代伙伴计划;技术规范组,服务与系统方面;基于GBA架构的SIM卡:早期应用特性
3GPPTS33.110:第三代伙伴计划;技术规范组,服务与系统方面:UICC和终端的密钥建立2
YD/T 1858-2009
3GPPTR33.980:第三代伙伴计划:技术规范组,服务与系统方面;自由联盟和3GPP安全互通;自由联盟身份联合框架(ID-FF),身份网络服务架(ID-WSF)和GAA3缩略语和定义
3.1缩略语
下列缩略语适用于本标准。
GBA_ME
AnonymityKey
Authentication and Key AgreementAuthentication Proxy
Application Server
Bootstrapping Transaction IdentifierBootstrapping Server FunctionBinary Large Object
Certificate Authority
CertilicateManagementMessages over CMsCertificate Managenent ProtucolsCryptographic Message SyntaxFully Qualified Domain Name
Generic Authentication ArchitectureGeneric Bootstrapping Architecture ME-based GBA
GBA with UICC-based enhancementsGBA User Security Setting
Hypertext Transfer Protocol
HTTP over TLS
Home Subscriber System
Integrity Key免费标准下载网bzxz
IP Multimedia Private IdentityPMultimedia Public Identity
Key Derivation Function
Ks_int NAF Derived key in GBA_U which remains on UICCKs_ext_NAFDerivedkeyin GBA_UME
Mobile Equipment
Mobile Network Operator
Network Application FunctionNetwork Element
YKAONIKAca
暖名密钥
认证和密钥协商
认证代理
应用服务器
自举事务标识
白举服务功能
二进制大型对象
认证中心
CMS证书管理消息
证书管理协议
证书管瑶语法
完整域名
通用认证架构
通用自举架构
基于移动设备的GBA
基于UICC增强的GBA
GBA用户安全设置
超文本传输协议
基丁-TILS的HTTP
归属用户系统
完整性密钥
P多媒体私有标识
P多媒体公开标识
密钊衍生函数
在GBA_U中保存在UICC中的密钥
在GBA_U中的密销
移动设备
移动网络运营商
网络应用功能
网络单元
YD/F 1858-2009
3.2定义
Public-Key Cryptography StandardsPublic Key Infrastructure
Support for Subscriber CertificatesService Provider
Transport Layer Security
Uscr Equipmcnt
User Security Setting
User Identifier
下列定义适用丁本标准。
用户证书(Subscribercertificate)公钥加密标准
公钥基础结构
用户认证支持
服务提供商
传输层安全协议
用户设备
用户安全设置
用户标识
移动网络运营商根据用户的签阅情况给用户颁发的证书。该证书包含用户的公开密钥和可能的其他信息,比如用户某种形式的身份。3.2.2
本文档中所提到的应用,都应理解为由MNO或者第三方提供给移动用户的服务,它经常指的是一类服务,而不是安装在应用服务器上的应用实例。3.2.3
自举(Bootstrapping)服务功能BSF是MNO控制下的-一个网络元素。BSF,HSS和UE共间参与GBA,在GBA过程中,通过执行自举,过程,在网络与UE之间建立一个共亨的密钥。这个共享密钥可以用在NAF和UE之间,比如说,为了认证月的。
自举(Bootstrapping)使用过程在Ua参考点上应用建式较全关联的过程。3.2.5
CA证书
--个证书机构用它的私有密钥签署它分发的所有证书。相应的CA公钥包含在证书中,称CA证书,3.2.6
GBA功能
ME上的一个功能,它能够与BSF一起执行自举过程,并在Ua接口上提供安全关联来执行自举使用过程。当一个Ua应用想去利用自举安全关联的时候,这个Ua应用就会调用GBA功能。2GGBA功能详见附录I。
基于ME的GBA
YD/T 1858-2009
在GBA_ME中,所有的GBA相关功能都在ME当中执行。UICC不支持GBA。在本文档中如果没有限定GBA,那么就指的是基于ME的GBA。3.2.8
基于UICC的GBA
基于UICC增强的GBA。在GBA_U中,GBA相关功能分布在ME和UICC上。3.2.9
网络应用功能(NAF)
NAF是一个网络元素。NAF和UE之间可以应用GBA达到认证的目的,并且可以应用GBA来保护UE和NAF之间的安通信。
自举(Bootstrapping)事务标识该标识是用来在Ua、Ub和Zn参考点上绑定用户身份和密钥资料的。3.2.11
GBA用户安全设置(GUSS)
GUSS包含BSF中相关信息元素和所有应用相关的USSs。3.2.12
NAF组
允许分配不同的USS到代表同种应用的NAFs的…个NAF组。这种分组在各个归属网络分别执行。比如说:一个NAF,与不同归属网络的BSFs相联系,但是这个NAF在每一个归属网络中属于不同的组。3.2.13
Va应用
在ME上和NAF一起去执行自举应用过程的一种应用。3.2.14
用户安全设置(USS)
一个USS是一种应用和用户相关参数的集合,在这个用户参数集合里面定义了2个部分,一个是认证部分,这个认证部分包括用户为某个应月(比如说IMPI、IMPU等)所需的身份列表:另外一个是授权部分,这个授权部分包括一些允许标志(一些可以接入服务的标志,需要证书的类型),有时候也称作应用相关户安全设置。USS作为GUSS的一部分从HSS传送到BSF,如果NAF进行请求,它也可以从BSF发送到NAF。
对于本文档HTTPS指使用TLS来加强HTTP安全的广义概念。在其他背景中,如ETF、HTTPS被用来表尔HTTP/TI.S传输中的保留端口(443)3.2.16
反向代理
反向代理是一个网络服务系统,它能提供来源于其他网络服务器(AS)的页面,并且使得这些页面着起来是来源丁反问代理本身。YKNIKa
YD/T1858-2009
会话管理机制
使用HTTP协议时生成有状态会话的机制。3.2.18
AUTN (*)
在GBA中,GBA_ME基于AUTN的值检查认证向量是否来自授权网络,GBA_U基于AUTN\的值对网络进行认证,如33.220所述。ALTN()用来指代AUTN和AUTN*。3.2.19
GBA-PUSH-INFO
GBA-PUSH-INFO包括和GBApush密钥衍生相关的数据,即AUTN(*),RAND,NAF_MD,B-TD编者:GBA-PUSH-INFO内容列表是否完整带要逆一步研究。3.3符号
下列符号适旧于本标准。
3.4约定
在本标准中,所有的数据变量以左边重要子右边次要子串的形式呈现。一个子链可能是一个比特字节或是其他任意长度的比特串。变量被拆分成定数量子串,在子串中重要的子串被标识为0,次要子串标识为1,以此类摧到最不重娶的子串等。4通用认证架构的系统性描述(终端分离情况下的通用认证解决方案详见附录长)终端分离情况下的通用认证解决方案详见附录K。4.1总体介绍
本章介绍GAA的内穿并对本章的编写作出解释。很多应用都需要在进一步的通信前,在用广端(例妞正)和应用服条器之问进行双向认证,该类了包括(但不局限于)客户端和presenice服务器(可能通过认证代理)问的通信,客户端申请数字证书时与PKI入口的通信,与移动广播/多媒体服务(MBMS)内穿服务器的通信,如BM-SC等等。中于许多应用都需要间级别的认证机制,因此有必要定义一种通用认证架构(GAA)。GAA描述了一种通用认证架构,以优先能够应用丁现在和将来的任何业务。第4章可作为图1所示的通用认证架构的结构部分。在3GPPR6中,GBA,HTTPS和认证代理(AP)和证书都是GAA的基本构成单元,并在其他章节中定义。如何将这些单元组合在通用认证架构(GAA)中是本章节所阐述的内容。以后,很多内容都会加进规范满足各种应用场景。本章节旨在概述移动应用所依赖的服务器导客户端(即用户终端)之间不同的认证机制,另外,本标准针对GAA(通用认证架构)的使用、在给定情况下和给定应用时的认证机制的选择2个方面给出了指导原则。
最后,本章节对涉及到同等级别的认证的不间的GAA规范进行了结构分析。本章节澄清技术规范和技术报告的逻辑结构,描述规范的内容并解释这些3GPP规范的内部联系以及他们与本部分的联系。6
CHTTPS and AP
图1GAA的示意图
YD/T 1858-2009
GAA的核心包括GBAGBA的核心规范包括3GPPTS33,220,3GPPTS24.109,3GPPTS29.109,图2给出了GAA接口上使用的协议以及不同的GAA规范之问的关系。如果制定出新的GAA规范时,新的规范也会加入到图2中。-阅样,将来也有可能会出现新的Ua接口,这些运行在新Ua接上的协议,也将会添加到图2中。
TS 33.220 GB4
TS 24.109
HTTP Digest AKA RFC 3310Eg.HTTP Digest RFC 2617 wSDI /SGAP hased Weg Service[10]HTTP RFC 2616
T$ 29.109
IMS Cx Diarneter mesrage definiticins TS 29.229Dianeter Base Iratocal RFC35B8SCTP
图2GBA核心规范与GBA接口土使用的协设间的关系GBA会应用在很多TS和TR上来满足特定应用,如HTTPS,用户证书。4.2GAA介绍
4.2.1GAA简介
在系统中通常有两种认证机制。一种基汀通信实体问的共享秘密,另一种基于密钥对(公有或私有)。如图3所示,这两个机制在GAA中计对移动业务都是优先选项。GAA
共亨秘密
GBATS33.220
4.2.2基于共享秘密的认证
图3GAA示意介绍
SSCTS33.221
基于通信实体间预共享秘密机制的有若干个认证协议,常有的包括HTTP摘要,预共享密销TLS,具有预共享秘密和优先使用用户名一密码机制的IKE协议。这类认证机制的主要问题在于如何在该预共享秘密上保持一致。4.3.2节和第5章描述了如何在移动的上下文环境中使用基于AKA的机制为通信实体提供预共享秘密。有关认证代理技术可参见附录G,7
YKAONIKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T 1858-2009
2GHzTD-SCDMAMWCDMA
数字蜂窝移动通信网通用认证架构(第二阶段)
Digital Cellular Mobile Telecommunication Network GenericAuthentication Architecture for 2GHz TD-SCDMAWCDMA(Phase 2)2009-06-15发布
2009-09-01实施
中华人民共和国工业和信息化部发布前言
1范围
2规范性引用文件
3定义和缩略语·
4通用认证架构的系统性描述(终端分离情况下的通用认证解决方案详见附录K)4.1总体介绍…
GAA 介绍·
4.3发放认证凭证
4.4GAA结构模块
使用 GAA 的应用指南
4.6GBA的使用·
5 GBA 过程
5.1GBA架构·
5.2 UICC 增强型 GBA (GBA_U)5.3终端分离情况下的增强通用认证框架6用户证书的支持:
7 UE 采用 HTTPS 接入 NAF-
7.1安全构架概述·…
7.2认证机制·
7.3认证代理的使用
8道用认证框架Push功能
概述·
8.2GBAPush架构描述及基木原理8.3GBA Push 需求
8.4GBAPush功能
附录A(规范性附录)密钥衍生函数KDF的规范,附录B(资料性附录)GBA中,用户选择UICC 应用的对话框实例·附录C(规范性附录)保护参考点Zn/Zn'的TLS描述文件附录D(资料性附录)TLS证书的处埋…附录E(规范性附录)GBA_UUICC-ME接口·附录F(资料性附录)密钙对存储附录G(资料性附录)通过认证代理和HITIPS接入到应用服务器的技术方案附录H(资料性附录)UE和应用服务器问基于证书的互认证向导…YKAONIKAca
YD/T 1858-2009
YD/T1858-2009
附录1(规范性附录)
2G GBA..-...
附录J(资料性附录)具备GBA功能的漫游用户访问漫游网络的 GAA应用.·附录K(资料性附录)终端分离情况下的通用认证解决方案…I
YD/T1858-2009
本标准是2GHzTD-SCDMA/WCDMA数字蜂窝移动信网通用认证架构系列标雅之·-,该系列标准结构如下:
a)YD/T1857-20092GHzTD-SCDMA/WCDMA数字蜂窝移动通信网通用认证架构(第一阶段)b)YD/T[858-20092GHz TD-SCDMA/WCDMA数字蜂窝移动通信网通用认证架构(第二阶段)本标准与《2GHzTD-SCDMA/WCDMA数字蜂窝移动通信网通用认证架构(第一阶段)》相比较,增加了通用认证架构push功能章节(第8章),2GGBA功能(附录I):具备GBA功能的漫游用户访问漫游网络GAA应用(附录J),终端分离情况下的通用认证架构需求和解决方案(5.3节和附录K)。本标准1要参考3GPP TR 33.919 V 7.2.0、TS 33.220 V 7.7.0、TS33.221 V 6.3.0,TS33.222 V 7.2.0以及TS33.223V0.3.0。
一第4章与3GPPTR33.919V7.2.0的第4~7章在技术内容上保持一效:·其中第4.1节对应丁3GPPTR33.919V7.2.0的概述部分:·其中第4.2节对应于3GPPTR33.919V72.0的第4章部分:,其中第4.3节对应于3GPPTR33.919V7.2.0的第5章部分;·其中第4.4节对应于-3GPPTR33.919V7.2.0的第6章部分;:其中第4.5节对应于3GPPTR33.919V7.2.0的第7章部分。第5章与3GPPTS33.220V7.7.0的第45章在技术内容上保持一致:●其中第5.1节对应于3GPPTS33.220V7.7.0的第4章部分:,其中第5.2节对应于3GPPTS33.220V7.7.0的第5章部分。第6章与3GPPTS33.221V6.3.0的第4章在技术内容上保持一-致:第7章与3GPPTS33.222V7.2.0的第4~~6章在技术内容上保持一致:·其中第7.1节对应-3GPPTS33.222V7.2.0的第4章部分;其中第7.2节对应于3GPPTS33.222V7.2.0的第5章部分;其中第7.3节对应丁-3GPPTS33.222V7.2.0的第6章部分。第9章与3GPPTS33.223V0.3.0的部分在技术内容上保持一致。一附录A与3GPPTS33.220V7.7.0的AnnexB在技术内容上保持一-致。附录B与3GPPTS33.220V7.7.0的AnnexD在技术内容上保持--致。附录C与3GPPTS33.220V7.7.0的AnnexE在技术内容上保持--致。附录D与3GPPTS33.220V7.7.0的AnnexF在技术内容上保持.-致。附录E与3GPPTS33.220V7.7.0的AnnexG在技术内容_上保持一致。附录F与3GPPTS33.221V6.3.0的AnnexA在技术内穿工保持--致。附录G与3GPPTS33.222V7.2.0的AnnexA在技术内容上保持一致附录H与3GPPTS33.222V7.2.0的AnnexB在技术内容上保持一致。附录I与3GPPTS33.220V7.7.0的Annex在技术内容上保持--致。YKAoNrkAca
YD/T 1858-2009
本标准的附录A、附录C、附录E、附录I为规范性附录,附录B、附录D、附录F、附录G、附录H、附录J、附录K为资料性附录。
本标准出中国通信标准化协会提出并归口。本标准起草单位:华为技术有限公司、诺基亚通信有限公司、中国移动通信集团公司、上海贝尔阿尔卡特股份有限公司、青岛朗讯科技通讯设备有限公司、南京爱立信熊猫通信有限公司、工业和信息化部电信研究院
本标主要起草人:许怡娴、杨艳梅、黄迎新、张大江、刘斐、朱红儒、袁兵兵、胡志远、南明凯、TV
1范围
YD/T 1858-2009
2GHzTD-SCDMAWCDMA数字蜂窝移动通信网通用认证架构(第二阶段)
本标准规定了2GHzTD-SCDMA/WCDMA数字蜂窝移动通信网通用认证框架的架构模型,协议体系,通用认证框架渠的认证与密钥协商的流程,通用认证框架的使用,漫游应用以及扩展的push业务应用。本标准适用于用户访问TD-SCDMA/WCDMA网络中多种应用收务2规范性引用文件
下列文件中的条款通过本标准的用而成为本标准的条款。凡是准日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用-本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。3GPPTS33.102:第三代伙伴计划:技术规范组,服务与系统方面;3G安全;安全架构ETF RFC 2818: TLS上的HTTP
3GPPTS29.109:第三代伙伴计别;技术规范组,核心网:通用认证架构(GAA):基丁Diametez协议的Zh和Zn接口;协议详述
3GPPTS24.109:第三代伙伴计划:技术规范组,核心网;Bootstrapping接口(Ub)和网络应用功能接口(Ua):协议详述
3GPPTS29.19803:第三代伙伴计划:技术规范纠,核心网:开放服务接入(OSA);应用编程接口(API);第三部分:架
3GPPTS29.199-01:第二代伙伴计划;技术规范组,核心网;开放服务接入(OSA):ParlayX网络服务;第一部分:Cammon
3GPPTS31.102:第三代伙伴计-划:技术规范组,终端:USIM应用的特征OMA:Provisioning内容版本1.1,版本2003年8月13日开放移动联腿IETFRFC3546(2003):运输层安全(TLS)扩展3GPPTS31.103:第三代伙作计划技术规范组,终端:IP多媒体服务身份模块(ISIM)应用的特征3GPPTS23.003:第三代伙伴让:划:技术规范组,核心网:Numberingaddressingandidentification3GPPTS33.210:第三代伙伴计划:技术规范纠,服务与系统方面;30安全;网络域安全;IP网络层安全
ETFRFC3588(2003):Diameter协议3GPPTS31.101:第三代伙伴让划:技术规范组,终端;UICC终端接口:物理和逻辑特性正TFRFC3280(2002):因特网X.509公基础设施证书和证书撤销列表(CRL)描述3GPPTS33.310:第三代伙伴计划;技术规范组,服务与系统方而:网络域安全(NDS):认证框架(AF)FIPSPUB180-2(2002):安全Ia5h标准[ETFRFC2104(1997):JIMAC:消息总认证的hash密钊1
KANIKCa
YD/T1858-2009
ISO/IEC10118-3:2004:信息技术一安全技术一Hash函数—第三部分:专用的hash函数IETFRFC3629(2003):UTF-8:ISO10646的转换格式PKCS#10:ETFRFC2510证书请求语法标准IETFRFC2510:因特网X.509公钥基础设施证书管理协议IETFRFC2511:因特网X.509证书请求信息格式IETFRFC2527:因特网X.509公钥基础设施公钥政策和证书实践框架OMA:WAP证书利ICRL描述
OMA:光线身份模块:安全
OMA:无线应用描述;公钥基础设施定义ITU T Recommendation X.509(1997)IISO/IEC 9594-8:1997:信息技术一开放系统互联一目录:认证掘架
OMA;ECMAScript移动文件的密码对象欧洲国会和理事会关于电子信号的通信架构:Directive1999/93/ECoftheEuropeanParliamentandofthe Council of 13 December 1999 on a Community framework for electronic signaturesIETFRFC3039:因特网X.509公钥基础设施合格证书描述ETSITS101862:合格证书描述
ETFRFC2797:CMS上的证书管理信息3GPPTS23.002:网络架构
3GPPTS22.250:IP多媒体子系统(IMS)组管理:阶段13GPPTS33.141:第三代伙伴计划技术规范组,服务与系统方面;Presence服务:安全ETFRFC2246(1999):TLS协议版本1IETFRFC3268(2002):运输层安全(TLS)高级加密标准(AES)密码组IETFRFC3310(2002):使用AKA算法的超文本传输协议密码组IETFRFC2616(1999):超文本传输协议(HTTP)-HTTP/1.1OMA WAP-219-TLS,4.11.2001:
http:/ppenmobilealliance.org/tech/affiliates/wap/wap-219-tls-20010411-a.pdfOMAWAP-211-WAPCert,22.5.2001:http://openmobilealliance.org/tech/affiliates/wap/wap-211-wapcert-20010522-a.pdfW3C:网络服务描述语言(WSDL)版本2,部分O:初级http: //w3.org/TR/2005/WD-wsd120-primer-20050803/IETFRFC4279(2005):传输层安全(TLS)的预共享密码组3GPPTS33.246:第三代伙伴计划;技术规范组,服务与系统方面;3G安全,多媒体广播/多波服务的安全
3GPPTR33.905:第二代伙伴计划:技术规范组,服务与系统方面:可信开放平台的建议3GPPTR33.920:第三代伙伴计划;技术规范组,服务与系统方面;基于GBA架构的SIM卡:早期应用特性
3GPPTS33.110:第三代伙伴计划;技术规范组,服务与系统方面:UICC和终端的密钥建立2
YD/T 1858-2009
3GPPTR33.980:第三代伙伴计划:技术规范组,服务与系统方面;自由联盟和3GPP安全互通;自由联盟身份联合框架(ID-FF),身份网络服务架(ID-WSF)和GAA3缩略语和定义
3.1缩略语
下列缩略语适用于本标准。
GBA_ME
AnonymityKey
Authentication and Key AgreementAuthentication Proxy
Application Server
Bootstrapping Transaction IdentifierBootstrapping Server FunctionBinary Large Object
Certificate Authority
CertilicateManagementMessages over CMsCertificate Managenent ProtucolsCryptographic Message SyntaxFully Qualified Domain Name
Generic Authentication ArchitectureGeneric Bootstrapping Architecture ME-based GBA
GBA with UICC-based enhancementsGBA User Security Setting
Hypertext Transfer Protocol
HTTP over TLS
Home Subscriber System
Integrity Key免费标准下载网bzxz
IP Multimedia Private IdentityPMultimedia Public Identity
Key Derivation Function
Ks_int NAF Derived key in GBA_U which remains on UICCKs_ext_NAFDerivedkeyin GBA_UME
Mobile Equipment
Mobile Network Operator
Network Application FunctionNetwork Element
YKAONIKAca
暖名密钥
认证和密钥协商
认证代理
应用服务器
自举事务标识
白举服务功能
二进制大型对象
认证中心
CMS证书管理消息
证书管理协议
证书管瑶语法
完整域名
通用认证架构
通用自举架构
基于移动设备的GBA
基于UICC增强的GBA
GBA用户安全设置
超文本传输协议
基丁-TILS的HTTP
归属用户系统
完整性密钥
P多媒体私有标识
P多媒体公开标识
密钊衍生函数
在GBA_U中保存在UICC中的密钥
在GBA_U中的密销
移动设备
移动网络运营商
网络应用功能
网络单元
YD/F 1858-2009
3.2定义
Public-Key Cryptography StandardsPublic Key Infrastructure
Support for Subscriber CertificatesService Provider
Transport Layer Security
Uscr Equipmcnt
User Security Setting
User Identifier
下列定义适用丁本标准。
用户证书(Subscribercertificate)公钥加密标准
公钥基础结构
用户认证支持
服务提供商
传输层安全协议
用户设备
用户安全设置
用户标识
移动网络运营商根据用户的签阅情况给用户颁发的证书。该证书包含用户的公开密钥和可能的其他信息,比如用户某种形式的身份。3.2.2
本文档中所提到的应用,都应理解为由MNO或者第三方提供给移动用户的服务,它经常指的是一类服务,而不是安装在应用服务器上的应用实例。3.2.3
自举(Bootstrapping)服务功能BSF是MNO控制下的-一个网络元素。BSF,HSS和UE共间参与GBA,在GBA过程中,通过执行自举,过程,在网络与UE之间建立一个共亨的密钥。这个共享密钥可以用在NAF和UE之间,比如说,为了认证月的。
自举(Bootstrapping)使用过程在Ua参考点上应用建式较全关联的过程。3.2.5
CA证书
--个证书机构用它的私有密钥签署它分发的所有证书。相应的CA公钥包含在证书中,称CA证书,3.2.6
GBA功能
ME上的一个功能,它能够与BSF一起执行自举过程,并在Ua接口上提供安全关联来执行自举使用过程。当一个Ua应用想去利用自举安全关联的时候,这个Ua应用就会调用GBA功能。2GGBA功能详见附录I。
基于ME的GBA
YD/T 1858-2009
在GBA_ME中,所有的GBA相关功能都在ME当中执行。UICC不支持GBA。在本文档中如果没有限定GBA,那么就指的是基于ME的GBA。3.2.8
基于UICC的GBA
基于UICC增强的GBA。在GBA_U中,GBA相关功能分布在ME和UICC上。3.2.9
网络应用功能(NAF)
NAF是一个网络元素。NAF和UE之间可以应用GBA达到认证的目的,并且可以应用GBA来保护UE和NAF之间的安通信。
自举(Bootstrapping)事务标识该标识是用来在Ua、Ub和Zn参考点上绑定用户身份和密钥资料的。3.2.11
GBA用户安全设置(GUSS)
GUSS包含BSF中相关信息元素和所有应用相关的USSs。3.2.12
NAF组
允许分配不同的USS到代表同种应用的NAFs的…个NAF组。这种分组在各个归属网络分别执行。比如说:一个NAF,与不同归属网络的BSFs相联系,但是这个NAF在每一个归属网络中属于不同的组。3.2.13
Va应用
在ME上和NAF一起去执行自举应用过程的一种应用。3.2.14
用户安全设置(USS)
一个USS是一种应用和用户相关参数的集合,在这个用户参数集合里面定义了2个部分,一个是认证部分,这个认证部分包括用户为某个应月(比如说IMPI、IMPU等)所需的身份列表:另外一个是授权部分,这个授权部分包括一些允许标志(一些可以接入服务的标志,需要证书的类型),有时候也称作应用相关户安全设置。USS作为GUSS的一部分从HSS传送到BSF,如果NAF进行请求,它也可以从BSF发送到NAF。
对于本文档HTTPS指使用TLS来加强HTTP安全的广义概念。在其他背景中,如ETF、HTTPS被用来表尔HTTP/TI.S传输中的保留端口(443)3.2.16
反向代理
反向代理是一个网络服务系统,它能提供来源于其他网络服务器(AS)的页面,并且使得这些页面着起来是来源丁反问代理本身。YKNIKa
YD/T1858-2009
会话管理机制
使用HTTP协议时生成有状态会话的机制。3.2.18
AUTN (*)
在GBA中,GBA_ME基于AUTN的值检查认证向量是否来自授权网络,GBA_U基于AUTN\的值对网络进行认证,如33.220所述。ALTN()用来指代AUTN和AUTN*。3.2.19
GBA-PUSH-INFO
GBA-PUSH-INFO包括和GBApush密钥衍生相关的数据,即AUTN(*),RAND,NAF_MD,B-TD编者:GBA-PUSH-INFO内容列表是否完整带要逆一步研究。3.3符号
下列符号适旧于本标准。
3.4约定
在本标准中,所有的数据变量以左边重要子右边次要子串的形式呈现。一个子链可能是一个比特字节或是其他任意长度的比特串。变量被拆分成定数量子串,在子串中重要的子串被标识为0,次要子串标识为1,以此类摧到最不重娶的子串等。4通用认证架构的系统性描述(终端分离情况下的通用认证解决方案详见附录长)终端分离情况下的通用认证解决方案详见附录K。4.1总体介绍
本章介绍GAA的内穿并对本章的编写作出解释。很多应用都需要在进一步的通信前,在用广端(例妞正)和应用服条器之问进行双向认证,该类了包括(但不局限于)客户端和presenice服务器(可能通过认证代理)问的通信,客户端申请数字证书时与PKI入口的通信,与移动广播/多媒体服务(MBMS)内穿服务器的通信,如BM-SC等等。中于许多应用都需要间级别的认证机制,因此有必要定义一种通用认证架构(GAA)。GAA描述了一种通用认证架构,以优先能够应用丁现在和将来的任何业务。第4章可作为图1所示的通用认证架构的结构部分。在3GPPR6中,GBA,HTTPS和认证代理(AP)和证书都是GAA的基本构成单元,并在其他章节中定义。如何将这些单元组合在通用认证架构(GAA)中是本章节所阐述的内容。以后,很多内容都会加进规范满足各种应用场景。本章节旨在概述移动应用所依赖的服务器导客户端(即用户终端)之间不同的认证机制,另外,本标准针对GAA(通用认证架构)的使用、在给定情况下和给定应用时的认证机制的选择2个方面给出了指导原则。
最后,本章节对涉及到同等级别的认证的不间的GAA规范进行了结构分析。本章节澄清技术规范和技术报告的逻辑结构,描述规范的内容并解释这些3GPP规范的内部联系以及他们与本部分的联系。6
CHTTPS and AP
图1GAA的示意图
YD/T 1858-2009
GAA的核心包括GBAGBA的核心规范包括3GPPTS33,220,3GPPTS24.109,3GPPTS29.109,图2给出了GAA接口上使用的协议以及不同的GAA规范之问的关系。如果制定出新的GAA规范时,新的规范也会加入到图2中。-阅样,将来也有可能会出现新的Ua接口,这些运行在新Ua接上的协议,也将会添加到图2中。
TS 33.220 GB4
TS 24.109
HTTP Digest AKA RFC 3310Eg.HTTP Digest RFC 2617 wSDI /SGAP hased Weg Service[10]HTTP RFC 2616
T$ 29.109
IMS Cx Diarneter mesrage definiticins TS 29.229Dianeter Base Iratocal RFC35B8SCTP
图2GBA核心规范与GBA接口土使用的协设间的关系GBA会应用在很多TS和TR上来满足特定应用,如HTTPS,用户证书。4.2GAA介绍
4.2.1GAA简介
在系统中通常有两种认证机制。一种基汀通信实体问的共享秘密,另一种基于密钥对(公有或私有)。如图3所示,这两个机制在GAA中计对移动业务都是优先选项。GAA
共亨秘密
GBATS33.220
4.2.2基于共享秘密的认证
图3GAA示意介绍
SSCTS33.221
基于通信实体间预共享秘密机制的有若干个认证协议,常有的包括HTTP摘要,预共享密销TLS,具有预共享秘密和优先使用用户名一密码机制的IKE协议。这类认证机制的主要问题在于如何在该预共享秘密上保持一致。4.3.2节和第5章描述了如何在移动的上下文环境中使用基于AKA的机制为通信实体提供预共享秘密。有关认证代理技术可参见附录G,7
YKAONIKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。