【YD通讯标准】 2GHz TD-SCDMA/WCDMA 与 WLAN 互通的安全技术要求

通信标准类技术报告
YDB0212008
2GHzTD-SCDMA/WCDMA与WLAN互通的安全技术要求
Security technical requirements for 2GHz TD-SCDMA/WCDMA and WirelessLocalAreaNetwork(WLANinterworking(3GPPTS33.234v7.5.0,3G security;WirelessLocalArea Network(WLAN)interworkingsecurityIDT)
2008-08-25印发
中国通信标准化协会发布
查标准上建标网
1范围
2规范性引用文件
3定义和缩略语Www.bzxZ.net
3.1定义
3.2缩略语
43GPP-WLAN互通的安全需求
4.1WLAN互通的参考模型
4.1.1非漫游WLAN互通参考模型
4.1.2接入到HPLMN服务的漫游WLAN互通的参考模型4.1.3接入VPLMN服务的漫游WLAN互通的参考模型4.1.4网络元素
4.1.5参考点描述
4.2安全需求，
4.2.1一般安全需求
4.2.2信令和用户数据的保护
4.2.3用户标识的机密性
4.2.4WLAN-UE的功能分离
4.2.5链路层安全需求
4.2.6UB发起隧道建立
4.2.7支持紧急呼叫的安全需求
4.2.8支持无UICC终端的紧急呼叫的安全需求5安全特征·
5.1用户与网络的认证，以及安全相关的管理5.1.1WLAN接入的端到端认证（WLAN直接IP接入）5.1.2通过WLAN无线接口的WLAN接入认证信令的传输5.1.3WLAN接入认证信令在WLAN接入网络与3GPPAAA代理服务器之间的传输5.1.43GPPAAAproxy服务器与3GPPAAA服务器之间的认证信令的传输5.1.53GPPAAA服务器与HSS之间的WLAN接入认证信令的传输5.1.6在WLAN接入中用户标识的保密5.1.7WLAN接入的重认证机制
5.1.8UE发起隧道建立过程中的安全关联管理（WLAN3GPPIP接入5.2机密性保护.
5.2.1WLAN直接IP接入的机密性保护5.2.2WLAN3GPPIP接入的机密性保护5.3完整性保护
5.3.1WLAN直接IP接入的完整性保护5.3.2WLAN3GPPIP接入的完整性保护5.4服务立即终止
YDB0212008
YDB021-2008
5.5WLANUE终端功能分离..
5.6同时接入控制
6安全机制
6.1认证和密钥协商.
6.1.1基于USIM的WLAN接入认证，6.1.2基于GSMSIM的WLAN接入认证6.1.3智能卡对EAP的支持
6.1.4WLAN接入中的快速重认证机制6.1.5UE初始隧道的建立机制（WLAN3GPPIP接入）6.2机密性机制........
6.2.1WLAN直接IP接入中的机密性机制6.2.2WLAN3GPPIP接入中的机密性机制6.3完整性机制..
6.3.1WLAN直接IP接入中的完全性机制6.3.2WLAN3GPPIP接入中的完整性机制、6.4临时标识管理．
6.4.1临时标识的生成，
6.4.2密钥管理...
6.4.3对永久用户标识的影响..
6.4.4已知的局限性
6.4.5接收到请求发送基于IMSI的用户标识时的UE行为6.5IKEv2档案
6.6IPSecESP的档案，
6.7PDG证书的档案，
6.8WLANUE分离互通（splitinterworking）6.8.1使用EAPAKA进行完全认证.6.8.2使用EAPSIM进行完全认证
6.8.3使用EAPAKA进行快速重认证.6.8.4使用EAPSIM进行快速重认证，7支持无UICC终端通过I一WLAN拨打紧急呼叫7.1支持无UICC终端通过I-WLAN拨打IMS紧急呼叫附录A（资料性附录）有WLAN相关技术的安全性回顾A.1IEEE.++++.-.
A.1.1IEEE802
A.1.2认证
A.1.3加密和完整性保护
A.2ETSI/BRAN.
A.2.1HIPERLAN/2安全架构...：A.2.1.1机密性保护
A.2.1.2认证
A.2.1.3完整性保护
A.2.2安全机制...
A.2.2.1机密性，
A.2.2.2认证：
查标准上建标网
A.3.1密钥产生和EAP方法
A.3.2RADIUS和Diameter的共存
附录B（资料性附录）信任模型*B.1信任模型实体..
B.2信任关系
附录C（资料性附录）安全威胁分析C.1公共WLAN接入安全
C.2资产和威胁..
C.2.13GPP运营上的资产
C.2.1.1接入WLAN业务
C.2.1.2非WLAN资产
C.2.2WLAN用户的资产
C.2.2.1接入WLAN业务
C.2.2.2用户数据和隐私
C.2.3WLAN接入网络提供商的资源C.3攻击
C.3.1对受害者的WLANUE的攻击
032来月
个攻击者的WLANUE和/或接入点的攻击C.3.3对WLANAN的基础设施的攻击C.3.4互联网上其他设备造成的攻击C.3.53GPP的WLAN接入中的A5/2攻击附录D（资料性附录）序列号的管理附录E（资料性附录）关于UE发起隧道建立的可选机制(WLANGPPIP接入）E.1使用签约者证书的IKE（完整性密钥交换）E.2使用签约者证书的IKEv2
附录F（资料性附录）对WLANUE和UICC或SIM卡的不相容情况的处理参考文献
YDB021—2008
查标准上建标网
本技术报告基于3GPP制订的Release-7技术规范，等同采用3GPPTS33.234v7.5.0。为便于使用，本技术报告做了下列编辑性修改：a）提及自身时将“本规范”一词改为“本技术报告”删除国际标准的前言：
补充一些缩略语：
d）使用GB/T1.1-2000规定的列项符号：e）根据GB/T1.1-2000的要求对各种注进行分类。本技术报告的附录 A、附录 B、附录 C、附录 D、附录E、附录F为资料性附录。YDB021—2008
为适应信息通信业发展对通信标准文件的需要，在信息产业部统一安排下，对于技术尚在发展中，又需要有相应的标准性文件引导其发展的领域，由中国通信标准化协会组织制定“通信标准类技术报告”，推荐有关方面参考采用。有关对本技术报告的建议和意见，向中国通信标准化协会反映。本技术报告由中国通信标准化协会提出并归口。本技术报告起草单位：诺基亚通信有限公司、南京爱立信熊猫通信有限公司、上海西门子移动通信有限公司、中国移动通信集团公司、华为技术有限公司。本技术报告主要起草人：张大江、南明凯、李钢、刘斐、黄迎新。IV
查标准上建标网
1范围
YDB021—2008
2GHzTD-SCDMA/WCDMA与WLAN互通的安全技术要求本技术报告规定了3GPP系统与WLAN接入网络互通时的安全架构、信任模型和安全需求，为用户和网络之间的认证、密钥管理、服务认证、用户和网络之间的信令的机密性和完整性保护提供了相应的机制。
本技术报告适用于2GHzTD-SCDMA/WCDMA与WLAN互通的系统。2规范性引用文件
下列文件包含适用于本技术报告应用的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本技术报告，然而，鼓励根据本技术报告达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本技术报告。IETFRFC3748：扩展认证协议（EAP）正ETFRFC4187（2006年1月）：3G系统UMTS认证和密钥管理的扩展认证协议（EAP-AKA）IETFRFC4186（2006年1月）：GSM用户标识模块的扩展认证协议(EAP-SIM）EEE802.11i-2004：信息技术的EEE标准-系统治间的通信和信息交换-特定要求-第11部分：WLAN媒介接入控制（MAC）和物理层（PHY）规范-第6修正：MAC安全增强ETSITS101761-1v1.3.1B：宽带无线接入网络（BRAN)：HIPERLAN类型2：数据链路协议(DLC）层：第1部分：基本数据传输
ETSITS101761-2v1.2.1C：宽带无线接入网络（BRAN)：HIPERLAN类型2：数据链路协议（DLC)层：第2部分：无线数据链路协议(RLC）子层ETSITS101761-4v1.3.1B：宽带无线接入网络（BRAN)：HIPERLAN类型2：数据链路协议(DLC)层：家庭环境的扩展
ETSITR101683v1.1.1:宽带无线接入网络（BRAN)：HIPERLAN类型2：系统纵览3GPPTS23.234：3G系统和WLAN互通：系统描述IETFRFC4282
IETFRFC2865
2005年12月）：网络接入标识符（取代IETFRFC2486）（2000年1月）：用户服务中的远程认证呼叫（RADIUS）IETFRFC1421
（1993年2月）：Intermet电子邮件的私密性增强：第I部分：消息加密和认证过程3GPPTS23.003：编号、寻址和标识IEEEP802.1X/D11（2001年6月）：局域/城域网络标准：基于端口的网络接入控制标准3GPPTS33.102：3G安全：安全构架OpenMobileAllianceOMA-WAP-OCSPV1.0：在线证书状态协议的移动档案；URL:http://openmobilealliance.org/IETFRFC4072C2005年8月）：DiameterEAP应用（2003年8月）：Diameter基本协议IETFRFC3588
IETFRFC3576
IETFRFC3579
IETFRFC4306
IETFRFC4303
TETFRFC4308
（2003年7月）：RADIUS的动态授权扩展（2003年9月）：EAP的RADIUS支持（2005年12月）：Intermet密钥交换协议（IKEv2)）（2005年12月）：IP封装安全载荷(ESP）（2005年8月）：IPsec的密码集合YDB021—2008
（2005年5月）IPsec包的UDP封装IETFRFC3948
IETFRFC4307
IETFRFC2104
IETFRFC2404
ETFRFC2548
IETFRFC3279
的算法和标识符
IETFRPC3280
（2005年12月）：IKEv2使用的密码算法（1997年2月）：HMAC：消息认证的密码散列（1998年11月）：HMIAC-SHA-1-96在ESP和AH中的应用（1999年3月）：Microsoft厂商特定的RADIUS属性（2002年4月）：IntemetX.509公钥基础设施证书和证书注销列表（CRL）档案使用（2002年4月）InternetX.509公钥基础设施证书和证书注销列表（CRL）档案3GPPTS27.007：用户设备（UE)的AT命令集ETSITS102.310:ExtensibleUICC中支持EAPETSITS102.221：智能卡：UICC-终端接口：物理和逻辑特征IETFRFC4739（2006年11月）：IKEY2中的多重认证交换IETFdraft-simon-emu-rfc2716bis-07.txt （2007年1月）：PPPEAPTLS认证协议联邦信息处理标准（FIPS）标准草案：高级加密标准（AES),2001年11月IETFdraft-ietf-eap-keying-02.txt（2004年6月）：EAP密钥管理框架OpenMobileAllianceOMA-WAP-OCSPV1.0：联机证书状态协议移动档案IETFdraft-myers-ikev2-ocsp-01.txt（2006年2月）：IKEv2的OCSP扩展3定义和缩略语
3.1定义
下列定义适用于本技术报告。
3GPP-WLAN互通（3GPP-WLANinterworking）泛指3GPP系统和WLAN标准族之间的互通3.1.2
数据源认证（Dataariginauthentication）确认所接收数据的源与所声明的数据源一致。3.1.3
实体认证（Entityauthentication）确认实体所声明的标识。
外部AAA服务器（ExternalAAAServer）外部AAA服务器位于外部分组数据网络，分组数据网关（PDG）通过Wi参考点与外部AAA服务器互通。3.1.5
密钥刷新（Keyfreshness）
如果能保证一个密钥是新生成的，那么它就是新鲜（fresh）的。相对来说，旧密钥曾经被认证实体或攻击方使用过。
本地接口（Localinterface）
组成WLANUE的设备之间的接口，通带是一个设备具有WLAN功能，一个设备持有UICC或SIM。3.1.7
通过WLAN3GPPIP接入专有网络（Privatenetwork accessfromWLAN3GPpIPAccess）通过WLAN3GPPIP接入专有网络指UE通过一条由UE发起的隧道（接入一个外部IP网络。这是WLAN3GPPIP接入方式之一。WLAN3GPPIP接入与3GPPAAA服务器之间仅仅执行用户认证与授权：而该接2
查标准上建标网
YDB·021--2008
入方式除了与3GPPAAA服务器进行认证和授权之外，还通过分组数据网关与其他外部服务器之间进行认证与授权。
临时标识（Temporaryidentity）归属网络赋予WLANUE的标识，通常在一次认证过程的有效期内用于临时标识用户。3.1.9
隧道（Tunnel)
指在WLAN3GPPIP接入中使用的IPseC安全关联，用于保护WLANUE和3GPP网络之间的通信。它通过IKE协商建立。
WLAN接入点名，标识一个IP网络和一个到该网络的联络点（分组数据网关，PDG）。3.1.11
WLAN3GPPIP接入(WLAN3GPPIPacCeSS）通过3GPP系统接入一个IP网络。3.1.12
WLAN直接IP接入（WLAN directIPaccess)）直接从WLANAN接入一个IP网络。3.1.13
WLAN覆盖（WLANcoverage)
通过一个遵从WLAN标准的实体为3GPP-WLAN互通提供无线局域网接入服务的地区。3.1.14
WLAN-UE
接入与3GPP系统互通的WLAN的用户设备，包括所有的安全功能。3.2缩略语
下列缩略语适用于本技术报告。AAA
RADIUS
AuthenticationAuthorizationAccountingAuthentication andkey agreementCall ControlFunction
Charging gateway
Extensible Authentication ProtocolHomePublicLand MobileNetworkHomeLocation Register
Home Subscriber Server
InternetKey Exchange
Message authentication code
NetworkAddressTranslation
Online Charging System
Personal Digital Assistant
PacketData Gateway
Remote Authentication Dial In User ServiceSubscriber Identity Module
SubscriptionLocatorFunction
认证授权计费
认证和密钥协商
呼叫控制功能
计费网关/
扩展认证协议
归属公用陆地移动网络
归属位置寄存器
归属用户服务器
Internet密钥交换
认证消息码
网络地址转换
联机计费系统
个人数字助理
分组数据网关
远程认证拨号用户服务
用户识别模块
用户位置功能
YDB021—2008
WLANAN
UserEquipment
Universal Integrated CircuitCardVisitedPublieLand MobileNetworkWLANAccess Gateway
WirelessLocal Area Network
WLAN Access Network
WLANAPN
43GPP-WLAN互通的安全需求
4.1WLAN互通的参考模型
4.1.1非漫游WLAN互通参考模型
归属网络负责接入控制和隧道的建立，见图1。Intramet/Intemee
WLAN接入网
用户设备
通用集成电路卡
拜访公用陆地移动网络
WLAN接入网关
无线局域网
无线接入网络
WLAN接入点名
3GPP归属网络
3GPPAAA
服务器
WLAN3GPPIP接入
图1非漫游参考模型
图注：阴影部分是3GPP与WLANTP接入功能部分4.1.2接入到HPLMN服务的漫游WLAN互通的参考模型HLR
归属网络负责接入控制和隧道的建立。通信路由要经过拜访网络（利用AG），见图2。查标准上建标网
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。