(最新)WCDMATD-SCDMA R4总体安全技术要求(征求意见稿)

(最新)WCDMATD-SCDMA R4总体安全技术要求(征求意见稿) ICS YD 中华人民共和国通信行业标准 YD/T××—20×× WCDMA/TD-SCDMA R4总体安全技术要求 WCDMA/TD-SCDMA R4 Security Technique Requirements (征求意见稿) 20××-××-××发布 20××-××-××实施 发布中华人民共和国信息产业部 YD/T××—20×× 目 次 目 次 ........................................................................................................................................... I 前 言 ........................................................................................................................................ III 1 范围 ........................................................................................................................................... 1 2 规范性引用文件......................................................................................................................... 1 3 定义、符号及缩略语 ................................................................................................................. 2 3.1 定义 .................................................................................................................................... 2 3.2 缩略语 ................................................................................................................................ 33.3 符号 .................................................................................................................................... 5 4 3G安全目标 ............................................................................................................................... 5 5 3G安全威胁与需求 .................................................................................................................... 6 5.1 安全上下文 ......................................................................................................................... 6 5.2 安全威胁 ............................................................................................................................. 9 5.3 风险评估 ........................................................................................................................... 13 5.4 安全需求 ........................................................................................................................... 14 6 3G安全结构 ............................................................................................................................. 15 6.1 安全结构概述 ................................................................................................................... 15 6.2 安全特征 ........................................................................................................................... 17 6.3 网络接入安全机制............................................................................................................ 19 6.4 Void .................................................................................................................................... 48 6.5 应用安全机制 ................................................................................................................... 48 7 3G安全综合指南...................................................................................................................... 48 7.1 接入链路安全 ................................................................................................................... 48 7.2 Void .................................................................................................................................... 59 7.3 Void .................................................................................................................................... 59 8 密码算法要求 .......................................................................................................................... 59 8.1 一般算法要求 ................................................................................................................... 59 8.2 功能算法要求 ................................................................................................................... 59 8.3 算法规范的应用 ............................................................................................................... 65 8.4 算法规范和测试数据要求 ................................................................................................ 66 8.5 质量保证要求 ................................................................................................................... 66 8.6 设计机构提案概要............................................................................................................ 67 附 录 A 与无线接入链路上主动攻击相关的威胁 (资料性附录) ........................................ 68 A.1 用户身份的捕捉 ................................................................................................................... 68 A.2 目标和入侵者之间加密的抑制 ............................................................................................ 68 A.3 危及认证数据的安全 ........................................................................................................... 68 A.4 劫持业务 .............................................................................................................................. 68 附 录 B 需求分析 (资料性附录) ......................................................................................... 70 I YD/T××—20×× 附 录 C VOID ............................................................................................................................ 71附 录 D 序列号管理 (资料性附录) ..................................................................................... 72 D.1 认证中心的序列号生成 ....................................................................................................... 72 D.1.1 序列号生成方式 ............................................................................................................ 72 D.1.2 数组机制的支持 ............................................................................................................ 73 D.2 USIM中序列号的处理 ......................................................................................................... 73 D.2.1 USIM中计数器防泄露保护........................................................................................... 73 D.2.2 USIM中序列号更新的确认........................................................................................... 73 D.2.3 说明............................................................................................................................... 74 D.3 序列号管理档案 ................................................................................................................... 74 D.3.1 档案1:部分基于时间的序列号管理 .......................................................................... 74 D.3.2 档案2:非基于时间的序列号的管理 ............................................................................. 75 D.3.3 档案 3: 完全基于时间的序列号的管理 ....................................................................... 75 D.3.4 在队列方案中分配索引值的指导方针.......................................................................... 76 D.4 多设备商环境下的互操作指南 ............................................................................................ 76 附 录 E VOID ............................................................................................................................ 78 附 录 F VOID ............................................................................................................................ 79 附 录 G AMF使用的范例 (资料性附录) ............................................................................. 80 G.1 支持多个算法和密钥 ............................................................................................................ 80 G.2 改变序列号认证 参数 转速和进给参数表a氧化沟运行参数高温蒸汽处理医疗废物pid参数自整定算法口腔医院集中消毒供应 ............................................................................................................ 80 G.3 设置THRESHOLD值来限制加密和完整性密钥的生命期 ................................................. 80 II YD/T××—20×× 前 言 本标准对WCDMA/TD-SCDMA R4版本网络的总体安全技术要求进行了介绍和分析，内容涵盖了WCDMA/TD-SCDMA R4版本网络中安全的各个方面。本标准基于3GPP制订的Release-4(2002年12月份版本)技术规范，具体对应于3GPP TS 21.133 v 4.1.0、3GPP TS 33.102 v 4.5.0、3GPP TS 33.103 v 4.2.0、3GPP TS 33.105 v 4.2.0和3GPP TS 33.120 v 4.0.0。本标准采标类型为等同。 标准结构,, 附录A、B、D、G为资料性附录。 本标准由中国通信标准化协会提出并归口。 本标准起草单位:中兴通信股份有限公司，信息产业部电信研究院、华为技术有限公司，诺基亚首信通信有限公司，青岛朗讯公司，上海贝尔阿尔卡特，中国移动通信集团公司，大唐电信科技产业集团，南京爱立信熊猫通信有限公司，摩托罗拉移动通信设备有限公司 本标准主要起草人:陈璟 黄迎新 张大江 III YD/T××—20×× WCDMA/TD-SCDMA R4总体安全技术要求 1 范围 本标准定义了WCDMA/TD-SCDMA网络的安全威胁与安全需求。 本标准规定了WCDMA/TD-SCDMA网络的安全结构，用户和网络实现双向认证的方法，空中接口上数据加密的方法，空中接口上信令完整性保护的方法，WCDMA/TD-SCDMA网络和GSM网络切换时安全上下文转换的方法。本标准给出了WCDMA/TD-SCDMA网络中各个网元实现安全机制的指南。本标准给出了密码算法的要求。 本标准适用于安全角度指导WCDMA/TD-SCDMA网络建设和网络安全功能验证。 2 规范性引用文件 下列文件中的条款通过本标准的应用而成为本标准的条款。凡事注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 3GPP TR 21.905 3GPP规范词汇表 3GPP TS 02.48 SIM应用工具箱安全机制;阶段1 3GPP TS 22.101 业务 原则 组织架构调整原则组织架构设计原则组织架构设置原则财政预算编制原则问卷调查设计原则 3GPP TS 22.022 移动功能规范 3GPP TS 23.048 USIM应用工具箱安全机制;阶段2 3GPP TS 23.060 通用分组无线业务(GPRS);业务描述;阶段2 3GPP TS 25.331 RRC协议规范 3GPP TS 25.321 MAC协议规范 3GPP TS 25.322 RLC协议规范 3GPP TS 31.101 物理和逻辑特征 3GPP TS 31.102 USIM应用特征 3GPP TS 31.111 USIM应用工具箱(USAT) 3GPP TS 33.102 安全架构 3GPP TS 33.120 安全原则和目标 3GPP TS 35.201 3GPP机密性和完整性算法;文档1:f8和f9规范 3GPP TS 35.202 3GPP机密性和完整性算法;文档2:Kasumi算法规范 3GPP TS 35.203 3GPP机密性和完整性算法;文档3:实现测试数据 ETSI ETR 331法律执行机构需求 ETSI GSM 03.20 安全相关网络功能 ISO 7498-2 安全架构 ISO/IEC 10181-2 开放系统安全框架 ISO/IEC 11770-1 密钥管理框架 UMTS 22.00 UMTS第一阶段 UMTS 22.01 业务原则 UMTS 22.21 虚拟归属环境 UMTS 30.01 Positions on UMTS agreed by SMG 1 YD/T××—20×× 3 定义、符号及缩略语 3.1 定义 本标准采用了下列定义。 1) 接入控制(Access Control):防止资源的未授权使用，包括防止以未授权方式 使用资源[7498-2]。 2) 认证(Authentication):确证某实体具有其所声称的身份[10181-2]。 3) 克隆(Cloning):将一个实体的身份改变为具有相同类型的一个实体的身份的 过程，使得相同类型的两个实体具有相同的身份。 4) 机密性(Confidentiality):保护信息不泄露于未授权的个人、实体或过程。 5) 完整性(Integrity):信息不被未授权方修改的性质。 6) 密钥管理(Key Management):依据安全策略[11770-1]，对密钥的产生、注册、 证明、吊销、分配、安装、存储、归档、撤回、导出和销毁的管理与应用。 7) 法律执行机构(Law Enforcement Agency):由法律机关基于国家法律授权 许可 商标使用许可商标使用许可商标使用许可商标使用许可商标使用许可 获得电信监听结果的组织[ETR 331]。 8) 合法授权(Lawful Authorisation):在某些条件下，授予某一法律执行机构监 听指定的通信，并要求网络运营者或业务提供者合作的许可。典型地，这涉及 由一合法授权实体发布的许可证或法令[ETR 331]。 9) 合法监听(Lawful Interception):由网络运营者或业务提供者基于法律执行 的，获得某些信息并交给法律执行监管机构的行为[ETR 331]。 10) 抗否认业务(Non-Repudiation Service):对抗否认威胁的安全业务。 11) 否认(Repudiation):通信中的一方否认参与所有或部分通信[7498-2]。 12) 数据完整性(Data integrity):保护数据不被进行未授权的修改。 13) 数据源认证(Data origin authentication):确证所接收到的数据的源与其所 声明的一致。 14) 实体认证(Entity authentication):确证实体所声明的身份。 15) 密钥刷新(Key freshness):相对于被敌方或授权方再次使用的旧密钥来讲， 密钥如果能保证是新的，则密钥是刷新的。 16) UMTS实体认证和密钥协商(UMTS Entity authentication and key agreement): 依照本标准第6章的实体认证。 17) GSM实体认证和密钥协商(GSM Entity authentication and key agreement): 依照GSM 03.20的实体认证。 18) 用户(User):在本标准中，用户为一个UMTS用户或一个GSM用户，或者为一 个TR 21.905中定义的物理人。 19) UMTS用户(UMTS subscriber):用户设备和插入其中的USIM组成的移动台。 20) GSM 用户(GSM subscriber):用户设备和插入其中的SIM组成的移动台。 21) UMTS安全上下文(UMTS security context):作为UMTS AKA的执行结果，在 用户域和服务网域之间建立起来的一种状态。在通信两端，"UMTS安全上下文 数据"被存储，其至少包含UMTS加密/完整性密钥CK和IK以及密钥集标识符 KSI。 22) GSM安全上下文(GSM security context):作为GSM AKA的执行结果，在用户 域和服务网域之间建立起来的一种状态。在通信两端，"GSM安全上下文数据" 被存储，其至少包含GSM加密Kc和加密密钥序列号CKSN。 23) 五元组，UMTS的认证向量(Quintet，UMTS authentication vector):临时认 2 YD/T××—20×× 证数据，使得MSC/VLR 或SGSN能够与一特定的用户执行UMTS AKA操作。五元 组由以下五个元素组成:a)网络随机数RAND;b)期望的响应XRES;c)加密密钥 CK;d)完整性密钥IK;e)网络认证令牌AUTN。 24) 三元组，GSM的认证向量(Triplet，GSM authentication vector):临时认证 数据，使得MSC/VLR或SGSN能够与一特定的用户进行GSM AKA。三元组由以下 三个元素组成:a)网络随机数RAND;b)期望的响应SRES;c)加密密钥Kc。 25) 认证向量(Authentication vector):五元组或者三元组。 26) 临时认证数据(Temporary authentication data):UMTS安全上下文数据、GSM 安全上下文数据、UMTS认证向量或GSM认证向量。 27) R98-:符合R97或R98规范的网络节点或ME。 28) R99+:符合R99或R99以后规范的网络节点或ME。 29) 支持UMTS AKA 的R99+ ME(R99+ ME capable of UMTS AKA):只有R99+ UMTS 功能的ME、R99+ GSM/UMTS功能的ME、或只有R99+ GSM功能但支持USIM-ME 接口的ME。 30) 不支持UMTS AKA的R99+ ME(R99+ ME not capable of UMTS AKA):只有R99+ GSM功能并且不支持USIM-ME接口的ME。 31) 移动台(Mobile station):用户设备和用户接入模块的组合。 32) SIM，GSM用户身份模块(GSM Subscriber Identity Module):在安全上下文 中，该模块负责执行GSM用户的认证和密钥协商，该模块既不能处理UMTS的认 证，也不能存储UMTS方式的密钥。 33) 用户接入模块(User access module):USIM或SIM。 34) USIM，用户业务身份模块(User Services Identity Module):在安全上下文 中，此模块负责执行UMTS用户和网络认证以及密钥协商。它同样能够执行GSM 认证和密钥协商以使用户能够漫游到GSM无线接入网。 3.2 缩略语 本标准使用下列缩略语。 AK Anonymity Key 匿名密钥 AKA Authentication and key agreement 认证和密钥协商 AMF Authentication management field 认证管理域 AUTN Authentication Token 认证令牌 AV Authentication Vector 认证向量 CK Cipher Key 加密密钥 CKSN Cipher key sequence number 加密密钥序列号 CS Circuit Switched 电路交换 D(data) 使用签名秘密密钥X解密数据data SK(X) E(data) 将由X发送到Y的数据data使用对称会话密钥i加密 KSXY(i) E(data) 使用用于加密的公钥X加密数据data PK(X) EMSI Encrypted Mobile Subscriber Identity 加密移动用户身份 EMSIN Encrypted MSIN 加密MSIN GSM Global System for Mobile communications 全球移动通信系统 Hash(data) 对数据data执行防碰撞单向HASH函数得到的结果 HE Home Environment 归属环境 HLR Home Location Register 归属位置寄存器 IK Integrity Key 完整性密钥 3 YD/T××—20×× IMEI International Mobile Equipment Identity 国际移动设备身份 IMT-2000International Mobile Telecommunications-2000 国际移动电联-2000 IMSI International Mobile User Identity 国际移动用户身份 IP Internet Protocol Internet协议 ISDN Integrated Services Digital Network 综合业务数字网 ITU International Telecommunications Union 国际电信联盟 KAC Key Administration Centre of Network X 网络X的密钥管理中心 X KSI Key Set Identifier 密钥集标识符 KSS Key Stream Segment 密钥流分段 KS(i) 将数据从X发送到Y的对称会话密钥i XY LAI Location Area Identity 位置区域标识符 MAC message authentication code 消息认证码 MAC-A 包含在AUTN中的消息认证码，使用f1计算得到 MAP Mobile Application Part 移动应用部件 ME Mobile Equipment 移动设备 MS Mobile Station 移动台 MSIN Mobile Station Identity Number 移动台身份号码 MSC Mobile Services Switching Centre 移动业务交换中心 MT Mobile Termination 移动终端 NE Network Element of Network X 网络X的网络元素 X N-ISDN Narrowband ISDN 窄带ISDN PIN Personal Identification Number 个人身份号码 PS Packet Switched 分组交换 PSTN Public Switched Telephone Network 公共交换电话网 P-TMSI Packet-TMSI 分组-TMSI Q Quintet, UMTS authentication vector 五元组，UMTS认证向量 RAI Routing Area Identifier 路由区域标识符 RAND Random challenge 随机挑战 RND X生成的不可猜测的随机数 X SGSN Serving GPRS Support Node 服务GPRS支持节点 SIM Subscriber Identity Module 用户身份模块 SN Serving Network 服务网络 SQN Sequence number 序列号 SQN 对每一用户，在HLR/AuC中保持的个人序列号 HE SQN USIM所接收到最高的序列号 MS SQN 用于增强用户身份机密性的序列号 UIC T Triplet, GSM authentication vector 三元组，GSM认证向量 TD-CDMA Time Division-Code Division Multiple Access 时分-码分多址 TE Terminal Equipment 终端设备 TEMSI Temporary Encrypted Mobile Subscriber Identity 临时加密移动客户身份 Text1 Optional Data Field 可选数据域 Text2 Optional Data Field 可选数据域 Text3 公共密钥算法标识符和公共密钥版本号(包含在公共密钥证书中) TMN Telecommunications Management Network 电信管理网 4 YD/T××—20×× TMSI Temporary Mobile Subscriber Identity 临时移动用户身份 TTP Trusted Third Party 可信第三方 UE User equipment 用户设备 UEA UMTS Encryption Algorithm UMTS加密算法 UIA UMTS Integrity Algorithm UMTS完整性算法 UICC Universal Integrated Circuit Card 全球集成电路卡 UIDN User Identity Decryption Node 用户身份解密节点 UMTS Universal Mobile Telecommunication System 全球移动电信系统 UPT Universal Personal Telecommunication 全球个人电信 USIM User Services Identity Module 用户业务身份模块 UTRAN UMTS Terrestrial Radio Access Network UMTS陆地无线接入网 VLR Visitor Location Register 拜访位置寄存器 VHE Virtual Home Environment 虚拟归属环境 W-CDMA Wideband-Code Division Multiple Access 宽带码分多址 X Network Identifier 网络标识符 XEMSI Extended Encrypted Mobile Subscriber Identity 扩展加密移动客户标识符 XRES Expected Response 期望响应 Y Network Identifier 网络标识符 3.3 符号 本标准使用下列符号。 ‖ 级联 ? 异或 f1 消息认证函数，用于计算MAC *f1 消息认证函数，用于计算MAC-S f2 消息认证函数，用于计算RES和XRES f3 密钥生成函数，用于计算CK f4 密钥生成函数，用于计算IK f5 密钥生成函数，用于计算正常过程中AK *f5 密钥生成函数，在重同步过程中用于计算AK f6 加密函数，用于加密IMSI f7 解密函数，用于解密IMSI f8 完整性算法 f9 机密性算法 f10 衍生函数，用于计算TEMSI K 长期秘密密钥，在USIM和AuC之间共享 4 3G安全目标 3G安全目标如下[33.120]: 1)确保用户产生的信息或与之相关的信息不被滥用或盗用。 2)确保服务网络和归属环境提供的资源和业务不被滥用或盗用。 3)确保标准化的安全特征适用于全球(至少存在一个加密算法可以出口到各国)。 4)确保安全特征充分地标准化，以保证世界范围的协同运做和在不同服务网之间漫游。 5)确保给用户和业务提供者提供的保护等级高于在当前固定网和移动网中提供的保护 等级。 5 YD/T××—20×× 6)确保3G安全特征的实现和机制能随着新的威胁和业务要求进行扩展和增强。 此外，2G系统中使用的基本安全特征应保留，或在需要的地方应加强。这些安全特征包括: 1)客户认证; 2)无线接口加密; 3)客户身份保密; 4)使用可移动的客户模块; 5)客户模块和本地网之间的安全应用层信道; 6)安全特征的透明性; 7)最小化HE和SN之间的信任需求。 在某些情况下，与GSM相比，由于新增加的威胁，3G需要更强或更灵活的安全机制。 1)对抗在漫游情况中的欺诈机制应该包括在3G规范中。 2)对于在授权下的合法监听机制应包括在3G规范中。 5 3G安全威胁与需求 5.1 安全上下文 本节描述设计3G安全特征的上下文。 5.1.1 系统假设 本节列出影响3G安全特征设计的3G系统假设。这些假设由UMTS 30.01、UMTS 22.01和UMTS 22.00导出。 5.1.1.1 业务类型和业务管理 1)基于高度有效和灵活的无线接入方案，3G将支持从窄带(最重要的是语音)到宽带 (目标为2Mbps)全范围的业务[30.01]。 2)3G将允许业务创造。允许新的业务和个性化的业务档案创造，并支持下传这些业务 给用户的能力[22.01][30.01]。 3)3G将支持交互式和分布式业务[22.01]。 5.1.1.2 接入业务 1)3G是无线移动系统。移动性必须包含用户和终端的移动性以允许漫游。3G允许在遵 从规则和运营者协议的网络间的国内和国际漫游。这些协议可静态地或动态地建立 [30.01]。 2)3G将提供各种终端，小到足以带在个人身上，大到可安装在车辆上[30.01]。 5.1.1.3 业务供应 1)3G将提供基于VHE概念的归属环境特定业务[22.00][22.21]。 5.1.1.4 系统结构 1)UTRAN (包括W-CDMA和TD-CDMA无线接口)被认为是3G接入网部分。其它类型的接 入网(例如，固定有线接入)也需要考虑[22.00]。 2)对于3G的运营、管理和维护的标准化协议与ETSI TMN合作定义[30.01, 22.00]。 3)对于专用和商业应用(在无需频率规划及期望许可和无许可应用共存的情况下)，3G 基站需要以一种不协调方式安装[30.01]。 5.1.1.5 安全管理 1)3G安全基于应用一种物理上的安全装置UICC，它可插入终端，也可从终端移出。UICC 包含一个或更多的应用，至少应该包含USIM。 2)包含在UICC中的USIM用来表示并标识用户，以及他与3G业务供应中的归属环境的联系。 6 YD/T××—20×× 3)USIM应在phase 2+ GSM SIM的基础上发展[22.00]。 4)3G终端设备应支持GSM phase 2和phase 2+ SIM作为3G网络的接入模块。这将使 得安全在范围和质量上受限于GSM的等级。因此，3G运营商可以决定是否采用GSM SIM 作为3G业务的接入模块[22.00]。 5)在3G phase 1，不要求在一个终端设备同时激活多个USIM[22.00]。 5.1.1.6 交互工作和兼容性 1)3G将允许用户连接到其他3G用户，并且支持与其它网络的交互工作(例如PSTN、 N-ISDN、GSM、X.25和IP网络)[22.00]。 2)3G将作为IMT-2000家族的一个成员。基于市场和商业生存力的考虑，它将支持与其 它IMT-2000家族的其它成员的漫游。3G接入系统已被指定为ITU的一个候选系统， 3G应满足或超过基本的ITU最小要求[22.01]。 3)3G将接纳多个服务网、归属环境、公共的或专用的环境中的业务供应[22.01]。 4)3G将支持安全的全球跨标准的漫游[30.01]。 5.1.1.7 收费和记帐(Charging and billing) 1)3G将支持产生标准化的收费记录[22.00]。 2)3G将支持在线记帐[22.00]。 3)使用标准化程序，应用一站式记帐概念，3G将支持第三方增值业务的记帐[22.00]。 5.1.1.8 附加业务 1)3G附加业务的规范不在本标准范围内[22.01]。 2)在3G系统中对GSM附加业务的支持有待进一步研究[22.00]。 5.1.2 3G中的角色 本小节描述在3G业务的应用、供应(provision)和规则中所涉及到的各参与方或机构，以及他们之间的相互关系。角色的定义是从安全的角度出发，以便于标识出安全威胁并系统地构造相应的安全要求。 角色只代表单纯的逻辑实体，并不特指真正的法律实体、商业实体、人或物理机器等。 多数情况下，3G的供应和使用涉及的某些参与者可能会集中在一个实体上，如，某公司可能同时作为归属环境和服务网，而一个人也可以同时是客户和用户。 5.1.2.1 用户域 客户(Subscriber):代表一个或多个用户和归属环境相联系的一个人或其他实体。客户负责对此归属环境付费(在业务传输之前或之后，即预附费或订金)。 用户(User):由客户授权使用3G业务的一个人或其它实体。他的使用被限定权限并在用户业务档案中描述。为了阅读或修改某些业务参数，用户能有限的接入他的业务档案。 其他参与方:电信用户，他可以是3G用户呼叫中的呼叫发起方，也可以是3G用户呼叫中的被呼叫方。其他参与方不必是一个3G用户。对这样的其他参与方的保护也存在要求。 5.1.2.2 基本结构域 归属环境:与客户相联系而对与用户签约相关的业务或业务集的供应负完全责任的角色。 归属环境的 职责 岗位职责下载项目部各岗位职责下载项目部各岗位职责下载建筑公司岗位职责下载社工督导职责.docx 如下: 1)客户帐目的提供、分配和管理，包括客户帐目标识符、用户身份、用户号和定金收费 的分配和管理，它也包括所有的记帐机制，这些记帐机制被用于给客户的费用开帐单， 并给网络运营者支付用户的费用。 2)对用户的业务档案的提供和维护，包括用户接入业务档案的提供和控制。 3)与网络运营者协商提供3G业务给其用户所需的网络容量，包括离线协议以允许业务 供应，以及在业务被提供之前进行在线交互以确保用户被正确地识别、定位、认证和 7 YD/T××—20×× 授权使用业务。 服务网:服务网的作用包括提供无线资源、移动性管理、固定容量以交换、路由和处理提供给用户的业务。服务网容量以与服务网有适当协议的归属环境的名义提供，以有益于与归属环境相关的用户。在此上下文中，服务网能力包括接入网能力，一个独立的接入网角色不被定义。 服务网职责有如下四个主要方面: 1)无线资源的供应和管理，包括保证用户业务量机密性的所有加密承载的供应和管理。 2)固定资源、承载容量、连接和路由的供应和管理。 3)计费和帐目数据的收集，并将这些数据传递到归属环境和其他网络运营商。 4)与HE交互作用并使得HE设备可以识别、认证、授权和定位用户。 增值业务提供商:一个客户可以从增值业务提供商那里定制业务，这些业务可能与客户的归属环境无关，虽然增值业务提供商会使用客户的归属环境的(部分)业务以便让客户接入增值业务提供商业务。增值业务提供商在UMTS 22.21中虚拟本地环境的相关章节中定义。 5.1.2.3 非-3G基本结构域 非3G网络运营者:提供3G以外资源并涉及3G业务供应的电信网络资源的角色。由3G网络提供的安全不应依赖于非3G网络。例如，安全参数从一个3G网络通过一个中间网络传递到另一个3G网络，那么不应依靠中间网络来保持那些参数的完整性或保密性。 注:GSM/3G在终端和/或SIM上交互工作不清楚。 5.1.2.4 离线参与方 法规制定者:被授权制定管理3G业务或3G终端或组网设备的供应或使用的法律和指导方针的团体。例如，国家政府和它们的代理，包括法律强制执行代理、国家安全代理、出口控制机构等。3G安全特征和机制不能妨碍这些机构的合法行为。 5.1.2.5 入侵者 入侵者:试图破坏3G的机密性、完整性或可用性的参与方，或者试图滥用3G以危及业务的安全或欺骗用户、本地环境、服务网或任何其他的参与方的参与者。例如，一个入侵者可能试图偷听用户业务量、信令数据和/或控制数据，或试图在3G业务的应用、设置或管理中伪装成一个的合法参与者。 5.1.3 3G结构 影响3G安全特征设计的3G系统的结构分量是: 用户业务身份模块(USIM):在3G业务的设置中表示和识别用户的身份以及用户与归属环境之间联系的应用。USIM包含接入3G业务时所需的识别和认证用户的功能和数据，也包含用户业务档案的副本。它也提供其它的安全特征。USIM包含用户的IMSI和所有需要用户携带的安全参数。USIM在称为UICC的的可移动IC卡中实现。 5.1.4 3G身份 影响3G安全特征的3G系统中的各种身份包括: 国际移动用户身份(IMSI):IMSI唯一地标识用户。IMSI被存储在USIM和本地环境数据库中，用户或客户无需知道。 5.1.5 3G数据类型和数据组 不同类型的数据需要不同类型和等级的保护。因此，为了能够导出安全要求，首先必须区分3G中产生的各类数据。 5.1.5.1 3G数据类型 5.1.5.1.1 用户业务 用户业务:这类数据包括所有用户到用户的在端到端业务信道上传输的数据。数据可是数字数据、语音、或任何由用户产生的其它数据。 8 YD/T××—20×× 5.1.5.1.2 信令数据 收费数据:这类数据包括用户在使用网络资源和业务时产生的与费用有关的数据。这些数据通常由网络运营商生成并在网络运营商之间传递。 帐单数据:这类数据包括由客户为他们的用户所产生的费用而生成的与费用相关的数据。这些数据由归属环境生成(使用从网络运营者处得到的收费数据)并传递给客户。 位置数据:这类数据包括相关用户(或终端设备)的位置数据。这些数据由网络运营商生成并被传递给用户的归属环境(网络运营商可以保留也可以不保留)。 寻址数据:这类数据包括与终端用户(和可能的终端设备)相联系的地址数据。这些数据由归属环境生成并分配给用户。为了发起呼叫，用户将它传给网络运营者，然后由网络运营者将它传递给相关用户的归属环境。 身份数据:这类数据包括确定实体身份的数据，实体通常是用户。用户身份由适当的归属环境生成，并被存储在归属环境的数据库和USIM上。当在实体间传递时，用户身份也许伴有与用户相关的数据，如收费、帐单和位置数据。 安全管理数据:这类数据包括与安全管理相关的数据。它包含加密密钥、认证信息等数据。这些数据由第三方或涉及的实体自身生成。 5.1.5.1.3 控制数据 路由数据:这类数据包括通过网络传递以纠正呼叫路由的数据。这些数据将由本地环境或网络运营商(使用位置和寻址数据)生成，并在网络运营商之间传递。 网络资源管理数据:这类数据包括与终端物理接入网络运营商和接入网络运营商之间的物理接口有关的数据。这类数据由网络运营商生成，并在网络运营商和终端之间传递。 接入控制管理数据:这类数据包括与终端设备、网络资源和业务档案的接入控制有关的数据。这些数据包含由用户生成的PIN以及由归属环境和网络运营商生成的身份数据库。这些数据一般由生成实体存储。 业务档案数据:这类数据包括与用户业务档案相关的数据。这类数据在用户和归属环境间生成并传递。 附加呼叫控制数据:这类数据包括建立、维持或释放一个呼叫所需的所有数据，不包括身份、寻址和路由数据。这些数据由用户或网络运营商生成，并在用户和网络运营商间，或在网络运营商间传递。 5.1.5.2 3G数据组 5.1.5.2.1 与用户相关的数据 与用户相关的数据包含用户业务、收费数据、帐单数据、位置数据、寻址数据、身份数据、安全管理数据、接入控制管理数据和业务档案数据。 5.2 安全威胁 本小节描述3G系统面临的安全威胁，详述威胁做什么，它们如何进行，出现在系统中的什么地方。 威胁可做如下分类: 1)未授权访问敏感数据(破坏机密性) a)窃听:入侵者截获消息，没有被发现。 b)伪装:入侵者欺骗合法用户使其相信入侵者是合法系统，以获得用户的机密信息; 或者入侵者欺骗合法系统使其相信入侵者是授权用户，以获得系统服务或机密信 息。 c)业务量分析:入侵者观察消息的时间、速率、长度、信源和信宿，以确定用户的 位置或获悉一个重要的商业交易是否发生。 d)浏览:入侵者寻找敏感信息的数据存储。 9 YD/T××—20×× e)泄漏:入侵者利用合法访问数据的过程获取敏感信息。 f)推论:入侵者通过发送一个询问或信号到系统并分析系统的反应。例如，入侵者 可能主动发起通信会话，然后通过观察在无线接口上的相关消息的时间、速率、 长度、信源或信宿来获得信息。 2)敏感数据的未授权处理(破坏完整性) a)消息处理:消息可能被入侵者故意地修改、插入、重放或删除。 3)干扰或滥用网络业务(导致拒绝服务或降低可用性) a)干扰:入侵者可通过干扰用户的业务量、信令或控制数据，阻止授权用户使用业务。 b)资源耗尽:入侵者可通过业务过载来阻止授权用户使用业务。 c)滥用优先权:用户或服务网可能利用优先权以获得未授权的业务或信息。 d)业务滥用:入侵者可能滥用某一特殊业务或设备，以获得利益或引起网络中断。 4)否认(Repudiation):用户或网络否认已发生的行为。 5)未授权接入业务 a)入侵者伪装为用户或网络实体接入业务。 b)用户或网络实体可能通过误用他们的接入权获得对未授权业务的接入。 上述分类中的一些安全威胁将根据下列攻击点来讨论。 1)无线接口; 2)系统的其它部分; 3)终端和UICC/USIM。 附录A给出了与无线接口主动攻击相关的更多安全威胁信息。附录A中给出的威胁可以和下列列出的威胁进行组合。 5.2.1 与无线接口攻击相关的威胁 在终端设备和服务网之间的无线接口是3G中的一个重要攻击点，所受的威胁可做如下分类: 1)未授权访问数据; 2)完整性威胁; 3)拒绝业务; 4)未授权接入业务。 5.2.1.1 未授权访问数据 T1a 窃听用户业务:入侵者在无线接口上窃听用户业务。 T1b 窃听信令或控制数据:入侵者在无线接口上窃听信令数据或控制数据。这些数据可被用于接入安全管理数据或其它在导致对系统的主动攻击方面有用的信息。 T1c 伪装成通信参与者:入侵者伪装成一网络元素，在无线接口上截获用户业务、信令数据或控制数据。 T1d 被动的业务分析:入侵者观察在无线接口上消息的时间、速率、长度、信源和信宿来获取信息。 T1e 主动的业务分析:入侵者主动地发起通信会话，通过观察在无线接口上相关消息的时间、速率、长度、信源和信宿来获取信息。 5.2.1.2 对完整性的威胁 T2a 处理用户业务:入侵者可能修改、插入、重放或删除在无线接口上的用户业务。包括无意或有意的操作。 T2b 处理信令或控制数据:入侵者可能修改、插入、重放或删除在无线接口上的信令数据或控制数据。包括无意或有意的操作。 10 YD/T××—20×× 注:入侵者不能译出的重放数据仍可用于破坏用户业务、信令数据或控制数据的完整性。 5.2.1.3 拒绝业务攻击 T3a 物理干涉:入侵者通过物理方法阻止用户业务、信令数据和控制数据在在无线接口上传输。例如干扰。 T3b 协议干涉:入侵者通过引入特殊的协议错误阻止用户业务、信令数据和控制数据在无线接口上传输。这些协议失败本身可由物理方法导出。 T3c 伪装成通信参与者的拒绝业务:入侵者通过伪装成一网络元素阻止用户业务、信令数据和控制数据在无线接口上传输，以拒绝合法用户的业务。 5.2.1.4 未授权接入业务 T4a 伪装成另一用户:入侵者伪装成网络的另一用户。入侵者首先伪装成一面向用户的基站，在认证执行之后截取连接。 5.2.2 与攻击系统其它部分相关的威胁 尽管对终端设备和服务网之间的无线接口的攻击是主要的威胁，但攻击者也可攻击系统其它部分。包括对其它无线接口的攻击，对有线接口的攻击，以及那些不能归类于单一接口或攻击点的攻击。攻击系统其它部分相关的威胁可分类如下: 1)未授权接入数据; 2)对完整性的威胁; 3)拒绝业务; 4)否认; 5)未授权接入业务。 5.2.2.1 未授权接入数据 T5a 窃听用户业务:入侵者可在系统的任一接口上(有线或无线)窃听用户业务。 T5b 窃听信令或控制数据:入侵者可在系统的任一接口上(有线或无线)窃听信令数据或控制数据。这可用于获得安全管理数据，从而导致对系统的其它攻击。 T5c 伪装成数据的预定接收者:入侵者伪装成一网络元素以截取系统任一接口上(有线或无线)的用户业务、信令数据或控制数据。 T5d 被动的业务量分析:入侵者观察在系统任一接口上(有线或无线)的消息的时间、速率、长度、信源和信宿以获取信息。 T5e 未授权访问系统实体存储的数据:入侵者可访问系统实体存储的数据。对系统实体的接入可在本地或远程进行，并可能包含对物理或逻辑控制的突破。 T5f 危及位置信息的安全:3G业务的合法用户在呼叫建立时可通过(分析)接收到的正常信令或话音提示获得非预定的有关其他用户位置的信息。 5.2.2.2 对完整性的威胁 T6a 处理用户业务:入侵者在系统的任一接口上(有线或无线)修改、插入、重放或删除用户业务。包括无意和有意的操作。 T6b 处理信令或控制数据:入侵者在系统的任一接口上(有线或无线)修改、插入、重放或删除信令或控制数据。包括无意和有意的操作。 T6c 伪装成通信参与者的操作:入侵者伪装成网络元素在系统的任一接口上(有线或无线)修改、插入、重放或删除用户业务、信令数据或控制数据。 T6d 处理下传到终端或USIM的应用和/或数据:入侵者修改、插入、重放或删除下传到终端或USIM的应用和/或数据。包括无意和有意的操作。 T6e 通过伪装成应用和/或数据的发起人处理终端或USIM的行为:入侵者伪装成下载到终端或USIM的恶意应用和/或数据的发起者。 T6f 处理系统实体存储的数据:入侵者修改、插入或删除系统实体存储的数据。接入系 11 YD/T××—20×× 统实体可在本地或远程进行，并可能包含对物理或逻辑控制的突破。 5.2.2.3 拒绝业务攻击 T7a 物理干涉:入侵者可通过物理方法阻止用户或信令业务在系统的任一接口上(有线或无线)传输。例如，有线接口上的物理干涉可以是切断线路，无线接口上的物理干涉可以是干扰。包括切断传输设备电源供应的物理干涉可在有线和无线接口上进行。物理干涉也可通过延迟有线或无线接口上的传输来进行。 T7b 协议干涉:入侵者可通过引入协议失败阻止用户或信令业务在系统的任一接口上(有线或无线有线或无线)传输。这些协议失败可由物理方法导出。 T7c 伪装成通信参与者拒绝业务:入侵者通过伪装成网络元素截取和阻塞用户业务、信令数据或控制数据以阻止用户业务、信令数据或控制数据传输，拒绝合法用户的业务。 T7d 滥用紧急业务:入侵者可阻止其他用户接入业务，并可能通过滥用3G终端紧急业务的无USIM呼叫能力引起严重的紧急业务设施中断。如果允许无USIM呼叫，那么供应商无法防止入侵者接入此业务。 5.2.2.4 否认 T8a 否认费用:用户通过否认试图接入业务或否认实际已提供了的业务来否认已出现的费用。 T8b 否认用户业务源:用户可能发送了用户业务。 T8c 否认用户业务交付:用户否认接收了用户业务。 5.2.2.5 未授权接入业务 T9a 伪装成用户:入侵者伪装成用户使用授权于此用户的业务。入侵者可能得到其它实体，如服务网、归属环境甚至用户本身的协助。 T9b 伪装成服务网:入侵者伪装成服务网或服务网基本结构的一部分，意图使用授权用户的接入尝试以获得对业务的接入。 T9c 伪装成归属环境:入侵者伪装成归属环境，意图获得使入侵者能冒充一合法用户的信息。 T9d 滥用用户优先权:用户滥用优先权以获取对业务未授权的接入，或仅仅使用他们的定制而不付费。 T9e 滥用服务网优先权:服务网可能滥用它们的优先权以获取对业务的未授权接入。例如，服务网可以滥用一个用户的认证数据以允许一同谋者伪装成该用户或伪造收费记录从归属环境获得额外收入。 5.2.3 与攻击终端和UICC/USIM有关的威胁 T10a 使用偷窃来的终端和UICC:入侵者使用偷窃获得的终端和UICC以获得对业务的未授权的接入。 T10b 使用借来的终端和UICC:被授权使用借来设备的用户滥用他们的优先权而超出商定的使用范围。 T10c 使用偷窃来的终端:用户使用一个有效的USIM与偷窃来的终端来接入业务。 T10d 处理终端身份:用户修改一终端的IMEI，并与有效的USIM一起使用来接入业务。 T10e 终端上的数据完整性:入侵者修改、插入或删除终端存储的应用和/或数据。接入终端可在本地或远程进行，并可能包含对物理或逻辑控制的突破。 T10f USIM数据的完整性:入侵者修改、插入或删除USIM存储的应用和/或数据。接入USIM可在本地或远程进行。 T10g 窃听UICC-终端接口:入侵者可以窃听UICC-终端接口。 T10h 伪装成UICC-终端接口上的数据的预定接收者:入侵者伪装成一USIM或终端以截取UICC-终端接口上的数据。 12 YD/T××—20×× T10i 处理UICC-终端接口上的数据:入侵者修改、插入、重放或删除在UICC-终端接口上的用户业务。 T10j 终端或UICC/USIM上特定用户数据的保密性:入侵者访问存储在终端或UICC上的个人用户数据，例如，电话簿。 T10k UICC/USIM上认证数据的保密性:入侵者访问由业务提供者存储的数据，例如，认证密钥。 5.3 风险评估 5.3.1 威胁评估 威胁按照出现的可能性和影响的严重性来进行分析和评估。这里列出具有严重或中等影响的威胁。影响严重的威胁被特别注明，其他的威胁为中等影响的威胁。 5.3.1.1 评估为严重或中等影响的威胁 T1a 窃听用户业务:入侵者在无线接口上窃听用户业务。(严重) T1b 窃听信令或控制数据:入侵者在无线接口上窃听信令数据或控制数据。这些数据可被用于接入安全管理数据或其它在导致对系统的主动攻击方面有用的信息。 T1c 伪装成通信参与者:入侵者伪装成一网络元素，在无线接口上截获用户业务、信令数据或控制数据。(严重) T1d 被动的业务分析:入侵者观察在无线接口上消息的时间、速率、长度、信源和信宿来获取信息。(严重) T4a 伪装成另一用户:入侵者伪装成网络的另一用户。入侵者首先伪装成一面向用户的基站，在认证执行之后截取连接。 T5b 窃听信令或控制数据:入侵者可在系统的任一接口上(有线或无线)窃听信令数据或控制数据。这可用于获得安全管理数据，从而导致对系统的其它攻击。 T6e 通过伪装成应用和/或数据的发起人处理终端或USIM的行为:入侵者伪装成下载到终端或USIM的恶意应用和/或数据的发起者。 T9a 伪装成用户:入侵者伪装成用户使用授权于此用户的业务。入侵者可能得到其它实体，如服务网、归属环境甚至用户本身的协助。(严重) T9b 伪装成服务网:入侵者伪装成服务网或服务网基本结构的一部分，意图使用授权用户的接入尝试以获得对业务的接入。 T9d 滥用用户优先权:用户滥用优先权以获取对业务未授权的接入，或仅仅使用他们的定制而不付费。(严重) T10a 使用偷窃来的终端和UICC:入侵者使用偷窃获得的终端和UICC以获得对业务的未授权的接入。(严重) T10c 使用偷窃来的终端:用户使用一个有效的USIM与偷窃来的终端来接入业务。(严重) T10d 处理终端身份:用户修改一终端的IMEI，并与有效的USIM一起使用来接入业务。(严重) T10e 终端上的数据完整性:入侵者修改、插入或删除终端存储的应用和/或数据。接入终端可在本地或远程进行，并可能包含对物理或逻辑控制的突破。 T10f USIM数据的完整性:入侵者修改、插入或删除USIM存储的应用和/或数据。接入USIM可在本地或远程进行。 T10k UICC/USIM上认证数据的保密性:入侵者访问由业务提供者存储的数据，例如，认证密钥。(严重) 5.3.2 威胁分析结果 大多数主要的威胁可归结为如下几类: 13 YD/T××—20×× 1)伪装:伪装成其他的用户以获得未授权的接入业务(即，记帐到另一用户的帐目上)。 2)窃听:破坏用户数据业务的机密性，或破坏与呼叫相关的信息，如拨号、位置数据等的机密性。 3)定制欺骗:客户大量使用业务而无意付费。 5.4 安全需求 5.4.1 从威胁分析导出的需求 5.4.1.1 对3GPP业务的安全需求 5.4.1.1.1 对业务接入的安全需求 R1a 有效的USIM应能接入除紧急呼叫以外的任何3G业务。网络决定是否允许没有USIM的紧急呼叫。(T7d，T9a、d) R1b 能够防止入侵者通过伪装成授权用户来获得未授权的3G业务接入。(T4a，T9a、c) R1c 在业务开始时和业务传输过程中，用户能够验证服务网是否被授权代表用户的归属环境提供3G业务。(T1c、e，T3c，T4a，T9b、c) 5.4.1.1.2 对业务供应的安全需求 R2a 业务供应商能够在业务开始时和业务传输过程中认证用户，以防止入侵者通过伪装或滥用优先权获得对3G业务的未授权接入。(T4a，T8a，T9a、d) R2b 能够发现并防止业务的欺骗使用。而且，需要产生警报以警告提供商安全相关事件。同时需要生成与安全相关的事件的审计记录。(T8a、b、c，T9d、e，T10a、b) R2c 能够防止使用特定的USIM接入3G业务。(T9a、d，T10a) R2d 归属环境能够使得提供给某些用户的所有业务立即终止，由服务网提供的业务也一样可以立即终止。(T9a、d，T10a、b) R2e 服务网能够在无线接口上认证用户业务、信令数据和控制数据的信源。(T8a、b、c，T9c) R2f 能够防止入侵者通过逻辑方法限定业务的可用性。(T3b、c，T7e) R2g 在网络运营者之间应有一个安全的基本结构，设计使得对于安全功能而言SN对HE的信赖要求最小。 5.4.1.2 对系统完整性的需求 R3a 能够防止未授权修改用户业务。(T2a，T6a、c，T7b、c) R3b 能够防止未授权修改某些信令数据和控制数据，特别是在无线接口上。(T2b，T3b、c，T6b、c，T7a、b、c) R3c 能够防止未授权修改下载到或存储在终端或USIM中的与用户相关的数据。(T6d、e，T6c，T10f、i) R3d 能够防止未授权修改由供应商存储或处理的与用户相关的数据。(T6c、f) R3e 能够确保下载到终端和/或UICC的应用和/或数据的信源、完整性和刷新性可以被检测。必需确保下载应用和/或数据的保密性。(T6c、d、e、f，T10e、f、i) R3f 能够确保认证数据(特别是无线接口上的加密密钥)的信源、完整性和刷新性。(T1a、b，T2b，T5c，T6c) R3g 能够保护运营商之间的基本结构。(T5a、b、c，T6a、b、c，T7a、b、c，T9b、c) 5.4.1.3 保护个人数据的需求 5.4.1.3.1 与用户相关的传输数据的安全 R4a 能够保护某些信令数据和控制数据的机密性，特别是在无线接口上。(T1b、d，T5b、c、d) R4b 能够保护用户业务的机密性，特别是在无线接口上。(T1a，T5a) R4c 能够保护用户身份数据的机密性，特别是在无线接口上。(T1b、d，T3b，T5b、c、14 YD/T××—20×× d、e) R4d 能够保护有关用户位置数据的机密性，特别是在无线接口上。(T1b，T3b，T5b、c、d、e) R4e 能够防止参与特定3G业务的用户的位置数据不必要的暴露给参与同一3G业务的其他参与者。(T5f) R4f 用户能够检测他的用户业务和呼叫相关信息是否有机密性保护。(T1a、b) 5.4.1.3.2 与用户相关的被存储数据的安全性 R5a 能够保护由供应商存储或处理的与用户相关的数据的机密性。(T5c、e) R5b 能够保护在终端或USIM中由用户存储的与用户相关的数据的机密性。(T10h、j) 5.4.1.4 对终端/USIM的需求 5.4.1.4.1 USIM安全 R6a 能够控制对USIM的访问，使得USIM仅能由客户或由客户明确授权的用户用于接入3G业务。(T10a，g) R6b 能够控制对USIM中数据的访问。例如，某些数据仅由授权的HE接入。(T10h、j、k) R6c 不能访问存储在USIM中，并仅打算在USIM内使用的数据，例如，认证密钥和算法。(T10h、k) 5.4.1.4.2 终端安全 R7a 能够阻止终端的偷窃。(T10a、c、d) R7b 能够禁止一特定的终端接入3G业务。(T10a、c、d) R7c 改变终端身份以逃避为阻止特定终端接入3G业务所做的检查是困难的。(T10a、c、d) 5.4.2 外部需求 5.4.2.1 法规制定者需求 5.4.2.1.1 合法监听 R8a 法律执行机构应能够根据国家法律监控并截取每一呼叫和呼叫尝试，以及其他业务或与呼叫相关的用户行为。这适用于根据国家法律，在国家法律执行机构安排下，由服务网或归属环境的设备和/或接口，其目的仅为了进行合法监听。 6 3G安全结构 6.1 安全结构概述 图1示出了完整的3G安全结构情况。 15 YD/T××—20×× Application(IV)stratumUser ApplicationProvider Application Home(I)(I)(III)stratum/USIMHEServing(II)Stratum(I)(I) SN Transport(I)stratumMEAN 图1 安全结构 定义了五个安全特征组，每一安全特征组对付某些特定的安全威胁，实现某些特定的安全目标: 1)网络接入安全(I):该安全特征集提供用户安全接入3G业务，特别能抗击在(无线) 接入链路上的攻击。 2)网络域安全(II):该安全特征集使在运营商网络域中的结点能够安全地交换信令数 据，抗击在有线网络上的攻击。 3)用户域安全(III):该安全特征集确保安全访问移动台。 4)应用域安全(IV):该安全特征集使在用户域和在业务提供者域中的应用能够安全地交换消息。 5)安全的可视性和可配置性 (V):该安全特征集使用户能知道一个安全特征集是否在运 行，且业务的应用和设置是否应依赖于该安全特征。 图2示出了ME在具有CS业务域和PS业务域的UMTS内的注册和连接原理。如在GSM/GPRS中一样，用户身份(临时的)识别、认证和密钥协商将在每一个域中独立的进行。用户平面业务将使用与相应业务域协商的加密密钥加密，而控制平面数据将使用来自两个业务域的一个加密密钥和完整性密钥进行加密和完整性保护。 16 YD/T××—20×× Common subscriptionHLR data base PS location CS location Two CN service domains PS service CS servicedomaindomain3G SGSN3G MSC/VLR PS state CS state Two Iu signalling connections (“two RANAP instances”) UTRAN withdistributionUTRANfunctionality One RRC connection CS statePS state UE 图2 对于独立的CN结构情况，ME在UMTS内注册和连接原理概况，其中CN由一个CS业务域和一个PS业务域组成，CS业务域具有演进的MSC/VLR, 3G_MSC/VLR作为主要的业务结点， PS业务域具有演进的SGSN/GGSN, 3G_SGSN 和 3G GGSN作为主要的业务结点 6.2 安全特征 6.2.1 网络接入安全 6.2.1.1 用户身份机密性 与用户身份机密性相关的安全特征如下: 1)用户身份机密性:接收业务用户的用户永久身份(IMSI)在无线接入链路上不能被窃听。 2)用户位置机密性:用户在某一区域出现或到达，不能在无线接入链路上通过窃听来确定。 3)用户的不可追溯性:入侵者不能通过在无线接入链路上窃听而推断出不同的业务是否 传递给同一用户。 为了实现这些目标，用户通常用临时身份识别机制，拜访的服务网络可利用临时身份识别用户。为了避免用户的可追溯性(这可能危及用户身份的机密性)，用户不应长期的利用同一临时身份来识别。另外，为了实现这些安全特征，要求任何可能暴露用户身份的信令或用户数据在无线接入链路上都应加密。 6.3.1小节将描述一种机制，其允许用户在无线路径上利用临时身份识别，在拜访服务网利用临时身份识别。该机制通常在位置更新请求、业务请求、分离请求、连接重建请求等中识别无线路径上的用户。 6.2.1.2 实体认证 与实体认证相关的安全特征如下: 1)用户认证:服务网验证用户的身份。 17 YD/T××—20×× 2)网络认证:用户验证其被连接到了一个由该用户的HE授权且为其提供业务的服务网， 这包括保证该授权是新的。 为了实现这些目标，假设实体认证应该在用户和网络之间的每一个连接建立时出现。包含两种机制:一种是使用由用户的HE传递给服务网的认证向量的认证机制，一种是使用在用户和服务网之间在早先执行的认证和密钥建立过程期间所建立的完整性密钥的本地认证机制。 6.3.3节将描述一个认证和密钥建立机制来实现上述安全特征，此外，在用户和服务网之间建立一个秘密加密密钥(见6.2.1.3)和一个完整性密钥(见6.2.1.4)。在用户第一次在服务网注册之后，以及发生在业务请求、位置更新请求、附着请求、分离请求或连接重建请求之后，使用导出的完整性密钥的本地认证达到最大数之时，该机制由服务网调用。 6.3.5节将描述本地认证机制，该本地认证机制实现用户认证和网络认证的安全性，并使用在用户和服务网之间早先执行的认证和密钥建立过程时所建立的完整性密钥。该机制由服务网调用，其发生在业务请求、位置更新请求、附着请求、分离请求或连接重建请求之后，只要还没达到使用同一导出的完整性密钥的本地认证的最大数。 6.2.1.3 机密性 与网络接入链路上数据机密性有关的安全特征如下: 1)加密算法协商:MS和SN能够安全地协商他们随后将使用的算法。 2)加密密钥协商:MS和SN能就他们随后使用的加密密钥达成一致。 3)用户数据的机密性:用户数据不可能在无线接入接口上被窃听。 4)信令数据的机密性:信令数据不可能在无线接入接口上被窃听。 加密密钥协商在认证和密钥协商机制的执行过程中实现(见6.3.3)。加密算法协商通过在用户和网络之间的安全模式协商机制来实现。该机制同样使所选择的加密算法和一致认可的加密密钥以6.3.6节中描述的方式应用。 6.2.1.4 数据完整性 与网络接入链路上的数据完整性有关的安全特征如下: 1)完整性算法协商:MS和SN能够安全地协商他们随后将使用的完整性算法。 2)完整性密钥协商:MS和SN能就他们随后使用的完整性密钥达成一致。 3)数据完整性和信令数据的信源认证:接收实体(MS或SN)能够查证信令数据从发送实 体(SN或MS)发出之后没有被某种未授权方式修改，且与所接收的信令数据的数据源 一致。 完整性密钥协商在认证和密钥协商机制的执行过程中实现(见6.3.3)。完整性算法协商通过在用户和网络之间的安全模式协商机制来实现。该机制同样使所选择的完整性算法和一致认可的完整性密钥以6.3.4节描述的方式应用。 6.2.1.5 移动设备识别 在某些情况下，SN可能要求MS给它发送终端的移动设备身份。移动设备身份仅在SN的认证之后发送，紧急呼叫除外。IMEI应在终端中安全地存放。可是，该身份出现在网络不是一个安全特征，且IMEI的传输不受保护。虽然这不是一个安全特征，可是并未从UMTS删除，因为对其它目的IMEI是有用的。 6.2.2 网络域安全 6.2.2.1 Void 6.2.2.2 Void 6.2.2.3 Void 6.2.2.4 欺诈信息采集系统 注:将提供某些特征，根据确定的时间约束，其允许收集到的欺诈信息在3G MS提供者18 YD/T××—20×× 之间交换。 6.2.3 用户域安全 6.2.3.1 User-to-USIM的认证 该特征提供的性质:接入USIM是受限制的，直到USIM认证了用户为止。因此，可确保接入USIM能够限制于一个授权的用户或一些授权的用户。为了实现该特征，用户和USIM必须共享一安全地存储在USIM中的秘密数据(例如PIN)。只有用户证明知道该秘密数据，他/她才能接入USIM。 该安全特征利用TS 31.101中描述的机制实现。 6.2.3.2 USIM-终端链路 该特征确保接入终端或其它用户设备能够限制于一个授权的USIM。最终，USIM和终端必须共享一安全地存储在USIM和终端中的秘密数据。如果USIM未能证明他知道该秘密数据，它将被拒绝接入终端。 该特征利用TS 22.022描述的机制实现。 6.2.4 应用安全 6.2.4.1 在USIM和网络间的安全通信 如在TS 31.111说明的，USIM应用工具包将为运营者或第三方提供者提供创建应用的能力，那些应用驻留在USIM上(类似于GSM中的SIM应用工具包)。需要用网络运营者或应用提供者选择的安全等级在网络上安全地将消息传递给USIM上的应用。 USIM应用工具包的安全特征利用TS 23.048中描述的机制实现。这些机制讨论了GSM 02.48中确定的安全要求。 6.2.4.2 Void 6.2.4.3 Void 6.2.4.4 Void 6.2.5 安全的可视性和可配置性 6.2.5.1 可视性 虽然安全特征一般对用户是透明的，但对某些事件以及根据用户所关心的问题，应该提供更多安全特征的用户可视性。因此产生了一些特征，用以 通知 关于发布提成方案的通知关于xx通知关于成立公司筹建组的通知关于红头文件的使用公开通知关于计发全勤奖的通知 用户与安全相关的事件，例如: 1)接入网络加密的指示:告知用户在无线接入链路上用户数据的机密性是否受保护，特 别是当无加密呼叫建立时。 2)安全等级的指示:用户被告知拜访网络所提供的安全等级，特别是，当用户切换或漫 游到具有较低安全等级的网络时(3G,2G)。 6.2.5.2 可配置性 可配置性是这样一性质，用户可配置一个业务的应用或设置是否应依赖于一安全特征的应用。如果所有与业务相关的及由用户的配置所要求的安全特征在运行之中，一个业务才被使用，则可配置性特征如下: 1)能/不能进行用户-USIM认证:用户应能控制用户-USIM认证的运行，例如，对于某些 事件、业务或应用。 2)接受/拒绝进入的非加密呼叫:用户应能够控制用户是接受还是拒绝呼入的非加密呼叫。 3)建立/不建立非加密呼叫:用户应能控制当网络没有使能加密的时候用户是否建立连接。 4)接受/拒绝某些加密算法的使用:用户应能控制那些加密算法对于应用是可接受的。 6.3 网络接入安全机制 19 YD/T××—20×× 6.3.1 根据临时身份识别 6.3.1.1 概述 该机制允许在无线接入链路上利用临时移动客户身份(TMSI/P-TMSI)识别用户。TMSI/P-TMSI仅在用户注册的位置区域或路由区域有意义。在该区域外，它应附加一适当的位置区域标识LAI或路由区域标识RAI以避免混淆。永久的和临时的用户身份之间的联系由用户在其中注册的拜访位置寄存器VLR/SGSN保存。 TMSI/P-TMSI在可得到的情况下通常用于在无线接入路径上识别用户，例如，在寻呼请求、位置更新请求、附着请求、业务请求、连接重建请求和分离请求中识别用户。 过程和机制在GSM03.20和TS 23.060中描述。下节简述这一特征。 6.3.1.2 TMSI重分配过程 本节所描述机制的目的是，分配一新的TMSI/LAI给用户，随后，在无线接入链路上用该TMSI/LAI识别用户。 该过程应该在加密启动之后执行。在无线路径上的通信加密在6.3.6节中说明。临时身份分配如图3所示。 MS VLR/SGSN 分配命令 TMSITMSIn, LAIn 分配结束 TMSI 图3 TMSI分配 临时身份分配由VLR发起。 VLR产生新的临时身份TMSIn并在其数据库中存储TMSIn和永久身份IMSI的关系。TMSI应该是不可预测的。然后VLR发送TMSIn和(如果必要)新的位置区域身份LAIn给用户。 收到TMSI分配信令后，用户存储TMSIn并自动地去除与以前所分配的TMSI的关系。用户发送确认回VLR。 收到确认后，VLR从其数据库中去除旧的临时身份TMSIo和IMSI的关系(如果存在)。 6.3.1.3 临时身份的未确认分配 如果服务网从用户处未接收到临时身份成功分配的确认，网络将维持新的临时身份TMSIn和IMSI之间的关系，以及旧的临时身份TMSIo(如果存在)和IMSI之间的关系。 对用户发起的业务，网络将允许用户使用旧的临时身份TMSIo或者新的临时身份TMSIn识别自己。这使得网络可以确定在移动台中所存储的临时身份。网络随后删除另一个临时身份和IMSI之间的关系，允许将该临时身份分配给其他用户使用。 对网络发起的业务，网络将用永久身份(IMSI)识别用户。当无线连接已建立时，网络将指示用户删除任何所存储的TMSI。当网络从用户处接收到确认时，网络将删除IMSI和任何TMSI之间的关系，允许所释放的临时身份被分配给其他用户。 随后，在上述任一情况中，网络可发起正常的TMSI再分配过程。 TMSI再分配的再次失败(超过运营商的设定)将报告给O&M处理。 6.3.1.4 位置更新 倘若用户使用由拜访的VLRn指定的TMSIo/LAIo识别自己，IMSI通常可从数据库中重20 YD/T××—20×× 新得到。如果不是这种情况，拜访的VLRn将要求用户使用他的永久用户身份识别自己。该机制在6.3.2节中描述。 倘若用户使用的不是拜访的VLRn指定的TMSIo/LAIo对来识别自己 ，拜访的VLRn和先前拜访的VLRo交换认证数据，拜访的VLRn将请求先前拜访的VLRo发送永久用户身份。该机制在6.3.3.4节中描述，它被综合在VLRs之间认证数据分配的机制中。如果先前拜访的VLRo不能连接或不能重新获得用户的身份，拜访的VLRn将请求用户用其永久用户身份识别自己。该机制在6.3.2节中描述。 6.3.2 使用永久身份识别 本节描述的机制允许用永久客户身份IMSI在无线路径上识别用户。 该机制由服务网在用户不能由临时身份识别时调用。特别地，当用户第一次在服务网注册时，或当服务网不能从TMSI(利用TMSI，在无线路径上识别用户)重新获得IMSI时，该机制被调用。 该机制如图4所示。 ME/USIM VLR or SGSN 用户识别请求 用户识别响应 IMSI 图4 利用永久身份识别 该机制由拜访的VLR/SGSN发起，请求用户发送他的永久身份。用户响应包含明文的IMSI。这违背了用户身份保密性的规定。 6.3.3 认证和密钥协商 6.3.3.1 概述 本节描述的机制通过用户和网络之间共享一秘密密钥K实现相互认证，这个秘密密钥仅有USIM和用户的HE中的AuC可得到。此外，USIM和HE分别掌握计数器SQN和SQN，以MSHE支持网络认证。序列号SQN是每个用户的个人计数器，序列号SQN表示USIM所接收到的HEMS 最高序列号。 方法如此选择是为了实现与当前的GSM安全结构的最大兼容，并促进从GSM到UMTS的过渡。方法由与GSM客户认证和密钥建立协议同样的询问/应答协议组成，组合了基于序列号的一次通过协议提供网络认证(从ISO/IEC 9798-4导出)。 该机制流程如图5所示。 21 YD/T××—20×× MS SN/VLR HE/HLR 认证数据请求 产生认证向量..n) 从HE向SN发送 认证向量 认证回应 AV(1..n) 存储认证 选择认证向量 AV(i) 用户认证请求 RAND(i) || AUTN(i) 校验 AUTN(i) 计算 RES(i) 认证和协商密钥 用户认证响应 RES(i) 比较 RES(i) 和XRES(i) 比较CK(i) 和 IK(i) 选择 CK(i) 和 IK(i) 图5 认证和密钥协商 一旦收到来自VLR/SGSN的请求，HE/AuC发送一个包含n个认证向量的有序数组(GSM对应的是三元组)给VLR/SGSN。认证向量基于序列号排序，每个认证向量由下列元素组成:随机数RAND，期望响应XRES，加密密钥CK，完整性密钥IK和认证令牌AUTN。每一认证向量在VLR/SGSN和USIM间执行一次认证和密钥协商。 当VLR/SGSN发起一次认证和密钥协商时，它从有序的数组中选择下一个认证向量，并发送参数RAND和AUTN给用户。在一特定节点中的认证向量以先进先出方式使用。USIM检验AUTN是否可接受，如果被认可，则产生一响应RES发回VLR/SGSN。USIM同样计算CK和IK。VLR/SGSN将所接收到的RES和XRES比较，如果它们匹配，VLR/SGSN认为认证和密钥协商交换成功地完成。所建立的密钥CK和IK然后由USIM和VLR/SGSN传递给执行加密和完整性功能的实体。 即使在HE/AuC链路难以获得时，VLR/SGSNs通过使用以前对于用户所导出的加密密钥和完整性密钥提供安全业务，使得无需认证和密钥协商，安全连接仍可建立。利用信令消息的数据完整性保护(见6.3.4)，认证是基于一共享完整性密钥的情况。 认证方是用户HE(HE/AuC)的AuC和用户移动台中的USIM。该机制由下列过程组成: 1)从HE/AuC到VLR/SGSN分配认证信息的过程。该过程在6.3.3.2节中描述。VLR/SGSN 假定得到用户的HE信任安全地处理认证信息。同样假定在VLR/SGSN到HE/AuC之间 的内部系统链路充分地安全，进一步假定用户信任HE。 22 YD/T××—20×× 2)在VLR/SGSN和MS之间相互认证和建立新的加密密钥和完整性密钥的过程。该过程在6.3.3.3节中描述。 3)从以前拜访的VLR到最近拜访的VLR的认证数据分配过程。该过程在6.3.3.4中描述。同样假定在VLR/SGSN之间的链路充分地安全。 6.3.3.2 从HE到SN的认证数据分配 该过程的目的是从用户的HE提供给VLR/SGSN一个新的认证向量数组来执行几次用 户认证。 VLR/SGSN HE 认证数据要求 IMSI 认证数据响应 AV(1..n) 图6 从HE到VLR/SGSN的认证数据分配 VLR/SGSN通过向HE/AuC请求认证向量调用该过程。 认证数据请求将包含IMSI。 一旦收到来自VLR/SGSN的认证数据请求，HE可能预先计算了所要求的一些认证向量并 从HLR数据库重新得到它们，或根据要求计算它们。HE/AuC发回一个认证响应到VLR/SGSN， 其中包含n个认证向量的有序数组AV(1..n)。认证向量基于序列号是有序排列的。 图7示出了由HE/AuC产生的认证向量AV过程。 产生 SQN 产生 RAND SQN RAND AMF K f1 f2 f3 f4 f5 MAC XRES CK IK AK AUTN := SQN , AK || AMF || MAC AV := RAND || XRES || CK || IK || AUTN 图7 认证向量产生 HE/AuC首先产生一刷新的序列号SQN和一个不可预测的随机数RAND。 对每一用户，HE/AuC掌握一计数器:SQN。 HE 23 YD/T××—20×× HE在序列号管理方面具有一定灵活性，但所使用的机制需要实现某些要求: 1)该生成机制允许一个在6.3.3.5节中描述的HE的重同步过程。 2)倘若SQN暴露了用户的身份和位置，使用AK作为匿名密钥来加以隐藏。 3)该生成机制将防止回放USIM中的计数器。实现该机制的一种方法在附录D.2中给出。 验证USIM中序列号刷新性的机制，在某种程度上将允许无序使用序列号，这将保证因同步失败导致的认证失败率充分的低。这要求USIM能够存储有关过去已成功认证事件的信息(例如，序列号或其中相关部分)。该机制确保序列号如果落在最近产生的x=32个序列号之内仍可被接受。这不排除序列号因其它原因被拒绝，例如，基于时间的序列号使用期的限制。 在系统间需使用同一最小数x，以保证同步失败率在各种应用场合充分的低，特别地，如在CS和PS业务域中同时注册，在不交换认证信息的VLR/SGSN间的用户移动，超负荷网络情况。 SQN的使用依赖于产生序列号的方法。在附录D.1详细说明了一个产生刷新序列号的HE 方法。在附件D.2中详细说明了一个如何验证序列号刷新性的方法。 认证和密钥管理域AMF包含在每个认证向量的认证令牌中。附件G给出了该域的应用样例。 随后，计算下列值: 1)消息认证码 MAC= f1(SQN || RAND || AMF)，其中f1是消息认证函数。 K 2)期望响应XRES = f2 (RAND)，其中f2是(可能被截断的)消息认证函数。 K 3)加密密钥CK = f3 (RAND)，其中f3是密钥生成函数。 K 4)完整性密钥IK = f4 (RAND)，其中f4是密钥生成函数。 K 5)匿名密钥AK = f5 (RAND)，其中f5是一个密钥生成函数或 f5 , 0。 K 最后，构造认证令牌AUTN = SQN , AK || AMF || MAC。 这里，AK是一匿名密钥，当序列号可能暴露用户身份和位置时，用于隐藏序列号。序列号的隐藏仅对抗被动攻击，如果不需要隐藏，则f5,0(AK=0)。 6.3.3.3 认证和密钥协商 该过程的目的是认证用户和在VLR/SGSN和USIM之间建立新的加密和完整性密钥对。在认证期间，USIM检验所使用的认证向量的刷新性。 USIM VLR/SGSN 用户认证请求 RAND || AUTN 用户认证响应 RES 用户认证拒绝 CAUSE 图8 认证和密钥建立 VLR/SGSN通过从VLR/SGSN数据库中的有序认证向量数组中选择下一个未被使用的认证向量来调用该过程。在一特殊节点中的认证向量组以先进先出的方法使用。VLR/SGSN发送一个随机数RAND和一个来自所选认证向量用于网络认证的认证令牌AUTN给USIM。 一旦收到，用户处理如图9所示。 24 YD/T××—20×× RAND AUTN AMF MAC f5 SQN , AK AK , SQN K f1 f2 f3 f4 XMAC RES CK IK Verify MAC = XMAC 检验SQN在一个正确的范围 图9 USIM中的User认证函数 一旦收到RAND和AUTN，USIM首先计算匿名密钥AK = f5 (RAND)并重新得到序列号 SQN K = (SQN , AK) , AK。 其次，USIM计算XMAC = f1 (SQN || RAND || AMF)并与MAC比较，MAC包含在AUTNK 中。如果它们不同，用户发送用户认证拒绝回VLR/SGSN指示原因，用户放弃该过程。在这种情况，VLR/SGSN向HLR发起6.3.3.6节中描述的认证失败报告过程。VLR/SGSN也决定是否向用户发起一次新的识别和认证过程。 接着，USIM检验所接收的序列号SQN是否处于正确的范围内。 如果USIM认为序列号不在正确的范围内，它发送同步失败回VLR/SGSN，其中包括一个适当的参数，并放弃该过程。 同步失败消息包含参数AUTS，AUTS = Conc(SQN ) || MAC-S，Conc(SQN) = SQN , MSMSMSf5*(RAND) 是MS中计数器SQN 的被隐藏值，MAC-S = f1*(SQN || RAND || AMF)，其KMSKMS 中RAND是在当前用户认证请求中所接收的随机值。f1*是一消息认证码(MAC)函数，具有性质，从f1*的函数值不可能推导出有关f1, ... , f5,f5*的有用信息，反之亦然。f5* 是在重同步过程中用于计算AK的密钥生成函数，具有性质:从f5*的函数值不可能推导出有关f1*,f2 ... , f5的有用信息，反之亦然。 用于计算MAC-S的AMF假设为一全零的填充值，使得重同步消息中不必显式传输AMF。 参数AUTS的构造如图10所示。 25 YD/T××—20×× SQNMS K RAND AMF f1*f5*xor , AKMAC-SAKSQNMS AUTS = SQN , AK || MAC-SMS 图10 参数AUTS的构造 如果序列号被认为在正确的范围内，USIM计算RES = f2 (RAND) ，并在用户认证响应K 中包含该参数回传VLR/SGSN。最后，USIM计算加密密钥CK = f3 (RAND)和完整性密钥IK = K f4 (RAND)。注意到，为了提高效率，RES、CK和IK也可在接收到RAND后较早进行计算。K 如果USIM也支持转换函数c3，它将从UMTS的加密/完整性密钥CK和IK导出GSM的加密密钥Kc。UMTS的密钥与导出的GSM密钥一起发送给MS，后者是为了UMTS-GSM互通的目的。USIM将存储原始的CK、IK直到下一次成功的执行AKA为止。 一旦收到用户认证响应，VLR/SGSN将RES与来自所选认证向量的期望响应XRES比较，如果XRES等于RES，那么用户的认证已通过。VLR/SGSN也从所选认证向量中选择适当的加密密钥CK和完整性密钥IK。如果XRES和RES不同，VLR/SGSN向HLR发起认证失败报告过程，如6.3.3.6节所描述。VLR/SGSN也可决定向用户发起一次新的识别和认证过程。 (RAND, AUTN)的再用和重传 USIM对SQN的验证将导致MS拒绝VLR/SGSN重用五元组的尝试，因此，一般地，VLR/SGSN使用五元组仅一次。 可是，存在一个例外情况:VLR/SGSN用一个特定的五元组发出认证请求，没有得到MS的响应消息(认证响应或认证拒绝)，那么，它可用同一五元组重传认证请求。可是，一旦响应消息到达，重传就不再允许。如果在初始传送之后或在一系列重传之后，没有响应到达，可放弃重传。如果重传被放弃，那么，VLR/SGSN将删除该五元组。在MS端，为了允许该重传而不引起额外的重同步过程，ME将存储最近所接收到的PS域(可能包括CS域)的RAND和对应的RES、CK和IK。如果USIM返回SRES和Kc(为了GSM接入)，ME将存储这些值。当ME接收到认证请求并发现RAND是重复的，它将重传该响应。一旦ME接收到3,安全模式命令或者GSM密码模式命令，或取消连接，ME将删除这些RAND、RES和SRES (如果存在)值。如果ME能够处理CS域的重传机制，则它在PS域和CS域能够同时处理重传。 6.3.3.4 IMSI和临时认证数据在一个服务网域内的分配 该过程的目的是，在同一服务网域内给新近拜访的VLR/SGSN提供来自前面拜访的VLR/SGSN的临时认证数据。 该过程如图11所示。 26 YD/T××—20×× VLRn/ SGSNn VLRo/SGSNo (TMSIo || LAIo) or (P-TMSIo || RAIo) IMSI || ({Q} or {T}) || ii((CK || IK || KSI) or (Kc || CKSN)) 图11 在一个服务网域内IMSI和临时认证数据的分配 在接到来自用户的位置更新请求(对应地，路由区域更新请求)之后，该过程由新近拜访的VLRn/ SGSNn调用，其中在前面拜访的VLRo/SGSNo的权限下，用户用临时用户身份TMSIo (对应地，P-TMSIo)和位置区域身份LAIo (对应地，路由区域身份RAIo) 来识别。前面拜访的VLRo/SGSNo和新近拜访的VLRn/SGSNn同属一个服务网域。 协议步骤如下: 1)VLRn/SGSNn发送用户身份请求到VLRo/SGSNo，该消息包含TMSIo和LAIo(对应地， P-TMSIo和RAIo)。 2)VLRo/SGSNo在数据库中搜寻用户数据。 如果用户被找到，VLRo/SGSNo将返回用户身份响应: i)包含IMSI, ii)可包含一些未使用的认证向量 (五元组或三元组)，以先进先出的方式排序 iii)可包含当前安全上下文数据数据:CK, IK和KSI (UMTS) 或 Kc和CKSN (GSM)。 VLRo/SGSNo随后删除已发送的认证向量和当前安全上下文上的数据元素。 如果用户不能被识别，VLRo/SGSNo将发送用户身份响应，指示用户身份不能重新得 到。 3)如果VLRn/SGSNn收到带有IMSI的用户身份响应，它将产生一个数据表入口，并且存 储所包含的任何认证向量和当前安全上下文上的任何数据。 如果VLRn/SGSNn接收到user identity response(用户身份响应)，指示user不能 被识别的，它将发起6.2节中描述的用户识别过程。 6.3.3.5 重同步过程 VLR/SGSN可能发送两种类型的认证数据请求到HE/AuC:一种正常的请求已在6.3.3.2节描述，一种用在同步失败，在本节描述。 一旦收到来自用户的同步错误消息，VLR/SGSN发送带有同步失败指示的认证数据请求到HE/AuC，一起发送的参数有: 1)RAND — 在前面用户认证请求中发送给MS的 ， 2)AUTS — VLR/SGSN在对应请求中接收到的，如6.3.3.3节描述。 VLR/SGSN对来自MS、主动提供的同步失败指示消息不做反应。 在VLR/SGSN收到HE/AuC对其认证数据请求响应之前，或在超时前，VLR/SGSN不向用户发送新的用户认证请求。 当HE/AuC收到带有同步错误指示的认证数据请求时，它进行如下动作: *1)通过计算Conc(SQN) , f5(RAND)，HE/AuC 从Conc(SQN)重新得到SQN 。 MSKMSMS2)HE/AuC检验SQN 是否在正确的范围内，即，使用的下一个所产生的序列号SQNHEHE 是否被USIM接受。 3)如果SQN 在正确的范围内，那么，HE/AuC进行步骤6)，否则，进行步骤4)。 HE 4)HE/AuC验证AUTS (参考6.3.3.3节)。 27 YD/T××—20×× 5)如果验证成功，HE/AuC重置计数器值SQN 为SQN。 HEMS 6)HE/AuC发送带有一批新的认证向量的认证数据响应到VLR/SGSN。如果计数器 SQN 未被重置，那么，这些认证向量可从存储中取，否则，它们在重置SQN后重HEH 新产生。为了减少在HE/AuC上的实时计算负担，HE/AuC在后者情况中也可仅发送 一个认证向量。 在对带有同步失败指示的认证数据请求的认证数据响应中，只要VLR/SGSN从HE/AuC接收到一批新的认证向量，它将在VLR/SGSN中删除用户的旧的认证向量。 用户现在可基于来自HE/AuC的新的认证向量来认证。图12示出了重同步如何实现的过程，其中组合了由同步失败消息回应的用户认证数据请求(如6.3.3.3节描述)和由认证数据响应(如本节描述)回应的带有同步失败指示的认证请求。 VLR/ SGSN UE/USIM HLR/AuC RAND, AUTN AUTS RAND, AUTS {Q} i 图12 重同步机制 6.3.3.6 从SGSN/VLR到HLR的认证失败报告 该过程的目的是，提供一个从服务环境返回归属环境的认证失败的报告机制。 该过程如图13所示。 VLR/SGSN HLR 认证失败报告 (IMUI and FailureCause) 图13 报告从VLR/SGSN到HLR的认证失败 当认证过程失败时，该过程由服务网VLR/SGSN调用。认证失败报告包含客户身份和失败原因码。可能的失败原因或者是网络信号错误，或者是用户响应错误。 在收到认证失败报告后，HE可决定删除用户位置。 6.3.3.7 认证参数长度 认证密钥(K)是128bits。 随机数(RAND)是128-bits。 序列号(SQN)是48-bits。 匿名密钥(AK)是48-bits。 认证管理域(AMF)是16-bits。 消息认证码:AUTN的MAC和AUTS中的MAC-S均是64-bits。 加密密钥(CK)是128-bits。 完整性密钥(IK)是128-bits. 28 YD/T××—20×× 认证响应(RES)具有4到16字节的可变长度。 6.3.4 本地认证和连接建立 本地认证通过完整性保护功能获得。 6.3.4.1 加密密钥和完整性密钥设置 认证和密钥设置由认证过程触发并在6.3.3.3节描述。认证和密钥设置随网络运营者意愿由网络发起。VLR/SGSN一旦知道移动客户的身份(即P-TMSI、TMSI或IMSI)，密钥设置就可开始。CK和IK被存储在VLR/SGSN中，并在需要时传给RNC。CS域的CK和IK存储在USIM上，并在下次该域进行认证时被更新。PS域的CK和IK存储在USIM上，并在下次该域进行认证时被更新。 如果认证过程在连接(PS或CS模式)期间执行，那么，新的加密密钥CK和完整性密钥IK将在RNC和ME中使用，作为随认证过程之后的安全模式建立过程(见6.3.4.5节)的一部分。 6.3.4.2 加密和完整性模式协商 当MS希望与网络建立连接时，MS将在MS/USIM类型标记中向网络表明MS支持的加密和完整性算法。该信息本身必须受完整性保护。正是由于RNC在接收到MS/USIM类型标记时还没有完整性密钥IK，因此，必须在RNC中存储该信息。类型标记的数据完整性在安全模式建立过程期间利用最近产生的IK实现(见6.3.4.5节)。 网络将它的完整性保护能力、参数选择和MS预定的任何特别要求与MS所指示的相比较，并根据如下规则进行: 1)如果MS和网络没有共同的UIA算法版本，那么连接将被释放。 2)如果MS和网络至少有一个共同的UIA 算法版本，那么网络将选择一个相互可接受的 UIA算法在连接中应用。 网络将它的加密能力、参数选择和MS预定的任何特别要求与MS所指示的相比较，并根据如下规则动作: 1)如果MS和网络没有共同的UEA算法版本，且网络不准备使用不加密的连接，则连接将被释放。 2)如果MS和网络没有共同的UEA算法版本，且用户(分别地，用户的HE)和网络愿意使 用不加密连接，则不加密连接将被使用。 3)如果MS和网络至少有一个共同的UEA算法版本，那么网络将选择一个相互可接受的 UEA算法在连接中应用。 因为CS和PS业务分开的移动性管理，一个CN域(与其它的CN无关)可能与一个且相同的MS建立连接。在第二次MS到CN建立连接时，不允许改变加密和完整性模式(算法)。对加密和完整性模式设置的参数选择和特别要求在两个域是共同的(例如，算法优选次序)。 6.3.4.3 加密密钥和完整性密钥生命期 产生加密/完整性密钥的认证和密钥协商在呼叫建立时不是强制的，因此，存在受威胁的密钥被无限制和恶意的再次使用的可能性。需要一种机制来确保特定的加密/完整性密钥集不被无限期的使用，以避免使用受威胁攻击的密钥。USIM因此将包含一种机制限制由接入链路密钥集保护的数据量。 每当RRC连接释放时，在承载中被RRC连接保护的START 和START将被和一个最大CSPS值THRESHOLD比较，如果START和START已经达到了最大值THRESHOLD，那么ME通过将CSPS USIM中START和START设置为THRESHOLD来标识相应的核心网络域为无效，并且删除存储CSPS 在USIM中的加密密钥和完整性密钥，并且设置KSI为无效(参考6.3.4.4)。否则STARTCS和START被存储在USIM中。最大值THRESHOLD也存储在USIM中，该值是由运营商设置的。 PS 当下一个RRC连接建立时START值将从USIM中读出，如果START已经达到了THRESHOLD 29 YD/T××—20×× 值，ME将为响应的核心网域触发生成新的接入连接密钥集(一个加密密钥和一个完整性密钥) 该机制将确保加密/完整性密钥集不能超出运营者的限制设置而再次使用。 当一个用户附着到UTRAN，且一个R99+ME和SIM的组合时，将使用一个缺省的值作为START或START的最大值，如6.3.8.2.4中所述。 CSPS 6.3.4.4 加密密钥和完整性密钥识别 密钥集标识符KSI是一个与加密和完整性密钥相关的、在认证期间导出的数字。密钥集标识符由网络分配，并与认证请求消息一块发送到移动台，与所计算的加密密钥CK和完整性密钥IK存储在一起。UMTS中的KSI与GSM中的CKSN对应。USIM为PS域密钥集存储一KSI/CKSN，为CS域密钥集存储一个KSI/CKSN。 密钥集标识符的目的，是使网络能够识别存储在移动台的加密密钥CK和完整性密钥IK，而不必调用认证过程。这在随后的连接建立期间用于加密密钥CK和完整性密钥IK的再次使用。 KSI和CKSN具有相同的格式。密钥集标识是3-bits，7个值用于识别密钥集。值'111'由移动台使用，以指示一个有效密钥不能应用。在加密密钥和完整性密钥删除时，KSI置为'111'。从网络到移动台的另一方向中，值'111'被保留。 6.3.4.5 安全模式建立过程 本节为加密和完整性保护建立描述一个共同的过程。在MS和VLR/SGSN之间每一个新信令连接建立时，利用该过程开始强制实施信令消息的完整性保护。开始非强制完整性保护的四个例外情况是: 1)如果使用信令连接建立的唯一目的和唯一结果是周期的位置注册，即，无任何注册信息变化。 2)如果在从MS发送到VLR/SGSN的初始的L3信令消息之后，即，由MS发送的去活 指示，跟随一个连接释放的情况。 3)如果在从MS发送到VLR/SGSN的初始的L3信令消息和可能的用户身份请求和认证 之后，唯一的MS-VLR/SGSN信令是一拒绝信令消息，跟着随连接释放。 4)如果呼叫是TS 22.003中描述的紧急呼叫电信业务，见下面的6.3.4.9.2节。 当开始完整性保护时，在初始的连接请求(即发送到VLR/SGSN的初始的L3消息)之后和在安全模式建立过程之前，在MS和MSC/VLR (或 SGSN)之间被允许的过程是: 1)由永久身份识别(即，对IMSI的请求) 2)认证和密钥协商。 下面的消息顺序流描述了在初始连接建立、可能的认证、开始完整性保护和可能的加密时的信息传递: 30 YD/T××—20×× MS SRNC VLR/SGSN 1. RRC connection establishment including transfer of the HFNs START values and the UE security capability from MS to SRNC 1. Storage of HFNs START values and UE security capability 2. ―Initial L3 message‖ with user identity, KSI etc. 3. Authentication and key generation 4 Decide allowed UIAs and UEAs 5. Security mode command (UIAs, IK, UEAs, CK, etc.) 6. Select UIA and UEA, generate FRESH Start integrity 7. Security mode command (CN domain, UIA, FRESH, UE security capability, UEA, MAC-I, etc.) 8. Control of UE security capability, Verify message, Start of integrity 9. Security mode complete (MAC-I, etc.) 10. Verify received message 11. Security mode complete (selected UEA and UIA) Start ciphering/deciphering Start ciphering/deciphering ―UE security capability‖ indicates UIAs and UEAs supported by MS 图14 本地认证和连接建立 注:在完整性保护开始之前，网络必须具有 "ME security capability" 信息，即"ME security capability" 必须以未受保护消息形式发送到网络。稍后以受保护的消息形式返回 "ME security capability" 到ME，这使ME能够检验它正是到达网络的正确的 "ME security capability" 。 上述流程的详细描述: 1)RRC连接建立包括从MS到RNC传递可选的GSM Classmarks 2 and 3，ME的安全能力 和CS业务域(对应地，PS业务域)的START值。UE安全能力信息包括MS的加密能 力(UEA)和完整性能力(UIA)。START值和UE的安全能力信息在SRNC中存储。如果GSM Classmarks 2 and 3在 RRC连接建立时被传递了，那么RNC必须保存UE的GSM加密 能力。 2)MS发送初始的L3消息(位置修正请求、CM业务请求、路由区域修正请求、attach请 求、寻呼响应等)到VLR/SGSN。该消息包含，例如用户身份和KSI。所包含的KSI为 CS业务域或PS业务域在该CN域最近认证时分配的KSI。 3)用户身份请求被执行(见6.3.2)，用户认证和新的安全密钥(IK和CK)的生成被执行 (见6.3.3.3)，一个新的KSI被分配。 4)VLR/SGSN决定将允许使用哪个UIA和UEA。 5)VLR/SGSN通过发送RANAP消息Security Mode Command到SRNC来发起完整性和加密。 该消息包含将允许使用的按照一定顺序排列的UIA和IK。如果将开始加密，那么它 31 YD/T××—20×× 包含允许使用的按照一定顺序排列的UEA和CK。如果已经执行了一次新的认证和安 全密钥生成(见步骤3)，则这将在发送给SRNC的消息中指示。新生成密钥指示意味 着将被使用的START在新密钥开始使用时要被重置(即置0)，否则，使用的正是在SRNC 中已经得到的START(见步骤1)。 6)SRNC从允许算法列表以及由MS支持算法列表(见6.3.4.2)中选择按照高优先级决定 要使用哪个算法。SRNC产生一随机值FRESH并发起下行链路完整性保护。如果在安 全模式命令中所接收到的要求不能实现，SRNC发送一SECURITY MODE REJECT消息到 请求的VLR/SGSN。后续动作在6.3.4.2节描述。 7)SRNC产生RRC消息Security mode command，该消息包含将使用的ME的安全能力、 可选的GSM加密能力(如果在连接建立时收到相关的消息)、UIA和FRESH，如果要开 始加密，也包含将使用的UEA。附加信息(加密开始)也被包含。因为MS可能有两个 加密和完整性密钥集，网络必须指示要使用哪个密钥集。这通过Security mode command 消息中包含的CN类型指示符信息来达到。在发送该消息到MS之前，SRNC 产生MAC-I(完整性的消息认证码)，并附加该信息到消息中。 8)一旦收到安全模式命令消息，MS控制所接收的ME的安全能力与在初始消息中发送的 ME的安全能力的一致。同样的情况应用于GSM MS的类型标记。MS根据所收到的消息， 通过使用所指示的UIA、所存储的COUNT-I和所收到的FRESH参数，计算该消息的 XMAC-I。MS通过将所收到的MAC-I和所产生的XMAC-I进行比较检验该消息的完整性。 9)如果所有控制成功，MS编辑RRC消息Security mode complete，并为该消息产生 MAC-I。如果任一控制不成功，过程在MS结束。 10)一旦收到响应消息，SRNC计算该消息的XMAC-I。SRNC通过将所收到的MAC-I和所 产生的XMAC-I进行比较检验该消息的数据完整性。 11)从SRNC到VLR/SGSN传递的RANAP消息Security Mode Complete response(其中 包含所选算法)来结束该过程。 到MS的Security mode command发起下行链路完整性保护，即，该命令和所有随后发送到MS的下行链路消息都使用新完整配置进行完整性保护。来自MS的Security mode complete发起上行链路完整性保护，即，该命令和所有随后从MS发送出去的消息都使用新完整配置进行完整性保护。在要开始加密时，在安全模式建立过程期间在SRNC和MS之间交换的Ciphering Activation time 信息被用来设置RLC序列号/连接帧号(在要开始使用新的加密配置在下行链路(对应地，上行链路)上进行加密时)。 6.3.4.6 完整性检验失败情况下的信令过程 对失败的完整性检验的管理在MS和SRNC中执行。万一在完整性保护开始之后，失败的完整性检验(即，不完善或遗失MAC)被检测到，则有关的消息将被放弃。这可能在RNC侧或MS侧发生。 6.3.4.7 定期本地认证的信令过程 RNC使用下列过程周期地进行本地认证。同时，在RRC连接期间发送的数据量由RNC和ME周期地检验。RNC监控与每个无线承载相关的COUNT-C值。每当这些值的任一个达到一关键值，就调用该过程。这些检验值的粒度和值本身由拜访的网络定义，该过程中的所有消息受完整性保护。 32 DOCUMENTTYPE1 (1)TypeUnitOrDepartmentHere TypeYourNameHereTypeDateHere YD/T××—20×× UERNC 1. Counter Check 2. Counter Check Response 3. optionally release connection 图15 RNC周期的本地认证过程 1)当达到一个检测值时(例如，在超帧号中某一固定位上的值改变)，RNC就发送Counter Check消息。Counter Check消息包含来自每个激活无线承载的计数器值的最高有效 部分(反映所发送和所接收的数据量)。 2)UE比较在Counter Check Message 收到的COUNT-C值和它无线承载中的值。不同的 COUNT-C值被包括在Counter Check Response消息中。 3)如果RNC收到的Counter Check Response中不包括任何COUNT-C值，那么过程结束。 如果RNC收到的响应消息中包括一个或多个COUNT-C值，那么RNC可以发起连接释放。 6.3.4.8 加密和完整性保护的同步初始化 加密和完整性保护算法由连接建立时需要初始化的计数器(COUNT-C和COUNT-I)驱动。因此，ME和USIM需要有存储START值的能力。ME和USIM为CS加密/完整性密钥存储一STARTCS值，为PS加密/完整性密钥存储一START 值。START长度是20 bits。 PS 当ME开电和USIM插入时，ME仅包含(有效的)START值。当ME关电或USIM移出，ME删除它的START值。在开电或USIM插入后，USIM发送它的START值给ME，ME存储它们。在idle mode期间，ME和USIM中的START值是相同的和静态的。 一旦为一特定的服务网域(CS或PS)建立了无线连接，ME在RRC connection setup 消息中发送START和START值给RNC。ME通过设置START和 START为THRESHOLDCSPSCSPScomplete 标记USIM中的START值为无效的。 ME和RNC初始化RRC HFN(对完整性保护)、RLC HFN(对加密)和MAC-d HFN(对加密)的20个最高有效位为相应业务域的START值，剩余位置0。同样，RRC SN(对完整性保护)和RLC SN (对加密)初始化为0。 在进行无线连接期间，ME和SRNC中的START值定义为，使用CK和IK保护的所有无CSCSCS线承载(包含信令)上的COUNT-C和COUNT-I的最大者的20个最高有效位加2，即: START' = MSB ( MAX {COUNT-C, COUNT-I | all radio bearers (including signalling) CS20 protected with CKand IK}) +2。 CS CS 如果当前START < START'那么START= START'，否则START 不改变。 CSCSCS CSCS 同样，在进行无线连接期间，ME和SRNC中的START值定义为，使用CK和IK保护的PSPSPS所有无线承载(包含信令)上的COUNT-C和COUNT-I的最大者的20个最高有效位加2，即: START' = MSB ( MAX {COUNT-C, COUNT-I | all radio bearers (including signalling) PS20 protected with CKand IK}) + 2。 PS PS 如果START < START' 那么 START= START', 否则START不改变 PSPSPS PSPS 如果任何一个被分配给一个CN域无线承载的COUNT-C 或者COUNT-I达到它的最大值，ME和SRNC应该设置相应CN域的START为其最大值。 33 YD/T××—20×× 一旦无线连接释放和当加密/完整性密钥不再被使用时，ME就用当前值修正USIM中的START和START。 CSPS 在认证和密钥协议期间，在ME和USIM中的与相应业务域的新密钥集相联系的START值被置0。 6.3.4.9 紧急呼叫处理 PLMN支持TS 22.003中描述的紧急呼叫电信业务，实现TS 22.101中描述的附加业务要求。 6.3.4.9.1 所应用的安全过程 安全模式过程将应用为TS 24.008中描述的紧急呼叫建立的一部分。因此，完整性保护(可选地加密)将应用为非紧急呼叫的一部分。如果(U)SIM的认证因任一原因失败，紧急呼叫依下述的6.3.4.9.2小节中4)进行。一旦进行的呼叫使用了完整性保护(可选地加密)，完整性检验和加密的失败是一个非正常情况，必须用与其它设备失败同样的方式处理，即，终止呼叫。 6.3.4.9.2 未应用的安全过程 作为服务网选项，可建立紧急呼叫，而网络不必应用TS 24.008中描述的安全模式过程。 下面是一些使用"security procedure not applied"选项的情况: 1)因为没有(U)SIM，认证是不可能的; 2)由于网络失败，服务网不能得到认证向量，认证是不可能的; 3)因为(U)SIM不允许从服务网接收非紧急业务(例如，没有漫游协议或IMSI被禁止)，认证不可能; 4)认证是可能的，但服务网不能成功地认证(U)SIM。 6.3.5 接入链路数据完整性 6.3.5.1 概述 在MS和网络之间发送的大多数控制信令信息元素被认为是敏感的，必须进行完整性保护。消息认证函数将应用于这些在ME和RNC之间传输的信令信息元素。 在RRC连接建立和安全模式建立过程执行之后，所有专用的MS与网络之间的控制信令消息(例如，RRC、MM、CC、GMM和SM消息)将进行完整性保护。MS中的移动管理层监控完整性保护开始(见6.3.4.5节)。 除了下列消息外的所有信令消息将进行完整性保护: HANDOVER TO UTRAN COMPLETE Paging Type 1 PUSCH CAPACITY REQUEST PHYSICAL SHARED CHANNEL ALLOCATION RRC Connection Request RRC Connection Setup RRC Connection Setup Complete RRC Connection Reject RRC CONNECTION RELEASE (CCCH only) SYSTEM INFORMATION (BROADCAST INFORMATION) SYSTEM INFORMATION CHANGE INDICATION TRANSPORT FORMAT COMBINATION CONTROL (TM DCCH only) 6.3.5.2 完整性保护实施层 UIA在ME和RNC中实现。 完整性保护在RRC层应用。 34 YD/T××—20×× 6.3.5.3 数据完整性保护方法 图16说明了完整性算法f9用于认证信令消息的数据完整性的过程。 COUNT-IDIRECTIONCOUNT-IDIRECTION MESSAGEFRESHMESSAGEFRESH IKIKf 9f 9 MAC -IXMAC -I SenderReceiver UE or RNCRNC or UE 图16 导出信令消息的MAC-I (或XMAC-I) 算法的输入参数是完整性密钥IK、完整性序列号COUNT-I、由网络侧产生的随机值FRESH、方向比特DIRECTION和信令数据MESSAGE。基于这些输入参数，用户使用完整性算法f9计算用于数据完整性的消息认证码MAC-I，然后，当在无线接入链路发送时MAC-I附加到消息上。接收者以发送者计算所发送消息MAC-I的同样方法计算所接收消息的XMAC-I，并将它与所收到的MAC-I进行比较来检验数据完整性。 6.3.5.4 完整性算法的输入参数 6.3.5.4.1 COUNT-I 完整性序列号COUNT-I是32 bits长。 对于信令无线承载(RB 0-4)，每个上行链路信令无线承载存在一个COUNT-I值，每个下行链路信令无线承载存在一个COUNT-I值。 COUNT-I由两部分组成:一个"短"序列号和一个"长"序列号。"短"序列号形成COUNT-I的最低有效位，而“长”序列号形成COUNT-I的最高有效位，“短”序列号是是4-bit RRC序列号(RRC SN)，这在每个RRC PDU中可得到;"长"序列号是28-bit RRC超帧号RRC HFN，其在每个RRC SN周期上增加。 RRC HFNRRC SN(28 bits)(4 bits) COUNT-I 图17 COUNT-I的结构 RRC HFN利用参数START(在6.3.4.8节中描述)初始化。ME和RNC初始化RRC HFN的20个最高有效位为START，其余的RRC HFN位初始化为0。RRC HFN对用于信令的每个逻辑信道被独立地增加。 6.3.5.4.2 IK 完整性密钥IK是128 bits长。 对在CS业务域和用户之间建立的CS连接可存在一个IK (IK)，对在PS业务域和用CS 户之间建立的PS连接可存在一个IK(IK)。对于一个特定的连接，使用哪个完整性密钥PS 6.3.5.5节中描述。 对UMTS客户，IK在UMTS AKA期间作为完整性密钥导出函数f4的输出被建立，f4在USIM和 HLR/AuC中可得到。对接入UTRAN的GSM客户，IK遵循GSM AKA来建立，并从GSM加密密钥Kc导出，见6.3.8.2节描述。 IK存储在USIM中，一个副本存储在ME中。IK根据ME的请求从USIM发送到ME。 35 YD/T××—20×× USIM在有效IK可得到的条件下发送IK。如果USIM中的当前START 或START 值不CSPS是最新的或START或START已经达到 THRESHOLD，则ME触发一次新的认证过程。CSPS 在关电后及在USIM移出后，ME将从存储器中删除IK。 IK从HLR/AuC发送到VLR/SGSN，并作为五元组的一部分存储在VLR/SGSN中。它在(RANAP)security mode command中从VLR/SGSN发送到RNC。 在切换时，IK在网络基础结构内从旧的RNC传到新的RNC，使通信能继续进行，并且同步过程重新开始。在切换时IK保持不变。 6.3.5.4.3 FRESH 网络侧目前的FRESH是32 bits长。 每个用户有一个FRESH参数值，输入参数FRESH使网络能抗击用户重放信令消息。在连接建立时，RNC产生随机值FRESH，并将它在(RRC)security mode command中发送给用户。FRESH值随后在整个单个连接期间由网络和用户使用。该机制使网络确信用户没重放任何旧的MAC-Is。 在带有S-RNC重定位的切换时，新的S-RNC产生它自己的FRESH参数值，并在新的RRC消息中将它发送到ME，其中由于SRNC重定位，该RRC消息指示了一个新的UTRAN无线网络临时身份[25.331]。 6.3.5.4.4 DIRECTION 方向标识符DIRECTION是1 bit长。 方向标识符是为了避免用于计算消息认证码的完整性算法，对上行链路和对下行链路消息使用同一输入参数值集输入。从UE到RNC的消息，DIRECTION的值是0;从RNC到UE的消息，DIRECTION的值是1。 6.3.5.4.5 MESSAGE 具有无线承载身份的信令消息本身。无线承载身份附加在消息前面。注意，无线承载身份不随消息传输，但它需要来避免对不同的消息认证码实例使用相同的输入参数集。 6.3.5.5 完整性密钥选择 对在CS业务域和用户之间建立的CS连接存在一个IK(IK)，对在PS业务域和用户之CS 间建立的PS连接存在一个IK (IK)。 PS 对于用户数据，无线承载的数据完整性不受保护。 对于由CS和PS业务域传递的业务，信令无线承载用于信令数据的传递。这些信令无线承载由业务域的IK进行数据完整性保护，而该业务域进行过最新的安全模式协商。当与另一个业务域建立一个新的连接时，或当一个安全模式协商在进行的连接期间跟随着一次再认证时，这可要求一个(已经受完整性保护的)正在进行的信令连接的完整性密钥必须改变。该改变应在安全模式协商之后5秒内完成。 注释:关于终端密钥改变的情况参考6.3.4.5。 6.3.5.6 UIA识别 每个UMTS完整性算法(UIA)被分配4-bit标识符。目前，下列值已被确定: "0001" : UIA1, Kasumi. 2 其余值未确定。 对于完整性函数f9，Kasumi的使用在TS 35.201和TS 35.202中说明，实现者的测试数据和设计一致性数据在TS 35.203和TS 35.202中提供。 6.3.6 接入链路数据的机密性 6.3.6.1 概述 用户数据和某些信令信息中的元素是机密的，必须加以机密性保护。为了确保标识的机密性(见6.3.3.1节)，在分配临时用户标识(P-)TMSI时和信令过程允许的其他时刻，36 YD/T××—20×× (P-)TMSI必须以保护模式传输。 这些保护模式传输的需求通过加密函数来实现，该函数应用在ME和RNC之间的专用信道上。 6.3.6.2 加密层 根据如下规则，加密功能在RLC子层或MAC子层实现: 1)如果无线承载使用非透明的RLC模式(AM或UM)，加密在RLC子层实现。 2)如果无线承载使用透明的RLC模式，则加密在MAC子层(MAC-d实体)实现。 应用时，在S-RNC和ME上实现加密，只有S-RNC和ME知道加密所需的上下文(CK, HFN等)。 6.3.6.3 加密模式 图18说明了加密算法f8使用密钥流加密明文的应用过程，其中对明文和密钥流进行按位二进制加法。通过使用相同输入参数产生的密钥流，并与密文进行按位二进制加法，可以恢复明文。 COUNT-CDIRECTIONCOUNT-CDIRECTION BEARERLENGTHBEARERLENGTH CKCKf8f8 KEYSTREAMKEYSTREAM BLOCKBLOCK PLAINTEXTCIPHERTEXTPLAINTEXT BLOCKBLOCKBLOCK SenderReceiver UE or RNCRNC or UE 图18 在无线接入链路上传输的用户和信令数据的加密 算法的输入参数是加密密钥CK、随时间而定的输入COUNT-C、承载标识BEARER、传输方向 DIRECTION，和所需的密钥流的长度LENGTH。基于这些输入参数，算法生成输出密钥流块KEYSTREAM，它用于加密输入明文块PLAINTEXT，以生成输出密文块CIPHERTEXT。 输入参数LENGTH只能影响KEYSTREAM BLOCK的长度，不影响其中的实际的比特位。 6.3.6.4 加密算法的输入参数 6.3.6.4.1 COUNT-C 加密序列号COUNT-C的长度是32 比特。 对于使用RLC AM或RLC UM的每一个上行链路无线承载和下行链路无线承载各有一个COUNT-C值。对于同一CN域的所有透明模式的RLC无线承载，COUNT-C是相同的，而且上行链路和下行链路的COUNT-C 也是相同的。 COUNT-C由两部分组成:一个"短"序列号和一个"长"序列号。“短”序列号组成COUNT-C的最低有效位，“长”序列号组成COUNT-C的最高有效位。COUNT-C的更新取决于如下所述的传输模式(见图19)。 37 YD/T××—20×× RLC TMMAC-d DCHMAC-d HFN (24 bits)CFN (8 bits) RLC UMRLC HFN (25 bits)RLC SN (7 bits) RLC AMRLC HFN (20 bits)RLC SN (12 bits) COUNT-C 图19 所有传输模式的COUNT-C结构 1)对于DCH上的RLC TM，"短" 序列号是COUNT-C的8比特的连接帧号CFN，它单独保 存在ME 的MAC-d实体和SRNC 的MAC-d实体中。"长"序列号是24比特的MAC-d HFN， 在每一CFN周期内增长。 2)对于RLC UM模式，"短"序列号是7比特的 RLC序列号(RLC SN)，这是RLC UM PDU 头的一部分。"长"序列号是25比特 的RLC UM HFN，在每一RLC SN周期内增长。 3)对于RLC AM模式，"短" 序列号是12比特的 RLC序列号(RLC SN)，而且是RLC AM PDU 头的一部分。"长" 序列号是20比特的RLC AM HFN，在每一RLC SN周期内增长。 超级帧号HFN通过参数START进行初始化，如6.3.4.8所述。然后，ME和RNC初始化RLC AM HFN、RLCUMHFN和MAC-d HFN的最高有效位的前20比特，得到START。RLC AM HFN、RLCUMHFN和MAC-d HFN的其余位初始化为0。 在加密模式下的RRC连接期间，创建一个新的无线承载时，通过当前的START值对HFN初始化(见6.3.4.8节)。 6.3.6.4.2 CK 加密密钥CK的长度是128 比特。 对于在CS业务域和用户之间建立的CS连接可以存在一个CK(CK)，对于在PS业务域CS 和用户之间建立的PS连接可以存在一个CK(CK)。6.3.6.5节描述了用于特定的无线承载的PS CK。对于UMTS注册用户，CK在UMTS AKA期间生成，是密钥生成函数f3的输出，可以在USIM和HLR/AuC中得到。对于接入UTRAN的GSM注册用户，CK在GSM AKA期间生成，由GSM的加密密钥Kc导出，如6.3.8.2节所述。 CK存储在USIM中，一个副本存储在ME中。根据ME的请求，CK从USIM发送到ME。当存在有效的CK时，USIM应当发送CK。如果USIM中的START或START 当前值达到了CSPSTHRESHOLD，ME将触发一次新的认证过程。在ME关电及移出USIM后，ME应当从存储器中删除CK。 CK从HLR/AuC发送到VLR/SGSN，并作为五元组的一部分存储在VLR/SGSN中。在(RANAP)安全模式命令中，CK从VLR/SGSN发送到RNC。 当发生切换时，在网络基础设施中，CK从旧的RNC发送到新的RNC，使通信能够继续进行。当发生切换时，加密密钥CK保持不变。 6.3.6.4.3 BEARER 无线承载标识符BEARER的长度是5 比特。 与同一个用户相关联并且在单个10ms物理层帧上复用的每一无线承载有一个BEARER参数。输入无线承载标识符是为了避免对不同的密钥流使用相同的输入参数值集。 38 YD/T××—20×× 6.3.6.4.4 DIRECTION 方向标识符DIRECTION的长度是1 比特。 方向标识符是为了避免上行链路和下行链路的密钥流使用相同的输入参数值集作为输入。对于从UE到RNC的消息，DIRECTION的值为0;对于从RNC到UE的消息，DIRECTION的值为1。 6.3.6.4.5 LENGTH 长度标识符LENGTH的长度是16比特。 长度标识符决定了所要求的密钥流块的长度，LENGTH应当只影响KEYSTREAM BLOCK的长度，不影响其中实际的比特位。 6.3.6.5 加密密钥的选择 对于在CS业务域和用户之间建立的CS连接存在一个CK(CK)，对于在PS业务域和CS 用户之间建立的PS连接存在一个CK(CK)。对CS用户数据的无线承载，使用CK加密。 PSCS 对PS用户数据的无线承载，使用CK加密。 PS 信令无线承载用于为CS和PS业务域的业务传递信令数据。这些信令无线承载由业务域的CK加密，在该业务域进行过最新的安全模式协商。当与另一个业务域建立一个新的连接，或者在当前连接的重新认证中进行安全模式协商时，可能要求一个(已经加密的)正在进行的信令连接改变加密密钥。RNC必须在收到来自VLR/SGSN的安全模式命令之后的5秒钟内完成这种改变。 注:改变密钥时，终端的操作见6.3.4.5节。 6.3.6.6 UEA标识 每一UEA将被分配一4比特标识符，目前已经确定下列值: "0000" : UEA0, 无加密。 2 "0001" : UEA1, Kasumi. 2 其余值未确定。 在TS 35.201和TS 35.202中定义了使用Kasumi作为加密函数f8。在TS 35.203和TS 35.202中提供了具体实现的测试数据和设计一致性数据。 6.3.7 Void 6.3.8 UMTS和GSM之间的互通与切换 6.3.8.1 UMTS注册用户的认证和密钥协商 6.3.8.1.1 概 述 对于UMTS注册用户，以如下方式进行认证和密钥协商: 1)当用户与UTRAN连接时，应当使用UMTS AKA。 2)当用户与GSM BSS连接时，如果用户使用的是具备UMTS AKA的R99+ ME，并且VLR/SGSN 也是R99+的，那么应当使用UMTS AKA。在这种情况下，在网络侧的VLR/SGSN和用户 侧的USIM中，GSM的加密密钥Kc由UMTS的加密/完整性密钥CK和IK导出，。 3)当用户与GSM BSS连接时，若用户使用的是不具备UMTS AKA的R99+ ME， 或者是R98- ME，那么应当使用GSM AKA。在这种情况下，从UMTS的用户响应RES和UMTS的加密 /完整性密钥CK和IK导出GSM的用户响应SRES和GSM的加密密钥Kc。R98- VLR/SGSN 使用所存储的Kc和RES，R99+ VLR/SGSN从RES导出SRES，从CK，IK导出Kc。 注:为了在不具备UMTS AKA的R99+ ME或R98- ME内运行，USIM可能支持在GSM 11.11中定义的SIM-ME接口，并且支持GSM AKA;基于3G认证密钥K和在USIM上实现的3G认证算法，GSM AKA提供相应的GSM的计算SRES和Kc的功能。由于3G认证算法仅计算CK/IK和RES，CK/IK转换为Kc应当通过使用转换函数c3来实现，RES转换为SRES应当通过使用转换函数c2来实现。 39 YD/T××—20×× 当用户与GSM BSS连接时，如果VLR/SGSN是R98-的，那么应当使用GSM AKA。在这种情况下，USIM从UMTS的用户响应RES和UMTS的 加密/完整性密钥CK、IK导出GSM的用户响应SRES 和GSM的加密密钥Kc。 运行UMTS(或者GSM)AKA的结果是在用户和VLR/SGSN所属的服务网域之间建立UMTS(或者GSM)安全上下文。用户需要与每个服务网域单独建立安全上下文。 图20所示是在一个混合网络结构中， UMTS用户可能遇到的不同情况。 Release 99+CK, IK , KcHLR/AuCRES , SRES QuintetsTriplets Release 98-Release 99+ VLR/SGSN VLR/SGSNCK, IK , KcCK, IK , KcRES , SRES [Kc][Kc][Kc]CKIK UTRANGSM BSS RANDRANDRANDRANDSRES[AUTN]AUTNAUTNSRESRESRES R99+ ME notR99+ ME capable ofMEcapable of UMTSUMTS AKAAKAor R98- ME KcKcCK, IKCK, IKKcKc CK, IK , KcCK, IK , KcCK, IK , KcCK, IK , KcRES , SRESRES , SRES USIM UMTS security contextGSM security context 图20 UMTS注册用户的认证和密钥协商(AKA) 注:UMTS的参数RAND、AUTN和RES通过UTRAN或GSM BSS透明地发送，GSM的参数RAND和SRES通过GSM BSS透明地发送。 当使用GSM BSS时，在GSM BSS中对通过MSC/VLR传递的业务进行加密，在SGSN中对通过SGSN传递的业务进行加密。在后一种情况中，GSM的加密密钥Kc不发送到GSM BSS。 当使用UTRAN时，加密和完整性操作总是在RNC中进行，UMTS的加密/完整性密钥CK和IK总是发送到RNC。 6.3.8.1.2 R99+ HLR/AuC 收到来自R99+ VLR/SGSN的对UMTS注册用户的认证数据请求，R99+ HLR/AuC应当向其发送五元组，6.3.3.3中定义了如何生成五元组。 收到来自R98- VLR/SGSN的对UMTS注册用户的认证数据请求，R99+ HLR/AuC应当向其发送三元组，三元组通过下列转换函数由五元组导出: 1)c1:RAND = RAND [GSM] 2)c2:SRES = XRES* xor XRES* xor XRES* xor XRES* [GSM]1234 40 YD/T××—20×× 3)c3:Kc = CK xor CK xor IK xor IK[GSM]1212 **其中，XRES的长度是128比特，如果XRES的长度是128比特，那么XRES = XRES;如 *果XRES的长度不够128比特，那么XRES = XRES|| 0...0。所有的XRES* 的长度都是32i 比特，XRES* = XRES* || XRES* || XRES* || XRES*。CK 和IK 的长度都是64比特，1234ii CK = CK || CK ，IK = IK || IK。 1212 6.3.8.1.3 R99+ HLR/SGSN AKA过程取决于终端能力: 1)具有R99+ ME的UMTS注册用户 当用户具有R99+ ME时，VLR/SGSN向ME发送一个由五元组得到的UMTS认证质询(即RAND和AUTN)，五元组通过以下的某种方式得到: a)由本地数据库得到的 b)由HLR/AuC提供的，或者 c)由以前访问过的R99+ VLR/SGSN提供的。 注:所有初始的五元组均由HLR/AuC提供。 当R99+ ME具有USIM-ME接口时，进行UMTS AKA，VLR/SGSN收到UMTS响应RES。 a)UMTS AKA的结果是建立UMTS安全上下文;UMTS加密/完整性密钥CK和 IK以及 密钥集标识符 KSI存储在VLR/SGSN中。 b)当用户与UTRAN连接时，UMTS的加密/完整性密钥被发送到RNC，在RNC中实现 了加密/完整性算法。 c)当用户与GSM BSS连接时，从UMTS的加密/完整性密钥导出GSM的加密密钥之后， 进行UMTS AKA。当用户接收来自MSC/VLR的业务时，导出的加密密钥Kc 被发送 到BSC (并且被传递到BTS)。当用户接收来自SGSN的业务时，导出的加密密钥 Kc在SGSN中使用。 d)UMTS认证和密钥更新总是提供给具有R99+ ME的UMTS注册用户，与无线接入网 无关。 当R99+ ME不具有USIM-ME接口时 ，进行GSM AKA，VLR/SGSN收到GSM响应SRES。 a)GSM AKA的结果是建立GSM安全上下文;GSM加密密钥Kc以及密钥序列号CKSN 存储在VLR/SGSN中。 如果通过Iu接口收到的对UMTS质询(RAND，AUTN)的响应是SRES，R99+ VLR/SGSN应当拒绝认证。 如果通过A接口或者Gb接口收到的对UMTS质询(RAND，AUTN)的响应是一个有效的SRES， R99+ VLR/SGSN应当接受认证。当不具备UMTS AKA的R99+ ME中插入UICC并且与GSM BSS连接时，会出现这种情形。在这种情形下，R99+ VLR/SGSN使用函数c2把RES(从五元组得到)转换为SRES，来验证接收到的SRES。 2)具有R98- ME的UMTS注册用户 当用户具有R98- ME时，R99+ VLR/SGSN向ME发送一个由三元组得到的GSM认证质询，三元组通过以下的某种方式得到: a)利用R99+ VLR/SGSN中的转换函数c2和c3从五元组导出，五元组通过以下的某 种方式得到: i)由本地数据库得到， ii)由HLR/AuC提供，或者 iii)由以前访问过的R99+ VLR/SGSN提供，或者 b)由以前访问过的VLR/SGSN提供的三元组。 注:R99+ VLR/SGSN 总是为UMTS注册用户提供五元组。 41 YD/T××—20×× 注:对于UMTS注册用户，所有三元组均由五元组导出，无论五元组是在HLR/AuC 还是在VLR/SGSN中。 GSM AKA的结果是建立GSM安全上下文，GSM的加密密钥Kc和加密密钥序列号CKSN 存储在VLR/SGSN。 在这种情况下，用户与GSM BSS连接。当用户接收来自MSC/VLR的业务时，GSM的 加密密钥被发送到BSC (并且传递到BTS)。当用户接收来自SGSN的业务时，导出的加 密密钥 Kc 在SGSN 中使用。 UMTS 认证和密钥更新不能提供给具有R98- ME的UMTS客户。 6.3.8.1.4 R99+ ME 具有UTRAN无线链路的R99+ ME应当提供TS31.102中所定义的USIM-ME接口。 不具有UTRAN无线链路的R99+ ME可以提供TS31.102中所定义的USIM-ME接口。 插有USIM并与UTRAN连接的具有UMTS AKA的R99+ ME应当只参与UMTS AKA，而不应当参与GSM AKA。 插有USIM并与GSM BSS连接的具有UMTS AKA的R99+ ME，应当参与UMTS AKA，也可参与GSM AKA。参与GSM AKA，要求允许在R98- VLR/SGSN注册。 执行UMTS AKA的结果是建立UMTS安全上下文;UMTS的加密/完整性密钥CK和IK以及密钥集标识符KSI被传送到ME。如果USIM支持转换函数c3和/或GSM AKA, ME还应当接收从USIM中导出的GSM加密密钥Kc。 执行GSM AKA的结果是建立GSM安全上下文;GSM加密密钥Kc和加密密钥序列号CKSN存储在ME中。 6.3.8.1.5 USIM USIM应当支持UMTS AKA，并且可以支持与GSM系统的后向兼容性，此GSM系统包含如下特征: 1)特征1:GSM加密密钥导出(转换函数c3):使用双模式R99+ ME，接入与R99+ VLR/SGSN 连接的GSM BSS; 2)特征2:GSM AKA:接入与R98- VLR/SGSN连接的GSM BSS，或者当使用不具有UMTS AKA 的R99+ ME时，或者当使用R98- ME时; 3)特征3:SIM-ME接口(GSM 11.11):在R98- ME或者不具有UMTS AKA的R99+ ME内运行。 当ME向USIM提供RAND和AUTN时，应当执行UMTS AKA。如果对AUTN的验证成功，USIM应当向UMTS用户回应响应RES、UMTS的加密/完整性密钥CK和IK。USIM应当存储CK和IK，作为当前安全上下文数据。如果USIM支持访问GSM加密密钥导出函数(特征1)，那么，USIM应当同样利用转换函数c3从UMTS的加密/完整性密钥CK和IK导出GSM加密密钥Kc，并将导出的Kc发送到R99+ ME。如果对AUTN的验证失败，USIM应当向R99+ ME回应适当的错误指示。 当ME向USIM仅提供RAND，并且USIM支持GSM AKA(特征2)时，应当执行GSM AKA。USIM首先计算UMTS用户响应RES和UMTS的加密/完整性密钥CK和IK。然后，USIM用转换函数c2和c3导出GSM用户响应SRES和GSM的加密密钥Kc。随后，USIM存储GSM加密密钥Kc，作为当前安全上下文，并将GSM用户响应SRES和GSM的加密密钥Kc发送到ME。 当USIM不支持GSM密钥导出(特征1)或GSM AKA(特征 2)时，应当通知R99+ ME。不支持GSM密钥导出(特征1)的USIM不能在任何GSM BSS下运行。不支持GSM AKA(特征2)的USIM不能在R98- VLR/SGSN下运行，也不能在不具有UMTS AKA的R99+ ME和R98- ME中运行。 6.3.8.2 GSM客户的认证和密钥协商 42 YD/T××—20×× 6.3.8.2.1 概 述 对GSM客户，总是使用GSM AKA。 执行GSM AKA导致在用户和VLR/SGSN所属的服务网域之间建立GSM安全上下文。用户需要与每个服务网域单独地建立安全上下文。 当接入UTRAN时，UMTS的加密/完整性密钥CK和IK由ME和VLR/SGSN从GSM的加密密钥Kc中导出，其中ME和VLR/SGSN均为R99+实体。 图21描述了在混合网络中GSM客户使用R98-或R99+ ME的不同场景。 Release 98- or Release 99+ HLR/AuC TripletsTriplets Release 99+Release 98- VLR/SGSNVLR/SGSN Kc , CK, IK CK[Kc][Kc][Kc]IK UTRANGSM BSS RANDRANDRANDRANDSRESSRESSRESSRES R99+ UER99+ UER98- UE or R98- UEKc , CK, IK KcKcKcKc SIM GSM security context 图21 GSM客户的认证和密钥协商 注:GSM的参数RAND和RES通过UTRAN或GSM BSS透明地发送。 在GSM BSS的情况下，对于通过MSC/VLR传送的业务，加密在GSM BSS中进行，对于通过SGSN传送的业务，加密在SGSN进行。后一种情况下，GSM的加密密钥Kc不被发送到GSM BSS。 在UTRAN的情况下，总是RNC执行加密，并且UMTS的加密/完整性密钥CK/IK总是被发送到RNC。 6.3.8.2.2 R99+ HLR/AuC 一旦收到对GSM客户的认证数据请求，R99+ HLR/AuC应发送三元组(三元组的产生机制见GSM 03.20)。 6.3.8.2.3 VLR/SGSN R99+ VLR/SGSN用来执行GSM AKA的三元组源于以下三种情况: 1)从本地数据库中得到， 2)由HLR/AuC提供，或 43 YD/T××—20×× 3)由上一次访问的VLR/SGSN提供。 注:所有的三元组最终都是由HLR/AuC提供的。 GSM AKA导致GSM安全上下文的建立;GSM的加密密钥Kc和加密密钥序列号CKSN存储在VLR/SGSN中。 当用户附着到UTRAN时，R99+ VLR/SGSN利用以下转换函数从GSM的加密密钥导出UMTS的加密/完整性密钥: 1)c4: CK = Kc || Kc; [UMTS] 2)c5: IK = Kc xor Kc || Kc || Kc xor Kc; [UMTS]1212 其中，c5中的Kc 均为32-bits，Kc = Kc || Kc. i12 然后，UMTS的加密/完整性密钥被发送到RNC，其中，RNC具有加密和完整性算法。 当用户附着到GSM BSS并且接收来自一MSC/VLR的业务时，加密密钥Kc被发送到BSC (并传送到BTS)。当用户接收来自SGSN的服务时，加密密钥Kc就在SGSN中使用。 6.3.8.2.4 R99+ ME 插有SIM的R99+ ME应当只能参与GSM AKA. GSM AKA导致GSM安全上下文的建立;GSM的加密密钥Kc和加密密钥序列号CKSN存储在ME中。 当用户附着到UTRAN时，R99+ ME应当使用转换函数c4和c5由GSM的加密密钥Kc导出UMTS的加密/完整性密钥CK和IK。ME应当操作START和START(具体描述见6.3.4.8CSPS 节)，除非START存储在ME而不是GSM SIM中。如果在某种特种情况下(如电力不足)，ME释放了当前的START值，ME应当删除相应的GSM加密密钥(Kc)、由Kc导出的UMTS加密/完整性密钥(CK和IK)，并重置START值为0。在接下来的连接建立中，ME应当通过向网络告知没有合法密钥可用(过程如6.3.4.4中的描述)，来触发一次新的鉴权和密钥协商。 当用户附着到URTAN时，插入了SIM卡的R99+ ME应当使用全“1”的缺省值，即STARTCS或START都是最大值。ME应当按照6.3.4.3节中的描述执行START或START的最大值，PSCSPS除非START存储在ME而不是GSM SIM中。 6.3.8.3 VLRs/SGSNs之间的认证数据的分配及使用 在同一服务网域的R99+ VLR/SGSN之间的认证数据(未使用的认证向量和/或当前的安全上下文数据)的分配根据6.3.3.4执行。根据在(相同或不同版本的)VLR/SGSN之间的认证数据的分配情况，存在下面4种情况。对每一种情况，VLRn/SGSNn对接收到的认证数据的分配条件和使用条件说明如下: 1)R99+ VLR/SGSN到R99+ VLR/SGSN UMTS和GSM的认证向量可在R99+ VLR/SGSN之间分配。注意，所有的认证向量(UMTS 客户使用的五元组和GSM客户使用的三元组)最初都由HLR/AuC提供。 当前的安全上下文数据可在R99+ VLR/SGSN之间分配。在下列几种情况，VLRn/SGSNn 不能使用从VLRo/SGSNo接收到的当前的安全上下文数据去认证使用本地认证的客户: a)在VLRn/SGSNn要建立的安全上下文要求不同于当前在VLRo/SGSNo中使用的一组 密钥集。当用户在VLRn/SGSNn注册时，安全上下文的这种变化是由ME 版本的 变化而引起的(R’99 ME ,, R’98 ME)。 b)来自VLRo的认证数据包括Kc+CKSN，但不包括未使用的认证向量AVs，并且客户 具有R’99 ME(在GSM BSS 或UTRAN下)。在这种情况下，VLRn中没有标识标 明客户是属于GSM还是UMTS，并且不能确定是否能使用所收到的Kc(若客户是 GSM客户)。 在这两种情况下，应丢弃所接收到的安全上下文数据，执行一次新的AKA过程。 2)R98- VLR/SGSN到R98- VLR/SGSN 44 YD/T××—20×× 在R98- VLRs/SGSNs之间只能分配三元组。注意，对GSM客户，三元组最初由HLR/AuC 产生，对UMTS客户，无元组是从R99+ HLR/AuC提供的UMTS认证向量导出的。R98- VLR/SGSN不支持UMTS AKA，只支持建立GSM安全上下文。 R98- VLR不分配当前安全上下文数据。 因为在R98- SGSN下，只能建立GSM的安全上下文，因此，安全上下文数据能在 R98- SGSN之间分配和使用。 3)R99+ VLR/SGSN到R98- VLR/SGSN 对GSM客户，R99+ VLR/SGSN可把三元组分配给一新的R98- VLR/SGSN，这些三元 组最初由HLR/AuC提供，或者，对UMTS客户，R99+ VLR/SGSN可从最初由R99+ HLR/AuC 提供的且被存储的五元组导出三元组。注意，R98- VLR/SGSN只能建立GSM安全上下文。 R99+ VLRs不应当分配当前安全上下文数据给R98- VLRs。 因为R98- SGSNs只处理GSM的安全上下文数据，R99+ SGSNs只分配GSM的安全上 下文数据(Kc, CKSN)给R98- SGSNs. 4)R98- VLR/SGSN到R99+ VLR/SGSN. 为了对UMTS客户不建立GSM的安全上下文，由R98- VLR/SGSN提供的三元组 只能被R99+ VLR/SGSN与98- ME一起用于在GSM-BSS下建立GSM的安全上下文。 在所有其他情况，R99+ VLR/SGSN应当向HE请求新的认证向量AV(或者三元组 或者五元组)，一旦R99+ VLR/SGSN收到五元组，它应当丢弃由R98- VLR/SGSN提供 的三元组。 R98- VLR不分配当前的安全上下文数据。 R98- SGSN只能分配GSM的安全上下文数据。在R99+ SGSNn中，该信息的使用 应根据1)中陈述的条件来做。 6.3.8.4 CS业务的系统间切换 – 从 UTRAN 到GSM BSS 当出现从UTRAN到GSM BSS的系统间切换时，如果加密已经在进行，那么，在实际切换执行前，必要的信息(如Kc，被支持/被允许的GSM加密算法)将在系统基础结构内传输，以使从旧的RNC到新的GSM BSS之间的通信能进行，并以加密模式继续进行通信。RNC可以要求MS发送标识了MS的GSM加密算法支持能力的类型标志Classmark 2和Classmark 3。仅当RRC连接建立过程中MS Classmark 2和Classmark 3没有从UE传送到UTRAN时，必须发送这一消息。 系统间的切换隐含加密算法从UEA 到GSM A5的变化。在通过RNC传送到MS的切换命令消息中，GSM BSS包含所选择的GSM加密模式。 在切换到GSM BSS时，信令信息的完整性保护被终止。 在切换到GSM BSS时，START值(见6.3.4.8节)应当存储在ME/USIM 中。 6.3.8.4.1 UMTS 的安全上下文 在UTRAN中，UMTS的安全上下文仅对具有R99+ ME(能执行UMTS AKA)的UMTS客户建立。在网络端，要区分三种情况: 1)对于在同一MSC/VLR下切换到GSM BSS的情况，该MSC/VLR从所存储的UMTS的加密/ 完整性密钥CK和IK(使用转换函数c3)导出GSM加密密钥Kc，并将Kc发送给目标 BSC(BSC将Kc 传递到BTS)。 2)对于在不同R98- MSC/VLR下切换到GSM BSS的情况，由源MSC/VLR从所存储的UMTS 的加密/完整性密钥(应用转换函数c3)导出GSM的加密密钥Kc，并且通过新的控制 BSC的MSC/VLR将Kc发送给目标BSC。在整个业务期间，最初的MSC/VLR保留归属点。 3)对于在不同R98+ MSC/VLR下切换到GSM BSS的情况，源MSC/VLR发送所存储的UMTS 的加密/完整性密钥CK和IK到新的MSC/VLR。源MSC/VLR也导出Kc并把它发送给新 45 YD/T××—20×× 的MSC/VLR。新的MSC/VLR存储密钥，并发送所接收到的GSM的加密密钥Kc给目标 BSC(该BSC将Kc 传递给BTS)。在整个业务期间，最初的MSC/VLR保留归属点。 在上述每一种情况下，用户侧ME都使用导出的GSM加密密钥Kc，该Kc是USIM在上一次UMTS AKA过程中接收到的。 6.3.8.4.2 GSM的安全上下文 UTRAN中的GSM安全上下文仅对具有R99+ ME的GSM客户建立。在网络侧，要区分两种情况: 1)对于在同一MSC/VLR下切换到GSM BSS的情况，该MSC/VLR将所存储的GSM的加密密 钥Kc发送给目标BSC(该BSC将Kc传递给BTS)。 2)对于在不同MSC/VLR (R99+ or R98-)下切换到GSM BSS的情况，源MSC/VLR通过新 的控制目标BSC的MSC/VLR将所存储的GSM的加密密钥Kc发送给BSC。在整个业务 期间，最初的MSC/VLR保留归属点。 如果非归属的MSC/VLR 是R99+的，那么，归属的MSC/VLR也将导出并发送UMTS的加 密/完整性密钥CK和IK给非归属的MSC/VLR。非归属的MSC/VLR存储所有的密钥， 这样来保证随后在非归属的MSC/VLR中的切换。 在用户侧，在两种情况下，ME使用存储的GSM加密密钥Kc。 6.3.8.5 CS业务的系统间切换 – 从GSM BSS到UTRAN 在GSM BSS向UTRAN做系统间切换时，如果加密已经在进行，那么，在实际切换执行前，必要的信息(如CK、IK、START值信息，被支持/被允许的UMTS算法)将在系统基础结构内传输，以使从旧的GSM BSS到新的RNC之间的通信能进行，并以加密模式继续进行通信。GSM BSS 请求MS发送UMTS能力信息，该信息包括MS的START值和UMTS的安全能力。系统间的切换意味着加密算法从GSM A5到UEA的变化。在通过GSM BSS发送到MS的、切换到UTRAN的命令消息中，目标UMTS RNC包括所选的UMTS的加密模式。 从GSM BSS到UTRAN的系统间切换完成后，应当立即启动信令消息的完整保护。当从MS接收到第一个RRC消息(即切换至UTRAN的完成消息)时，服务RNC将通过启动RRC安全模式控制过程进行完整性保护。在实际的切换执行之前，MS把UE的安全能力信息通过GSM无线接入和系统基础结构发送给RNC，包含在RRC安全模式命令消息中的UE安全能力信息被发送到MS然后由MS验证(即验证它是否等于存储在MS中的UE的安全能力)。 6.3.8.5.1 UMTS 安全上下文 GSM BSS中仅对R99+ ME的UMTS用户建立UMTS安全上下文。由R99+ VLR/SGSN控制的GSM BSS下的R99+ ME具有UMTS AKA能力。在网络侧，要区分两种情况: 1)对于在同一个MSC/VLR下切换到UTRAN的情况，存储的UMTS加密/完整性密钥CK和 IK被发送到目标RNC。 2)对于在不同MSC/VLR下切换到UTRAN的情况，通过目标RNC所属的新MSC/VLR，源 MSC/VLR将所存储的UMTS加密/完整性密钥CK和IK发送给目标RNC。整个业务期间， 源MSC/VLR保留归属点。 归属的MSC/VLR也将导出GSM加密密钥Kc并发送到非归属的MSC/VLR。非归属的 MSC/VLR存储所有密钥，这样来保证随后在非归属的R99+ MSC/VLR 内的切换。 在用户侧，在两种情况下，ME都使用所存储的UMTS的加密/完整性密钥CK和IK。 6.3.8.5.2 GSM安全上下文 使用GSM安全上下文从GSM BSS到UTRAN的切换适用于具有R99+ ME的GSM客户或者R99+ ME的UMTS用户(在MSC/VLR 是R98-的情况下)。在网络侧，要区分两种情况: 1)对于在同一MSC/VLR下切换到UTRAN的情况，UMTS的加密/完整性密钥CK和IK从所 存储的GSM的加密密钥Kc导出(使用转换函数c4和c5)，并发送到目标RNC。在非46 YD/T××—20×× 归属R99+ MSC/VLR下的随后的切换中，如果归属MSC/VLR是R98-，GSM加密密钥Kc 被接收用于UMTS用户。 2)对于在不同MSC/VLR下切换到UTRAN的情况，源MSC/VLR(R99+或R98-)将所存储的 GSM的加密密钥Kc发送到新MSC/VLR控制下的RNC。该MSC/VLR导出UMTS的加密/ 完整性密钥CK和IK，然后发送到目标RNC。整个业务期间，源MSC/VLR保留归属点。 在用户端，在两种情况下，ME从所存储的GSM加密密钥Kc导出UMTS的加密/完整性密钥CK和IK(用转换函数c4和c5)并应用它们。 6.3.8.6 PS业务的系统间切换 – 从UTRAN到 GSM BSS 6.3.8.6.1 UMTS 安全上下文 在UTRAN中的UMTS的安全上下文仅对UMTS客户建立。在网络侧，要区分三种情况: 1)对于在同一SGSN下的向GSM BSS系统切换的情况，该SGSN从所存储的UMTS的加密/ 完整性密钥CK和IK导出GSM的加密密钥Kc(用转换函数c3)，并应用它。 2)对于在不同R99+ SGSN控制下的向GSM BSS系统切换的情况，源SGSN发送所存储的 UMTS的加密/完整性密钥CK和IK给新的SGSN。新的SGSN存储这些密钥，导出GSM 的加密密钥Kc并使用Kc。该新的SGSN成为业务的新的归属点。 3)对于向R98- SGSN控制下的GSM BSS系统切换的情况，源SGSN导出GSM加密密钥Kc 并将Kc送到新的SGSN。新的SGSN存储Kc并使用Kc。新SGSN变成服务的新归属点。 在用户端，在各种情况下，ME使用在上次UMTS AKA过程中USIM接收到的GSM加密密钥Kc。 6.3.8.6.2 GSM的安全上下文 在UTRAN中的GSM的安全上下文仅对GSM客户建立。在网络侧，要区分两种情况: 1)对于在同一SGSN控制下的向GSM BSS的系统间的情况，该SGSN开始使用所存储的 GSM加密密钥Kc。 2)对于在不同SGSN控制下的向GSM BSS的系统间切换的情况，源SGSN发送所存储的 GSM的加密密钥Kc给控制BSC的(新的)SGSN。新的SGSN存储该密钥并使用它。新 的SGSN成为业务的新的归属点。 用户端，在两种情况下，ME使用被存储的GSM的加密密钥Kc。 6.3.8.7 PS业务的系统间切换 – 从GSM BSS 到UTRAN 6.3.8.7.1 UMTS的安全上下文 在GSM BSS中的UMTS的安全上下文仅对连接到R99+ VLR/SGSN并具有UMTS AKA能力的R99+ ME的UMTS客户建立。在网络侧，要区分两种情况: 1)对于在同一SGSN控制下向UTRAN切换的情况，所存储的UMTS的加密/完整性密钥CK 和IK被发送到目标RNC。 2)对于在不同SGSN控制下的向UTRAN切换的情况，源SGSN发送所存储的UMTS的加密/ 完整性密钥CK和IK到控制目标RNC的(新的)SGSN。该新的SGSN成为业务的新的 归属点，然后，此新的SGSN存储UMTS的加密密钥/完整性密钥CK和IK，并将它们 发送给目标RNC。 在用户端，在两种情况下，ME使用所存储的UMTS的加密/完整性密钥CK和IK。 6.3.8.7.2 GSM 安全上下文 在GSM BSS中的GSM安全上下文可以是: 1)为UMTS客户建立的 对UMTS客户的GSM安全上下文在以下情况下建立:用户具有R98- ME或R99+ ME， 其中到UTRAN 的系统间切换是不可能的;或者，用户具有R99+ ME但SGSN是R98-的， 其中到UTRAN的系统间切换意味着到R99+ SGSN的切换。 47 YD/T××—20×× 因此，对于在不同R99+ SGSN控制下的向UTRAN切换的情况，源R98- SGSN将所存 储的GSM的加密密钥Kc发送给控制目标RNC的新的SGSN。 由于新的R99+ SGSN并没有标识用户是GSM用户还是UMTS用户，当从R98- SGSN 接收到Kc时，R99+ SGSN将执行一次新的UMTS AKA。这样，在R99+ SGSN和USIM之间， 使用新的五元组的UMTS安全上下文就建立起来了。该新的SGSN就成为了业务的新的归 属点。 在用户端，在由R99+ SGSN发起的新的UMTS AKA期间，新密钥将被认可。 2)为GSM客户建立的 只由对使用R99+ ME的GSM客户，才可能发生从GSM BSS到UTRAN的切换。在网络 侧，要区分三种情况: a)对于在同一SGSN控制下向UTRAN系统做切换的情况，该SGSN从所存储的GSM 的加密密钥Kc导出UMTS的加密/完整性密钥CK和IK(用转换函数c4 and c5)， 并将它们发送到目标RNC。 b)对于在不同SGSN控制下，从R99+ SGSN向UTRAN系统做切换的情况，源SGSN 将所存储的GSM的加密密钥Kc发送给控制目标RNC的(新的)SGSN。新的SGSN 成为业务的新的归属点，新的SGSN存储GSM的加密密钥Kc，并导出UMTS的加 密/完整性密钥CK和IK，随后将CK和IK传送给目标RNC。 c)对于在不同SGSN控制下，从R98-SGSN向UTRAN系统做切换的情况，源SGSN将 所存储的GSM的加密密钥Kc发送给控制目标RNC的(新的)SGSN。该新的SGSN 成为业务的新的归属点。为保证可能的UMTS客户使用UMTS密钥(这种情况是多 余的)，当R99+ ME在一个R98-SGSN时，R99+ SGSN将执行一次新的AKA。 在用户端，对于所有的情况，ME从所存储的GSM的加密密钥Kc(用转换函数c4 和c5)导出UMTS的加密/完整性密钥CK和IK并应用它们。在情况c)，由于新的AKA 过程，这些密钥将被新的CK和IK覆盖。 6.4 Void 6.5 应用安全机制 6.5.1 Void 6.5.2 Void 6.5.3 移动IP安全 为3G终端用户引入移动IP功能不会影响3G的安全结构。 移动IP终端装配与3G网络接入安全无关的安全功能，是为了提供3G网络外的安全功能。 支持移动IP业务的3G网络应支持3G固有的安全功能。 另一方面，3G网络接入安全结构不能因为移动IP选项而受到影响或减弱。 因此，移动IP安全功能必须与3G网络接入安全分开，在另一个论坛IETF中发展。 7 3G安全综合指南 7.1 接入链路安全 7.1.1 网络的功能结构 图22为UMTS安全的功能结构: 48 YD/T××—20×× UIDNVLRUSIMUERNCHLR (SGSN) EUICUSIMEUICLIDN UICUICUICUESNHE AKAAKAAKAAKAAKAUSIMVLRSNHLRVLR DCDCUERNC DIDIUERNC 图22 UMTS安全的功能结构 纵向代表网络元素: 1)在用户域: USIM:由HE配给用户的接入模块 UE 2)在服务网络(SN)域: RNC VLR和SGSN 3)在归属环境(HE)域: HLR/AuC UIDN 横向代表安全机制: 1)EUIC:增强用户身份机密性的机制(可选，位于用户和HE之间); 2)UIC:用户身份机密性的常规机制(位于用户和服务网络之间); 3)AKA:认证和密钥协商机制，包括用户触发重认证的功能，即控制接入密钥对的生命 周期; 4)DC:用户数据和信令数据的机密性机制; 5)DI:信令数据的完整性机制; 6)DEC:网络范围内的数据机密性机制。 在本章中，我们将描述为了实现上述各机制和功能，需要哪些数据单元和函数。 7.1.2 用户业务身份模块(USIM) 7.1.2.1 Void 7.1.2.2 认证和密钥协商(AKA) USIM USIM需支持本标准6.3.3小节所描述的UMTS机制中的认证和密钥协商。 下列数据元素必需存储在USIM上: 1)K:一个永久的秘密密钥; 2)SQN:一个等于最高序列号SQN的计数器，该最高序列号SQN在用户接受的AUTH参MS 数中; 3)RAND:随机数，它和最新的AUTH参数一起被用户接收，该任意数和最高接受序列号MS (SQN)一起用于计算重同步消息; MS 4)KSI:密钥集标识符; 5)THRESHOLD:HE定义的一个门限值，用于触发重认证和控制加密密钥的生命周期; C 49 YD/T××—20×× 6)CK:作为认证部分而建立的接入链路加密密钥; 7)IK:作为认证部分而建立的接入链路完整性校验密钥; 8)HFN:储存的超帧号，为COUNT-C和COUNT-I提供最高位的初始化值。低位部分是从MS RRC的序列号得到; 9)AMF:用于认证管理的16-bit的字段。附录G中给出AMF使用的范例; 10)GSM认证参数和GSM加密密钥由从UMTS到GSM的转换函数推出。 表1提供了储存在USIM上的数据元素，它们能支持认证和密钥协商。 表1 USIM –认证和密钥协商 – 数据元素 符号 描述 多样性 生命周期 长度必选/ (位) 可选 K 永久秘密密钥 1(注1) 永久 128 必选 SQN 序列号计数器 1 执行AKA协议时48 必选 MS 更新 WINDOW 已接受的序列号1 执行AKA协议时10 - 100 O (option 1) 数组 更新 LIST 已接收到的序列1 执行AKA协议时32-64 O (option 2) 号的有序表 更新 RAND 用户接收的任意1 执行AKA协议时128 必选 必选S 数 更新 KSI 密钥集标识符 2(注2) 执行AKA协议时3 必选 更新 THRESHOLD 门限值 1 永久 32 O C CK 加密密钥 2(注2) 执行AKA协议时128 必选 更新 IK 完整性校验密钥 2(注2) 执行AKA协议时128 必选 更新 HFN COUNT-C 和1 当释放连接时更25 必选 MS: COUNT-I 中最重新 要部分的初始化 值 AMF 认证管理字段(说1 执行AKA协议时16 必选 明所用的算法和更新 密钥) RAND 从转换函数中得1 执行GSM AKA或只针对可选 G 到的GSM认证参UMTS AKA协议时GSM 数 更新 SRES 从转换函数中得1 执行GSM AKA或只针对可选 到的GSM认证参UMTS AKA协议时GSM 数 更新 Kc GSM 加密密钥 2(注2) 执行GSM AKA或只针对可选 UMTS AKA协议时GSM 更新 注1:HE策略可能产生多个指令，密钥可以采用AMF以信令方式发送。 50 YD/T××—20×× 注2:一个给CS域，一个给PS域 下列加密算法需要在USIM上实现: 1)f1:消息认证函数，用于网络认证; *2)f1:消息认证函数，用于支持重同步; 3)f2:消息认证函数，用于用户认证; 4)f3:密钥生成函数，用于生成加密密钥; 5)f4:密钥生成函数，用于生成完整性校验密钥; 6)f5:密钥生成函数，用于生成正常运行的匿名密钥; *7)f5:密钥生成函数，在重同步过程中用于生成匿名密钥; 8)c2:为达到与GSM互操作，从XRES(UMTS)到SRES(GSM)的转换函数; 9)c3:为达到与GSM互操作，从CK和IK(UMTS)到KC(GSM)的转换函数。 表2总结了支持认证和密钥协商的USIM中实现的加密算法。 表2 USIM –认证和密钥协商–密码函数 符号 描述 多样性 生命周标准化必选/可 期 /私有 选 f1 网络认证函数 1 永久 私有 必选 *f1 同步时消息认证函1 永久 私有 必选 数 f2 用户认证函数 1 永久 私有 必选 f3 加密密钥生成函数 1 永久 私有 必选 f4 完整性校验密钥生1 永久 私有 必选 成函数 f5 正常操作中匿名密1 永久 私有 可选 钥生成函数 *f5 重同步中匿名密钥1 永久 私有 可选 生成函数 c2和c3 与GSM互通转换函每个都永久 标准化 可选 数 为1 7.1.3 用户设备 7.1.3.1 用户身份机密性(UIC) UE UE须支持用户身份机密性的UMTS常规机制，该机制在本标准的6.3.1节描述。 UE须存储下列数据元素: 1)TMUI-CS:CS核心网分配的临时标识; 2)LAI:位置区域标识; 3)TMUI-PS:PS核心网分配的临时标识; 4)RAI:路由区域标识。 51 YD/T××—20×× 表3 UE – 用户身份机密性 – 数据元素 符号 描述 多样性 生命周期 长度 必选/ 可选 TMUI临时用户身每用户1个 当CS核心网执行与GSM 必选 -CS 份 TMUI分配协议时更新 TMSI长度 一样 LAI 位置区域标每用户1个 当CS核心网执行 必选 识 TMUI分配协议时更新 TMUI临时用户身每用户1个 当PS核心网执行 必选 -PS 份 TMUI分配协议时更新 RAI 路由区域标每用户1个 当PS核心网执行 必选 识 TMUI分配协议时更新 7.1.3.2 数据机密性(DC) UE UE须支持用于用户和信令数据的机密性的UMTS机制，该机制在3G TS 33.102的6.3.6 节描述。 UE须存储如下数据元素: 1)UEA-MS:UE的加密能力; 2)CK:加密密钥; 3)UEA:选取的加密函数; 另外，在专用模式下: 4)COUNT-C:时间变化参数，用于为上行链路的加密的同步; UP 5)COUNT-C:时间变化参数，用于为下行链路的加密的同步; DOWN 6)BEARER:无线承载标识符; 7)DIRECTION:用以标识传输方向为上行还是下行，以确保使用不同的加密。 表4提供了在支持数据机密性机制的UE上存储的数据元素。 表4 UE – 数据机密性 – 数据元素 符号 描述 多样性 生命周期 长度必选/ (位) 可选 UEA-MS UE加密能力 每UE 1个 永久 16 必选 CK 加密密钥 每模式1个 执行AKA协议时更128 必选 新 UEA 选取的加密能力 每UE 1个 建立连接时更新 4 必选 COUNT-C用于同步加密的每无线承载1无线承载的生命周32 必选 UP时间变化参数 个 期 COUNT-C用于同步加密的每无线承载1无线承载的生命周32 必选 DOWN时间变化参数 个 期 BEARER 无线承载标识 每无线承载1无线承载的生命周5 必选 个 期 DIRECTI传输方向标识，用每无线承载1无线承载的生命周1 必选 ON 以区分为上行还个 期 是下行 下列密码函数须在UE上实现: 1)f8:接入链路加密函数(注1)。 52 YD/T××—20×× 2)c4:为了和GSM互操作，从Kc (GSM) 到 CK (UMTS)的转换函数。 注1:TS 33.102指的是UEA ,f8是密码算法需求TS 33.105中所定义的在UEA中的一 个特定实现。 表5提供了支持数据机密性的UE上的实现的加密函数的概况。 表5 UE – 数据机密性 – 密码函数 符号 描述 多样性 生命周期 标准化/必选/可选 私有 f8 接入链路加密函数 1-16 永久 标准化 至少一个为必 选 c4 与GSM互通的转换1 永久 标准化 可选 函数 7.1.3.3 数据完整性(DI) UE UE须支持信令数据完整性的UMTS机制，该机制描述见本标准的6.3.4节中。 UE须存储下列数据元素: 1)UIA-MS:UE的完整性能力。 另外，在专用模式下: 2)UIA:已选择的UMTS完整性函数; 3)IK:完整性密钥; 4)COUNT-I:时间变化参数，用于上行链路方向的数据完整性的同步; UP 5)COUNT-I:时间变化参数，用于下行链路方向的数据完整性的同步; DOWN 6)DIRECTION:用以标识传输方向为上行还是下行，以确保使用不同的加密; 7)FRESH:网络询问; 表6给出了支持数据完整性机制的UE上存储的数据元素的概况: 表6 UE – 数据完整性 – 数据元素 符号 描述 多样性 生命周期 长度必选/ (位) 可选 UIA-MS UE加密能力 每UE1个 永久 16 必选 UIA 选取的加密能每UE1个 建立连接时更新 4 必选 力 IK 完整性校验密每模式1执行AKA协议时更新 128 必选 钥 个 DIRECTION 传输方向标识，每无线无线承载生命周期 1 必选 用以区分为上承载1个 行还是下 COUNT-I 同步值 1 一个连接的生命周期 32 必选 UP COUNT-I 同步值 1 一个连接的生命周期 32 必选 DOWN FRESH 网络质询 1 一个连接的生命周期 32 必选 MAC-I 消息验证码 1 执行AKA协议时更新 32 必选 XMAC-I 下列密码函数须在UE实现: 1)f9:接入链路完整性校验函数(注1)。 2)c5:为和GSM互操作，Kc(GSM)到IK(UMTS)的转换函数 注1:TS 33.102指的是UIA，f9是密码算法要求TS 33.105中所定义的一个特定实现。 53 YD/T××—20×× 表7提供了在UE上实现的密码函数的概况: 表7 UE – 数据完整性 – 密码函数 符号 描述 多样生命周标准化必选/可选 性 期 /私有 f9 接入链路完整性校验函数 1-16 永久 标准化 至少一个必选 c5 与GSM互通转换函数 1 永久 标准化 可选 7.1.3.4 空 7.1.4 无线网络控制器 7.1.4.1 数据机密性(DC) rnc RNC应当支持用户和信令数据机密性的UMTS机制，该机制的描述在本标准的6.3.6节 中。 RNC应当存储下列数据元素: 1)UEA-RNC:RNC的加密能力; 此外，在专用模式下: 2)UEA:已选择的加密函数 3)CK:加密密钥 4)COUNT-C:时间变化参数，用于上行链路方向的加密的同步; UP 5)COUNT-C:时间变化参数，用于下行链路方向的加密的同步; DOWN 6)DIRECTION:用以标识传输方向是上行还是下行，以确保使用不同的密钥; 7)BEARER:无线承载标识符。 表8给出了存储的RNC上数据元素的概况，用于支持数据机密性机制: 表8 RNC – 数据机密性 – 数据元素 符号 描述 多样性 生命周期 长度 必选/ (位可选 ) UEA-RNC UE 的加密能力 1 永久 16 必选 UEA 选定的加密能力 1，每个用户的每在建立连接4 必选 种模式下 时更新 CK 加密密钥 1，每个用户的每在建立连接128 必选 种模式下 时更新 加密同步所需的1，每一无线承载 无线承载的32 必选 COUNT-C UP时间变化参数 生命周期 加密同步所需的1，每一无线承载 无线承载的32 必选 COUNT-C DOWN时间变化参数 生命周期 BEARER 无线承载标识符 1，每一无线承载 无线承载的5 必选 生命周期 DIRECTION 传输方向指示:1，每一无线承载 无线承载的1 必选 上行或下行 生命周期 RNC上应当实现下列加密函数: 1)f8:接入链路加密函数。 表9是在RNC实现的加密函数的概况，目的是支持数据机密性机制: 54 YD/T××—20×× 表9 RNC – 数据机密性 – 密码函数 符号 描述 多样性 生命标准化/必选/可选 周期 专有 f8 接入链路加密函数 1-16 永久 标准化 至少一个是必 选的 7.1.4.2 数据完整性(DI) rnc RNC应当支持UMTS的信令数据的数据完整性机制，该机制的描述在本标准的6.3.4节 中。 RNC应当存储下列数据元素: 1)UIA-RNC:RNC的完整性能力; 此外，在专用模式下: 2)UIA:已选择的UMTS完整性算法 3)IK:完整性密钥 4)COUNT-I:时间变化参数，用于上行链路方向的数据完整性的同步; UP 5)COUNT-I:时间变化参数，用于下行链路方向的数据完整性的同步; DOWN 6)DIRECTION:用以标识传输方向是上行还是下行，以确保使用不同的密钥; 7)FRESH:移动台质询. 表10给出了支持数据完整性机制的UE上存储的数据元素的概况: 表10 RNC –数据完整性 –数据元素 符号 描述 多样性 生命周期 长度 必选/ (位) 可选 UIA-RNC RNC的数据完整1 永久 16 必选 性能力 UIA 选定的数据完整1，每个用户 连接的生命周期 4 必选 性能力 IK 完整性密钥 1，每个用户 连接的生命周期 128 必选 DIRECTION 传输方向指示:1，每一无线无线承载的生命1 必选 上行或下行 承载 周期 COUNT-I 同步值 1 连接的生命周期 32 必选 UP COUNT-I 同步值 1 连接的生命周期 32 必选 DOWN FRESH MS 质询 1 连接的生命周期 32 必选 MAC-I 消息验证码 1 连接的生命周期 32 必选 XMAC-I RNC上应当实现下列密码函数: f9:接入链路完整性函数。 表11提供了在RNC实现的密码函数的概况: 表11 RNC –数据完整性–密码函数 符号 描述 多样性 生命周期 标准化/专有 必选/可选 f9 接入链路的数1-16 永久 标准化 至少一个是 据完整性函数 必选的 7.1.5 SN(或MSC/VLR或SGSN) 7.1.5.1 用户身份机密性(UIC) SN VLR(与之相应的SGSN)应当支持UMTS的用户身份机密性的常规机制，该机制的描述 55 YD/T××—20×× 在本标准的6.3.1节中。 VLR应当存储下列数据元素: 1)TMSI-CS:CS核心网分配的临时身份; 2)LAI:位置区域标识符; 表12 VLR –用户身份机密性–数据元素 符号 描述 多样性 生命周期 长度 必选/ 可选 TMSI-CS 用户的临时身份 每个用户2个 当CS核心网执行 必选 TMSI分配协议时更新 LAI 位置区域标识 每个用户2个 当CS核心网执行 必选 TMSI分配协议时更新 与之相应的SGSN应当存储下列数据元素: 1)TMSI-PS:PS核心网分配的临时身份; 2)RAI:路由区域标识符。 表13 SGSN –用户身份机密性–数据元素 符号 描述 多样性 生命周期 长度 必选/ 可选 TMUI-PS 用户的临时身每个用户1个 当PS核心网执行 必选 份 TMUI分配协议时更新 RAI 路由区域标识 每个用户1个 当PS核心网执行 必选 TMUI分配协议时更新 7.1.5.2 Void 7.1.5.3 认证和密钥密钥协商(AKA) SN VLR(与之相应的SGSN)应当支持UMTS的认证和密钥协商机制，该机制的描述在本标 准的6.3.3节中。 VLR(和SGSN)需要存储下列数据元素: 1)AV:认证向量; 表14提供了认证向量的组成概况: 表14 认证向量的组成 符号 描述 多样性 长度(位) RAND 网络质询 1 128 XRES 期待的回应 1 32-128 CK 加密密钥 1 128 IK 完整性密钥 1 128 AUTN 认证令牌 1，由以下元素组成: 128 SQN或SQN,AK 序列号或者隐藏的序列号 每个AUTN一个 48 AMF 认证管理字段 每个AUTN一个 16 MAC-A 认证网络所用的消息认证码 每个AUTN一个 64 2)KSI:密钥组标识符; 3)CK:加密密钥; 4)IK:完整性密钥; 5)GSM AV:GSM的认证向量. 56 YD/T××—20×× 表15提供了在VLR/SGSN上存储的用于认证和密钥协商的数据元素的概况: 表15 VLR/SGSN –认证和密钥协商 –数据元素 符号 描述 多样性 生命周期 长度必选/ (位) 可选 UMTS AV UMTS 认证向量 每个用户有若干取决于许多528-640 必选 个，取决于SN 条件 KSI 密钥组标识符 每个用户1个 执行AKA协议3 必选 时更新 CK 加密密钥 每个用户1个 执行AKA协议128 必选 时更新 IK 完整性密钥 每个用户1个 执行AKA协议128 必选 时更新 GSM AV GSM的认证向量 与GSM相同 与 GSM相同 与GSM可选 相同 下列密码函数应当在VLR/SGSN中实现: 1)c4:为与GSM互操作，从Kc(GSM)到CK(UMTS)的转化函数; 2)c5:为与GSM互操作，从Kc(GSM)到IK(UMTS)的转化函数。 表16给出了为支持数据机密性机制而在UE上实现的密码函数的概况 表16 VLR/SGSN认证和密钥协商–密码函数 符号 描述 多样性 生命周期 标准化的/专必选/ 有的 可选 c4 与GSM互操作所需1 永久 标准化的 可选 的转化函数 c5 与GSM互操作所需1 永久 标准化的 可选 的转化函数 7.1.6 本地归属寄存器/认证中心 7.1.6.1 认证和密钥协商(AKA) he HLR/AuC应当支持UMTS的认证和密钥协商机制，该机制的描述在3G TS 33.102的6.3 节中。 HLR/AuC应当存储下列数据元素: 1)K:永久密钥; 2)SQN:用于产生SQN的计数器; HE 3)AV:预先计算出的认证向量; 表17提供了在HLR/AuC上存储的用于认证和密钥协商的数据元素的概况: 57 YD/T××—20×× 表17 HLR/AuC –认证和密钥协商–数据元素 符号 描述 多样性 生命周期 长度 必选/ (位) 可选 K 永久密钥 1 永久 128 必选 SQN 序列号计数器 1 当生成AV时更新 48 必选 HE UMTS AV UMTS 认证向量 HE 选项 当生成AV时更新 544-640 可选 GSM AV GSM 认证向量 HE 选项，由下当生成AV时更新 和GSM相同 可选 列元素组成: RAND GSM 随即质询 128 可选 SRES GSM 所期待的 32 可选 回应 Kc GSM 加密密钥 64 可选 表18给出了同步失败消息的认证令牌的构成，该令牌用于支持认证和密钥协商: 表18 同步失败消息的认证令牌的组成 符号 描述 多样性 长度(位) AUTS 同步失败认证令牌 由下列元素组成: 112 SQN 序列号 每个AUTS一个 48 MAC-S 同步失败消息的消息认证码 每个AUTS一个 64 下列密码算法需要在HLR/AuC上实现: 1)f1:消息认证函数，用于网络认证; *2)f1:消息认证函数，用于支持重新同步; 3)f2:消息认证函数，用于用户认证; 4)f3:密钥生成函数，用于导出加密密钥; 5)f4:密钥生成函数，用于导出完整性密钥; 6)f5:密钥生成函数，用于导出正常运行所用的匿名密钥; *7)f5:密钥生成函数，用于在重新同步过程中导出匿名密钥; 8)c1:为与GSM互操作，从RAND(UMTS)到RAND(GSM)的转化函数; 9)c2:为与GSM互操作，从XRES(UMTS)到SRES(GSM)的转化函数; 10)c3:为与GSM互操作，从CK和IK(UMTS)到KC(GSM)的转化函数。 表19总结了在USIM上实现的用于认证和密钥协商的加密函数: 58 YD/T××—20×× 表19 HLR/AuC –认证和密钥协商 – 密码函数 符号 描述 多样性 生命周期 标准化/专必选/可 有 选 f1 网络认证函数 1 永久 专有 必选 *f1 同步所需的消息认证1 永久 专有 必选 函数 f2 用户认证函数 1 永久 专有 必选 f3 加密密钥生成函数 1 永久 专有 必选 f4 完整性密钥生成函数 1 永久 专有 必选 f5 匿名密钥生成函数1 永久 专有 可选 (用于正常操作) *f5 匿名密钥生成函数1 永久 专有 可选 (用于重新同步) A3/A8 GSM 用户认证函数 1 永久 专有 可选 c1, c2 将UMTS的AV转换成c1，c2和永久 标准化 可选 and c3 GSM的AV的函数 c3各1个 7.1.7 Void 7.2 Void 7.3 Void 8 密码算法要求 8.1 一般算法要求 8.1.1 强度 设计的函数应能连续使用至少20年。工作量大大低于在有效的密钥空间进行穷举密钥搜索的成功攻击是不可能的。 8.1.2 全球范围的适用性和应用 对包含加密函数设备的使用或出口的合法限制，在某些国家会禁止使用这样设备的。 为了允许3G终端的自由流通，打算使包含有这种密码算法的UE和USIM能不受限制地出口或使用。网络设备，包括RNC和AuC，期望在更加严格的限制下能使用。目的在于使包含这种密码算法的RNC和AuC在 Wassenaar Arrangement条件下可出口。 8.2 功能算法要求 8.2.1 认证和密钥协商 8.2.1.1 概述 6.3.3节中描述的认证和密钥协商机制要求下列密码函数: 1)f0:随机数生成函数 2)f1:网络认证函数 *3)f1:重同步消息认证函数 4)f2:用户认证函数 5)f3:加密密钥导出函数 6)f4:完整性密钥导出函数 7)f5:在正常运作下，匿名密钥导出函数 *8)f5:在重同步过程中，匿名密钥导出函数 8.2.1.2 应用 函数 f0—f5 将仅用于提供USIM和AuC之间的相互实体认证、导出保护在无线接入链 59 YD/T××—20×× 路上传输的用户和信令数据的密钥、隐藏保护用户身份机密性的序列号。对于由USIM 发送到 AuC的同步失败信息，函数 f1*仅用于提供数据源认证。函数f5*在重同步期间仅用于提供用户身份的机密性。 8.2.1.3 分配 函数f1,f5、f1*和f5*分配在认证中心AuC和USIM，函数f0分配在AuC。 8.2.1.4 标准化扩展 —f5、f1*和f5*专属于归属环境。 函数f0 8.2.1.5 实现和运行考虑 设计函数f1—f5、f1*和f5*，应使得它们能够在一个配有8-bit 微处理器、运行速度3.25 MHz、有8 kbyte ROM 和 300byte RAM的 IC卡上实现，在不到500 ms的执行时间内产生 AK, XMAC-A、RES、CK 和 IK。 8.2.1.6 算法类型 8.2.1.6.1 f0 f0:随机数生成函数 f0: (内部状态) , RAND f0是(伪)随机数生成函数。 8.2.1.6.2 f1 f1:网络认证函数 : (K, SQN, RAND, AMF) , MAC-A (或XMAC-A) f1 f1是一个MAC函数。而且，从RAND、SQN、AMF和MAC-A (或XMAC-A)的信息导出K在计算上是不可行的。 *8.2.1.6.3 f1 *f1:重同步消息认证函数 *f1: (K; SQN, RAND, AMF) , MAC-S (或XMAC-S) *f1是一个MAC函数。而且，从RAND、SQN、AMF和MAC-S (或XMAC-S)的信息导出K在计算上是不可行的。 8.2.1.6.4 f2 f2:用户认证函数 f2: (K; RAND) , RES (或XRES) f2应该是一个MAC函数。而且，从RAND和RES (或XRES)的信息导出K在计算上是不可行的。 8.2.1.6.5 f3 f3:加密密钥导出函数 f3: (K; RAND) , CK f3应该是一密钥导出函数。而且，从RAND和CK 的信息导出K在计算上是不可行的。 8.2.1.6.6 f4 f4:完整性密钥导出函数 f4: (K; RAND) , IK f4应该是一密钥导出函数。而且，从RAND和IK的信息导出K在计算上是不可行的。 8.2.1.6.7 f5 f5:匿名密钥导出函数 f5: (K; RAND) , AK f5是一密钥导出函数。而且，从RAND和AK的信息导出K在计算上是不可行的。 60 YD/T××—20×× f5的应用是可选的。 *8.2.1.6.8 f5 *f5: 提供重同步的匿名密钥导出函数 *f5: (K; RAND) , AK *f5是密钥导出函数。而且，从RAND和AK的信息导出K在计算上是不可行的。 *f5的应用是可选的。 8.2.1.7 接口 8.2.1.7.1 K K:客户认证密钥 K[0], K[1], „, K[127] K的长度是128 bits。客户认证密钥K是存储在USIM和AuC中的一长期秘密密钥。 8.2.1.7.2 RAND RAND:随机数 RAND[0], RAND[1], „, RAND[127] RAND的长度是128 bits。 8.2.1.7.3 SQN SQN:序列号 SQN[0], SQN[1], „, SQN[47] SQN的长度是48 bits。AuC应该在每一认证令牌中包含一刷新的序列号。USIM对序列号的刷新性验证构成用户对网络的实体认证。 8.2.1.7.4 AMF AMF:认证管理域 AMF[0], AMF[1], „, AMF[15] AMF的长度是16 bits。AMF的应用不标准化。AMF的应用例子见附录G。 8.2.1.7.5 MAC-A (等价于XMAC-A) MAC-A:用于用户对网络认证的消息认证码 MAC-A[0], MAC-A[1], „, MAC-A[63] MAC-A的长度是64 bits。MAC-A认证数据的完整性，以及认证RAND、SQN和 AMF的数据源。USIM对MAC-A的验证构成用户对网络的实体认证。 8.2.1.7.6 MAC-S (等价于XMAC-S) MAC-S:对于由USIM发送到AuC的同步失败信息，用于提供数据源认证的消息认证码 MAC-S[0], MAC-S[1], „, MAC-S[63] MAC-S的长度是64 bits。MAC-S认证数据的完整性，以及认证RAND、SQN和AMF的数据源。MAC-S由USIM产生，AuC验证。 8.2.1.7.7 RES (或XRES) RES:用户响应 RES[0], RES[1], „, RES[31 ... 127] RES和XRES的最大长度是128 bits，最小长度是32 bits。RES和XRES构成网络对用户的实体认证。 8.2.1.7.8 CK CK:加密密钥 CK[0], CK[1], „, CK[127] CK的长度是128 bits。如果有效的密钥长度需要小于128 bits，CK的最高比特位承载有效密钥信息，而其余低比特位置0。 61 YD/T××—20×× 8.2.1.7.9 IK IK:完整性密钥 IK[0], IK[1], „, IK[127] IK的长度是128 bits。如果有效的密钥长度需要小于128 bits，IK的高比特位承载有 效密钥信息，而其余低比特位置0。 8.2.1.7.10 AK AK:匿名密钥 AK[0], AK[1], „, AK[47] AK的长度是48 bits，等于SQN的长度。 8.2.2 数据机密性 8.2.2.1 概述 在6.3.6节中描述的用户数据和信令数据的数据机密性机制，要求下列加密函数: f8:UMTS加密算法 8.2.2.2 应用 函数f8仅用于保护在UE和RNC之间的无线接入链路上发送的用户数据和信令数据的机 密性。 8.2.2.3 分配 函数f8分配在UE和RNC。 加密将在媒质接入控制MAC子层和数据链路层的无线链路控制RLC子层中应用。 8.2.2.4 标准化范围 函数f8将完全标准化。 8.2.2.5 实现和运行考虑 该算法应设计满足一实现选择范围，包括硬件和软件实现。对于硬件实现，用不到10000 门可实现该算法。 用户期望具有不同承载能力的各种UE，使得对该算法的加密吞吐量要求能随实现而变 化。可是，以可能的最大用户业务数据率为基础，必须能实现该算法以达到在下行链路和上 行链路上的2Mbit/s加密速度。 1)RLC-透明模式: a)每一物理层帧(10ms)要求一新的密钥流块 b)每物理层帧最大比特数为20000比特 c)每物理层帧最小比特数为1比特 d)在所有可能的中间值上粒度为1比特 2)对UM RLC模式: a)每一UMD PDU要求一新的密钥流块 b)在UMD PDU中的最大比特数是5000比特 c)在UMD PDU中的最小比特数是16比特 d)在所有可能的中间值上粒度为8比特 3)对AM RLC模式: a)每一AMD PDU要求一新的密钥流块 b)在AMD PDU中的最大比特数是5000比特 c)在AMD PDU中的最小比特数是24比特 d)在所有可能的中间值上粒度为8比特 20MHz以上的时钟速度应该满足加密吞吐量要求。 8.2.2.6 算法类型 62 YD/T××—20×× 函数f8应该是对称同步流密码。 8.2.2.7 算法接口 8.2.2.7.1 CK CK:加密密钥 CK[0], CK[1], „, CK[127] CK的长度是128 bits。如果有效的密钥长度小于128 bits，CK的高比特位承载有效密钥信息，而其余低比特位重复有效密钥信息。 CK[n] = CK[n mod k], 对所有的n，有k , n < 128. 8.2.2.7.2 COUNT-C COUNT-C:加密序列号 COUNT-C[0], COUNT-C[1], „, COUNT-C[31] COUNT-C参数的长度是32 bits。 密钥流的同步是以物理层帧计数器为基础，组合引入的超帧计数器以避免密钥流再用。此允许密钥流每10ms物理层帧进行同步。精确的COUNT-C结构在第6章中定义。 8.2.2.7.3 BEARER BEARER: 无线承载标识符 BEARER[0], BEARER[1], „, BEARER[4] BEARER的长度是5 bits。 同一加密密钥可能同时用于不同的无线承载，这些无线承载与一用户相关，在一10ms 物理层帧上复用。为了避免使用相同的密钥流加密一个以上承载，该算法将基于无线承载的身份产生密钥流。 8.2.2.7.4 DIRECTION DIRECTION:将加密的承载的传输方向 DIRECTION[0] DIRECTION的长度是1 bit。 同一加密密钥可能同时用于与一UE相关的上行链路和下行链路信道，它们在一10ms物理层帧上复用。为了避免使用相同的密钥流加密上行链路和下行链路的传输，该算法将基于传输方向产生密钥流。 DIRECTION的值是0，表示消息从UE到RNC，1表示消息从RNC到UE。 要求显式的方向值，是为了更好的将密钥流分段成上行链路和下行链路部分，以考虑非对称承载业务。 8.2.2.7.5 LENGTH LENGTH:密所的需钥流长度 LENGTH[0], LENGTH[1], „, LENGTH[15] LENGTH的长度是16比特。 对于已知承载和传输方向，在单一物理层帧期间传输的明文块的长度可能改变。该算法基于长度参数值产生可变长度的密钥流块。 输入参数LENGTH只影响KEYSTREAM BLOCK的长度，不影响其中的实际比特。 最大的RLC PDUs / MAC SDUs大小是5000比特。长度参数值的范围将不仅取决于RLC PDU / MAC SDU的大小，还取决于在已知承载和传输方向的单一物理层10ms帧中发送的RLC PDUs / MAC SDUs的个数 。 并不要求在最大值和最小值之间的所有值，但希望要求能产生最大和最小值之间的整个八位字节数的长度值。 8.2.2.7.6 KEYSTREAM 63 YD/T××—20×× KEYSTREAM:输出密钥流 KS [0], KS [1], „, KS [LENGTH-1] 密钥流块的长度等于输入参数LENGTH的值。 8.2.2.7.7 PLAINTEXT PLAINTEXT:明文 PT[0], PT[1], „, PT[LENGTH-1] 密钥流块的长度等于输入参数LENGTH的值。 对于一个已知的承载和传输方向，该明文块由在一个10ms物理层帧中要加密的特定的 RLC PDUs / MAC SDUs的净荷组成。它可由用户的业务或信令数据组成: 1)对RLC UM模式，明文块是UMD PDU，除头8位字节外，即，除RLC UM PDU头外 (见 TS 25.322)。 2)对RLC AM模式，明文块是AMD PDU，除头两个8位字节，即，RLC AM PDU头外 (见 TS 25.322)。 3)对DCH上的RLC TM，明文块由所有包含为一个和同一无线承载准备且在一个发射时 间间隔内发送的数据的MAC SDUs组成。在这种情况下，对于明文块的COUNT-C的CFN 部，是包含明文块的传输时间间隔的头一无线帧的CFN(见TS 25.321)。 8.2.2.7.8 CIPHERTEXT CIPHERTEXT:密文 CT[0], CT[1], „, CT[LENGTH-1] 密钥流块的长度等于输入参数LENGTH的值。 8.2.3 数据完整性 8.2.3.1 概述 6.3.6节中描述的信令数据的数据完整性机制要求下列密码函数: f9:UMTS完整性算法 8.2.3.2 应用 MAC函数 f9将用于认证数据完整性和在UE和RNC之间传输的信令数据的数据源。 8.2.3.3 分配 MAC函数f9分配在UE和RNC。 完整性保护将应用在RRC层。 8.2.3.4 标准化范围 函数f9被完全标准化。 8.2.3.5 实现和运行考虑 该算法应设计适合于硬件和软件实现。 8.2.3.6 算法类型 函数f9是一MAC函数。 8.2.3.7 接口 8.2.3.7.1 IK IK:完整性密钥 IK[0], IK[1], „, IK[127] IK的长度是128比特。 8.2.3.7.2 COUNT-I COUNT-I:一个与帧相关的输入 COUNT-I[0], COUNT-I[1], „, COUNT-I[31] COUNT-I的长度是32比特。 64 YD/T××—20×× 输入参数COUNT-I抗击连接期间的重放。对于每一受完整性保护的消息它加1。COUNT-I由两部分组成:HFN作为高比特位，RRC序列号作为低比特位。超帧号的初始值在连接建立时由用户发送到网络，用户存储从前面连接中使用过的最大的超帧号并加1。用这种方法，用户确信没有COUNT-I值被使用同一完整性密钥的(网络)重用。 8.2.3.7.3 FRESH FRESH:由RNC产生的一随机数 FRESH[0], FRESH[1], „, FRESH[31] FRESH的长度是32 比特。 同一完整性密钥可能用于几个连续的连接，该FRESH值是一个算法输入，以为了使网络侧确信用户没有重放旧的MAC-I。 8.2.3.7.4 MESSAGE MESSAGE:信令数据 MESSAGE[0], MESSAGE[1], „, MESSAGE[X-1] MESSAGE的最大长度是X。 8.2.3.7.5 DIRECTION DIRECTION:信令消息的传输方向 (用户到网络或网络到用户) DIRECTION[0] DIRECTION的长度是1比特。 同一完整性密钥可同时用于与一UE相关的上行链路和下行链路信道。 DIRECTION的值是0，表示消息从UE到RNC，是1，表示消息从RNC到UE。 8.2.3.7.6 MAC-I(XMAC-I相同) MAC-I:提供数据完整性认证的消息认证码 MAC-I[0], MAC-I[1], „, MAC-I[31] MAC-I的长度是32 bits。 8.3 算法规范的应用 本节讨论算法规范的所有权、说明哪类机构有资格使用算法规范、略述这样的机构怎样和在什么条件下可以获得规范。 8.3.1 所有权 对那些要求完全标准化的函数，算法和测试数据规范的所有版权由3GPP伙伴机构共同拥有。 8.3.2 设计机构 要求标准化的算法设计机构是ETSI SAGE。期望由SAGE组织的工作组在3GPP伙伴机构内起草适当的专门技术。 8.3.3 规范的使用者 对于那些要求完全标准化的函数，算法规范作为3GPP规范公布。它将由需要该算法规范来建立设备或包含该算法的元件的那些人使用。 8.3.4 许可 对于那些要求完全标准化的函数，算法的使用受制于许可协议，其限制了在8.2.2.2和8.2.3.2节中描述的算法的使用。 算法使用者和算法规范使用者将要求签署许可协议，适当的许可协议将由3GPP伙伴机构起草。 许可是免费的，此外，许可协议将要求规范的使用者不要试图对算法申请专利或对算法和它的使用注册知识产权。 8.3.5 规范管理 65 YD/T××—20×× 对于那些要求完全标准化的函数，算法规范作为3GPP规范公布。因此，算法对于公众的评估是公开的。人们认识到，在系统的商业运行期间，应将算法公开交与公众评判。对于公众评判的响应过程要由3GPP组织认真处理。 8.4 算法规范和测试数据要求 对于那些要求完全标准化的函数，设计机构应提供四个独立的提案:一个算法规范、一组设计一致性测试数据、一组算法输入/输出测试数据和一个设计和评估报告。对规范和测试数据提案的要求将在本节给出，对设计和评估报告的提案在8.5.3节给出。 8.4.1 算法规范 为了方便算法的实现者使用，需要提供一份明确的算法规范。 规范应包含一个附件，其提供用ANSI C写的算法的仿真代码。该规范也可包含一个附件，其算法的功能元素进行说明。 8.4.2 实现程序测试数据 要求实现程序测试数据以辅助算法实现者实现算法规范。 这组测试数据，以及包含的算法输入和输出数据，应该包含算法实现中各阶段的内部状态细节。应提供充足的细节，使实现者能容易地确定在他们的实现中出现的任何错误的可能位置。 实现的最后确认应使用设计一致性测试数据来执行。 8.4.3 设计一致性测试数据 设计一致性测试数据让算法实现者能验证他们的实现，制造商能验证实的现算法 (如在ASIC或FPGA中)。 测试数据应作为输入/输出测试数据给出，允许实现作为'黑盒'来测试 (即，测试数据唯一地由通过接口传递给算法的数据组成)。 设计一致性测试数据在算法实现的正确性方面，被设计给出高的可信度。该组测试数据应确保算法的所有元素被完全地测试。 8.4.4 格式和提案的处理 算法规范应形成文字，作为3GPP规范公布。 算法输入/输出测试数据应形成文字并放在磁盘上，由3GPP公布。文档和磁盘应提供给3GPP伙伴机构。 8.5 质量保证要求 本节建议设计机构进行所需的测评，以让算法使用者对有信心，让算法规范和测试数据的使用者确信在他们的产品中已进行了适当的质量控制。 测评将由设计机构记录在一份设计和评估报告中，做为3GPP规范公布。 8.5.1 算法的质量保证 在成为3GPP版本前，算法需要被确认满足由设计机构成员在8.4节中说明的所有功能要求。 8.5.2 规范和测试数据的质量保证 在算法规范递交前，需要用规范做算法的两个独立仿真，确证设计的测试数据在算法执行中验证了算法的主要点。 设计一致性和算法输入/输出测试数据需要用如上的算法仿真产生。用于产生该测试数据的仿真需要在测试数据提案中确定，并由设计机构保留。 8.5.3 设计和评估报告 设计和评估报告目的是使算法、规范和测试数据的潜在用户相信，在他们的产品中已进行了适当的和充足的质量控制。报告将说明如下: 1)算法和测试数据设计准则; 66 YD/T××—20×× 2)算法评估准则; 3)用于设计和评估算法的方法; 4)应用于算法的数学分析和统计测试的范围; 5)算法评估的主要结论; 6)用于算法规范和测试数据产品的质量控制。 报告应确定设计机构的所有成员已认可了算法、规范和测试数据。 报告应包括算法的委托评估的主要结论。 8.6 设计机构提案概要 对于要求标准化的密码函数，设计机构将递交: 1)算法规范; 2)实现程序测试数据; 3)设计一致性测试数据; 4)设计和评估报告。 所有这些文档应递交给3GPP随后公布。 67 YD/T××—20×× 附 录 A 与无线接入链路上主动攻击相关的威胁 (资料性附录) 数字移动通信系统的成功引起了攻击者的极大兴趣，特别是同时攻击其他系统的机会正在减少。因此，可以预见攻击者将会为更复杂的设备投入更多的资金，这样一些新的主动攻击会越来越受到重视。本附录着重于攻击者处理威胁接口的信令或伪装为一网络元素发起各种攻击(所谓的“伪基站”攻击)的主动攻击。 A.1 用户身份的捕捉 主动身份捕捉:入侵者可欺骗服务网并发送对目标用户的永久用户身份的请求，以明文形式获得用户的永久身份。 A.2 目标和入侵者之间加密的抑制 入侵者可通过各种手段成功的使无线接口丧失加密功能。 入侵者可完全伪装成服务网。入侵者还可以使用中间人攻击的方法建立两个连接，一个面向用户，一个面向有效的服务网(在用户和有效的服务网之间重放未经修改的或修改过的数据)，或仅仅伪装为服务网而不建立与真实网络的链路。 另外，入侵者可只是伪造用户和服务网协商加密能力的信令消息使之出现不兼容来阻止加密的建立。 这些行为将产生如下的威胁: 1)窃听真实的呼叫 一旦不能加密，入侵者可捕获信令和用户业务。 2)对移动台发起的呼叫进行应答 当目标试图进行一次呼叫时，入侵者中转目标和真实网络之间的消息直到完成认证。 入侵者切断与真实网络的连接，抑制加密并作为一个入侵者自己完全控制之下的新的 呼叫继续建立该呼叫(面向任何适当的网络)。 A.3 危及认证数据的安全 在归属网和服务网之间传输或通过非授权接入数据库时，认证数据功能会受到威胁。 1)强制使用已暴露的加密密钥 入侵者得到一套认证数据的样例并用它来使用户相信他连接到一个正确的服务网， 并强制使用一套已暴露的加密密钥。入侵者可强制重复使用同一套认证数据，以确保同 样的加密密钥可用于许多呼叫，导致连续的窃听。 2)冒充用户 入侵者得到一套认证数据并用之来象服务网冒充用户。伪装成面向服务网的基站 (或窃听此类连接)可获得此类攻击的有效的认证数据。 3)重用认证数据 入侵者强制重复使用相同的认证数据。加密保护的功效弱点可通过密码分析或协议 攻击暴露出来。 A.4 劫持业务 68 YD/T××—20×× 此类攻击的目的是使用目标的帐户接入移动通信业务。 1)劫持呼出业务 当目标驻于伪基站时，入侵者为来电寻呼目标。接着，入侵者允许用户发起服务网和目标之间的呼叫建立过程，修改信令元素使服务网相信目标正准备建立移动台发起的呼叫。认证之后，入侵者放弃目标，然后使用该连接按目标的定制进行欺骗性呼叫。 2)劫持来电 当目标驻于伪基站时，入侵者的同伙向目标的号码发起呼叫。入侵者允许目标和服务网之间的呼叫建立过程。认证之后，入侵者放弃该目标，然后使用该连接应答其同伙的呼叫。目标则要负担漫游费用。 这在网络不能加密、入侵者可使之丧失加密功能(如A.2)或入侵者可接入加密密钥(如A.3)时是可行的。 69 YD/T××—20×× 附 录 B 需求分析 (资料性附录) [该部分将阐述这样一个问题:功能特征是否满足所有的需求,] 70 YD/T××—20×× 附 录 C Void 71 YD/T××—20×× 附 录 D 序列号管理 (资料性附录) 本附录目的是阐述认证和密钥协商协议中序列号的管理。 D.1 认证中心的序列号生成 D.1.1 序列号生成方式 D.1.1.1 通用的序列号生成方式 根据本标准6.3.3.3节，认证矢量是根据序列号在认证中心AuC生成。本章主要详细阐述如何生成这些序列号。认证矢量可以由认证中心AuC成批地生成和发送。这些用于成批生成认证矢量的序列号可以根据以下过程一个接一个地产生。 1)二进制表示，序列号由两个级联的部分组成，即:SQN=SEQ||IND。 IND是一个索引，用于附录D.1.2和D.2.2中所描述的数组方式中，SEQ由两个级 联的部分组成，即SEQ = SEQ1 || SEQ2，SEQ1代表SEQ中最高位，SEQ2代表SEQ中次 高位。IND代表SQN中次高位。 2)在HE中有一个计数器SQN，SQN存储在这个计数器中。SQN是一个独立的计数器，HEHE 即每用户一个。SQN = SEQ || IND。 HEHEHE 3)需要一个全局的计数器，即一个能给出标准世界时间的时钟。简而言之，任何时刻可 以称该计数器的值为GLC。如果GLC是从一个时钟中获得，则它能通过对p取余计算 n出，p = 2 ，n为GLC和SEQ2的长度。 4)如果GLC是从一个时钟中获得，则存在一个数值D>0，因此: a)对于每个用户，选用一个时钟(时钟单位)两个连续递增的时间间隔。多数情况 下，批量D在任何D时钟单位间隔内由AuC中生成; b)时钟频率比平均频率更重要。对于任何一个用户，批量D可以在平均频率时生成。 nc)D << 2。 5)当HE需要一些新的序列号SQN去生成一批新的认证矢量时，HE将从数据库中重新获 得(针对特定用户)SEQ= SEQ1 || SEQ2， HE HEHE a)如果SEQ2 < GLC < SEQ2 + p – D + 1则HE设置SEQ= SEQ1 || GLC; HEHEHE b)如果GLC , SEQ2 , GLC+D - 1 或 SEQ2 + p – D + 1 , GLC则HE设置SEQ = HEHE SEQ +1; HE c)如果GLC+D - 1 < SEQ2 则HE 设置SEQ = (SEQ1 +1) || GLC。 HEHE d)当认证矢量生成完毕，则SEQ复位到SEQ; HE e)有关IND的处理，参看D.1.2。 注1:需要小心谨慎选取时钟单位和D值，使得条件4)在任何时候都能满足每个用户。否则，用户身份的机密性将会受到威胁。当参数选取得当，针对一个特定用户的序列号也不会暴露该用户身份重要信息。 如果不通过其他方式来区分CS域和PS域中的认证矢量，建议选取D >1，因为从两个域中过来的请求也许是完全独立的。 注2:在D.1.1.1中，采取合适的方法设置1)-5)中的参数。在D.1.1.1中所讨论的通用序列号生成方式也包括这样一些情况，如SEQ2为空则SEQ = SEQ1，或SEQ1为空则SEQ = SEQ2，具体说明如下: 72 YD/T××—20×× 1)如果SEQ2为空，则序列号的产生并不基于时间(即独立于时间)。通常情况下，可设 SEQ2 , GLC , 0，D = 1。条件4)中a)-c)不能用，因为不需要时钟。5)中b)一直成 立，在每个请求中SEQ增加1。为了有更好的可读性，该情况将会在D.1.1.2中单独 讨论。 2)如果SEQ1为空，则设D = 1。假设一初始条件SEQ2 < GLC，并且AuC中没有失败，HE 则5)中a)一直成立，在每个请求中SEQ = GLC，也就是说，序列号的生成完全是基 于时间的。D.1.1.3中将会使用一些参数，来确保那些生成完全基于时间的序列号的 认证中心AuC具有一定的容错能力。 D.1.1.2 独立于时间序列号的产生 HE/AuC将为每个用户维护一个计数器，SQN = SEQ || IND。为生成一个更新的序列HEHEHE 号，SEQ增加1，并且新的计数器的值用于生成下一个认证矢量。有关IND的处理见D.1.2。 HE D.1.1.3 基于时间序列号的产生 在二进制表示方式中，序列号由两个级联的部分组成，即SQN = SEQ || IND。SEQ不能拆分成两个级联的部分。全局计数器GLC与SEQ长度一致。在HE中并不存储用户个性化的计数器SEQ，而是在HE中为每个用户存储一个DIF值。DIF值表示用户的SEQ当前值和GLCHE 的SEQ当前值之间的差异。 当HE需要一些新的序列号SQN去生成新的认证矢量时，HE将从数据库中重新获得(针对特定用户)DIF值，然后计算SEQ = GLC +DIF。 只有在重新进行时钟同步时，HE中的DIF值需要更新。在这种情况下，DIF值设置为DIF = SEQ - GLC ，而且在重新进行时钟同步时还需要通过USIM设置SQN = SEQ || IND。 MSMSMSMSD.1.2 数组机制的支持 本节的内容适用于D.1.1中序列号生成的3种方式。 每次生成认证矢量时，认证中心AuC将从存储器中重新获取IND，根据合适的规则分HE 配一个新的索引IND给认证矢量，并把它包含进SQN相应的部分中。索引值的范围从0到a –1，a 为数组大小。 附录D.3中，将给出一个实例说明如何设置数组范围a的值。 索引值分配规则在这不详细讨论，相关的说明将在附录D.3.4中给出。 D.2 USIM中序列号的处理 本节中，假设序列号都遵照附录C.1中的方式生成。 USIM能对它所接收到的一组序列号进行追踪。设SQN= SEQ || IND，为数组中最高MS MSMS序列号。 D.2.1 USIM中计数器防泄露保护 USIM将不会接受任意跳跃性的序列号，但可以接受增加一个数值其最大值为,的序列号。 因此(在应用附录D.2.2中更新条件之前)USIM只接受满足条件SEQ-SEQ ? ,的序MS列号SQN。如果SQN不被接受，则USIM将使用SQN生成一个同步失败的消息。 MS ,的选取条件: 1)如果HE/AuC工作正常，则,需要足够大，以便MS不会接收到条件为SEQ - SEQ>,MS 的序列号。 2)为了防止在USIM生命周期中SEQ达到最大值SEQmax，则达到SEQmax步骤的最小数MS 值SEQmax /,需要足够大。 D.2.2 USIM中序列号更新的确认 USIM将维护一组大小为a的数组，该数组为前面所接受的序列号组成部分:SEQ (0), MS 73 YD/T××—20×× SEQ (1),„ SEQ (a-1)。数组中每个数组成员所表示的序列号的初始值为0。 MSMS 为了确认所接收到的序列号SQN是否更新过，USIM需要将所接收到的SQN与数组成员为IND(该索引值IND包含在SQN中)中所包含的序列号进行比较，即该数组成员可表示为SEQ (i) ，其中i = IND，该IND即为索引值。 MS 1)如果SEQ > SEQ (i)，则USIM需要考虑该序列号确保将被更新，并且接下来设置SEQ MSMS (i)为SEQ。 2)如果SEQ ? SEQ (i)，则USIM将设置整个数组中的序列号为已接收到的最大序列MS 号，即SQN，并生成一个同步失败的消息。 MS USIM将能在SEQ与一个已接收到的SEQ之间的差值设定一个界限L。如果在根据以上MS 条件(a)和(b)确认之前使用象这样的一个界定值L，则USIM将只接受满足条件SEQ - SEQ MS< L的序列号。如果SQN不被接受，则USIM将使用SQN生成一个同步失败的消息。 MS D.2.3 说明 1)使用以上数组机制，当一个用户从服务网络撤消注册时，没必要删除以前拜访域 VLR/SGSN中不使用的认证矢量。当该用户以后继续返回到该拜访域时，这些认证矢 量可以继续被使用，而且维护这些认证矢量比在两个服务网络之间通过交互很多信令 重新生成认证矢量要高效得多。 2)当在不同移动管理域(电路交换和分组交换)的两个VLR/SGSN中的认证矢量用于交 叉认证时，使用数组机制可以避免用户认证请求被非正当地拒绝。 3)当一个VLR/SGSN使用用户以前访问而获得的更新过的认证矢量时，尽管这些认证矢 量以前没被使用过(因为数组大小a和界定值L的生命周期都是有限的)，USIM也将 拒绝。因此，在正常的操作中可能会发生拒绝序列号，即产生拒绝序列号的原因没必 要是(恶意的)重播或数据库失败。 4)本节中所阐述的机制能容许USIM知道哪些认证矢量被发送到同一个VLR/SGSN。假 设被发送到同一个VLR/SGSN的认证矢量通常使用正确的次序，因而在被发送到同一 个VLR/SGSN中所有认证矢量只需要存储一个序列号。 5)除了SQN，如果在SQN与已接收到的序列号SEQ之间的差值之间设置界定值L(生MSMS 命周期有限)，则没必要存储全部数组。 6)附录C.2.1中条件2)的,表示只有最小数目为SEQmax /,次的认证成功后SQN才能MS 达到最大值。 n7),的选取依赖于附录D.1.1.1中全局计数器GLC的尺度大小n，,必须大于2。 D.3 序列号管理档案 本节给出了一些如何以一种一致的方式选择D.1和D.2中定义的参数的值的例子。这些例子可在详细说明实际序列号管理方案时作为参考。对下面三种不同类型的序列号生成方案都给出了一个范例值集合。 1)附录D.1.1.1阐述的部分基于时间 2)附录D.1.1.2阐述的不基于时间。 3)附录D.1.1.3阐述的完全基于时间。 D.3.1 档案1:部分基于时间的序列号管理 1)序列号的生成: 遵循附录D.1.1.2中介绍的序列号生成方案。下面的参数值建议作为参考: a)时钟时间单位:1秒。 b)IND的比特长度:5。 c)SEQ2的比特长度:24。 74 YD/T××—20×× n这就意味着GLC 在经过p = 2 = 224 秒 = 194天后才会回放。这可以确保大 部分的用户在这段时间已经至少激活过一次。 这意味着SEQ1的比特长度为19。 d)开始状态:对所有用户选择SQN = 0。GLC = 1。 HE e)临时到达率高于时钟速率:选择D = 216。 D在满足D.1.1.1 4)中b)和c)的条件下可以选择得很大。选择D = 216 = 65536 意味着条件D.1.1.1 4)中a)是满足的，除非在18个多小时内有超过65536个认证向 量批到达，这在实际上是不可能的。 2)USIM中序列号的验证: 遵循附录C.2中介绍的USIM中序列号的处理。 a)队列的长度:a = 32。 这满足了6.3.2小节中要求的，验证序列号的机制必须保证如果序列号落在最 后生成的x个序列号中，序列号仍然是可以接受的这一需求。 b)防止回放保护:选择 , = 228。 选择, = 228意味着使得USIM中的计数器回放的攻击将需要至少SEQmax/, = 215 > 32.000次成功的认证(参考D.2.3说明6)，我们有, > p, 这是D.2.3中说 明7)中的要求。 c)序列号的寿命限制: 此限制的使用是可选的。参数L的值的选择只影响USIM，并不影响其他参数 的选择，它是由运营商根据自己的安全策略选择。因此在这里没有建议一个实用的 值。给出一个例子:如果策略规定x秒之前的认证向量将被拒绝，则L就必须设为 x，因为时钟的单位是1秒。 3)用户匿名: SQN的值不被允许长期的跟踪用户。因此不必如6.3.3.3节介绍的那样，用一个匿名秘钥把SQN隐藏起来。 D.3.2 档案2:非基于时间的序列号的管理 1)序列号的生成: 遵循附录D.1.1.2中介绍的序列号生成方案。下列参数值建议作为参考: a)IND 的比特长度 = 5. b)开始状态:对所有用户SQN = 0 HE 2)USIM中的序列号验证: a)队列长度:a = 32 b)防止回放保护:选择 , = 228. 选择 , = 228意味着使得USIM中的计数器回放的攻击需要至少SEQmax/, = 215 > 32.000次成功的认证(参考D.2.3说明6)。附录D.2.3中的说明7不适用。 c)序列号的寿命限制: 由于没有时钟，因此“寿命”可被解释为SQN(见6.3.3.3)和接收到的序列MS 号之间允许的最大差值。此限制的使用是可选的。参数L的值的选择只影响USIM， 不影响其他参数的选择，完全由运营商根据自己的安全策略决定，因此这里没有建 议一个实用的值。 3)用户匿名: SQN可能被允许跟随用户很长时间。如果这是一个安全隐患的话，那么SQN必须如小节6.3.3.3中描述的那样使用匿名秘钥进行隐藏。 D.3.3 档案 3: 完全基于时间的序列号的管理 75 YD/T××—20×× 1)序列号的生成: 遵循附录D.1.1.2中介绍的序列号生成方案。下列参数值建议作为参考: a)时钟单位: 必须按照以下方法选择:在一个时钟单位内不会有两个对认证向量批的请求到 达。值 = 0.1秒。 b)IND的比特长度:5。 c)开始状态: GLC = 1。对所有用户DIF = 0. 2)USIM中的序列号验证: 按照附录D.2中介绍的处理USIM中的序列号的方法进行。 a)队列长度: a = 32. 这满足了6.3.3.2小节中要求的，验证序列号的机制必须保证如果序列号落在 最后生成的x个序列号中，序列号仍然是可以接受的这一需求。 b)防止回放保护:选择 , = 228. 选择 , = 228意味着使得USIM中的计数器回放的攻击需要至少SEQmax/, = 215 > 32.000次成功的认证(参考D.2.3说明6)。附录C.2.3中的说明7不适用。 c)序列号的寿命限制: 此限制的使用是可选的。参数L的值的选择只影响USIM，并不影响其他参数 的选择，它是由运营商根据自己的安全策略选择。因此在这里没有建议一个实用的 值。给出一个例子:如果策略规定x个时间单位之前的认证向量将被拒绝，则L 就必须设为x。 3)用户匿名: SQN的值不被允许长期的跟踪用户。因此不必如6.3.3.3节介绍的那样，用一个匿 名秘钥把SQN隐藏起来。 D.3.4 在队列方案中分配索引值的指导方针 一般规则:根据附录D.1.2，在队列方案中使用的索引值 IND 应该在其变化范围0, ... , a-1中循环地进行分配。这意味着先前生成的认证向量使用的索引值IND 存贮在SQN 中，HE下一个认证向量使用的索引值为IND +1 mod a 。 当可以获得附加信息时，允许一些例外情况是有益的，这些例外情况包括: 1)在同一批中发布的认证向量有相同的索引值 2)认证数据请求MAP报文包含了请求发起的请求服务节点域类型(CS或者PS)的信息。 建议以如下方式使用该信息。然而，遵循附录C的实现并不要求支持这种使用。 3)分配给不同服务域的认证向量应该有不同的索引值(即，CS和PS操作保留有独立的 索引值取值范围)。 在未来的版本中，可能会有与请求节点身份相关的附加信息。如果这个信息可以获得，建议按照如下方式使用: 4)如果新的请求与先前的请求来自同一个服务节点，则新请求应该使用和旧请求一样的 索引值。 D.4 多设备商环境下的互操作指南 序列号管理方案的规范只影响同一个运营商控制下的USIM和AuC。因此，这样一个方案的规范可完全由运营商斟酌处理。然而，某些运营商也许不想定义自己的方案。相反的，他们可能希望依赖设备商根据D.3的档案或者其他相关的变化实现一个方案。如果运营商由多个设备商提供USIM以及/或者AuC，而且如果运营商希望将用户从一个设备商的AuC移动到另外一个实现了不同(序列号管理)方案的、由另外的设备商提供的AuC，那么只有所有76 YD/T××—20×× 运营商域内实现序列号管理的方案都遵循如下的指南时才能平稳的工作。 1)USIM要使用在D.1.2和D.2中说明的队列机制来验证SQN。 2)与附录F的关系:如果AMF域被用于表示和序列号管理相关的更多的参数，则AMF的格式以及USIM对其的解释在运营商域内对所有的实现都应该是相同的。 3),比指定的最小值大。 按照D.2.3的说明7，为适应D.3.2中的方案这一点是必须的。 我们建议取, , 228。 4)对于基于时间的方案，不要求在不同的AuC中的时钟同步。对于完全基于时间的方案，当用户从一个AuC被移动到另外一个AuC时，建议如下:当将用户从一个AuC移动到另外一个AuC时，以适当的方式更新DIF值。更明确的说，假设用户从AuC1移动到AuC2。如果AuC1为档案3，AuC2为任何档案，那么AuC1发送GLC+DIF作为SEQ_HE到AuC2。在接收端，如果AuC2为档案3而AuC1为任意档案，则AuC2设置此用户的DIF值为DIF = SEQ_HE - GLC。 77 YD/T××—20×× 附 录 E Void 78 YD/T××—20×× 附 录 F Void 79 YD/T××—20×× 附 录 G AMF使用的范例 (资料性附录) G.1 支持多个算法和密钥 支持使用多个认证和密钥协商算法的机制对于灾难恢复来说十分有益。AMF可以用来指示使用哪个密钥和算法用来生成特定的认证向量。 USIM跟踪认证算法和密钥标识符，并根据接收到的网络认证标识(AUTN)中的值对其进行更新。 G.2 改变序列号认证参数 此机制和D.2.2.中描述的USIM中序列号新鲜性的验证机制结合使用。 USIM还必须能够为SEQ(迄今为止接受的SEQ最大值)和一个接收到的SEQ之间的差MS 值设置一个门限L。由于这些参数会随着时间的变化而变化，因此动态的改变参数L的机制是需要的。AMF被用来说明USIM将使用一个新的L值。 G.3 设置THRESHOLD值来限制加密和完整性密钥的生命期 根据小节6.3.4.3，USIM包含了这样一种机制:限制由一个接入链路密钥集保护的数据量。运营商可以使用AMF域来设置或者调整这个USIM中的限制值。例如,有两个THRESHOLD值，AMF域可以指示USIM 在两个值之间转换。 USIM知道密钥集生命期的时限，并根据接受的网络认证标识(AUTN)中的值对其进行更新。 80