YDB 021-2008 2GHz TD-SCDMA/WCDMA与WLAN互通的安全技术要求 Security technical requirements for 2GHz TD-SCDMA/ WCDMA and Wireless Local Area Network (WLAN) interworking

本技术报告规定了3GPP系统与WLAN接入网络互通时的安全架构、信任模型和安全需求，为用户和网络之间的认证、密钥管理、服务认证、用户和网络之间的信令的机密性和完整性保护提供了相应的机制。
本技术报告适用于2GHzTD-SCDMA/WCDMA与WLAN互通的系统。？[第1页] 通 信 标 准 类 技 术 报 告 YDB 021-2008 2GHz TD-SCDMA/WCDMA与 WLAN互 通 的 　 　 　 　 　 安 全 技 术 要 求 Security technical requirements for 2GHz TD-SCDMA/ WCDMA and Wireless 　 　 　 　 　 　 　 　 Local Area Network (WLAN) interworking 　(3GPP TS 33.234 v7.5.0, 3G security; Wireless Local Area Network (WLAN) 　 　 　 　 　 　 　 　 　 　 interworking security, IDT) 2008-08-25印发 中 国 通 信 标 准 化 协 会 发 布 [第2页] [第3页] YDB 021-2008 目 次 前 言 ．． ． ． ． ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ． 。 ． 。 ． 工 V 1范 围 ．.......................................奋 .........................................1 2规 范 性 引 用 文 件 ．......................................................................1 3定 义 和 缩 略 语 ．........................................................................2 3.1定 义 ？.............................................................................2 3.2缩 略 语 ．.............................................................................3 4 3GPP-WLAN 互 通 的 安 全 需 求 ．...........................................................4 4.1 WLAN 互 通 的 参 考 模 型 ．...............................................................4 4.1.1非 漫 游 WLAN 互 通 参 考 模 型 ？......................................................4 4.1.2接 入 到 HPLMN 服 务 的 漫 游 WLAN 互 通 的 参 考 模 型 ．....................................4 4.1.3接 入 VPLMN 服 务 的 漫 游 WLAN 互 通 的 参 考 模 型 ．......................................5 4.1.4网 络 元 素 ．.........................................................................6 4.1.5参 考 点 描 述 ？.....................................................................7 4.2安 全 需 求 ．...........................................................................7 4.2.1一 般 安 全 需 求 ．.....................................................................7 4.2.2信 令 和 用 户 数 据 的 保 护 ．....................................... ......................7 4.2.3用 户 标 识 的 机 密 性 ．． ． ． ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ？ ． ． ． ． ． 几 ． ...................8 4.2.4 WLAN-UE的 功 能 分 离 。 ..............................................................8 4.2.5链 路 层 安 全 需 求 ．...................................................................8 4.2.6 UE发 起 隧 道 建 立 ．..................................................................9 4.2.7支 持 紧 急 呼 叫 的 安 全 需 求 ．...........................................................9 4.2.8支 持 无 UIcc终 端 的 紧 急 呼 叫 的 安 全 需 求 ．.............................................9 5安 全 特 征 ．..................．． ........................................................9 5.1用 户 与 网 络 的 认 证 ， 以 及 安 全 相 关 的 管 理 ． ...............................................9 5.1.1 WLAN 接 入 的 端 到 端 认 证 （ WLAN 直 接 IP接 入 ） .......................................9 5.1.2通 过 WLAN 无 线 接 口 的 WLAN 接 入 认 证 信 令 的 传 输 。 ...................................9 5.1.3 WLAN 接 入 认 证 信 令 在 WLAN 接 入 网 络 与 3GPP AAA 代 理 服 务 器 之 间 的 传 输 ．............10 5.1.4 3GPP AAA proxy服 务 器 与 3GPP AAA 服 务 器 之 间 的 认 证 信 令 的 传 输 ．.....................10 5.1.5 3GPP AAA 服 务 器 与 HSS之 间 的 WLAN 接 入 认 证 信 令 的 传 输 ．...........................10 5.1.6在 WLAN 接 入 中 用 户 标 识 的 保 密 ．...................................................10 5.1.7 WLAN 接 入 的 重 认 证 机 制 ．..........................................................11 5.1.8 UE发 起 隧 道 建 立 过 程 中 的 安 全 关 联 管 理 （ WLAN 3GPP IP接 入 ） .........................12 5.2机 密 性 保 护 ．........................................................................12 5.2.1 WLAN 直 接 IP接 入 的 机 密 性 保 护 ．...................................................12 5.2.2 WLAN 3GPP IP接 入 的 机 密 性 保 护 ．...................................................12 5.3完 整 性 保 护 ？......................................................................12 5.3.1 WLAN 直 接 IP接 入 的 完 整 性 保 护 ？.................................................12 5.3.2 WLAN 3GPP IP接 入 的 完 整 性 保 护 ？.................................................12 5.4服 务 立 即 终 止 ．......................................................................12 [第4页] YDB 021-2008 5.5 WLAN UE终 端 功 能 分 离 ．.............................................................12 5.6同 时 接 入 控 制 ？....................................................................12 6安 全 机 制 ．.......................................． ..................................13 6.1认 证 和 密 钥 协 -0 .....................................................................13 6.1.1基 于 USIM 的 WLAN 接 入 认 证 ．.....................................................13 6.1.2基 于 GSM SIM 的 WLAN 接 入 认 证 ．.................................................17 6.1.3智 能 卡 对 EAP的 支 持 ．.............................................................21 6.1.4 WLAN 接 入 中 的 快 速 重 认 证 机 制 ．....................................................21 6.1.5 UE初 始 隧 道 的 建 立 机 制 （ WLAN 3GPP IP接 入 ） .......................................25 6.2机 密 性 机 制 ．........................................................................36 6.2.1 WLAN 直 接 IP接 入 中 的 机 密 性 机 制 ．.................................................36 6.2.2 WLAN 3GPP IP接 入 中 的 机 密 性 机 制 ．.................................................36 6.3完 整 性 机 制 ．........................................................................36 6.3.1 WLAN 直 接 IP接 入 中 的 完 全 性 机 制 ？...............................................36 6.3.2 WLAN 3GPP IP接 入 中 的 完 整 性 机 制 ．.................................................37 6.4临 时 标 识 管 理 ．......................................................................37 6.4.1临 时 标 识 的 生 成 ．..................................................................37 6.4.2密 钥 管 理 ．........................................................................38 6.4.3对 永 久 用 户 标 识 的 影 响 ．............................................................38 6.4.4己 知 的 局 限 性 ．....................................................................39 6.4.5接 收 到 请 求 发 送 基 于 IMSI的 用 户 标 识 时 的 UE行 为 ．...................................39 6.5 IKEv2档 案 ．........................................................................39 6.6 IPSec ESP的 档 案 ．...................................................................40 6.7 PDG 证 书 的 档 案 ．....................................................................40 6.8 WLAN UE分 离 互 通 （ split interworking) ............................................... 41 6.8.1使 用 EAPAKA 进 行 完 全 认 证 ．.......................................................41 6.8.2使 用 EAP SIM 进 行 完 全 认 证 ．.......................................................44 6.8.3使 用 EAP AKA 进 行 快 速 重 认 证 ．.....................................................48 6.8.4使 用 EAP SIM 进 行 快 速 重 认 证 ？...................................................51 7支 持 无 UIcc终 端 通 过 I-WLAN 拨 打 紧 急 呼 叫 ．..........................................53 7.1支 持 无 UICC终 端 通 过 I-WLAN 拨 打 IMS紧 急 呼 叫 ．....................................53 附 录 A （ 资 料 性 附 录 ） 有 WLAN 相 关 技 术 的 安 全 性 回 顾 ．..................................56 A.11FPF ..............................................................................56 A.1.1IEEE 802 .........................................................................56 A.1.2认 证 。 ............................................................................56 A.1.3加 密 和 完 整 性 保 护 ．................................................................58 A.2 ETSI/BRAN ........................................................................59 A.2.1 HIPERLAN/2安 全 架 构 ．............................................................59 A.2.1.1机 密 性 保 护 ．....................................................................61 A.2.1.2认 证 ．..........................................................................61 A.2.1.3完 整 性 保 护 ．....................................................................62 A.2.2安 全 机 制 ．........................................................................62 A.2.2.1机 密 性 ．........................................................................62 A.2.2.2认 证 ．..........................................................................64 [第5页] YDB 021-2008 A.3 IETF ..............................................................................65 A.3.1密 钥 产 生 和 EAP方 法 ？...........................................................65 A.3.2 RADIUS和 Diameter的 共 存 ．........................................................65