WLAN与2G3G网络融合安全隧道规范v030Word文档下载推荐.docx
- 文档编号:20609507
- 上传时间:2023-01-24
- 格式:DOCX
- 页数:47
- 大小:973.83KB
WLAN与2G3G网络融合安全隧道规范v030Word文档下载推荐.docx
《WLAN与2G3G网络融合安全隧道规范v030Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《WLAN与2G3G网络融合安全隧道规范v030Word文档下载推荐.docx(47页珍藏版)》请在冰豆网上搜索。
4.4.4.用户面协议栈11
4.4.5.UDPESP隧道11
4.4.6.IPsecESP隧道(可选)11
5.功能要求12
5.1.总体要求12
5.1.1.原则12
5.1.2.功能13
5.2.技术流程14
5.2.1.总体流程14
5.2.2.PDG/TTG发现流程14
5.2.3.全认证隧道建立流程-SIP15
5.2.4.全认证隧道建立流程-IKEv218
5.2.5.快速重认证隧道建立流程-SIP21
5.2.6.快速重认证隧道建立流程-IKEv223
5.2.7.快速重认证回退-SIP25
5.2.8.快速重认证回退-IKEv226
5.2.9.网络发起重认证-SIP26
5.2.10.网络发起重认证-IKEv227
5.2.11.重定向流程-SIP27
5.2.12.隧道建立失败流程27
5.2.12.1.网络认证UE失败27
5.2.12.2.PDG/TTG拒绝UE接入28
5.2.12.3.UE认证网络失败-SIP28
5.2.12.4.UE认证网络失败-IKEv229
5.2.12.5.SQN重同步-SIP29
5.2.12.6.SQN重同步-IKEv230
5.2.13.安全联盟协商30
5.2.13.1.安全联盟协商原则31
5.2.13.2.安全联盟参数说明31
5.2.13.3.安全联盟建立过程32
5.2.13.4.密钥导出过程33
5.2.14.事件订阅33
5.2.15.保活机制33
5.2.15.1.控制面保活34
5.2.15.2.数据面保活34
5.2.15.3.在线检测35
5.2.16.隧道释放流程35
5.2.16.1.UE发起的隧道释放-SIP35
5.2.16.2.UE发起的隧道释放-IKEv236
5.2.16.3.网络发起的隧道释放-SIP36
5.2.16.4.网络发起的隧道释放-IKEv236
5.3.数据封装与保护37
5.3.1.SIP报文封装37
5.3.2.用户数据报文封装37
5.3.2.1.UDPESP封装37
5.3.2.2.IPsecESP封装37
5.3.2.3.UDPESP封装端口定义38
5.4.W-APN38
6.编制历史38
前言
本标准的目的是为中国移动通信集团公司设备引进、网络规划、设备制造、工程设计、网络运行、管理和维护等方面提供技术依据。
本标准包括的主要内容包括了设备在功能、性能、接口、操作维护、等方面的要求。
本标准是WLAN与2G/3G网络融合系列标准之一,该系列标准的结构、名称或预计的名称如下:
序号
标准编号
标准名称
[1]
WLAN与2G/3G网络融合总体技术要求
[2]
WLAN与2G/3G网络融合PDG设备规范
[3]
WLAN与2G/3G网络融合TTG设备规范
[4]
WLAN与2G/3G网络融合安全隧道规范
[5]
WLAN与2G/3G网络融合计费规范
[6]
WLAN与2G/3G网络融合设备接口规范
[7]
WLAN与2G/3G网络融合统一认证流程规范(EAP-SIM/AKA)
[8]
WLAN与2G/3G网络融合3GPPAAAServer规范
本标准由中移号文件印发。
本标准由中国移动通信集团计划部提出,集团公司技术部归口。
本技术规范解释权属于中国移动通信集团公司。
本标准起草单位:
中国移动通信研究院。
本标准主要起草人:
刘利军,王静
1.范围
本标准规定了中国移动I-WLAN系统UE和PDG/TTG间的安全隧道要求。
适用于中国移动I-WLAN系统核心网技术试验,为设备引进、网络规划与设备制造、工程设计、网络运行、管理和维护等提供技术依据。
2.规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
图表21
TS
23.003
Numbering,addressingandidentification
3GPP
23.060
GPRS;
Servicedescription
3GPP
TS23.234
3GPPsystemtoWirelessLocalAreaNetwork(WLAN)interworking
TS23.836
"
QualityofService(QoS)andpolicyaspectsof3GPP-WirlessLocalAreaNetwork(WLAN)interworking"
TS24.234
3GPPsystemtoWirelessLocalAreaNetwork(WLAN)interworking;
WLANUserEquipment(WLANUE)tonetworkprotocols;
Stage3
TS29.234
TS32.252
Telecommunicationmanagement;
Chargingmanagement;
WirelessLocalAreaNetwork(WLAN)charging
TS33.234
3Gsecurity;
WirelessLocalAreaNetwork(WLAN)interworkingsecurity
RFC2403
TheUseofHMAC-MD5-96withinESPandAH
IETF
RFC2404
TheUseofHMAC-SHA-1-96withinESPandAH
RFC2406
IPEncapsulatingSecurityPayload(ESP)
RFC2410
TheNULLEncryptionAlgorithmandItsUseWithIPsec
RFC2865
RemoteAuthenticationDialInUserService(RADIUS)
RFC2866
RADIUSAccounting
RFC3261
SIP:
SessionInitiationProtocol
RFC3265
SessionInitiationProtocol(SIP)-SpecificEventNotification
RFC3576
DynamicAuthorizationExtensionstoRemoteAuthenticationDialInUserService(RADIUS)
RFC3579
RADIUS(RemoteAuthenticationDialInUserService)SupportForExtensibleAuthenticationProtocol(EAP)
RFC3580
IEEE802.1XRemoteAuthenticationDialInUserService(RADIUS)UsageGuidelines
RFC3948
UDPEncapsulationofIPsecESPPackets
RFC4186
ExtensibleAuthenticationProtocolMethodforGlobalSystemforMobileCommunications(GSM)SubscriberIdentityModules(EAP-SIM)
RFC4187
ExtensibleAuthenticationProtocolMethodfor3rdGenerationAuthenticationandKeyAgreement(EAP-AKA)
RFC4282
TheNetworkAccessIdentifier
RFC4284
IdentitySelectionHintsfortheExtensibleAuthenticationProtocol(EAP)
RFC4306
InternetKeyExchange(IKEv2)Protocol
RFC4372
ChargeableUserIdentity
RFC4478
RepeatedAuthenticationinInternetKeyExchange(IKEv2)Protocol
RFCDraft
draft-torvinen-http-eap-01
3.术语、定义和缩略语
下列术语、定义和缩略语适用于本标准:
图表31
APN
AccessPointName
接入点名
AKA
AuthenticationandKeyAgreement
鉴权和密钥协商
CDR
CallDetailRecord
呼叫详细记录
CG
ChargingGateway
计费网关
DHCP
DynamicHostConfigurationProtocol
动态主机配置协议
DNS
DomainNameServer
域名服务器
EAP
ExtensibleAuthenticationProtocol
扩展鉴权协议
ESP
EncapsulatingSecurityPayload
安全封装
GGSN
GatewayGPRSSupportNode
网关GPRS支持节点
GTP
GPRSTunnelProtocol
GPRS隧道协议
HLR
HomeLocationRegister
归属位置寄存器
InternetEngineeringTaskForce
互联网工程任务组
IKEv2
InternetKeyExchangeversion2
互联网密钥交换版本2
IMSI
InternationalMobileSubscriberIdentity
国际移动用户识别码
IP
InternetProtocol
互联网协议
IPv4
InternetProtocolversion4
互联网协议版本4
IPv6
I-WLAN
InternetProtocolversion6
Interworking-WLAN
互联网协议版本6
互操作WLAN
MAP
MobileApplicationPart
移动应用部分
MCC
MobileCountryCode
移动国家号码
MNC
MobileNetworkCode
移动网号
MTP
MessageTransferPart
消息传输部分
PDN
PacketDataNetwork
分组数据网
PDG
PacketDataGateway
分组数据网关
PDP
PacketDataProtocol
分组数据协议
PS
PacketSwitched
分组交换
RADIUS
RemoteAuthenticationDial-InUserService
远端拨入用户验证服务
SIM
SubscriberIdentityModule
用户标识模块
SIP
SessionInitiationProtocol
会话初始协议
TTG
TunnelTerminationGateway
隧道终结网关
UDP
UserDatagramProtocol
用户数据报协议
4.安全隧道在网络中的位置
4.1.I-WLAN系统架构概述
I-WLAN系统定义了WLAN和中国移动2G/TD互操作的网络结构、业务流程和接口,从而将WLAN网络与2G/TD网络建立互通,使得终端能够通过WLAN可以访问中国移动的分组域业务。
I-WLAN系统网络结构
网络部署时可以采用独立PDG方式或采用TTG+GGSN方式,本规范这两种方式分别说明。
图4-1I-WLAN系统结构示意图-非漫游场景(PDG模式)
图4-2I-WLAN系统结构示意图-非漫游场景(TTG模式)
图4-3I-WLAN系统结构示意图-漫游场景(PDG模式)
图4-4I-WLAN系统结构示意图-漫游场景(TTG模式)
WLAN系统在不改变现有的2G/TD网络和WLAN网络构架的前提下引入3GPPAAAServer和PDG/TTG设备,实现了基于2G/TD网络的接入控制和认证,并且UE可以通过WLAN网络接入PDG/TTG,从而访问中国移动分组域业务。
4.2.网络功能实体
4.2.1.I-WLAN终端
I-WLAN终端(下文简称UE)同时具备接入WLAN和2G/TD网络的能力,其功能包括:
●接入WLAN网络
●基于EAP-SIM/AKA方法进行接入鉴权
●构建NAI
●获取本地地址(localIPaddress)
●构建一个合适的W-APN用于选择外部网络
●请求进行W-APN到PDG/TTG地址的解析
●与PDG/TTG之间建立安全隧道
●获得远端地址(remoteIPaddress)
●支持IPv4地址、IPv6地址(可选)
●访问中国移动分组域业务
●根据W-APN选择不同的接入方式
●支持和PDG/TTG间NAT穿越
●支持2G/TD与WLAN之间自动选择网络和用户自定义设置
●能够识别中国移动WLAN网络和非中国移动WLAN网络,从而选中不同的认证过程,针对非中国移动WLAN网络只进行接入PS认证
具体参考[WLAN与2G/3G网络融合终端技术规范]。
4.2.2.PDG
UE需要通过PDG访问中国移动分组域业务,包括以下功能:
●支持与UE协商隧道模式和安全套件
●支持和UE间的认证功能,在UE和3GPPAAA间转发鉴权请求,接受或拒绝UE的认证请求
●根据3GPPAAAServer的授权结果判断接受或拒绝UE的请求
●分配UE的远端地址(remoteIPaddress)或把外部网络分配的IP地址转发给UE
●记录UE的本地地址(localIPaddress),本地地址与远端地址进行绑定/解绑定
●进行隧道封装和解封装
●保持接入UE的路由信息
●在外部数据网络与UE之间路由数据
●产生用户计费信息
●支持内容计费
●执行DiffServ功能
●支持业务控制功能
●支持和UE间的NAT穿越
具体参考[WLAN与2G/3G网络融合PDG设备规范]
4.2.3.TTG
TTG主要完成用户接入控制和隧道管理,包括以下功能:
●支持和UE间的认证功能,在UE和3GPPAAA间转发鉴权请求,接受或拒绝UE的认证请求
●把外部网络分配的IP地址转发给UE
●支持Gn’接口的PDP激活和去激活
●在GGSN与UE之间转发数据
●产生用户的计费信息(可选)
具体参考[WLAN与2G/3G网络融合TTG设备规范]
4.2.4.3GPPAAAServer
3GPPAAAserver位于3GPP网络。
对于一个WLAN附着的用户来说,只能有一个3GPPAAAServer。
其功能包括:
●支持EAP-SIM/AKA认证,从HLR提取鉴权/授权信息和用户签约信息
●对签约用户进行认证
●向WLANAN传递授权信息
●生成话单并向离线计费系统报告每个用户的计费/统计信息
●向PDG/TTG传递授权信息
●根据HLR的要求中断用户连接(如停机处理)
●支持HLR要求的取消过程
●如果使用静态远端IP地址分配,则向PDG/TTG提供从HLR接收的UE远端IP地址
具体参考[WLAN与2G/3G网络融合3GPPAAAServer规范]
4.2.5.HLR
HLR位于签约用户的归属网络,包含用户签约的数据,参考中国移动HLR规范。
4.2.6.离线计费系统
离线计费系统位于2G/TD网络,接入PS时,包括CG和计费中心,PDG或GGSN产生的话单通过CG传送给计费中心,CG要具备WLAN话单预处理能力,具体参考[WLAN与2G/3G网络融合计费规范]
4.3.参考点
4.3.1.Wu接口
Wu是UE和PDG/TTG之间的接口,用于UE接入PS核心网,包括UE与PDG/TTG之间的接入信令和端到端隧道。
具体参考[WLAN与2G/3G网络融合设备接口规范]
4.3.2.Wa接口
Wa是WLAN接入网和3GPPAAAServer的接口,用于UE接入WLAN网络时传递鉴权、授权和计费相关信息。
4.3.3.Wm接口
Wm是3GPPAAAServer和PDG/TTG之间的接口,用于UE接入PS核心网时,3GPPAAAServer和PDG/TTG间传递鉴权、授权信息。
4.3.4.D’/Gr’接口
D’/Gr’是3GPPAAAServer和HLR间的接口。
主要用于3GPPAAAServer从HLR提取鉴权信息、授权信息、签约用户信息,是D/Gr接口的子集。
4.3.5.Bw接口
Bw是3GPPAAAServer和离线计费中心接口,用于传送用户接入WLAN产生的相关计费数据。
相关计费数据可用于归属运营商生成离线计费账单、对漫游用户进行运营商间的结算等。
4.3.6.Wi接口
Wi是PDG和外部数据网络的接口,用于PDG接入外部数据网络,包括接入认证和授权,动态获取IP地址,转发数据业务。
具体参考[WLAN与2G/3G网络融合设备接口规范]。
4.3.7.Wz接口
Wz接口是PDG和CG间的接口,用于传递计费信息。
具体参考[WLAN与2G/3G网络融合计费规范][WLAN与2G/3G网络融合设备接口规范]。
4.3.8.Ww接口
Ww是UE是WLANAN之间的接口,用于传输UE接入WLAN和分组域核心网的信令和业务。
4.3.9.Gn’接口
Gn’接口是TTG和GGSN之间的接口,用于TTG和GGSN见GTP通道的建立,释放和控制等,是Gn接口的子集。
4.4.PS接入参考模型
图4-5PS接入参考模型-PDG模式
图4-6PS接入参考模型-TTG模式
如上图所示,UE需要访问PS业务时首先要和PDG/TTG间建立安全隧道,数据业务可以通过该隧道穿透WLAN网络达到PDG/TTG,同时也提高了I-WLAN接入的安全性。
该隧道基于IP承载,隧道的端点分别是UE的LocalIP(WLAN接入时获得的IP地址)和PDG/TTP的Wu接口用户面地址。
PDG/TTG的Wu接口的信令面地址和用户地址可以分离。
终端可以采用SIP协议或IKEv2协议和PDG/TTG协商建立安全隧道,PDG/TTG应该同时支持这两种方式。
为了必要时对终端区分描述,对于采用SIP协议的终端,下文简称SIP终端或SIPUE;
对于采用IKEv2的终端,下文简称IKEv2终端或IKEv2UE。
DNS服务器为UE提供W-APN解析功能,协作UE发现PDG/TTG。
4.4.1.协议栈
4.4.2.SIP控制面协议栈
UE和PDG/TTG间基于SIP协议控制隧道建立和释放,PDG/TTG和3GPPAAAServer间使用RADIUS协议进行UE认证和授权,3GPPAAAServer和HLR间基于MAP协议。
图4-7SIP控制面协议栈
4.4.3.IKEv2控制面协议栈
UE和PDG/TTG间基于IKEv2协议控制隧道建立和释放,其他接口同SIP协议控制面。
图4-8IKEv2控制面协议栈
4.4.4.用户面协议栈
UE和PDG/TTG间可以采用两种隧道模式,分别是UDPESP隧道和IPsecESP隧道。
PDG/TTP应该支持这两种隧道模式。
采用SIP控制协议时
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- WLAN G3G 网络 融合 安全 隧道 规范 v030