YD_T 2911-2015下一代网络移动性安全框架.pdf

ICS 33.040.01M 10YD中华人民共和国通信行业标准YD/T2911-2015下一代网络移动性安全框架Mobility security framework inNGN(ITU-T Y.2760 Mobility Security Framework in NGN, MOD)2015-07-14发布2015~10-01实施中华人民共和国工业和信息化部发布 YD/T次前范围2规范性引用文件3术语和定义4缩略语5网络架构.5.1安全威胁5.2安全需求.支持安全能力的相关功能实体密钥管理与认证7.1密钥管理框架7.2认证.安全上下文建立·8.1服务AM-FE与目标AM-FE间安全上下文传输8.2服务AR-FE与日标AR-FE间安全上下文传输·8.3UE和HDC-FE间安全上下文传输.12IP移动性安全·139.1主机移动性安全**139.2网络移动性安全14UE和HDC-FE间的安全1410.1主机发起的UE与HDC-FE间安全联盟的建立10.2网络发起的UE与HDC-FE间的安全关联建立11传输功能层的安全11.1UE与接入节点功能模块的安全11.2UE与L3HEF（层3切换执行功能）附录A（资料性附录）若干实例**17参考文献 YD/T2）AM-FE向TAA-FE发送UE的信息来请求认证数据。（3）TAA-FE发送包含认证令牌的认证数据响应到AM-FE。（4）AM-FE发送认证请求至UE。UE从认证请求中获取认证令牌，产生本地认证失量，该认证失量包括基于认证令牌和根密钥的会话密钥材料，UE通过验证收到的认证令牌来认证网络。（5）UE发送认证响应至AM-FE，该响应包含UE产生的认证令牌。AM-FE转发该信息到TAA-FETAA-FE获取认证令牌，TAA-FE检查收到的认证令牌的有效性来认证UE。7.2.2.1优化的快速量认证对于优化的快速重认证，UE产生认证信息并由NGN网络首先认证UE，该流程与通用重认证流程区别在于后者NGN网络产生认证令牌并首先由UE认证NGN网络。优化的快速重认证流程执行如下步骤，如图5所示。UEAR-FEAM-FETAA-FETUP-FE1.快速重认证标志2.快速重证请求认iEUE3.快速冲款证响应认证网络图5优化的快速重认证流程（1）UE与接入网功能建立控制通道（该过程不在本标准的范围内）。AM-FE发送优化的重认证标志到UE，表示TAA-FE支持优化的快速重认证(2）UE产生认证失量并通过AM-FE发送优化的重认证请求至TAA-FE.优化的重认证请求包括认证令牌和重认证信息。TAA-FE基于重认证信息和会话密钥材料产生本地认证失量和新的会话密钥材料。TAA-FE通过验证收到的认证令牌认证UE（3）TAA-FE通过AM-FE发送包含认证令牌的重认证响应到UEUE根据自已的认证失量认证网络。当认证成功结束后，UE产生子会话密钥。7.2.3减内认证7.2.3.1在单个网络连接中的认证单个网络连接是指UE能够检测不同的网络，但是一次只能接入一个网络。预认证指UE切换到目标网络前通过服务网络与日标网络相互认证。预认证过程与通用认证过程类似。服务AM-FE和目标AM-FE涉及到预认证过程。基于单网络连接的预认证执行如下步骤，如图6所示。 YD/TR-FE服务AM-FEHNAM-FETAA-FETUP-FE1.UE和AN同建立控制通道2.认证费划请象3.款用户证5.Ai?4.认数的认证用络6. 以AEUE7.发送例村图6基于单网络连接的预认证流程（1）UE与接入网功能建立控制通道（该过程不在本标准的范围内），（2）AM-FE发送认证数据请求至TAA-FE，该请求中包含用户签约信息。认证数据请求通过服务AM-FE和目标AM-FE进行转发.（3）TAA-FE与TUP-FE交互获取用户属性。（4）TAA-FE发送认证数据响应至目标AM-FE和服务AM-FE，该响应中包括认证令牌，（5）服务AM-FE发送认证请求至UE，UE获取认证令牌并根据认证信息认证网络。认证成功结束后，UE产生会话密钥材料。（6）UE发送认证响应至服务AM-FE。服务AM-FE转发信息至目标AM-FE和TAA-FE，该信息包含认证令牌。TAA-FE提取认证令牌并认证UE，当认证成功结束后，TAA-FE产生会话密钥材料，在需要时可以导出子会话密钥，（7）TAA-FE发送密钥材料至目标AM-FE，在UE切换到目标网络后用于保护UE和目标网络间的通信。7.2.4域间认证不同的管理域是指不同的NGN提供商。UE在不同管理域之间的切换描述如下。不同管理域间认证执行如下步骤，如图7所示。UEAR-FEANPETAPETAA-FEHomeTup1.UE和AN建立控朗通通2认证款事请求3