YD_T 2909-2015移动通信网络域安全认证框架.pdf

ICS 33.030M 30YD中华人民共和国通信行业标准YD/T2909-2015移动通信网络域安全认证框架Mobile network domainsecurityauthenticationframework(3GPP TS 33.310 V9.5.0, Network Domain Security (NDS);Authentication Framework (AF), IDT)2015-0714发布2015-10-01实施中华人民共和国工业和信息化部发布 YD/T 290920155NDS/AF的架构与使用场景认证中心类型的定义如下：一安全网关的认证中心（SEGCA）：一个CA给指定运营商域内的安全网关顾发证书。些证书只限定使用于Zb接口（Zb：网络域内的实体之间或网络域实体与安全网关之间的接口）。证书。证书。一互连认证中心（InterconnectionCA）：一个CA代表一个指定运营商将交叉证书额发给其它域内的SEGCA、TLS客户端CA以及TLS服务器CA，使用这些交叉证书能实现运营商的SEGs、TLS实体的互连。互连CA的公钥安全地存储在运营商域内的各个SEG和TLS实体中，这就能够使SEG和TLS实体相互验证交叉证书。假设每个运营商域内包含几十个而不是几百个SEG或TLS实体。运营离可以将两个或两个以上的如上所述的CA合并。比如，同一个CA可以用来颁发实体TLS证书以及IPsec证书。另外，同一个CA也可以用来颁发实体证书和交叉证书NDS/AF最初是基于一个篇单的信任模型（参见附录B)，该模型避免引入传递性信任或/和额外认证信息，该简单模型含手动的交叉认证。5.1NDS/AF的PKI架构本条定义了NDS/AF的PKI架构，目标是定义一个灵活且简单的架构，并能做到与其它实现方式进行互操作，如下描述的架构使用了简单接入控制方法，即每一个经过认证的实体都将得到服务。可能会实现更加精细的接入控制，但这不属于本标准的研究范围。本架构不依赖于桥CA，面是在不同安全域之间直接使用交叉证书，这使SEG和TLS实体中的策略配置变得更加简便。5.1.1总体架构除非运营商选择合并多个CA，否则每个安全域至少要有一个SEGCA，NECA，TLS客户端CA或TLS服务器CA，以及一个专属于运营商的互连CA一个域中的SEGCA将证书颁发给该域内的SEGs，这些SEGs与其它城内的SEGs存在相互连接，即Za接口。SEG证书也可以用在Zb接口上与NE进行相互通信。NECA将证书发给NEs，用来实现NE之间的通信以及NE与可信任域内的SEGs之间的通信，即Zb接口，TLS客户端CA将证书颁发给该域内需要与其它域内的TLS服务器建立TLS连接的TLS用户。TLS服务器CA将证书额发给城内需要与其它域内的TLS用户建立TLS连接的TLS服务器。互连CA将证书颁发给SEGCAs、TLS客户端CAs或与本域内的SEG、TLS客户端存在相互连接的其它域内TLS服务器CAs：本标准描述了需要的各种证书的总体配置（profile)，同时也描述了一种生成交叉证书的方法。总体而言，所有的证书都应基于IETFRFC52.1NDS/IP场景5 YD/下描述了使用SEGCAs领发IPsec证书的架构。SEGCA应该将证书颂发给使用Za接口的安全网关。当安全域A中的SEG与安全域B中的SEG建立安全连接时，它们应当能相互认证。相互认证是由SEGCAs颁发给SEGs的证书来实现的。当各个域间建立互连时，互连CA就交叉认证了对等运营商的SEGCA。生成的交叉证书需要本地配置于每个城中。对于安全域A中的与安全域B间存在Za接口的SEG来说，由安全域A的互连CA为安全域B的SEGCA生成的交叉证书应该有效且可用。同样的，对于安全域B中的与安全域A闻存在Za接口的SEG来说，由安全域B的互连CA为安全域A的SEGCA生成的交叉证书应该有效且可用。基于IPsec证书来认证SEGs和NEs的总体架构如图2所示。注；为了避免重复，一个谱在的CA在图2中并没有表现出来，安全A安全城BCAaCASEG CAIKE BRESPRI图2NDS/IP场景下信任校验路径交叉认证之后，SEGa就能确认路径：SEGb-SEGCAn互连CAa·安全域A内的所有实体只信任安全域A内的互连CA顽发的证书。同样地，SEGb能确认路径：SEGa-SEGCA互连CAg。该路径在安全域B内可确认，因为路径终止于一个可信任的证书（安全域B的互连CAg)。互连CA路径中的第二张证书进行签名，例如，在安全域A中，SEGCA的证书是由安全城A中的互连CA在执行交叉认证时进行签名。TLS 场景以下描述了使用TLSCAs发TLS证书的架构。TLS客户端CA应该将证书颁发给其安全域内的TLS用