黃曉弟, 彭鵬, 張燕

（中國移動(dòng)通信集團(tuán)廣東有限公司珠海分公司，珠海 519015）

USIM卡的鑒權(quán)需求對(duì)GSM/TD-SCDMA/TD-LTE融合網(wǎng)絡(luò)影響

黃曉弟, 彭鵬, 張燕

（中國移動(dòng)通信集團(tuán)廣東有限公司珠海分公司，珠海 519015）

借助存量GSM/TD-SCDMA用戶，保證GSM/TD-SCMDA和TD-LTE網(wǎng)絡(luò)業(yè)務(wù)的一致性和連續(xù)性，是TDLTE網(wǎng)絡(luò)建設(shè)的主要原則之一。本文首先理論介紹3GPP定義USIM卡在GSM/TD-SCDMA融合網(wǎng)絡(luò)中鑒權(quán)與加密關(guān)鍵技術(shù)和TD-LTE的鑒權(quán)與加密原則，其次討論USIM卡在GSM/TD-SCDMA/TD-LTE網(wǎng)絡(luò)中互操作時(shí)的鑒權(quán)與加密需求，最后提出利用UDC HLR解決方案建設(shè)GSM/TD-SCDMA/TD-LTE融合用戶數(shù)據(jù)庫解決USIM卡在GSM/TD-SCDMA/TD-LTE互操作時(shí)的接入網(wǎng)安全問題。

三網(wǎng)融合；TD-LTE；鑒權(quán)與加密；UDC HLR

1 背景

隨著移動(dòng)網(wǎng)絡(luò)的演進(jìn)，網(wǎng)絡(luò)接入類型多樣化、用戶速率大幅提升以及應(yīng)用更加豐富等特點(diǎn)使得移動(dòng)網(wǎng)絡(luò)面臨越來越多的安全問題，特別是接入網(wǎng)絡(luò)的安全問題。為解決越來越多的接入網(wǎng)絡(luò)的安全威脅，接入網(wǎng)絡(luò)的安全策略也隨著移動(dòng)網(wǎng)絡(luò)演進(jìn)不斷增強(qiáng)。GSM網(wǎng)絡(luò)采用單向鑒權(quán)與加密，TD-SCDMA網(wǎng)絡(luò)采用雙向鑒權(quán)、完整性保護(hù)和加密，TD-LTE網(wǎng)絡(luò)采用雙向鑒權(quán)、加密和完整性保護(hù)、算法協(xié)商與密鑰更新。

3GPP標(biāo)準(zhǔn)規(guī)定，對(duì)于GSM網(wǎng)絡(luò)，終端使用SIM卡，使用GSM安全上下文，即采用Triple參數(shù)，GSM authentication vector（GSM鑒權(quán)矢量）[RAND，SRES， Kc]完成鑒權(quán)與加密。對(duì)于TD-SCDMA網(wǎng)絡(luò)，終端使用(U)SIM卡，其中，SIM卡使用Triplet參數(shù)鑒權(quán)；USIM卡使用UMTS安全上下文，即Quintet參數(shù)，UMTS authentication vector（UMTS鑒權(quán)矢量）[RAND， XRES， CK， IK， AUTN]完成鑒權(quán)與加密。目前，中國移動(dòng)為用戶提供不換卡、不換號(hào)、不登記使用3G業(yè)務(wù)的方式，即中國移動(dòng)TD-SCDMA終端使用SIM卡，采用Triplet參數(shù)進(jìn)行鑒權(quán)與加密。

3GPP標(biāo)準(zhǔn)規(guī)定，對(duì)于TD-LTE網(wǎng)絡(luò)，終端使用USIM卡，采用EPS-Authentication Vector（EPS鑒權(quán)矢量）[KASME， RAND， AUTN， XRES]完成鑒權(quán)與加密。由此可看出，TD-LTE的鑒權(quán)與加密機(jī)制及參數(shù)與GSM/TD-SCDMA有很大的不同。如何部署TD-LTE核心網(wǎng)，實(shí)現(xiàn)TD-LTE與GSM/TDSCDMA網(wǎng)絡(luò)融合與互操作，同時(shí)保障用戶接入網(wǎng)絡(luò)的安全，是TD-LTE建網(wǎng)初期就應(yīng)該考慮的問題。

本文首先理論介紹3GPP定義USIM卡在GSM/ TD-SCDMA融合網(wǎng)絡(luò)中鑒權(quán)與加密關(guān)鍵技術(shù)和TDLTE的鑒權(quán)與加密原則，其次討論USIM卡在GSM/ TD-SCDMA/TD-LTE網(wǎng)絡(luò)中互操作時(shí)的鑒權(quán)與加密需求，最后提出利用UDC HLR解決方案建設(shè)GSM/ TD-SCDMA/TD-LTE融合用戶數(shù)據(jù)庫解決USIM卡在GSM/TD-SCDMA/TD-LTE互操作時(shí)的接入網(wǎng)安全的關(guān)鍵技術(shù)。

2 USIM卡在GSM/TD-SCDMA融合網(wǎng)絡(luò)中的鑒權(quán)與加密關(guān)鍵技術(shù)

3GPP TS33.102規(guī)定，當(dāng)用戶使用USIM卡接入GSM或者GSM/TD-SCDMA共存網(wǎng)絡(luò)時(shí)，鑒權(quán)與加密機(jī)制如圖1所示。其中，HLR/AuC必須支持3G網(wǎng)絡(luò)（3G HLR/AuC）。

（1） USIM卡用戶開戶時(shí)，會(huì)在3G HLR/AuC中定義鑒權(quán)和密鑰協(xié)議（AKA，Authentication and Key Agreement）為1，即使用UMTS安全上下文，Quintet參數(shù)進(jìn)行鑒權(quán)與加密。當(dāng)3G MSC/VLR或SGSN向3G HLR/AuC請(qǐng)求鑒權(quán)時(shí)，3G HLR/ AuC生成Quintet參數(shù) [RAND，XRES，CK，IK，AUTN]。當(dāng)2G MSC/VLR或SGSN向3G HLR/AuC請(qǐng)求鑒權(quán)時(shí)，則使用GSM安全上下文，即使用Triple參數(shù)進(jìn)行鑒權(quán)和加密。

（2） 如果使用支持TD-SCDMA網(wǎng)絡(luò)的終端和3G MSC/VLR或SGSN，不論用戶是通過GSM BSS接入還是UTRAN接入，都使用Quintet參數(shù)。當(dāng)使用GSM BSS接入時(shí)，3G MSC/VLR或SGSN將[CK，IK]衍生為Kc，用GSM BSS的加密。

（3） 如果使用僅支持GSM網(wǎng)絡(luò)的終端，不論核心網(wǎng)設(shè)備為3G MSC/VLR或SGSN，還是2G MSC/ VLR或SGSN，用戶是通過GSM BSS接入還是UTRAN接入，都采用Triplet參數(shù)鑒權(quán)與加密。其中，當(dāng)使用3G MSC/VLR或SGSN時(shí)，3G MSC/VLR或SGSN將[CK，IK]衍生為Kc，XRES衍生為RES。而當(dāng)使用2G MSC/VLR或SGSN時(shí)，3G HLR/AuC生成Triplet參數(shù)返回給2G MSC/VLR或SGSN。

綜合分析，USIM卡在GSM/TD-SCDMA融合網(wǎng)絡(luò)中鑒權(quán)與加密，可以使用UMTS安全上下文或GSM安全上下文，與終端類型及核心網(wǎng)設(shè)備的類型相關(guān)。升級(jí)2G MSC/VLR或SGSN為3G MSC/VLR或SGSN，使用TD-SCDMA終端，是實(shí)現(xiàn)不斷增強(qiáng)的接入網(wǎng)絡(luò)安全必要方法。

圖1 USIM卡用戶的鑒權(quán)與加密機(jī)制

3 TD-LTE鑒權(quán)與加密需求分析

3.1 TD-LTE密鑰層次結(jié)構(gòu)

圖2給出了TD-LTE鑒權(quán)和加密相關(guān)的密鑰的層結(jié)構(gòu)。其中，USIM卡保存根密鑰K，UE（終端）根據(jù)K生成TD-LTE的密鑰（KASME），并根據(jù)此生成接入層信令完整性保護(hù)（KRRCint）與加密（KRRCenc），非接入層信令完整性保護(hù)（KNASint，）與加密（KNASenc）和用戶數(shù)據(jù)加密所需的密鑰（KUPint）。在網(wǎng)絡(luò)則，根密鑰K唯一的保存在AuC中，用于網(wǎng)絡(luò)則生成鑒權(quán)密鑰[CK，IK]，并發(fā)傳給LTE HSS，由LTE HSS計(jì)算密鑰KASME，發(fā)送并保存在MME中，用于生成其它密鑰，如KeNB， KNASint， KNASenc。其中，MME將KeNB由發(fā)送給eNode B，eNode B根據(jù)該密鑰生成KRRCint，KRRCenc和KUPint，用于實(shí)現(xiàn)eNode B和UE之間的非接入層完整性保護(hù)與加密和用戶數(shù)據(jù)加密。

圖2 TD-LTE密鑰層結(jié)構(gòu)

3.2 TD-LTE鑒權(quán)與加密流程

3GPP TS 33.401規(guī)定，TD-LTE的E-UTRAN僅允許USIM卡及其應(yīng)用請(qǐng)求接入，用戶數(shù)據(jù)存儲(chǔ)在LTE HSS 中，采用EPS鑒權(quán)矢量[KASME，RAND，AUTN，XRES]完成鑒權(quán)與加密。TD-LTE網(wǎng)絡(luò)標(biāo)準(zhǔn)的鑒權(quán)流程如下。

（1） 終端向網(wǎng)絡(luò)發(fā)起接入請(qǐng)求，MME向LTE HSS請(qǐng)求鑒權(quán)矢量。

（2） LTE HSS中的AuC功能模塊保存著與USIM卡中相同的鑒權(quán)密鑰K，并依據(jù)該密鑰K生成鑒權(quán)參數(shù)組[RAND，AUTN，CK，IK，XRES]，然后，HSS將[CK，IK]衍生為KASME，最終生成EPS鑒權(quán)矢量的四元鑒權(quán)參數(shù)組[RAND，AUTN，KASME，XRES]，并發(fā)送給MME。

（3） MME接收并存儲(chǔ)鑒權(quán)參數(shù)組，并向終端發(fā)送消息（攜帶[RAND，AUTN]）啟動(dòng)鑒權(quán)流程。

（4） ME/USIM生成鑒權(quán)參數(shù)組，并與接收到的AUTN比較，完成對(duì)網(wǎng)絡(luò)鑒權(quán)，最后將RES參數(shù)返回給MME。

（5） MME將RES和XRES比對(duì)，相同則表示鑒權(quán)通過。隨后啟動(dòng)非接入層（NAS）和接入層（AS）的加密流程。

4 GSM/TD-SCDMA/TD-LTE融合網(wǎng)絡(luò)的鑒權(quán)與加密關(guān)鍵技術(shù)

4.1 USIM卡在GSM/TD-SCDMA與TD-LTE互操作鑒權(quán)

與加密需求

對(duì)于多模終端，需實(shí)現(xiàn)USIM卡在TD-LTE與GSM/TD-SCDMA網(wǎng)絡(luò)之間漫游。下面以USIM卡從TD-LTE漫游至GSM/TD-SCDMA網(wǎng)絡(luò)PS域?yàn)槔?，分析USIM卡的鑒權(quán)與加密需求以及為滿足這些需求對(duì)TD-LTE和GSM/TD-SCDMA網(wǎng)絡(luò)的影響和可能的解決方案。USIM卡從TD-LTE網(wǎng)絡(luò)漫游至GSM/ TD-SCDMA網(wǎng)絡(luò)，3G SGSN存在兩種可能的取鑒權(quán)矢量方案，不同方法對(duì)網(wǎng)絡(luò)的影響不相同。

方案1：3G SGSN請(qǐng)求MME發(fā)送鑒權(quán)矢量。

在這種情況下，3G SGSN請(qǐng)求MME發(fā)送USIM卡用戶的安全上下文，其中包含EPS鑒權(quán)矢量[RAND，AUTN，KASME，XRES]，SGSN利用[AUTN，XRES]完成與USIM卡之間的鑒權(quán)過程，但SGSN需要依據(jù)接入網(wǎng)絡(luò)類型（UTRAN或GSM BS）將四元組中KASME衍生為TD-SCDMA加密需要的[CK，IK] 或者GSM需要的Kc，以實(shí)現(xiàn)后續(xù)的加密過程。同時(shí)，存在不是每次漫游都能成功從MME獲取USIM卡用戶的安全上下文問題，針對(duì)該問題，可以采用3G SGSN向3G HLR取鑒權(quán)參數(shù)解決。

方案2：3G SGSN請(qǐng)求HLR發(fā)送鑒權(quán)矢量。

3G SGSN請(qǐng)求HLR重新計(jì)算并發(fā)送USIM用戶的鑒權(quán)矢量，該方案首先需要USIM用戶數(shù)據(jù)同時(shí)定義于LTE HSS和HLR中，且需要支持生成Quintet參數(shù)的3G HLR。目前，中國移動(dòng)現(xiàn)網(wǎng)HLR為2G HLR，不支持生成Quintet參數(shù)，故需要現(xiàn)網(wǎng)2G HLR升級(jí)為支持Quintet參數(shù)的3G HLR；另一方面，還要考慮USIM卡鑒權(quán)同步問題。使用USIM卡的終端收到MME或者3G MSC/VLR或SGSN發(fā)起的鑒權(quán)請(qǐng)求，不僅僅會(huì)比對(duì)消息中攜帶的AUTN參數(shù)來驗(yàn)證網(wǎng)絡(luò)的合法性，還需要通過一定算法提取AUTN中的SQN，并同前一次成功鑒權(quán)后保存于終端的SQNMS進(jìn)行比對(duì)，如果SQN在合理范圍內(nèi)（SQN大于SQNMS），終端才回復(fù)鑒權(quán)響應(yīng)成功消息。由于目前GSM/TD-SCDMA的3G HLR與LTE HSS為獨(dú)立設(shè)置，二者之間在生成AUTN時(shí)沒有相互告知SQN參數(shù)，從而會(huì)導(dǎo)致USIM卡漫游GSM/TD-SCDMA時(shí)對(duì)網(wǎng)絡(luò)鑒權(quán)失敗，進(jìn)而無法實(shí)現(xiàn)漫游。對(duì)于該問題，可通過增加3G HLR與LTE HSS之間的接口，并在USIM卡每次生成AUTN前互相告知SQN值，但3GPP標(biāo)準(zhǔn)未規(guī)范此接口。通過上述分析可知，3G SGSN請(qǐng)求HLR重新發(fā)送鑒權(quán)矢量請(qǐng)求消息來取新的鑒權(quán)參數(shù)時(shí)，需要升級(jí)現(xiàn)網(wǎng)HLR為支持Quintet參數(shù)的3G HLR，同時(shí)需要配置LTE HSS和3G HLR之間非標(biāo)準(zhǔn)接口。

4.2 UDC HLR解決方案分析

對(duì)于上述兩種方案存在的問題，可以通過融合用戶數(shù)據(jù)庫方案解決，即在網(wǎng)絡(luò)中部署UDC HLR，邏輯結(jié)構(gòu)如圖3所示。具有以下特點(diǎn)：用戶數(shù)據(jù)統(tǒng)一存儲(chǔ)在數(shù)據(jù)存儲(chǔ)單元；2G HLR除數(shù)據(jù)存儲(chǔ)模塊以外的功能處理在HLR-FE中實(shí)現(xiàn)，包括AuC功能實(shí)體以及與SGSN之間接口等；LTE HSS除數(shù)據(jù)存儲(chǔ)模塊以外的功能處理在HSS-FE中實(shí)現(xiàn)，包括HSS-FE與MME相連接等，但不包括AuC功能實(shí)體；HLR-FE與HSS-FE之間存在接口。

在該種邏輯架構(gòu)下當(dāng)MME向HSS-FE請(qǐng)求鑒權(quán)矢量時(shí)：HSS-FE將該消息發(fā)送給HLR-FE，由HLR-FE查詢用戶數(shù)據(jù)庫獲取K，依據(jù)K計(jì)算鑒權(quán)五元組矢量[RAND，AUTN，CK，IK，XRES]，并發(fā)送給HSS-FE；HSS-FE將[CK，IK] 衍生為KASME，并最終生成EPS鑒權(quán)參數(shù)組[KASME，RAND，AUTN，XRES]，并發(fā)送給MME，以便MME進(jìn)行后續(xù)流程。

當(dāng)用戶漫游至GSM/TD-SCDMA網(wǎng)絡(luò)時(shí)：SGSN向HLR-FE請(qǐng)求鑒權(quán)矢量，HLR-FE查詢用戶數(shù)據(jù)庫獲取K，并依據(jù)K計(jì)算鑒權(quán)五元組矢量[RAND，AUTN，CK，IK，XRES]，并發(fā)送給SGSN；SGSN依據(jù)用戶接入類型（UTRAN或GSM BSS）判斷是否需要將[CK，IK]衍生為Kc，進(jìn)而完成后續(xù)的加密過程。而[CK，IK]衍生為Kc的衍生，現(xiàn)網(wǎng)SGSN已經(jīng)支持，不需要升級(jí)或變更現(xiàn)網(wǎng)網(wǎng)絡(luò)。

圖3 UDC HLR邏輯功能結(jié)構(gòu)

5 總結(jié)

借助存量GSM/TD-SCDMA用戶，保證GSM/ TD-SCDMA和TD-LTE網(wǎng)絡(luò)業(yè)務(wù)的一致性和連續(xù)性，是TD-LTE網(wǎng)絡(luò)建設(shè)的主要原則之一。本文首先介紹3GPP定義的USIM卡在GSM/TD-SCDMA融合網(wǎng)絡(luò)的鑒權(quán)與加密關(guān)鍵技術(shù)，然后介紹TD-LTE網(wǎng)絡(luò)的鑒權(quán)與加密原理，最后分析使用“SIM換卡不換號(hào)USIM卡”使用LTE終端在TD-LTE網(wǎng)絡(luò)及TD-LTE與GSM/TD-SCDMA網(wǎng)絡(luò)漫游時(shí)對(duì)鑒權(quán)與加密的需求對(duì)建設(shè)TD-LTE與GSM/TD-SCDMA融合網(wǎng)絡(luò)的影響，提出UDC HLR解決方案可實(shí)現(xiàn)TD-LTE網(wǎng)絡(luò)換卡不換號(hào)業(yè)務(wù)，能保障GSM/TD-SCDMA/TD-LTE網(wǎng)絡(luò)業(yè)務(wù)的一致性、連續(xù)性和接入網(wǎng)絡(luò)安全。

[1] TS 33.102 V11.5.1, 3G Security; Security Architecture (Release 11)[M], 2013.6.

[2] TS 23.401 V11.1.0, Evolved Universal Terrestrial Radio Access Network; (E-UTRAN) access(Release 11)[M], 2012.3.

Lantiq和ASSIA攜手推動(dòng)更快捷和更方便實(shí)現(xiàn)Vectored VDSL

專為下一代網(wǎng)絡(luò)和數(shù)字家庭提供最多樣化高集成度及靈活端到端半導(dǎo)體解決方案組合的供應(yīng)商領(lǐng)特公司（Lantiq)，與專為寬帶服務(wù)供應(yīng)商提供領(lǐng)先解決方案的企業(yè)ASSIA有限公司，日前宣布了一項(xiàng)矢量化串?dāng)_消除系統(tǒng)（vectored systems）管理的合作和交叉授權(quán)協(xié)議。

全球的服務(wù)供應(yīng)商正在投資于使用現(xiàn)有的銅線基礎(chǔ)設(shè)施的寬帶技術(shù)，同時(shí)正在從ADSL向下一代VDSL和帶有矢量化串?dāng)_消除系統(tǒng)的VDSL網(wǎng)絡(luò)的轉(zhuǎn)變。提供傳輸速率超過100Mbit/s的Vectored VDSL網(wǎng)絡(luò)，代表了一種在短時(shí)間內(nèi)形成銷售收入并以高性價(jià)比的方式來回應(yīng)消費(fèi)者對(duì)寬帶需求快速增長。計(jì)劃提供Vectored VDSL服務(wù)的服務(wù)供應(yīng)商包括德國電信、美國電話電報(bào)公司、比利時(shí)電信、荷蘭電信和瑞士電信。

Lantiq已向其DSLAM供應(yīng)商客戶付運(yùn)了將近200萬端口的Vectored VDSL。ASSIA的DSL Expresse管理軟件管理著全球大約20%的DSL線路。將DSL Expresse Smart Vectoring管理軟件與Lantiq的Vectored VDSL芯片組相結(jié)合，可支持寬帶服務(wù)供應(yīng)商去自動(dòng)化地規(guī)劃、預(yù)測(cè)、管理和優(yōu)化其Vectored VDSL網(wǎng)絡(luò)的性能，從而確保可能實(shí)現(xiàn)的最佳客戶體驗(yàn)并將他們的投資回報(bào)率最大化。

“通過與ASSIA合作，我們期望能夠在所有不同的部署場(chǎng)景下全面發(fā)揮Vectored VDSL的長處，同時(shí)為我們的客戶設(shè)定產(chǎn)品性能的最高標(biāo)準(zhǔn)”Lantiq首席執(zhí)行官Dan Artusi 表示?！霸擁?xiàng)協(xié)議也為基于Lantiq芯片組和ASSIA軟件工具的客戶部署確保了重要的知識(shí)產(chǎn)權(quán)保護(hù)?！?/p>

“ASSIA非常高興能與Lantiq在產(chǎn)品和解決方案方面一起合作，這將使Vectored VDSL網(wǎng)絡(luò)的部署和管理更容易、更快捷，”ASSIA董事長兼首席執(zhí)行官 John Cioffi博士表示?！白鳛檫@項(xiàng)協(xié)議的結(jié)果，全球的服務(wù)供應(yīng)商有機(jī)會(huì)提高客戶體驗(yàn)，并為數(shù)字家庭經(jīng)濟(jì)地提供高性能寬帶服務(wù)?！?/p>

Requirement of USIM’s authentication affect the converged network of GSM/TD-SCDMA/TD-LTE

HUANG Xiao-di, PENG Peng, ZHANG Yan
(China Mobile Group Guangdong Co., Ltd. Zhuhai Branch, Zhuhai 519015, China)

Making full use of the GSM/TD-SCDMA subscribers, which can ensure the consistency and continuity of GSM/TD-SCDMA and TD-LTE network, is one of the main principles of TD-LTE network construction. Firstly, the paper introduces the authentication and security mechanisms of UMTS subscribers in GSM/ TD-SCDMA network, which is defne by 3GPP, and the security features and the security mechanisms of TD-LTE. Secondly, the paper discusses the authentication and security mechanisms of UMTS subscribers in the converged network of GSM/TD-SCDMA/TD-LTE, especial for the authentication and security mechanisms of UMTS subscribers switching between GSM/TD-SCDMA and TD-LTE. Finally, the paper proposes the architecture scheme that using the UDC HLR to resolve the network access security for UMTS subscribers in the converged network of GSM/TD-SCDMA/TD-LTE.

converged network of GSM/TD-SCDMA/TD-LTE; TD-LTE; authentication and encryption; UDC HLR

TN929.5

A

1008-5599（2014）02-0052-05

2014-01-01