YDT 2039-2009移动通信网 应用服务端到端通信 认证机制.pdf

ICS 33.040.01M 10YD中华人民共和国通信行业标准YD/T 2039-2009移动通信网应用服务端到端通信认证机制Authentication mechanism of end-to-end data communication forapplication in mobile network2009-12-11 发布2010-01-01实施中华人民共和国工业和信息化部发布 YD/T 2039-2009目‧次前 111范围·2规范性引用文件3术语和定义·4缩略语和符号4.1缩略语4.2符号5　安全威胁6安全需求·6.1业务实体身份的机密性·6.2实体认证认证信息的机密性·6.37安全架构·7.1概述·认证模型·7.27.3网络元素007.4参考点·7.5对认证信息的要求128认证过程·8.1认证过程概述12业务实体与EAC之间的初始认证过程8.2158.3业务实体与 EAC之间的重认证过程·.16认证查询与衍生密钥生成过程8.4218.5　业务实体之间的互认证8.6认证失败L.229认证机制的使用过程·附录A（规范性附录）密钥材料的层次·23附录 B（资料性附录）SS/SP 与EAC 认证实例0429附录C（资料性附录）认证机制使用实例参考文献·33 YD/T 2039-2009前言本标准参考了 3GPPGAA 认证架构，ITU-T Q.9/SG17组的X.mSec-1提出的《基于移动网络应用服务端到端通信的安全技术》以及X.msec-2定义的《基于 PKI 的移动通信用户到服务提供者之间的端到端数据通信安全框架》。本标准是基于移动通信网应用服务端到端安全通信的系列标准，该系列标准的名称及结构如下：YD/T2038-2009‧移动通信网应用服务端到端通信 密钥管理YD/T2039-2009移动通信网应用服务端到端通信认证机制本标准的附录 A、附录 B 和附录 C均为资料性附录。本标准由中国通信标准化协会提出并归口。本标准起草单位：华为技术有限公司、工业和信息化部电信研究院。本标准起草人：位继伟、杨艳梅、范絮妍。I YD/T 2039-2009移动通信网应用服务端到端通信认证机制1范围本标准规定了移动用户与网络中各种应用业务提供者之间的端到端通信的一种通用认证机制，其独立于移动网络用户的网络接入认证机制，针对不同的移动网络应用环境，可以灵活地选择端到端认证的认证模式及实体间的认证方式。通常情况下，该认证机制也包括了移动网络认证实体的共同参与。本标准适用的业务实体包括所有基于不同移动通信标准的移动终端、移动网络以及任意的应用服务器，其中的应用服务器包括部署于移动网络内部和位于开放网络的第三方应用服务器。适用本标准的业务，除了移动网络为本网络用户提供的数据业务外，具体还包括：在无线局域网与移动网络交互环境下，无线局域网或移动网络中的应用服务器为无线局域网用户或移动用户提供的业务；互联网中的应用服务器为移动用户提供的应用服务，如电子邮件服务、电子商务等；以及某些功能强大的移动终端用户可能为其他移动用户提供的应用服务，各种应用服务器之间作为中间服务代理商互相使用对方提供的应用服务等。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。3GPP TS 33.220: Generic Authentication Architecture (GAA); Generic Bootstrapping Architecture. 通用认证架构；通用自举架构IETF RFC 2246（1999）:The TLS Protocol.TLS协议3术语和定义下列术语和定义适用于本标准。3.1认证过程 authentication procedure认证过程指业务实体与EAC间相互认证对方身份的过程，以及业务实体间相互建立信任关系的过程。一个完整的认证过程包括三部分：业务实体与EAC之间的初始认证过程，认证查询与衍生密钥生成过程，以及业务实体间的互认证过程。3.2签约信息subscription information指业务签约者和业务提供者与移动网络的签约信息。业务签约者与移动网络的签约信息包括业务签约者的私有身份标识、共享秘密及密钥有效期、实体业务允许标识（表示是否有权请求某种业务）以及该实体支持的认证方式（例如AKA、基于公私钥算法1 YD/T 2039-2009DH（Diffie-Hellman）的认证方式、生物认证方式）和认证查询与密钥生成方法（例如GBA、Kerberos、Mediation）等。业务提供者与移动网络