黃曉弟, 彭鵬, 張燕

（中國移動通信集團廣東有限公司珠海分公司，珠海 519015）

USIM卡的鑒權需求對GSM/TD-SCDMA/TD-LTE融合網(wǎng)絡影響

黃曉弟, 彭鵬, 張燕

（中國移動通信集團廣東有限公司珠海分公司，珠海 519015）

借助存量GSM/TD-SCDMA用戶，保證GSM/TD-SCMDA和TD-LTE網(wǎng)絡業(yè)務的一致性和連續(xù)性，是TDLTE網(wǎng)絡建設的主要原則之一。本文首先理論介紹3GPP定義USIM卡在GSM/TD-SCDMA融合網(wǎng)絡中鑒權與加密關鍵技術和TD-LTE的鑒權與加密原則，其次討論USIM卡在GSM/TD-SCDMA/TD-LTE網(wǎng)絡中互操作時的鑒權與加密需求，最后提出利用UDC HLR解決方案建設GSM/TD-SCDMA/TD-LTE融合用戶數(shù)據(jù)庫解決USIM卡在GSM/TD-SCDMA/TD-LTE互操作時的接入網(wǎng)安全問題。

三網(wǎng)融合；TD-LTE；鑒權與加密；UDC HLR

1 背景

隨著移動網(wǎng)絡的演進，網(wǎng)絡接入類型多樣化、用戶速率大幅提升以及應用更加豐富等特點使得移動網(wǎng)絡面臨越來越多的安全問題，特別是接入網(wǎng)絡的安全問題。為解決越來越多的接入網(wǎng)絡的安全威脅，接入網(wǎng)絡的安全策略也隨著移動網(wǎng)絡演進不斷增強。GSM網(wǎng)絡采用單向鑒權與加密，TD-SCDMA網(wǎng)絡采用雙向鑒權、完整性保護和加密，TD-LTE網(wǎng)絡采用雙向鑒權、加密和完整性保護、算法協(xié)商與密鑰更新。

3GPP標準規(guī)定，對于GSM網(wǎng)絡，終端使用SIM卡，使用GSM安全上下文，即采用Triple參數(shù)，GSM authentication vector（GSM鑒權矢量）[RAND，SRES， Kc]完成鑒權與加密。對于TD-SCDMA網(wǎng)絡，終端使用(U)SIM卡，其中，SIM卡使用Triplet參數(shù)鑒權；USIM卡使用UMTS安全上下文，即Quintet參數(shù)，UMTS authentication vector（UMTS鑒權矢量）[RAND， XRES， CK， IK， AUTN]完成鑒權與加密。目前，中國移動為用戶提供不換卡、不換號、不登記使用3G業(yè)務的方式，即中國移動TD-SCDMA終端使用SIM卡，采用Triplet參數(shù)進行鑒權與加密。

3GPP標準規(guī)定，對于TD-LTE網(wǎng)絡，終端使用USIM卡，采用EPS-Authentication Vector（EPS鑒權矢量）[KASME， RAND， AUTN， XRES]完成鑒權與加密。由此可看出，TD-LTE的鑒權與加密機制及參數(shù)與GSM/TD-SCDMA有很大的不同。如何部署TD-LTE核心網(wǎng)，實現(xiàn)TD-LTE與GSM/TDSCDMA網(wǎng)絡融合與互操作，同時保障用戶接入網(wǎng)絡的安全，是TD-LTE建網(wǎng)初期就應該考慮的問題。

本文首先理論介紹3GPP定義USIM卡在GSM/ TD-SCDMA融合網(wǎng)絡中鑒權與加密關鍵技術和TDLTE的鑒權與加密原則，其次討論USIM卡在GSM/ TD-SCDMA/TD-LTE網(wǎng)絡中互操作時的鑒權與加密需求，最后提出利用UDC HLR解決方案建設GSM/ TD-SCDMA/TD-LTE融合用戶數(shù)據(jù)庫解決USIM卡在GSM/TD-SCDMA/TD-LTE互操作時的接入網(wǎng)安全的關鍵技術。

2 USIM卡在GSM/TD-SCDMA融合網(wǎng)絡中的鑒權與加密關鍵技術

3GPP TS33.102規(guī)定，當用戶使用USIM卡接入GSM或者GSM/TD-SCDMA共存網(wǎng)絡時，鑒權與加密機制如圖1所示。其中，HLR/AuC必須支持3G網(wǎng)絡（3G HLR/AuC）。

（1） USIM卡用戶開戶時，會在3G HLR/AuC中定義鑒權和密鑰協(xié)議（AKA，Authentication and Key Agreement）為1，即使用UMTS安全上下文，Quintet參數(shù)進行鑒權與加密。當3G MSC/VLR或SGSN向3G HLR/AuC請求鑒權時，3G HLR/ AuC生成Quintet參數(shù) [RAND，XRES，CK，IK，AUTN]。當2G MSC/VLR或SGSN向3G HLR/AuC請求鑒權時，則使用GSM安全上下文，即使用Triple參數(shù)進行鑒權和加密。

（2） 如果使用支持TD-SCDMA網(wǎng)絡的終端和3G MSC/VLR或SGSN，不論用戶是通過GSM BSS接入還是UTRAN接入，都使用Quintet參數(shù)。當使用GSM BSS接入時，3G MSC/VLR或SGSN將[CK，IK]衍生為Kc，用GSM BSS的加密。

（3） 如果使用僅支持GSM網(wǎng)絡的終端，不論核心網(wǎng)設備為3G MSC/VLR或SGSN，還是2G MSC/ VLR或SGSN，用戶是通過GSM BSS接入還是UTRAN接入，都采用Triplet參數(shù)鑒權與加密。其中，當使用3G MSC/VLR或SGSN時，3G MSC/VLR或SGSN將[CK，IK]衍生為Kc，XRES衍生為RES。而當使用2G MSC/VLR或SGSN時，3G HLR/AuC生成Triplet參數(shù)返回給2G MSC/VLR或SGSN。

綜合分析，USIM卡在GSM/TD-SCDMA融合網(wǎng)絡中鑒權與加密，可以使用UMTS安全上下文或GSM安全上下文，與終端類型及核心網(wǎng)設備的類型相關。升級2G MSC/VLR或SGSN為3G MSC/VLR或SGSN，使用TD-SCDMA終端，是實現(xiàn)不斷增強的接入網(wǎng)絡安全必要方法。

圖1 USIM卡用戶的鑒權與加密機制

3 TD-LTE鑒權與加密需求分析

3.1 TD-LTE密鑰層次結構

圖2給出了TD-LTE鑒權和加密相關的密鑰的層結構。其中，USIM卡保存根密鑰K，UE（終端）根據(jù)K生成TD-LTE的密鑰（KASME），并根據(jù)此生成接入層信令完整性保護（KRRCint）與加密（KRRCenc），非接入層信令完整性保護（KNASint，）與加密（KNASenc）和用戶數(shù)據(jù)加密所需的密鑰（KUPint）。在網(wǎng)絡則，根密鑰K唯一的保存在AuC中，用于網(wǎng)絡則生成鑒權密鑰[CK，IK]，并發(fā)傳給LTE HSS，由LTE HSS計算密鑰KASME，發(fā)送并保存在MME中，用于生成其它密鑰，如KeNB， KNASint， KNASenc。其中，MME將KeNB由發(fā)送給eNode B，eNode B根據(jù)該密鑰生成KRRCint，KRRCenc和KUPint，用于實現(xiàn)eNode B和UE之間的非接入層完整性保護與加密和用戶數(shù)據(jù)加密。

圖2 TD-LTE密鑰層結構

3.2 TD-LTE鑒權與加密流程

3GPP TS 33.401規(guī)定，TD-LTE的E-UTRAN僅允許USIM卡及其應用請求接入，用戶數(shù)據(jù)存儲在LTE HSS 中，采用EPS鑒權矢量[KASME，RAND，AUTN，XRES]完成鑒權與加密。TD-LTE網(wǎng)絡標準的鑒權流程如下。

（1） 終端向網(wǎng)絡發(fā)起接入請求，MME向LTE HSS請求鑒權矢量。

（2） LTE HSS中的AuC功能模塊保存著與USIM卡中相同的鑒權密鑰K，并依據(jù)該密鑰K生成鑒權參數(shù)組[RAND，AUTN，CK，IK，XRES]，然后，HSS將[CK，IK]衍生為KASME，最終生成EPS鑒權矢量的四元鑒權參數(shù)組[RAND，AUTN，KASME，XRES]，并發(fā)送給MME。

（3） MME接收并存儲鑒權參數(shù)組，并向終端發(fā)送消息（攜帶[RAND，AUTN]）啟動鑒權流程。

（4） ME/USIM生成鑒權參數(shù)組，并與接收到的AUTN比較，完成對網(wǎng)絡鑒權，最后將RES參數(shù)返回給MME。

（5） MME將RES和XRES比對，相同則表示鑒權通過。隨后啟動非接入層（NAS）和接入層（AS）的加密流程。

4 GSM/TD-SCDMA/TD-LTE融合網(wǎng)絡的鑒權與加密關鍵技術

4.1 USIM卡在GSM/TD-SCDMA與TD-LTE互操作鑒權

與加密需求

對于多模終端，需實現(xiàn)USIM卡在TD-LTE與GSM/TD-SCDMA網(wǎng)絡之間漫游。下面以USIM卡從TD-LTE漫游至GSM/TD-SCDMA網(wǎng)絡PS域為例，分析USIM卡的鑒權與加密需求以及為滿足這些需求對TD-LTE和GSM/TD-SCDMA網(wǎng)絡的影響和可能的解決方案。USIM卡從TD-LTE網(wǎng)絡漫游至GSM/ TD-SCDMA網(wǎng)絡，3G SGSN存在兩種可能的取鑒權矢量方案，不同方法對網(wǎng)絡的影響不相同。

方案1：3G SGSN請求MME發(fā)送鑒權矢量。

在這種情況下，3G SGSN請求MME發(fā)送USIM卡用戶的安全上下文，其中包含EPS鑒權矢量[RAND，AUTN，KASME，XRES]，SGSN利用[AUTN，XRES]完成與USIM卡之間的鑒權過程，但SGSN需要依據(jù)接入網(wǎng)絡類型（UTRAN或GSM BS）將四元組中KASME衍生為TD-SCDMA加密需要的[CK，IK] 或者GSM需要的Kc，以實現(xiàn)后續(xù)的加密過程。同時，存在不是每次漫游都能成功從MME獲取USIM卡用戶的安全上下文問題，針對該問題，可以采用3G SGSN向3G HLR取鑒權參數(shù)解決。

方案2：3G SGSN請求HLR發(fā)送鑒權矢量。

3G SGSN請求HLR重新計算并發(fā)送USIM用戶的鑒權矢量，該方案首先需要USIM用戶數(shù)據(jù)同時定義于LTE HSS和HLR中，且需要支持生成Quintet參數(shù)的3G HLR。目前，中國移動現(xiàn)網(wǎng)HLR為2G HLR，不支持生成Quintet參數(shù)，故需要現(xiàn)網(wǎng)2G HLR升級為支持Quintet參數(shù)的3G HLR；另一方面，還要考慮USIM卡鑒權同步問題。使用USIM卡的終端收到MME或者3G MSC/VLR或SGSN發(fā)起的鑒權請求，不僅僅會比對消息中攜帶的AUTN參數(shù)來驗證網(wǎng)絡的合法性，還需要通過一定算法提取AUTN中的SQN，并同前一次成功鑒權后保存于終端的SQNMS進行比對，如果SQN在合理范圍內(nèi)（SQN大于SQNMS），終端才回復鑒權響應成功消息。由于目前GSM/TD-SCDMA的3G HLR與LTE HSS為獨立設置，二者之間在生成AUTN時沒有相互告知SQN參數(shù)，從而會導致USIM卡漫游GSM/TD-SCDMA時對網(wǎng)絡鑒權失敗，進而無法實現(xiàn)漫游。對于該問題，可通過增加3G HLR與LTE HSS之間的接口，并在USIM卡每次生成AUTN前互相告知SQN值，但3GPP標準未規(guī)范此接口。通過上述分析可知，3G SGSN請求HLR重新發(fā)送鑒權矢量請求消息來取新的鑒權參數(shù)時，需要升級現(xiàn)網(wǎng)HLR為支持Quintet參數(shù)的3G HLR，同時需要配置LTE HSS和3G HLR之間非標準接口。

4.2 UDC HLR解決方案分析

對于上述兩種方案存在的問題，可以通過融合用戶數(shù)據(jù)庫方案解決，即在網(wǎng)絡中部署UDC HLR，邏輯結構如圖3所示。具有以下特點：用戶數(shù)據(jù)統(tǒng)一存儲在數(shù)據(jù)存儲單元；2G HLR除數(shù)據(jù)存儲模塊以外的功能處理在HLR-FE中實現(xiàn)，包括AuC功能實體以及與SGSN之間接口等；LTE HSS除數(shù)據(jù)存儲模塊以外的功能處理在HSS-FE中實現(xiàn)，包括HSS-FE與MME相連接等，但不包括AuC功能實體；HLR-FE與HSS-FE之間存在接口。

在該種邏輯架構下當MME向HSS-FE請求鑒權矢量時：HSS-FE將該消息發(fā)送給HLR-FE，由HLR-FE查詢用戶數(shù)據(jù)庫獲取K，依據(jù)K計算鑒權五元組矢量[RAND，AUTN，CK，IK，XRES]，并發(fā)送給HSS-FE；HSS-FE將[CK，IK] 衍生為KASME，并最終生成EPS鑒權參數(shù)組[KASME，RAND，AUTN，XRES]，并發(fā)送給MME，以便MME進行后續(xù)流程。

當用戶漫游至GSM/TD-SCDMA網(wǎng)絡時：SGSN向HLR-FE請求鑒權矢量，HLR-FE查詢用戶數(shù)據(jù)庫獲取K，并依據(jù)K計算鑒權五元組矢量[RAND，AUTN，CK，IK，XRES]，并發(fā)送給SGSN；SGSN依據(jù)用戶接入類型（UTRAN或GSM BSS）判斷是否需要將[CK，IK]衍生為Kc，進而完成后續(xù)的加密過程。而[CK，IK]衍生為Kc的衍生，現(xiàn)網(wǎng)SGSN已經(jīng)支持，不需要升級或變更現(xiàn)網(wǎng)網(wǎng)絡。

圖3 UDC HLR邏輯功能結構

5 總結

借助存量GSM/TD-SCDMA用戶，保證GSM/ TD-SCDMA和TD-LTE網(wǎng)絡業(yè)務的一致性和連續(xù)性，是TD-LTE網(wǎng)絡建設的主要原則之一。本文首先介紹3GPP定義的USIM卡在GSM/TD-SCDMA融合網(wǎng)絡的鑒權與加密關鍵技術，然后介紹TD-LTE網(wǎng)絡的鑒權與加密原理，最后分析使用“SIM換卡不換號USIM卡”使用LTE終端在TD-LTE網(wǎng)絡及TD-LTE與GSM/TD-SCDMA網(wǎng)絡漫游時對鑒權與加密的需求對建設TD-LTE與GSM/TD-SCDMA融合網(wǎng)絡的影響，提出UDC HLR解決方案可實現(xiàn)TD-LTE網(wǎng)絡換卡不換號業(yè)務，能保障GSM/TD-SCDMA/TD-LTE網(wǎng)絡業(yè)務的一致性、連續(xù)性和接入網(wǎng)絡安全。

[1] TS 33.102 V11.5.1, 3G Security; Security Architecture (Release 11)[M], 2013.6.

[2] TS 23.401 V11.1.0, Evolved Universal Terrestrial Radio Access Network; (E-UTRAN) access(Release 11)[M], 2012.3.

Lantiq和ASSIA攜手推動更快捷和更方便實現(xiàn)Vectored VDSL

專為下一代網(wǎng)絡和數(shù)字家庭提供最多樣化高集成度及靈活端到端半導體解決方案組合的供應商領特公司（Lantiq)，與專為寬帶服務供應商提供領先解決方案的企業(yè)ASSIA有限公司，日前宣布了一項矢量化串擾消除系統(tǒng)（vectored systems）管理的合作和交叉授權協(xié)議。

全球的服務供應商正在投資于使用現(xiàn)有的銅線基礎設施的寬帶技術，同時正在從ADSL向下一代VDSL和帶有矢量化串擾消除系統(tǒng)的VDSL網(wǎng)絡的轉(zhuǎn)變。提供傳輸速率超過100Mbit/s的Vectored VDSL網(wǎng)絡，代表了一種在短時間內(nèi)形成銷售收入并以高性價比的方式來回應消費者對寬帶需求快速增長。計劃提供Vectored VDSL服務的服務供應商包括德國電信、美國電話電報公司、比利時電信、荷蘭電信和瑞士電信。

Lantiq已向其DSLAM供應商客戶付運了將近200萬端口的Vectored VDSL。ASSIA的DSL Expresse管理軟件管理著全球大約20%的DSL線路。將DSL Expresse Smart Vectoring管理軟件與Lantiq的Vectored VDSL芯片組相結合，可支持寬帶服務供應商去自動化地規(guī)劃、預測、管理和優(yōu)化其Vectored VDSL網(wǎng)絡的性能，從而確?？赡軐崿F(xiàn)的最佳客戶體驗并將他們的投資回報率最大化。

“通過與ASSIA合作，我們期望能夠在所有不同的部署場景下全面發(fā)揮Vectored VDSL的長處，同時為我們的客戶設定產(chǎn)品性能的最高標準”Lantiq首席執(zhí)行官Dan Artusi 表示?！霸擁梾f(xié)議也為基于Lantiq芯片組和ASSIA軟件工具的客戶部署確保了重要的知識產(chǎn)權保護?！?/p>

“ASSIA非常高興能與Lantiq在產(chǎn)品和解決方案方面一起合作，這將使Vectored VDSL網(wǎng)絡的部署和管理更容易、更快捷，”ASSIA董事長兼首席執(zhí)行官 John Cioffi博士表示?！白鳛檫@項協(xié)議的結果，全球的服務供應商有機會提高客戶體驗，并為數(shù)字家庭經(jīng)濟地提供高性能寬帶服務?！?/p>

Requirement of USIM’s authentication affect the converged network of GSM/TD-SCDMA/TD-LTE

HUANG Xiao-di, PENG Peng, ZHANG Yan
(China Mobile Group Guangdong Co., Ltd. Zhuhai Branch, Zhuhai 519015, China)

Making full use of the GSM/TD-SCDMA subscribers, which can ensure the consistency and continuity of GSM/TD-SCDMA and TD-LTE network, is one of the main principles of TD-LTE network construction. Firstly, the paper introduces the authentication and security mechanisms of UMTS subscribers in GSM/ TD-SCDMA network, which is defne by 3GPP, and the security features and the security mechanisms of TD-LTE. Secondly, the paper discusses the authentication and security mechanisms of UMTS subscribers in the converged network of GSM/TD-SCDMA/TD-LTE, especial for the authentication and security mechanisms of UMTS subscribers switching between GSM/TD-SCDMA and TD-LTE. Finally, the paper proposes the architecture scheme that using the UDC HLR to resolve the network access security for UMTS subscribers in the converged network of GSM/TD-SCDMA/TD-LTE.

converged network of GSM/TD-SCDMA/TD-LTE; TD-LTE; authentication and encryption; UDC HLR

TN929.5

A

1008-5599（2014）02-0052-05

2014-01-01