《CDMA移动网络鉴权技术规范.doc》由会员分享,可在线阅读,更多相关《CDMA移动网络鉴权技术规范.doc(16页珍藏版)》请在三一办公上搜索。
1、CDMA移动网络鉴权技术规范中国电信集团公司前 言本标准是中国电信CDMA核心网络接口协议系列标准的补充和组成部分。主要描述cdma2000移动通信网各实体间为完成移动台的鉴权功能,采用NO.7信令方式传递移动应用部分(MAP)消息时的技术规范。本标准主要依据YD/T 1570-2007 cdma2000数字蜂窝移动通信网技术要求:移动应用部分(MAP)编制而成。中国电信cdma2000核心网的鉴权还包括AN-AAA,该设备另有鉴权的技术要求,本标准不再涉及这方面的内容。本标准由中国电信集团公司提出并归口。本标准起草单位: 中国电信股份有限公司上海研究院本标准主要起草人:毛安平目录1.范围32
2、.引用标准和编制说明33.缩略语44.移动台鉴权程序44.1 800MHz CDMA数字蜂窝移动通信网接口技术要求:空中接口54.2Mobile Station-Base Station Compatibility Standard for Wideband Spread Spectrum Cellular Systems54.3Signaling Link Access Control(LAC) Standard for CDMA2000 Spread Spectrum Cellular Systems55.核心网鉴权流程65.1信令流程65.2 消息处理65.2.1 鉴权申请消息的处理65
3、.2.2 鉴权失败报告消息的处理95.2.3 鉴权状态报告消息的处理115.2.4 鉴权指令消息的处理135.3 设备要求145.3.1 对HLR的要求145.3.2 对MSC/VLR的要求15 1. 范围本规范主要规定了cdma2000移动通信网的交换中心、位置寄存器、鉴权中心之间关于鉴权功能的移动应用部分的信令。其中包括了消息流程、消息和参数的定义及具体的设备处理要求。本规范适用于中国电信cdma2000移动通信网的技术试验、技术框架谈判、选型和建设,并可作为MAP接口鉴权功能IOT测试等标准、规范制定的参考。2. 引用标准和编制说明下列文件中的条款通过本标准的引用而成为本标准的条款。凡是
4、注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD/T 1031-1999800MHz CDMA数字蜂窝移动通信网移动应用部分技术要求中国电信cdma2000核心网络接口协议技术规范移动应用部分(MAP)YD/T 1030-1999800MHz CDMA数字蜂窝移动通信网接口技术要求:空中接口TIA/EIA/IS-95-BMobile Station-Base Station Compatibility Standard for Wideban
5、d Spread Spectrum Cellular Systems3GPP2 C.S0004-CSignaling Link Access Control(LAC) Standard for CDMA2000 Spread Spectrum Cellular Systems800MHz CDMA数字蜂窝移动通信网UIM卡技术要求(增强版第一分册)后续章节的各个表格中,l “要求”表示本规范要求某一实体完全顺从某一协议标准的某一章节的内容和规定(如果协议中规定某一实体动作为“must”或“must not”,实体必须顺从;如果协议中的描述为“should”或“may”,建议实体顺从协议的建议;
6、如果有备注存在,实体需要顺从备注的要求:)l “部分要求”表示本规范要求某一实体顺从某一协议标准的某一章节的内容和规定,但不是完全支持(可能只是暂时的),并有相应的解释说明给出。l “暂不要求”表示本规范暂时不要求某一实体支持某一协议标准的某一章节的内容和规定;当所涉及的行为发生时,实体可以拒绝并给予响应。如果有特殊要求,将在各章节进行单独规定。l “不要求”表示本规范不要求某一实体支持某一协议标准的某一章节的内容和规定。l “不适用”表示某一协议标准的某一章节的内容和规定不适用于某一实体。l “”表示某一协议标准的某一章节的标题或描述性文字。3. 缩略语ACAuthentication Ce
7、nter鉴权中心BSBase Station基站HLRHome Location Register归属位置寄存器IMSIInternational Mobile Subscriber Identity国际移动用户识别码MDNMobile Directory Number移动用户号码MINMobile Identify Number移动识别号码MSMobile Station移动台MSCMobile Switch Center移动交换中心VLRVisitor Location Register拜访位置寄存器4. 移动台鉴权程序鉴权是一种移动台和核心网之间的信息交换过程,用于证实移动台的识别。仅当
8、证明移动台和核心网具有相同的共用加密数据组时,鉴权过程才是成功的。本章规定了移动台每一次使用鉴权特征程序(Auth Signature Procedure)的输入参数及对应的鉴权程序。本章引用标准有:YD/T 1030-1999,800MHz CDMA数字蜂窝移动通信网接口技术要求:空中接口TIA/EIA/IS-95-B,Mobile Station-Base Station Compatibility Standard for Wideband Spread Spectrum Cellular Systems3GPP2 C.S0004-C,Signaling Link Access Cont
9、rol(LAC) Standard for CDMA2000 Spread Spectrum Cellular Systems4.1 800MHz CDMA数字蜂窝移动通信网接口技术要求:空中接口4.2Mobile Station-Base Station Compatibility Standard for Wideband Spread Spectrum Cellular Systems4.3Signaling Link Access Control(LAC) Standard for CDMA2000 Spread Spectrum Cellular Systems5. 核心网鉴权流程本
10、章规定了MSC/VLR与HLR/AC之间的C/D接口鉴权流程,重点是HLR返回authreq响应消息的处理,以及MSC对鉴权失败处理的特殊要求。本章引用标准有:中国电信cdma2000核心网络接口协议技术规范移动应用部分(MAP)5.1信令流程详见:企标中国电信cdma2000核心网络接口协议技术规范移动应用部分(MAP)5.2 消息处理5.2.1 鉴权申请消息的处理5.2.1.1 调用实体当MSC收到移动台发来第一个完全层3信息时,这消息包括CM业务请求消息,寻呼响应消息或位置更新请求消息,或收到ADDS传送消息时,此时MSC没有VLR用户数据;或MSC不能执行CAVE、处于SSD不共享模式
11、,MSC/VLR向HLR/AC发送AUTHREQ消息,调用HLR/AC对移动台进行鉴权。主要参数:- ESN 本参数表示发起鉴权的用户的电子序列号码。- MIN本参数表示发起鉴权的用户的移动用户识别码。- MSC ID 本参数表示发起鉴权的用户所在的服务MSC- 系统接入类型 鉴权类型,比如3表示登记鉴权、4表示始呼鉴权、5表示终呼鉴权、8表示短信响应鉴权。- 系统接入能力- D比特,CAVE算法0表示不能执行CAVE,不能共享SSD;1表示可以执行CAVE,能共享SSD- E比特,共享SSD。 0表示当前VLR里SSD不共享,1表示SSD共享。- 鉴权响应 移动台执行CAVE算法后的输出结果
12、。- 随机数 由BSC分配,移动台要将它用于鉴权的随机数发上来。- 数字(拨号) 接入类型为闪动请求或始呼鉴权时,才携带用户所拨的被叫号码。根据第四章规定,只有使用ORM和DBM消息,鉴权特征程序的输入参数:AUTH_DATA,才使用所拨的被叫号码数字。因此,本规范规定通过业务信道发送短信和控制信道发送短信的系统接入类型均为4。对于数据业务,通过业务信道1X上网时鉴权的系统接入类型为4,通过EVDO上网时鉴权的系统接入类型为5。5.2.1.2 响应实体HLR收到AUTHREQ消息后,核实由MS所报告的MIN和ESN。然后AC用RAND和当前存储的SSD-A、MS的ESN、MIN1执行CAVE产
13、生登记鉴权结果(AUTHR),AC判断从MS收到的AUTHR是否符合它执行CAVE的结果。HLR通过authreq响应消息向MSC/VLR返回鉴权结果。authreq响应消息携带不同的参数表示不同的鉴权结果,共有以下5种场景:1、AUTHR匹配,鉴权成功,且系统接入能力参数表明VLR可以执行CAVE、能共享SSD,HLR返回authreq响应携带主要参数- 共享保密数据HLR将自身保存的SSD插入到VLR,与VLR共享SSD。- 鉴权算法版本当authreq响应包含SSD参数时,同时加入这个参数。2、AUTHR匹配,鉴权成功,且系统接入能力参数表明VLR不能执行CAVE、不能共享SSD,HLR
14、返回authreq响应携带主要参数- SSD不共享 指示VLR应当删除SSD3、AUTHR不匹配,鉴权失败,AC发起SSD更新,且系统接入能力参数表明VLR可以执行CAVE、能共享SSD,HLR返回authreq响应携带主要参数- SSD随机数AC用来生成新SSD的随机数,下发给移动台,供移动台生成新SSD用。- 独特查询随机数 下发给移动台,供移动台执行独特查询CAVE算法的输入之一。- 独特查询鉴权响应 这个参数由AC用SSD参数和RANDU参数执行CAVE查询产生。- 共享保密数据HLR将自身保存的SSD插入到VLR,与VLR共享SSD。- 鉴权算法版本当authreq响应包含SSD参数
15、时,同时加入这个参数。4、AUTHR不匹配,鉴权失败,AC发起SSD更新,且系统接入能力参数表明VLR不能执行CAVE、不共享SSD,HLR返回authreq响应携带主要参数- SSD随机数AC用来生成新SSD的随机数,下发给移动台,供移动台生成新SSD用。- 独特查询随机数下发给移动台,供移动台执行独特查询CAVE算法的输入之一。5、AUTHR不匹配,鉴权失败,直接拒绝移动台接入,HLR返回authreq响应携带主要参数- 接入否定指示MSC应当释放分配给这次呼叫的资源。接入否定(DENACC)参数及参数值的定义详见企标中国电信cdma2000核心网络接口协议技术规范移动应用部分(MAP)第
16、10.52节,共有10个有效鉴权失败原因。HLR对系统接入类型为2、4、5的鉴权失败处理,必须先进行SSD更新,SSD更新失败才返回接入否定;对系统接入类型为3、6、7、8的鉴权失败处理,原则上可以直接返回接入否定。5.2.2 鉴权失败报告消息的处理5.2.2.1 调用实体当MSC收到移动台发来第一个完全层3信息时,这消息包括CM业务请求消息,寻呼响应消息或位置更新请求消息,或收到ADDS传送消息时,且MSC可以执行CAVE、处于SSD共享模式,但由于某种原因,鉴权结果为失败,或缺失必要的鉴权参数。此时MSC向HLR发送鉴权失败报告(AFREPORT)消息,报告关于移动台的鉴权失败。主要参数:
17、- ESN 本参数表示发起鉴权的用户的电子序列号码。- MIN本参数表示发起鉴权的用户的移动用户识别码。- 报告类型 本参数表示鉴权失败的具体原因- 系统接入类型 本参数表示本次鉴权的类型,比如3表示登记鉴权、4表示始呼鉴权、5表示终呼鉴权、8表示短信响应鉴权。- 系统接入能力- D比特,CAVE算法0表示不能执行CAVE,不能共享SSD;1表示可以执行CAVE,能共享SSD- E比特,共享SSD。 0表示当前VLR里SSD不共享,1表示SSD共享。报告原因(RPTTYP)参数及参数值的定义详见企标中国电信cdma2000核心网络接口协议技术规范移动应用部分(MAP)第10.105节,共有16
18、个有效鉴权失败原因(其中含3个保留值)。5.2.2.2 响应实体HLR收到AFREPORT消息,可根据预定的策略向移动台发起SSD更新或直接拒绝移动台接入,afreport响应消息携带不同的参数表示不同的失败处理,共有以下3种场景:1、鉴权失败,系统接入类型为2、4、5,AC发起SSD更新,且系统接入能力参数表明VLR可以执行CAVE、能共享SSD,HLR返回afreport响应携带主要参数- SSD随机数AC用来生成新SSD的随机数,下发给移动台,供移动台生成新SSD用。- 独特查询随机数 下发给移动台,供移动台执行独特查询CAVE算法的输入之一。- 独特查询鉴权响应 这个参数由AC用SSD
19、参数和RANDU参数执行CAVE查询产生- 共享保密数据HLR将自身保存的SSD插入到VLR,与VLR共享SSD。- 鉴权算法版本当afreport响应包含SSD参数时,同时加入这个参数。- 终端类型 指明MS支持的空中接口标准,如IS95、IS95A、IS2000。2、鉴权失败,系统接入类型为2、4、5,AC发起SSD更新,且系统接入能力参数表明VLR不能执行CAVE、不共享SSD,HLR返回afreport响应携带主要参数- SSD随机数AC用来生成新SSD的随机数,下发给移动台,供移动台生成新SSD用。- 独特查询随机数下发给移动台,供移动台执行独特查询CAVE算法的输入之一。- 终端类
20、型 指明MS支持的空中接口标准,如IS95、IS95A、IS2000。3、鉴权失败,系统接入类型为3、6、7、8,直接拒绝移动台接入,HLR返回afreport响应携带主要参数- 接入否定指示MSC应当释放分配给这次呼叫的资源。- 终端类型指明MS支持的空中接口标准,如IS95、IS95A、IS2000。HLR对系统接入类型为2、4、5的鉴权失败处理,必须先进行SSD更新,SSD更新失败才返回接入否定;对系统接入类型为3、6、7、8的鉴权失败处理,原则上可以直接返回接入否定。5.2.3 鉴权状态报告消息的处理5.2.3.1 调用实体MSC使用ASREPORT消息报告一个鉴权操作的结果。主要参数
21、:- ESN 本参数表示服务用户的电子序列号码。- MIN本参数表示服务用户的移动用户识别码。- 系统接入能力- D比特,CAVE算法0表示不能执行CAVE,不能共享SSD;1表示可以执行CAVE,能共享SSD- E比特,共享SSD。 0表示当前VLR里SSD不共享,1表示SSD共享。- SSD更新报告指明SSD更新的结果:1、没有进行SSD更新;2、SSD更新没有响应;3 SSD更新成功;4、SSD更新失败。- 独特查询报告指明AC或VLR发起的独特查询的结果:1、没有进行独特查询;2、进行独特查询但是没有收到响应;3、成功;4、失败。为了避免引起歧义,本规范规定MSC报告的结果只能是“成功
22、”或“失败”。任何原因导致SSD更新没有成功都必须归类到SSD更新失败,任何原因导致独特查询没有成功都必须归类到失败。简而言之,非“3”即“4”。5.2.3.2 响应实体HLR收到ASREPORT消息,可根据预定的策略向移动台发起SSD更新或直接拒绝移动台接入,afreport响应消息携带不同的参数表示不同的失败处理,共有以下3种场景:1、鉴权失败,AC发起SSD更新,且系统接入能力参数表明VLR可以执行CAVE、能共享SSD,HLR返回asreport响应携带主要参数- SSD随机数AC用来生成新SSD的随机数,下发给移动台,供移动台生成新SSD用。- 独特查询随机数 下发给移动台,供移动台
23、执行独特查询CAVE算法的输入之一。- 独特查询鉴权响应 这个参数由AC用SSD参数和RANDU参数执行CAVE查询产生- 共享保密数据HLR将自身保存的SSD插入到VLR,与VLR共享SSD。- 鉴权算法版本当asreport响应包含SSD参数时,同时加入这个参数。2、鉴权失败,AC发起SSD更新,且系统接入能力参数表明VLR不能执行CAVE、不共享SSD,HLR返回asreport响应携带主要参数- SSD随机数AC用来生成新SSD的随机数,下发给移动台,供移动台生成新SSD用。- 独特查询随机数下发给移动台,供移动台执行独特查询CAVE算法的输入之一。3、鉴权失败,直接拒绝移动台接入,H
24、LR返回afreport响应携带主要参数- 接入否定指示MSC应当释放分配给这次呼叫的资源原先要求HLR对SSD更新未尝试判作失败,因MSC已经改为非3即4,做了规避,因厂家要求,此处就维持现状了,即华为、阿朗HLR对SSD更新未尝试会判作成功。目前AN-AAA会回SSD更新未尝试。5.2.4 鉴权指令消息的处理5.2.4.1 调用实体 HLR使用AUTHDIR消息修改移动台的鉴权参数,例如更新SSD、发起独特查询或撤消SSD共享。1、AC发起SSD更新,且VLR可以执行CAVE、能共享SSD,HLR发送AUTHDIR消息携带主要参数- ESN 本参数表示服务用户的电子序列号码。- MIN本参
25、数表示服务用户的移动用户识别码。- SSD随机数AC用来生成新SSD的随机数,下发给移动台,供移动台生成新SSD用。- 独特查询随机数 下发给移动台,供移动台执行独特查询CAVE算法的输入之一。- 独特查询鉴权响应 这个参数由AC用SSD参数和RANDU参数执行CAVE查询产生。- 共享保密数据HLR将新的SSD插入到VLR,与VLR共享SSD。- 鉴权算法版本当authreq响应包含SSD参数时,同时加入这个参数。2、AC发起SSD更新,且VLR不能执行CAVE、不共享SSD,HLR发送AUTHDIR消息携带主要参数- ESN 本参数表示服务用户的电子序列号码。- MIN本参数表示服务用户的
26、移动用户识别码。- SSD随机数AC用来生成新SSD的随机数,下发给移动台,供移动台生成新SSD用。- 独特查询随机数下发给移动台,供移动台执行独特查询CAVE算法的输入之一。- 独特查询鉴权响应 这个参数由AC用SSD参数和RANDU参数执行CAVE查询产生。3、AC撤销SSD共享,HLR发送AUTHDIR消息携带主要参数- ESN 本参数表示服务用户的电子序列号码。- MIN本参数表示服务用户的移动用户识别码。- SSD不共享 指示VLR应当删除SSD。5.2.4.2 响应实体MSC/VLR收到AUTHDIR消息后,返回空的authdir响应。5.3 设备要求5.3.1 对HLR的要求HL
27、R在各种场景下发送信令参数的要求,详见本规范第5.2节的要求。由于目前MSC均不支持控制信道更新SSD,HLR对系统接入类型为2、4、5的鉴权失败处理,必须先进行SSD更新,SSD更新失败再返回接入否定;对系统接入类型为3、6、7、8的鉴权失败处理,原则上直接返回接入否定。对于新用户,必须在AC中保留新用户标志和SSD更新次数。当新用户开机登记鉴权失败时,HLR仍允许用户接入网络,并在新用户第一次打电话始呼鉴权的时候,对新用户进行SSD更新操作。以保证AC和移动台中的SSD相同。在成功进行了一次SSD更新操作以后,可以删除新用户标志。如果SSD更新失败,还可以再次发起SSD更新操作。HLR/A
28、C对SSD更新失败次数进行计数,在一次或多次业务中总共累计5次SSD更新失败,AC永久拒绝用户接入。但其中只要任意一次SSD更新成功,HLR/AC必须对SSD更新失败计数器清零。5次为建议值,可以通过数据配置修改。5.3.2 对MSC/VLR的要求MSC细分鉴权类型分别设置开关:MSC判断位置更新请求消息的注册类型参数,对注册类型为基于时间的位置更新请求消息,能够设置开关。基于目前终端的现状,MSC对开机登记鉴权的失败处理应设置开关。开机登记鉴权失败且开关关闭,MSC仍回位置更新接受消息,允许移动台接入网络。登记鉴权失败且开关打开,MSC应给移动台回位置更新拒绝消息,原因值为3,不允许移动台接入网络。MSC对接入类型为4的始呼鉴权,鉴权和业务处理要求如下:始呼鉴权成功或SSD更新成功,才能继续业务处理。当AUTHR不匹配,MSC发送鉴权失败报告消息。MSC收到HLR下发的SSD更新请求后,指配业务信道,进行SSD更新。只有SSD更新成功或HLR返回成功的响应(携带SSD或NOSSD参数),MSC才允许发出IAM消息或SMDPP消息。如果SSD更新失败或收到HLR返回的接入否定,MSC应该对业务进行拦截,释放资源。
