CDMA移动网络鉴权技术规范.doc

cdma 移移动动网网络鉴权络鉴权技技术规术规范范 中国中国电电信集信集团团公司公司 cdma移动网络鉴权技术规范 中国电信交换支撑中心1 前 言 本标准是中国电信 cdma 核心网络接口协议系列标准的补充和组成部分。主要描述 cdma2000 移动通信网各实体间为完成移动台的鉴权功能，采用 no.7 信令方式传递移动应 用部分(map)消息时的技术规范。 本标准主要依据 yd/t 1570-2007 cdma2000 数字蜂窝移动通信网技术要求：移动应 用部分（map） 编制而成。 中国电信 cdma2000 核心网的鉴权还包括 an-aaa，该设备另有鉴权的技术要求，本 标准不再涉及这方面的内容。 本标准由中国电信集团公司提出并归口。 本标准起草单位： 中国电信股份有限公司上海研究院 本标准主要起草人：毛安平 cdma移动网络鉴权技术规范 中国电信交换支撑中心2 目录 1.范围范围3 2.引用标准和编制说明引用标准和编制说明3 3.缩略语缩略语4 4.移动台鉴权程序移动台鉴权程序4 4.1 800mhz cdma 数字蜂窝移动通信网接口技术要求：空中接口 .5 4.2mobile station-base station compatibility standard for wideband spread spectrum cellular systems5 4.3signaling link access control(lac) standard for cdma2000 spread spectrum cellular systems5 5.核心网鉴权流程核心网鉴权流程6 5.1 信令流程6 5.2 消息处理.6 5.2.1 鉴权申请消息的处理6 5.2.2 鉴权失败报告消息的处理9 5.2.3 鉴权状态报告消息的处理11 5.2.4 鉴权指令消息的处理13 5.3 设备要求.14 5.3.1 对hlr的要求14 5.3.2 对msc/vlr的要求.15 cdma移动网络鉴权技术规范 中国电信交换支撑中心3 1. 范围范围 本规范主要规定了cdma2000移动通信网的交换中心、位置寄存器、鉴权中 心之间关于鉴权功能的移动应用部分的信令。其中包括了消息流程、消息和参 数的定义及具体的设备处理要求。 本规范适用于中国电信cdma2000移动通信网的技术试验、技术框架谈判、 选型和建设，并可作为map接口鉴权功能iot测试等标准、规范制定的参考。 2. 引用标准和编制说明引用标准和编制说明 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的 引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本 标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新 版本。凡是不注日期的引用文件，其最新版本适用于本标准。 yd/t 1031-1999 800mhz cdma数字蜂窝移动通信网移动应用部分技术要求 中国电信cdma2000核心网络接口协议技术规范移动应用部 分（map） yd/t 1030-1999 800mhz cdma数字蜂窝移动通信网接口技术要求：空中接口 tia/eia/is-95-b mobile station-base station compatibility standard for wideband spread spectrum cellular systems 3gpp2 c.s0004-c signaling link access control(lac) standard for cdma2000 spread spectrum cellular systems 800mhz cdma数字蜂窝移动通信网uim卡技术要求(增强版第 一分册) 后续章节的各个表格中， “要求要求”表示本规范要求某一实体完全顺从某一协议标准的某一章节 的内容和规定（如果协议中规定某一实体动作为“must”或“must not”，实体必须顺从；如果协议中的描述为“should”或“may”， 建议实体顺从协议的建议；如果有备注存在，实体需要顺从备注的要 cdma移动网络鉴权技术规范 中国电信交换支撑中心4 求：） “部分要求部分要求”表示本规范要求某一实体顺从某一协议标准的某一章节 的内容和规定，但不是完全支持（可能只是暂时的），并有相应的解 释说明给出。 “暂不要求暂不要求”表示本规范暂时不要求某一实体支持某一协议标准的某 一章节的内容和规定；当所涉及的行为发生时，实体可以拒绝并给予 响应。如果有特殊要求，将在各章节进行单独规定。 “不要求不要求”表示本规范不要求某一实体支持某一协议标准的某一章节 的内容和规定。 “不适用不适用”表示某一协议标准的某一章节的内容和规定不适用于某一 实体。 “”表示某一协议标准的某一章节的标题或描述性文字。 3. 缩略语缩略语 acauthentication center鉴权中心 bsbase station基站 hlrhome location register归属位置寄存器 imsiinternational mobile subscriber identity国际移动用户识别码 mdnmobile directory number移动用户号码 minmobile identify number移动识别号码 msmobile station移动台 mscmobile switch center移动交换中心 vlrvisitor location register拜访位置寄存器 4. 移动台鉴权程序移动台鉴权程序 鉴权是一种移动台和核心网之间的信息交换过程，用于证实移动台的识别。 仅当证明移动台和核心网具有相同的共用加密数据组时，鉴权过程才是成功的。 本章规定了移动台每一次使用鉴权特征程序（auth signature procedure）的 输入参数及对应的鉴权程序。 cdma移动网络鉴权技术规范 中国电信交换支撑中心5 本章引用标准有： yd/t 1030-1999，800mhz cdma数字蜂窝移动通信网接口技术要求：空中 接口 tia/eia/is-95-b，mobile station-base station compatibility standard for wideband spread spectrum cellular systems 3gpp2 c.s0004-c，signaling link access control(lac) standard for cdma2000 spread spectrum cellular systems 4.1 800mhz cdma数字蜂窝移动通信网接口技术要求：空中接数字蜂窝移动通信网接口技术要求：空中接 口口 4.2mobile station-base station compatibility standard for wideband spread spectrum cellular systems cdma移动网络鉴权技术规范 中国电信交换支撑中心6 4.3signaling link access control(lac) standard for cdma2000 spread spectrum cellular systems 5. 核心网鉴权流程核心网鉴权流程 本章规定了msc/vlr与hlr/ac之间的c/d接口鉴权流程，重点是hlr返回 authreq响应消息的处理，以及msc对鉴权失败处理的特殊要求。 本章引用标准有： 中国电信cdma2000核心网络接口协议技术规范移动应用部分（map） 5.1信令流程信令流程 详见：企标中国电信cdma2000核心网络接口协议技术规范移动应用部 分（map） 5.2 消息处理消息处理 5.2.1 鉴权申请消息的处理鉴权申请消息的处理 5.2.1.1 调用实体调用实体 当msc收到移动台发来第一个完全层3信息时，这消息包括cm业务请求消息， 寻呼响应消息或位置更新请求消息，或收到adds传送消息时，此时msc没有vlr cdma移动网络鉴权技术规范 中国电信交换支撑中心7 用户数据；或msc不能执行cave、处于ssd不共享模式，msc/vlr向hlr/ac发送 authreq消息，调用hlr/ac对移动台进行鉴权。 主要参数： -esn 本参数表示发起鉴权的用户的电子序列号码。 -min 本参数表示发起鉴权的用户的移动用户识别码。 -msc id 本参数表示发起鉴权的用户所在的服务msc -系统接入类型 鉴权类型，比如3表示登记鉴权、4表示始呼鉴权、5表示终呼鉴权、 8表示短信响应鉴权。 -系统接入能力 -d比特，cave算法 0表示不能执行cave，不能共享ssd；1表示可以执行cave，能共享 ssd -e比特，共享ssd。 0表示当前vlr里ssd不共享，1表示ssd共享。 -鉴权响应 移动台执行cave算法后的输出结果。 -随机数 由bsc分配，移动台要将它用于鉴权的随机数发上来。 -数字（拨号） 接入类型为闪动请求或始呼鉴权时，才携带用户所拨的被叫号码。 根据第四章规定，只有使用orm和dbm消息，鉴权特征程序的输入参数： auth_data，才使用所拨的被叫号码数字。因此，本规范规定通过业务信道发送 短信和控制信道发送短信的系统接入类型均为4。 对于数据业务，通过业务信道1x上网时鉴权的系统接入类型为4，通过evdo 上网时鉴权的系统接入类型为5。 cdma移动网络鉴权技术规范 中国电信交换支撑中心8 5.2.1.2 响应实体响应实体 hlr收到authreq消息后，核实由ms所报告的min和esn。然后ac用rand和当 前存储的ssd-a、ms的esn、min1执行cave产生登记鉴权结果(authr)，ac判断从 ms收到的authr是否符合它执行cave的结果。hlr通过authreq响应消息向 msc/vlr返回鉴权结果。authreq响应消息携带不同的参数表示不同的鉴权结果， 共有以下5种场景： 1、authr匹配，鉴权成功，且系统接入能力参数表明vlr可以执行cave、能 共享ssd，hlr返回authreq响应携带主要参数 -共享保密数据 hlr将自身保存的ssd插入到vlr，与vlr共享ssd。 -鉴权算法版本 当authreq响应包含ssd参数时，同时加入这个参数。 2、authr匹配，鉴权成功，且系统接入能力参数表明vlr不能执行cave、不 能共享ssd，hlr返回authreq响应携带主要参数 -ssd不共享 指示vlr应当删除ssd 3、authr不匹配，鉴权失败，ac发起ssd更新，且系统接入能力参数表明 vlr可以执行cave、能共享ssd，hlr返回authreq响应携带主要参数 -ssd随机数 ac用来生成新ssd的随机数，下发给移动台，供移动台生成新ssd用。 -独特查询随机数 下发给移动台，供移动台执行独特查询cave算法的输入之一。 -独特查询鉴权响应 这个参数由ac用ssd参数和randu参数执行cave查询产生。 -共享保密数据 hlr将自身保存的ssd插入到vlr，与vlr共享ssd。 -鉴权算法版本 当authreq响应包含ssd参数时，同时加入这个参数。 cdma移动网络鉴权技术规范 中国电信交换支撑中心9 4、authr不匹配，鉴权失败，ac发起ssd更新，且系统接入能力参数表明 vlr不能执行cave、不共享ssd，hlr返回authreq响应携带主要参数 -ssd随机数 ac用来生成新ssd的随机数，下发给移动台，供移动台生成新ssd用。 -独特查询随机数 下发给移动台，供移动台执行独特查询cave算法的输入之一。 5、authr不匹配，鉴权失败，直接拒绝移动台接入，hlr返回authreq响应 携带主要参数 -接入否定 指示msc应当释放分配给这次呼叫的资源。 接入否定（denacc）参数及参数值的定义详见企标中国电信cdma2000核 心网络接口协议技术规范移动应用部分（map）第10.52节，共有10个有效 鉴权失败原因。 hlr对系统接入类型为2、4、5的鉴权失败处理，必须先进行ssd更新，ssd 更新失败才返回接入否定；对系统接入类型为3、6、7、8的鉴权失败处理，原 则上可以直接返回接入否定。 5.2.2 鉴权失败报告消息的处理鉴权失败报告消息的处理 5.2.2.1 调用实体调用实体 当msc收到移动台发来第一个完全层3信息时，这消息包括cm业务请求消息， 寻呼响应消息或位置更新请求消息，或收到adds传送消息时，且msc可以执行 cave、处于ssd共享模式，但由于某种原因，鉴权结果为失败，或缺失必要的鉴 权参数。此时msc向hlr发送鉴权失败报告（afreport）消息，报告关于移动台 的鉴权失败。 主要参数： -esn 本参数表示发起鉴权的用户的电子序列号码。 cdma移动网络鉴权技术规范 中国电信交换支撑中心10 -min 本参数表示发起鉴权的用户的移动用户识别码。 -报告类型 本参数表示鉴权失败的具体原因 -系统接入类型 本参数表示本次鉴权的类型，比如3表示登记鉴权、4表示始呼鉴权、 5表示终呼鉴权、8表示短信响应鉴权。 -系统接入能力 -d比特，cave算法 0表示不能执行cave，不能共享ssd；1表示可以执行cave，能共享 ssd -e比特，共享ssd。 0表示当前vlr里ssd不共享，1表示ssd共享。 报告原因（rpttyp）参数及参数值的定义详见企标中国电信cdma2000核 心网络接口协议技术规范移动应用部分（map）第10.105节，共有16个有效 鉴权失败原因（其中含3个保留值）。 5.2.2.2 响应实体响应实体 hlr收到afreport消息，可根据预定的策略向移动台发起ssd更新或直接拒 绝移动台接入，afreport响应消息携带不同的参数表示不同的失败处理，共有 以下3种场景： 1、鉴权失败，系统接入类型为2、4、5，ac发起ssd更新，且系统接入能力 参数表明vlr可以执行cave、能共享ssd，hlr返回afreport响应携带主要参 数 -ssd随机数 ac用来生成新ssd的随机数，下发给移动台，供移动台生成新ssd用。 -独特查询随机数 cdma移动网络鉴权技术规范 中国电信交换支撑中心11 下发给移动台，供移动台执行独特查询cave算法的输入之一。 -独特查询鉴权响应 这个参数由ac用ssd参数和randu参数执行cave查询产生 -共享保密数据 hlr将自身保存的ssd插入到vlr，与vlr共享ssd。 -鉴权算法版本 当afreport响应包含ssd参数时，同时加入这个参数。 -终端类型 指明ms支持的空中接口标准，如is95、is95a、is2000。 2、鉴权失败，系统接入类型为2、4、5，ac发起ssd更新，且系统接入能力 参数表明vlr不能执行cave、不共享ssd，hlr返回afreport响应携带主要参 数 -ssd随机数 ac用来生成新ssd的随机数，下发给移动台，供移动台生成新ssd用。 -独特查询随机数 下发给移动台，供移动台执行独特查询cave算法的输入之一。 -终端类型 指明ms支持的空中接口标准，如is95、is95a、is2000。 3、鉴权失败，系统接入类型为3、6、7、8，直接拒绝移动台接入，hlr返 回afreport响应携带主要参数 -接入否定 指示 msc 应当释放分配给这次呼叫的资源。 -终端类型 指明 ms 支持的空中接口标准，如 is95、is95a、is2000。 hlr对系统接入类型为2、4、5的鉴权失败处理，必须先进行ssd更新，ssd 更新失败才返回接入否定；对系统接入类型为3、6、7、8的鉴权失败处理，原 则上可以直接返回接入否定。 cdma移动网络鉴权技术规范 中国电信交换支撑中心12 5.2.3 鉴权状态报告消息的处理鉴权状态报告消息的处理 5.2.3.1 调用实体调用实体 msc使用asreport消息报告一个鉴权操作的结果。 主要参数： -esn 本参数表示服务用户的电子序列号码。 -min 本参数表示服务用户的移动用户识别码。 -系统接入能力 -d比特，cave算法 0表示不能执行cave，不能共享ssd；1表示可以执行cave，能共享 ssd -e比特，共享ssd。 0表示当前vlr里ssd不共享，1表示ssd共享。 -ssd更新报告 指明ssd更新的结果：1、没有进行ssd更新；2、ssd更新没有响应； 3 ssd更新成功；4、ssd更新失败。 -独特查询报告 指明ac或vlr发起的独特查询的结果：1、没有进行独特查询；2、进 行独特查询但是没有收到响应；3、成功；4、失败。 为了避免引起歧义，本规范规定msc报告的结果只能是“成功”或“失败”。 任何原因导致ssd更新没有成功都必须归类到ssd更新失败，任何原因导致独特 查询没有成功都必须归类到失败。简而言之，非“3”即“4”。 5.2.3.2 响应实体响应实体 hlr收到asreport消息，可根据预定的策略向移动台发起ssd更新或直接拒 绝移动台接入，afreport响应消息携带不同的参数表示不同的失败处理，共有 以下3种场景： 1、鉴权失败，ac发起ssd更新，且系统接入能力参数表明vlr可以执行 comment map1: 原先要求 hlr 对 ssd 更新未尝试判作失败，因 msc 已经改为非 3 即 4，做了规避，因厂 家要求，此处就维持现状了，即华为、 阿朗 hlr 对 ssd 更新未尝试会判作 成功。目前 an-aaa 会回 ssd 更新 未尝试 cdma移动网络鉴权技术规范 中国电信交换支撑中心13 cave、能共享ssd，hlr返回asreport响应携带主要参数 -ssd随机数 ac用来生成新ssd的随机数，下发给移动台，供移动台生成新ssd用。 -独特查询随机数 下发给移动台，供移动台执行独特查询cave算法的输入之一。 -独特查询鉴权响应 这个参数由ac用ssd参数和randu参数执行cave查询产生 -共享保密数据 hlr将自身保存的ssd插入到vlr，与vlr共享ssd。 -鉴权算法版本 当asreport响应包含ssd参数时，同时加入这个参数。 2、鉴权失败，ac发起ssd更新，且系统接入能力参数表明vlr不能执行 cave、不共享ssd，hlr返回asreport响应携带主要参数 -ssd随机数 ac用来生成新ssd的随机数，下发给移动台，供移动台生成新ssd用。 -独特查询随机数 下发给移动台，供移动台执行独特查询cave算法的输入之一。 3、鉴权失败，直接拒绝移动台接入，hlr返回afreport响应携带主要参数 -接入否定 指示 msc 应当释放分配给这次呼叫的资源。 5.2.4 鉴权指令消息的处理鉴权指令消息的处理 5.2.4.1 调用实体调用实体 hlr使用authdir消息修改移动台的鉴权参数，例如更新ssd、发起独特查 询或撤消ssd共享。 1、ac发起ssd更新，且vlr可以执行cave、能共享ssd，hlr发送authdir 消息携带主要参数 -esn cdma移动网络鉴权技术规范 中国电信交换支撑中心14 本参数表示服务用户的电子序列号码。 -min 本参数表示服务用户的移动用户识别码。 -ssd随机数 ac用来生成新ssd的随机数，下发给移动台，供移动台生成新ssd用。 -独特查询随机数 下发给移动台，供移动台执行独特查询cave算法的输入之一。 -独特查询鉴权响应 这个参数由ac用ssd参数和randu参数执行cave查询产生。 -共享保密数据 hlr将新的ssd插入到vlr，与vlr共享ssd。 -鉴权算法版本 当authreq响应包含ssd参数时，同时加入这个参数。 2、ac发起ssd更新，且vlr不能执行cave、不共享ssd，hlr发送authdir 消息携带主要参数 -esn 本参数表示服务用户的电子序列号码。 -min 本参数表示服务用户的移动用户识别码。 -ssd随机数 ac用来生成新ssd的随机数，下发给移动台，供移动台生成新ssd用。 -独特查询随机数 下发给移动台，供移动台执行独特查询cave算法的输入之一。 -独特查询鉴权响应 这个参数由ac用ssd参数和randu参数执行cave查询产生。 3、ac撤销ssd共享，hlr发送authdir消息携带主要参数 -esn cdma移动网络鉴权技术规范 中国电信交换支撑中心15 本参数表示服务用户的电子序列号码。 -min 本参数表示服务用户的移动用户识别码。 -ssd不共享 指示vlr应当删除ssd。