USIM卡的鑒權需求對GSM/TD-SCDMA/TD-LTE融合網絡影響

黃曉弟, 彭鵬, 張燕

（中國移動通信集團廣東有限公司珠海分公司，珠海 519015）

USIM卡的鑒權需求對GSM/TD-SCDMA/TD-LTE融合網絡影響

黃曉弟, 彭鵬, 張燕

（中國移動通信集團廣東有限公司珠海分公司，珠海 519015）

借助存量GSM/TD-SCDMA用戶，保證GSM/TD-SCMDA和TD-LTE網絡業務的一致性和連續性，是TDLTE網絡建設的主要原則之一。本文首先理論介紹3GPP定義USIM卡在GSM/TD-SCDMA融合網絡中鑒權與加密關鍵技術和TD-LTE的鑒權與加密原則，其次討論USIM卡在GSM/TD-SCDMA/TD-LTE網絡中互操作時的鑒權與加密需求，最后提出利用UDC HLR解決方案建設GSM/TD-SCDMA/TD-LTE融合用戶數據庫解決USIM卡在GSM/TD-SCDMA/TD-LTE互操作時的接入網安全問題。

三網融合；TD-LTE；鑒權與加密；UDC HLR

1 背景

隨著移動網絡的演進，網絡接入類型多樣化、用戶速率大幅提升以及應用更加豐富等特點使得移動網絡面臨越來越多的安全問題，特別是接入網絡的安全問題。為解決越來越多的接入網絡的安全威脅，接入網絡的安全策略也隨著移動網絡演進不斷增強。GSM網絡采用單向鑒權與加密，TD-SCDMA網絡采用雙向鑒權、完整性保護和加密，TD-LTE網絡采用雙向鑒權、加密和完整性保護、算法協商與密鑰更新。

3GPP標準規定，對于GSM網絡，終端使用SIM卡，使用GSM安全上下文，即采用Triple參數，GSM authentication vector（GSM鑒權矢量）[RAND，SRES， Kc]完成鑒權與加密。對于TD-SCDMA網絡，終端使用(U)SIM卡，其中，SIM卡使用Triplet參數鑒權；USIM卡使用UMTS安全上下文，即Quintet參數，UMTS authentication vector（UMTS鑒權矢量）[RAND， XRES， CK， IK， AUTN]完成鑒權與加密。目前，中國移動為用戶提供不換卡、不換號、不登記使用3G業務的方式，即中國移動TD-SCDMA終端使用SIM卡，采用Triplet參數進行鑒權與加密。

3GPP標準規定，對于TD-LTE網絡，終端使用USIM卡，采用EPS-Authentication Vector（EPS鑒權矢量）[KASME， RAND， AUTN， XRES]完成鑒權與加密。由此可看出，TD-LTE的鑒權與加密機制及參數與GSM/TD-SCDMA有很大的不同。如何部署TD-LTE核心網，實現TD-LTE與GSM/TDSCDMA網絡融合與互操作，同時保障用戶接入網絡的安全，是TD-LTE建網初期就應該考慮的問題。

本文首先理論介紹3GPP定義USIM卡在GSM/ TD-SCDMA融合網絡中鑒權與加密關鍵技術和TDLTE的鑒權與加密原則，其次討論USIM卡在GSM/ TD-SCDMA/TD-LTE網絡中互操作時的鑒權與加密需求，最后提出利用UDC HLR解決方案建設GSM/ TD-SCDMA/TD-LTE融合用戶數據庫解決USIM卡在GSM/TD-SCDMA/TD-LTE互操作時的接入網安全的關鍵技術。

2 USIM卡在GSM/TD-SCDMA融合網絡中的鑒權與加密關鍵技術

3GPP TS33.102規定，當用戶使用USIM卡接入GSM或者GSM/TD-SCDMA共存網絡時，鑒權與加密機制如圖1所示。其中，HLR/AuC必須支持3G網絡（3G HLR/AuC）。

（1） USIM卡用戶開戶時，會在3G HLR/AuC中定義鑒權和密鑰協議（AKA，Authentication and Key Agreement）為1，即使用UMTS安全上下文，Quintet參數進行鑒權與加密。當3G MSC/VLR或SGSN向3G HLR/AuC請求鑒權時，3G HLR/ AuC生成Quintet參數 [RAND，XRES，CK，IK，AUTN]。當2G MSC/VLR或SGSN向3G HLR/AuC請求鑒權時，則使用GSM安全上下文，即使用Triple參數進行鑒權和加密。

（2） 如果使用支持TD-SCDMA網絡的終端和3G MSC/VLR或SGSN，不論用戶是通過GSM BSS接入還是UTRAN接入，都使用Quintet參數。當使用GSM BSS接入時，3G MSC/VLR或SGSN將[CK，IK]衍生為Kc，用GSM BSS的加密。

（3） 如果使用僅支持GSM網絡的終端，不論核心網設備為3G MSC/VLR或SGSN，還是2G MSC/ VLR或SGSN，用戶是通過GSM BSS接入還是UTRAN接入，都采用Triplet參數鑒權與加密。其中，當使用3G MSC/VLR或SGSN時，3G MSC/VLR或SGSN將[CK，IK]衍生為Kc，XRES衍生為RES。而當使用2G MSC/VLR或SGSN時，3G HLR/AuC生成Triplet參數返回給2G MSC/VLR或SGSN。

綜合分析，USIM卡在GSM/TD-SCDMA融合網絡中鑒權與加密，可以使用UMTS安全上下文或GSM安全上下文，與終端類型及核心網設備的類型相關。升級2G MSC/VLR或SGSN為3G MSC/VLR或SGSN，使用TD-SCDMA終端，是實現不斷增強的接入網絡安全必要方法。

圖1 USIM卡用戶的鑒權與加密機制

3 TD-LTE鑒權與加密需求分析

3.1 TD-LTE密鑰層次結構

圖2給出了TD-LTE鑒權和加密相關的密鑰的層結構。其中，USIM卡保存根密鑰K，UE（終端）根據K生成TD-LTE的密鑰（KASME），并根據此生成接入層信令完整性保護（KRRCint）與加密（KRRCenc），非接入層信令完整性保護（KNASint，）與加密（KNASenc）和用戶數據加密所需的密鑰（KUPint）。在網絡則，根密鑰K唯一的保存在AuC中，用于網絡則生成鑒權密鑰[CK，IK]，并發傳給LTE HSS，由LTE HSS計算密鑰KASME，發送并保存在MME中，用于生成其它密鑰，如KeNB， KNASint， KNASenc。其中，MME將KeNB由發送給eNode B，eNode B根據該密鑰生成KRRCint，KRRCenc和KUPint，用于實現eNode B和UE之間的非接入層完整性保護與加密和用戶數據加密。

圖2 TD-LTE密鑰層結構

3.2 TD-LTE鑒權與加密流程

3GPP TS 33.401規定，TD-LTE的E-UTRAN僅允許USIM卡及其應用請求接入，用戶數據存儲在LTE HSS 中，采用EPS鑒權矢量[KASME，RAND，AUTN，XRES]完成鑒權與加密。TD-LTE網絡標準的鑒權流程如下。

（1） 終端向網絡發起接入請求，MME向LTE HSS請求鑒權矢量。

（2） LTE HSS中的AuC功能模塊保存著與USIM卡中相同的鑒權密鑰K，并依據該密鑰K生成鑒權參數組[RAND，AUTN，CK，IK，XRES]，然后，HSS將[CK，IK]衍生為KASME，最終生成EPS鑒權矢量的四元鑒權參數組[RAND，AUTN，KASME，XRES]，并發送給MME。

（3） MME接收并存儲鑒權參數組，并向終端發送消息（攜帶[RAND，AUTN]）啟動鑒權流程。

（4） ME/USIM生成鑒權參數組，并與接收到的AUTN比較，完成對網絡鑒權，最后將RES參數返回給MME。

（5） MME將RES和XRES比對，相同則表示鑒權通過。隨后啟動非接入層（NAS）和接入層（AS）的加密流程。

4 GSM/TD-SCDMA/TD-LTE融合網絡的鑒權與加密關鍵技術

4.1 USIM卡在GSM/TD-SCDMA與TD-LTE互操作鑒權

與加密需求

對于多模終端，需實現USIM卡在TD-LTE與GSM/TD-SCDMA網絡之間漫游。下面以USIM卡從TD-LTE漫游至GSM/TD-SCDMA網絡PS域為例，分析USIM卡的鑒權與加密需求以及為滿足這些需求對TD-LTE和GSM/TD-SCDMA網絡的影響和可能的解決方案。USIM卡從TD-LTE網絡漫游至GSM/ TD-SCDMA網絡，3G SGSN存在兩種可能的取鑒權矢量方案，不同方法對網絡的影響不相同。

方案1：3G SGSN請求MME發送鑒權矢量。

在這種情況下，3G SGSN請求MME發送USIM卡用戶的安全上下文，其中包含EPS鑒權矢量[RAND，AUTN，KASME，XRES]，SGSN利用[AUTN，XRES]完成與USIM卡之間的鑒權過程，但SGSN需要依據接入網絡類型（UTRAN或GSM BS）將四元組中KASME衍生為TD-SCDMA加密需要的[CK，IK] 或者GSM需要的Kc，以實現后續的加密過程。同時，存在不是每次漫游都能成功從MME獲取USIM卡用戶的安全上下文問題，針對該問題，可以采用3G SGSN向3G HLR取鑒權參數解決。

方案2：3G SGSN請求HLR發送鑒權矢量。

3G SGSN請求HLR重新計算并發送USIM用戶的鑒權矢量，該方案首先需要USIM用戶數據同時定義于LTE HSS和HLR中，且需要支持生成Quintet參數的3G HLR。目前，中國移動現網HLR為2G HLR，不支持生成Quintet參數，故需要現網2G HLR升級為支持Quintet參數的3G HLR；另一方面，還要考慮USIM卡鑒權同步問題。使用USIM卡的終端收到MME或者3G MSC/VLR或SGSN發起的鑒權請求，不僅僅會比對消息中攜帶的AUTN參數來驗證網絡的合法性，還需要通過一定算法提取AUTN中的SQN，并同前一次成功鑒權后保存于終端的SQNMS進行比對，如果SQN在合理范圍內（SQN大于SQNMS），終端才回復鑒權響應成功消息。由于目前GSM/TD-SCDMA的3G HLR與LTE HSS為獨立設置，二者之間在生成AUTN時沒有相互告知SQN參數，從而會導致USIM卡漫游GSM/TD-SCDMA時對網絡鑒權失敗，進而無法實現漫游。對于該問題，可通過增加3G HLR與LTE HSS之間的接口，并在USIM卡每次生成AUTN前互相告知SQN值，但3GPP標準未規范此接口。通過上述分析可知，3G SGSN請求HLR重新發送鑒權矢量請求消息來取新的鑒權參數時，需要升級現網HLR為支持Quintet參數的3G HLR，同時需要配置LTE HSS和3G HLR之間非標準接口。

4.2 UDC HLR解決方案分析

對于上述兩種方案存在的問題，可以通過融合用戶數據庫方案解決，即在網絡中部署UDC HLR，邏輯結構如圖3所示。具有以下特點：用戶數據統一存儲在數據存儲單元；2G HLR除數據存儲模塊以外的功能處理在HLR-FE中實現，包括AuC功能實體以及與SGSN之間接口等；LTE HSS除數據存儲模塊以外的功能處理在HSS-FE中實現，包括HSS-FE與MME相連接等，但不包括AuC功能實體；HLR-FE與HSS-FE之間存在接口。

在該種邏輯架構下當MME向HSS-FE請求鑒權矢量時：HSS-FE將該消息發送給HLR-FE，由HLR-FE查詢用戶數據庫獲取K，依據K計算鑒權五元組矢量[RAND，AUTN，CK，IK，XRES]，并發送給HSS-FE；HSS-FE將[CK，IK] 衍生為KASME，并最終生成EPS鑒權參數組[KASME，RAND，AUTN，XRES]，并發送給MME，以便MME進行后續流程。

當用戶漫游至GSM/TD-SCDMA網絡時：SGSN向HLR-FE請求鑒權矢量，HLR-FE查詢用戶數據庫獲取K，并依據K計算鑒權五元組矢量[RAND，AUTN，CK，IK，XRES]，并發送給SGSN；SGSN依據用戶接入類型（UTRAN或GSM BSS）判斷是否需要將[CK，IK]衍生為Kc，進而完成后續的加密過程。而[CK，IK]衍生為Kc的衍生，現網SGSN已經支持，不需要升級或變更現網網絡。

圖3 UDC HLR邏輯功能結構

5 總結

借助存量GSM/TD-SCDMA用戶，保證GSM/ TD-SCDMA和TD-LTE網絡業務的一致性和連續性，是TD-LTE網絡建設的主要原則之一。本文首先介紹3GPP定義的USIM卡在GSM/TD-SCDMA融合網絡的鑒權與加密關鍵技術，然后介紹TD-LTE網絡的鑒權與加密原理，最后分析使用“SIM換卡不換號USIM卡”使用LTE終端在TD-LTE網絡及TD-LTE與GSM/TD-SCDMA網絡漫游時對鑒權與加密的需求對建設TD-LTE與GSM/TD-SCDMA融合網絡的影響，提出UDC HLR解決方案可實現TD-LTE網絡換卡不換號業務，能保障GSM/TD-SCDMA/TD-LTE網絡業務的一致性、連續性和接入網絡安全。

[1] TS 33.102 V11.5.1, 3G Security; Security Architecture (Release 11)[M], 2013.6.

[2] TS 23.401 V11.1.0, Evolved Universal Terrestrial Radio Access Network; (E-UTRAN) access(Release 11)[M], 2012.3.

Lantiq和ASSIA攜手推動更快捷和更方便實現Vectored VDSL

專為下一代網絡和數字家庭提供最多樣化高集成度及靈活端到端半導體解決方案組合的供應商領特公司（Lantiq)，與專為寬帶服務供應商提供領先解決方案的企業ASSIA有限公司，日前宣布了一項矢量化串擾消除系統（vectored systems）管理的合作和交叉授權協議。

全球的服務供應商正在投資于使用現有的銅線基礎設施的寬帶技術，同時正在從ADSL向下一代VDSL和帶有矢量化串擾消除系統的VDSL網絡的轉變。提供傳輸速率超過100Mbit/s的Vectored VDSL網絡，代表了一種在短時間內形成銷售收入并以高性價比的方式來回應消費者對寬帶需求快速增長。計劃提供Vectored VDSL服務的服務供應商包括德國電信、美國電話電報公司、比利時電信、荷蘭電信和瑞士電信。

Lantiq已向其DSLAM供應商客戶付運了將近200萬端口的Vectored VDSL。ASSIA的DSL Expresse管理軟件管理著全球大約20%的DSL線路。將DSL Expresse Smart Vectoring管理軟件與Lantiq的Vectored VDSL芯片組相結合，可支持寬帶服務供應商去自動化地規劃、預測、管理和優化其Vectored VDSL網絡的性能，從而確保可能實現的最佳客戶體驗并將他們的投資回報率最大化。

“通過與ASSIA合作，我們期望能夠在所有不同的部署場景下全面發揮Vectored VDSL的長處，同時為我們的客戶設定產品性能的最高標準”Lantiq首席執行官Dan Artusi 表示。“該項協議也為基于Lantiq芯片組和ASSIA軟件工具的客戶部署確保了重要的知識產權保護。”

“ASSIA非常高興能與Lantiq在產品和解決方案方面一起合作，這將使Vectored VDSL網絡的部署和管理更容易、更快捷，”ASSIA董事長兼首席執行官 John Cioffi博士表示。“作為這項協議的結果，全球的服務供應商有機會提高客戶體驗，并為數字家庭經濟地提供高性能寬帶服務。”

Requirement of USIM’s authentication affect the converged network of GSM/TD-SCDMA/TD-LTE

HUANG Xiao-di, PENG Peng, ZHANG Yan
(China Mobile Group Guangdong Co., Ltd. Zhuhai Branch, Zhuhai 519015, China)

Making full use of the GSM/TD-SCDMA subscribers, which can ensure the consistency and continuity of GSM/TD-SCDMA and TD-LTE network, is one of the main principles of TD-LTE network construction. Firstly, the paper introduces the authentication and security mechanisms of UMTS subscribers in GSM/ TD-SCDMA network, which is defne by 3GPP, and the security features and the security mechanisms of TD-LTE. Secondly, the paper discusses the authentication and security mechanisms of UMTS subscribers in the converged network of GSM/TD-SCDMA/TD-LTE, especial for the authentication and security mechanisms of UMTS subscribers switching between GSM/TD-SCDMA and TD-LTE. Finally, the paper proposes the architecture scheme that using the UDC HLR to resolve the network access security for UMTS subscribers in the converged network of GSM/TD-SCDMA/TD-LTE.

converged network of GSM/TD-SCDMA/TD-LTE; TD-LTE; authentication and encryption; UDC HLR

TN929.5

A

1008-5599（2014）02-0052-05

2014-01-01