YDT2039-2009 移动通信网 应用服务端到端通信 认证机制

YDT2039-2009 移动通信网 应用服务端到端通信 认证机制 本标准参考了3 GPP GAA认证架构，TU-TQ.9/SG17组的c-1提出的《基于移动网络应用服务端到端通信的安全技术》以及-2定义的《基于PKI的移动通信用户到服务提供者之间的端到端数据通信安全框架》。 本标准是基于移动通信网应用服务端到端安全通信的系列标准，该系列标准的名称及结构如下： YD/T2038-2009移动通信网应用服务端到端通信密钥管理YDT2039-2009移动通信网应用服务端到端通信认证机制本标准的附录A、附录B和附录C均为资料性附录。 本标准由中国通信标准化协会提出并归口。 1范围 本标准规定了移动用户与网络中各种应用业务提供者之间的端到瑞通信的一种通用认证机制，其独 立于移动网络用户的网络接入认证机制，针对不同的移动网络应用环境，可以灵活地选择端到端认证的 认证模式及实体间的认证方式。通常情况下，该认证机制也包括了移动网络认证实体的共同参与。本标准近用的业务实体包括所有基于不同移动通信标准的移动终端、移动网络以及任意的应用服务 器，其中的应用服务器包括部署于移动网络内部和位于开放网络的第三方应用服务器。适用本标准的业 务，除了移动网络为本网络用户提供的数据业务外，具体还包括：在无线局域网与移动网络交互环境下，无线局域网或移动网铭中的应用服务器为无线局域网用户或移动用户提供的业务：互联网中的应用服务器为移动用户提供的应用服务，如电子邮件服务、电子商务等：以及某些功能强大的移动终端用户可能为其他移动用户提供的应用服务，各种应用服务器之问作为中间服务代理商互相使用对方提供的应用服 务等。 2规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款，凡是注日期的引用文件，其随后所有的 修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，破励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新板本适用于本标准。 3GPP TS 33.220："Generic Authentication Architecture（GAA）：Generie Bootstrapping Architecture". 用认证架构：通用自举架构 ETF RF℃2246（1999）：The TLS Protoco1".TIS协议 3术语和定义 下列术语和定义话用于本标准， 3.1认证过程authentication procedure认证过程指业务实体与EAC间相互认证对方身份的过程，以及业务实体间相互建立信任关系的过程，一个完整的认证过程包括三部分：业务实体与EAC之间的初始认证过程，认证查询与衍生密朝生成过程，以及业务实体间的互认证过程。 3.2签钓信息subscription information指业务签约者和业务提供者与移动网铭的签约信息。 业务提供者与移动网络的签钓信息包括实体的身份信息以及针对某项签约业务的公开身份标识、共享秘密及密钥有效期（可选）、实体业务允许标识（表示是否有权提供某项业务）以及该实体支持的认证方式（例如基于证书的TS、基于共享密钥的TLS、PSc等）和认证查询与密钥生成方法（例如GBA、Kerberos，Mediation）等， 3.3认证协商过程authentication agreement procedure在实体向EAC请求认证的过程中，EAC应用本地策略从双方支持的认证方式中选择一种认证模式的过程。认证模式的信息中包括SS/SP与EAC的互认证方法、认证查询和衍生密钥生成方法、SS和SP的互认证方法等。 3.4实体认证中心entity authentication center认证框架中的一个网络元素。其功能是完成与业务实体的认证协商以及互认证过程，生成与业务实体间的共享密钥材料，查询认证情况，以及计算衍生密钥等，EAC还可以包括BSF的功能、Kerberos.服务器的功能、证书检测的功能等 3.5实体签约信息数据库entity subscription database认证框架中的一个网铭元素，保存有业务实体的签约信息，其中实体的认证信息与身份标识一起保存。另外，如果ESD有AC功能，那么它还应具有较强的计算能力，以完成认证过程所需的计算：否则，它应该能够从AuC获取相应的认证数据。ESD中还可以存放着一个证书库以及一个可更新的证书撤销列表 （CL），证书库中存储着移动网络中各种移动终缔和核心网元的证书。 3.6业务签约者service subscriber具有请求业务的功能，可以是普通的移动用户，也可以是第三方的应用服务器等。 3.7业务提供者service provider具有提供业务的功能，可以是运营商网络的应用服务器AS（Application Server）或外部网络的SP （Service Provider），甚至是移动终端。