cdma分组设备规范Word文档下载推荐.docx

cdma分组设备规范Word文档下载推荐.docx

《cdma分组设备规范Word文档下载推荐.docx》由会员分享，可在线阅读，更多相关《cdma分组设备规范Word文档下载推荐.docx（66页珍藏版）》请在冰豆网上搜索。

11.安全要求43

11.1.PDSN的安全性要求43

11.2.IKE/ISAKMP载荷要求46

11.3.证书要求50

12.接口要求51

13.性能指标要求52

附录A：

通信流程53

范围

本规范重点规定了分组数据服务节点（PDSN）、归属代理（HA）和RADIUS服务器的主要功能、协议要求、计费要求、性能要求、安全要求、通信流程。

本规范适用于PDSN、HA和RADIUS设备的研制、生产和采购。

。

引用标准

下列标准所包含的条文，通过在本标准中引用而成为本标准的条文。

本标准出版时，所示版本均为有效。

所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。

3GPP2P.S0001-A-1（Version3.0.0）无线IP网标准

缩写

AAA

Authentication,Authorization,andAccounting

认证、授权、计费

ACCM

AsynchronousControlCharacterMap

异步控制字符映射

AH

AuthenticationHeader

认证报头

CA

CertificateAuthority

认证中心

CCP

CompressionControlProtocol

压缩控制协议

CHAP

ChallengeHandshakeAuthenticationProtocol

盘问握手认证协议

COA

Care-of-Address

转发地址

CRL

CertificateRevocationList

废止证书列表

DOI

DomainofInterpretation

解析域

DSA

DigitalSignatureAlgorithm

数字签名算法

ESP

EncapsulatingSecurityPayload

封装安全载荷

FA

ForeignAgent

拜访代理

FAC

ForeignAgentChallenge

拜访代理盘问

GRE

GenericRoutingEncapsulation

通用路由封装

HA

HomeAgent

归属代理

IANA

InternetAssignedNumberingAuthority

互联网地址分配机构

IETF

InternetEngineeringTaskForce

互联网工程任务组

IKE

InternetKeyExchange

互联网密钥交换

IMT-2000

InternationalMobileTelecom-munication–2000

国际移动通信-2000系统

IPCP

IPControlProtocol

IP控制协议

IPsec

IPSecurity

IP安全协议

ISAKMP

InternetSecurityAssociationandKeyManagementProtocol

互联网安全联盟和密钥管理协议

LAC

LinkAccessControl

链路访问控制

LCP

LinkControlProtocol

链路控制协议

MIP

MobilIP

移动IP

MAC

MediumAccessControl

媒体访问控制

NAI

NetworkAccessIdentifier

网络访问标识

PAP

PasswordAuthenticationProtocol

口令认证协议

PCF

PacketControlFunction

分组控制功能

PDSN

PacketDataServingNode

分组数据业务节点

PHB

PerHopBehavior

逐跳行为

PL

PhysicalLayer

物理层

PPP

Point-to-PointProtocol

点对点协议

PSI

PCFSessionID

分组控制功能会话标识

QoS

QualityofService

服务质量

RADIUS

RemoteAuthenticationDialInUserService

远端认证拨号接入服务

RN

RadioNetwork

无线网络

RRP

MobileIPRegistrationReply

移动IP注册应答

RRQ

MobileIPRegistrationRequest

移动IP注册申请

RSA

Rivest-Shamir-Adlemanpublickeyalgorithm

RSA公用密钥算法

SA

SecurityAssociation

安全联盟

SHA

SecureHashAlgorithm

安全Hash算法

SPI

SecurityParameterIndex

安全参数索引

TCP

TransmissionControlProtocol

传输控制协议

UDR

UsageDataRecord

用户数据记录

UDP

UserDatagramProtocol

用户数据报协议

PDSN、HA和RADIUS服务器在网络中的位置

PSDN位于分组核心网与CDMA2000无线接入网之间，为CDMA2000的终端用户提供简单IP和移动IP业务。

归属代理位于分组核心网中，主要完成用户位置信息，并向已漫游的归属用户转接数据。

RADIUS服务器位于分组核心网中，主要完成认证和计费的功能。

对于移动IP，其网络参考模型见图4-1，对与简单IP，其网络参考模型见图4-2。

图4-1移动IP网络参考模型

图4-2简单IP网络参考模型

PDSN设备的功能要求

PDSN应既支持简单IP操作，又支持移动IP操作，因此PDSN需支持以下两大功能：

-支持简单IP业务的功能

-支持移动IP业务的功能

1.1.简单IP业务功能

1.1.1.PPP会话功能

（1）建立

在RN开放R-P接口到终端的连接以后，PDSN应当立即发送LCPConfigure-Request消息给终端，以建立一个新的PPP会话。

如果RN为一个已经存在的PPP会话的终端建立R-P会话，则PDSN不应当发送LCPConfigure-Request消息给终端。

PPP应当依据RFC1662的4.2节支持透明性，支持控制字符映射的协商。

（2）终止

当终端的R-P会话没有建立时，PDSN应当清除PPP状态。

一旦PPP会话结束，PDSN应清除R-P会话。

如果一个终端没有建立PPP连接，但PDSN却收到来自这个终端的IP包，PDSN应该丢弃这个IP包并向源端发送ICMP包，提示目的地不可达。

PDSN应当为每个PPP会话支持PPP会话非激活定时器。

当非激活定时器超时时，PDSN应当结束PPP会话，并应当采取诸如释放R-P会话的方式释放至RN的R-P会话。

无论何时，当终端关闭PPP会话时，PDSN将释放R-P会话。

（3）认证

PDSN应当支持CHAP和PAP认证机制。

PDSN也可以支持一个配置选项以保证终端在没有CHAP和PAP时仍可以接收简单IP业务。

在PPP建立阶段，PDSN应当在初始LCPConfigure-Request消息中推荐CHAP作为PPP的选项。

如果MS不支持或不想使用CHAP，但却支持PAP，该MS将发送LCPConfigureNak,建议采用PAP。

此时PDSN应发送带PAP的LCPConfigure-Request消息来接受PAP。

（4）IPCP地址分配

对于简单IP业务，PDSN应当在PPP的IPCP阶段为终端分配一个动态IP地址。

如果终端不使用CHAP和PAP，但PDSN却要求MS必须经过CHAP和PAP认证，此时如果MS发送的IPCPConfigure-Request中包含的IP地址配置选项为0.0.0.0，则PDSN将结束这个PPP会话。

（5）压缩

PDSN应支持PPP压缩协商，即应支持CCP（RFC1962）。

PDSN应当支持VanJacobsonTCP/IP头压缩（RFC1144）。

PDSN应当支持以下类型的PPP压缩：

•stac-LZS（RFC1974）

•微软点对点压缩协议（RFC2118）

•DEFLATE（RFC2394）

PDSN应可以支持其它PPP净荷压缩算法。

（6）PPP字节同步成帧

PDSN应按照字节同步成帧协议（RFC1662）将PPP包组帧后在PPP链路上发送，但是不需要在帧间进行时间填充。

也就是说，在结束一个PPP帧的标志字节和开始一个下面的PPP帧的开始字节之间不需要发送标志字节。

（7）同时支持简单IP和移动IP业务

PDSN应可以同时支持终端的移动IP和简单IP业务。

如果一个用户希望在已经申请移动IP业务的终端上使用简单IP业务时，终端必须重新协商PPP。

1.1.2.RADIUS的支持

（1）RADIUS的要求

PDSN将作为RFC2138中的RADIUS客户端，并且把用户的CHAP或PAP认证信息在RADIUSAccess-Request消息中发送给归属RADIUS服务器。

在从终端收到CHAP或PAP响应后，PDSN将产生一条至少包含下列信息的Access-Request消息：

（这里的属性编号与RFC2138中的RADIUS属性类型一致）。

•User-Name

（1）=NAI

•User-password

（2）=password（如果是PAP）

•CHAP-Password（3）=CHAPID并且CHAP-response（如果是CHAP）

•NAS-IP-Address（4）=PDSN的IP地址

•CHAP-Challenge（60）=PDSN发出的盘问值（如果CHAP）

•CorrelationID（本标准定义的RADIUS计费参数属性）=该NAI通过本次接入请求获得授权的与所有计费会话相关联的一个ID。

其中CorrelationID是在RFC2138之外规定的。

归属RADIUS服务器将发送一条RADIUSAccess-Accept消息给PDSN。

RADIUSAccessAccept消息可能包括DiffServ选项属性。

根据RFC2139，PDSN将作为RADIUS计费的客户端，并且将在RADIUSAccounting-Request消息中与归属RAIDUS服务器之间传递计费信息。

Accounting-Request将包含PDSN产生的AccountingSessionID属性（44）。

PDSN和RADIUS服务器之间的安全通信可以使用IPSec来保护。

如何建立安全联盟不在本标准中规定。

（2）在PDSN不使用CHAP和PAP时的NAI结构

在终端不协商CHAP和PAP时，PDSN不会收到任何终端NAI。

在这种情况下，PDSN将不对用户行进行额外的认证，但必须产生计费记录，并且用用户NAI加密这些记录。

有鉴于此，PDSN可以根据终端的MSID构造NAI。

NAI的构造格式为：

<

MSID>

@<

realm>

其中<

是终端的MSID，并且<

是拥有终端MSID的归属网络互联网域。

终端可以使用下列MSID格式之一：

•国际终端标志（IMSI）[E.212]

•移动标志编号（MIN）[TIA/EIA-41-E]

•国际漫游MIN（IRM）[TIATSB-29]

图5.1MSID格式

IMSI是一个十进制数字串，最大有15个数字，在全球范围内识别唯一的MS。

IMSI由三个字段组成：

移动国家代码（前3个数字），移动网络代码（接下来的2或3个数字）以及移动用户标志号（最多10个数字）。

如果MS使用IMSI，则PDSN有可能根据IMSI的移动国家代码和移动网络代码确定域。

MIN是一个由10个数字组成的字符串，用以在TIA/EIA-41中识别唯一的MS。

MIN的第一个数字不能为0或1。

MIN由三个字段组成：

区域号（前3个数字），局号（接着的3个数字）以及用户号（尾4个数字）。

如果MS使用MIN，则PDSN有可能根据MIN的区域号和局号确定域。

IRM是一个由10个数字组成的字符串，用以在全球范围内识别唯一的MS。

IRM的第一个数字必须是0或1，用于把IRM与MIN区别开。

IRM由三个字段组成：

移动国家号（前3个数字），移动网络号（接着的4个数字）以及用户号（尾6个数字）。

移动网络号必须为0或1。

如果MS使用IRM，则PDSN有可能根据IRM的移动国家号和移动网络号确定域。

PDSN将把结构化的NAI写入计费记录，并且拜访地RADIUS服务器可能会使用域值把这些记录转发给正确的归属RADIUS服务器，做恰当的汇总和结算。

结构化的NAI不能用于认证。

如果操作人员配置不使用CHAP，则PDSN将用结构化的NAI把RADIUS计费消息发送给归属RADIUS服务器。

如果PDSN无法为MS构造一个NAI，则PDSN将拒绝为MS服务。

1.1.3.源地址过滤

PDSN应检查每个从终端的PPP链路上收到的源IP地址。

如果地址与到终端的IP会话无关，且不是MIP注册请求或代理请求消息，则PDSN应当丢弃这个数据包，并发送LCPConfigureRequest消息重新启动PPP会话。

1.2.移动IP业务功能

1.2.1.PPP会话

PDSN应可以在一个PPP会话上支持多个移动IP归属地址。

（1）PPP会话的建立

RN为终端打开一个R-P会话后，PDSN应该发送LCP配置请求给终端，以建立一个新的PPP会话。

如果终端对应于R-P会话的PPP会话已经存在，那么PDSN不应给终端发送LCP配置请求。

（2）PPP会话的终止

当终端的R-P会话没有建立时，PDSN应该清除PPP状态；

当PPP会话终止时，PDSN也应该清除R-P会话。

如果终端没有建立PPP会话，PDSN却收到该终端的IP数据包，PDSN应该丢弃数据包，同时给源终端发送一个ICMP消息，提示目的地不可达。

如果PDSN收到带有失败码的注册应答时，该注册的注册请求也不再重发，并且PPP连接上不再承载其它激活的IP地址，那么PDSN在把注册失败应答转发给终端之后就应该清除这个PPP会话。

如果PDSN产生除69号以外的失败码注册应答时，并且PPP连接上不再承载其它激活的IP地址，那么PDSN应该在发送注册应答之后清除PPP会话。

对于移动IP业务，PPP非激活定时器设置时间应比拜访代理允许的移动IP最大注册周期长。

在LCPConfigure-Request中，PDSN应该提供主叫盘问握手认证（CHAP）。

对于移动IP业务，终端不使用CHAP、PAP认证，而应该回应一个LCPConfigure-Reject，请求不进行CHAP、PAP认证。

PDSN收到终端的LCPConfigure-Reject，就再发送一个不带认证选项的LCPConfigure-Reject给终端。

终端收到这个LCP配置请求之后就回应一个LCPConfigure-Ack。

在移动IP初始化注册之前，为移动IP分配静态归属地址、动态归属地址时：

•终端向PDSN发送的IPCPConfigure-Request中，不应有IP地址配置选项；

并且，

•PDSN不应给终端分配IP地址。

PDSN不支持RFC2290。

如果终端使用RFC2290中IPv4的配置选项，PDSN应该应答一个IPCP拒绝配置的消息。

PDSN也可以支持其它的PPP静荷压缩算法。

PDSN应按照字节同步组帧协议（RFC1662）将PPP包组帧后在PPP链路上发送，但是不需要在帧间进行时间填充。

1.2.2.移动IP注册

（1）代理布告

当终端使用移动IP业务时，在建立PPP会话或收到终端的代理请求时，PDSN应该发送可配置数量的代理布告。

如果终端向PDSN发送RRQ消息，PDSN应当停止发送代理布告。

PDSN发送可配置数量的布告后，除了收到代理申请消息，PDSN不应再发送代理布告。

对于简单IP业务，PDSN在建立了PPP以后不应发送任何代理布告消息给终端。

移动IP代理布告的注册生存时间应小于PPP非激活定时器的时间。

收到前一PCF和当前PCF（包括SID/NID/PZID越区切换指示）时，为该终端提供移动IP业务的PDSN通过对比前一PCF和当前PCF的SID/NID/PZID，可知终端是否越区切换。

PDSN应当以该指示来判断终端是否需要再次注册。

如果需要再次注册，那么PDSN应当重新协商PPP，并发送代理布告。

为了减少空中接口发送代理布告的数量，在没有终端请求代理时，PDSN不应周期性发送代理布告来更新拜访代理的布告生存时间。

终端可以在FA布告生存时间到期时发送代理请求。

布告的生存时间是一个可配置的参数，推荐值为9000s（即最大的ICMP路由布告生存时间）。

（2）移动IP地址分配

PDSN应该支持静态、动态归属地址的分配。

对于动态归属地址分配，PDSN应接受终端源地址全零的注册请求消息，应该可以从归属代理的注册应答消息中获得它的归属地址。

为了同时支持公网和专网的接入服务，PDSN必须使用公共的、可见的、可路由的转发地址。

（3）MIP扩展

PDSN的代理布告中应该包括MN－FA盘问扩展。

为了节约无线链路资源，代理布告消息很少发送，所以PDSN应该将终端再次注册的盘问扩展包含在注册应答之中。

再次注册进行RADIUS接入申请时，PDSN可以通过中间服务器，把FAC认证信息传送给归属RADIUS服务器。

再次授权、再次认证的频率由网管进行配置。

PDSN不能从终端的注册申请中去除MN－FA盘问扩展和MN－AAA认证扩展信息。

如果PDSN接收到终端的注册申请消息中不包含MN-HA认证扩展，就应该向终端发送错误码为70的注册应答消息，表示注册请求格式错误。

（4）专网的支持

PDSN应该支持私有的归属地址。

如果终端需要使用私有归属地址，那么应该按照RFC2344协议进行反向隧道协商。

如果终端需要使用私有归属地址，而又没有进行反向隧道协商，PDSN应该发送错误码为75的注册应答失败消息。

PDSN应该将R-P会话标识、终端归属地址和归属代理地址组成一个逻辑联盟。

当PDSN从归属代理收到已注册终端的数据包时，PDSN应该将终端的归属地址和归属代理地址映射到一个联盟上，并在该联盟的R-P连接上传送数据包。

如果两个归属代理同时给一个终端分配相同的归属地址，PDSN应该给终端发送错误码为65的注册应答失败消息,表示管理禁止。

但第一个分配的地址不受影响，仍然有效。

（5）反向隧道

如果在RRQ或RRP中使用RFC1918定义的私有归属地址，且RRQ没有反映反向隧道消息，PDSN应该以错误码75拒绝移动IP的注册。

如果归属RADIUS服务器在Access-Accept中的反向隧道说明属性中指明需要反向隧道，而终端在RRQ中没有反向隧道信息，PDSN应该以错误码75拒绝台的注册申请。

如果终端进行反向隧道协商，那么PDSN应该提供反向隧道服务。

以上规则适于单播、组播和广播的目的地址，甚至使用直接传递模式。

PDSN必须同时支持直接传送和隧道封装传送。

1.2.3.RADIUS的支持

PDSN将作为RFC2138中的RADIUS客户端。

在初始模式中，PDSN将与归属RADIUS服务器交换FAC认证信息。

如需要，也可通过代理服务器在从终端收到MIPRRQ后，PDSN将产生一条至少包含下列信息的Access-Request消息（这里的编号与RFC2138中的RADIUS属性类型一致）：

•User-Name

（1）=MN-NAI扩展中的MN-NAI字段

•CHAP-Password（3）=MN-FA盘问扩展中盘问字段的最高字节，接着是来自MN-AAA扩展的认证方字段

•CHAP-Challenge（60）=MD5（前导MIPRRQ,类型,长度,SPI）,接着是MN-FA盘问扩展中盘问字段的最低237个字节。

根据MN-AAA扩展前面的MIPRRQ数据、长度以及MN-AAA扩展的SPI字段计算MD5校验和。

•NAS-IP-Address（4）=包含在RRQ中的PDSNCOA的IP地址

•HomeAgentAddress（本标准规定的）=包含在RRQ中的HA地址

•CorrelationID（本标准定义的）=NAI通过本次接入请求获得授权的与所有计费会话相关联的一个ID。

•SecurityStatus（本标准定义的）=在PDSN和HA之间目前可能存在的安全状态。

如果认证成功，归属RADIUS服务器将发送一条RADIUSAccess-Accept消息给PDSN。

RADIUSAccessAccept消息可能包括3GPP2规定的RADIUS属性。

如果认证失败，则归属RADIUS服务器将向PSDN发送一条Access-Reject消息。

根据RFC2139，PDSN将作为RADIUS计费的客户端，并且将在RADIUSAccounting-Request消息中与归属RAIDUS