cdma分组设备规范.docx
《cdma分组设备规范.docx》由会员分享,可在线阅读,更多相关《cdma分组设备规范.docx(66页珍藏版)》请在冰豆网上搜索。
cdma分组设备规范
基于CDMA2000的分组设备技术规范
信息产业部电信传输研究所
2001年8月24日
前言
基于CDMA2000分组网络是CDMA2000核心网的重要组成部分。
本规范是主要参考3GPP2和IETF的相关建议编制的,它主要对PDSN、HA和RADIUS服务器三个设备的主要功能、计费、安全、服务质量等方面的内容进行了明确规定。
目次
1.范围1
2.引用标准1
3.缩写1
4.PDSN、HA和RADIUS服务器在网络中的位置3
5.PDSN设备的功能要求5
5.1.简单IP业务功能5
5.2.移动IP业务功能10
6.归属代理(HA)功能要求15
6.1.多重注册15
6.2.IPsec支持16
6.3.动态归属地址分配16
6.4.认证16
7.RADIUS服务器的功能要求17
7.1.简单IP对RADIUS服务器的要求17
7.2.移动IP对RADIUS服务器的要求17
8.协议要求18
8.1.简单IP协议参考模型18
8.2.移动IP协议参考模型19
9.计费20
9.1.概述20
9.2.空中链路记录20
9.3.PDSN用户数据记录(UDR)24
9.4.计费格式27
9.5.PDSN过程36
9.6.临时RADIUS计费41
10.服务质量要求41
10.1.DiffServ规范42
10.2.PDSN对DiffServ的要求42
11.安全要求43
11.1.PDSN的安全性要求43
11.2.IKE/ISAKMP载荷要求46
11.3.证书要求50
12.接口要求51
13.性能指标要求52
附录A:
通信流程53
范围
本规范重点规定了分组数据服务节点(PDSN)、归属代理(HA)和RADIUS服务器的主要功能、协议要求、计费要求、性能要求、安全要求、通信流程。
本规范适用于PDSN、HA和RADIUS设备的研制、生产和采购。
。
引用标准
下列标准所包含的条文,通过在本标准中引用而成为本标准的条文。
本标准出版时,所示版本均为有效。
所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。
3GPP2P.S0001-A-1(Version3.0.0)无线IP网标准
缩写
AAA
Authentication,Authorization,andAccounting
认证、授权、计费
ACCM
AsynchronousControlCharacterMap
异步控制字符映射
AH
AuthenticationHeader
认证报头
CA
CertificateAuthority
认证中心
CCP
CompressionControlProtocol
压缩控制协议
CHAP
ChallengeHandshakeAuthenticationProtocol
盘问握手认证协议
COA
Care-of-Address
转发地址
CRL
CertificateRevocationList
废止证书列表
DOI
DomainofInterpretation
解析域
DSA
DigitalSignatureAlgorithm
数字签名算法
ESP
EncapsulatingSecurityPayload
封装安全载荷
FA
ForeignAgent
拜访代理
FAC
ForeignAgentChallenge
拜访代理盘问
GRE
GenericRoutingEncapsulation
通用路由封装
HA
HomeAgent
归属代理
IANA
InternetAssignedNumberingAuthority
互联网地址分配机构
IETF
InternetEngineeringTaskForce
互联网工程任务组
IKE
InternetKeyExchange
互联网密钥交换
IMT-2000
InternationalMobileTelecom-munication–2000
国际移动通信-2000系统
IPCP
IPControlProtocol
IP控制协议
IPsec
IPSecurity
IP安全协议
ISAKMP
InternetSecurityAssociationandKeyManagementProtocol
互联网安全联盟和密钥管理协议
LAC
LinkAccessControl
链路访问控制
LCP
LinkControlProtocol
链路控制协议
MIP
MobilIP
移动IP
MAC
MediumAccessControl
媒体访问控制
NAI
NetworkAccessIdentifier
网络访问标识
PAP
PasswordAuthenticationProtocol
口令认证协议
PCF
PacketControlFunction
分组控制功能
PDSN
PacketDataServingNode
分组数据业务节点
PHB
PerHopBehavior
逐跳行为
PL
PhysicalLayer
物理层
PPP
Point-to-PointProtocol
点对点协议
PSI
PCFSessionID
分组控制功能会话标识
QoS
QualityofService
服务质量
RADIUS
RemoteAuthenticationDialInUserService
远端认证拨号接入服务
RN
RadioNetwork
无线网络
RRP
MobileIPRegistrationReply
移动IP注册应答
RRQ
MobileIPRegistrationRequest
移动IP注册申请
RSA
Rivest-Shamir-Adlemanpublickeyalgorithm
RSA公用密钥算法
SA
SecurityAssociation
安全联盟
SHA
SecureHashAlgorithm
安全Hash算法
SPI
SecurityParameterIndex
安全参数索引
TCP
TransmissionControlProtocol
传输控制协议
UDR
UsageDataRecord
用户数据记录
UDP
UserDatagramProtocol
用户数据报协议
PDSN、HA和RADIUS服务器在网络中的位置
PSDN位于分组核心网与CDMA2000无线接入网之间,为CDMA2000的终端用户提供简单IP和移动IP业务。
归属代理位于分组核心网中,主要完成用户位置信息,并向已漫游的归属用户转接数据。
RADIUS服务器位于分组核心网中,主要完成认证和计费的功能。
对于移动IP,其网络参考模型见图4-1,对与简单IP,其网络参考模型见图4-2。
图4-1移动IP网络参考模型
图4-2简单IP网络参考模型
PDSN设备的功能要求
PDSN应既支持简单IP操作,又支持移动IP操作,因此PDSN需支持以下两大功能:
-支持简单IP业务的功能
-支持移动IP业务的功能
1.1.简单IP业务功能
1.1.1.PPP会话功能
(1)建立
在RN开放R-P接口到终端的连接以后,PDSN应当立即发送LCPConfigure-Request消息给终端,以建立一个新的PPP会话。
如果RN为一个已经存在的PPP会话的终端建立R-P会话,则PDSN不应当发送LCPConfigure-Request消息给终端。
PPP应当依据RFC1662的4.2节支持透明性,支持控制字符映射的协商。
(2)终止
当终端的R-P会话没有建立时,PDSN应当清除PPP状态。
一旦PPP会话结束,PDSN应清除R-P会话。
如果一个终端没有建立PPP连接,但PDSN却收到来自这个终端的IP包,PDSN应该丢弃这个IP包并向源端发送ICMP包,提示目的地不可达。
PDSN应当为每个PPP会话支持PPP会话非激活定时器。
当非激活定时器超时时,PDSN应当结束PPP会话,并应当采取诸如释放R-P会话的方式释放至RN的R-P会话。
无论何时,当终端关闭PPP会话时,PDSN将释放R-P会话。
(3)认证
PDSN应当支持CHAP和PAP认证机制。
PDSN也可以支持一个配置选项以保证终端在没有CHAP和PAP时仍可以接收简单IP业务。
在PPP建立阶段,PDSN应当在初始LCPConfigure-Request消息中推荐CHAP作为PPP的选项。
如果MS不支持或不想使用CHAP,但却支持PAP,该MS将发送LCPConfigureNak,建议采用PAP。
此时PDSN应发送带PAP的LCPConfigure-Request消息来接受PAP。
(4)IPCP地址分配
对于简单IP业务,PDSN应当在PPP的IPCP阶段为终端分配一个动态IP地址。
如果终端不使用CHAP和PAP,但PDSN却要求MS必须经过CHAP和PAP认证,此时如果MS发送的IPCPConfigure-Request中包含的IP地址配置选项为0.0.0.0,则PDSN将结束这个PPP会话。
(5)压缩
PDSN应支持PPP压缩协商,即应支持CCP(RFC1962)。
PDSN应当支持VanJacobsonTCP/IP头压缩(RFC1144)。
PDSN应当支持以下类型的PPP压缩:
•stac-LZS(RFC1974)
•微软点对点压缩协议(RFC2118)
•DEFLATE(RFC2394)
PDSN应可以支持其它PPP净荷压缩算法。
(6)PPP字节同步成帧
PDSN应按照字节同步成帧协议(RFC1662)将PPP包组帧后在PPP链路上发送,但是不需要在帧间进行时间填充。
也就是说,在结束一个PPP帧的标志字节和开始一个下面的PPP帧的开始字节之间不需要发送标志字节。
(7)同时支持简单IP和移动IP业务
PDSN应可以同时支持终端的移动IP和简单IP业务。
如果一个用户希望在已经申请移动IP业务的终端上使用简单IP业务时,终端必须重新协商PPP。
1.1.2.RADIUS的支持
(1)RADIUS的要求
PDSN将作为RFC2138中的RADIUS客户端,并且把用户的CHAP或PAP认证信息在RADIUSAccess-Request消息中发送给归属RADIUS服务器。
在从终端收到CHAP或PAP响应后,PDSN将产生一条至少包含下列信息的Access-Request消息:
(这里的属性编号与RFC2138中的RADIUS属性类型一致)。
•User-Name
(1)=NAI
•User-password
(2)=password(如果是PAP)
•CHAP-Password(3)=CHAPID并且CHAP-response(如果是CHAP)
•NAS-IP-Address(4)=PDSN的IP地址
•CHAP-Challenge(60)=PDSN发出的盘问值(如果CHAP)
•CorrelationID(本标准定义的RADIUS计费参数属性)=该NAI通过本次接入请求获得授权的与所有计费会话相关联的一个ID。
其中CorrelationID是在RFC2138之外规定的。
归属RADIUS服务器将发送一条RADIUSAccess-Accept消息给PDSN。
RADIUSAccessAccept消息可能包括DiffServ选项属性。
根据RFC2139,PDSN将作为RADIUS计费的客户端,并且将在RADIUSAccounting-Request消息中与归属RAIDUS服务器之间传递计费信息。
Accounting-Request将包含PDSN产生的AccountingSessionID属性(44)。
PDSN和RADIUS服务器之间的安全通信可以使用IPSec来保护。
如何建立安全联盟不在本标准中规定。
(2)在PDSN不使用CHAP和PAP时的NAI结构
在终端不协商CHAP和PAP时,PDSN不会收到任何终端NAI。
在这种情况下,PDSN将不对用户行进行额外的认证,但必须产生计费记录,并且用用户NAI加密这些记录。
有鉴于此,PDSN可以根据终端的MSID构造NAI。
NAI的构造格式为:
@,其中是终端的MSID,并且是拥有终端MSID的归属网络互联网域。
终端可以使用下列MSID格式之一:
•国际终端标志(IMSI)[E.212]
•移动标志编号(MIN)[TIA/EIA-41-E]
•国际漫游MIN(IRM)[TIATSB-29]
图5.1MSID格式
IMSI是一个十进制数字串,最大有15个数字,在全球范围内识别唯一的MS。
IMSI由三个字段组成:
移动国家代码(前3个数字),移动网络代码(接下来的2或3个数字)以及移动用户标志号(最多10个数字)。
如果MS使用IMSI,则PDSN有可能根据IMSI的移动国家代码和移动网络代码确定域。
MIN是一个由10个数字组成的字符串,用以在TIA/EIA-41中识别唯一的MS。
MIN的第一个数字不能为0或1。
MIN由三个字段组成:
区域号(前3个数字),局号(接着的3个数字)以及用户号(尾4个数字)。
如果MS使用MIN,则PDSN有可能根据MIN的区域号和局号确定域。
IRM是一个由10个数字组成的字符串,用以在全球范围内识别唯一的MS。
IRM的第一个数字必须是0或1,用于把IRM与MIN区别开。
IRM由三个字段组成:
移动国家号(前3个数字),移动网络号(接着的4个数字)以及用户号(尾6个数字)。
移动网络号必须为0或1。
如果MS使用IRM,则PDSN有可能根据IRM的移动国家号和移动网络号确定域。
PDSN将把结构化的NAI写入计费记录,并且拜访地RADIUS服务器可能会使用域值把这些记录转发给正确的归属RADIUS服务器,做恰当的汇总和结算。
结构化的NAI不能用于认证。
如果操作人员配置不使用CHAP,则PDSN将用结构化的NAI把RADIUS计费消息发送给归属RADIUS服务器。
如果PDSN无法为MS构造一个NAI,则PDSN将拒绝为MS服务。
1.1.3.源地址过滤
PDSN应检查每个从终端的PPP链路上收到的源IP地址。
如果地址与到终端的IP会话无关,且不是MIP注册请求或代理请求消息,则PDSN应当丢弃这个数据包,并发送LCPConfigureRequest消息重新启动PPP会话。
1.2.移动IP业务功能
1.2.1.PPP会话
PDSN应可以在一个PPP会话上支持多个移动IP归属地址。
(1)PPP会话的建立
RN为终端打开一个R-P会话后,PDSN应该发送LCP配置请求给终端,以建立一个新的PPP会话。
如果终端对应于R-P会话的PPP会话已经存在,那么PDSN不应给终端发送LCP配置请求。
(2)PPP会话的终止
当终端的R-P会话没有建立时,PDSN应该清除PPP状态;当PPP会话终止时,PDSN也应该清除R-P会话。
如果终端没有建立PPP会话,PDSN却收到该终端的IP数据包,PDSN应该丢弃数据包,同时给源终端发送一个ICMP消息,提示目的地不可达。
如果PDSN收到带有失败码的注册应答时,该注册的注册请求也不再重发,并且PPP连接上不再承载其它激活的IP地址,那么PDSN在把注册失败应答转发给终端之后就应该清除这个PPP会话。
如果PDSN产生除69号以外的失败码注册应答时,并且PPP连接上不再承载其它激活的IP地址,那么PDSN应该在发送注册应答之后清除PPP会话。
对于移动IP业务,PPP非激活定时器设置时间应比拜访代理允许的移动IP最大注册周期长。
(3)认证
在LCPConfigure-Request中,PDSN应该提供主叫盘问握手认证(CHAP)。
对于移动IP业务,终端不使用CHAP、PAP认证,而应该回应一个LCPConfigure-Reject,请求不进行CHAP、PAP认证。
PDSN收到终端的LCPConfigure-Reject,就再发送一个不带认证选项的LCPConfigure-Reject给终端。
终端收到这个LCP配置请求之后就回应一个LCPConfigure-Ack。
(4)IPCP地址分配
在移动IP初始化注册之前,为移动IP分配静态归属地址、动态归属地址时:
•终端向PDSN发送的IPCPConfigure-Request中,不应有IP地址配置选项;并且,
•PDSN不应给终端分配IP地址。
PDSN不支持RFC2290。
如果终端使用RFC2290中IPv4的配置选项,PDSN应该应答一个IPCP拒绝配置的消息。
(5)压缩
PDSN应支持PPP压缩协商,即应支持CCP(RFC1962)。
PDSN应当支持VanJacobsonTCP/IP头压缩(RFC1144)。
PDSN应当支持以下类型的PPP压缩:
•stac-LZS(RFC1974)
•微软点对点压缩协议(RFC2118)
•DEFLATE(RFC2394)
PDSN也可以支持其它的PPP静荷压缩算法。
(6)PPP字节同步成帧
PDSN应按照字节同步组帧协议(RFC1662)将PPP包组帧后在PPP链路上发送,但是不需要在帧间进行时间填充。
也就是说,在结束一个PPP帧的标志字节和开始一个下面的PPP帧的开始字节之间不需要发送标志字节。
1.2.2.移动IP注册
(1)代理布告
当终端使用移动IP业务时,在建立PPP会话或收到终端的代理请求时,PDSN应该发送可配置数量的代理布告。
如果终端向PDSN发送RRQ消息,PDSN应当停止发送代理布告。
PDSN发送可配置数量的布告后,除了收到代理申请消息,PDSN不应再发送代理布告。
对于简单IP业务,PDSN在建立了PPP以后不应发送任何代理布告消息给终端。
移动IP代理布告的注册生存时间应小于PPP非激活定时器的时间。
收到前一PCF和当前PCF(包括SID/NID/PZID越区切换指示)时,为该终端提供移动IP业务的PDSN通过对比前一PCF和当前PCF的SID/NID/PZID,可知终端是否越区切换。
PDSN应当以该指示来判断终端是否需要再次注册。
如果需要再次注册,那么PDSN应当重新协商PPP,并发送代理布告。
为了减少空中接口发送代理布告的数量,在没有终端请求代理时,PDSN不应周期性发送代理布告来更新拜访代理的布告生存时间。
终端可以在FA布告生存时间到期时发送代理请求。
布告的生存时间是一个可配置的参数,推荐值为9000s(即最大的ICMP路由布告生存时间)。
(2)移动IP地址分配
PDSN应该支持静态、动态归属地址的分配。
对于动态归属地址分配,PDSN应接受终端源地址全零的注册请求消息,应该可以从归属代理的注册应答消息中获得它的归属地址。
为了同时支持公网和专网的接入服务,PDSN必须使用公共的、可见的、可路由的转发地址。
(3)MIP扩展
PDSN的代理布告中应该包括MN-FA盘问扩展。
为了节约无线链路资源,代理布告消息很少发送,所以PDSN应该将终端再次注册的盘问扩展包含在注册应答之中。
再次注册进行RADIUS接入申请时,PDSN可以通过中间服务器,把FAC认证信息传送给归属RADIUS服务器。
再次授权、再次认证的频率由网管进行配置。
PDSN不能从终端的注册申请中去除MN-FA盘问扩展和MN-AAA认证扩展信息。
如果PDSN接收到终端的注册申请消息中不包含MN-HA认证扩展,就应该向终端发送错误码为70的注册应答消息,表示注册请求格式错误。
(4)专网的支持
PDSN应该支持私有的归属地址。
如果终端需要使用私有归属地址,那么应该按照RFC2344协议进行反向隧道协商。
如果终端需要使用私有归属地址,而又没有进行反向隧道协商,PDSN应该发送错误码为75的注册应答失败消息。
PDSN应该将R-P会话标识、终端归属地址和归属代理地址组成一个逻辑联盟。
当PDSN从归属代理收到已注册终端的数据包时,PDSN应该将终端的归属地址和归属代理地址映射到一个联盟上,并在该联盟的R-P连接上传送数据包。
如果两个归属代理同时给一个终端分配相同的归属地址,PDSN应该给终端发送错误码为65的注册应答失败消息,表示管理禁止。
但第一个分配的地址不受影响,仍然有效。
(5)反向隧道
如果在RRQ或RRP中使用RFC1918定义的私有归属地址,且RRQ没有反映反向隧道消息,PDSN应该以错误码75拒绝移动IP的注册。
如果归属RADIUS服务器在Access-Accept中的反向隧道说明属性中指明需要反向隧道,而终端在RRQ中没有反向隧道信息,PDSN应该以错误码75拒绝台的注册申请。
如果终端进行反向隧道协商,那么PDSN应该提供反向隧道服务。
以上规则适于单播、组播和广播的目的地址,甚至使用直接传递模式。
PDSN必须同时支持直接传送和隧道封装传送。
1.2.3.RADIUS的支持
PDSN将作为RFC2138中的RADIUS客户端。
在初始模式中,PDSN将与归属RADIUS服务器交换FAC认证信息。
如需要,也可通过代理服务器在从终端收到MIPRRQ后,PDSN将产生一条至少包含下列信息的Access-Request消息(这里的编号与RFC2138中的RADIUS属性类型一致):
•User-Name
(1)=MN-NAI扩展中的MN-NAI字段
•CHAP-Password(3)=MN-FA盘问扩展中盘问字段的最高字节,接着是来自MN-AAA扩展的认证方字段
•CHAP-Challenge(60)=MD5(前导MIPRRQ,类型,长度,SPI),接着是MN-FA盘问扩展中盘问字段的最低237个字节。
根据MN-AAA扩展前面的MIPRRQ数据、长度以及MN-AAA扩展的SPI字段计算MD5校验和。
•NAS-IP-Address(4)=包含在RRQ中的PDSNCOA的IP地址
•HomeAgentAddress(本标准规定的)=包含在RRQ中的HA地址
•CorrelationID(本标准定义的)=NAI通过本次接入请求获得授权的与所有计费会话相关联的一个ID。
•SecurityStatus(本标准定义的)=在PDSN和HA之间目前可能存在的安全状态。
如果认证成功,归属RADIUS服务器将发送一条RADIUSAccess-Accept消息给PDSN。
RADIUSAccessAccept消息可能包括3GPP2规定的RADIUS属性。
如果认证失败,则归属RADIUS服务器将向PSDN发送一条Access-Reject消息。
根据RFC2139,PDSN将作为RADIUS计费的客户端,并且将在RADIUSAccounting-Request消息中与归属RAIDUS