cdma分组设备规范Word文档下载推荐.docx

1、11. 安全要求 4311.1. PDSN的安全性要求 4311.2. IKE/ISAKMP载荷要求 4611.3. 证书要求 5012. 接口要求 5113. 性能指标要求 52附录A：通信流程 53范围 本规范重点规定了分组数据服务节点（PDSN）、归属代理（HA）和RADIUS服务器的主要功能、协议要求、计费要求、性能要求、安全要求、通信流程。本规范适用于PDSN、HA和RADIUS设备的研制、生产和采购。引用标准下列标准所包含的条文，通过在本标准中引用而成为本标准的条文。本标准出版时，所示版本均为有效。所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。3GPP2

2、P.S0001-A-1 （Version3.0.0） 无线IP网标准缩写AAAAuthentication, Authorization, and Accounting认证、授权、计费ACCMAsynchronous Control Character Map异步控制字符映射AHAuthentication Header认证报头CA Certificate Authority认证中心CCPCompression Control Protocol压缩控制协议CHAPChallenge Handshake Authentication Protocol盘问握手认证协议COACare-of-Addr

3、ess转发地址CRLCertificate Revocation List废止证书列表DOIDomain of Interpretation解析域DSADigital Signature Algorithm数字签名算法ESPEncapsulating Security Payload封装安全载荷FAForeign Agent拜访代理FACForeign Agent Challenge拜访代理盘问GREGeneric Routing Encapsulation通用路由封装HAHome Agent归属代理IANAInternet Assigned Numbering Authority互联网地址分

4、配机构IETFInternet Engineering Task Force互联网工程任务组IKEInternet Key Exchange互联网密钥交换IMT-2000International Mobile Telecom-munication 2000国际移动通信-2000系统IPCPIP Control ProtocolIP控制协议IPsecIP SecurityIP安全协议ISAKMPInternet Security Association and Key Management Protocol互联网安全联盟和密钥管理协议LACLink Access Control链路访问控制LC

5、PLink Control Protocol链路控制协议MIPMobil IP移动IPMACMedium Access Control媒体访问控制NAINetwork Access Identifier网络访问标识PAPPassword Authentication Protocol口令认证协议PCFPacket Control Function分组控制功能PDSNPacket Data Serving Node分组数据业务节点PHBPer Hop Behavior逐跳行为PLPhysical Layer物理层PPPPoint-to-Point Protocol点对点协议PSI PCF Ses

6、sion ID分组控制功能会话标识QoSQuality of Service服务质量RADIUSRemote Authentication Dial In User Service远端认证拨号接入服务RNRadio Network无线网络RRPMobile IP Registration Reply移动IP注册应答RRQMobile IP Registration Request移动IP注册申请RSA Rivest-Shamir-Adleman public key algorithmRSA公用密钥算法SASecurity Association安全联盟SHASecure Hash Algor

7、ithm安全Hash算法SPISecurity Parameter Index安全参数索引TCPTransmission Control Protocol传输控制协议UDRUsage Data Record用户数据记录UDPUser Datagram Protocol用户数据报协议PDSN、HA和RADIUS服务器在网络中的位置PSDN位于分组核心网与CDMA2000无线接入网之间，为CDMA2000的终端用户提供简单IP和移动IP业务。归属代理位于分组核心网中，主要完成用户位置信息，并向已漫游的归属用户转接数据。RADIUS服务器位于分组核心网中，主要完成认证和计费的功能。对于移动IP，其网

8、络参考模型见图4-1，对与简单IP，其网络参考模型见图4-2。图4-1 移动IP网络参考模型图4-2 简单IP网络参考模型 PDSN设备的功能要求PDSN应既支持简单IP操作，又支持移动IP操作，因此PDSN需支持以下两大功能：- 支持简单IP业务的功能- 支持移动IP业务的功能1.1. 简单IP业务功能1.1.1. PPP会话功能 （1） 建立 在RN开放R-P接口到终端的连接以后，PDSN应当立即发送LCP Configure-Request消息给终端，以建立一个新的PPP会话。如果RN为一个已经存在的PPP会话的终端建立R-P会话，则PDSN不应当发送LCP Configure-Requ

9、est消息给终端。PPP应当依据RFC1662的4.2节支持透明性，支持控制字符映射的协商。（2） 终止 当终端的R-P会话没有建立时，PDSN应当清除PPP状态。一旦PPP会话结束，PDSN应清除R-P会话。如果一个终端没有建立PPP连接，但PDSN却收到来自这个终端的IP包，PDSN应该丢弃这个IP包并向源端发送ICMP包，提示目的地不可达。 PDSN应当为每个PPP会话支持PPP会话非激活定时器。当非激活定时器超时时，PDSN应当结束PPP会话，并应当采取诸如释放R-P会话的方式释放至RN的R-P会话。无论何时，当终端关闭PPP会话时，PDSN将释放R-P会话。（3）认证PDSN应当支持

10、CHAP和PAP认证机制。PDSN也可以支持一个配置选项以保证终端在没有CHAP和PAP时仍可以接收简单IP业务。在PPP建立阶段，PDSN应当在初始LCP Configure-Request消息中推荐CHAP作为PPP的选项。如果MS不支持或不想使用CHAP，但却支持PAP，该MS将发送LCP Configure Nak,建议采用PAP。此时PDSN应发送带PAP的LCP Configure-Request消息来接受PAP。（4）IPCP地址分配对于简单IP业务，PDSN应当在PPP的IPCP阶段为终端分配一个动态IP地址。如果终端不使用CHAP和PAP，但PDSN却要求MS必须经过CHAP

11、和PAP认证，此时如果MS发送的IPCP Configure-Request中包含的IP地址配置选项为0.0.0.0，则PDSN将结束这个PPP会话。（5）压缩 PDSN应支持PPP压缩协商，即应支持CCP（RFC1962）。PDSN应当支持Van Jacobson TCP/IP头压缩（RFC1144）。 PDSN应当支持以下类型的PPP压缩： stac-LZS（RFC1974） 微软点对点压缩协议（RFC2118） DEFLATE（RFC2394）PDSN应可以支持其它PPP净荷压缩算法。（6）PPP字节同步成帧PDSN应按照字节同步成帧协议（RFC1662）将PPP包组帧后在PPP链路上发

12、送，但是不需要在帧间进行时间填充。也就是说，在结束一个PPP帧的标志字节和开始一个下面的PPP帧的开始字节之间不需要发送标志字节。（7）同时支持简单IP和移动IP业务PDSN应可以同时支持终端的移动IP和简单IP业务。如果一个用户希望在已经申请移动IP业务的终端上使用简单IP业务时，终端必须重新协商PPP。1.1.2. RADIUS的支持（1）RADIUS的要求PDSN将作为RFC2138中的RADIUS客户端，并且把用户的CHAP或PAP认证信息在RADIUS Access-Request消息中发送给归属RADIUS服务器。在从终端收到CHAP或PAP响应后，PDSN将产生一条至少包含下列信

13、息的Access-Request 消息：（这里的属性编号与RFC2138中的RADIUS属性类型一致）。 User-Name （1）= NAI User-password（2） = password （如果是PAP） CHAP-Password （3） = CHAP ID 并且CHAP-response （如果是CHAP） NAS-IP-Address （4） = PDSN的IP地址 CHAP-Challenge （60）= PDSN 发出的盘问值（如果CHAP） Correlation ID （本标准定义的RADIUS计费参数属性） = 该NAI通过本次接入请求获得授权的与所有计费会话相关联

14、的一个ID。其中Correlation ID 是在RFC2138之外规定的。归属RADIUS 服务器将发送一条RADIUS Access-Accept 消息给PDSN。RADIUS Access Accept消息可能包括DiffServ选项属性。根据RFC2139，PDSN将作为RADIUS计费的客户端，并且将在RADIUS Accounting-Request消息中与归属RAIDUS服务器之间传递计费信息。Accounting-Request将包含PDSN产生的Accounting Session ID属性（44）。PDSN和RADIUS服务器之间的安全通信可以使用IPSec来保护。如何建立

15、安全联盟不在本标准中规定。（2）在PDSN不使用CHAP和PAP时的NAI结构在终端不协商CHAP和PAP时，PDSN不会收到任何终端NAI。在这种情况下，PDSN将不对用户行进行额外的认证，但必须产生计费记录，并且用用户NAI加密这些记录。有鉴于此，PDSN可以根据终端的MSID构造NAI。NAI的构造格式为： , 其中 是终端的MSID，并且是拥有终端MSID的归属网络互联网域。终端可以使用下列MSID格式之一： 国际终端标志 （IMSI） E.212 移动标志编号 （MIN） TIA/EIA-41-E 国际漫游MIN （IRM） TIA TSB-29图5.1 MSID格式IMSI是一个十

16、进制数字串，最大有15个数字，在全球范围内识别唯一的MS。IMSI由三个字段组成：移动国家代码（前3个数字），移动网络代码（接下来的2或3个数字）以及移动用户标志号（最多10个数字）。如果MS使用IMSI，则PDSN 有可能根据IMSI的移动国家代码和移动网络代码确定域。MIN是一个由10个数字组成的字符串，用以在TIA/EIA-41中识别唯一的MS。MIN的第一个数字不能为0或1。MIN由三个字段组成：区域号 （前3个数字），局号 （接着的3个数字）以及用户号（尾4个数字）。如果MS使用MIN，则PDSN有可能根据MIN的区域号和局号确定域。IRM是一个由10个数字组成的字符串，用以在全球范

17、围内识别唯一的MS。IRM的第一个数字必须是0或1，用于把IRM与MIN区别开。IRM由三个字段组成：移动国家号 （前3个数字），移动网络号 （接着的4个数字）以及用户号（尾6个数字）。移动网络号必须为0或1。如果MS使用IRM，则PDSN有可能根据IRM的移动国家号和移动网络号确定域。PDSN将把结构化的NAI写入计费记录，并且拜访地RADIUS服务器可能会使用域值把这些记录转发给正确的归属RADIUS服务器，做恰当的汇总和结算。结构化的NAI不能用于认证。如果操作人员配置不使用CHAP，则PDSN将用结构化的NAI把RADIUS计费消息发送给归属RADIUS服务器。如果PDSN无法为MS构

18、造一个NAI，则PDSN将拒绝为MS服务。1.1.3. 源地址过滤 PDSN应检查每个从终端的PPP链路上收到的源IP地址。如果地址与到终端的IP会话无关，且不是MIP注册请求或代理请求消息，则PDSN应当丢弃这个数据包，并发送LCP Configure Request消息重新启动PPP会话。1.2. 移动IP业务功能1.2.1. PPP会话PDSN应可以在一个PPP会话上支持多个移动IP归属地址。（1）PPP会话的建立RN为终端打开一个R-P会话后，PDSN应该发送LCP配置请求给终端，以建立一个新的PPP会话。如果终端对应于R-P会话的PPP会话已经存在，那么PDSN不应给终端发送LCP配

19、置请求。（2）PPP会话的终止当终端的R-P会话没有建立时，PDSN应该清除PPP状态；当PPP会话终止时，PDSN也应该清除R-P会话。如果终端没有建立PPP会话，PDSN却收到该终端的IP数据包，PDSN应该丢弃数据包，同时给源终端发送一个ICMP消息，提示目的地不可达。如果PDSN收到带有失败码的注册应答时，该注册的注册请求也不再重发，并且PPP连接上不再承载其它激活的IP地址，那么PDSN在把注册失败应答转发给终端之后就应该清除这个PPP会话。如果PDSN产生除69号以外的失败码注册应答时，并且PPP连接上不再承载其它激活的IP地址，那么PDSN应该在发送注册应答之后清除PPP会话。对

20、于移动IP业务，PPP非激活定时器设置时间应比拜访代理允许的移动IP最大注册周期长。在LCP Configure-Request中，PDSN应该提供主叫盘问握手认证（CHAP）。对于移动IP业务，终端不使用CHAP、PAP认证，而应该回应一个LCP Configure-Reject，请求不进行CHAP、PAP认证。PDSN收到终端的LCP Configure-Reject，就再发送一个不带认证选项的LCP Configure-Reject给终端。终端收到这个LCP配置请求之后就回应一个LCP Configure-Ack。在移动IP初始化注册之前，为移动IP分配静态归属地址、动态归属地址时： 终

21、端向PDSN发送的IPCP Configure-Request中，不应有IP地址配置选项；并且， PDSN不应给终端分配IP地址。PDSN不支持RFC2290。如果终端使用RFC2290中IPv4的配置选项，PDSN应该应答一个IPCP拒绝配置的消息。PDSN也可以支持其它的PPP静荷压缩算法。PDSN应按照字节同步组帧协议（RFC1662）将PPP包组帧后在PPP链路上发送，但是不需要在帧间进行时间填充。1.2.2. 移动IP注册（1）代理布告当终端使用移动IP业务时，在建立PPP会话或收到终端的代理请求时，PDSN应该发送可配置数量的代理布告。如果终端向PDSN发送RRQ消息，PDSN应当

22、停止发送代理布告。PDSN发送可配置数量的布告后，除了收到代理申请消息，PDSN不应再发送代理布告。对于简单IP业务，PDSN在建立了PPP以后不应发送任何代理布告消息给终端。移动IP代理布告的注册生存时间应小于PPP非激活定时器的时间。收到前一PCF和当前PCF（包括SID/NID/PZID越区切换指示）时，为该终端提供移动IP业务的PDSN通过对比前一PCF和当前PCF的SID/NID/PZID，可知终端是否越区切换。PDSN应当以该指示来判断终端是否需要再次注册。如果需要再次注册，那么PDSN应当重新协商PPP，并发送代理布告。为了减少空中接口发送代理布告的数量，在没有终端请求代理时，P

23、DSN不应周期性发送代理布告来更新拜访代理的布告生存时间。终端可以在FA布告生存时间到期时发送代理请求。布告的生存时间是一个可配置的参数，推荐值为9000s（即最大的ICMP路由布告生存时间）。（2） 移动IP地址分配PDSN应该支持静态、动态归属地址的分配。对于动态归属地址分配，PDSN应接受终端源地址全零的注册请求消息，应该可以从归属代理的注册应答消息中获得它的归属地址。为了同时支持公网和专网的接入服务，PDSN必须使用公共的、可见的、可路由的转发地址。（3）MIP扩展PDSN的代理布告中应该包括MNFA盘问扩展。为了节约无线链路资源，代理布告消息很少发送，所以PDSN应该将终端再次注册的

24、盘问扩展包含在注册应答之中。再次注册进行RADIUS接入申请时，PDSN可以通过中间服务器，把FAC认证信息传送给归属RADIUS服务器。再次授权、再次认证的频率由网管进行配置。PDSN不能从终端的注册申请中去除MNFA盘问扩展和MNAAA认证扩展信息。如果PDSN接收到终端的注册申请消息中不包含MN-HA认证扩展，就应该向终端发送错误码为70的注册应答消息，表示注册请求格式错误。（4）专网的支持PDSN应该支持私有的归属地址。如果终端需要使用私有归属地址，那么应该按照RFC2344协议进行反向隧道协商。如果终端需要使用私有归属地址，而又没有进行反向隧道协商，PDSN应该发送错误码为75的注册

25、应答失败消息。PDSN应该将R-P会话标识、终端归属地址和归属代理地址组成一个逻辑联盟。当PDSN从归属代理收到已注册终端的数据包时，PDSN应该将终端的归属地址和归属代理地址映射到一个联盟上，并在该联盟的R-P连接上传送数据包。如果两个归属代理同时给一个终端分配相同的归属地址，PDSN应该给终端发送错误码为65的注册应答失败消息,表示管理禁止。但第一个分配的地址不受影响，仍然有效。（5）反向隧道如果在RRQ或RRP中使用RFC1918定义的私有归属地址，且RRQ没有反映反向隧道消息，PDSN应该以错误码75拒绝移动IP的注册。如果归属RADIUS服务器在Access-Accept中的反向隧道

26、说明属性中指明需要反向隧道，而终端在RRQ中没有反向隧道信息，PDSN应该以错误码75拒绝台的注册申请。如果终端进行反向隧道协商，那么PDSN应该提供反向隧道服务。以上规则适于单播、组播和广播的目的地址，甚至使用直接传递模式。PDSN必须同时支持直接传送和隧道封装传送。1.2.3. RADIUS的支持PDSN将作为RFC2138中的RADIUS客户端。在初始模式中，PDSN将与归属RADIUS服务器交换FAC认证信息。如需要，也可通过代理服务器在从终端收到MIP RRQ后，PDSN将产生一条至少包含下列信息的Access-Request 消息（这里的编号与RFC2138中的RADIUS属性类型

27、一致）： User-Name （1） = MN-NAI 扩展中的MN-NAI字段 CHAP-Password （3） = MN-FA盘问扩展中盘问字段的最高字节，接着是来自MN-AAA扩展的认证方字段 CHAP-Challenge （60） = MD5 （前导MIP RRQ, 类型, 长度, SPI）, 接着是MN-FA盘问扩展中盘问字段的最低237个字节。根据MN-AAA扩展前面的MIP RRQ数据、长度以及MN-AAA扩展的SPI字段计算MD5校验和。 NAS-IP-Address （4） = 包含在RRQ中的PDSN COA的IP地址 Home Agent Address （本标准规定的

28、）= 包含在RRQ中的HA地址 Correlation ID （本标准定义的） = NAI通过本次接入请求获得授权的与所有计费会话相关联的一个ID。 Security Status （本标准定义的） = 在PDSN和HA之间目前可能存在的安全状态。如果认证成功，归属RADIUS 服务器将发送一条RADIUS Access-Accept 消息给PDSN。RADIUS Access Accept消息可能包括3GPP2规定的RADIUS属性。如果认证失败，则归属RADIUS服务器将向PSDN发送一条Access-Reject消息。根据RFC2139，PDSN将作为RADIUS计费的客户端，并且将在RADIUS Accounting-Request消息中与归属RAIDUS