CDMA2000,1X,EVDO的鉴权机制|1+X机制
时间:2019-02-03 05:38:46 来源:千叶帆 本文已影响人
摘 要:简要概述了CDMA2000 1X/EVDO混合组网的参考模型,并对CDMA 1X 平滑演进到1X EVDO混合组网的鉴权实现机制和接入鉴权过程做了详细介绍。 关键词:EVDO;接入鉴权;SSD更新
一、引言
CDMA2000 1X 网络在向3G的CDMA2000 1X EVDO平滑演进过程中,原有的1X用户无需更换UIM卡就能顺利接入到3G网络,给广大的用户带来了极大的方便,满足了用户体验新业务的需求。为防止盗号等各种非法使用移动通信资源的现象,保证网络安全和保障电信运营商及用户的正当权益,加强3G网络接入鉴权成为运营商关注的首要问题。
二、CDMA2000 1X/EVDO的网络参考模型
EVDO常见的建设方案主要是独立建网和混合建网。独立组网投资成本高且对原有1X网络资源利用率低,电信运营商为减少建设成本和快速部署EVDO网络,采用的组网方案为1x/EVDO混合组网方式。
图2.1为CDMA2000 1x/EVDO 网络参考模型。
如上图所示,CDMA2000 1x/EVDO 网络包括:业务终端(含卡)、无线接入网(包括BTS、BSC/PCF、AN-AAA等)、分组域核心网(PDSN、AAA服务器等)。
其中,混合终端由UIM 卡和移动设备ME 两部分组成。UIM 可用于存储混合终端用户在两网的接入鉴权参数及其算法,执行接入鉴权操作,ME由MT2(Mobile Terminal 2)和TE2(Terminal Equipment 2)组成。
在实施接入鉴权时,新3G用户采用传统鉴权方式,即DO 采用MD5 的CHAP 鉴权方式、1X 采用CAVE 鉴权方式,新UIM 卡中增加了DO 网络信息和鉴权算法等数据;原有的1X 用户升级使用EVDO 数据业务时,无论1X/EVDO均使用CAVE 鉴权,不更换现有UIM 卡,但需要实施PRL(优选漫游列表)更新,增加DO 网络信息。
CDMA2000 1x 与EVDO 的无线接入网在逻辑功能上是独立的。两者的系统结构基本一致,都由基站与PCF 组成。EVDO 基站对应于逻辑实体AN,通常采用基站的实现方式。在EVDO 网络中,不存在类似于CDMA2000 1x 的电路核心网,因而在EVDO 无线接入网中增加了新的接入鉴权逻辑实体AN-AAA,鉴权信息在AN与AN-AAA之间传递。
CDMA2000 1x EVDO 核心网基于IP 协议,传统的MSC/VLR 及HLR/AC等通常情况下不参与1x EVDO 数据呼叫过程,但在机卡分离的混合终端操作时,若采用基于CAVE 算法的CHAP 鉴权,并且AN-AAA 接入鉴权失败,则HLR/AC 参与1x EVDO 接入鉴权。
三、1X的鉴权机制
鉴权就是鉴别权利。鉴权处理是筛选合法用户,并允许其接入网络取得服务的过程,CDMA的鉴权需要每次呼叫或者登记等业务都进行认证, 保证移动终端有和网络一样的数据, 如果3次鉴权错误就会认为该卡非法而永久拒绝接入, 此时该UIM卡放任何终端中都不能使用。1x鉴权涉及到的参数有ESN、IMSI(MIN)、随机数RAND、共享密钥A-Key、共享秘密数据SSD等等。ESN是电子序列号,用于唯一地标识一台手机终端,它包含32比特,由厂家编号和设备序号构成,在鉴权流程中起到重要作用。IMSI是国际移动台标识,在移动网中唯一识别一个移动用户的号码,MIN号是IMSI的后10位。A-KEY是发布给CDMA终端的一个鉴权密钥。A-Key需要被烧制在手机中(如果机卡分离,则存储在UIM卡中),并存储在HLR/AC中。 而SSD则是根据A-Key,用授权的CAVE算法算出的128bit的子钥,SSD保存在手机(如果机卡分离,则存储在UIM卡中)和HLR/AC中,在SSD共享时也保存在VLR中。
常见的鉴权过程主要有三种,一是标准鉴权过程,是指用户做为主叫、被叫时的鉴权过程;二是位置更新时的鉴权,是指用户进行位置更新、开机登记时的鉴权过程;三是SSD 更新鉴权,SSD 更新一般在用户首次接入网络、系统发现交换机中没有有效的SSD和COUNT值不匹配时由系统自动发起。
基站向交换机系统提供一个随机数(RANDx),并要求交换机返回一个鉴权响应参数(AUTHx)。假如从交换机返回的AUTHx与移动终端计算的AUTHx(用RANDx)相同,那么鉴权是成功的。非法用户因没有正确有效的SSD值,比较结果将是不匹配,交换机系统拒绝其访问。如果交换机发现保存的SSD无效,将自动触发SSD更新过程。另外,移动终端与交换机都保存了一个呼叫历史计数器(COUNT),这个计数器通过参数更新过程,在移动终端与交换机同步增加,确保二者相同。每次当移动终端发起位置更新、主叫、被叫方式访问交换机时,移动终端向交换机传送COUNT值。如果在移动终端的COUNT值与保存在交换机里的COUNT值不一致,那就表明有一个使用相同用户号码与安全数据的非法用户存在,这时也会触发一个SSD更新过程,以保证只有合法用户的SSD与交换机中相同。
四、1X EVDO混合组网的鉴权机制
接入鉴权发生在接入终端AT与AN-AAA之间,在AT 发起与AN 的PPP 连接时进行,它是网络对终端设备的鉴权,不需要用户参与。针对机卡不分的1x EVDO 终端,IS-878 标准中建议采用CHAP 鉴权协议和MD5 鉴权算法,要求AT和AN-AAA 都支持MD5 算法,并保存所需要的鉴权参数(如NAI和鉴权密钥等);如果AT 是机卡分离的,则接入鉴权算法和鉴权参数通常存放在UIM卡中。
CDMA2000 1x/ EVDO 混合组网方式主要采用机卡分离的方式。EVDO 要求使用集成MD5 算法的UIM卡,由于原来的CDAM2000 1x 的UIM 卡仅支持CAVE 算法,为了保证混合终端用户使用传统的CDMA2000 1x UIM 卡(老卡)能接入到EVDO 网络,3GPP2 规范A.S0006 中提出了基于CAVE 算法的CHAP 鉴权,它要求AN-AAA 支持CAVE鉴权算法,并修改CHAP 协议消息的部分字段,用以传递CAVE 鉴权的参数和结果。这种鉴权方式不要求更换CDMA2000 1x 的UIM 卡。
两种接入鉴权方式的共同点在于:两者都使用CHAP 协议和RADIUS 协议作为接入鉴权的信令交互协议;不同点在于前者采用MD5 鉴权算法,而后者沿用了CDMA2000 1x 的CAVE 鉴权算法,并且为了实现SSD 在两网的同步更新或共享,在AN-AAA 与HLR/AC 之间增加了IS-41 接口。
(一)基于MD5 的接入鉴权
若AT 和AN 支持CHAP 鉴权,则AT 初始接入系统时,在建立空口PPP连接的过程中,将CHAP 作为LCP 协商的一个配置项,LCP 协商完成后,开始接入鉴权,其信令流程如图4.1所示,包含以下步骤:
a. AN 发起空口PPP-LCP 协商过程,协商CHAP 鉴权协议类型,并建立空口PPP 连接。
b. AN 产生鉴权随机数,向AT 发送CHAP 查询消息。
c. AT 根据该随机数利用MD5 算法计算鉴权结果,鉴权结果与鉴权标识一道构成鉴权密钥,并向AN 发送CHAP 响应消息,该消息中包含了NAI、鉴权随机数及鉴权密码等接入鉴权参数。
d. AN 通过A12 接入请求消息向AN-AAA 转发NAI、鉴权随机数及鉴权密码等参数。
e. AN-AAA 将收到的NAI、鉴权随机数及鉴权密码作为MD5 算法的输入参数,计算鉴权结果,并与AN 转发的终端鉴权结果进行比较,若两者一致,则鉴权成功,AN-AAA 向AN 发送A12 接入允许消息,并发送IMSI用于建立R-P 会话;否则,鉴权失败,AN-AAA 向AN 发送A12 接入拒绝消息。
(二)基于CAVE 的接入鉴权
原1X 用户升级使用EVDO 数据业务时,无论1X/EVDO 均沿用CAVE 鉴权。与基于MD5 算法的鉴权方式相比,基于CAVE 算法的鉴权方式重用了空口的CHAP 鉴权协议流程和A12 接口的RADIUS 协议流程,将CAVE 鉴权结果和鉴权参数封装在标准规定的CHAP 鉴权消息中进行传递。基于CAVE 算法的接入鉴权信令流程与基于MD5 算法的接入鉴权信令流程基本一致,只是鉴权消息所携带的鉴权参数存在差异以及基于CAVE 算法的接入鉴权增加了SSD 共享的信令流程。
五 结束语
CDMA2000 1x用户不需要更换UIM卡、不需要更换终端就能升级享受1X EVDO的高速业务,给用户带来极大的方便,运营商通过安全的网络鉴权机制也保证了用户可以无忧的使用3G业务。
在移动通信竞争激烈的今天,除了先进的技术和新颖的业务应用,网络安全是用户选择运营商的首要因素。因此,运营商需要加强网络安全保障,同时对如何保障移动终端的安全问题做出进一步探讨和研究。■
参考文献
[1]乔壮华,李艳萍. 科技情报开发与经济 CDMA移动通信的安全与鉴权 2009
[2]李慧莲,叶伟能. 电信科学 关于CDMA鉴权问题的优化分析 2007
[3]张余.中兴通讯技术 CDMA2000系统中的鉴权分析 2007
作者简介:
廖非凡(1978-),男, 中国人民解放军通信指挥学院信息化作战训练中心,湖南华容,网络信息系统集成。
丰敏(1983-)女, 湖北省电信技术业务支撑中心助理工程师,湖北咸宁,3G网络数据管理。
