- Главная
- Приказ Министерства связи и массовых коммуникаций РФ от 14 сентября 2010 г. N 124 "Об утверждении Правил применения оборудования радиодоступа. Часть I. Правила применения оборудования радиодоступа для беспроводной передачи данных в диапазоне от 30 МГц до 66 ГГц" (с изменениями и дополнениями)
- Приложение. Правила применения оборудования радиодоступа. Часть I. Правила применения оборудования радиодоступа для беспроводной передачи данных в диапазоне от 30 МГц до 66 ГГц
- Приложение N 21. Требования к параметрам протокола ЕАР-АКА, ЕАР-АКА'
Приложение N 21. Требования к параметрам протокола ЕАР-АКА, ЕАР-АКА'
Информация об изменениях:
Правила дополнены приложением 21 с 7 августа 2018 г. - Приказ Минкомсвязи России от 13 июня 2018 г. N 281
Приложение N 21
к Правилам применения
оборудования радиодоступа.
Часть I. Правила применения
оборудования радиодоступа для
беспроводной передачи данных в
диапазоне от 30 МГц до 66 ГГц
Требования к параметрам протокола ЕАР-АКА, ЕАР-АКА'
1. Расширяемый протокол аутентификации ЕАР-АКА должен применяться для аутентификации и согласования ключей пользователей UMTS при помощи универсального модуля идентификации абонента (USIM).
Протокол ЕАР-АКА' должен применяться для доступа к оборудованию коммутации стандартов GSM 900/1800, UMTS, LTE с использованием TWAN или UTWAN доступа.
Протоколы должны пользоваться услугами протоколов канального уровня.
2. Требования к параметрам протокола ЕАР-АКА:
2.1. формат пакетов ЕАР (рисунок 1).
|
Код |
Идентификатор |
Длина |
|
Данные | ||
Рисунок 1.
Примечание:
поле "Код" (1 октет) должно содержать информацию о типе пакета ЕАР и принимать следующие значения:
"1" - запрос (Request);
"2" - ответ (Response);
"3" - подтверждение (Success);
"4" - отказ (Failure).
Пакеты ЕАР с другими значениями кода должны отбрасываться обеими сторонами без уведомления;
поле "Идентификатор" (1 октет) должно обеспечивать соответствие вопросов и ответов на них.
поле "Длина" (2 октета) должно содержать информацию о размере (в октетах) пакета ЕАР с учетом полей "Код", "Идентификатор", "Длина" и "Данные". Октеты, выходящие за пределы указанного размера, следует рассматривать как заполнение канального уровня и на приеме эти данные должны игнорироваться. Сообщения, в которых значение поля "Длина" превышает размер полученного пакета, должны отбрасываться без уведомления;
поле "Данные" должно иметь размер ноль или более октетов. Формат поля должен зависеть от типа пакета (значения поля "Код").
2.2. формат пакетов ЕАР Request, Response для аутентификации и согласования ключей с помощью USIM (далее - АКА) (рисунок 2).
|
Код |
Идентификатор |
Длина |
|
Тип (23) |
Подтип |
Резерв |
|
Тип атрибута |
Длина атрибута |
Значение (2 и более байтов) |
Рисунок 2.
Примечание:
поле "Данные" Для пакетов Request и Response должно начинаться с поля "Тип" (1 октет), содержащее тип запрашиваемой информации. Пакеты Request должны передаваться, пока не будет получен корректный отклик, не завершится отсчет числа попыток или нижележащий уровень не сообщит об отказе. Повторные запросы должны передаваться с тем же значением поля "Идентификатор", чтобы их можно было отличить от новых запросов. Содержимое поля "Данные" должно зависеть от "Типа" запроса. Пакеты Response должны передаваться в ответ на корректный запрос;
поле "Тип" для пакетов ЕАР-АКА должно быть равно "23";
поле "Данные" должно содержать поле "Подтип" (1 октет) и поле "Резерв" (2 октета). Поле "Подтип" должно содержать информацию о типе запроса/ответа для ЕАР-АКА. За полем "Резерв" должны следовать "Атрибуты" в формате: тип-длина-значение.
2.3. пакет EAP-Request/AKA-Identity (подтип-5) должен содержать запрос идентификационной информации.
Для пользователя сети стандартов GSM 900/1800, UMTS, LTE и Интернет идентификационной информацией являются IMSI (TMSI) и NAI (имя пользователя@оператор).
Запрос должен содержать один из трех атрибутов, указывающий тип запрашиваемого идентификатора:
AT_PERMANENT_ID_REQ;
AT_FULLAUTH_ID_REQ;
AT_ANY_ID_REQ;
2.4. пакет EAP-Response/AKA-Identity должен содержать ответ с запрашиваемой идентификационной информацией.
Ответ должен содержать атрибут AT_IDENTITY.
2.5. пакет EAP-Request/AKA-Challenge (подтип-1) должен содержать данные для полной аутентификации пользователя и включать атрибуты AT_RAND и АТ_МАС, AT_AUTN;
2.6. пакет EAP-Response/AKA-Challenge должен содержать отклик пользователя и включать атрибуты АТ_МАС и AT_RES;
2.7. пакет EAP-Response/AKA-Authentication-Reject (подтип-2) должен передаваться, если пользователь не принимает параметр аутентификации сети AUTN;
2.8. пакет EAP-Response/AKA-Synchronization-Failure (подтип-4) должен передаваться при ошибке в порядковом номере AUTN и включать атрибут AT_AUTS;
2.9. пакет EAP-Request/AKA-Reauthentication (подтип-13) должен передаваться при запросе сервером повторной быстрой аутентификации пользователя после получения EAP-Response/Identity или EAP-Response/AKA-Identity, и включать атрибут АТ_МАС.
2.10. пакет EAP-Response/AKA-Reauthentication должен передаваться в ответ на запрос AKA-Reauthentication и включать атрибуты АТ_МАС, AT_IV и AT_ENCR_DATA;
2.11. пакет EAP-Response/AKA-Client-Error (подтип-14) должен передаваться при обнаружении пользователем ошибки в пакете ЕАР/АКА, и содержать атрибут AT_CLIENT_ERROR_CODE;
2.12. пакет EAP-Request/AKA-Notification (подтип-12) должен передаваться для передачи пользователю уведомления от идентифицирующей стороны и содержать атрибут AT_NOTIFICATION АТ_МАС;
2.13. пакет EAP-Response/AKA-Notification должен передаваться в ответ на EAP-Request/AKA-Notification и включать атрибуты AT_ENCR_DATA и AT_IV;
2.14. генерация ключа должна осуществляться с использованием функции SHA-1.
3. Требования к параметрам протокола ЕАР-АКА' должны соответствовать требованиям к параметрам протокола ЕАР-АКА, установленным в пункте 2 Приложения N 21 к Правилам, за исключением:
3.1. поле "Тип" для пакетов ЕАР-АКА' должно быть равно "50";
3.2. генерация ключа должна осуществляться с использованием функции SHA-256.
В протоколе ЕАР-АКА' должны использоваться дополнительные атрибуты: AT_KDF, AT_KDF_INPUT.
Открыть документ в системе ГАРАНТ