Приложение 23. ТРЕБОВАНИЯ К ПРОТОКОЛАМ EAP-AKA, EAP-AKA'

Приложение N 23
к Правилам применения оборудования
коммутации сетей подвижной
радиотелефонной связи. Часть VII.
Правила применения оборудования
коммутации стандарта LTE,
утвержденным приказом Министерства
цифрового развития, связи
и массовых коммуникаций
Российской Федерации
от 25.06.2018 N 319

ТРЕБОВАНИЯ К ПРОТОКОЛАМ EAP-AKA, EAP-AKA'

1. Протокол EAP-AKA должен быть расширяемым протоколом аутентификации для аутентификации и согласования ключей пользователей UMTS при помощи универсального модуля идентификации абонента (USIM).

Протокол EAP-AKA' должен применяться для доступа к оборудованию коммутации стандартов GSM 900/1800, UMTS, LTE с использованием TWAN или UTWAN доступа.

Протоколы EAP-AKA и EAP-AKA' должны пользоваться услугами протоколов канального уровня.

2. Требования к протоколу EAP-AKA:

2.1. формат пакетов EAP приведены на рисунке 1.

Код
Идентификатор
Длина
Данные

Рисунок 1

Примечание:

поле "Код" (1 октет) должен содержать информацию о типе пакета EAP и принимать значения:

1 - запрос (Request);

2 - ответ (Response);

3 - подтверждение (Success);

4 - отказ (Failure).

Пакеты EAP с другими значениями кода должны отбрасываться обеими сторонами без уведомления;

поле "Идентификатор" (1 октет) должно обеспечивать соответствие запросов и ответов на них;

поле "Длина" (2 октета) должно содержать размер (в октетах) пакета EAP с учетом полей "Код", "Идентификатор", "Длина" и "Данные". Октеты, выходящие за пределы указанного размера, следует считать заполнением канального уровня, на приеме такие данные следует игнорировать. Сообщения со значением поля "Длина", превышающем размер полученного пакета, должны отбрасываться без уведомления;

поле "Данные" должно иметь размер 0 или более октетов. Формат поля должен зависеть от типа пакета (значения поля "Код");

2.2. формат пакетов EAP Request и Response, используемых для аутентификации и согласования ключей с помощью USIM (далее - AKA), приведен на рисунке 2.

Код
Идентификатор
Длина
Тип (23)
Подтип
Резерв
Тип атрибута
Длина атрибута
Значение (2 и более байтов)

Рисунок 2

Примечание:

для пакетов Request и Response поле "Данные" должно начинаться с поля "Тип" (1 октет) и содержать тип запрашиваемой информации. Пакеты Request должны передаваться, пока не будет получен корректный отклик, не завершится отсчет числа попыток или нижележащий уровень не сообщит об отказе. Поле "Идентификатор" должно сохранять значение для повторных запросов, чтобы их можно было отличить от новых запросов. Содержимое поля "Данные" должно зависеть от "Типа" запроса. Пакеты Response должны передаваться в ответ на корректный запрос;

пол "Тип" для пакетов EAP-AKA должно быть равно "23";

поле "Данные" должно включать поле "Подтип" (1 октет) и поле "Резерв" (2 октета). Поле "Подтип" должно указывать тип запроса/ответа для EAP-AKA;

поле "Атрибуты" следует в поле "Данные" за полем "Резерв" и должно использовать формат: тип-длина-значение;

2.3. содержание пакетов EAP-Request/AKA-Identity (подтип-5) (запрос идентификационной информации).

Идентификационной информацией для пользователя сети стандартов GSM900/1800, UMTS, LTE и информационно-телекоммуникационной сети "Интернет" должны быть IMSI (TMSI) и NAI (имя пользователя@оператор).

Запрос должен содержать один из трех атрибутов, указывающих тип запрашиваемого идентификатора:

AT_PERMANENT_ID_REQ;

AT_FULLAUTH_ID_REQ;

AT_ANY_ID_REQ;

2.4. содержание пакетов EAP-Response/AKA-Identity (ответ, содержащий запрашиваемую идентификационную информацию).

Ответ должен содержать атрибут AT_IDENTITY;

2.5. пакет EAP-Request/AKA-Challenge (подтип-1) должен содержать данные для полной аутентификации пользователя и включать атрибуты AT_RAND, AT_MAC и AT_AUTN;

2.6. пакет EAP-Response/AKA-Challenge должен содержать отклик пользователя и включать атрибуты AT_MAC и AT_RES;

2.7. пакет EAP-Response/AKA-Authentication-Reject (подтип-2) должен передаваться, если пользователь не принимает параметр аутентификации сети AUTN;

2.8. пакет EAP-Response/AKA-Synchronization-Failure (подтип-4) должен передаваться при ошибке в порядковом номере AUTN и включает атрибут AT_AUTS;

2.9. пакет EAP-Request/AKA-Reauthentication (подтип-13) должен передаваться при запросе сервером повторной быстрой аутентификации пользователя после получения EAP-Response/Identity или EAP-Response/AKA-Identity и включать атрибут AT_MAC;

2.10. пакет EAP-Response/AKA-Reauthentication должен передаваться в ответ на запрос AKA-Reauthentication и включать атрибуты AT_MAC, AT_IV и AT_ENCR_DATA;

2.11. пакет EAP-Response/AKA-Client-Error (подтип-14) должен передаваться при обнаружении пользователем ошибки в пакете EAP/AKA, и содержать атрибут AT_CLIENT_ERROR_CODE;

2.12. пакет EAP-Request/AKA-Notification (подтип-12) должен включать атрибут AT_NOTIFICATION ATMAC и передаваться для передачи пользователю уведомления от идентифицирующей стороны;

2.13. пакет EAP-Response/AKA-Notification должен передаваться в ответ на EAP-Request/AKA-Notification и включать атрибуты AT_ENCR_DATA и AT_IV;

2.14. генерация ключа должна осуществляться с использованием функции SHA-1.

3. Требования к протоколу EAP-AKA' должны соответствовать требованиям к EAP-AKA за исключением:

для пакетов EAP-AKA' значение поля "Тип" должно устанавливаться равным "50";

должны использоваться новые атрибуты AT_KDF, AT_KDF_INPUT;

генерация ключа должна осуществляться с использованием функции SHA-256.