Приложение 24. ТРЕБОВАНИЯ К ПРОТОКОЛУ ВЗАИМОДЕЙСТВИЯ СЕРВЕРА АБОНЕНТСКИХ ДАННЫХ HSS И/ИЛИ ЦЕНТРА АУТЕНТИФИКАЦИИ AUC С ОТДЕЛЬНЫМ АППАРАТНЫМ МОДУЛЕМ БЕЗОПАСНОСТИ HSM, ВЫПОЛНЯЮЩИМ КРИПТОГРАФИЧЕСКИЕ ФУНКЦИИ АУТЕНТИФИКАЦИИ АБОНЕНТОВ
Приложение N 24
к Правилам применения оборудования
коммутации сетей подвижной
радиотелефонной связи. Часть VII.
Правила применения оборудования
коммутации стандарта LTE,
утвержденным приказом Министерства
цифрового развития, связи
и массовых коммуникаций
Российской Федерации
от 25.06.2018 N 319 
ТРЕБОВАНИЯ
К ПРОТОКОЛУ ВЗАИМОДЕЙСТВИЯ СЕРВЕРА АБОНЕНТСКИХ ДАННЫХ HSS
И/ИЛИ ЦЕНТРА АУТЕНТИФИКАЦИИ AUC С ОТДЕЛЬНЫМ АППАРАТНЫМ
МОДУЛЕМ БЕЗОПАСНОСТИ HSM, ВЫПОЛНЯЮЩИМ КРИПТОГРАФИЧЕСКИЕ
ФУНКЦИИ АУТЕНТИФИКАЦИИ АБОНЕНТОВ
1. Для взаимодействия сервера абонентских данных и/или центра аутентификации HSS/AuC и HSM, выполняющим криптографические функции аутентификации абонентов, должны использоваться следующие сообщения:
1.1. запрос со стороны HSS/AuC аутентификационной информации (Authentication Crypto Request - ACR).
Содержание информационных элементов, используемых в данном сообщении, приведено в таблице N 1;
Таблица N 1.
|
Информационный элемент
|
Содержание информационного элемента
|
|
Code
|
Информационный элемент Code должен содержать код сообщения HSM. Длина должна быть 48 бит.
|
|
K
|
Информационный элемент K должен содержать ключ K, который хранится в сервере абонентских данных HSS/AuC. Длина должна быть 128 бит.
|
|
AMF
|
Информационный элемент AMF (Authentication management field), предусмотренный п. 6.3 ETSI TS 133 102. Длина должна быть 16 бит.
|
|
SQN
|
Информационный элемент SQN (sequence number), предусмотренный п. 6.3 ETSI TS 133 102. Длина должна быть 48 бит.
|
|
AIR-Filler
|
Информационный элемент должен обеспечивать превышение длиной запроса длины соответствующего ему ответа. Длина должна быть 448 бит.
|
1.2. ответ HSM с аутентификационной информацией (Authentication Crypto Answer - ACA).
Содержание информационных элементов, используемых в данном сообщении, приведено в таблице N 2;
Таблица N 2.
|
Информационный элемент
|
Содержание информационного элемента
|
|
Code
|
Информационный элемент Code должен содержать код сообщения HSM. Длина должна быть 48 бит.
|
|
Authentication Vector
|
Информационный элемент Authentication Vector (AV), предусмотренный п. 6.3 ETSI TS 133 102. Длина должна быть 576 бит.
|
1.3. запрос со стороны HSS/AuC аутентификационной информации при ресинхронизации (Resynchronization Crypto Request - RCR).
Содержание информационных элементов, используемых в данном сообщении, приведено в таблице N 3;
Таблица N 3.
|
Информационный элемент
|
Содержание информационного элемента
|
|
Code
|
Информационный элемент Code должен содержать код сообщения HSM. Длина должна быть 48 бит.
|
|
K
|
Информационный элемент K должен содержать ключ абонента K, предусмотренный п. 6.3 ETSI TS 133 102. Длина должна быть 128 бит.
|
|
RAND
|
Информационный элемент RAND должен содержать RAND, предусмотренный п. 6.3 ETSI TS 133 102. Длина должна быть 128 бит.
|
|
Conc (SQNMS)
|
Информационный элемент Conc (SQNMS) должен содержать Conc (SQNMS), предусмотренный п. 6.3 ETSI TS 133 102. Длина должна быть 48 бит.
|
1.4. ответ HSM с аутентификационной информацией при ресинхронизации (Resynchronization Crypto Answer-RCA).
Содержание информационных элементов, используемых в данном сообщении, приведено в таблице N 4;
Таблица N 4.
|
Информационный элемент
|
Содержание информационного элемента
|
|
Code
|
Информационный элемент Code должен содержать код сообщения HSM. Длина должна быть 48 бит.
|
|
XMACS
|
Информационный элемент должен содержать криптографически защищенную имитовставку XMACS, предусмотренную п. 6.3 ETSI TS 133 102. Длина должна быть 64 бит.
|
|
SQNMS
|
Информационный элемент должен содержать SQNMS, предусмотренный п. 6.3 ETSI TS 133 102. Длина должна быть 48 бит.
|
2. HSS/AuC при реализации протокола взаимодействии с HSM должен обеспечить:
2.1. отправку запроса в HSM для генерации данных аутентификации;
2.2. установку для каждого отправленного запроса уникального адреса отправителя сообщения согласно протоколу взаимодействия 4 уровня (транспортного протокола передачи дейтаграмм пользователя - UDP);
2.3. ожидание для каждого отправленного запроса ответа от HSM в течение установленного при настройке времени.
3. HSM при реализации протокола взаимодействии с HSS/AuC должен обеспечить:
3.1. принятие от HSS/AuC корректного запроса для генерации данных аутентификации, обработку запроса и передачу ответа в HSS/AuC;
3.2. совпадение указанного в ответе адреса получателя сообщения с адресом, указанным в запросе отправителя сообщения, согласно протоколу взаимодействия 4 уровня;
3.3. отказ в ответе при поступлении от HSS/AuC некорректных запросов;
3.4. оповещение системы об отказе в ответе путем отключения интерфейса на физическом уровне взаимодействия.
4. Реализация протокола взаимодействия 4 уровня должна осуществляться с учетом следующих требований:
4.1. для адресации запросов и ответов согласно протоколу взаимодействия 4 уровня должны использоваться UDP-порты из диапазона 49152 - 65535;
4.2. адреса получателя ответов и отправителя ответов согласно протоколу взаимодействия 4 уровня должны устанавливаться одинаковыми в конфигурациях HSS/AuC и HSM соответственно;
4.3. информация, передаваемая в сообщениях согласно протоколу взаимодействия 4 уровня, должна быть защищена от несанкционированного доступа к ней.
5. Значения кодов информационных сообщений при взаимодействии HSS/AuC с HSM должны соответствовать значениям, приведенным в таблице N 5.
Таблица N 5.
|
Информационное сообщение
|
Сокращение
|
Значение кода/Code
|
|
|
1.1
|
Authentication Crypto Request без использования AK
|
ACR
|
0
|
|
1.2
|
Authentication Crypto Request с использованием AK
|
ACR
|
1
|
|
2.
|
Authentication Crypto Answer
|
ACA
|
2
|
|
3.1
|
Resynchronization Crypto Request без использования AK
|
RCR
|
4
|
|
3.2
|
Resynchronization Crypto Request с использованием AK
|
RCR
|
5
|
|
4.
|
Resynchronization Crypto Answer
|
RCA
|
6
|
