YD/T 2922-2015 数字蜂窝移动通信网 通用认证架构 通用自启动架构推送功能及推送层协议

ICS33.060.01

M36YD

中华人民共和国通信行业标准

YD/T2922-2015

数字蜂窝移动通信网通用认证架构

通用自启动架构推送功能及推送层协议

Digitalcellularmobilecommunicationnetwork

Genericauthenticationarchitecture-Genericbootstrapping

architecturepushfunctionandpushlayer

(3GPPTS33.223V10.0.0,GenericAuthenticationArchitecture(GAA);Generic

BootstrappingArchitecture(GBA)Pushfunction,3GPPTS33.224VI0.0.0,

GenericAuthenticationArchitecture(GAA);GenericBootstrappingArchitecture

(GBA)PushLayer,MOD)

2015—07-14发布2015—10—01实施

中华人民共和国工业和信息化部发布

YD/T2922-2015

目次

it§......................................................................................n

i......................................................................................l

2规范性引用文件...........................................................................1

3符号和缩略语.............................................................................2

3.1柄.................................................................................2

3_2_各1吾..............................................................................2

4GBA贼..................................................................................3

4.1GBA概述............................................................................3

4.2GBA架构............................................................................4

5GBAPush架构及要求......................................................................4

5.1射召.................................................................................4

5.2GBAPush架构.......................................................................5

5.3GBAPush的要求...........6

5.4GPL的要求...........................................................................9

6GBAPush功能..................................................11

6.1GBAPush消息流程及处理............................................................11

6.2数据对象............................................................................14

6.3GPI完整性保护及机密性保护.........................................................16

6.4使用NAFSA的流程...................................................................17

7GPL处理功能.............................................................................17

7.1处理模型............................................................................17

7.2会话开始……........................................................................18

7.3会话终止............................................................................19

7.4GPL安全协商.........................................................19

7.5联合传输............................................................................19

7.6消息格式............................................................................19

7.7接收处理............................................................................20

7.8外发处理............................................................................21

7.9GPL-SA初始化.......................................................................22

7.10加密套组...........................................................................23

附录A(资料性附录）选择Disposable-Ks模型的原因..............................................24

附录B(规范性附录）GBA-Push的UE注册流程................................................25

附录C(资料性附录）GPL使用场景...........................................................26

附录D(资料性附录）本标准与3GPPTS33.223和3GPPTS33.224章节对应关系....................30

YD/T2922-2015

本标准按照GB/T1.1-2009给出的规则起草。

本标准使用重新起草法修改采用3GPPTS33.223V10.0.0《通用认证架构；通用自启动架构推送功能》

和30??丁333.224乂10.0.0《通用认证架构；通用自启动架构推送层协议》，技术内容一致，附录0中列出

了本标准与3GPPTS33.223和3GPPTS33.224的章条编号对照表。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本标准由中国通信标准化协会归口。

本标准起草单位：华为技术有限公司、中国信息通信研究院、上海贝尔股份有限公司、中国联合网

络通信集团有限公司、中兴通讯股份有限公司、摩托罗拉（北京）移动技术有限公司。

本标准主要起草人：应江威、许怡娴、崔洋、袁琦、胡志远、高枫、李阳。

YD/T2922-2015

数字蜂窝移动通信网

通用认证架构

通用自启动架构推送功能及推送层协议

1范围

本标准定义了一种建立在通用认证架构（GAA)上的通用自启动架构推送功能（GBAPush),主要

包括GBA推送架构、GBA推送功能。本标准还相应定义了一种实现GBA推送功能的推送层协议（GPL)。

GPL标准内容包括消息格式、加密套组、处理模型，并假设密钥及其他安全协商（SA)参数以NAFSA的

形式预配置在Push-NAF和UE中。GPL是一种可以用于单向保护的安全协议。GPL基本原理是，如果要求

每个应用定义独自的安全机制，这明显会导致重复性的工作、标准化、及具体实现，而使用通用安全推

送层GPL可以很好地解决这些问题。此外，GPL还可以使应用避免去了解安全层的内部工作原理。

本标准适用于应用层业务，例如手机电视（MBMS)、安全定位服务（SUPL)等，为其提供统一的

安全认证服务以及通信密钥协商月民务，以保证应用业务的安全性。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

ISO/IEC10118-3:2004信息技术-安全技术-散列函数-第三部分：专用散列函数（Information

Technology-Securitytechniques-Hash-functions-Part3:Dedicatedhash-functions)

3GPPTR21.9053GPP标准词汇表（Vocabularyfor3GPPSpecifications)

3GPPTS29.109通用认证架构；基于Diameter协议的Zh和Zn接口；阶段3(GenericAuthentication

Architecture(GAA);ZhandZnInterfacesbasedontheDiameterprotocol;Stage3)

3GPPTS31.101UICC终端接口；物理和逻辑特性（UICC-terminalinterface;Physicalandlogical

characteristics)

3GPPTS31.111通用用户身份识别模块的应用工具包（UniversalSubscriberIdentityModule(USIM)

ApplicationToolkit(USAT))

3GPPTS33.1023G安全的安全架构（3GSecurity;Securityarchitecture)

3GPPTS33.2103G安全的网络域安全中的IP网络层安全（3GSecurity;NetworkDomainSecurity;IP

networklayersecurity)

3GPPTS33.220通用认证架构；通用自启动架构（GenericAuthenticationArchitecture(GAA);Generic

bootstrappingarchitecture)

3GPPTS33.222通用认证架构；使用超文本接入网络应用功能；传输协议位于TLS传输层安全上

(AccesstonetworkapplicationfunctionsusingHypertextTransferProtocoloverTransportLayerSecurity

(HTTPS)

ETSITS102483UICC终端接口；UICC和终端之间的互联网协议连通性（UICC-Terminalinterface;

InternetProtocolconnectivitybetweenUICCandterminal)

YD/T2922-2015

ETSITS102600UICC终端接口；USB接口特性（UICC-Terminalinterface;CharacteristicsoftheUSB

interface)

FIPSPUB180-2(2002)安全散列标准（SecureHashStandard)

FIPSPUB197髙级加密标准（AdvancedEncryptionStandard)

IETFRFC2104(1997)HMAC:用于消息认证的加密散列法（HMAC:Keyed-HashingforMessage

Authentication)

IETFRFC2246(1999)TLS协议版本1(TheTLSProtocolVersion1)

IETFRFC4330用于IPv4、IPv6和OSI的简单网络时间协议SNTP的第4版本（SimpleNetworkTime

Protocol(SNTP)Version4forIPv4,IPv6andOSI)

NISTSpecialPublication800-38A分组块加密操作模式的推荐（RecommendationforBlockCipher

ModesofOperation)

NISTSpecialPublication800-38A(2001)分组块加密操作模式的推荐-方法和技术（Recommendation

forBlockCipherModesofOperation-MethodsandTechniques)

OMA-WAP-TS-WSP-V1_0-20020920-C无线会话协议1.0版（WirelessSessionProtocol1.0)

3符号和缩略语

3.1符号

3GPPTR21.905和3GPPTS33.220界定的和下列符号适用于本文件。

AUTN(*):GBA上下文中，GBA_ME根据AUTN值来验证认证向量来自于一个被授权的网络，而

GBA_U根据AUTN*值来进行对网络的认证，具体描述参考文献3GPPTS33.220。AUTN(*)用来指示

AUTN和AUTN*。

Disposable-Ks模型：用于GBA-push的密钥生成模型。每个Ks只能用于生成一个NAF-key,并且Ks不

能重复使用。

GBA—UawareUICC:支持GBA—U的UICC卡，GBA—U代表Ks不能离开UICC卡。

GBA-Push-Info:GBA-Push-Info包含GBA-Push中用于密钥生成的相关数据，其通过Upa参考点从NAF

发送到UE。

NAF—Id:NAF的FQDN，与Ua安全协议标识相连接。

NAF-key:NAF-key由Ks获取，可以用来指示I(s」int/ext)_NAF或者I(s_NAF。

NAFSA:NAF和UE之间基于NAF-key的安全协商。

Push-message:通过Ua参考点从NAF发送给UE的消息，该消息使用了从Upa参考点自启动过程中获取

的GBA密钥。

Push-NAF:被授权使用GBA-Push的NAF。

UE_Trp:用于将GPI传递给UE的传输地址。

SN_h:拥有有效MAC值的GPL消息中的最大序列号，用于重放保护。

SN_s:用于产生发出消息序列号的计数器。

3.2缩略语

3GPPTR21.905列出的和下列的缩略语适用于本文件。

BSFBootstrappingServerFunction自启动服务器功能

YD/T2922-2015

B-TIDBootstrappingTransactionIdentifier自启动传输标识

FQDNFullyQualifiedDomainName正式域名

GAAGenericAuthenticationArchitecture通用认证架构

GBAGenericBootstrappingArchitecture通用自启动架构

GBA—MEME-basedGBA基于ME的GBA

GBA—UGBAwithUICC-basedenhancements基于UICC增强的GBA

GPIGBAPushInfoGBA推送信息

GPLGenericPushLayer通用推送层

GPL_MEME中的GPLGPLhostedintheME

GPL_UUICC中GPLGPLhostedintheUICC

GUSSGBAUserSecuritySettingsGBA用户安全设置

HLRHomeLocationRegister归属位置寄存器

HSPHighSpeedProtocol高速协议

HSSHomeSubscriberServer归属用户服务器

KDFKeyDerivationFunction密钥获取功能

Ks_NAFNAF-keyinGBA_MEmodeGBA_ME模式下的NAF-key

Ks_int_NAFUICCinternalNAF-keyinGBA—UGBA_U下的UICC内部NAF-key

Ks_ext_NAFUICCexternalNAF-keyinGBA_UGBA—U下的UICC外部NAF-key

MACMessageAuthenticationCode消息验证码

MEMobileEquipment移动设备

NAFNetworkApplicationFunction网络应用功能

P-TIDPushTemporaryIdentifier推送临时标识

SASecurityAssociation安全协商

SAIDSecurityAssociationIdentifier安全协商标识

SNSequenceNumber序列号

UEUserEquipment用户设备

USSUserSecuritySetting用户安全设置

4GBA要求

4.1GBA概述

GBAPush是在GBA安全机制基础之上提出的，而且GBAPush中的很多的定义、流程、及密钥推演都

是基于GBA。GBA是一种为UE和网络侧NAF服务器之间建立共享秘密Ks而提出的，并基于3GPPAKA的

通用密钥协商机制。

AKA是移动网络所用的一个非常有用的机制，而GBA重用AKA机制来建立应用层安全。GBA引入了

一个新的网元BSF,该BSF与HSS之间有一个接口Zh。

UE和HSS通过BSF来运行AKA,根据运行AKA获得的结果（CK、IIO,在BSF和UE之间协商产生一

个共享密钥Ks,UE同时根据Ks推演Ks_NAF。当EU和NAF需要建立连接时，应用服务器NAF能从BSF获

得从Ks推演得到的会话密钥Ks-NAF和签约用户信息。通过这种方式，NAF和UE就能拥有一个共享密钥

YD/T2922-2015

I(s_NAF，该共享密钥能为随后的应用提供安全保护，特别是在应用会话开始时认证UE和NAF。UE和BSF

之间的通信、NAF和BSF之间的通信、BSF和HSS之间的通信独立于应用。

4.2GBA架构

GBA网络架构如图1所示。

图1GBA网络模型

图1显示了GBA网络实体模型和他们之间的参考点，这些实体将包含在UE与网络侧之间进行的通用

自启动过程中。

GBA安全过程主要由初始化、自启动安全协商、安全协商的使用三部分组成。

初始化过程是一个UE和NAF通过Ua口协商是否需要使用GBA的过程。UE要与NAF进行通信，但是

UE不知道NAF是否需要通过GBA方式产生的共享密钥，因此双方首先需要协商是否使用GBA方式来建立

应用层安全连接。

自启动安全协商过程是UE与网络侧BSF之间通过Ub口进行安全认证和协商共享密钥Ks的过程。如果

UE上存在有效的身份信息TMPI/B-TID,则向BSF发送携带用户身份信息TMPI/B-TID的请求，BSF根据域

名识别TMPI/B-TID并査询数据库判断本地是否存在该TMM/B-TID,如果存在则提取对应的用户身份标识

IMSI/IMPI并据此从用户归属网络服务器HSS中获取AV,否则BSF应要求用户发送包含用户身份标识

IMSI/IMPI的鉴权请求。然后UE和BSF基于AKA完成认证和密钥IK、CK的协商。最后通过串连CK、IK来

生成共享密钥Ks,UE同时生成Ks_NAF。

NAFSA安全协商的使用过程是UE与网络应用实体NAF之间协商共享密钥Ks_NAF的过程。在UE通过

Ua口向NAF发起基于GBA的应用请求后，NAF通过Zn口向BSF请求Ks_NAF,BSF查找与该UE和NAF相

关的Ks,然后根据Ks生成Ks_NAF并将其返回给NAF。此时，UE和NAF就己经共享了密钥Ks_NAF。

一旦完成上述三个GBA自启动安全协商流程，就达到了GBA自启动安全协商的目的，能够实现UE和

NAF在Ua口上的安全通信。

5GBAPush架构及要求

5.1介绍

5.1.1综述

GBA-Push是一种自启动NAF和UE间安全的机制，不强制UE联系BSF来发起自启动过程。GBA-Push

与3GPPTS33.220中的GBA紧密相关并且基于GBA。GBA-Push针对GBA_U和GBA_ME两种使用场景。

YD/T2922-2015

5.1.2GBA-Push系统概述

基于GBA-Push系统的解决方案及其特性，本节的系统概述对该总体思路进行了大概描述。

一般的使用场景是NAF发起建立共享安全协商（SA)，即在NAF和UE之间建立一个NAFSA。NAF

向UE推送GBA-Push-Info(GPI)信息，用于建立NAFSA。NAFSA中使用的是NAF-key,根据3GPPTS

33.220中GBA定义的方法生成，而GPI由NAF从BSF请求获取。

在NAFSA建立后，NAF就能发送受保护的推送消息给UE。如果存在由Ua口应用所定义的返回通道，

则UE也可以用SA保护返回给NAF的回复消息。如何使用NAFSA不在本规范研宄范围内。NAFSA由上行、

下行SA标识符来指示。

GBA-Push针对GBA_L^nGBA_ME两种场景。如果只是用GBA-Push建立一个外部NAF-key,则应使

用GBA_Push。基于GBA_l^GBA-Push会同时建立内部NAF-key和外部NAF-key。

GBA-Push使用Disposable-Ks(ICs用完就可以丢弃）模型。该模型中的Ks只能使用一次来获取一组

NAF-keys(以及用于保护GPI信息传递的其他密钥材料）。获取NAF-key之后，清除Ks或拒绝Ks的后续使

用。当当前NAF或其他NAF需要新的NAF-keys时，则需要进行新的GBA-Push操作。

注1:生成的NAF-key能用来保护NAF发送给UE的多条推送信息。不同NAFs的NAF-keys可以共存。

使用Disposable-ICs模型，则根3GPPTS33.220或GBA-Push所建立的NAF-keys不会受到影响。基于

GBA_ME的GBA-Push不会与GBA_U交互，但是基于GBA_U的GBAPush会无效UICC中的Ks。

注2:3GPPTS33.220指明当执行了新的GBA_UKs生成流程，则UICC中现有的Ks将被覆盖。GBA-Push之后，ME马上

发起新的自启动流程，以防止延时和同步问题。

没有定义将GPI从NAF传递给UE的传递方法。

注3:可能的传递方法有SMS、MMS、SIPMESSAGE、UDP、广播。为了将GPI传递给UEs,NAF需要知道对应于已

选传递方法所应使用的消息传递地址。31^和_3的传递地址为]^13〇>1,31?1\«^八0£的传递地址为1]^11,110?使用

的是UDPport-IP-address配对，而广播传递方法的传递地址是和UE相关的公共标识或NAF和UE之间协商的标志。

重发消息是一种用来获取在不可靠信道上（SMS或广播）传输可靠性的标准方法。因此，GBA-Push

应允许GPI多次重传，并且可能会出现在每条推送给UE的负载里都包含GPI的情况。

由GPI定义的NAFSA是基于特殊UICC(USIM/ISIM)应用的使用。有时传递方法/地址指示UE使用

哪个UICC应用，而在某些场景下传递方法/地址需要明确地发送给UE。如果MSISDN用作传输地址，则使

用与MSISDN相关的USIM。因为只有UE中的与MSISDN相关的USIM处于激活状态，SMS才能到达UE。

当IMPU用作目的地址，则使用相应的ISIM。对于UDP和广播，使用的USIM/ISIM应用需要在GPI中指示

或者在其他频率信道协商一致。

为了保护用户隐私，GPI部分信息需要进行机密性保护，特别是使用广播传输时的NAF标识。对于NAF

到UE和UE到NAF消息之间的上行能力，UE到NAF安全的单独SA标识需要由NAF分配并且要包含在GPI

受机密性保护的部分中。为了帮助防止DoS攻击产生的严重影响并且阻止有些NAF滥用GBA-Push，需要

对GPI进行完整性保护。由于GPI的完整性保护可以检测传输错误，因此这也可以防止UE接受不正确的

GBAPush安全协商。由GPI定义的Ks密钥来获取用于机密性保护和完整性保护的密钥。

5.2GBAPush架构

5.2.1技术说明及基本原理

GBAPush功能是建立在3GPPTS33.220所提供的安全架构和功能之上的，与3GPPTS33.220最主要的

YD/T2922-2015

区别是在BSF和NAF、NAF和UE之间定义了新的参考点，如图2所示，该图由3GPPTS33.220的图4.1修改

得到。

图2通过NAF完成推送自启动过程的网络模型

图2所示的GBAPush架构基于以下基本原理：

一一不能影响Ua参考点的安全保护，例如：不管用于安全保护的GBA密钥是UE发起的还是NAF

推动过程发起的，都不应改变Ua参考点协议。

——从BSF的角度看，NAF还是密钥获取的发起实体，然而这是在NAF没有B-TID的场景下（而

UE可能拥有一个有效的GBA会话）。基于3GPPTS33.220定义的Zn参考点协议，引入了新参考点Zpn。

——在NAF和UE之间引入了新的参考点Upa,通过Upa的所有消息都是由网络侧发起的。Upa定

义了GBA推送消息。

——NAF通过Zpn参考点接收来自BSF的GBA推送消息，并将其通过Upa参考点发送给UE。

5.2.2GBA-Push密钥生成模型

Disposable-Ks模型是应用于GBA-Push中的密钥模型。在该模型中，Ks只能被使用一次来生成一套单

独的NAF-keys以及其他一些用来保护GPI传输的密钥材料，见6.3。获取NAF-key后，清除Ks或者不能再

使用Ks,这意味着将没有建立好的可用Ks。

如果只是想用GBA-Push建立一个外部NAF-key，那么应总是使用GBA_ME,这个功能不要求UICC支

持GBA_U。基于GBA—U的GBA-Push不仅会协商一个内部NAF-key,还会协商一个夕卜部NAF-key,3GPP

TS33.220定义了NAF-keys的获取方式。

在基于GBA_ME的GBA-Push自启动安全协商中，根据3GPPTS33.220生成的Ks不会受到影响。

在基于GBA_U的GBA-Push自启动安全协商中，根据3GPPTS33.220生成的GBA_UKs将会无效。如

果在基于GBAJJ的GBA-Push安全协商后有应用要求使用GBA_UNAF-keys，则需要进行一次通用GBA来

建立新的GBA_UKs。但是，该应用可以继续使用从该无效的Ks中获取的NAF-keys,例如，原来己经使

用NAF-keys的应用不会受到GBA-Push自启动安全协商的影响。

GBA-Push只支持生成在UE和NAF之间共享的NAFSAs,NAFSA包括NAF-key、密钥生命周期、以

及其他一些信息，它们在6.2.3小节中定义。

5.3GBAPush的要求

5.3.1GBAPush的基本要求

以下这些基本要求应用于GBAPush:

YD/T2922-2015

——网络实体Push-NAF应能够安全地触发建立其与UE之间的NAFSA。

——在触发NAFSA的生成时，Push-NAF应能够使用存在消息延时的传输通道。

——Push-NAF应能够在发给BSF的请求消息中使用指示UE的公共标识。

----如果GBAPush使用了公共标识，贝ij公共标识应对应一个唯一的私有标识。

——当只需要基于ME的NAF-keys时，例如，Ks在ME中建立，则应使用基于ME的GBAPush。

当UE拥有支持GBA的UICC卡（GBA_U),并且需要基于UICC和ME的NAF-keys或者需要只需要

基于UICC的NAF-keys,例如，Ks在UICC中建立，则应使用基于UICC的GBAPush。

——从Push-NAF推送给UE消息的接收，触发了UE中NAFSA的生成。

UE不应需要联系网络实体才能正确生成NAFSA。

——不管GBA自启动安全协商是通过Ub还是Upa参考点，UE和NAF应能够独立地在Ua参考点

上使用NAF-keys。

注：当使用GBA-Push机制来创建UE和NAF之间的NAFSA时，不局限NAF将获取的安全协商只应用于网络侧发起的协

议；同样，当使用UE发起的GBA时，不局限NAF将获取的安全协商只应用于UE发起的协议（Ua参考点）。

一一为了避免预配置密钥，保护GPI信息机密性和完整性的密钥生成机制应基于GBA原则。

一一NAF不能够获取或生成用于保护GPI信息的密钥。

5.3.2HSS及HLR的要求

HSS和HLR的要求应符合3GPPTS33.220。

5.3.3BSF的要求

除了3GPPTS33.220的4.2.1小节中的BSF要求，还存在以下要求：

一一BSF应能够查找到与公共标识所对应的私有标识。

----BSF应能够根据私有标识查找到对应的Ks。

——BSF应能够根据新的Ks生成GPI。

——BSF应对GPI进行完整性保护。

一一BSF应对GPI中特定域进行机密性保护，需要机密性保护的域在6.2.1小节中介绍。

5.3.4UE的要求

除了3GPPTS33.220的4.2.4小节中的UE要求，还存在以下要求：

——UE应能够存储并处理NAFSAs。

——本标准中的ME也应实现3GPPTS33.220中所定义的GBAJJ和GBA_ME。

一一UE可能执行一种认证授权机制来认证接收到的GBAPush消息。

注：GBAPush消息认证授权机制可以基于Push-NAFs的FQDN名所对应的白或黑名单列表。

5.3.5参考点Upa的要求

参