Часть II Правил применения оборудования радиодоступа введена в информационный банк отдельным документом.

Приложение N 21

к Правилам применения оборудования

радиодоступа. Часть I. Правила

применения оборудования радиодоступа

для беспроводной передачи данных

в диапазоне от 30 МГц до 66 ГГц

ТРЕБОВАНИЯ К ПАРАМЕТРАМ ПРОТОКОЛА EAP-AKA, EAP-AKA'

Список изменяющих документов

(введены Приказом Минкомсвязи России от 13.06.2018 N 281)

1. Расширяемый протокол аутентификации EAP-AKA должен применяться для аутентификации и согласования ключей пользователей UMTS при помощи универсального модуля идентификации абонента (USIM).

Протокол EAP-AKA' должен применяться для доступа к оборудованию коммутации стандартов GSM 900/1800, UMTS, LTE с использованием TWAN или UTWAN доступа.

Протоколы должны пользоваться услугами протоколов канального уровня.

2. Требования к параметрам протокола EAP-AKA:

2.1. формат пакетов EAP (рисунок 1).

Код

Идентификатор

Длина

Данные

Рисунок 1.

Примечание:

поле "Код" (1 октет) должно содержать информацию о типе пакета EAP и принимать следующие значения:

"1" - запрос (Request);

"2" - ответ (Response);

"3" - подтверждение (Success);

"4" - отказ (Failure).

Пакеты EAP с другими значениями кода должны отбрасываться обеими сторонами без уведомления;

поле "Идентификатор" (1 октет) должно обеспечивать соответствие вопросов и ответов на них.

поле "Длина" (2 октета) должно содержать информацию о размере (в октетах) пакета EAP с учетом полей "Код", "Идентификатор", "Длина" и "Данные". Октеты, выходящие за пределы указанного размера, следует рассматривать как заполнение канального уровня и на приеме эти данные должны игнорироваться. Сообщения, в которых значение поля "Длина" превышает размер полученного пакета, должны отбрасываться без уведомления;

поле "Данные" должно иметь размер ноль или более октетов. Формат поля должен зависеть от типа пакета (значения поля "Код").

2.2. формат пакетов EAP Request, Response для аутентификации и согласования ключей с помощью USIM (далее - AKA) (рисунок 2).

Код

Идентификатор

Длина

Тип (23)

Подтип

Резерв

Тип атрибута

Длина атрибута

Значение (2 и более байтов)

Рисунок 2.

Примечание:

поле "Данные" Для пакетов Request и Response должно начинаться с поля "Тип" (1 октет), содержащее тип запрашиваемой информации. Пакеты Request должны передаваться, пока не будет получен корректный отклик, не завершится отсчет числа попыток или нижележащий уровень не сообщит об отказе. Повторные запросы должны передаваться с тем же значением поля "Идентификатор", чтобы их можно было отличить от новых запросов. Содержимое поля "Данные" должно зависеть от "Типа" запроса. Пакеты Response должны передаваться в ответ на корректный запрос;

поле "Тип" для пакетов EAP-AKA должно быть равно "23";

поле "Данные" должно содержать поле "Подтип" (1 октет) и поле "Резерв" (2 октета). Поле "Подтип" должно содержать информацию о типе запроса/ответа для EAP-AKA. За полем "Резерв" должны следовать "Атрибуты" в формате: тип-длина-значение.

2.3. пакет EAP-Request/AKA-Identity (подтип-5) должен содержать запрос идентификационной информации.

Для пользователя сети стандартов GSM 900/1800, UMTS, LTE и Интернет идентификационной информацией являются IMSI (TMSI) и NAI (имя пользователя@оператор).

Запрос должен содержать один из трех атрибутов, указывающий тип запрашиваемого идентификатора:

AT_PERMANENT_ID_REQ;

AT_FULLAUTH_ID_REQ;

AT_ANY_ID_REQ;

2.4. пакет EAP-Response/AKA-Identity должен содержать ответ с запрашиваемой идентификационной информацией.

Ответ должен содержать атрибут AT_IDENTITY.

2.5. пакет EAP-Request/AKA-Challenge (подтип-1) должен содержать данные для полной аутентификации пользователя и включать атрибуты AT_RAND и AT_MAC, AT_AUTN;

2.6. пакет EAP-Response/AKA-Challenge должен содержать отклик пользователя и включать атрибуты AT_MAC и AT_RES;

2.7. пакет EAP-Response/AKA-Authentication-Reject (подтип-2) должен передаваться, если пользователь не принимает параметр аутентификации сети AUTN;

2.8. пакет EAP-Response/AKA-Synchronization-Failure (подтип-4) должен передаваться при ошибке в порядковом номере AUTN и включать атрибут AT_AUTS;

2.9. пакет EAP-Request/AKA-Reauthentication (подтип-13) должен передаваться при запросе сервером повторной быстрой аутентификации пользователя после получения EAP-Response/Identity или EAP-Response/AKA-Identity, и включать атрибут AT_MAC.

2.10. пакет EAP-Response/AKA-Reauthentication должен передаваться в ответ на запрос AKA-Reauthentication и включать атрибуты AT_MAC, AT_IV и AT_ENCR_DATA;

2.11. пакет EAP-Response/AKA-Client-Error (подтип-14) должен передаваться при обнаружении пользователем ошибки в пакете EAP/AKA, и содержать атрибут AT_CLIENT_ERROR_CODE;

2.12. пакет EAP-Request/AKA-Notification (подтип-12) должен передаваться для передачи пользователю уведомления от идентифицирующей стороны и содержать атрибут AT_NOTIFICATION AT_MAC;

2.13. пакет EAP-Response/AKA-Notification должен передаваться в ответ на EAP-Request/AKA-Notification и включать атрибуты AT_ENCR_DATA и AT_IV;

2.14. генерация ключа должна осуществляться с использованием функции SHA-1.

3. Требования к параметрам протокола EAP-AKA' должны соответствовать требованиям к параметрам протокола EAP-AKA, установленным в пункте 2 Приложения N 21 к Правилам, за исключением:

3.1. поле "Тип" для пакетов EAP-AKA' должно быть равно "50";

3.2. генерация ключа должна осуществляться с использованием функции SHA-256.

В протоколе EAP-AKA' должны использоваться дополнительные атрибуты: AT_KDF, AT_KDF_INPUT.