51学通信

深度解析 3GPP TS 23.003:16 GAA子系统的号码、地址与身份标识

20分钟阅读

好的,我们继续解读规范,进入一个在移动通信历史上具有重要意义,并且其设计思想深刻影响了后续技术演进的领域——GAA(通用认证架构)。

深度解析 3GPP TS 23.003:16 GAA子系统的号码、地址与身份标识

本文技术原理深度参考了3GPP TS 23.003 V18.7.0 (2024-09) Release 18规范中,关于“Chapter 16 Numbering, addressing and identification within the GAA subsystem”的核心章节。本文旨在为读者揭示3GPP如何巧妙地利用SIM/USIM卡的安全能力,为互联网应用服务提供一个统一、安全、便捷的认证“基座”——GAA,以及支撑该架构的核心寻址机制。

在之前的章节中,我们已经了解了网络如何认证用户以允许其接入蜂窝网络本身(基于IMSI/SUPI和AKA算法)。然而,随着移动互联网的兴起,用户不仅要接入网络,更要使用网络上的万千应用和服务,例如观看付费视频、下载音乐、玩在线游戏等。

一个棘手的问题出现了:每一个应用都需要用户注册一套独立的用户名和密码。这不仅给用户带来了记忆负担(密码疲劳),也给应用提供商带来了巨大的安全和管理成本。运营商手握最强大的安全资产——SIM/USIM卡,能否利用它来为这些互联网应用提供一种“一键登录”式的统一认证服务呢?

**GAA(Generic Authentication Architecture - 通用认证架构)**正是3GPP为解决这一问题而提出的宏伟蓝图。它旨在将基于SIM/USIM卡的运营商级安全认证能力,开放给第三方应用服务使用。

为了理解GAA的工作原理,我们将引入一位热爱数字生活的用户——小杰。他订阅了一项由运营商合作的“超级VIP”套餐,其中包含高清视频、无损音乐和云游戏三项高级服务。当小杰第一次在手机上使用这些服务时,他无需输入任何密码,即可“丝滑”登录。这背后,正是GAA在发挥着神奇的作用。本章,我们将聚焦于GAA架构中的“引路人”——BSF地址的定义与发现。

1. 认证的“总管家”:BSF - GAA架构的核心 (章节 16.1)

要理解GAA,首先必须认识其核心网络功能实体——BSF(Bootstrapping Server Function - 引导服务器功能)

可以把BSF想象成运营商开放认证能力的“总管家”或“认证网关”。它的职责是:

  1. 对内:与运营商的核心网HSS/HLR通信,利用成熟的AKA(Authentication and Key Agreement)认证协议,验证用户的SIM/USIM卡,确认用户的合法身份。
  2. 对外:在成功验证用户后,生成一个临时的、与具体应用无关的“通用安全凭证”(包含一个共享密钥),并将其安全地分发给用户的手机和提出认证请求的应用服务器。

从此,手机和应用服务器之间就可以使用这个由BSF担保的共享密钥,建立起一条安全的通信链路,进行后续的业务交互。整个过程,应用服务器无需关心AKA认证的复杂细节,用户也无需输入密码。

16.1 Introduction This clause describes the format of the parameters needed to access the GAA system. For further information on the use of the parameters see 3GPP TS 33.221.

本章的核心,正是定义UE(用户设备,即小杰的手机)和NAF(Network Application Function,即视频、音乐等应用服务器)如何找到这位至关重要的“总管家”BSF。

2. 寻找“总管家”:BSF地址的定义与发现 (章节 16.2)

当小杰第一次打开“高清视频”App并点击播放付费内容时,App需要向BSF请求对小杰进行身份验证。那么,App和手机该如何知道BSF的地址呢?

16.2 BSF address The Bootstrapping Server Function (BSF) address is in the form of a Fully Qualified Domain Name as defined in IETF RFC 1035 and IETF RFC 1123. The BSF address consists of several labels.

规范明确指出,BSF的地址是一个FQDN(全限定域名),而不是一个IP地址。这提供了极大的灵活性,运营商可以通过DNS进行负载均衡、容灾切换和地理化路由。

那么,这个域名是如何被UE和NAF知道的呢?规范给出了两种基于用户身份的动态构建方法:一种基于USIM(使用IMSI),一种基于ISIM(使用IMPI)。

2.1 基于USIM/IMSI的BSF地址派生

这是最常见的情况,适用于所有使用标准USIM卡的手机用户。

In the case where the USIM is used in bootstrapping, the BSF address shall be derived as follows:

  1. take the first 5 or 6 digits, … separate them into MCC and MNC…
  2. use the MCC and MNC derived in step 1 to create the “mnc.mcc.pub.3gppnetwork.org” domain name;
  3. add the label “bsf.” to the beginning of the domain.

这个构建过程我们已经非常熟悉了,它与之前章节中构建WLAN、MBMS等域名的方法如出一辙,体现了3GPP设计的一致性:

  1. 解析IMSI:从USIM卡中读取IMSI,提取MCC和MNC。
  2. 构建运营商域:拼接出mnc<MNC>.mcc<MCC>.pub.3gppnetwork.org。注意,这里使用的是.pub.3gppnetwork.org,表示这个域名需要能被公网上的UE解析。
  3. 添加业务前缀:在最前面加上bsf.标签。

场景串联: 小杰的手机使用的是中国移动的USIM卡(MCC=460, MNC=00)。当“高清视频”App触发GAA认证流程时,手机上的GAA客户端会根据IMSI自动构建出BSF的地址: bsf.mnc000.mcc460.pub.3gppnetwork.org

手机随后会对这个域名进行DNS查询,获得BSF服务器的实际IP地址,并发起认证引导(Bootstrapping)流程。

2.2 基于ISIM/IMPI的BSF地址派生

对于纯IMS设备或使用ISIM(IMS SIM卡)的用户,BSF地址的派生则基于其IMS私有身份(IMPI)。

In the case where ISIM is used in bootstrapping, the BSF address shall be derived as follows:

  1. extract the domain name from the IMPI;
  2. if the last two labels … are “3gppnetwork.org”: a. the first label is “bsf”; b. the next labels are all labels … apart from the last two labels; and c. the last three labels are “pub.3gppnetwork.org”;
  3. if the last two labels … are other than the “3gppnetwork.org”: a. add the label “bsf.” to the beginning of the domain.

这个过程稍微复杂一些,分两种情况:

  • 情况1:IMPI的域名是基于.3gppnetwork.org 假设用户的IMPI是[email protected]。派生规则是:

    1. 将域名部分ims.mnc012.mcc234.3gppnetwork.org中的ims替换为bsf
    2. 将结尾的.3gppnetwork.org替换为.pub.3gppnetwork.org。 最终得到的BSF地址是bsf.mnc012.mcc234.pub.3gppnetwork.org

  • 情况2:IMPI的域名是运营商自定义的 假设用户的IMPI是[email protected]。派生规则就非常简单:

    1. 直接在域名operator.com前加上bsf.前缀。 最终得到的BSF地址是bsf.operator.com

核心思想:无论基于IMSI还是IMPI,BSF地址的派生都遵循一个共同的逻辑——利用用户身份中固有的归属网络信息(MCC/MNC或域名),来动态地、确定地构建出指向该归属网络认证总管家(BSF)的地址。这使得GAA架构无需为每个用户或每个手机进行硬编码配置,具备了极佳的通用性和可扩展性。

3. GAA工作流程概览(结合BSF地址)

让我们将BSF地址的发现过程,融入到小杰使用“高清视频”App的完整GAA认证流程中,来感受其精妙之处:

  1. 触发认证:小杰点击付费视频,App(作为NAF)发现需要用户认证。它向手机上的GAA客户端(Ua)发起一个“需要认证”的信号。

  2. 发现BSF:手机的GAA客户端(Ua)收到信号,执行本章的核心步骤:根据USIM卡的IMSI,构建出BSF的FQDN:bsf.mnc000.mcc460.pub.3gppnetwork.org

  3. 引导(Bootstrapping)

    • 手机通过DNS解析该FQDN,找到BSF的IP地址。
    • 手机向BSF发起引导请求。
    • BSF与HSS联动,通过3GPP核心网,与手机的USIM卡进行一次标准的AKA认证
    • 认证成功后,BSF生成一个主会话密钥(Master Key)Ks,并从中派生出一个用于引导的密钥Ks_NAF。BSF将这个密钥安全地告知手机,并为这次成功的引导过程分配一个唯一的事务标识符B-TID

  4. 应用认证

    • 手机现在有了“通行证”(B-TID和密钥Ks_NAF)。它将B-TID告知“高清视频”App。
    • App拿着这个B-TID,也去访问BSF(App如何找到BSF,通常由运营商在合作时告知),说:“手机说它已经通过你认证了,它的B-TID是这个,请把我们之间通信用的密钥给我。”
    • BSF核对B-TID无误后,将之前为这次会话生成的密钥Ks_NAF也安全地告知App服务器。

  5. 安全通信:至此,小杰的手机和“高清视频”App之间,拥有了一个由BSF担保的、共同的、临时的共享密钥Ks_NAF。它们可以使用这个密钥来加密后续的通信,例如传输播放授权令牌等。小杰成功地、无感地登录并开始观看视频。

4. 总结与意义

TS 23.003第十六章的内容虽然简短,只定义了BSF地址的格式,但它却是打开GAA这座宏伟建筑大门的钥匙。

  • 统一的寻址机制:通过基于用户永久身份(IMSI/IMPI)动态派生BSF的FQDN,GAA实现了一个无需预配置的、全球统一的认证服务入口发现机制。
  • 安全能力的开放:GAA架构的核心价值在于,它将运营商网络中最核心、最可信的安全资产——基于USIM卡的AKA认证能力——进行“封装”和“代理”,以一种标准、安全、对应用友好的方式,开放给了广阔的互联网服务世界。
  • “运营商登录”的鼻祖:GAA的思想,可以说是今天我们看到的各种“一键免密登录”、“本机号码认证”等便捷认证方案的“精神鼻祖”。它开创了利用运营商网络能力来简化和增强互联网应用安全性的先河。

虽然GAA本身并未像VoLTE那样得到普遍部署,但其分层、解耦、能力开放的设计哲学,深刻地影响了后续的众多3GPP标准,例如为IMS提供通用安全框架的AKA-ISIM,以及在5G中为垂直行业应用提供安全切片接入的机制等。学习GAA,不仅是了解一段有趣的技术历史,更是理解运营商网络如何从一个封闭的管道,逐步走向一个开放、赋能的平台的重要一课。

FAQ - 常见问题解答

Q1:GAA和我们现在常用的OAuth 2.0(例如“微信登录”、“谷歌登录”)有什么异同? A1:两者都是解决第三方应用统一认证问题的方案,思想有共通之处,但技术基础和信任模型完全不同。

  • 共同点:都采用了“认证代理”或“委托”的模式。用户在一个可信的身份提供方(IdP)处进行认证,然后IdP为第三方应用颁发一个临时的访问令牌(Token)。
  • 不同点
    • 信任根不同:GAA的信任根是物理的、硬件级的USIM卡和运营商的核心网,安全级别极高。OAuth 2.0的信任根是用户的用户名/密码或生物特征,存储在互联网公司的服务器上。
    • 认证过程不同:GAA的核心是利用蜂窝网络的AKA信令认证。OAuth 2.0通常是通过Web重定向和用户在网页/App上交互来完成认证。
    • 应用领域不同:GAA主要由电信运营商主导,旨在为与其合作的互联网服务提供认证。OAuth 2.0是纯粹的互联网协议,任何互联网公司都可以成为身份提供方。

Q2:BSF(引导服务器功能)和HSS(归属签约用户服务器)是什么关系? A2:BSF是HSS面向应用层认证的一个“代理”或“前端”。

  • HSS是3GPP核心网的“心脏”,存储用户的签约数据和AKA认证的根密钥。它的接口和协议(如Diameter)是为核心网内部通信设计的。
  • BSF的角色是:当一个外部应用需要认证用户时,BSF作为中间人,它会使用标准的Diameter协议与HSS通信,触发并完成底层的AKA认证流程。然后,BSF将认证结果(成功/失败)和派生出的会话密钥,以一种更简单的、对应用友好的方式(如HTTP/SOAP)提供给应用服务器(NAF)。可以说,BSF“翻译”并“代理”了HSS的认证能力。

Q3:为什么BSF的地址要设计成FQDN而不是直接用IP地址? A3:使用FQDN(域名)是现代大型分布式系统的标准做法,主要有以下好处:

  • 位置无关性:运营商可以在后台随意更换、迁移BSF服务器的物理IP地址,而无需通知或修改全球数亿台手机的配置,只需更新DNS记录即可。
  • 负载均衡:一个FQDN可以解析到多个IP地址,DNS服务器可以根据负载情况,将请求分发到不同的BSF服务器上,实现高可用和高性能。
  • 地理路由:运营商可以部署全球分布的BSF节点。通过GeoDNS技术,用户的DNS查询可以被智能地解析到离他地理位置最近的BSF服务器,降低认证时延。

Q4:GAA架构在现实世界中有哪些应用案例? A4:GAA的完整部署案例相对较少,但其组件和思想在很多地方得到了应用。例如,IMS AKA认证机制就借鉴了GAA,用于VoLTE等IMS业务的免密认证。一些运营商推出的“统一认证平台”,为合作伙伴提供基于SIM卡的认证服务,其背后也是GAA的思想。另外,GSMA后来推出的Mobile Connect服务,也是一个旨在实现运营商统一登录的方案,可以看作是GAA精神在互联网时代的延续和演进。

Q5:在5G时代,GAA的概念还存在吗? A5:GAA作为一个完整的技术品牌或架构名称在5G中已不再被主要提及,但其核心思想——利用5G核心网的认证能力为第三方应用服务——得到了继承和发扬。5G的服务化架构(SBA)和网络能力开放框架(NEF/SCEF)提供了更强大、更灵活的机制。例如,一个应用可以通过NEF,请求5G核心网(AUSF/UDM)对用户进行认证,或者获取用户的某些网络状态信息。这可以看作是GAA思想在5G云原生、API化环境下的全新实现,应用场景更广,方式也更加灵活。

关系图谱