ETSI TS 124 482-2020
LTE; Управление идентификацией критически важных служб (MCS); Спецификация протокола (3GPP TS 24.482 версия 16.0.0 выпуск 16)

Стандартный №

ETSI TS 124 482-2020

Дата публикации

2020

Разместил

European Telecommunications Standards Institute (ETSI)

состояние

быть заменен 2022-05

быть заменен

ETSI TS 124 482-2022

Последняя версия

ETSI TS 124 482-2024

сфера применения

Обзор стандарта и техническая информация

3GPP TS 24.482 V16.0.0 — это техническая спецификация протокола управления идентификацией для критически важных служб (MCS) в рамках 3GPP Release 16. Этот стандарт определяет структуру протокола управления идентификацией и аутентификации, необходимую для предоставления приоритетных критически важных коммуникационных услуг для организаций общественной безопасности, таких как полиция и пожарные службы, а также для коммерческих приложений, таких как коммунальные предприятия и железные дороги, в средах сетей LTE.

Основываясь на современных передовых методах управления идентификацией, стандарт использует структуру авторизации OAuth 2.0 и протокол OpenID Connect для создания стандартизированного механизма аутентификации и авторизации пользователей для критически важных служб.

Данная спецификация применима только к сценариям работы сети и обеспечивает совместимость и безопасность между различными критически важными сервисами (MCPTT, MCData, MCVideo) посредством единой архитектуры управления идентификацией.

---

Основная архитектура и функциональная модель

Стандарт определяет функциональную модель управления идентификацией в критически важных сервисах, которая в основном состоит из сервера управления идентификацией, расположенного в ядре общих сервисов, и клиента управления идентификацией, расположенного на пользовательских устройствах MC.

Эта архитектура закладывает основу для аутентификации и авторизации пользователей сервиса MC.

Функциональная сущность	Основные обязанности	Технические требования	Поддержка протоколов
Клиент управления идентификацией	В качестве агента пользователя приложения для транзакций идентификации MC	Поддерживает регистрацию в системе управления идентификацией и структуру аутентификации пользователей	OAuth 2.0, OpenID Connect
Сервер управления идентификацией	Функциональная сущность аутентификации идентификации MC	Проверяет учетные данные пользователя и выдает токены	OAuth 2.0, OpenID Connect
Клиент службы MC	Взаимодействует с клиентом IdM для запуска аутентификации	Получает учетные данные, выданные сервером IdM	Протокол прикладного уровня
HTTP-прокси	HTTP-прокси транзакций	Завершение сеанса TLS, пересылка запросов	HTTP/1.1, TLS

Точка отсчета CSC-1 — это интерфейс между клиентом IdM и сервером управления идентификацией, поддерживающий аутентификацию пользователей. Этот интерфейс основан на OpenID Connect Core 1.0 и IETF RFC 6749 (OAuth 2.0) и реализован в соответствии с файлом конфигурации сервиса MC OpenID Connect, определенным в 3GPP TS 33.180.

---

Подробное объяснение протокола и процесса аутентификации

Процесс аутентификации пользователя

Стандарт подробно описывает обязательный метод аутентификации на основе имени пользователя и пароля, а также поддерживает другие механизмы аутентификации. Процесс аутентификации состоит из трех основных этапов:

Этап	Участвующие организации	Основные операции	Выходной токен
Запрос на аутентификацию	Клиент IdM → Сервер IdM	Установка TLS-туннеля, отправка запроса аутентификации OIDC	Код авторизации
Аутентификация пользователя	Пользователь службы MC → Сервер IdM	Указание имени пользователя, пароля и учетных данных	Ответ аутентификации
Обмен токенами	Клиент IdM → Сервер IdM	Обмен токенами доступа с использованием кодов авторизации	Токен ID, токен доступа, токен обновления

После успешного завершения В процессе аутентификации система предоставит токен идентификации, токен доступа и токен обновления. Токен доступа ограничен службами, авторизованными пользователем, включая службу управления группами, службу управления ключами и службу MC. Эти токены будут использоваться для авторизации служб MCPTT, MCData и MCVideo соответственно.

Механизм обмена токенами

Стандарт вводит расширенный механизм обмена токенами для поддержки междоменного контроля доступа. После того, как пользователь службы MC получит токен доступа от своего домашнего сервера IdM, он может получить токен безопасности от домашнего сервера IdM посредством процедуры обмена токенами.

Токен безопасности может быть использован для получения токена доступа от сервера IdM партнерской системы, что позволит получить доступ к ресурсам в домене партнерской системы.

Этот механизм реализован на основе спецификации IETF RFC 8693 (OAuth 2.0 Token Exchange), обеспечивая техническую основу для взаимодействия критически важных сервисов в нескольких доменах.

---

HTTP-сущности и безопасная передача

Приложение A стандарта определяет функциональные требования к HTTP-сущностям, включая конкретные спецификации реализации HTTP-клиентов, HTTP-прокси и HTTP-серверов.

HTTP-сущность	Параметры конфигурации	Метод аутентификации TLS	Требования безопасности
HTTP-клиент в UE	Главная страница HTTP-прокси FQDN, порт, аутентификация туннеля TLS Метод	Односторонняя аутентификация на основе сертификата сервера, двусторонняя аутентификация на основе сертификата, двусторонняя аутентификация на основе предварительно согласованного ключа	Предотвращение атак типа «человек посередине», проверка подлинности сервера
HTTP-прокси	UE с использованием FQDN HTTP-прокси, доверенная сущность с использованием FQDN HTTP-прокси	Роль TLS-сервера	Пересылка запросов, обратный прокси, аутентификация
HTTP-сервер	Аутентификация с помощью токена Bearer, обработка подтвержденной идентификации X-3GPP	Аутентификация Bearer Схема	Аутентификация токенов, распознавание личности, контроль доступа

HTTP-прокси находится в том же домене доверия, что и HTTP-сервер в сети поставщика услуг MC. Он отвечает за завершение TLS-сессий между HTTP-клиентами и MC UE, позволяя HTTP-клиентам устанавливать единую TLS-сессию с несколькими HTTP-серверами для гипертекстовых транзакций.

---

Безопасность междоменных интерфейсов

Глава 7 стандарта определяет требования безопасности для междоменных и внутридоменных интерфейсов. Все механизмы безопасности обеспечиваются в соответствии с 3GPP TS 33.180. Это включает в себя:

Безопасная передача TLS: Все HTTP-коммуникации должны осуществляться через туннель TLS для обеспечения конфиденциальности и целостности передачи данных. Поддерживаются несколько методов аутентификации TLS, включая аутентификацию на основе сертификатов и на основе предварительно согласованных ключей.

Проверка токена Bearer: HTTP-сервер должен проверить токен доступа Bearer, содержащийся в поле заголовка Authorization, чтобы гарантировать, что доступ к защищенным ресурсам могут получить только клиенты, имеющие действительный токен.

Подтверждение личности: Для HTTP-клиентов в рамках сетевого объекта поле заголовка X-3GPP-Asserted-Identity используется для подтверждения личности клиента, которая может представлять собой идентификатор общедоступной службы, идентификатор группы служб MC или идентификатор службы MC.

---

Техническая эволюция и рекомендации по внедрению

История эволюции стандарта

Как видно из истории изменений стандарта, TS 24.482 прошел несколько итераций версий:

• Выпуск 13: Начальная версия, ориентированная на управление идентификацией для сервисов MCPTT
• Выпуск 14: Расширен для применения к нескольким сервисам MC, добавлена процедура обмена токенами
• Выпуск 15: Техническая оптимизация и исправления ошибок
• Выпуск 16: Интегрирует стандарт обмена токенами IETF RFC 8693, улучшая междоменный контроль доступа

Рекомендации по внедрению

Архитектурный дизайн системы: Модульная конструкция При внедрении следует разделять функции клиента, сервера и прокси-сервера управления идентификацией, чтобы обеспечить масштабируемость и удобство сопровождения системы.

**Конфигурация безопасности:** Строго настройте параметры TLS и методы аутентификации в соответствии с 3GPP TS 33.180 для обеспечения безопасности транспортного уровня. Для повышения безопасности рекомендуется использовать двустороннюю аутентификацию на основе сертификатов. **Управление токенами:** Внедрите комплексное управление жизненным циклом токенов, включая механизмы выпуска, проверки, обновления и отзыва токенов. Уделите особое внимание контролю безопасности при обмене токенами между доменами. **Тестирование совместимости:** Проведите тщательное тестирование совместимости перед развертыванием, чтобы убедиться, что устройства и сервисы от разных поставщиков могут нормально взаимодействовать в соответствии со стандартными спецификациями. **Мониторинг и аудит:** Создайте комплексный механизм мониторинга и аудита операций управления идентификацией для оперативного обнаружения и обработки инцидентов безопасности, отвечающий высоким требованиям надежности критически важных сервисов. **Управление безопасностью:** Внедрение этого стандарта обеспечит единую, безопасную и надежную основу для управления идентификацией в критически важных коммуникациях, поддерживая эффективную работу служб общественной безопасности и важных коммерческих приложений в сетях LTE.

ETSI TS 124 482-2020 История

• 2024 ETSI TS 124 482-2024 LTE; Управление идентификацией критически важных служб (MCS); Спецификация протокола (3GPP TS 24.482 версия 18.0.1 выпуск 18)
• 2022 ETSI TS 124 482-2022 LTE; Управление идентификацией критически важных служб (MCS); Спецификация протокола (3GPP TS 24.482 версия 17.1.0 выпуск 17)
• 2020 ETSI TS 124 482:2020 ЛТЕ; Управление идентификацией Mission Critical Services (MCS); Спецификация протокола (3GPP TS 24.482 версия 16.0.0 выпуск 16)
• 2018 ETSI TS 124 482-2018 LTE; Управление идентификацией критически важных служб (MCS); Спецификация протокола (3GPP TS 24.482 версия 14.3.0 выпуск 14)
• 2017 ETSI TS 124 482-2017 LTE; Управление идентификацией критически важных служб (MCS); Спецификация протокола (3GPP TS 24.482 версия 14.2.0 выпуск 14)

стандарты и спецификации