書籍來源：《5G核心網(wǎng) 賦能數(shù)字化時代》

一邊學(xué)習(xí)一邊整理內(nèi)容，并與大家分享，侵權(quán)即刪，謝謝支持！

附上匯總貼：5G核心網(wǎng)技術(shù)基礎(chǔ)自學(xué)系列 | 匯總_COCOgsta的博客-CSDN博客

---

8.3.1 概述

如上所述，網(wǎng)絡(luò)接入安全在許多方面是每種接入技術(shù)所特有的，但是也有很多共同點(diǎn)， 與4G/EPS相比， 5GS為3GPP和非3GPP的接入提供了更多的共通性， 例如， NAS 協(xié)議用于所有接入， 因此， 對于所有接入， 鑒權(quán)機(jī)制都可以基于NAS過程。同樣， 在所有接入中都以相同方式支持使用SUCI來隱藏永久標(biāo)識。在4G/EPS中， 即使所有接入均支持基于SIM卡的鑒權(quán)， 但接入之間的鑒權(quán)方法有所不同， 并且對永久標(biāo)識保護(hù)的處理方法也有所不同。但是，并不是所有地方都可以通用，因?yàn)檩^低層在接入類型之間還是有所不同。因此， 較低層的安全性在5GS的接入類型之間也有所不同(即3GPP接入中的RAN級安全性和非3GPP中的IPsec) 。

8.3.2 靈活性是5GS的一部分

與4G/EPS相比， 5GS的另一個新特點(diǎn)是5GS支持更多的靈活性和可配置性， 例如，5GS不僅支持IMSI作為永久簽約標(biāo)識， 還支持其他類型和簽約標(biāo)識格式。另外， 5GS可以支持不同類型的憑證和鑒權(quán)方法。與之前的3GPP一樣， 5GS也支持傳統(tǒng)的SIM卡， 而且現(xiàn)在的安全框架已足夠通用，所以其他類型的憑證(例如證書)也得到支持。然而，應(yīng)該指出的是，即使該框架是通用的， 3GPP Release 15仍側(cè)重于更“傳統(tǒng)”的簽約標(biāo)識(即IMSI) 和憑證(即基于SIM卡的憑證) 。在Release 15中，專用網(wǎng)絡(luò)可以支持其他類型的標(biāo)識、憑證和鑒權(quán)方法，但是幾乎沒有做任何規(guī)范工作來指定確切的詳細(xì)信息。預(yù)計(jì)隨著3GPP標(biāo)準(zhǔn)的演進(jìn)， 會更明確地支持新類型的標(biāo)識、憑證和鑒權(quán)方法， 并在以后的版本中提供例如對與有線接入集成的支持、對工業(yè)用例的增強(qiáng)支持?？傊?， 關(guān)鍵是Release 15安全框架已經(jīng)足夠靈活，可以在將來以一種直接的方式進(jìn)行此類添加。

8.3.3 用于網(wǎng)絡(luò)接入安全的安全實(shí)體

5G系統(tǒng)架構(gòu)在5G核心網(wǎng)中引人了一組安全實(shí)體。這些實(shí)體是邏輯實(shí)體，它們包含在第3章和第13章中描述的5GC網(wǎng)絡(luò)功能內(nèi)。為安全性定義單獨(dú)的邏輯實(shí)體的原因，是要維護(hù)一個可以映射到整個5GC網(wǎng)絡(luò)架構(gòu)的邏輯安全架構(gòu)。下面列出并簡要描述了這些安全實(shí)體， 并在圖.2中進(jìn)行了說明， 其中包括與5GC NF的關(guān)系， 但是有關(guān)如何使用它們的更多信息將在下面的單獨(dú)部分中更詳細(xì)地描述。

圖8.2 用于網(wǎng)絡(luò)接入安全的邏輯架構(gòu)

• ARPF(鑒權(quán)憑證存儲和處理功能) 。ARPF包含簽約者的憑證(即長期密鑰) 和簽約標(biāo)識SUPI。標(biāo)準(zhǔn)將ARPF與UDM NF相關(guān)聯(lián)， 即ARPF服務(wù)是通過UDM提供的， 并且在UDM和ARPF之間未定義開放接口?？梢宰⒁獾?， 作為一種部署選項(xiàng)， 用戶的憑證也可以存儲在UDR中。

• AUSF(鑒權(quán)服務(wù)器功能) 。AUSF被定義為5GC架構(gòu)中的獨(dú)立NF， 位于用戶的歸屬網(wǎng)絡(luò)中。它負(fù)責(zé)根據(jù)從UE和UDM/ARPF接收到的信息來處理歸屬網(wǎng)絡(luò)中的鑒權(quán)。

• SEAF(安全錨點(diǎn)功能) 。SEAF是由AMF提供的功能， 并基于從UE和AUSF接收的信息負(fù)責(zé)在提供服務(wù)的網(wǎng)絡(luò)(即訪問網(wǎng)絡(luò))中處理鑒權(quán)。

• SIDF（簽約標(biāo)識取消隱藏功能) 。SIDF是由歸屬網(wǎng)絡(luò)中的UDＭ NF提供的服務(wù)它負(fù)責(zé)從SUCI中解析SUPI。

8.3.4 5GS中的接入安全8.3.4.1 引言

從2G到3G， 再到4G， 再到現(xiàn)在的5G，3GPP移動網(wǎng)絡(luò)中的接入安全性一直在不斷發(fā)展。在某個時間點(diǎn)，也許可以認(rèn)為通信系統(tǒng)中的安全功能足夠安全，但是隨著計(jì)算能力的提高和攻擊方法的升級， 安全功能也需要升級換代。因此， 在開發(fā)每個新的3GPP系統(tǒng)時，目標(biāo)都是提供一種比前幾代產(chǎn)品領(lǐng)先一步的安全級別，以應(yīng)對新的威脅。

以鑒權(quán)為例， 當(dāng)開發(fā)GERAN(2G) 時， 有意加了一些限制， 例如， GERAN中沒有執(zhí)行相互鑒權(quán)， 在GERAN中， 只有網(wǎng)絡(luò)對終端進(jìn)行鑒權(quán)。當(dāng)時人們認(rèn)為， UE無須對網(wǎng)絡(luò)進(jìn)行鑒權(quán)， 因?yàn)槿魏稳硕疾惶赡芙阂獾腉ERAN網(wǎng)絡(luò)。當(dāng)開發(fā)UTRAN/UMTS (3G) 時， 進(jìn)行了某些增強(qiáng)以避免GERAN的某些局限性， 例如， 引入了相互鑒權(quán)。這些新的安全性過程是UMTS需要新型SIM卡的原因之一：即所謂的UMTS SIM(或簡稱為USIM) 。隨著E-UTRAN(4G) 的推出， 有了進(jìn)一步的增強(qiáng)， 例如， 根據(jù)所使用的服務(wù)網(wǎng)絡(luò)，允許更好地分離密鑰，這就避免了一個網(wǎng)絡(luò)中派生的密鑰在另一服務(wù)網(wǎng)絡(luò)中重復(fù)使用的風(fēng)險。然而， 對于4G/EPS， 人們決定不再需要新的SIM卡， 即USIM可以滿足對EUTRAN/4G(假設(shè)簽約允許) 的接入。因此， 4G所需的新功能是通過終端的軟件支持的。這同樣適用于5G， 即鑒權(quán)可以使用USIM卡， 并在終端上進(jìn)行軟件增強(qiáng)。

如果我們將5G接入安全性與4G接入安全性進(jìn)行一般性比較，可以發(fā)現(xiàn)有一些改進(jìn)。以下是一個概覽，我們將在本章稍后詳細(xì)描述它們：

• 改進(jìn)的隱私保護(hù)。永久簽約標(biāo)識(SUPI) 絕不會在5G中通過明文發(fā)送。在4G/EPS 中， 簽約標(biāo)識(IMSI) 的保護(hù)程度也很高， 但是在4G/EPS中， 可以使用IMSI尋呼UE以便應(yīng)對某些罕見的情況。

• UE和基站之間的用戶面數(shù)據(jù)的完整性保護(hù)(可選) 。4G/EPC支持加密， 但不支持完整性保護(hù)。在5G中啟用對用戶面數(shù)據(jù)的完整性保護(hù)的原因之一，是更好地服務(wù)于IoT用例， 其中IoT流量可能比語音流量更容易受到攻擊。

• 改善了漫游場景中的歸屬運(yùn)營商的控制。5G使得VPLMN和HPLMN都可以參與UE的實(shí)際鑒權(quán)， 并允許兩個運(yùn)營商驗(yàn)證UE已被鑒權(quán)。在4G/EPS中， 使用3GPP 接入時的實(shí)際鑒權(quán)將基于HPLMN提供的鑒權(quán)向量代理給VPLMN。

• 改進(jìn)的功能可支持基于SIM卡以外的憑證。在4G/EPC中， 基于SIM的鑒權(quán)是E-UTRAN唯一支持的鑒權(quán)方法， 而在5G中， 針對3GPP無線接入， 可以使用基于非SIM的憑證， 例如證書， 但是如下所述， Release 15中存在某些限制。

• 額外的安全可配置性。在4G/EPS中， 3GPP無線接入中的用戶面安全在eNB中始終是激活的， 即使加密算法可能為NULL。使用5GS， 網(wǎng)絡(luò)會根據(jù)UDM中的簽約數(shù)據(jù)在PDU會話建立時動態(tài)地進(jìn)行決策， 應(yīng)使用哪種UP安全性(加密或完整性保護(hù))。

• 與4G相比， 改進(jìn)了對初始NAS消息的保護(hù)， 從而還可以在初始NAS消息中保護(hù)某些信元。

8.3.4.2 接入安全概述

5GS中的接入安全包含不同的組件：

• UE和網(wǎng)絡(luò)之間的相互鑒權(quán)。

• 密鑰派生，用于建立獨(dú)立的密鑰以進(jìn)行加密和完整性保護(hù)，具有很強(qiáng)的密鑰分離性。

• UE和AMF之間NAS信令的加密、完整性和重放保護(hù)。

• UE和網(wǎng)絡(luò)之間控制面信令的加密、完整性和重放保護(hù)：對于3GPP接入， RRC信令在UE和gNB之間受到保護(hù)；對于非受信的非3GPP訪問， UE和N3IWF之間使用IKEv2和IPsec。

• 用戶面的加密和完整性保護(hù)：對于3GPP接入，可以對用戶面進(jìn)行加密，并在UE和gNB之間保護(hù)完整性； 對于非受信的非3GPP接入，可以對用戶面進(jìn)行加密，并在UE和N3IWF之間保護(hù)完整性。

• 隱私保護(hù)， 避免通過無線連接發(fā)送永久用戶標(biāo)識(SUPI) 。

圖8.3展示了網(wǎng)絡(luò)接入安全中的某些組件。

圖8.3 網(wǎng)絡(luò)接入安全概覽

我們將在下面進(jìn)一步詳細(xì)描述這些組件是如何工作的。

8.3.5 永久簽約標(biāo)識的隱藏

如上所述， 與EPC/4G相比， 5GS的一項(xiàng)安全改進(jìn)是對永久簽約標(biāo)識的全面保護(hù)。在4G/EPS中，在某些例外情況下， 當(dāng)MME無法基于GUTI識別UE時， 會以明文方式發(fā)送永久簽約標(biāo)識（IMSI）。但是，在5G中，絕不會以明文方式發(fā)送簽約永久標(biāo)識（SUPI），或者，更確切地說， SUPI中的特定于用戶的部分絕不會以明文方式通過空口發(fā)送。移動國家/地區(qū)代碼（MCC）和移動網(wǎng)絡(luò)代碼（MNC）仍必須以明文方式發(fā)送，這樣服務(wù)PLMN在漫游情況下可以找到歸屬PLMN。

UE在空口上不發(fā)送SUPI， 而是發(fā)送臨時ID(5G-GUTI) 或SUPI的隱藏版本， 稱為“簽約隱藏標(biāo)識(SUCI) ”。如果UE具有先前注冊的有效5G-GUTI， 則用與4G/EPS中類似的方式發(fā)送5G-GUTI。如果UE沒有可使用的5G-GUTI， 則發(fā)送SUCI。UE基于公開密鑰加密機(jī)制創(chuàng)建SUCI。UE將使用具有歸屬網(wǎng)絡(luò)公鑰的保護(hù)方案來生成SUCI， 該SUCI 在歸屬網(wǎng)絡(luò)的控制下已被安全地提供給UE， 然后， HPLMN(UDM/SIDF) 可以使用歸屬網(wǎng)絡(luò)專用密鑰從SUCI派生SUPI。圖8.4說明了SUCI格式以及在UE和網(wǎng)絡(luò)之間SUCI的使用。

圖8.4 SUPI隱藏和取消隱藏

8.3.6 主鑒權(quán)和密鑰派生概述8.3.6.1 概述

5GS中主鑒權(quán)和密鑰協(xié)商過程是為了實(shí)現(xiàn)UE與網(wǎng)絡(luò)之間的相互鑒權(quán)， 并提供可在后續(xù)安全過程中在UE與服務(wù)網(wǎng)絡(luò)之間使用的密鑰。

如上所述，鑒權(quán)是雙方相互證明自己是自己所聲稱的身份的過程。鑒權(quán)通?；诟鞣揭阎囊唤M憑證。憑證是鑒權(quán)的工具，鑒權(quán)雙方都知道它并可在鑒權(quán)過程中使用。憑證可以是各方可以訪問的相同的共享密鑰(例如在基于SIM的鑒權(quán)時， 也可以是各方擁有的各自的證書。

Release 15的5G公共網(wǎng)絡(luò)中的相互鑒權(quán)使用的是基于SIM的鑒權(quán)， 跟EPS中一樣，可以使用與EPS中相同的SIM卡(UMTS SIM卡) 。但是， 與EPS的主要區(qū)別在于， 5GS還支持不是基于USIM的憑證的主鑒權(quán)， 比如憑證還可以基于證書。但是，即使5GS安全框架支持基于非USIM的憑證， 在Release 15中標(biāo)準(zhǔn)化的唯一鑒權(quán)方法是基于AKA(即基于USIM）的?；谧C書的鑒權(quán)過程已在3GPP TS 33.501的資料性附錄中進(jìn)行了描述，但由于它是資料性的，并不正式屬于5GS標(biāo)準(zhǔn)，而只是對如何可以完成鑒權(quán)的一個描述。在今后的版本中， 可能會在基于非SIM的鑒權(quán)上做進(jìn)一步的工作。

在探討5GS的主要鑒權(quán)如何工作之前， 有必要回顧一下4G/EPS的主鑒權(quán)的定義方式。EPS支持基于SIM的鑒權(quán)過程的兩種鑒權(quán)方法：EPS AKA和EAP-AKA'， 采用哪種方法取決于UE連接的是哪種接入類型(3GPP TS 33.401和3GPP TS 33.402對此進(jìn)行了描述) 。EPS AKA是3GPP接入(E-UTRA、UTRA) 中使用的鑒權(quán)方法， 而基于IETF定義的可擴(kuò)展鑒權(quán)協(xié)議(EAP) 的EAP-AKA'則用于非3GPP接入。EAP框架在IETF REC 3758中(RFC 3758) 定義， 而EAP-AKA'在RFC 5448(RFC 5448) 中定義。EPS AKA和EAP-AKA'都是基于SIM卡憑證執(zhí)行相互鑒權(quán)的方法， 但是它們在UE和網(wǎng)絡(luò)之間執(zhí)行實(shí)際AKA算法的方式不同。

5GS中的主鑒權(quán)與它在EPS中的工作方式有相似的地方。在5GS中， 5G AKA和EAP-AKA'支持基本鑒權(quán)。5G AKA對應(yīng)于EPS AKA加上歸屬網(wǎng)絡(luò)控制， 而EAP-AKA'與EPS中使用的EAP方法相同。在這個層面上， 它看起來與EPS非常相似， 但是有兩個重要區(qū)別。

一個區(qū)別是， 在5GS中， 5G AKA和EAP-AKA'都可以在3GPP和非3GPP接入時使用。5G NAS協(xié)議支持同時使用5G AKA和EAP-AKA'進(jìn)行鑒權(quán)， 并且NAS協(xié)議可用于3GPP和非3GPP接入。因此， 鑒權(quán)方法不再像在EPS/4G中那樣與特定的接入技術(shù)相關(guān)。這意味著5G AKA不僅是用于3GPP接入(NR和E-UTRA) 的鑒權(quán)方法， 而且還可以用非3GPP接入的主鑒權(quán)。同樣， EAP-AKA'不僅用于非3GPP接入。5GS支持通過NAS進(jìn)行EAP鑒權(quán)， 因此3GPP接入中也可以使用基于EAP的鑒權(quán)。

另一個區(qū)別是， 5G AKA不僅是用“5G”替換EPS AKA的“EPS”， 它是EPS AKA的演進(jìn)， 其中增加了歸屬網(wǎng)絡(luò)控制。使用5G AKA， 歸屬運(yùn)營商將收到UE成功鑒權(quán)的加密性證明， 作為鑒權(quán)過程的一部分， 即HPLMN參與實(shí)際的5G AKA鑒權(quán)。使用EPS AKA時，MME(在服務(wù)/訪問的PLMN中) 在網(wǎng)絡(luò)側(cè)運(yùn)行鑒權(quán)過程， 并且只有MME驗(yàn)證結(jié)果。然后，MME將結(jié)果通知HPLMN（HSS），而歸屬PLMN不可能以密碼方式證明鑒權(quán)成功。但是， 使用5G AKA， 正如我們將在下面詳細(xì)介紹的， 服務(wù)/訪問的PLMN中的AMF/SEAF只是傳遞鑒權(quán)，因此，在這種情況下，歸屬PLMN將驗(yàn)證鑒權(quán)的結(jié)果并通知服務(wù)PLMN中的AMF/SEAF?？偠灾?使用EAP-AKA'時HPLMN有加密性證明、而使用EPS AKA時VPLMN有UE成功鑒權(quán)的加密性證明、5G AKA則允許VPLMN和HPLMN都具有鑒權(quán)成功的加密性證明。

5G AKA和EAP-AKA'的相互鑒權(quán)基于USIM和網(wǎng)絡(luò)都可以訪問相同的密鑰K。這是一個永久密鑰， 存儲在USIM和歸屬網(wǎng)絡(luò)的UDM/ARPF(或UDR) 中。密鑰K永遠(yuǎn)不會從UDM發(fā)送給任何其他的NF， 因此不會直接用于保護(hù)任何數(shù)據(jù)， 并且對于最終用戶甚至終端也不可見。取而代之的是USIM和UDM/ARPF(從密鑰K) 生成其他密鑰以便在鑒權(quán)過程中使用。然后，在鑒權(quán)過程中，終端和網(wǎng)絡(luò)中會生成附加密鑰，用于對用戶面和控制面數(shù)據(jù)進(jìn)行加密和完整性保護(hù)。例如，派生的密鑰之一用于保護(hù)用戶面，而另一密鑰用于保護(hù)NAS信令。之所以產(chǎn)生多個密鑰， 原因之一是為了提供密鑰分離并保護(hù)底層的共享密鑰K。有關(guān)密鑰派生和密鑰層級的更多信息，請參見8.3.9節(jié)。

后面我們將更加仔細(xì)地研究基于5G AKA的鑒權(quán)的工作原理， 以及EAP-AKA'的工作原理。但是首先，我們看一下鑒權(quán)是如何啟動的，包括取消隱藏簽約標(biāo)識和鑒權(quán)方法的選擇。

8.3.6.2 鑒權(quán)的發(fā)起和鑒權(quán)方法的選擇

選擇5G AKA還是EAP-AKA'取決于運(yùn)營商策略和配置。根據(jù)3GPP TS 33.501， UE 和服務(wù)網(wǎng)絡(luò)應(yīng)同時支持EAP-AKA'和5G AKA鑒權(quán)方法。當(dāng)UE發(fā)起向網(wǎng)絡(luò)的注冊并開始鑒權(quán)時， ARPF/UDM將確定要使用哪種鑒權(quán)方法(5G AKA或EAP-AKA') 。

在此起始步驟中， 如果需要， 還可以對SUCI進(jìn)行取消隱藏處理。如果UE提供了SUCI而不是5G-GUTI， 則網(wǎng)絡(luò)將執(zhí)行SUCI的取消隱藏處理以確定SUPI。有關(guān)SUCI取消隱藏的更多詳細(xì)信息，請參見8.3.5節(jié)。

鑒權(quán)方法選擇和SUCI取消隱藏的簡單流程如圖8.5所示。

圖8.5 鑒權(quán)的啟動

一旦確定了SUPI并選擇了鑒權(quán)方法， 便可開始實(shí)際的鑒權(quán)過程。下面我們首先介紹5G AKA， 然后介紹EAP-AKA'。

8.3.7 基于主鑒權(quán)的5GAKA

如上所述， 當(dāng)AMF/SEAF啟動鑒權(quán)， 并且UDM選擇使用5G AKA時， UDM/ARPF將生成5G歸屬環(huán)境鑒權(quán)向量(5G HE AV) ， 并將其提供給AUSF。類似于HSS在4G/EPS中生成AV的方式， UDM/ARPF首先生成一個初始的AV， 然后UDM/ARPF將導(dǎo)出5G專用的5G HE AV?！?G”AV由五個參數(shù)組成：預(yù)期結(jié)果(XRES) 、網(wǎng)絡(luò)鑒權(quán)令牌（AUTN）、兩個密鑰(CK和IK) 以及RAND。UDM/ARPF要導(dǎo)出5G特定的參數(shù)。Kausf是基于CK、IK、SQN等導(dǎo)出的。UDM/ARPF也計(jì)算XRES*。最后， UDM/ARPF應(yīng)該創(chuàng)建由RAND、AUTN、XRES*和Kausf組成的5G HE AV， 并將此5G HE AV提供給AUSF。熟悉3G和4G的讀者將看出， 初始鑒權(quán)向量就像是HSS/AuC發(fā)送給SGSN或MME在UTRAN中進(jìn)行接人鑒權(quán)的參數(shù)。對于3G/UMTS， CK和IK是發(fā)送到SGSN的。對于4G/E-UTRAN， CK和IK不會發(fā)送給MME， 而是HSS/AuC根據(jù)CK和IK以及其他參數(shù)(例如服務(wù)網(wǎng)絡(luò)標(biāo)識(SN ID) ) 生成新密鑰Kasme。對于5G， UDM/ARPF會根據(jù)CK和IK以及其他參數(shù)(例如服務(wù)網(wǎng)絡(luò)名) 生成Kausf。Kasme和Kausf的推導(dǎo)方法類似， 但輸入值略有不同。服務(wù)網(wǎng)絡(luò)ID包括服務(wù)網(wǎng)絡(luò)的移動國家/地區(qū)代碼(MCC) 和移動網(wǎng)絡(luò)代碼(MNC) 。包含SN ID的原因是， 要在不同的服務(wù)網(wǎng)絡(luò)之間提供密鑰分離， 以防止為一個服務(wù)網(wǎng)絡(luò)派生的密鑰被(錯誤地)用于另一服務(wù)網(wǎng)絡(luò)中。密鑰分離如圖8.6所示。

圖8.6 密鑰分離

Kausf與XRES*、AUTN和RAND一起構(gòu)成5G HE AV， 發(fā)送到AUSF。CK和IK永遠(yuǎn)不會離開UDM?？梢宰⒁獾?， 由UDM(用于5G) 和HSS(用于3G/4G) 生成的“根密鑰”都是不同的， 即3G的CK/IK、4G/E- UTRAN的Kasme和5G的Kausf。導(dǎo)出單獨(dú)的根密鑰可確保不同系統(tǒng)之間的強(qiáng)密鑰分離。

AUSF收到5G HE AV后， 將生成5G服務(wù)環(huán)境AV(5G SE AV) ， 這不同于將AV直接發(fā)送到服務(wù)PLMN的EPS AKA過程。但是， 如上所述， 在5G中， 歸屬PLMN也可以參與鑒權(quán)過程， 這就是AUSF生成單獨(dú)的5G SE AV的原因。AUSF存儲XRES和Kausf，并基于XRES和Kausf導(dǎo)出的Kseaf密鑰生成HXRES值， 然后， AUSF生成由XRES、AUTN和RAND組成的5G SE AV， 并將其發(fā)送給AMF/SEAF。密鑰Kseaf尚未發(fā)送到AMF/SEAF， 但如果鑒權(quán)成功， 將會隨后發(fā)送。

AV的生成在下面的圖8.7中描述。有關(guān)AV生成的更多詳細(xì)信息， 請參閱3GPP TS 33.501。

圖8.7 5G AKA的總體流程

AMF/SEAF存儲HXRES*， 并將RAND和AUTN發(fā)送給UE， 以便將它們提供給USIM。AUTN是UDM/ARPF根據(jù)密鑰K和SQN計(jì)算出的參數(shù)?，F(xiàn)在， USIM使用自己的密鑰K和SQN計(jì)算自己在AUTN中包含的MAC的版本， 并將其與從AMF/SEAF接收到的AUTN中的MAC進(jìn)行比較。如果它們一致， 則USIM認(rèn)為網(wǎng)絡(luò)已通過鑒權(quán)。然后，以密鑰Ｋ和挑戰(zhàn)RAND作為輸人參數(shù)， USIM使用加密功能來計(jì)算響應(yīng)RES。USIM還以與UTRAN相同的方式計(jì)算CK和IK(畢竟， 它是一個常規(guī)的UMTS SIM卡) 。當(dāng)終端從USM接收到RES、CK和IK時， 它將根據(jù)RES計(jì)算RES*， 并將RES發(fā)送回AMF/SEAF。AMF/SEAF根據(jù)RES計(jì)算HRES*， 并通過驗(yàn)證HRES是否等于從AUSF收到的HXRES來對終端進(jìn)行鑒權(quán)。然后， AMF/SEAF將RES轉(zhuǎn)發(fā)給AUSF， 以便AUSF（HPLMN）也可以執(zhí)行對UE的鑒權(quán)。AUSF將RES與從UDM/ARPF接收到的XRES*進(jìn)行比較， 并驗(yàn)證它們是否相等， 這樣就完成了相互鑒權(quán)。AUSF現(xiàn)在將計(jì)算SEAF密鑰(Kseaf)并發(fā)送到SEAF， 同時， UE使用CK和IK及其他信息以與UDM/ARPF相同的方式計(jì)算Kausf， 并且以與AUSF相同的方式來計(jì)算Kseaf。如果一切順利， 則UE和網(wǎng)絡(luò)互鑒權(quán)， 并且UE和AMF/SEAF現(xiàn)在具有相同的密鑰Kseaf(請注意， 密鑰K、CK、IK、Kausf或Kseaf從未在UE與網(wǎng)絡(luò)之間發(fā)送過) 。圖8.7說明了該流程。

現(xiàn)在剩下的就是計(jì)算用于保護(hù)數(shù)據(jù)的密鑰。稍后我們將描述密鑰層級結(jié)構(gòu)，但首先我們看看EAP-AKA'， 并了解它與5G AKA有何不同。

8.3.8 基于EAP-AKA'的主鑒權(quán)

IETF在RFC 3748中定義的可擴(kuò)展鑒權(quán)協(xié)議(EAP) 是一種用于執(zhí)行鑒權(quán)的協(xié)議框架，通常用在最終用戶設(shè)備和網(wǎng)絡(luò)之間。它最初是針對點(diǎn)對點(diǎn)協(xié)議(PPP)引入的，以允許在PPP上使用額外的鑒權(quán)方法。從那時起， 它也被引入了許多其他場景中。EAP本身并不是一種鑒權(quán)方法，而是用于實(shí)現(xiàn)特定鑒權(quán)方法的通用鑒權(quán)框架，因此，從某種意義上說，EAP是可擴(kuò)展的， 它可以支持不同的鑒權(quán)方法， 并允許在EAP框架內(nèi)定義新的鑒權(quán)方法。這些鑒權(quán)方法通常稱為EAP方法。有關(guān)EAP的更多詳細(xì)信息， 請參閱第14章。

EAP-AKA'是IETF在RFC 5448(RFC 5448) 中定義的EAP方法， 用于基于USIM卡的鑒權(quán)。如上所述， 它已在EPC/4G中用于非3GPP接入。在5GS中， EAP-AKA'扮演著更為重要的角色，因?yàn)楝F(xiàn)在可以將其作為主鑒權(quán)用于任何接入。

EAP-AKA'在UE和AUSF之間運(yùn)行， 如圖8.8所示。

如上文所述， 當(dāng)AMF/SEAF啟動鑒權(quán)， 并且UDM選擇使用EAP-AKA'時， UDM/ARPF將生成一個轉(zhuǎn)換的鑒權(quán)向量(AV)并將其提供給AUSF。這個來自UDM/ARPF的鑒權(quán)向量是鑒權(quán)過程的起點(diǎn)。AV'由五個參數(shù)組成：預(yù)期結(jié)果(XRES) 、網(wǎng)絡(luò)鑒權(quán)令牌(AUTN) 、兩個密鑰(CK'和IK') 以及RAND。該AV與4G/EPS中生成的AV非常相似， 不同之處在于CK和IK被CK'和IK'取代，CK'和IK'是CK和IK的5G變體，是從CK和IK以及服務(wù)網(wǎng)絡(luò)名導(dǎo)出的。因此，AV被稱為“轉(zhuǎn)換的鑒權(quán)向量”、并以撇號(AV')表示。

然后鑒權(quán)以類似于5G AKA的方式繼續(xù)， 區(qū)別在于AMF/SEAF除了轉(zhuǎn)發(fā)消息外沒有更多參與。只有AUSF會將從UE接收到的RES與XRES進(jìn)行比較。然后， AUSF將結(jié)果通知AMF/SEAF， 并將SEAF密鑰提供給SEAF。該過程如圖8.9所示。

圖8.9 EAP-AKA'的總體流程

剩下的就是計(jì)算用于保護(hù)數(shù)據(jù)的密鑰，這將在下一節(jié)描述。

8.3.9 密鑰派生和密鑰層級結(jié)構(gòu)

鑒權(quán)完成并建立了根密鑰后，必須為不同的目的派生新的密鑰。如上所述，重要的是避免將單個密鑰用于多種目的。UE和網(wǎng)絡(luò)之間的以下數(shù)據(jù)類型受到保護(hù)：

• UE和AMF之間的NAS信令。

• 對于3GPP接入：
• UE和NG-RAN之間的RRC信令。
• UE和eNB之間的用戶面數(shù)據(jù)。

• 對于非受信的非3GPP接入：
• UE和N3IWF之間的IKEv2信令。
• UE和N3IWF之間的用戶面數(shù)據(jù)。

上面的每組過程使用不同的加密和完整性保護(hù)密鑰。密鑰Kausf是在鑒權(quán)期間導(dǎo)出的歸屬網(wǎng)絡(luò)的“根密鑰”， UE和網(wǎng)絡(luò)用它導(dǎo)出其他密鑰。Kausf用于導(dǎo)出服務(wù)網(wǎng)絡(luò)的“根密鑰”Kseaf。然后用Kseaf導(dǎo)出Kamf。UE和AMF使用Kamf導(dǎo)出用于NAS信號的加密和完整性保護(hù)的密鑰(Knasenc和Knasint）。此外，AMF還派生一個密鑰(Kgnb) 并發(fā)送到gNB。gNB使用此密鑰來導(dǎo)出用于用戶面的加密的密鑰(Kupsec)、用戶面的完整性保護(hù)的密鑰（Kupint）以及UE和eNB之間RRC信令的加密和完整性保護(hù)的密鑰(Krrcenc和Krrcint）。UE導(dǎo)出與gNB相同的密鑰。對于非受信的非3GPP接入， AMF還派生一個密鑰(Kn3iwf)，該密鑰發(fā)送到N3IWF。IKEv2過程中使用此密鑰來導(dǎo)出UE和N3IWF之間的IPsec鑰。密鑰的“家族樹”通常稱為密鑰層級結(jié)構(gòu)。5GS的密鑰層級結(jié)構(gòu)如圖8.10所示(來源于3GPP TS 33.501) 。

圖8.10 5GS的密鑰層級結(jié)構(gòu)

一旦在UE和網(wǎng)絡(luò)中產(chǎn)生了密鑰，就可以開始對信令和用戶數(shù)據(jù)進(jìn)行加密和完整性保護(hù)。標(biāo)準(zhǔn)允許使用不同的加密算法，UE和網(wǎng)絡(luò)需要就特定連接使田何種算法達(dá)成一致。表8.1顯示了3GPP接入目前支持的NAS、RRC和UP加密的5G NR加密算法(NEA) 。

表8.1 3GPP接入中用于NAS、RRC和UP加密的加密算法

在UE、eNB和AMF中必須支持NEA0、128-NEA1和128-NEA2， 而對128-NEA3前支持是可選的。表8.2中展示了RRC、NAS信令和用戶面完整性保護(hù)目前支持的5G完整保護(hù)算法(NIA）。UE、eNB和AMF對算法128-NIA1和128-NIA2的支持是強(qiáng)制性，而對于128-NIA3的支持是可選的。用戶面的完整性保護(hù)支持是可選的。空完整性保護(hù)算法NIA0僅用于未鑒權(quán)的緊急呼叫。

表8.2 3GPP接入中用于NAS、RRC和UP完整性的完整性保護(hù)算法

有關(guān)5GS支持的加密和完整性算法的更多詳細(xì)信息， 請參見3GPP TS 33.501。

3GPP TS 33.501對UE和N3IWF之間的IPsec算法進(jìn)行了描述， 該算法引用了相關(guān)的IETF RFC。

8.3.10 NAS安全

如上所述， UE和AMF之間的NAS協(xié)議是加密的和受完整性保護(hù)的。在注冊過程中， 完成鑒權(quán)和密鑰派生后， 會導(dǎo)出用于保護(hù)NAS消息的密鑰。NAS安全性的處理方式與4G/EPS中類似， 但做了一些增強(qiáng)以加強(qiáng)對初始NAS消息的保護(hù)。初始NAS消息在這里是指注冊請求和服務(wù)請求消息，即用于開啟與5GC的通信的消息。

在4G/EPS中， 如果UE已有一個安全上下文， 則初始NAS消息將受到完整性保護(hù)，但不會被加密， 這樣做是為了即使MME已丟失了該UE的安全上下文或UE與MME之間不匹配， 作為接收方的MME也可以識別UE(例如基于GUTI) 。如果UE中沒有安全上下文， 則不會對初始NAS消息進(jìn)行加密或完整性保護(hù)。

5GS添加了對初始NAS消息進(jìn)行部分加密的支持， 以保護(hù)信元， 這些信元可能包含敏感信息， 而對于初始NAS消息的基本處理而言， AMF不需要查看這些信元， 因此， 這些消息將包含一些明文形式的信元(例如5G-GUTI、5G-S-TMSI、UE安全功能) 和一些經(jīng)過加密的信元(例如MM能力、請求的S-NSSAI等) 。如果UE有現(xiàn)成的安全上下文，則可以這樣做。在UE沒有任何安全上下文的情況下， 初始NAS消息僅包含明文信元，其余的信元將在建立NAS安全性之后進(jìn)行加密和完整性保護(hù)。

8.3.11 更新USIM內(nèi)容， 包括漫游導(dǎo)向

與4G/EPS相比， 5GC的另一個新功能是UDM可以通過安全通信向UE提供信息以更新USIM中的漫游PLMN列表。此功能稱為漫游控制， 在3GPP TS 23.122和3GPP TS 33.501中進(jìn)行了描述。

該功能允許UDM將導(dǎo)向信息列表(包含有關(guān)首選和禁止的PLMN的信息) 發(fā)送到AUSF。AUSF然后基于Kausf“根密鑰”和其他信息， 為列表計(jì)算消息鑒權(quán)代碼(MAC)，并將結(jié)果提供給UDM。UDM可以將導(dǎo)向信息列表與MAC一起(通過AMF) 再發(fā)送給UE。UE驗(yàn)證MAC值， 然后接受并使用新的信息更新USIM。

8.3.12 與EPS/4G互通8.3.12.1 概述

與EPS/4G互通是一項(xiàng)重要功能， 5G規(guī)范的制定， 涵蓋了此類互通安全方面的解決方案。在本書中， 我們不會詳細(xì)描述適用于4G/EPS的安全功能。有興趣的讀者可以參考有關(guān)EPS的書籍， 例如， 參見Olsson等人(2012) 的著作。下面的討論集中在EPS/4G和5GS之間的互通。

如第3、7和12章所述， 當(dāng)與EPS互通時， UE可以在單注冊或雙注冊模式下運(yùn)行。互通的安全性在很大程度上取決于UE是使用單注冊還是雙注冊模式。下面我們將分別描述每種情況。

8.3.12.2 單注冊模式

在單注冊模式下運(yùn)行時， 有兩種情況， 取決于運(yùn)營商網(wǎng)絡(luò)是否支持AMF和MME之間的N26接口。

有N26的單注冊模式

當(dāng)UE從EPS/4G移至5GS時， 存在在目標(biāo)接入中建立安全上下文的不同可能性。一種可能性是當(dāng)UE進(jìn)入新的接入時執(zhí)行新的鑒權(quán)和密鑰協(xié)商過程。但是，為了減少在5GS和EPS/E-UTRAN之間進(jìn)行切換造成的時延， 可能不希望這么做， 相反， 切換可以基于原生或映射的安全上下文。如果UE之前已通過運(yùn)行5G AKA或EAP-AKA'在5GS接入中建立了原生安全上下文， 然后移至EPS并隨后返回5GS， 則UE和網(wǎng)絡(luò)可能已為5GS緩存了原生安全上下文， 包括上一次UE使用5GS時的原生Kausf。這樣， 在RAT間切換期間， 目標(biāo)接入就不需要完整的AKA過程。如果原生上下文不可用， 則可以將源接入中使用的安全上下文映射到目標(biāo)接入的安全上下文。在不同的3GPP接入點(diǎn)之間移動時， 此安全上下文的映射是被支持的， 但當(dāng)從比如4G/EPS移動到5GS中非受信的非3GPP接入時， 不支持。當(dāng)執(zhí)行映射時， UE和AMF基于源接入中使用的密鑰(例如AMF在4G安全上下文中從MME接收到的Kasme) 導(dǎo)出適用于目標(biāo)接入的密鑰(例如Kamf），該映射基于一個加密的密鑰導(dǎo)出函數(shù)(KDF)，它具有保護(hù)源上下文免受映射的目標(biāo)上下文影響的屬性。這樣可以確保如果攻擊者破壞了映射的上下文，則他們不會獲得有關(guān)映射它的源上下文的信息。AMF還可以選擇啟動主鑒權(quán)過程， 以創(chuàng)建新的原生的5G安全上下文。

當(dāng)UE朝另一個方向移動時， 即從5GS到EPS， AMF充當(dāng)EPS中目標(biāo)MME的源MME(即AMF扮演MME的角色) 。AMF將導(dǎo)出映射的EPS安全上下文(包括例如從Kamf派生的Kasme) ， 并且在切換期間作為UE上下文的一部分提供給MME。

無N26的單注冊模式

當(dāng)不支持N26時， AMF和MME之間不存在用于傳輸U(kuò)E安全上下文的接口。因此，在這種情況下，不可能在目標(biāo)接入中使用映射的安全上下文，而是UE和網(wǎng)絡(luò)需要在目標(biāo)接入中重用現(xiàn)有的原生安全上下文(如果它存在并且已經(jīng)在之前對目標(biāo)系統(tǒng)接入時緩存過了)。如果不存在緩存的原生安全上下文，則UE和網(wǎng)絡(luò)需要在目標(biāo)接入中執(zhí)行新的鑒權(quán)過程。

8.3.12.3 雙注冊模式

當(dāng)使用雙注冊模式時， UE同時注冊到EPS和5GS， 因此將使用兩個不同的安全上下文， EPS安全上下文和5G安全上下文。顯然， EPS安全上下文用于訪問EPS， 5G安全上下文用于訪問5GS。當(dāng)UE在兩個系統(tǒng)之間移動時，即所謂的系統(tǒng)間移動性，UE將使用與目標(biāo)系統(tǒng)匹配的安全上下文， 例如， 當(dāng)目標(biāo)系統(tǒng)是EPS時， UE將開始使用EPS安全上下文。當(dāng)訪問EPS時， 將使用為EPS/4G定義的安全功能， 如3GPP TS 33.401和Olsson 等人(2012)的著作中進(jìn)一步描述的。