5G安全管理之认证与鉴权(AKA、EAP-AKA、密钥分发)
主题:认证与鉴权简介:参考:5G 核心网规划与应用(7.3.1)TS 33.5015G AKA 博客5G安全架构、PDN作者:ybb时间:2021年8月14日7.3.17.3.1-2(1)认证框架(2)启动认证和认证方法的选择(3)认证过程5G AKA认证过程(TS 33.501 6.1.3.2Authentication procedure for 5G AKA):5G AKA通过为归属网络提供
主题:5G安全管理(认证与鉴权)
简介:主要梳理了5G AKA、5G EAP-AKA’、基于DN-AAA的二次认证
参考:5G 核心网规划与应用(7.3.1)
TS 33.501
5G AKA 博客
5G安全架构、
PDN
作者:ybb
时间:2021年8月14日
7.3.1 认证和授权
7.3.1-2 初认证和密钥协议
(1)认证框架
(2)启动认证和认证方法的选择
(3)认证过程
5G AKA认证过程
(参考TS 33.501 6.1.3.2Authentication procedure for 5G AKA)
流程:
①获取鉴权数据
②UE和服务网络双向鉴权
③归属网络鉴权
5G AKA通过为归属网络提供来自访问网络的UE的认证成功的证明来增强EPS AKA,G该证明由访问网络在Authentication Confirmation消息中发送(5G AKA enhances EPS AKA by providing the home network with proof of successful authentication of the UE from the visited network. The proof is sent by the visited network in an Authentication Confirmation message. )
如果认证成功,在Nausf_UEAuthentication_Authenticate 响应消息中接收的秘钥KSEAF将会成为锚key,然后SEAF从KSEAF、ABBA参数和SUPI推导出KAMF,SEAF应向AMF提供ngKSI和KAMF
如果SUCI用于此认证,则SEAF仅在收到包含SUPI的Nausf_UEAuthentication_Authenticate 响应消息后才向AMF提供ngKSI和KAMF,在服务网络知道SUPI之前,不会向UE提供通信服务。
假设最后的验证未成功,如果UE在初始NAS消息中使用了SUCI,则SEAF应向UE发送拒绝认证消息;如果UE在初始NAS消息中使用了5G-GUTI,则SEAF/AMF将发起与UE的识别过程以检索SUCI,同时可能会发起新的认证过程。
注1:SUPI SUCI GUTI 加密与解密流程是如何实现的?体现了那些密码学的知识?
注2:鉴权中心生成AV,USIM完成鉴权。
注3:4G AKA?
5G EAP-AKA’ 认证过程
(TS 33.501 6.1.3.1Authentication procedure for EAP-AKA’)
流程:
①获取鉴权数据
②UE和SN双向鉴权
同步失败或者MAC失败:
(1)USIM中的同步失败或MAC故障
(2)归属网络中的同步故障恢复
7.3.1-2 基于DN-AAA的二次认证
( TS 33.501 11.1EAP based secondary authentication by an external DN-AAA server)
除了5G网络进行初次认证,5G网络还支持由外部DN-AAA进行基于EAP的二次认证(基于EAP框架)。
①CN对USIM进行主认证
②企业侧利用DN-AAA实现对终端的二次认证
SMF执行EAP身份验证器的角色,在归属路由部署的场景中,H-SMF执行EAP身份验证器的角色,V-SMF负责传送UE和H-SMF之间的交换的EAP消息,他依靠外部的DN-AAA服务器来认证和授权UE的PDU会话建立请求。充当EAP身份验证器角色的SMF通过UPF与DN-AAA服务器进行信息交互。
(UE ——N1—— AMF 、 SMF—— N4—— UPF
AMF ——N11—— SMF、UPF ——N6 ——DN)
(1)身份认证
(2)重新验证
7.3.1-2 密钥层次结构、密钥生成、密钥分发
(参考TS 33.501 6.2Key hierarchy, key derivation, and distribution scheme)
(1)密钥层次结构
(2)密钥生成
(3)密钥分发
(1)密钥层次结构:
认证相关的密钥:
5G AKA: K CK/IK
5G EAP-AKA’ CK/IK CK’/IK’
密钥层次结构包含的密钥:
KAUSF、KSEAF、KAMF、KNASint、KNASenc、KRRCint、KRRCenc、KUPint、KUPenc、KN3IWF、KgNB
KAUSF的两种生成方式:
①5G AKA:由UE和ARPF从CK和IK生成,KAUSF作为5G HE AV的一部分从ARPF得到。
②5G EAP-AKA’:由UE和AUSF从CK’和IK’生成,CK’和IK’作为AV的一部分从ARPF得到。
注:基于EAP-AKA’的认证是一种基于USIM的EAP认证方式,鉴权流程由AUSF承担鉴权职责,而AMF只负责推衍密钥和透传EAP消息。
KSEAF的生成方式:
由UE和AUSF从KAUSF生成锚KEY,在SN中,KSEAF由AUSF提供给SEAF.
KAMF由UE和SEAF从KSEAF生成,在执行横向密钥推导时,通过UE和AMF进行推导出KAMF
5G密钥生成的层次结构:
(TS 33.501 6.2Key hierarchy, key derivation, and distribution scheme)
(2)(3)密钥生成和分发
网络侧的密钥——UE侧的密钥
(4)用户相关密钥的处理
①密钥设置
②密钥识别
③密钥生命周期
NAS信令加密和完整性保护:
NAS安全模式命令流程
开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!
更多推荐
所有评论(0)