5G安全之认证与鉴权

主题:认证与鉴权
简介:主要梳理了5G AKA、5G EAP-AKA’、基于DN-AAA的二次认证
参考:5G 核心网规划与应用(7.3.1)
TS 33.501
5G AKA 博客
5G安全架构
PDN

作者:ybb
时间:2021年8月14日

7.3.1 认证和授权

7.3.1-2 初认证和密钥协议

(1)认证框架
(2)启动认证和认证方法的选择
(3)认证过程
5G AKA认证过程
(TS 33.501 6.1.3.2 Authentication procedure for 5G AKA):
流程:
①获取鉴权数据
②UE和服务网络双向鉴权
③归属网络鉴权

5G AKA通过为归属网络提供来自访问网络的UE的认证成功的证明来增强EPS AKA,G该证明由访问网络在Authentication Confirmation消息中发送(5G AKA enhances EPS AKA by providing the home network with proof of successful authentication of the UE from the visited network. The proof is sent by the visited network in an Authentication Confirmation message. )
5G安全之认证与鉴权
如果认证成功,在Nausf_UEAuthentication_Authenticate 响应消息中接收的秘钥KSEAF将会成为锚key,然后SEAF从KSEAF、ABBA参数和SUPI推导出KAMF,SEAF应向AMF提供ngKSI和KAMF

如果SUCI用于此认证,则SEAF仅在收到包含SUPI的Nausf_UEAuthentication_Authenticate 响应消息后才向AMF提供ngKSI和KAMF,在服务网络知道SUPI之前,不会向UE提供通信服务。

假设最后的验证未成功,如果UE在初始NAS消息中使用了SUCI,则SEAF应向UE发送拒绝认证消息;如果UE在初始NAS消息中使用了5G-GUTI,则SEAF/AMF将发起与UE的识别过程以检索SUCI,同时可能会发起新的认证过程。

注1:SUPI SUCI GUTI 加密与解密流程是如何实现的?体现了那些密码学的知识?

注2:鉴权中心生成AV,USIM完成鉴权。

注3:4G AKA?

5G EAP-AKA’ 认证过程
流程:
①获取鉴权数据
②UE和SN双向鉴权

5G安全之认证与鉴权

同步失败或者MAC失败:
(1)USIM中的同步失败或MAC故障
(2)归属网络中的同步故障恢复

7.3.1-2 基于DN-AAA的二次认证

除了5G网络进行初次认证,5G网络还支持由外部DN-AAA进行基于EAP的二次认证(基于EAP框架)。
①CN对USIM进行主认证
②企业侧利用DN-AAA实现对终端的二次认证

SMF执行EAP身份验证器的角色,在归属路由部署的场景中,H-SMF执行EAP身份验证器的角色,V-SMF负责传送UE和H-SMF之间的交换的EAP消息,他依靠外部的DN-AAA服务器来认证和授权UE的PDU会话建立请求。充当EAP身份验证器角色的SMF通过UPF的
(UE ——N1—— AMF 、 SMF—— N4—— UPF
AMF ——N11—— SMF、UPF ——N6 ——DN)
5G安全之认证与鉴权

(1)身份认证

(2)重新验证

7.3.1-2 密钥层次结构、密钥生成、密钥分发

(1)密钥层次结构
(2)密钥生成
(3)密钥分发

(1)密钥层次结构:
认证相关的密钥:
5G AKA: K CK/IK
5G EAP-AKA’ CK/IK CK’/IK’
密钥层次结构包含的密钥:
KAUSF、KSEAF、KAMF、KNASint、KNASenc、KRRCint、KRRCenc、KUPint、KUPenc、KN3IWF、KgNB

KAUSF的两种生成方式:
①5G AKA:由UE和ARPF从CK和IK生成,KAUSF作为5G HE AV的一部分从ARPF得到。
②5G EAP-AKA’:由UE和AUSF从CK’和IK’生成,CK’和IK’作为AV的一部分从ARPF得到。
注:基于EAP-AKA’的认证是一种基于USIM的EAP认证方式,鉴权流程由AUSF承担鉴权职责,而AMF只负责推衍密钥和透传EAP消息。
KSEAF的生成方式:
由UE和AUSF从KAUSF生成锚KEY,在SN中,KSEAF由AUSF提供给SEAF.
KAMF由UE和SEAF从KSEAF生成,在执行横向密钥推导时,通过UE和AMF进行推导出KAMF

5G密钥生成的层次结构:
5G安全之认证与鉴权
(2)(3)密钥生成和分发
网络侧的密钥——UE侧的密钥

(4)用户相关密钥的处理
①密钥设置
②密钥识别
③密钥生命周期

版权声明:玥玥 发表于 2021-08-17 22:06:28。
转载请注明:5G安全之认证与鉴权 | 女黑客导航