5G核心网技术基础自学系列 | 网络接入安全
书籍来源:《5G核心网 赋能数字化时代》
一边学习一边整理内容,并与大家分享,侵权即删,谢谢支持!
附上汇总贴:5G核心网技术基础自学系列 | 汇总_COCOgsta的博客-CSDN博客
8.3.1 概述
如上所述,网络接入安全在许多方面是每种接入技术所特有的,但是也有很多共同点, 与4G/EPS相比, 5GS为3GPP和非3GPP的接入提供了更多的共通性, 例如, NAS 协议用于所有接入, 因此, 对于所有接入, 鉴权机制都可以基于NAS过程。同样, 在所有接入中都以相同方式支持使用SUCI来隐藏永久标识。在4G/EPS中, 即使所有接入均支持基于SIM卡的鉴权, 但接入之间的鉴权方法有所不同, 并且对永久标识保护的处理方法也有所不同。但是,并不是所有地方都可以通用,因为较低层在接入类型之间还是有所不同。因此, 较低层的安全性在5GS的接入类型之间也有所不同(即3GPP接入中的RAN级安全性和非3GPP中的IPsec) 。
8.3.2 灵活性是5GS的一部分
与4G/EPS相比, 5GS的另一个新特点是5GS支持更多的灵活性和可配置性, 例如,5GS不仅支持IMSI作为永久签约标识, 还支持其他类型和签约标识格式。另外, 5GS可以支持不同类型的凭证和鉴权方法。与之前的3GPP一样, 5GS也支持传统的SIM卡, 而且现在的安全框架已足够通用,所以其他类型的凭证(例如证书)也得到支持。然而,应该指出的是,即使该框架是通用的, 3GPP Release 15仍侧重于更“传统”的签约标识(即IMSI) 和凭证(即基于SIM卡的凭证) 。在Release 15中,专用网络可以支持其他类型的标识、凭证和鉴权方法,但是几乎没有做任何规范工作来指定确切的详细信息。预计随着3GPP标准的演进, 会更明确地支持新类型的标识、凭证和鉴权方法, 并在以后的版本中提供例如对与有线接入集成的支持、对工业用例的增强支持。总之, 关键是Release 15安全框架已经足够灵活,可以在将来以一种直接的方式进行此类添加。
8.3.3 用于网络接入安全的安全实体
5G系统架构在5G核心网中引人了一组安全实体。这些实体是逻辑实体,它们包含在第3章和第13章中描述的5GC网络功能内。为安全性定义单独的逻辑实体的原因,是要维护一个可以映射到整个5GC网络架构的逻辑安全架构。下面列出并简要描述了这些安全实体, 并在图.2中进行了说明, 其中包括与5GC NF的关系, 但是有关如何使用它们的更多信息将在下面的单独部分中更详细地描述。
图8.2 用于网络接入安全的逻辑架构
- ARPF(鉴权凭证存储和处理功能) 。ARPF包含签约者的凭证(即长期密钥) 和签约标识SUPI。标准将ARPF与UDM NF相关联, 即ARPF服务是通过UDM提供的, 并且在UDM和ARPF之间未定义开放接口。可以注意到, 作为一种部署选项, 用户的凭证也可以存储在UDR中。
- AUSF(鉴权服务器功能) 。AUSF被定义为5GC架构中的独立NF, 位于用户的归属网络中。它负责根据从UE和UDM/ARPF接收到的信息来处理归属网络中的鉴权。
- SEAF(安全锚点功能) 。SEAF是由AMF提供的功能, 并基于从UE和AUSF接收的信息负责在提供服务的网络(即访问网络)中处理鉴权。
- SIDF(签约标识取消隐藏功能) 。SIDF是由归属网络中的UDM NF提供的服务它负责从SUCI中解析SUPI。
8.3.4 5GS中的接入安全
8.3.4.1 引言
从2G到3G, 再到4G, 再到现在的5G,3GPP移动网络中的接入安全性一直在不断发展。在某个时间点,也许可以认为通信系统中的安全功能足够安全,但是随着计算能力的提高和攻击方法的升级, 安全功能也需要升级换代。因此, 在开发每个新的3GPP系统时,目标都是提供一种比前几代产品领先一步的安全级别,以应对新的威胁。
以鉴权为例, 当开发GERAN(2G) 时, 有意加了一些限制, 例如, GERAN中没有执行相互鉴权, 在GERAN中, 只有网络对终端进行鉴权。当时人们认为, UE无须对网络进行鉴权, 因为任何人都不太可能建立恶意的GERAN网络。当开发UTRAN/UMTS (3G) 时, 进行了某些增强以避免GERAN的某些局限性, 例如, 引入了相互鉴权。这些新的安全性过程是UMTS需要新型SIM卡的原因之一:即所谓的UMTS SIM(或简称为USIM) 。随着E-UTRAN(4G) 的推出, 有了进一步的增强, 例如, 根据所使用的服务网络,允许更好地分离密钥,这就避免了一个网络中派生的密钥在另一服务网络中重复使用的风险。然而, 对于4G/EPS, 人们决定不再需要新的SIM卡, 即USIM可以满足对EUTRAN/4G(假设签约允许) 的接入。因此, 4G所需的新功能是通过终端的软件支持的。这同样适用于5G, 即鉴权可以使用USIM卡, 并在终端上进行软件增强。
如果我们将5G接入安全性与4G接入安全性进行一般性比较,可以发现有一些改进。以下是一个概览,我们将在本章稍后详细描述它们:
- 改进的隐私保护。永久签约标识(SUPI) 绝不会在5G中通过明文发送。在4G/EPS 中, 签约标识(IMSI) 的保护程度也很高, 但是在4G/EPS中, 可以使用IMSI寻呼UE以便应对某些罕见的情况。
- UE和基站之间的用户面数据的完整性保护(可选) 。4G/EPC支持加密, 但不支持完整性保护。在5G中启用对用户面数据的完整性保护的原因之一,是更好地服务于IoT用例, 其中IoT流量可能比语音流量更容易受到攻击。
- 改善了漫游场景中的归属运营商的控制。5G使得VPLMN和HPLMN都可以参与UE的实际鉴权, 并允许两个运营商验证UE已被鉴权。在4G/EPS中, 使用3GPP 接入时的实际鉴权将基于HPLMN提供的鉴权向量代理给VPLMN。
- 改进的功能可支持基于SIM卡以外的凭证。在4G/EPC中, 基于SIM的鉴权是E-UTRAN唯一支持的鉴权方法, 而在5G中, 针对3GPP无线接入, 可以使用基于非SIM的凭证, 例如证书, 但是如下所述, Release 15中存在某些限制。
- 额外的安全可配置性。在4G/EPS中, 3GPP无线接入中的用户面安全在eNB中始终是激活的, 即使加密算法可能为NULL。使用5GS, 网络会根据UDM中的签约数据在PDU会话建立时动态地进行决策, 应使用哪种UP安全性(加密或完整性保护)。
- 与4G相比, 改进了对初始NAS消息的保护, 从而还可以在初始NAS消息中保护某些信元。
8.3.4.2 接入安全概述
5GS中的接入安全包含不同的组件:
- UE和网络之间的相互鉴权。
- 密钥派生,用于建立独立的密钥以进行加密和完整性保护,具有很强的密钥分离性。
- UE和AMF之间NAS信令的加密、完整性和重放保护。
- UE和网络之间控制面信令的加密、完整性和重放保护:对于3GPP接入, RRC信令在UE和gNB之间受到保护;对于非受信的非3GPP访问, UE和N3IWF之间使用IKEv2和IPsec。
- 用户面的加密和完整性保护:对于3GPP接入,可以对用户面进行加密,并在UE和gNB之间保护完整性; 对于非受信的非3GPP接入,可以对用户面进行加密,并在UE和N3IWF之间保护完整性。
- 隐私保护, 避免通过无线连接发送永久用户标识(SUPI) 。
图8.3展示了网络接入安全中的某些组件。
图8.3 网络接入安全概览
我们将在下面进一步详细描述这些组件是如何工作的。
8.3.5 永久签约标识的隐藏
如上所述, 与EPC/4G相比, 5GS的一项安全改进是对永久签约标识的全面保护。在4G/EPS中,在某些例外情况下, 当MME无法基于GUTI识别UE时, 会以明文方式发送永久签约标识(IMSI)。但是,在5G中,绝不会以明文方式发送签约永久标识(SUPI),或者,更确切地说, SUPI中的特定于用户的部分绝不会以明文方式通过空口发送。移动国家/地区代码(MCC)和移动网络代码(MNC)仍必须以明文方式发送,这样服务PLMN在漫游情况下可以找到归属PLMN。
UE在空口上不发送SUPI, 而是发送临时ID(5G-GUTI) 或SUPI的隐藏版本, 称为“签约隐藏标识(SUCI) ”。如果UE具有先前注册的有效5G-GUTI, 则用与4G/EPS中类似的方式发送5G-GUTI。如果UE没有可使用的5G-GUTI, 则发送SUCI。UE基于公开密钥加密机制创建SUCI。UE将使用具有归属网络公钥的保护方案来生成SUCI, 该SUCI 在归属网络的控制下已被安全地提供给UE, 然后, HPLMN(UDM/SIDF) 可以使用归属网络专用密钥从SUCI派生SUPI。图8.4说明了SUCI格式以及在UE和网络之间SUCI的使用。
图8.4 SUPI隐藏和取消隐藏
8.3.6 主鉴权和密钥派生概述
8.3.6.1 概述
5GS中主鉴权和密钥协商过程是为了实现UE与网络之间的相互鉴权, 并提供可在后续安全过程中在UE与服务网络之间使用的密钥。
如上所述,鉴权是双方相互证明自己是自己所声称的身份的过程。鉴权通常基于各方已知的一组凭证。凭证是鉴权的工具,鉴权双方都知道它并可在鉴权过程中使用。凭证可以是各方可以访问的相同的共享密钥(例如在基于SIM的鉴权时, 也可以是各方拥有的各自的证书。
Release 15的5G公共网络中的相互鉴权使用的是基于SIM的鉴权, 跟EPS中一样,可以使用与EPS中相同的SIM卡(UMTS SIM卡) 。但是, 与EPS的主要区别在于, 5GS还支持不是基于USIM的凭证的主鉴权, 比如凭证还可以基于证书。但是,即使5GS安全框架支持基于非USIM的凭证, 在Release 15中标准化的唯一鉴权方法是基于AKA(即基于USIM)的。基于证书的鉴权过程已在3GPP TS 33.501的资料性附录中进行了描述,但由于它是资料性的,并不正式属于5GS标准,而只是对如何可以完成鉴权的一个描述。在今后的版本中, 可能会在基于非SIM的鉴权上做进一步的工作。
在探讨5GS的主要鉴权如何工作之前, 有必要回顾一下4G/EPS的主鉴权的定义方式。EPS支持基于SIM的鉴权过程的两种鉴权方法:EPS AKA和EAP-AKA', 采用哪种方法取决于UE连接的是哪种接入类型(3GPP TS 33.401和3GPP TS 33.402对此进行了描述) 。EPS AKA是3GPP接入(E-UTRA、UTRA) 中使用的鉴权方法, 而基于IETF定义的可扩展鉴权协议(EAP) 的EAP-AKA'则用于非3GPP接入。EAP框架在IETF REC 3758中(RFC 3758) 定义, 而EAP-AKA'在RFC 5448(RFC 5448) 中定义。EPS AKA和EAP-AKA'都是基于SIM卡凭证执行相互鉴权的方法, 但是它们在UE和网络之间执行实际AKA算法的方式不同。
5GS中的主鉴权与它在EPS中的工作方式有相似的地方。在5GS中, 5G AKA和EAP-AKA'支持基本鉴权。5G AKA对应于EPS AKA加上归属网络控制, 而EAP-AKA'与EPS中使用的EAP方法相同。在这个层面上, 它看起来与EPS非常相似, 但是有两个重要区别。
一个区别是, 在5GS中, 5G AKA和EAP-AKA'都可以在3GPP和非3GPP接入时使用。5G NAS协议支持同时使用5G AKA和EAP-AKA'进行鉴权, 并且NAS协议可用于3GPP和非3GPP接入。因此, 鉴权方法不再像在EPS/4G中那样与特定的接入技术相关。这意味着5G AKA不仅是用于3GPP接入(NR和E-UTRA) 的鉴权方法, 而且还可以用非3GPP接入的主鉴权。同样, EAP-AKA'不仅用于非3GPP接入。5GS支持通过NAS进行EAP鉴权, 因此3GPP接入中也可以使用基于EAP的鉴权。
另一个区别是, 5G AKA不仅是用“5G”替换EPS AKA的“EPS”, 它是EPS AKA的演进, 其中增加了归属网络控制。使用5G AKA, 归属运营商将收到UE成功鉴权的加密性证明, 作为鉴权过程的一部分, 即HPLMN参与实际的5G AKA鉴权。使用EPS AKA时,MME(在服务/访问的PLMN中) 在网络侧运行鉴权过程, 并且只有MME验证结果。然后,MME将结果通知HPLMN(HSS),而归属PLMN不可能以密码方式证明鉴权成功。但是, 使用5G AKA, 正如我们将在下面详细介绍的, 服务/访问的PLMN中的AMF/SEAF只是传递鉴权,因此,在这种情况下,归属PLMN将验证鉴权的结果并通知服务PLMN中的AMF/SEAF。总而言之, 使用EAP-AKA'时HPLMN有加密性证明、而使用EPS AKA时VPLMN有UE成功鉴权的加密性证明、5G AKA则允许VPLMN和HPLMN都具有鉴权成功的加密性证明。
5G AKA和EAP-AKA'的相互鉴权基于USIM和网络都可以访问相同的密钥K。这是一个永久密钥, 存储在USIM和归属网络的UDM/ARPF(或UDR) 中。密钥K永远不会从UDM发送给任何其他的NF, 因此不会直接用于保护任何数据, 并且对于最终用户甚至终端也不可见。取而代之的是USIM和UDM/ARPF(从密钥K) 生成其他密钥以便在鉴权过程中使用。然后,在鉴权过程中,终端和网络中会生成附加密钥,用于对用户面和控制面数据进行加密和完整性保护。例如,派生的密钥之一用于保护用户面,而另一密钥用于保护NAS信令。之所以产生多个密钥, 原因之一是为了提供密钥分离并保护底层的共享密钥K。有关密钥派生和密钥层级的更多信息,请参见8.3.9节。
后面我们将更加仔细地研究基于5G AKA的鉴权的工作原理, 以及EAP-AKA'的工作原理。但是首先,我们看一下鉴权是如何启动的,包括取消隐藏签约标识和鉴权方法的选择。
8.3.6.2 鉴权的发起和鉴权方法的选择
选择5G AKA还是EAP-AKA'取决于运营商策略和配置。根据3GPP TS 33.501, UE 和服务网络应同时支持EAP-AKA'和5G AKA鉴权方法。当UE发起向网络的注册并开始鉴权时, ARPF/UDM将确定要使用哪种鉴权方法(5G AKA或EAP-AKA') 。
在此起始步骤中, 如果需要, 还可以对SUCI进行取消隐藏处理。如果UE提供了SUCI而不是5G-GUTI, 则网络将执行SUCI的取消隐藏处理以确定SUPI。有关SUCI取消隐藏的更多详细信息,请参见8.3.5节。
鉴权方法选择和SUCI取消隐藏的简单流程如图8.5所示。
图8.5 鉴权的启动
一旦确定了SUPI并选择了鉴权方法, 便可开始实际的鉴权过程。下面我们首先介绍5G AKA, 然后介绍EAP-AKA'。
8.3.7 基于主鉴权的5GAKA
如上所述, 当AMF/SEAF启动鉴权, 并且UDM选择使用5G AKA时, UDM/ARPF将生成5G归属环境鉴权向量(5G HE AV) , 并将其提供给AUSF。类似于HSS在4G/EPS中生成AV的方式, UDM/ARPF首先生成一个初始的AV, 然后UDM/ARPF将导出5G专用的5G HE AV。“4G”AV由五个参数组成:预期结果(XRES) 、网络鉴权令牌(AUTN)、两个密钥(CK和IK) 以及RAND。UDM/ARPF要导出5G特定的参数。Kausf是基于CK、IK、SQN等导出的。UDM/ARPF也计算XRES*。最后, UDM/ARPF应该创建由RAND、AUTN、XRES*和Kausf组成的5G HE AV, 并将此5G HE AV提供给AUSF。熟悉3G和4G的读者将看出, 初始鉴权向量就像是HSS/AuC发送给SGSN或MME在UTRAN中进行接人鉴权的参数。对于3G/UMTS, CK和IK是发送到SGSN的。对于4G/E-UTRAN, CK和IK不会发送给MME, 而是HSS/AuC根据CK和IK以及其他参数(例如服务网络标识(SN ID) ) 生成新密钥Kasme。对于5G, UDM/ARPF会根据CK和IK以及其他参数(例如服务网络名) 生成Kausf。Kasme和Kausf的推导方法类似, 但输入值略有不同。服务网络ID包括服务网络的移动国家/地区代码(MCC) 和移动网络代码(MNC) 。包含SN ID的原因是, 要在不同的服务网络之间提供密钥分离, 以防止为一个服务网络派生的密钥被(错误地)用于另一服务网络中。密钥分离如图8.6所示。
图8.6 密钥分离
Kausf与XRES*、AUTN和RAND一起构成5G HE AV, 发送到AUSF。CK和IK永远不会离开UDM。可以注意到, 由UDM(用于5G) 和HSS(用于3G/4G) 生成的“根密钥”都是不同的, 即3G的CK/IK、4G/E- UTRAN的Kasme和5G的Kausf。导出单独的根密钥可确保不同系统之间的强密钥分离。
AUSF收到5G HE AV后, 将生成5G服务环境AV(5G SE AV) , 这不同于将AV直接发送到服务PLMN的EPS AKA过程。但是, 如上所述, 在5G中, 归属PLMN也可以参与鉴权过程, 这就是AUSF生成单独的5G SE AV的原因。AUSF存储XRES和Kausf,并基于XRES和Kausf导出的Kseaf密钥生成HXRES值, 然后, AUSF生成由XRES、AUTN和RAND组成的5G SE AV, 并将其发送给AMF/SEAF。密钥Kseaf尚未发送到AMF/SEAF, 但如果鉴权成功, 将会随后发送。
AV的生成在下面的图8.7中描述。有关AV生成的更多详细信息, 请参阅3GPP TS 33.501。
图8.7 5G AKA的总体流程
AMF/SEAF存储HXRES*, 并将RAND和AUTN发送给UE, 以便将它们提供给USIM。AUTN是UDM/ARPF根据密钥K和SQN计算出的参数。现在, USIM使用自己的密钥K和SQN计算自己在AUTN中包含的MAC的版本, 并将其与从AMF/SEAF接收到的AUTN中的MAC进行比较。如果它们一致, 则USIM认为网络已通过鉴权。然后,以密钥K和挑战RAND作为输人参数, USIM使用加密功能来计算响应RES。USIM还以与UTRAN相同的方式计算CK和IK(毕竟, 它是一个常规的UMTS SIM卡) 。当终端从USM接收到RES、CK和IK时, 它将根据RES计算RES*, 并将RES发送回AMF/SEAF。AMF/SEAF根据RES计算HRES*, 并通过验证HRES是否等于从AUSF收到的HXRES来对终端进行鉴权。然后, AMF/SEAF将RES转发给AUSF, 以便AUSF(HPLMN)也可以执行对UE的鉴权。AUSF将RES与从UDM/ARPF接收到的XRES*进行比较, 并验证它们是否相等, 这样就完成了相互鉴权。AUSF现在将计算SEAF密钥(Kseaf)并发送到SEAF, 同时, UE使用CK和IK及其他信息以与UDM/ARPF相同的方式计算Kausf, 并且以与AUSF相同的方式来计算Kseaf。如果一切顺利, 则UE和网络互鉴权, 并且UE和AMF/SEAF现在具有相同的密钥Kseaf(请注意, 密钥K、CK、IK、Kausf或Kseaf从未在UE与网络之间发送过) 。图8.7说明了该流程。
现在剩下的就是计算用于保护数据的密钥。稍后我们将描述密钥层级结构,但首先我们看看EAP-AKA', 并了解它与5G AKA有何不同。
8.3.8 基于EAP-AKA'的主鉴权
IETF在RFC 3748中定义的可扩展鉴权协议(EAP) 是一种用于执行鉴权的协议框架,通常用在最终用户设备和网络之间。它最初是针对点对点协议(PPP)引入的,以允许在PPP上使用额外的鉴权方法。从那时起, 它也被引入了许多其他场景中。EAP本身并不是一种鉴权方法,而是用于实现特定鉴权方法的通用鉴权框架,因此,从某种意义上说,EAP是可扩展的, 它可以支持不同的鉴权方法, 并允许在EAP框架内定义新的鉴权方法。这些鉴权方法通常称为EAP方法。有关EAP的更多详细信息, 请参阅第14章。
EAP-AKA'是IETF在RFC 5448(RFC 5448) 中定义的EAP方法, 用于基于USIM卡的鉴权。如上所述, 它已在EPC/4G中用于非3GPP接入。在5GS中, EAP-AKA'扮演着更为重要的角色,因为现在可以将其作为主鉴权用于任何接入。
EAP-AKA'在UE和AUSF之间运行, 如图8.8所示。
如上文所述, 当AMF/SEAF启动鉴权, 并且UDM选择使用EAP-AKA'时, UDM/ARPF将生成一个转换的鉴权向量(AV)并将其提供给AUSF。这个来自UDM/ARPF的鉴权向量是鉴权过程的起点。AV'由五个参数组成:预期结果(XRES) 、网络鉴权令牌(AUTN) 、两个密钥(CK'和IK') 以及RAND。该AV与4G/EPS中生成的AV非常相似, 不同之处在于CK和IK被CK'和IK'取代,CK'和IK'是CK和IK的5G变体,是从CK和IK以及服务网络名导出的。因此,AV被称为“转换的鉴权向量”、并以撇号(AV')表示。
然后鉴权以类似于5G AKA的方式继续, 区别在于AMF/SEAF除了转发消息外没有更多参与。只有AUSF会将从UE接收到的RES与XRES进行比较。然后, AUSF将结果通知AMF/SEAF, 并将SEAF密钥提供给SEAF。该过程如图8.9所示。
图8.9 EAP-AKA'的总体流程
剩下的就是计算用于保护数据的密钥,这将在下一节描述。
8.3.9 密钥派生和密钥层级结构
鉴权完成并建立了根密钥后,必须为不同的目的派生新的密钥。如上所述,重要的是避免将单个密钥用于多种目的。UE和网络之间的以下数据类型受到保护:
- UE和AMF之间的NAS信令。
-
对于3GPP接入:
- UE和NG-RAN之间的RRC信令。
- UE和eNB之间的用户面数据。
-
对于非受信的非3GPP接入:
- UE和N3IWF之间的IKEv2信令。
- UE和N3IWF之间的用户面数据。
上面的每组过程使用不同的加密和完整性保护密钥。密钥Kausf是在鉴权期间导出的归属网络的“根密钥”, UE和网络用它导出其他密钥。Kausf用于导出服务网络的“根密钥”Kseaf。然后用Kseaf导出Kamf。UE和AMF使用Kamf导出用于NAS信号的加密和完整性保护的密钥(Knasenc和Knasint)。此外,AMF还派生一个密钥(Kgnb) 并发送到gNB。gNB使用此密钥来导出用于用户面的加密的密钥(Kupsec)、用户面的完整性保护的密钥(Kupint)以及UE和eNB之间RRC信令的加密和完整性保护的密钥(Krrcenc和Krrcint)。UE导出与gNB相同的密钥。对于非受信的非3GPP接入, AMF还派生一个密钥(Kn3iwf),该密钥发送到N3IWF。IKEv2过程中使用此密钥来导出UE和N3IWF之间的IPsec钥。密钥的“家族树”通常称为密钥层级结构。5GS的密钥层级结构如图8.10所示(来源于3GPP TS 33.501) 。
图8.10 5GS的密钥层级结构
一旦在UE和网络中产生了密钥,就可以开始对信令和用户数据进行加密和完整性保护。标准允许使用不同的加密算法,UE和网络需要就特定连接使田何种算法达成一致。表8.1显示了3GPP接入目前支持的NAS、RRC和UP加密的5G NR加密算法(NEA) 。
表8.1 3GPP接入中用于NAS、RRC和UP加密的加密算法
在UE、eNB和AMF中必须支持NEA0、128-NEA1和128-NEA2, 而对128-NEA3前支持是可选的。表8.2中展示了RRC、NAS信令和用户面完整性保护目前支持的5G完整保护算法(NIA)。UE、eNB和AMF对算法128-NIA1和128-NIA2的支持是强制性,而对于128-NIA3的支持是可选的。用户面的完整性保护支持是可选的。空完整性保护算法NIA0仅用于未鉴权的紧急呼叫。
表8.2 3GPP接入中用于NAS、RRC和UP完整性的完整性保护算法
有关5GS支持的加密和完整性算法的更多详细信息, 请参见3GPP TS 33.501。
3GPP TS 33.501对UE和N3IWF之间的IPsec算法进行了描述, 该算法引用了相关的IETF RFC。
8.3.10 NAS安全
如上所述, UE和AMF之间的NAS协议是加密的和受完整性保护的。在注册过程中, 完成鉴权和密钥派生后, 会导出用于保护NAS消息的密钥。NAS安全性的处理方式与4G/EPS中类似, 但做了一些增强以加强对初始NAS消息的保护。初始NAS消息在这里是指注册请求和服务请求消息,即用于开启与5GC的通信的消息。
在4G/EPS中, 如果UE已有一个安全上下文, 则初始NAS消息将受到完整性保护,但不会被加密, 这样做是为了即使MME已丢失了该UE的安全上下文或UE与MME之间不匹配, 作为接收方的MME也可以识别UE(例如基于GUTI) 。如果UE中没有安全上下文, 则不会对初始NAS消息进行加密或完整性保护。
5GS添加了对初始NAS消息进行部分加密的支持, 以保护信元, 这些信元可能包含敏感信息, 而对于初始NAS消息的基本处理而言, AMF不需要查看这些信元, 因此, 这些消息将包含一些明文形式的信元(例如5G-GUTI、5G-S-TMSI、UE安全功能) 和一些经过加密的信元(例如MM能力、请求的S-NSSAI等) 。如果UE有现成的安全上下文,则可以这样做。在UE没有任何安全上下文的情况下, 初始NAS消息仅包含明文信元,其余的信元将在建立NAS安全性之后进行加密和完整性保护。
8.3.11 更新USIM内容, 包括漫游导向
与4G/EPS相比, 5GC的另一个新功能是UDM可以通过安全通信向UE提供信息以更新USIM中的漫游PLMN列表。此功能称为漫游控制, 在3GPP TS 23.122和3GPP TS 33.501中进行了描述。
该功能允许UDM将导向信息列表(包含有关首选和禁止的PLMN的信息) 发送到AUSF。AUSF然后基于Kausf“根密钥”和其他信息, 为列表计算消息鉴权代码(MAC),并将结果提供给UDM。UDM可以将导向信息列表与MAC一起(通过AMF) 再发送给UE。UE验证MAC值, 然后接受并使用新的信息更新USIM。
8.3.12 与EPS/4G互通
8.3.12.1 概述
与EPS/4G互通是一项重要功能, 5G规范的制定, 涵盖了此类互通安全方面的解决方案。在本书中, 我们不会详细描述适用于4G/EPS的安全功能。有兴趣的读者可以参考有关EPS的书籍, 例如, 参见Olsson等人(2012) 的著作。下面的讨论集中在EPS/4G和5GS之间的互通。
如第3、7和12章所述, 当与EPS互通时, UE可以在单注册或双注册模式下运行。互通的安全性在很大程度上取决于UE是使用单注册还是双注册模式。下面我们将分别描述每种情况。
8.3.12.2 单注册模式
在单注册模式下运行时, 有两种情况, 取决于运营商网络是否支持AMF和MME之间的N26接口。
有N26的单注册模式
当UE从EPS/4G移至5GS时, 存在在目标接入中建立安全上下文的不同可能性。一种可能性是当UE进入新的接入时执行新的鉴权和密钥协商过程。但是,为了减少在5GS和EPS/E-UTRAN之间进行切换造成的时延, 可能不希望这么做, 相反, 切换可以基于原生或映射的安全上下文。如果UE之前已通过运行5G AKA或EAP-AKA'在5GS接入中建立了原生安全上下文, 然后移至EPS并随后返回5GS, 则UE和网络可能已为5GS缓存了原生安全上下文, 包括上一次UE使用5GS时的原生Kausf。这样, 在RAT间切换期间, 目标接入就不需要完整的AKA过程。如果原生上下文不可用, 则可以将源接入中使用的安全上下文映射到目标接入的安全上下文。在不同的3GPP接入点之间移动时, 此安全上下文的映射是被支持的, 但当从比如4G/EPS移动到5GS中非受信的非3GPP接入时, 不支持。当执行映射时, UE和AMF基于源接入中使用的密钥(例如AMF在4G安全上下文中从MME接收到的Kasme) 导出适用于目标接入的密钥(例如Kamf),该映射基于一个加密的密钥导出函数(KDF),它具有保护源上下文免受映射的目标上下文影响的属性。这样可以确保如果攻击者破坏了映射的上下文,则他们不会获得有关映射它的源上下文的信息。AMF还可以选择启动主鉴权过程, 以创建新的原生的5G安全上下文。
当UE朝另一个方向移动时, 即从5GS到EPS, AMF充当EPS中目标MME的源MME(即AMF扮演MME的角色) 。AMF将导出映射的EPS安全上下文(包括例如从Kamf派生的Kasme) , 并且在切换期间作为UE上下文的一部分提供给MME。
无N26的单注册模式
当不支持N26时, AMF和MME之间不存在用于传输UE安全上下文的接口。因此,在这种情况下,不可能在目标接入中使用映射的安全上下文,而是UE和网络需要在目标接入中重用现有的原生安全上下文(如果它存在并且已经在之前对目标系统接入时缓存过了)。如果不存在缓存的原生安全上下文,则UE和网络需要在目标接入中执行新的鉴权过程。
8.3.12.3 双注册模式
当使用双注册模式时, UE同时注册到EPS和5GS, 因此将使用两个不同的安全上下文, EPS安全上下文和5G安全上下文。显然, EPS安全上下文用于访问EPS, 5G安全上下文用于访问5GS。当UE在两个系统之间移动时,即所谓的系统间移动性,UE将使用与目标系统匹配的安全上下文, 例如, 当目标系统是EPS时, UE将开始使用EPS安全上下文。当访问EPS时, 将使用为EPS/4G定义的安全功能, 如3GPP TS 33.401和Olsson 等人(2012)的著作中进一步描述的。