5G即第五代移动通信网络,具有更快的速率,峰值速率期望提高10-20倍,更低的时延,协议空口环回时延降低1-10倍,更多的连接,连接密度期望能提高约10倍,除此之外,5G的安全性也全方位增加,增强了对用户唯一标识符的隐私保护,增强了归属网络对鉴权认证的控制,按需提供数据加密,扩大了对用户数据的保护面等等,这里我们就详细介绍5G的鉴权与认证环节。
5G鉴权的目的主要是实现终端和核心网之间的相互认证,并生成安全的密钥用于后续网络通信流程加密使用,具体的鉴权和密钥协商流程如下:
01
鉴权初始化与鉴权方法选择流程
1
终端将SUCI(Subscription Concealed Identifier 用户隐藏标识)或5G-GUTI(Globally Unique Temporary UE Identity 临时UE标识)上报给SEAF(Security Anchor Function 安全锚功能),SEAF用于创建统一的锚键,用于UE在网络中的认证和通信保护。
2
SEAF发送Nausf_UE Authentication_Authenticate Request消息给AUSF(身份验证服务器),告诉AUSF终端需要进行鉴权请求。
3
AUSF收到消息后,比较预期的网络服务名称是否与SEAF上报的名称是否一致,如果一致将发送Nudm_UEAuthentication_Get Request消息给UDM,若不一致,AUSF将返回“未授权服务网络”给SEAF,结束流程。
4
AUSF核对成功后,发送Nudm UEAuthentication Get Request消息给UDM,UDM收到消息后调用SIDF,将SUCI去隐后获得SUPI,根据获得的SUPI,UDM/ARPF选择最终的认证方法,本文中假设最终选择AKA认证方法。
02
5G AKA流程
1
对于每一个Nudm_Authenticate_Get Request请求消息,UDM/ARPF会产生一个5G HE AV,该向量由随机数RAND,AUTN,认证信息XRES*,Kausf四个部分组成。
2
UDM将步骤1中的5G HE AV ,SUPI(SubscriptionPermanent Identifier 用户永久标识)信息返回给AUSF。
3
AUSF将5G向量中的XRES*保留本地,并利用SHA256算法生成HXRES*,生成新的5G AV ,由RAND,AUTN,HXRES*,Kseaf四元组组成。
4
AUSF将Kseaf删除后,返回5G SE AV (RAND, AUTN, HXRES*)给SEAF,SEAF通过NAS鉴权消息将RAND和AUTN信息发送给终端。
5
收到RAND和AUTN信息后,USIM验证5G AV 是否合法,若合法,USIM计算出通过5G核心网中的长期K与RAND计算出RES,CK,IK,并将这些信息返回给终端,ME在根据上述信息计算出RES*与Kseaf
6
终端将RES*在NAS鉴权响应消息中返回给SEAF,SEAF获取后计算出HRES*并与HXRES*比较是否一致,若一致进行后续验证,否则鉴权失败。
7
步骤6鉴权成功后,SEAF将终端返回的RES*再发送给AUSF,由AUSF完成二次鉴权,AUSF比对UE端的RES*和AUSF本地存储的XRES*,若一致表明鉴权成功,否则鉴权失败。
8
最终AUSF会将鉴权的结果信息发送给SEAF,到此5G鉴权流程完成。
撰稿人:尹娜
往期精选
【读懂物联网⑦】SGs短信:远程控制新方法
6-24 特稿
【读懂物联网⑥】物联网SoC SIM电子卡:我才是NB-IoT业务的“C位”
6-18 特稿
