主題:認證與鑒權
簡介:主要梳理了5G AKA、5G EAP-AKA’、基于DN-AAA的二次認證
參考:5G 核心網規劃與應用(7.3.1)
TS 33.501
5G AKA 博客
5G安全架構、
PDN
作者:ybb
時間:2021年8月14日
7.3.1 認證和授權
7.3.1-2 初認證和密鑰協議
(1)認證框架
(2)啟動認證和認證方法的選擇
(3)認證程序
5G AKA認證程序
(TS 33.501 6.1.3.2 Authentication procedure for 5G AKA):
流程:
①獲取鑒權資料
②UE和服務網路雙向鑒權
③歸屬網路鑒權
5G AKA通過為歸屬網路提供來自訪問網路的UE的認證成功的證明來增強EPS AKA,G該證明由訪問網路在Authentication Confirmation訊息中發送(5G AKA enhances EPS AKA by providing the home network with proof of successful authentication of the UE from the visited network. The proof is sent by the visited network in an Authentication Confirmation message. )
如果認證成功,在Nausf_UEAuthentication_Authenticate 回應訊息中接收的秘鑰KSEAF將會成為錨key,然后SEAF從KSEAF、ABBA引數和SUPI推匯出KAMF,SEAF應向AMF提供ngKSI和KAMF
如果SUCI用于此認證,則SEAF僅在收到包含SUPI的Nausf_UEAuthentication_Authenticate 回應訊息后才向AMF提供ngKSI和KAMF,在服務網路知道SUPI之前,不會向UE提供通信服務,
假設最后的驗證未成功,如果UE在初始NAS訊息中使用了SUCI,則SEAF應向UE發送拒絕認證訊息;如果UE在初始NAS訊息中使用了5G-GUTI,則SEAF/AMF將發起與UE的識別程序以檢索SUCI,同時可能會發起新的認證程序,
注1:SUPI SUCI GUTI 加密與解密流程是如何實作的?體現了那些密碼學的知識?
注2:鑒權中心生成AV,USIM完成鑒權,
注3:4G AKA?
5G EAP-AKA’ 認證程序
流程:
①獲取鑒權資料
②UE和SN雙向鑒權
同步失敗或者MAC失敗:
(1)USIM中的同步失敗或MAC故障
(2)歸屬網路中的同步故障恢復
7.3.1-2 基于DN-AAA的二次認證
除了5G網路進行初次認證,5G網路還支持由外部DN-AAA進行基于EAP的二次認證(基于EAP框架),
①CN對USIM進行主認證
②企業側利用DN-AAA實作對終端的二次認證
SMF執行EAP身份驗證器的角色,在歸屬路由部署的場景中,H-SMF執行EAP身份驗證器的角色,V-SMF負責傳送UE和H-SMF之間的交換的EAP訊息,他依靠外部的DN-AAA服務器來認證和授權UE的PDU會話建立請求,充當EAP身份驗證器角色的SMF通過UPF的
(UE ——N1—— AMF 、 SMF—— N4—— UPF
AMF ——N11—— SMF、UPF ——N6 ——DN)
(1)身份認證
(2)重新驗證
7.3.1-2 密鑰層次結構、密鑰生成、密鑰分發
(1)密鑰層次結構
(2)密鑰生成
(3)密鑰分發
(1)密鑰層次結構:
認證相關的密鑰:
5G AKA: K CK/IK
5G EAP-AKA’ CK/IK CK’/IK’
密鑰層次結構包含的密鑰:
KAUSF、KSEAF、KAMF、KNASint、KNASenc、KRRCint、KRRCenc、KUPint、KUPenc、KN3IWF、KgNB
KAUSF的兩種生成方式:
①5G AKA:由UE和ARPF從CK和IK生成,KAUSF作為5G HE AV的一部分從ARPF得到,
②5G EAP-AKA’:由UE和AUSF從CK’和IK’生成,CK’和IK’作為AV的一部分從ARPF得到,
注:基于EAP-AKA’的認證是一種基于USIM的EAP認證方式,鑒權流程由AUSF承擔鑒權職責,而AMF只負責推衍密鑰和透傳EAP訊息,
KSEAF的生成方式:
由UE和AUSF從KAUSF生成錨KEY,在SN中,KSEAF由AUSF提供給SEAF.
KAMF由UE和SEAF從KSEAF生成,在執行橫向密鑰推導時,通過UE和AMF進行推匯出KAMF
5G密鑰生成的層次結構:
(2)(3)密鑰生成和分發
網路側的密鑰——UE側的密鑰
(4)用戶相關密鑰的處理
①密鑰設定
②密鑰識別
③密鑰生命周期
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/294346.html
標籤:其他
上一篇:docker相關命令以及報錯處理