ICC訊 5G 引入了eMBB、uRLLC 和mMTC三大業(yè)務(wù)場(chǎng)景,實(shí)現(xiàn)的不僅僅是人與人之間的通信,更多地將用于實(shí)現(xiàn)人與物、物與物之間的通信。這就決定了5G在認(rèn)證和鑒權(quán)方面將面臨新的安全需求,主要表現(xiàn)在以下3個(gè)方面。
1.統(tǒng)一的認(rèn)證框架
在5G網(wǎng)絡(luò)下,接入網(wǎng)絡(luò)的終端除了手機(jī)終端,還包括大量的垂直行業(yè)終端。5G網(wǎng)絡(luò)的接入方式除了3GPP 接入,還包括各種類(lèi)型的Non-3GPP 接入。不同接入技術(shù)擁有相互獨(dú)立的ID和獨(dú)立的鑒權(quán)方式,加上網(wǎng)關(guān)邊緣的各種認(rèn)證和私密會(huì)話業(yè)務(wù),造成每種無(wú)線接入中都有獨(dú)立的無(wú)線資源管理,不同接入技術(shù)之間難以進(jìn)行互通。為了適應(yīng)上述變化,5G網(wǎng)絡(luò)引入了統(tǒng)一的UE認(rèn)證框架,實(shí)現(xiàn)了對(duì)各種終端類(lèi)型、各種接入方式的統(tǒng)一認(rèn)證和鑒權(quán),以及統(tǒng)一的密鑰層次結(jié)構(gòu)。5G網(wǎng)絡(luò)的統(tǒng)一認(rèn)證框架為5G網(wǎng)絡(luò)安全奠定了堅(jiān)實(shí)的基礎(chǔ)。
2.基于歸屬網(wǎng)絡(luò)的認(rèn)證加強(qiáng)
在傳統(tǒng)認(rèn)證機(jī)制中,拜訪地/歸屬地的兩級(jí)移動(dòng)網(wǎng)絡(luò)架構(gòu)下的認(rèn)證機(jī)制要求歸屬網(wǎng)絡(luò)無(wú)條件信任拜訪網(wǎng)絡(luò)的認(rèn)證結(jié)果。但隨著網(wǎng)絡(luò)的發(fā)展,出現(xiàn)了越來(lái)越多的安全隱患,拜訪網(wǎng)絡(luò)和歸屬網(wǎng)絡(luò)之間的信任程度在不斷降低。例如,拜訪地運(yùn)營(yíng)商可以聲稱(chēng)為某運(yùn)營(yíng)商的用戶提供接入服務(wù)而實(shí)際未提供,導(dǎo)致計(jì)費(fèi)糾紛。對(duì)于5G網(wǎng)絡(luò)來(lái)說(shuō),相較于人與人之間的語(yǔ)音通信和數(shù)據(jù)交互,萬(wàn)物互聯(lián)下的移動(dòng)通信將會(huì)承載更多的設(shè)備測(cè)控類(lèi)信息,因此對(duì)接入安全的要求更高。例如,5G系統(tǒng)會(huì)被垂直行業(yè)用于傳遞遠(yuǎn)程操控的控制消息,這使5G認(rèn)證還需要加強(qiáng)歸屬網(wǎng)絡(luò)對(duì)用戶終端的認(rèn)證能力,使其擺脫對(duì)拜訪網(wǎng)絡(luò)的依賴(lài),實(shí)現(xiàn)用戶在歸屬地/拜訪地等不同地點(diǎn)間的認(rèn)證機(jī)制統(tǒng)一。
3.基于垂直行業(yè)應(yīng)用的二次認(rèn)證
5G網(wǎng)絡(luò)將更多地為垂直行業(yè)提供服務(wù),而垂直行業(yè)對(duì)5G網(wǎng)絡(luò)提出了更多的需求。例如,需要通過(guò)5G網(wǎng)絡(luò)切片來(lái)為垂直行業(yè)提供定制化的服務(wù),包括為特定的業(yè)務(wù)提供數(shù)據(jù)通道建立前的認(rèn)證機(jī)制。因此5G網(wǎng)絡(luò)引入了二次認(rèn)證的概念,即在用戶接入網(wǎng)絡(luò)時(shí)進(jìn)行認(rèn)證后為接入特定業(yè)務(wù)建立數(shù)據(jù)通道而進(jìn)行的認(rèn)證。在該認(rèn)證過(guò)程中,第一次使用了非運(yùn)營(yíng)商控制的信任狀要求。例如,當(dāng)5G網(wǎng)絡(luò)用于為高保障業(yè)務(wù)系統(tǒng)提供通信時(shí),用戶通過(guò)接入認(rèn)證后并不能直接與業(yè)務(wù)系統(tǒng)建立連接,而是利用業(yè)務(wù)相關(guān)的信任狀與用戶終端進(jìn)行認(rèn)證,并在認(rèn)證通過(guò)的情況下允許5G網(wǎng)絡(luò)為用戶建立與業(yè)務(wù)系統(tǒng)間的通信鏈路,從而提升對(duì)業(yè)務(wù)系統(tǒng)的保護(hù)。
(1)概述
當(dāng)UE能夠連接到5GC和EPC,并且已經(jīng)連接到ng-eNB,可以連接到EPC和5GC時(shí),UE能夠按照TS 24.501的要求,來(lái)選擇連接到哪個(gè)核心網(wǎng)絡(luò)。如果UE選擇EPC,則UE應(yīng)使用TS 33.401中的安全過(guò)程。如果UE選擇5GC,則UE 應(yīng)使用TS 33.501的安全過(guò)程。對(duì)于可以連接到EPC和5GC的ng-eNB,ng-eNB應(yīng)該基于UE選擇的核心網(wǎng)絡(luò)類(lèi)型來(lái)選擇相應(yīng)的安全過(guò)程。
(2) 初次認(rèn)證和密鑰協(xié)議
認(rèn)證框架
① 一般要求
初次認(rèn)證和密鑰協(xié)商過(guò)程的目的是實(shí)現(xiàn)UE和網(wǎng)絡(luò)之間的相互認(rèn)證,并提供可在UE和服務(wù)網(wǎng)絡(luò)之間的后續(xù)安全過(guò)程中使用的密鑰材料。由初次認(rèn)證和密鑰協(xié)商過(guò)程生成的密鑰材料會(huì)產(chǎn)生一個(gè)被稱(chēng)為錨密鑰的KSEAF。該錨密鑰由歸屬網(wǎng)絡(luò)的AUSF提供給服務(wù)網(wǎng)絡(luò)的SEAF??梢詮腒SEAF 派生多個(gè)安全上下文的密鑰,而不需要新的身份驗(yàn)證。例如,在3GPP接入網(wǎng)絡(luò)上運(yùn)行的認(rèn)證還可以提供密鑰,以在UE和不可信的non-3GPP 接入中使用的N3IWF之間建立安全連接。
錨密鑰KSEAF是由中間密鑰KAUSF派生而來(lái),歸屬運(yùn)營(yíng)商制訂了關(guān)于使用這種密鑰的策略,將KAUSF安全地存儲(chǔ)在AUSF 中時(shí)使用該策略。
② EAP 框架
EAP 框架在RFC 3748中進(jìn)行了規(guī)定,它定義了以下角色:對(duì)端,傳遞身份驗(yàn)證器和后端認(rèn)證服務(wù)器。后端認(rèn)證服務(wù)器充當(dāng)EAP服務(wù)器,用于終止與對(duì)端的EAP認(rèn)證方法。在5G系統(tǒng)中,當(dāng)使用EAP-AKA'時(shí),可以通過(guò)以下方式來(lái)支持EAP 框架。UE作為對(duì)端的角色。
SEAF作為傳遞身份驗(yàn)證器的角色。AUSF作為后端認(rèn)證服務(wù)器的角色。
③ 服務(wù)網(wǎng)絡(luò)名稱(chēng)的構(gòu)建
a. 服務(wù)網(wǎng)絡(luò)名稱(chēng)
服務(wù)網(wǎng)絡(luò)名稱(chēng)用于導(dǎo)出錨密鑰。它有以下兩個(gè)目的。通過(guò)包含服務(wù)網(wǎng)絡(luò)標(biāo)識(shí)符(SN Id)將錨密鑰綁定到服務(wù)網(wǎng)絡(luò)。通過(guò)將服務(wù)代碼設(shè)置為“5G”,確保錨密鑰專(zhuān)用于5G 核心網(wǎng)絡(luò)和UE 之間的認(rèn)證。
在5G AKA 中,服務(wù)網(wǎng)絡(luò)名稱(chēng)具有與將RES * 和XRES * 綁定到服務(wù)網(wǎng)絡(luò)的類(lèi)似目的。服務(wù)網(wǎng)絡(luò)名稱(chēng)由服務(wù)代碼和SN Id 組成,中間用分隔符“ :”連接,服務(wù)代碼在SN Id之前。在服務(wù)網(wǎng)絡(luò)名稱(chēng)中沒(méi)有像“接入網(wǎng)絡(luò)類(lèi)型”這樣的參數(shù),因?yàn)榉?wù)網(wǎng)絡(luò)名稱(chēng)與5G核心網(wǎng)流程相關(guān),而與訪問(wèn)網(wǎng)絡(luò)類(lèi)型無(wú)關(guān)。
SN Id標(biāo)識(shí)了服務(wù)PLMN,具體定義可以參考TS 24.501。
b. UE構(gòu)建服務(wù)網(wǎng)絡(luò)名稱(chēng)
UE按以下方式構(gòu)建服務(wù)網(wǎng)絡(luò)名稱(chēng)。將服務(wù)代碼設(shè)置為“5G”。將網(wǎng)絡(luò)標(biāo)識(shí)符設(shè)置為其正在進(jìn)行身份驗(yàn)證的網(wǎng)絡(luò)的SN Id。將服務(wù)代碼和SN Id 用分隔符“ :”連接。
c. SEAF構(gòu)建服務(wù)網(wǎng)絡(luò)名稱(chēng)
SEAF按如下方式構(gòu)建服務(wù)網(wǎng)絡(luò)名稱(chēng)。
將服務(wù)代碼設(shè)置為“5G”。
將網(wǎng)絡(luò)標(biāo)識(shí)符設(shè)置為AUSF,進(jìn)而向其發(fā)送認(rèn)證數(shù)據(jù)的服務(wù)網(wǎng)絡(luò)的SN Id。
將服務(wù)代碼和SN Id用分隔符“ :”連接。
(2)啟動(dòng)認(rèn)證和認(rèn)證方法的選擇
初次認(rèn)證過(guò)程和認(rèn)證方法選擇如圖1所示。
圖1 初次認(rèn)證過(guò)程和認(rèn)證方法選擇
根據(jù)SEAF的策略,SEAF可以在與UE建立信令連接的任何過(guò)程中發(fā)起與UE 的認(rèn)證。UE應(yīng)在注冊(cè)請(qǐng)求中使用SUCI或5G-GUTI。當(dāng)SEAF要啟動(dòng)認(rèn)證時(shí),SEAF將通過(guò)向AUSF 發(fā)送Nausf_UEAuthentication_Authenticate 請(qǐng)求消息來(lái)調(diào)用Nausf_UEAuthentication服務(wù)。Nausf_UEAuthentication_Authenticate Request 消息應(yīng)包含SUCI 或者SUPI。
如果SEAF 具有有效的5G-GUTI 并且對(duì)UE 進(jìn)行重新認(rèn)證,則SEAF應(yīng)在Nausf_UEAuthentication_Authenticate 請(qǐng)求消息中包含SUPI。否則,在Nausf_UEAuthentication_Authenticate 請(qǐng)求消息中應(yīng)包含SUCI。Nausf_UEAuthentication_Authenticate 請(qǐng)求消息還應(yīng)包含服務(wù)網(wǎng)絡(luò)名稱(chēng)。
當(dāng)接收到Nausf_UEAuthentication_Authenticate 請(qǐng)求消息時(shí),AUSF 將通過(guò)比較服務(wù)網(wǎng)絡(luò)名稱(chēng)和預(yù)期的服務(wù)網(wǎng)絡(luò)名稱(chēng)來(lái)檢查服務(wù)網(wǎng)絡(luò)中的請(qǐng)求SEAF 是否有權(quán)使用Nausf_UEAuthentication_Authenticate 請(qǐng)求消息中的服務(wù)網(wǎng)絡(luò)名稱(chēng)。AUSF 應(yīng)臨時(shí)存儲(chǔ)接收的服務(wù)網(wǎng)絡(luò)名稱(chēng)。如果服務(wù)網(wǎng)絡(luò)未被授權(quán)使用服務(wù)網(wǎng)絡(luò)名稱(chēng),則AUSF 將在Nausf_UEAuthentication_Authenticate 響應(yīng)消息中返回“服務(wù)網(wǎng)絡(luò)未授權(quán)”。
從AUSF發(fā)送到UDM 的Nudm_UEAuthentication_Get 請(qǐng)求消息包括以下信息。
SUCI 或者SUPI。
服務(wù)網(wǎng)絡(luò)名稱(chēng)。
在接收到Nudm_UEAuthentication_Get 請(qǐng)求消息時(shí),如果接收到的是SUCI,則UDM將調(diào)用SIDF。
在UDM 處理請(qǐng)求之前,SIDF 應(yīng)解除SUCI 以獲得SUPI?;赟UPI,UDM/ARPF 應(yīng)根據(jù)訂閱數(shù)據(jù)選擇認(rèn)證方法。
新聞來(lái)源:華信咨詢?cè)O(shè)計(jì)研究院 張子揚(yáng)