5G核心網(wǎng)安全認(rèn)證和鑒權(quán)

  ICC訊 5G 引入了eMBB、uRLLC 和mMTC三大業(yè)務(wù)場(chǎng)景，實(shí)現(xiàn)的不僅僅是人與人之間的通信，更多地將用于實(shí)現(xiàn)人與物、物與物之間的通信。這就決定了5G在認(rèn)證和鑒權(quán)方面將面臨新的安全需求，主要表現(xiàn)在以下3個(gè)方面。

  1.統(tǒng)一的認(rèn)證框架

  在5G網(wǎng)絡(luò)下，接入網(wǎng)絡(luò)的終端除了手機(jī)終端，還包括大量的垂直行業(yè)終端。5G網(wǎng)絡(luò)的接入方式除了3GPP 接入，還包括各種類型的Non-3GPP 接入。不同接入技術(shù)擁有相互獨(dú)立的ID和獨(dú)立的鑒權(quán)方式，加上網(wǎng)關(guān)邊緣的各種認(rèn)證和私密會(huì)話業(yè)務(wù)，造成每種無(wú)線接入中都有獨(dú)立的無(wú)線資源管理，不同接入技術(shù)之間難以進(jìn)行互通。為了適應(yīng)上述變化，5G網(wǎng)絡(luò)引入了統(tǒng)一的UE認(rèn)證框架，實(shí)現(xiàn)了對(duì)各種終端類型、各種接入方式的統(tǒng)一認(rèn)證和鑒權(quán)，以及統(tǒng)一的密鑰層次結(jié)構(gòu)。5G網(wǎng)絡(luò)的統(tǒng)一認(rèn)證框架為5G網(wǎng)絡(luò)安全奠定了堅(jiān)實(shí)的基礎(chǔ)。

  2.基于歸屬網(wǎng)絡(luò)的認(rèn)證加強(qiáng)

  在傳統(tǒng)認(rèn)證機(jī)制中，拜訪地/歸屬地的兩級(jí)移動(dòng)網(wǎng)絡(luò)架構(gòu)下的認(rèn)證機(jī)制要求歸屬網(wǎng)絡(luò)無(wú)條件信任拜訪網(wǎng)絡(luò)的認(rèn)證結(jié)果。但隨著網(wǎng)絡(luò)的發(fā)展，出現(xiàn)了越來(lái)越多的安全隱患，拜訪網(wǎng)絡(luò)和歸屬網(wǎng)絡(luò)之間的信任程度在不斷降低。例如，拜訪地運(yùn)營(yíng)商可以聲稱為某運(yùn)營(yíng)商的用戶提供接入服務(wù)而實(shí)際未提供，導(dǎo)致計(jì)費(fèi)糾紛。對(duì)于5G網(wǎng)絡(luò)來(lái)說(shuō)，相較于人與人之間的語(yǔ)音通信和數(shù)據(jù)交互，萬(wàn)物互聯(lián)下的移動(dòng)通信將會(huì)承載更多的設(shè)備測(cè)控類信息，因此對(duì)接入安全的要求更高。例如，5G系統(tǒng)會(huì)被垂直行業(yè)用于傳遞遠(yuǎn)程操控的控制消息，這使5G認(rèn)證還需要加強(qiáng)歸屬網(wǎng)絡(luò)對(duì)用戶終端的認(rèn)證能力，使其擺脫對(duì)拜訪網(wǎng)絡(luò)的依賴，實(shí)現(xiàn)用戶在歸屬地/拜訪地等不同地點(diǎn)間的認(rèn)證機(jī)制統(tǒng)一。

  3.基于垂直行業(yè)應(yīng)用的二次認(rèn)證

  5G網(wǎng)絡(luò)將更多地為垂直行業(yè)提供服務(wù)，而垂直行業(yè)對(duì)5G網(wǎng)絡(luò)提出了更多的需求。例如，需要通過(guò)5G網(wǎng)絡(luò)切片來(lái)為垂直行業(yè)提供定制化的服務(wù)，包括為特定的業(yè)務(wù)提供數(shù)據(jù)通道建立前的認(rèn)證機(jī)制。因此5G網(wǎng)絡(luò)引入了二次認(rèn)證的概念，即在用戶接入網(wǎng)絡(luò)時(shí)進(jìn)行認(rèn)證后為接入特定業(yè)務(wù)建立數(shù)據(jù)通道而進(jìn)行的認(rèn)證。在該認(rèn)證過(guò)程中，第一次使用了非運(yùn)營(yíng)商控制的信任狀要求。例如，當(dāng)5G網(wǎng)絡(luò)用于為高保障業(yè)務(wù)系統(tǒng)提供通信時(shí)，用戶通過(guò)接入認(rèn)證后并不能直接與業(yè)務(wù)系統(tǒng)建立連接，而是利用業(yè)務(wù)相關(guān)的信任狀與用戶終端進(jìn)行認(rèn)證，并在認(rèn)證通過(guò)的情況下允許5G網(wǎng)絡(luò)為用戶建立與業(yè)務(wù)系統(tǒng)間的通信鏈路，從而提升對(duì)業(yè)務(wù)系統(tǒng)的保護(hù)。

  (1)概述

  當(dāng)UE能夠連接到5GC和EPC，并且已經(jīng)連接到ng-eNB，可以連接到EPC和5GC時(shí)，UE能夠按照TS 24.501的要求，來(lái)選擇連接到哪個(gè)核心網(wǎng)絡(luò)。如果UE選擇EPC，則UE應(yīng)使用TS 33.401中的安全過(guò)程。如果UE選擇5GC，則UE 應(yīng)使用TS 33.501的安全過(guò)程。對(duì)于可以連接到EPC和5GC的ng-eNB，ng-eNB應(yīng)該基于UE選擇的核心網(wǎng)絡(luò)類型來(lái)選擇相應(yīng)的安全過(guò)程。

  (2) 初次認(rèn)證和密鑰協(xié)議

  認(rèn)證框架

  ① 一般要求

  初次認(rèn)證和密鑰協(xié)商過(guò)程的目的是實(shí)現(xiàn)UE和網(wǎng)絡(luò)之間的相互認(rèn)證，并提供可在UE和服務(wù)網(wǎng)絡(luò)之間的后續(xù)安全過(guò)程中使用的密鑰材料。由初次認(rèn)證和密鑰協(xié)商過(guò)程生成的密鑰材料會(huì)產(chǎn)生一個(gè)被稱為錨密鑰的KSEAF。該錨密鑰由歸屬網(wǎng)絡(luò)的AUSF提供給服務(wù)網(wǎng)絡(luò)的SEAF?？梢詮腒SEAF 派生多個(gè)安全上下文的密鑰，而不需要新的身份驗(yàn)證。例如，在3GPP接入網(wǎng)絡(luò)上運(yùn)行的認(rèn)證還可以提供密鑰，以在UE和不可信的non-3GPP 接入中使用的N3IWF之間建立安全連接。

  錨密鑰KSEAF是由中間密鑰KAUSF派生而來(lái)，歸屬運(yùn)營(yíng)商制訂了關(guān)于使用這種密鑰的策略，將KAUSF安全地存儲(chǔ)在AUSF 中時(shí)使用該策略。

  ② EAP 框架

  EAP 框架在RFC 3748中進(jìn)行了規(guī)定，它定義了以下角色：對(duì)端，傳遞身份驗(yàn)證器和后端認(rèn)證服務(wù)器。后端認(rèn)證服務(wù)器充當(dāng)EAP服務(wù)器，用于終止與對(duì)端的EAP認(rèn)證方法。在5G系統(tǒng)中，當(dāng)使用EAP-AKA'時(shí)，可以通過(guò)以下方式來(lái)支持EAP 框架。UE作為對(duì)端的角色。

  SEAF作為傳遞身份驗(yàn)證器的角色。AUSF作為后端認(rèn)證服務(wù)器的角色。

  ③ 服務(wù)網(wǎng)絡(luò)名稱的構(gòu)建

  a. 服務(wù)網(wǎng)絡(luò)名稱

  服務(wù)網(wǎng)絡(luò)名稱用于導(dǎo)出錨密鑰。它有以下兩個(gè)目的。通過(guò)包含服務(wù)網(wǎng)絡(luò)標(biāo)識(shí)符(SN Id)將錨密鑰綁定到服務(wù)網(wǎng)絡(luò)。通過(guò)將服務(wù)代碼設(shè)置為“5G”，確保錨密鑰專用于5G 核心網(wǎng)絡(luò)和UE 之間的認(rèn)證。

  在5G AKA 中，服務(wù)網(wǎng)絡(luò)名稱具有與將RES * 和XRES * 綁定到服務(wù)網(wǎng)絡(luò)的類似目的。服務(wù)網(wǎng)絡(luò)名稱由服務(wù)代碼和SN Id 組成，中間用分隔符“ ：”連接，服務(wù)代碼在SN Id之前。在服務(wù)網(wǎng)絡(luò)名稱中沒(méi)有像“接入網(wǎng)絡(luò)類型”這樣的參數(shù)，因?yàn)榉?wù)網(wǎng)絡(luò)名稱與5G核心網(wǎng)流程相關(guān)，而與訪問(wèn)網(wǎng)絡(luò)類型無(wú)關(guān)。

  SN Id標(biāo)識(shí)了服務(wù)PLMN，具體定義可以參考TS 24.501。

  b. UE構(gòu)建服務(wù)網(wǎng)絡(luò)名稱

  UE按以下方式構(gòu)建服務(wù)網(wǎng)絡(luò)名稱。將服務(wù)代碼設(shè)置為“5G”。將網(wǎng)絡(luò)標(biāo)識(shí)符設(shè)置為其正在進(jìn)行身份驗(yàn)證的網(wǎng)絡(luò)的SN Id。將服務(wù)代碼和SN Id 用分隔符“ ：”連接。

  c. SEAF構(gòu)建服務(wù)網(wǎng)絡(luò)名稱

  SEAF按如下方式構(gòu)建服務(wù)網(wǎng)絡(luò)名稱。

  將服務(wù)代碼設(shè)置為“5G”。

  將網(wǎng)絡(luò)標(biāo)識(shí)符設(shè)置為AUSF，進(jìn)而向其發(fā)送認(rèn)證數(shù)據(jù)的服務(wù)網(wǎng)絡(luò)的SN Id。

  將服務(wù)代碼和SN Id用分隔符“ ：”連接。

  (2)啟動(dòng)認(rèn)證和認(rèn)證方法的選擇

  初次認(rèn)證過(guò)程和認(rèn)證方法選擇如圖1所示。

  圖1 初次認(rèn)證過(guò)程和認(rèn)證方法選擇

  根據(jù)SEAF的策略，SEAF可以在與UE建立信令連接的任何過(guò)程中發(fā)起與UE 的認(rèn)證。UE應(yīng)在注冊(cè)請(qǐng)求中使用SUCI或5G-GUTI。當(dāng)SEAF要啟動(dòng)認(rèn)證時(shí)，SEAF將通過(guò)向AUSF 發(fā)送Nausf_UEAuthentication_Authenticate 請(qǐng)求消息來(lái)調(diào)用Nausf_UEAuthentication服務(wù)。Nausf_UEAuthentication_Authenticate Request 消息應(yīng)包含SUCI 或者SUPI。

  如果SEAF 具有有效的5G-GUTI 并且對(duì)UE 進(jìn)行重新認(rèn)證，則SEAF應(yīng)在Nausf_UEAuthentication_Authenticate 請(qǐng)求消息中包含SUPI。否則，在Nausf_UEAuthentication_Authenticate 請(qǐng)求消息中應(yīng)包含SUCI。Nausf_UEAuthentication_Authenticate 請(qǐng)求消息還應(yīng)包含服務(wù)網(wǎng)絡(luò)名稱。

  當(dāng)接收到Nausf_UEAuthentication_Authenticate 請(qǐng)求消息時(shí)，AUSF 將通過(guò)比較服務(wù)網(wǎng)絡(luò)名稱和預(yù)期的服務(wù)網(wǎng)絡(luò)名稱來(lái)檢查服務(wù)網(wǎng)絡(luò)中的請(qǐng)求SEAF 是否有權(quán)使用Nausf_UEAuthentication_Authenticate 請(qǐng)求消息中的服務(wù)網(wǎng)絡(luò)名稱。AUSF 應(yīng)臨時(shí)存儲(chǔ)接收的服務(wù)網(wǎng)絡(luò)名稱。如果服務(wù)網(wǎng)絡(luò)未被授權(quán)使用服務(wù)網(wǎng)絡(luò)名稱，則AUSF 將在Nausf_UEAuthentication_Authenticate 響應(yīng)消息中返回“服務(wù)網(wǎng)絡(luò)未授權(quán)”。

  從AUSF發(fā)送到UDM 的Nudm_UEAuthentication_Get 請(qǐng)求消息包括以下信息。

  SUCI 或者SUPI。

  服務(wù)網(wǎng)絡(luò)名稱。

  在接收到Nudm_UEAuthentication_Get 請(qǐng)求消息時(shí)，如果接收到的是SUCI，則UDM將調(diào)用SIDF。

  在UDM 處理請(qǐng)求之前，SIDF 應(yīng)解除SUCI 以獲得SUPI?；赟UPI，UDM/ARPF 應(yīng)根據(jù)訂閱數(shù)據(jù)選擇認(rèn)證方法。