iT邦幫忙

2022 iThome 鐵人賽

DAY 8
0

本文目標:

  • 認識 5G Authentication methods
  • 了解 5G AS/NAS Security

縮寫對照表

  • 5G AV - 5G Authentication Vector
  • 5G HE AV - 5G Home Environment Authentication Vector
  • AKA - Authentication and Key Agreement
  • ARPF - Authentication credential Repository and Processing Function
  • AUTN - AUthentication TokeN
  • AV - Authentication Vector
  • AV' - transformed Authentication Vector
  • HRES - Hash RESponse
  • HXRES - Hash eXpected RESponse
  • IKE - Internet Key Exchange
  • KSI - Key Set Identifier
  • ngKSI - Key Set Identifier in 5G
  • RES - RESponse
  • SUCI - Subscription Concealed Identifier
  • SUPI - Subscription Permanent Identifier
  • XRES - eXpected RESponse

進入正題

就跟其他網際網路服務一樣,只要有封包的傳遞就會有被竊聽的風險,為了避免資料被有心人士竄改或是非法使用,5G 通訊網路提供了 Security 方面的功能預防未經授權的存取。

Scope and Concept of 5G Security

1. 5G Authentication

實施 UE 與網路之間的交互驗證,並且可以確保之後的其他流程的安全性。
常見的 Authentication 有三種方法:

  • 5G-AKA
  • EAP-AKA'
  • EAP-TLS'

2. NAS Security

用於處理 UE 以及 AMF 之間的 NAS signaling 的加密(ciphering)以及完整性保護(integrity protection)。

3. AS Security

用於處理 UE 以及 RAN 之間的 RRC signaling 的加密(ciphering)以及完整性保護(integrity potection)。

什麼是 AKA?

  • 屬於 challenge-and-response authentication protocol
  • 用於產生之後流程使用的 Key(用來加密或是做完整性保護)

Recap: 5G Permanent Identifier

主要有 SUPI 以及 SUCI:

1. SUPI (Subscription Permanent Identifier)

會存放在 SIM 卡以及 核網端的 UDM/UDR(你可以把它們想成核心網路使用的資料庫)。

2. SUCI (Subscription Concealed Identifier)

image

我們可以把 SUCI 當成是隱蔽的 SUPI,SUCI 的產生方式是透過 SUPI 與 HPLMN 的公鑰加密產生的。

個人觀點:之所以會將 SUPI 加密成 SUCI 是為了避免惡意使用者的攻擊。

image

我們可以將上圖拆成三個部分去看,分別是:

1. 一般的 Registration Request

當 Registration procedure 觸發,UE 會在請求中附上自己的 SUCI,等核網收到以後會將它傳給 UDM,再由 UDM 將 SUCI 解密回 SUPI。

2. Re-Registration Request with case #1

正常來說,當 Registration Request 成功以後,UE 會收到來自核網產生的 GUTI,這樣下一次發起流程的時候 UE 就能使用 GUTI 作為身份識別的標籤。
Case #1 表示的正是 UE 發起 Re-Registration request 並且成功的例子,我們可以看到核網收到 GUTI 以後 AMF 可以將它 mapping 回 SUPI。

3. Re-Registration Request with case #2

Case #2 一樣是 UE 發起 Re-Registration request 的例子,但這邊 AMF 在 mapping GUTI 的時候發生了問題,發生問題的原因可能是前後收到的 AMF 不是同一個,或是過期...等等。由於核網無法順利的取得 SUPI,所以在 case #2 這裡它會發一個 Identity Request 來要求 UE 重新提供 SUCI 給核網。

5G Authentication Framework

image

1. N3IWF

N3IWF 就像是一個 VPN Server,它可以讓 UE 透過 IPSec 通道(也就是 untrusted/non-3GPP networks)的方式訪問核心網路。

  • UE 與 AMF 的中繼站(NAS 訊號)
  • UE 與 UPF 的中繼站(User-plane 封包)

2. AMF/SEAF

SEAF 實作在 AMF 中,它被用來提供與 Authentication 有關的 functionality(像是 SUCI 的機制)。

3. UDM/ARPF/SIDF

  1. UDM
    用來存取 UDR 上的 subscription data 以及資料管理。
  2. APRF
    用來產生 AUSF 所需的 Key material 以及根據 Configured policy 來選擇 Authentication 的方式。
  3. SIDF
    用來解密 SUCI。

4. AUSF

支援 3GPP 以及 non-3GPP 的 Authentication。

5G Authentication Initialization

圖片取自 3GPP TS 33.501 Clause 6.1.2 Initiation of authentication and selection of authentication method。

  • SEAF 實作在 AMF 當中,AMF 會透過 SBI Nausf_UEAuthentication_Authentication Request 請求 AUSF 執行 Authentication。
  • UDM 取得 AUSF 提供的 SUCI 並將它解密得到 SUPI 回傳給 AUSF 進行後續的驗證工作。

5G AKA

圖片取自 3GPP TS 33.501 Clause 6.1.3.2 5G AKA。

  • AV(Authentication Vector)是一組用於鑑權的資料。
  • AUSF 儲存 XRES* 並計算出 HXRES*,這兩組資料會用於後續的驗證。
  • UE 計算出 RES* 交給 AMF,AMF 會以 RES* 計算出 HRES* 拿來與 HXRES* 進行比對。
  • 如果前一步的比對無誤,會交給 AUSF 驗證 RES*XRES* 兩者是否相同。

補充:
這個作法可以保證驗證過程的加密性(RES*)與完整性(HRES*)。

Key Hierarchy in 4G & 5G

image

圖片出處:A Comparative Introduction to 4G and 5G Authentication

經過 Authentication 流程後,可以保證 UE 與核心網路端持有相同的 materials,這些資訊可以用來當作密鑰生產演算法所需要的 input data,產生出 AS 與 NAS 層中用來進行加密與完整性保護的密鑰:

圖片出處:https://fabricioapps.blogspot.com/2019/02/5g-security.html

舉例來說,上圖中的 K_NASenc 用於 NAS 層的資料加密,K_NASint 用於完整性保護。
相對的 K_ASencK_ASint 則是用於加密與保護 AS 層的資料。

補充:
基本上 4G 與 5G 的 AS/NAS Security 流程差異不大,如果讀者對 NAS 與 AS 的 Key 生成流程有濃厚的興趣,可以參考筆者之前閱讀 Netmanias-06-LTE Security II-NAS and AS Security學習筆記

References

圖片出處。

5G Authentication Framework 的圖片出處。


上一篇
PDU Session 與 QoS
下一篇
核心網路的策略與計費
系列文
5G 核心網路與雲原生開發之亂彈阿翔36
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言