本文目標:
就跟其他網際網路服務一樣,只要有封包的傳遞就會有被竊聽的風險,為了避免資料被有心人士竄改或是非法使用,5G 通訊網路提供了 Security 方面的功能預防未經授權的存取。
1. 5G Authentication
實施 UE 與網路之間的交互驗證,並且可以確保之後的其他流程的安全性。
常見的 Authentication 有三種方法:
2. NAS Security
用於處理 UE 以及 AMF 之間的 NAS signaling 的加密(ciphering)以及完整性保護(integrity protection)。
3. AS Security
用於處理 UE 以及 RAN 之間的 RRC signaling 的加密(ciphering)以及完整性保護(integrity potection)。
主要有 SUPI 以及 SUCI:
1. SUPI (Subscription Permanent Identifier)
會存放在 SIM 卡以及 核網端的 UDM/UDR(你可以把它們想成核心網路使用的資料庫)。
2. SUCI (Subscription Concealed Identifier)
我們可以把 SUCI 當成是隱蔽的 SUPI,SUCI 的產生方式是透過 SUPI 與 HPLMN 的公鑰加密產生的。
個人觀點:之所以會將 SUPI 加密成 SUCI 是為了避免惡意使用者的攻擊。
我們可以將上圖拆成三個部分去看,分別是:
當 Registration procedure 觸發,UE 會在請求中附上自己的 SUCI,等核網收到以後會將它傳給 UDM,再由 UDM 將 SUCI 解密回 SUPI。
正常來說,當 Registration Request 成功以後,UE 會收到來自核網產生的 GUTI,這樣下一次發起流程的時候 UE 就能使用 GUTI 作為身份識別的標籤。
Case #1 表示的正是 UE 發起 Re-Registration request 並且成功的例子,我們可以看到核網收到 GUTI 以後 AMF 可以將它 mapping 回 SUPI。
Case #2 一樣是 UE 發起 Re-Registration request 的例子,但這邊 AMF 在 mapping GUTI 的時候發生了問題,發生問題的原因可能是前後收到的 AMF 不是同一個,或是過期...等等。由於核網無法順利的取得 SUPI,所以在 case #2 這裡它會發一個 Identity Request 來要求 UE 重新提供 SUCI 給核網。
N3IWF 就像是一個 VPN Server,它可以讓 UE 透過 IPSec 通道(也就是 untrusted/non-3GPP networks)的方式訪問核心網路。
SEAF 實作在 AMF 中,它被用來提供與 Authentication 有關的 functionality(像是 SUCI 的機制)。
支援 3GPP 以及 non-3GPP 的 Authentication。
圖片取自 3GPP TS 33.501 Clause 6.1.2 Initiation of authentication and selection of authentication method。
Nausf_UEAuthentication_Authentication Request
請求 AUSF 執行 Authentication。圖片取自 3GPP TS 33.501 Clause 6.1.3.2 5G AKA。
XRES*
並計算出 HXRES*
,這兩組資料會用於後續的驗證。RES*
交給 AMF,AMF 會以 RES*
計算出 HRES*
拿來與 HXRES*
進行比對。RES*
與 XRES*
兩者是否相同。補充:
這個作法可以保證驗證過程的加密性(RES*
)與完整性(HRES*
)。
經過 Authentication 流程後,可以保證 UE 與核心網路端持有相同的 materials,這些資訊可以用來當作密鑰生產演算法所需要的 input data,產生出 AS 與 NAS 層中用來進行加密與完整性保護的密鑰:
圖片出處:https://fabricioapps.blogspot.com/2019/02/5g-security.html
舉例來說,上圖中的 K_NASenc
用於 NAS 層的資料加密,K_NASint
用於完整性保護。
相對的 K_ASenc
與 K_ASint
則是用於加密與保護 AS 層的資料。
補充:
基本上 4G 與 5G 的 AS/NAS Security 流程差異不大,如果讀者對 NAS 與 AS 的 Key 生成流程有濃厚的興趣,可以參考筆者之前閱讀 Netmanias-06-LTE Security II-NAS and AS Security 的學習筆記。
圖片出處。
5G Authentication Framework 的圖片出處。