5G authentication - ianchen0119/Introduce-to-5GC GitHub Wiki

就跟其他網際網路服務一樣，只要有封包的傳遞就會有被竊聽的風險，為了避免資料被有心人士竄改或是非法使用，5G 通訊網路提供了 Security 方面的功能預防未經授權的存取。

Scope and Concept of 5G Security

1. 5G Authentication

實施 UE 與網路之間的交互驗證，並且可以確保之後的其他流程的安全性。常見的 Authentication 有三種方法：

5G-AKA
EAP-AKA'
EAP-TLS'

2. NAS Security

用於處理 UE 以及 AMF 之間的 NAS signaling 的加密（ciphering）以及完整性保護（integrity protection）。

3. AS Security

用於處理 UE 以及 RAN 之間的 RRC signaling 的加密（ciphering）以及完整性保護（integrity potection）。

什麼是 AKA？

屬於 challenge-and-response authentication protocol
用於產生之後流程使用的 Key（用來加密或是做完整性保護）

5G Permanent Identifier

主要有 SUPI 以及 SUCI：

1. SUPI (Subscription Permanent Identifier)

會存放在 SIM 卡以及核網端的 UDM/UDR（你可以把它們想成核心網路使用的資料庫）。

2. SUCI (Subscription Concealed Identifier)

我們可以把 SUCI 當成是隱蔽的 SUPI，SUCI 的產生方式是透過 SUPI 與 HPLMN 的公鑰加密產生的。

個人觀點：之所以會將 SUPI 加密成 SUCI 是為了避免惡意使用者的攻擊。

我們可以將上圖拆成三個部分去看，分別是：

1. 一般的 Registration Request

當 Registration procedure 觸發，UE 會在請求中附上自己的 SUCI，等核網收到以後會將它傳給 UDM，再由 UDM 將 SUCI 解密回 SUPI。

2. Re-Registration Request with case #1

正常來說，當 Registration Request 成功以後，UE 會收到來自核網產生的 GUTI，這樣下一次發起流程的時候 UE 就能使用 GUTI 作為身份識別的標籤。 Case #1 表示的正是 UE 發起 Re-Registration request 並且成功的例子，我們可以看到核網收到 GUTI 以後 AMF 可以將它 mapping 回 SUPI。

3. Re-Registration Request with case #2

Case #2 一樣是 UE 發起 Re-Registration request 的例子，但這邊 AMF 在 mapping GUTI 的時候發生了問題，發生問題的原因可能是前後收到的 AMF 不是同一個，或是過期...等等。由於核網無法順利的取得 SUPI，所以在 case #2 這裡它會發一個 Identity Request 來要求 UE 重新提供 SUCI 給核網。