5G authentication - ianchen0119/Introduce-to-5GC GitHub Wiki

就跟其他網際網路服務一樣,只要有封包的傳遞就會有被竊聽的風險,為了避免資料被有心人士竄改或是非法使用,5G 通訊網路提供了 Security 方面的功能預防未經授權的存取。

Scope and Concept of 5G Security

1. 5G Authentication

實施 UE 與網路之間的交互驗證,並且可以確保之後的其他流程的安全性。 常見的 Authentication 有三種方法:

  • 5G-AKA
  • EAP-AKA'
  • EAP-TLS'

2. NAS Security

用於處理 UE 以及 AMF 之間的 NAS signaling 的加密(ciphering)以及完整性保護(integrity protection)。

3. AS Security

用於處理 UE 以及 RAN 之間的 RRC signaling 的加密(ciphering)以及完整性保護(integrity potection)。

什麼是 AKA?

  • 屬於 challenge-and-response authentication protocol
  • 用於產生之後流程使用的 Key(用來加密或是做完整性保護)

5G Permanent Identifier

主要有 SUPI 以及 SUCI:

1. SUPI (Subscription Permanent Identifier)

會存放在 SIM 卡以及 核網端的 UDM/UDR(你可以把它們想成核心網路使用的資料庫)。

2. SUCI (Subscription Concealed Identifier)

image

我們可以把 SUCI 當成是隱蔽的 SUPI,SUCI 的產生方式是透過 SUPI 與 HPLMN 的公鑰加密產生的。

個人觀點:之所以會將 SUPI 加密成 SUCI 是為了避免惡意使用者的攻擊。

image

我們可以將上圖拆成三個部分去看,分別是:

1. 一般的 Registration Request

當 Registration procedure 觸發,UE 會在請求中附上自己的 SUCI,等核網收到以後會將它傳給 UDM,再由 UDM 將 SUCI 解密回 SUPI。

2. Re-Registration Request with case #1

正常來說,當 Registration Request 成功以後,UE 會收到來自核網產生的 GUTI,這樣下一次發起流程的時候 UE 就能使用 GUTI 作為身份識別的標籤。 Case #1 表示的正是 UE 發起 Re-Registration request 並且成功的例子,我們可以看到核網收到 GUTI 以後 AMF 可以將它 mapping 回 SUPI。

3. Re-Registration Request with case #2

Case #2 一樣是 UE 發起 Re-Registration request 的例子,但這邊 AMF 在 mapping GUTI 的時候發生了問題,發生問題的原因可能是前後收到的 AMF 不是同一個,或是過期...等等。由於核網無法順利的取得 SUPI,所以在 case #2 這裡它會發一個 Identity Request 來要求 UE 重新提供 SUCI 給核網。

5G Authentication Framework

image

1. N3IWF

N3IWF 就像是一個 VPN Server,它可以讓 UE 透過 IPSec 通道(也就是 untrusted/non-3GPP networks)的方式訪問核心網路。

  • UE 與 AMF 的中繼站(NAS 訊號)
  • UE 與 UPF 的中繼站(User-plane 封包)

2. AMF/SEAF

SEAF 實作在 AMF 中,它被用來提供與 Authentication 有關的 functionality(像是 SUCI 的機制)。

3. UDM/ARPF/SIDF

  1. UDM 用來存取 UDR 上的 subscription data 以及資料管理。
  2. APRF 用來產生 AUSF 所需的 Key material 以及根據 Configured policy 來選擇 Authentication 的方式。
  3. SIDF 用來解密 SUCI。

4. AUSF

支援 3GPP 以及 non-3GPP 的 Authentication。

5G Authentication Initialization

圖片取自 3GPP TS 33.501 Clause 6.1.2 Initiation of authentication and selection of authentication method。

5G AKA

圖片取自 3GPP TS 33.501 Clause 6.1.3.2 5G AKA。

Key Hierarchy in 4G & 5G

image

圖片出處:A Comparative Introduction to 4G and 5G Authentication

References

圖片出處。

5G Authentication Framework 的圖片出處。