5G安全管理之认证与鉴权(AKA、EAP-AKA、密钥分发)

最新推荐文章于 2023-07-28 17:58:28 发布
最新推荐文章于 2023-07-28 17:58:28 发布
阅读量1.4w 收藏 47
点赞数 4
分类专栏: 5G安全 5G学习总结 文章标签: 5G 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BJTUYBYUAN/article/details/119702692
版权

主题:5G安全管理(认证与鉴权)
简介:主要梳理了5G AKA、5G EAP-AKA’、基于DN-AAA的二次认证
参考:5G 核心网规划与应用(7.3.1)
TS 33.501
5G AKA 博客
5G安全架构
PDN

作者:ybb
时间:2021年8月14日

7.3.1 认证和授权

7.3.1-2 初认证和密钥协议

(1)认证框架
(2)启动认证和认证方法的选择
(3)认证过程
5G AKA认证过程
(参考TS 33.501 6.1.3.2Authentication procedure for 5G AKA)
流程:
①获取鉴权数据
②UE和服务网络双向鉴权
③归属网络鉴权

5G AKA通过为归属网络提供来自访问网络的UE的认证成功的证明来增强EPS AKA,G该证明由访问网络在Authentication Confirmation消息中发送(5G AKA enhances EPS AKA by providing the home network with proof of successful authentication of the UE from the visited network. The proof is sent by the visited network in an Authentication Confirmation message. )
5G AKA认证过程(新)

5G AKA认证过程 TS 33.501
如果认证成功,在Nausf_UEAuthentication_Authenticate 响应消息中接收的秘钥KSEAF将会成为锚key,然后SEAF从KSEAF、ABBA参数和SUPI推导出KAMF,SEAF应向AMF提供ngKSI和KAMF

如果SUCI用于此认证,则SEAF仅在收到包含SUPI的Nausf_UEAuthentication_Authenticate 响应消息后才向AMF提供ngKSI和KAMF,在服务网络知道SUPI之前,不会向UE提供通信服务。

假设最后的验证未成功,如果UE在初始NAS消息中使用了SUCI,则SEAF应向UE发送拒绝认证消息;如果UE在初始NAS消息中使用了5G-GUTI,则SEAF/AMF将发起与UE的识别过程以检索SUCI,同时可能会发起新的认证过程。

注1:SUPI SUCI GUTI 加密与解密流程是如何实现的?体现了那些密码学的知识?

注2:鉴权中心生成AV,USIM完成鉴权。

注3:4G AKA?

5G EAP-AKA’ 认证过程
(TS 33.501 6.1.3.1Authentication procedure for EAP-AKA’)
流程:
①获取鉴权数据
②UE和SN双向鉴权
5G EAP-AKA认证过程(新)

5G EAP-AKA认证过程

同步失败或者MAC失败:
(1)USIM中的同步失败或MAC故障
(2)归属网络中的同步故障恢复

7.3.1-2 基于DN-AAA的二次认证

( TS 33.501 11.1EAP based secondary authentication by an external DN-AAA server)
除了5G网络进行初次认证,5G网络还支持由外部DN-AAA进行基于EAP的二次认证(基于EAP框架)。
①CN对USIM进行主认证
②企业侧利用DN-AAA实现对终端的二次认证

SMF执行EAP身份验证器的角色,在归属路由部署的场景中,H-SMF执行EAP身份验证器的角色,V-SMF负责传送UE和H-SMF之间的交换的EAP消息,他依靠外部的DN-AAA服务器来认证和授权UE的PDU会话建立请求。充当EAP身份验证器角色的SMF通过UPF与DN-AAA服务器进行信息交互。
(UE ——N1—— AMF 、 SMF—— N4—— UPF
AMF ——N11—— SMF、UPF ——N6 ——DN)
5G 基于DN-AAA的二次认证(新)

基于DN-AAA的二次认证流程

(1)身份认证

(2)重新验证

7.3.1-2 密钥层次结构、密钥生成、密钥分发

(参考TS 33.501 6.2Key hierarchy, key derivation, and distribution scheme)
(1)密钥层次结构
(2)密钥生成
(3)密钥分发

(1)密钥层次结构:
认证相关的密钥:
5G AKA: K CK/IK
5G EAP-AKA’ CK/IK CK’/IK’
密钥层次结构包含的密钥:
KAUSF、KSEAF、KAMF、KNASint、KNASenc、KRRCint、KRRCenc、KUPint、KUPenc、KN3IWF、KgNB

KAUSF的两种生成方式:
①5G AKA:由UE和ARPF从CK和IK生成,KAUSF作为5G HE AV的一部分从ARPF得到。
②5G EAP-AKA’:由UE和AUSF从CK’和IK’生成,CK’和IK’作为AV的一部分从ARPF得到。
注:基于EAP-AKA’的认证是一种基于USIM的EAP认证方式,鉴权流程由AUSF承担鉴权职责,而AMF只负责推衍密钥和透传EAP消息。
KSEAF的生成方式:
由UE和AUSF从KAUSF生成锚KEY,在SN中,KSEAF由AUSF提供给SEAF.
KAMF由UE和SEAF从KSEAF生成,在执行横向密钥推导时,通过UE和AMF进行推导出KAMF

5G密钥生成的层次结构:
(TS 33.501 6.2Key hierarchy, key derivation, and distribution scheme)
5G 密钥层次结构TS 33.501
(2)(3)密钥生成和分发
网络侧的密钥——UE侧的密钥

(4)用户相关密钥的处理
①密钥设置
②密钥识别
③密钥生命周期

NAS信令加密和完整性保护:

NAS安全模式命令流程
5G NAS安全模式命令流程

BJTUYBYUAN
关注
  • 4
    点赞
  • 47
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
论文研究-EAP-AKA协议的分析和改进.pdf
07-22
3G与WLAN互连是当前研究的一个热点。EAPAKA是其对应的认证密钥分配协议。详细分析EAP-AKA协议的流程和安全性,并针对其中的安全缺陷,提出一种改进的方案,同时对改进方案的安全性也进行了分析。
5G系统——5G鉴权5G AKA
热门推荐
Cloudy_cn的专栏
08-24 4万+
缩略语 5GC    5G Core Network 5G-AN    5G Access Network 5G-RAN    5G Radio Access Network  5G AV    5G Authentication Vector 5G HE AV    5G Home Environment Authentication Vector AES    Advanced Encryp...
5G UE鉴权流程详解 UE Authentication
weixin_53022668的博客
03-16 6737
5gUE认证过程,UDM参与认证过程
5G注册流程分级详解(鉴权)Step9
03-03 1万+
*** 欢迎转发,转发请注明出处 。 相关更新会在公众号公布更新,敬请关注。公众号:南山耕夫 *** 目录 9. Authentication/Security流程。 0)准备知识 1) 鉴权流程 A. 鉴权流程(请求阶段): B. 鉴权流程(响应阶段): C. 鉴权流程(鉴权确认和注册绑定部分) 2)5G密钥相关推导图 9. Authentication/Security流程。 0)准备知识 该步骤为UE的5G鉴权流程,本文以目前使用的5G AKA鉴权方式为例介绍。5G AK...
论文研究-增强EAP-AKA协议安全性的改进方案.pdf
09-11
针对EAP-AKA协议中存在的安全问题,提出了改进方案。通过在3G和WLAN接入网络间增设共享密钥实现了两者间的相互认证,并用串空间模型和认证测试方法进行了形式化分析,通过加密传输NAI实现了对IMSI的加密保护,通过引入密钥更新机制实现了对用户和3G网络间的共享密钥安全更新。
eap.rar_.eap_EAP_EAP-TLS_eap-aka_eap-sim
09-21
EAP source code for wireless AP development
EAP-AKA协议:保障移动通信安全的关键
最新发布
Lid_23的博客
07-28 1857
EAP-AKA是一种用于无线网络中的安全认证协议。它是基于GSM(Global System for Mobile Communications)中的认证密钥协商算法IK(Authentication and Key Agreement)的扩展版本。EAP-AKA的主要目的是提供安全的用户身份验证和密钥协商机制,以保护无线网络中的通信。它适用于诸如3G/4G移动通信网络之类的无线网络环境。EAP-AKA
[5GC]SMF会话管理功能
Greyplayground
02-20 2万+
功能 建立,修改,释放会话 维护UPF和RAN之间的隧道 选择和控制UPF(ARP/ND) 配置UPF流量导向 收集UPF计费数据 会话的SCC模式选择 I-SMF IMS P-CSCF发现 Policy相关功能。。。 具体功能解释 会话管理 PDU会话的属性 S-NSSAI和DNN 网络切片标识&数据网络名称 S-NSSAI中存在DNN配置,如果不存在则使用切片中的默认值 PDU会话建立 SMF检查UE的请求和UE的签约数据 PDU会话修改 PDU会话释放 ...
EAPEAP AKA算法
b02330224的专栏
06-27 1万+
AKA Authentication and Key Agreement CK cipher key IK integrity key RAND random number AUTN authentication token AMF authentication management field RES response XRES expected response 1 EAP
5G系列】NAS层安全流程(4)——初始鉴权
通信小黑的博客
06-30 7752
初始鉴权
[5GC]《5G核心网-赋能数字化时代》| 6.6&6.7 会话认证和授权&LADN
Greyplayground
07-29 1389
6.6 会话鉴权和授权 PDU会话建立中的鉴权和授权 1. AAA服务器位置:一般位于公司网络或者第三方提供的DN 2. 额外功能:在某些场景下,为PDU会话管理参数和特性 3. 鉴权和授权的主体:5GS支持PDU会话建立过程中的二次鉴权和授权,这个动作由DN-AAA来完成。二次鉴权和授权是可选项 4. 二次鉴权授权发生的时间点: 注册期间AMF发起的首次5GC接入鉴权之后 SMF利用从UDM获取的订阅数据,进行首次PDU会话授权之后 UE和DN-AAA服务器间的二次鉴权 1. 二次鉴权中的概念: 二次鉴权
5G 空口信令鉴权流程分析书.docx
05-28
5G 空口信令鉴权流程分析书
freeradius-2.1.9-dfsg_eap-sim-aka-0.1.patch
07-14
freeradius-2.1.9-dfsg_eap-sim-aka-0.1.patch
5G缩略语.xlsx
05-14
5G HEAV         5G Home Environment AV        5G-GUTI         5G Globally Unique Temporary UE Identity  5G全局唯一的临时UE标识 5GMM         5GS mobility management         5GS         5G system         AAA         authentication authorization accounting AAU         Active Antenna Unit         有源天线基站 AES         Advanced Encryption Standard       AKA         Authentication and Key Agreement     AMF         Access and Mobility Management Function
3GPP第16版5G标准33501-g00(EAP-AKA'和5G-AKA认证框架部分.docx
10-22
本文档来源于3GPP第三代合作伙伴计划(3GPP)制定的技术规范33501-g00。本文件的内容受TSG内部工作的限制,并可能在TSG正式批准后发生变化。如果本文件的内容被TSG修改,TSG将重新发布本文件,3GPP并对发布日期进行修改。请学者自行更新下载最新版文档。
EAP-AKA认证算法源程序(基于SHA-1)
03-03
基于SHA-1的AKA算法实现:源程序代码(ANSI-C编写) 本算法详细描述参见:3GPP2: S.S0055-A_v2.0_050120.pdf UNIX/Linux下gcc编译通过
EAP-AKA-ns2:交接安全 - EAP AKA ERP - 框架实施
06-09
ns-2 的切换安全框架实现 EAP 又名 ERP 参考 RFC 4187、RFC 5296、RFC 5448 本硕士论文中描述了技术细节: :
5G NR的子载波间隔、帧、子帧、时隙、符号的总结
BJTUYBYUAN的博客
05-21 4万+
5G NR 的子载波间隔、帧、子帧、时隙、符号 子载波间隔:在LTE系统中只有一种类型的子载波间隔,也就是15khz;然而在NR系统中,有5种可选的子载波间隔,包括15khz、30khz、60khz、120khz、240khz。 如下图所示, 帧和子帧:上下行传输帧的持续时间是10ms,一个帧可以分为10个子帧,也就是说,一个子帧的持续时间为1ms,由于子载波间隔是可选的,那么一个时隙的持续时间也不是固定的,但是如果子载波间隔固定,其时隙的持续时间也就固定了。 时隙:在LTE系统中,一个子帧有两个时隙,
eap-aka 需要哪些秘钥值
04-28
EAP-AKA是一种用于认证用户的协议,主要应用于3G和4G网络中。在EAP-AKA中,需要使用以下秘钥值: 1. Permanent Identity (IMSI):这是用户的永久标识符,由其SIM卡中储存。IMSI用于创建会话密钥和计算以加密和认证用户的数据。 2. Authentication Token (AUTN):这是一个16字节的随机数,由基站向移动设备发送。接收方必须使用Security Key生成Expected Response(XRES)和Cipher Key(CK)的值,然后将AUTN,XRES和CK发送回基站。 3. Expected Response (XRES):这是一个16字节的固定长度的值,由移动设备根据IMSI和AUTN计算生成的。它用于与基站发送的Response(RES)的值进行比对。 4. Master Key (K):这是一个128位的值,称为基本的长期密钥。它被用来加密和解密数据并生成其他秘钥值。 5. Session Key (AK):这是通过AUTN和XRES生成的一个由128位的临时密钥,用于加密和认证用户数据的流。 有了以上这些秘钥值,EAP-AKA协议能够对用户进行强力的认证,并保证数据的安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值