【5G系列】NAS层安全流程(4)——初始鉴权

最新推荐文章于 2023-08-07 16:56:07 发布
最新推荐文章于 2023-08-07 16:56:07 发布
阅读量8.1k 收藏 30
点赞数 8
分类专栏: NR
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hitguolu/article/details/107034101
版权

文章目录

概述

The purpose of the primary authentication and key agreement procedures is to enable mutual authentication between the UE and the network and provide keying material that can be used between the UE and the serving network in subsequent security procedures.

该过程的目的是终端在注册时,进行终端和网络之间的双向鉴权认证,并生成后续需要使用的安全密钥。目前5G系统中有两种鉴权方法,EAP-AKA’和5G AKA,终端需要同时支持这两种方法。

初始鉴权及鉴权算法选择

在这里插入图片描述

  • 根据SEAF的策略,SEAF可以在与UE建立信令连接的任何过程期间向UE发起认证。 UE将在注册请求中使用SUCI或5G-GUTI。
  • 每当SEAF希望发起认证时,SEAF就会通过向AUSF发送Nausf_UEAuthentication_Authenticate Request消息来调用Nausf_UEAuthentication服务。
  • 在收到Nausf_UEAuthentication_Authenticate Request消息后,AUSF应通过比较服务网络名称和预期的服务网络名称,检查服务网络中的请求SEAF是否有权使用Nausf_UEAuthentication_Authenticate请求中的服务网络名称。 AUSF应暂时存储收到的服务网络名称。 如果未授权服务网络使用服务网络名称,则AUSF应在Nausf_UEAuthentication_Authenticate响应中以“未授权服务网络”进行响应。
  • 收到Nudm_UEAuthentication_Get请求后,如果收到SUCI,则UDM将调用SIDF。 在UDM可以处理该请求之前,SIDF应当隐藏SUCI以获得SUPI。UDM / ARPF应基于SUPI选择身份验证方法。

EAP-AKA’流程

消息交互

在这里插入图片描述
在这里插入图片描述

  • 若鉴权过程成功完成,并且AMF之后需要发起SMC流程,则EAP-success message和ngKSI将会在之后的SMC消息中携带;
  • 若鉴权过程成功完成,但之后AMF不会发起SMC流程,则EAP-success message和ngKSI将会通过AUTHENTICATION RESULT通知给UE;
  • 若鉴权失败,网络通知UE的EAP-failure message将会通过AUTHENTICATION RESULT message或AUTHENTICATION REJECT message或Initial 5GMM procedure的响应消息携带。
鉴权成功流程

在这里插入图片描述
在这里插入图片描述

  • AUSF网元发送鉴权请求给UDM/ARPF网元。UDM/ARPF网元根据用户信息和接入信息选择EAP-AKA’方法,并产生鉴权向量,设置AMF separation bit = 1,计算CK’和IK’。ARPF将鉴权向量发送给AUSF。
  • AUSF发送EAP-request/AKA’-challenge消息,携带AT_RAND,AT_AUTN,AT_KDF,AT_KDF_INPUT,AT_MAC等属性。其中将AT_KDF_INPUT属性设置为SNN。AT_MAC由CK’和IK’计算所得。
  • ME收到EAP-request/AKA’-challenge消息后想USIM卡发起挑战。USIM挑战成功后,返回CK,IK和RES给ME。ME通过KDF算法计算CK’和IK’。
  • ME发送EAP-response/AKA’-challenge消息,携带AT_RES属性和AT_MAC属性。
  • AUSF收到EAP-response/AKA’-challenge消息后,比较AT_RES和AT_MAC,如果比对成功,鉴权成功。AUSF给EAP-Request/AKA’-Notification通知成功。
  • UE收到EAP-Request/AKA’-Notification后需要返回EAP-Response/AKA’-Notification。
  • 最后,AUSF给UE发送EAP-Success。并生成KSEAF发送给SEAF。UE收到EAP-Success后通过CK’和IK’计算得到EMSK,从而得到KAUSF(KAUSF为EMSK的前256bits),进一步由KAUSF计算得出KSEAF,并且结合EAP-success message中的ABBA计算得到KAMF。同时,将以ngKSI为索引生成partial native 5G NAS security context(包含计算得到的KAMF),保存到ME的memory中。

5G AKA流程

在这里插入图片描述

  • AUSF网元发送鉴权请求给UDM/ARPF网元。UDM/ARPF网元根据用户信息和接入信息选择5G-AKA方法,并产生鉴权向量,设置AMF separation bit = 1,通过KDF算法计算XRES和KAUSF。ARPF将鉴权向量(RAND,AUTN,XRES,KAUSF)发送给AUSF。
  • AUSF根据XRES来计算HXRES:HXRES* = SHA-256 (XRES* || RAND)的高128bits,以及通过KDF计算KSEAF。将鉴权向量(RAND,AUTN,HXRES*,KSEAF)发送给SEAF。
  • SEAF发送AUTHENTICATION REQUEST消息给UE。该消息中携带5G挑战的RAND、AUTN和ngKSI。
  • ME向USIM请求5G鉴权挑战。USIM执行AUTN验证,AUTN验证成功,返回UE挑战成功,携带CK,IK和RES。
  • ME计算RES*(计算方法同网络的XRES计算)。响应网络AUTHENTICATION RESPONSE(RES)。并本地保存(RAND,RES*),以免网络重传鉴权请求时重复挑战,导致同步问题。同时ME需要计算KAUSF和KSEAF。
  • SEAF在收到AUTHENTICATION RESPONSE后,根据RES计算HRES(计算方法HXRES*),并且比较HRES和HXRES,如果相同,则鉴权成功。

当UE收到AUTH REQ消息时,若判断收到的消息中携带的RAND与保存的RAND相同,则不会再次用该RAND向USIM请求5G鉴权挑战,直接采用RAND对应的本地保存的RES*携带在AUTH RESPONSE消息中反馈给网络即可。

通信小黑
关注
  • 8
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 20
    评论
专栏目录
5G NGC — UE 的二次鉴权(Secondary Authentication)方案
烟云的计算
07-23 4268
目录 文章目录目录引入 5G 二次鉴权(Secondary Authentication)的背景方式一、安全网关认证方式二、VPDN 身份认证方式三、5G 二次身份认证 引入 5G 二次鉴权(Secondary Authentication)的背景 与 ToC 业务相比,ToB 垂直行业用户的业务具有更高的安全保密需求。因此,UE 除了在进行初始化注册流程时,需要进行首次的身份认证之外,当 UE 通过 5G 网络接入 DN 访问垂直行业用户的应用时,通常需要进行二次鉴权,或称为二次身份认证。 方式一、安全
5G核心网】 NAS5GS mobility management
zhonglinzhang
09-09 1万+
5GS mobility management (5GMM) information elements,本文分析 NAS MM 消息的信息元素, 以及 5GS mobility management message 消息
NAS信令学习笔记 ——AKA过程
白萝卜
02-12 1万+
AKA过程:Authentication and Key agreement (AKA)过程,鉴权和秘钥协商过程。 eKSI:Key Set Identifier in E-UTRAN,E-UTRAN的密码组标识。 1. 鉴权四向量 KASME:UE(USIM)和网络侧(AuC)根据CK、IK以及serving network identity (SN id)生成的中间秘钥,是EPS加...
5G UE鉴权流程详解 UE Authentication
weixin_53022668的博客
03-16 7342
5gUE认证过程,UDM参与认证过程
5G无线网络信令流程
2301_78889792的博客
06-29 2865
初始无线接入:当UE开机后,它的首要任务就是要找到无线网络并与无线网络建立连接,需要如下步骤;获得上下行同步侦听网络获得下行同步;随机接入,获取上行同步;收发消息,建立连接建立UE与核心网之间相同的移动性上下文;建立UE与核心网之间的缺省承载通过EPS ATTACH流程,UE还可以获取到网络分配的IP地址鉴权过程和安全模式过程在NSA组网下,gNodeB不需要广播RMSI,RMSI中的内容通过RRC信令(由LTE发送)在UE开始接入NR前发生给UE;
5G安全管理之认证与鉴权(AKA、EAP-AKA、密钥分发)
BJTUYBYUAN的博客
08-14 1万+
主题:认证与鉴权 简介: 参考: 5G 核心网规划与应用(7.3.1) TS 33.501 5G AKA 博客 5G安全架构、 PDN 作者:ybb 时间:2021年8月14日 7.3.1 7.3.1-2 (1)认证框架 (2)启动认证和认证方法的选择 (3)认证过程 5G AKA认证过程 (TS 33.501 6.1.3.2 Authentication procedure for 5G AKA): 5G AKA通过为归属网络提供来自访问网络的UE的认证成功的证明来增强EPS AKA,G该证明由访问网络在
一文讲透:2G/3G/4G/5G移动通信的身份认证与鉴权机制
Ango_的专栏
03-26 1万+
通信网的身份认证 运营商移动通信网的接入认证是蜂窝通信的服务基础,为用户接入通信网提供了基础的准入保障。纵观历代移动通信网鉴权技术,从鉴权方向上看主要是两大类:单向鉴权→双向鉴权。这里的单向鉴权主要指通信网络对用户的鉴权,而不是反过来;双向鉴权就是用户和移动通信网络双向鉴权。 一,2G时代的认证与鉴权 第一代模拟通信系统(就是常见的大哥大),基本上是没有安全防护机制的。到了2G GSM时代,模拟通信系统变成了数字通信系统,增加了很多安全能力。包括,空口信息加密、身份认证鉴权、身份标识码和过期用户过滤。
5G初始注册流程详解(5)-鉴权
最新发布
weixin_53220301的博客
08-07 780
为什么信息安全是张雪峰老师推荐的10大高薪排名第一的专业?
5G注册流程分级详解(鉴权)(Step9续)
03-14 5437
*** 欢迎转发,转发请注明出处。相关更新会在公众号同步更新,敬请关注。公众号:5G通信大家学 *** 目录 9. 鉴权流程(续) (1)NAS消息完整性保护要点说明 (2)NAS消息的加密要点说明 (3)5G初始NAS消息保护机制 (4)5G NAS安全模式的开启 9. 鉴权流程(续) new AMF对UE成功鉴权后,如果第5步中由于完整性检查失败导致获取UE context不成功,此时需要重新执行第4步(Namf_Communication_UEContextTransfer)...
5G注册流程分级详解(鉴权)Step9
03-03 1万+
*** 欢迎转发,转发请注明出处 。 相关更新会在公众号公布更新,敬请关注。公众号:南山耕夫 *** 目录 9. Authentication/Security流程。 0)准备知识 1) 鉴权流程 A. 鉴权流程(请求阶段): B. 鉴权流程(响应阶段): C. 鉴权流程鉴权确认和注册绑定部分) 2)5G密钥相关推导图 9. Authentication/Security流程。 0)准备知识 该步骤为UE的5G鉴权流程,本文以目前使用的5G AKA鉴权方式为例介绍。5G AK...
USIM鉴权算法规范 MILENAGE Algorithm
02-04
网络对USIM的鉴权; USIM对网络的鉴权; 包含MILENAGE Algorithm的 - f1: 一个消息校验函数,网络鉴权时,计算XMAC; - f1*: 一个消息校验函数,用于再同步; - f2: 一个消息校验函数,用于计算SRES; - f3: 一个密钥生成函数,用于计算CK; - f4: 一个密钥生成函数,用于计算IK; - f5: 一个密钥生成函数,用于计算AK (可选); - f5*: 一个密钥生成函数,用于再同步过程中计算AK。 以及实现参考代码
LTE鉴权参数和Milenage算法介绍
10-10
GSM网络的鉴权采用的是Comp128-1/2/3算法,又称A3A8算法,而2G的CDMA采用的是CAVE算法,3G网络采用的是MILENAGE算法
连接鉴权_读懂物联网⑧:5G安全鉴权与密钥协商
weixin_36190910的博客
12-23 1662
5G即第五代移动通信网络,具有更快的速率,峰值速率期望提高10-20倍,更低的时延,协议空口环回时延降低1-10倍,更多的连接,连接密度期望能提高约10倍,除此之外,5G安全性也全方位增加,增强了对用户唯一标识符的隐私保护,增强了归属网络对鉴权认证的控制,按需提供数据加密,扩大了对用户数据的保护面等等,这里我们就详细介绍5G鉴权与认证环节。​5G鉴权的目的主要是实现终端和核心网之间的相互认证,...
5G系统——5G鉴权5G AKA)
热门推荐
Cloudy_cn的专栏
08-24 4万+
缩略语 5GC    5G Core Network 5G-AN    5G Access Network 5G-RAN    5G Radio Access Network  5G AV    5G Authentication Vector 5G HE AV    5G Home Environment Authentication Vector AES    Advanced Encryp...
RSA鉴权算法
liujie379908的博客
10-14 745
RSA鉴权算法代码 代码 package com; import org.apache.commons.codec.binary.Base64; import java.io.IOException; import java.security.GeneralSecurityException; import java.security.KeyFactory; import java.secur...
NR 5G 密钥与安全详解
baidu_41616132的博客
07-18 1万+
密钥次结构 5GS中密钥次生成的密钥: 与认证相关的密钥包括以下密钥:K,CK / IK。 密钥次结构包括以下密钥:K AUSF ,K SEAF ,K AMF ,K nasint ,K nasenc ,K n3iwf ,K gNB ),Krrcint ,Krrcenc ,Kupint 和Kupenc 。 归属网络中AUSF的关密钥: K AUSF 是一个关密钥派生的 通过ME和AUSF来...
5G NAS 信令全过程
l26m161的专栏
04-13 3万+
1. 5G终端注册到非4G锚点小区 UE刚开机时,先读取系统消息,选择到一个合适的小区驻留后,并进行附着过程。RRC建立请求原因为:mo-Signalling。RRC连接建立→身份鉴权安全加密→UE能力鉴定→附着成功;附着流程如下: 若是5G终端,在上报UE能力时包含支持的NR频带,如Band41 2.非4G锚点小区→4G锚点小区 若5G终端初始接入到非4G锚点小区时,eNodeB会下发RRC连接重配置,包含测量控制消息,如测量频点1309,测量事件A5 1门限-70dbm(测量R...
LTE学习笔记 ——UE附着身份认证、鉴权NAS安全
白萝卜
11-26 1万+
1. Initial UE Message(eNodeB ——> MME) (1)携带消息:Attach Request, PDN Request Attach Request:EMM(EPS Mobility Management)信息。 PDN Request:ESM(EPS Session Management)信息。 (2)信息: 用户信息:S-TMSI,或IMSI ,或I...
5G安全系列NAS安全密钥衍生——USIM相关密钥的衍生
从善若水的博客
10-06 2340
博主未授权任何人或组织机构转载博主任何原创文章,感谢各位对原创的支持! 博主链接 文章目录NAS安全密钥衍生——USIM相关密钥的衍生一、K → CK、IK的触发条件二、K → CK、IK衍生的入参三、USIM内部具体衍生流程四、K → CK、IK衍生失败场景4.1 MAC失败场景(MAC failure)4.2 同步失败(Synchronization failure)4.2.1 USIM 如何生成 AUTS参数 本人就职于国际知名终端厂商,负责modem芯片研发。 在5G早期负责终端数据业务、核心
评论 20
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值