一、用户平面安全机制(User Plane security mechanisms)
1.1、用户平面安全策略(User Plane security policy)
SMF应在PDU会话建立过程中向ng-eNB/gNB提供PDU会话的用户面安全策略,如TS 23.502中所述。
用户面安全策略应指示是否应为属于该PDU会话的所有DRB激活用户面保密和/或用户面完整性保护。用户面安全策略应用于激活属于PDU会话的所有DRB的用户面机密性和/或用户面完整性。
ng-eNB/gNB应根据收到的用户面安全策略,使用第1.2条中定义的RRC信令为每个DRB激活用户面机密性和/或用户面完整性保护。如果用户面安全策略指示“Required”或“Not needed”,则ng-eNB/gNB不得否决SMF提供的用户面安全策略。如果ng-eNB/gNB在收到的用户面安全策略为“Required”时无法激活用户面机密性和/或用户面完整性保护,则gNB应拒绝为PDU会话建立用户面资源,并向SMF指示拒绝原因。如果收到的用户面安全策略为“Not needed”,则PDU会话的建立将按照TS23.502中描述的进行(暂时不对此内容进行描述)。
在从源基站(ng-eNB/gNB)到目标基站(ng-eNB/gNB)的Xn切换过程中,源基站应在切换请求消息(HANDOVER REQUEST)中包含UE的用户平面安全策略。如果用户平面安全策略为“必需”,目标基站应拒绝所有无法遵守相应安全策略的PDU会话,并向SMF指示拒绝原因。对于被接受的PDU会话,目标基站应根据接收到的UE用户平面安全策略,为每个DRB激活用户平面保密和/或完整性保护,并在源基站发出的切换命令(HANDOVER COMMAND)中向UE指示这一点。
如果UE在切换命令(HANDOVER COMMAND)中收到指示,表明目标基站(target ng-eNB/gNB)启用了某个PDU会话的用户平面完整性保护和/或用户平面加密,则UE应生成或更新用户平面加密密钥(UP encryption key)和/或用户平面完整性保护密钥(User Plane integrity protection key),并为相应的PDU会话激活用户平面加密和/或用户平面完整性保护。
此外,在路径切换消息(Path-Switch message)中,目标基站(target ng-eNB/gNB)应将从源基站(source gNB)收到的UE的用户平面安全策略和相应的PDU会话ID发送给SMF。SMF应验证从目标基站收到的UE用户平面安全策略是否与SMF本地存储的UE用户平面安全策略相同。如果存在不匹配,SMF应将其本地存储的对应PDU会话的UE用户平面安全策略发送给目标基站。SMF如果包含此用户平面安全策略信息,则会在路径切换确认消息(Path-Switch Acknowledge message)中将其传递给目标基站。SMF应支持记录此事件的功能,并可能采取额外措施,例如发出警报。
如果目标基站(target gNB)在路径切换确认消息(Path-Switch Acknowledge message)中从SMF收到UE的用户平面安全策略,则目标基站应使用收到的UE用户平面安全策略更新UE的用户平面安全策略。如果UE当前的用户平面保密和/或用户平面完整性保护激活状态与收到的UE用户平面安全策略不同,则目标基站应启动小区内切换过程,其中包括RRC连接重配置过程,以根据从SMF收到的策略重新配置DRB,以激活或取消激活用户平面完整性/保密性。
如果目标ng-eNB/gNB同时接收到UE的安全能力和用户面安全策略,那么ng-eNB/gNB会启动小区内切换过程,其中包括向UE发送选定的算法和NCC。新的用户面密钥将在UE和目标gNB上派生并使用。
在N2切换过程中,SMF应通过目标AMF向目标基站(ng-eNB/gNB)发送UE的用户平面安全策略。目标基站应拒绝所有无法遵守相应安全策略的PDU会话,并通过目标AMF向SMF指示拒绝原因。对于所有其他PDU会话,目标基站应根据接收到的UE用户平面安全策略为每个DRB激活用户平面保密和/或完整性保护。
1.2、用户平面安全激活机制
用户面完整性保护和加密的激活应作为DRB添加过程的一部分,使用RRC连接重新配置过程来完成。SMF必须按照规定将用户平面安全策略发送到gNB / ng-eNB。
User plane (UP) security activation mechanism
1a.此RRC连接重新配置过程,用于添加DRBs,应在AS安全模式命令过程激活RRC安全性之后执行。(执行前提);
1b.gNB/ng-eNB应根据安全策略,向UE发送RRC连接重配置消息以激活用户平面安全,其中包含针对每个DRB激活用户平面完整性保护和加密的指示。
1c.如果在RRC连接重配置消息中指示为DRB激活了用户平面完整性保护,并且gNB没有KUPint(用户平面完整性密钥),则gNB应生成KUPint,并在gNB处启动这些DRB的用户平面完整性保护。同样,如果在RRC连接重配置消息中指示为DRB激活了用户平面加密,并且gNB/ng-eNB没有KUPenc(用户平面加密密钥),则gNB/ng-eNB应生成KUPenc,并在gNB/ng-eNB处启动这些DRB的用户平面加密。
2a.UE 应验证 RRC 连接重新配置消息。如果成功:
2a.1 如果在RRC连接重配置消息中指示为DRB激活了用户平面完整性保护,并且UE没有KUPint(用户平面完整性密钥),则UE应生成KUPint,并在UE处启动这些DRB的用户平面完整性保护。
2a.2 同样,如果在RRC连接重配置消息中指示为DRB激活了用户平面加密,并且UE没有KUPenc(用户平面加密密钥),则UE应生成KUPenc,并在UE处启动这些DRB的用户平面加密。
2b. 如果UE成功验证了RRC连接重配置消息的完整性,则UE应向gNB/ng-eNB发送RRC连接重配置完成消息。
如果没有为DRB激活用户平面完整性保护,则gNB和UE不得对该DRB的流量进行完整性保护,也不得将MAC-I置入PDCP分组中。
如果没有为DRB激活用户平面加密,则gNB/ng-eNB和UE不得对该DRB的流量进行加密。
1.3、用户平面完整性机制 (UP integrity mechanisms)
UE和NG-RAN之间的的PDCP协议应负责用户平面数据完整性保护。
128位NIA算法的输入参数,包括消息数据包、128位完整性密钥KUPint(表示为KEY)、由TS 38.323指定的5位承载标识BEARER值、传输方向的1位DIRECTION,以及与方向相关的特定承载和方向的32位输入COUNT,该COUNT对应于32位的PDCP COUNT。
如果在完整性保护开始后,gNB或UE接收到PDCP PDU,但其完整性检查失败,且MAC-I缺失或丢失,则该PDU将被丢弃。
解释说明:
128位NIA算法的输入参数包括:
(1)消息包(message packet):要进行完整性保护的用户平面数据包。
(2)128位完整性密钥KUPint(KEY):用于保护数据完整性的密钥。
(3)5位承载标识BEARER:标识承载该数据包的专用无线承载(DRB)的标识符,其值分配方式由TS 38.323规范定义。
(4)1位传输方向DIRECTION:指示数据包是上行传输还是下行传输。
(5)承载特定且方向相关的32位输入COUNT:与32位PDCP COUNT对应的计数器值,用于防止重放攻击和确保数据包的顺序性。
NIA算法使用这些输入参数来生成消息认证码(MAC-I),并将MAC-I附加到数据包中。接收方使用相同的输入参数和密钥来验证MAC-I,以确保数据包的完整性。
1.4、用户平面保密机制 (UP confidentiality mechanisms)
用户平面保密机制 (UP confidentiality mechanisms) 用于保护用户平面数据不被未经授权的第三方窃听。这些机制在移动网络中非常重要,因为它们可以防止攻击者获取敏感信息,例如用户的身份、位置和通信内容。
UE和NG-RAN之间规定的PDCP协议应负责用户平面数据机密性保护。
解释说明:
128位NEA算法的输入参数包括:
(1)消息包(message packet):要进行加密的用户平面数据包。
(2)128位加密密钥KUPenc(KEY):用于加密数据的密钥。
(3)5位承载标识BEARER:标识承载该数据包的专用无线承载(DRB)的标识符,其值分配方式由TS 38.323规范定义。
(4)1位传输方向DIRECTION:指示数据包是上行传输还是下行传输。
(5)所需密钥流长度LENGTH:需要生成的密钥流的长度,以便加密整个数据包。
(6)承载特定且方向相关的32位输入COUNT:与32位PDCP COUNT对应的计数器值,用于防止重放攻击和确保数据包的顺序性。
NEA算法使用这些输入参数来生成密钥流,并将密钥流与数据包进行XOR运算以进行加密。接收方使用相同的输入参数和密钥来解密数据包。
1.4.1、补充-加密的一般分类
以下是几种常见的保密机制:
对称加密 (symmetric encryption):这是一种使用相同密钥进行加密和解密的数据加密方法。对称加密算法通常比非对称加密算法更快,但需要在通信双方都共享密钥。
非对称加密 (asymmetric encryption):这是一种使用两个密钥进行加密和解密的数据加密方法。一个密钥用于加密数据,称为公钥;另一个密钥用于解密数据,称为私钥。非对称加密算法通常比对称加密算法更安全,但速度较慢,需要在通信双方中至少有一方拥有私钥。
混合加密 (hybrid encryption):这是一种结合对称加密和非对称加密的加密方法。在这种方法中,通常使用非对称加密算法来交换对称密钥,然后使用对称密钥来加密用户数据。
扫一扫
2059
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
