【5G核心网】 5G安全之AKA验证流程

最新推荐文章于 2024-04-29 10:04:35 发布
最新推荐文章于 2024-04-29 10:04:35 发布
阅读量1.7w 收藏 36
点赞数 6
分类专栏: 5G
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhonglinzhang/article/details/108636015
版权

   在 5G 网络的安全类型:

UE 访问网络服务所需的“网络访问安全性”。 此安全性主要涵盖信令和数据的身份验证,完整性和加密。

域安全性主要涵盖不同网络节点之间的安全通信。 

应用程序域安全性涵盖对等应用程序之间的安全性机制。

有两种不同的身份验证

  服务操作“身份验证”通过向 AUSF 提供以下信息,允许请求者 NF 发起 UE 的身份验证:

- UE id (i.e. SUPI or SUCI)

- Serving Network Name

    AUSF 从 UDM 检索 UE 的签约身份验证方法,并根据 UDM 提供的信息,AUSF 进入以下过程之一: 

- 5G-AKA

- EAP-based authentication'

 

1. 5G AKA

    在此过程中,NF 服务使用者(AMF)通过向 NF 服务生产者(AUSF)提供与 UE 相关的信息和 Serving Network Name 来请求 UE 的身份验证,AUSF 从 UDM 检索与 UE 有关的数据和身份验证方法。在这种情况下,检索到的身份验证方法是 5G AKA。 然后,NF 服务消费者(AMF)应将从 UE 收到的结果返回给 AUSF:

Figure 5.2.2.2.2-1: 5G AKA
  •  NF 服务使用者(AMF)向 AUSF 发送 POST 请求。 请求 body 应至少包含 UE ID 和服务网络名称。
  •  成功后,将返回“ 201 Created”。 response body 应包含所创建资源的表示,而“ Location” header 应包含所创建资源的 URI(例如... / v1 / ue_authentications / {authCtxId})。 AUSF 生成子资源“ 5g-aka-confirmation”。 每个 UE 的每个服务网络应只有一个子资源“ 5g-aka-confirmation”,由 AuthenticationInfo 中的 supiOrSuci 和 serveNetworkName标 识。 AUSF 必须在 responnse body 中提供指向该子资源的超媒体链接,以指示 AMF在 哪里发送 PUT 进行确认。 
  •  如果失败,则应返回表 6.1.7.3-1 中列出的 HTTP 状态代码之一,并在消息正文中包含一个 ProblemDetails结 构,并将“ cause”属性设置为表6.1.7.3-1中列出的应用程序错误之一。如果服务网络未被授权,则 AUSF 应使用 SERVING_NETWORK_NOT_AUTHORIZED “原因”。
  •  NF 服务消费者(AMF)推论它应将包含 UE 提供的“ RES *” 的 PUT 请求发送到 AUSF。 NF服务使用者(AMF)还应在RES *中发送包含空值的PUT,以在以下情况下向AUSF指示失败:
    - 如果 UE 不可达,并且 NF 服务消费者(AMF)从未收到 RES *;
    - 在 NF 服务使用者(AMF)中无法比较 HRES * 和 HXRES *;
    - 从 UE 接收到认证失败,例如 synchronization failure 或 MAC failure;

 

5G AKA Authentication Procedure
  • AFM收到注册请求,如果AMF不存在UE安全上下文,则发起验证流程
  • AMF向AUSF发起Nausf_UEAuthentications流程,包括SUCI/SUPI或者服务网络名
  • 根据服务网络名,AUSF决定是否AMF有权发送此消息
  • AUSF调用Nudm_UEAuthentication_Get,向UDM发送请求,携带SUPI/SUCI
  • UDM计算5G HE AV,UDM使用Milenage算法推导 MAC,XRES,CK,IK以及AK

 

2. 认证和密钥协议

    这里描述的机制通过用户和网络之间的相互认证,密钥 K 在用户 HE 中的 USIM 和 AuC 之间共享并且仅对 USIM 和 AuC 可用。 此外,USIM 和 HE 分别跟踪计数器 SQNMS 和 SQNHE 以支持网络身份验证。 序列号 SQNHE 是每个用户的单独计数器,序列号 SQNMS 表示 USIM 接受的最高序列号。

Figure 7: Generation of authentication vectors
  •      MAC = f1K(SQN || RAND || AMF) 
  •      XRES = f2K (RAND)
  •      CK = f3K (RAND)
  •      IK = f4K (RAND)
  •      AK = f5K (RAND)     
  •      AUTN = SQN Å AK || AMF || MAC
Figure 9: User authentication function in the USIM
  •     接收到 RAND 和 AUTN, USIM 首先计算匿名密钥 AK = f5K (RAND),以及检索 SQN = SQN = (SQN Å AK) Å AK
  •     USIM 计算 f1K (SQN || RAND || AMF),比较 MAC 和 在 AUTN 的 MAC,如果不相同,UE 将验证失败消息发送回 VLR / SGSN,并说明原因,然后用户放弃该过程。
  •     接下来,USIM 验证接收到的序列号 SQN 在正确范围内。
  •     如果 USIM 认为序列号不在正确的范围内,则会将同步失败(包括适当的参数)发送回VLR / SGSN,并放弃该过程。
ParameterSize(bits)Comment
SQN48Sequence Number,序列号
AK48Anonymity Key,匿名密钥
CK128Cipher Key,加密密钥
IK128Integrity Key,完整性密钥
AMF16Authentication management field,鉴权管理字段
MAC64Message authentication code,消息鉴权码
MAC-A64Network authentication code,网络鉴权码,一般鉴权作为MAC值
MAC-S64Resynchronisation authentication code,重同步鉴权码,重同步鉴权时作为MAC值
RES64Authentication response parameter,鉴权响应
XRES64Expected Response,期望响应,HSS期望UE回复的RES值和HSS自己产生的XRES相同
   
   

 

张忠琳
关注
  • 6
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
3GPP第16版5G标准33501-g00(EAP-AKA'和5G-AKA)认证框架部分.docx
10-22
本文档来源于3GPP第三代合作伙伴计划(3GPP)制定的技术规范33501-g00。本文件的内容受TSG内部工作的限制,并可能在TSG正式批准后发生变化。如果本文件的内容被TSG修改,TSG将重新发布本文件,3GPP并对发布日期进行修改。请学者自行更新下载最新版文档。
5G系统——5G鉴权(5G AKA
Cloudy_cn的专栏
08-24 4万+
缩略语 5GC    5G Core Network 5G-AN    5G Access Network 5G-RAN    5G Radio Access Network  5G AV    5G Authentication Vector 5G HE AV    5G Home Environment Authentication Vector AES    Advanced Encryp...
IUV常见错误整理(2+4)
最新发布
2303_77005720的博客
04-29 3578
(在保证N3链路以及SNSSAI序号无误的情况下,检查AMF中切片策略配置的NSSF地址配置,若此有误则可能导致Option2模式下的核心无线验证无误而4A或者第二个城市Option2的上网业务会出现问题)1).DU-DU功能配置-DU小区配置中使用了AMF-AMF功能配置-AMF跟踪区配置中未配置的TAC。1).SMF-TAC分段配置-起始有误(000000-001111)2).AUSF-AUSF公共配置-AUSF功能配置-路由指示码错误。3).NSSF-切片业务配置-SNSSAI配置有误。
5G安全管理之认证与鉴权(AKA、EAP-AKA、密钥分发)
BJTUYBYUAN的博客
08-14 1万+
主题:认证与鉴权 简介: 参考: 5G 核心网规划与应用(7.3.1) TS 33.501 5G AKA 博客 5G安全架构、 PDN 作者:ybb 时间:2021年8月14日 7.3.1 7.3.1-2 (1)认证框架 (2)启动认证和认证方法的选择 (3)认证过程 5G AKA认证过程 (TS 33.501 6.1.3.2 Authentication procedure for 5G AKA): 5G AKA通过为归属网络提供来自访问网络的UE的认证成功的证明来增强EPS AKA,G该证明由访问网络在
5G安全5G-AKA链接攻击及对策
VN520的博客
08-25 588
3GPP联盟通过技术规范(TS)33.501[1]发布了第五代移动通信系统的身份验证和密钥协议(即5G-AKA)。它引入了公钥加密来隐藏用户的SUPI来提高移动用户的隐私性。然而,5G-AKA很容易受到来自主动攻击者的链接攻击,使用户的隐私处于危险之中。本文介绍一篇来自USENIX SECURITY 2022的文章《Privacy-Preserving and Standard-Compatible AKA
NR 5G UE和5G网络功能之间的安全流程
baidu_41616132的博客
07-18 5990
UE和5G网络功能之间的安全流程 主要身份验证和密钥协议 认证框架 主要认证和密钥协商过程的目的是在UE和网络之间实现相互认证,并提供可在后续安全过程中在UE和服务网络之间使用的密钥材料。 由主认证和密钥协商过程生成的密钥材料导致由归属网络的AUSF向服务网络的SEAF提供的称为K SEAF 的锚密钥。 可以从K SEAF 派生多个安全上下文的密钥,而无需新的身份验证运行。 这样的具体示例是在3G...
NAS信令学习笔记 ——AKA过程
白萝卜
02-12 1万+
AKA过程:Authentication and Key agreement (AKA)过程,鉴权和秘钥协商过程。 eKSI:Key Set Identifier in E-UTRAN,E-UTRAN的密码组标识。 1. 鉴权四向量 KASME:UE(USIM)和网络侧(AuC)根据CK、IK以及serving network identity (SN id)生成的中间秘钥,是EPS加...
AKA认证初探
jjxojm的专栏
07-23 7847
       近期工作中遇到了有关SIP AKA认证的相应协议规范,目前在IMS中已得到应用支持,本文主要是希望探索一下AKA认证的具体机制,以及相应算法。为简便起见,暂时先抛开IMS内部架构,从参数着手分析AKA认证。        AKA认证主要还是基于DIGEST认证方式,在此基础上加入了对称加密机制。先简单看一下AKA流程图与信令:     如图所示,AKA认证流程与DIGEST...
AKA(认证与密钥协商协议)
来啊 快活啊
01-12 8543
aka即第三代移动通讯网络的认证与密钥协商协议。是国际移动电信组织3GPP(The Third Generation Partnership Project)在研究2G安全脆弱性的基础上,针对3G接入域安全需求提出的安全规范。 中文名 第三代移动通讯网络的认证与密钥协商协议 外文名 Authentication and Key Agreement 简 称 aka 释 义 针对3G接入域...
5G核心网】free5GC UE安全鉴权流程源码分析
zhonglinzhang
11-18 1万+
本文分析 Free5gc UE 安全鉴权流程 5G AKA Authentication Procedure 1. AMF 向 AUSF 发起 Nausf_UE_Authentication 请求 服务操作“身份验证”通过向 AUSF 提供以下信息,允许请求者 NF 发起 UE 的身份验证: - UE id (i.e. SUPI or SUCI) - Serving Network Name AUSF 从 UDM 检索 UE 的签约身份验证方法,并根据 UDM ...
5G技术与应用:5G核心网关键技术-5G核心网(NGC)架构.pptx
06-15
5G核心网(NGC)架构 5G核心网网元功能 5G核心网架构 1、 5G核心网架构 4G网络架构 1、 5G核心网架构 非漫游参考点模式的5G系统架构 1、 5G核心网架构 非漫游服务化模式的5G系统架构 2、 5G核心网网元功能 网络功能 ...
WIFI认证之SIM-AKA
08-05
WIFI认证之SIM-AKA,已通过认证,可以直接使用。
EAP-AKA认证算法源程序(基于SHA-1)
03-03
基于SHA-1的AKA算法实现:源程序代码(ANSI-C编写) 本算法详细描述参见:3GPP2: S.S0055-A_v2.0_050120.pdf UNIX/Linux下gcc编译通过
5G注册流程抓包分析解析
07-29
5G注册流程5G网络中UE(用户设备)与网络进行通信的第一步,涉及到的身份验证安全机制对于网络的可靠性和用户数据的安全至关重要。在本文中,我们将深入分析5G注册流程中的关键步骤,包括UE的注册请求、身份验证...
核心网5GC业务流程培训课件.pdf
03-05
本文档主要介绍了核心网5GC业务流程的培训课件,涵盖了5GC业务流程的各种知识点,包括5G注册/注销流程5G AKA流程、接入和移动性管理策略关联建立流程等。 5G注册/注销流程5GC网络中,UE需要注册到核心网以...
6.1附着流程_LTE-A_附着流程_5g联合附着_5G流程_5G附着流程_
09-29
2. **安全激活**:在收到附着请求后,gNB会与核心网5GC,5G Core Network)交互,进行安全认证。这通常包括非加密的NAS(Non-Access Stratum)安全激活过程,通过EAP-AKA'(Extensible Authentication Protocol ...
5G/NR帧格式概要
lilliana的博客
10-31 6221
5G/NR帧格式概要 Numerology参数集介绍   有别于LTE的帧结构设计,NR中的帧结构根据参数集的不同取值存在不同的结构。 子载波间隔   子载波间隔并不是一成不变,而是由参数u决定,由下表可知,当u=0时,等同于LTE。 注意 :频域上子载波间隔变大,时域上对应时隙长度会变小。如下图所示。 频域上一个RB是12个子载波间隔宽度,子载波间隔取值不同,RB的大小取值如图中紫色数值。 虽然5G支持多种子载波间隔,但是在不同的子载波间隔配置下,它们的无线帧和子帧长度都是固定的,即帧长10
aka鉴权 ims_基于AKA的IMS接入认证机制
weixin_32377497的博客
01-17 766
作 者:周星 卢美莲 陶徐摘要:IP多媒体子系统(IMS)作为3G网络的核心控制平台,其安全问题正面临着严峻的挑战。IMS的接入认证机制的实现作为整个IMS安全方案实施的第一步,是保证IMS系统安全的关键。基于认证和密钥协商(AKA)的IMS接入认证机制是由因特网工程任务组(IETF)制定,并被3GPP采用,广泛应用于3G无线网络的鉴权机制。此机制基于“提问/回答”模式实现对用户的认证和会话密钥的...
IMD下载软件的使用
热门推荐
Whynot_baby的博客
07-24 15万+
用惯了迅雷和百度云,似乎就不会用其它的下载工具 众所周知,常用的下载工具都有限速的困扰 因此这次,介绍一款性能极优的下载工具——IMD 下载地址: http://www.pc6.com/softview/SoftView_24680.html 在PC6下载站下载的软件,亲测可用。 IMD优势1:体积小,仅7.9M,且完全无广告,界面干净清洁 IMD优势2:速度快,相比限速后的各类下载软件,彷佛为我打开了一个新的世界。 功能新发现:一般在图片搜索功能,仅能看到首页,但后面的就看不到了,IMD就有这种魔力能把后

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值