主题:5G安全管理(认证与鉴权)
简介:主要梳理了5G AKA、5G EAP-AKA’、基于DN-AAA的二次认证
参考:5G 核心网规划与应用(7.3.1)
TS 33.501
5G AKA 博客
5G安全架构、
PDN

作者:ybb
时间:2021年8月14日

7.3.1 认证和授权

7.3.1-2 初认证和密钥协议

(1)认证框架
(2)启动认证和认证方法的选择
(3)认证过程
5G AKA认证过程
(参考TS 33.501 6.1.3.2Authentication procedure for 5G AKA)
流程:
①获取鉴权数据
②UE和服务网络双向鉴权
③归属网络鉴权

5G AKA通过为归属网络提供来自访问网络的UE的认证成功的证明来增强EPS AKA,G该证明由访问网络在Authentication Confirmation消息中发送(5G AKA enhances EPS AKA by providing the home network with proof of successful authentication of the UE from the visited network. The proof is sent by the visited network in an Authentication Confirmation message. )


如果认证成功,在Nausf_UEAuthentication_Authenticate 响应消息中接收的秘钥KSEAF将会成为锚key,然后SEAF从KSEAF、ABBA参数和SUPI推导出KAMF,SEAF应向AMF提供ngKSI和KAMF

如果SUCI用于此认证,则SEAF仅在收到包含SUPI的Nausf_UEAuthentication_Authenticate 响应消息后才向AMF提供ngKSI和KAMF,在服务网络知道SUPI之前,不会向UE提供通信服务。

假设最后的验证未成功,如果UE在初始NAS消息中使用了SUCI,则SEAF应向UE发送拒绝认证消息;如果UE在初始NAS消息中使用了5G-GUTI,则SEAF/AMF将发起与UE的识别过程以检索SUCI,同时可能会发起新的认证过程。

注1:SUPI SUCI GUTI 加密与解密流程是如何实现的?体现了那些密码学的知识?

注2:鉴权中心生成AV,USIM完成鉴权。

注3:4G AKA?

5G EAP-AKA’ 认证过程
(TS 33.501 6.1.3.1Authentication procedure for EAP-AKA’)
流程:
①获取鉴权数据
②UE和SN双向鉴权

同步失败或者MAC失败:
(1)USIM中的同步失败或MAC故障
(2)归属网络中的同步故障恢复

7.3.1-2 基于DN-AAA的二次认证

( TS 33.501 11.1EAP based secondary authentication by an external DN-AAA server)
除了5G网络进行初次认证,5G网络还支持由外部DN-AAA进行基于EAP的二次认证(基于EAP框架)。
①CN对USIM进行主认证
②企业侧利用DN-AAA实现对终端的二次认证

SMF执行EAP身份验证器的角色,在归属路由部署的场景中,H-SMF执行EAP身份验证器的角色,V-SMF负责传送UE和H-SMF之间的交换的EAP消息,他依靠外部的DN-AAA服务器来认证和授权UE的PDU会话建立请求。充当EAP身份验证器角色的SMF通过UPF与DN-AAA服务器进行信息交互。
(UE ——N1—— AMF 、 SMF—— N4—— UPF
AMF ——N11—— SMF、UPF ——N6 ——DN)

(1)身份认证

(2)重新验证

7.3.1-2 密钥层次结构、密钥生成、密钥分发

(参考TS 33.501 6.2Key hierarchy, key derivation, and distribution scheme)
(1)密钥层次结构
(2)密钥生成
(3)密钥分发

(1)密钥层次结构:
认证相关的密钥:
5G AKA: K CK/IK
5G EAP-AKA’ CK/IK CK’/IK’
密钥层次结构包含的密钥:
KAUSF、KSEAF、KAMF、KNASint、KNASenc、KRRCint、KRRCenc、KUPint、KUPenc、KN3IWF、KgNB

KAUSF的两种生成方式:
①5G AKA:由UE和ARPF从CK和IK生成,KAUSF作为5G HE AV的一部分从ARPF得到。
②5G EAP-AKA’:由UE和AUSF从CK’和IK’生成,CK’和IK’作为AV的一部分从ARPF得到。
注:基于EAP-AKA’的认证是一种基于USIM的EAP认证方式,鉴权流程由AUSF承担鉴权职责,而AMF只负责推衍密钥和透传EAP消息。
KSEAF的生成方式:
由UE和AUSF从KAUSF生成锚KEY,在SN中,KSEAF由AUSF提供给SEAF.
KAMF由UE和SEAF从KSEAF生成,在执行横向密钥推导时,通过UE和AMF进行推导出KAMF

5G密钥生成的层次结构:
(TS 33.501 6.2Key hierarchy, key derivation, and distribution scheme)

(2)(3)密钥生成和分发
网络侧的密钥——UE侧的密钥

(4)用户相关密钥的处理
①密钥设置
②密钥识别
③密钥生命周期

NAS信令加密和完整性保护:

NAS安全模式命令流程

5G安全管理之认证与鉴权(AKA、EAP-AKA、密钥分发)相关推荐

  1. 微服务架构下的安全认证与鉴权

    微服务架构下的安全认证与鉴权 转载自:https://mp.weixin.qq.com/s/qBJ_257IWn3cctqmKfJ7FQ 作者:王海龙,来自:EAWorld 现任普元云计算架构师,毕业 ...

  2. Spring Security源码解析(一)——认证和鉴权

    目录 认证过程 AuthenticationManager Authentication AbstractAuthenticationToken UsernamePasswordAuthenticat ...

  3. 微服务接入oauth2_微服务权限终极解决方案,Spring Cloud Gateway+Oauth2实现统一认证和鉴权!...

    最近发现了一个很好的微服务权限解决方案,可以通过认证服务进行统一认证,然后通过网关来统一校验认证和鉴权.此方案为目前最新方案,仅支持Spring Boot 2.2.0.Spring Cloud Hox ...

  4. SpringBoot中使用Shiro和JWT做认证和鉴权

    最近新做的项目中使用了shiro和jwt来做简单的权限验证,在和springboot集成的过程中碰到了不少坑.做完之后对shiro的体系架构了解的也差不多了,现在把中间需要注意的点放出来,给大家做个参 ...

  5. Spring全家桶-Spring Security之自定义数据库表认证和鉴权

    Spring全家桶-Spring Security之自定义数据库表认证和鉴权 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架.它提供 ...

  6. 关于身份认证和鉴权过程

    关于身份认证和鉴权过程 开机信令流程 总结: 附 重要消息内容举例 LTE NAS EMM Plain OTA Outgoing Message -- Attach request Msg(含PDN ...

  7. 吊打面试官系列之:什么是 认证、鉴权、授权、权限控制,这一篇必须安排的明明白白。

    鉴权方案 1.引言 2.鉴权方案 2.1 认证 2.2 鉴权 2.3 授权 2.4 权限控制 2.5 认证,鉴权,授权及权限控制的关系 3.总结 1.引言 小屌丝:鱼哥,啥是认证,啥是鉴权? 小鱼:嗯 ...

  8. Kong社区版集成Keycloak实现微服务认证与鉴权

    文章目录 Kong社区版集成Keycloak实现微服务认证与鉴权 前言 认证和鉴权流程 在Keycloak上配置 创建Realm 创建Client 创建Role 创建User 服务 环境准备 受保护的 ...

  9. 「springcloud 2021 系列」Spring Cloud Gateway + OAuth2 + JWT 实现统一认证与鉴权

    通过认证服务进行统一认证,然后通过网关来统一校验认证和鉴权. 将采用 Nacos 作为注册中心,Gateway 作为网关,使用 nimbus-jose-jwt JWT 库操作 JWT 令牌 理论介绍 ...

最新文章

  1. 一个云主机绑定多个域名
  2. .NET分布式缓存Memcached测试体验
  3. 学python用ubuntu还是win10_Windows 10上使用Ubuntu的优点
  4. python从网址爬图片协程_python 用 gevent 协程抓取海量网页
  5. 代码,代码,多少梦想葬身于汝!
  6. 山东财经大学燕山学院计算机王栋,选修课Photoshop王栋的群谁有
  7. Java实现“斐波那契数列”的方法(循环,递归,优化递归)
  8. mysql朋友圈设计_微信朋友圈技术实现设想
  9. 2021宇哥八套卷总结—第一套试卷分析
  10. 日语 数字 时间 星期 月日 读法总结
  11. Hulu推荐:小众又新颖的综艺
  12. 文章分享-七巧板拼凸多边形-PAUL SCOTT tangrams
  13. 作战飞机效能评估系统-通用协同效能评估系统软件
  14. HTML复选框--checkbox
  15. MuMu模拟器网络连接异常如何处理?
  16. pr图形模板预设怎么使用_Pr 2017版本Premiere使用标题预设动态图形,提示要安装AE...
  17. ky使用教程(基于fetch的小巧优雅js的http客服端)
  18. Papervision3D拖动物体
  19. 还记得年少时的梦吗?(文字版)[强烈推荐]
  20. 风之丘 魔女宅急便插曲

热门文章

  1. 骨传导耳机哪个好,排行靠前的几款不入耳蓝牙耳机分享
  2. 神盾特工hive_『百科-角色』蜂巢(Hive),沃德就变成这个玩意了
  3. 智能机器人与智能系统(大连理工大学庄严教授)——5.仿生机器人
  4. Phonegap踩过的坑
  5. 泛在电力物联网供电服务网络建设,开启智慧能源新时代
  6. springboot项目集成dolphinscheduler调度器 实现datax数据同步任务
  7. 频频曝出程序员被抓,我们该如何避免面向“监狱”编程?
  8. 职业梦想是计算机的英语作文,有关职业梦想的英语作文
  9. 2009.11.01北京下雪了!
  10. msp430中如何连续对位进行取反_OLED制造中三个重要制程其中之一就是PVD技术