5G安全管理之认证与鉴权（AKA、EAP-AKA、密钥分发）_BJTUYBYUAN的博客-程序员秘密_eap-aka

主题：5G安全管理（认证与鉴权）
简介：主要梳理了5G AKA、5G EAP-AKA’、基于DN-AAA的二次认证
参考：5G 核心网规划与应用（7.3.1）
TS 33.501
5G AKA 博客
 5G安全架构、
PDN

作者：ybb
时间：2021年8月14日

7.3.1 认证和授权

7.3.1-2 初认证和密钥协议

（1）认证框架
（2）启动认证和认证方法的选择
（3）认证过程
5G AKA认证过程
(参考TS 33.501 6.1.3.2Authentication procedure for 5G AKA)
流程：
①获取鉴权数据
②UE和服务网络双向鉴权
③归属网络鉴权

5G AKA通过为归属网络提供来自访问网络的UE的认证成功的证明来增强EPS AKA,G该证明由访问网络在Authentication Confirmation消息中发送（5G AKA enhances EPS AKA by providing the home network with proof of successful authentication of the UE from the visited network. The proof is sent by the visited network in an Authentication Confirmation message. ）
5G AKA认证过程（新）

5G AKA认证过程 TS 33.501
如果认证成功，在Nausf_UEAuthentication_Authenticate 响应消息中接收的秘钥KSEAF将会成为锚key，然后SEAF从KSEAF、ABBA参数和SUPI推导出KAMF，SEAF应向AMF提供ngKSI和KAMF

如果SUCI用于此认证，则SEAF仅在收到包含SUPI的Nausf_UEAuthentication_Authenticate 响应消息后才向AMF提供ngKSI和KAMF,在服务网络知道SUPI之前，不会向UE提供通信服务。

假设最后的验证未成功，如果UE在初始NAS消息中使用了SUCI，则SEAF应向UE发送拒绝认证消息；如果UE在初始NAS消息中使用了5G-GUTI,则SEAF/AMF将发起与UE的识别过程以检索SUCI，同时可能会发起新的认证过程。

注1：SUPI SUCI GUTI 加密与解密流程是如何实现的？体现了那些密码学的知识？

注2：鉴权中心生成AV,USIM完成鉴权。

注3：4G AKA？

5G EAP-AKA’ 认证过程
（TS 33.501 6.1.3.1Authentication procedure for EAP-AKA’）
流程：
①获取鉴权数据
②UE和SN双向鉴权
5G EAP-AKA认证过程（新）

5G EAP-AKA认证过程

同步失败或者MAC失败：
（1）USIM中的同步失败或MAC故障
（2）归属网络中的同步故障恢复

7.3.1-2 基于DN-AAA的二次认证

( TS 33.501 11.1EAP based secondary authentication by an external DN-AAA server)
除了5G网络进行初次认证，5G网络还支持由外部DN-AAA进行基于EAP的二次认证（基于EAP框架）。
①CN对USIM进行主认证
②企业侧利用DN-AAA实现对终端的二次认证

SMF执行EAP身份验证器的角色，在归属路由部署的场景中，H-SMF执行EAP身份验证器的角色，V-SMF负责传送UE和H-SMF之间的交换的EAP消息，他依靠外部的DN-AAA服务器来认证和授权UE的PDU会话建立请求。充当EAP身份验证器角色的SMF通过UPF与DN-AAA服务器进行信息交互。
（UE ——N1—— AMF 、 SMF—— N4—— UPF
AMF ——N11—— SMF、UPF ——N6 ——DN）
5G 基于DN-AAA的二次认证(新)

基于DN-AAA的二次认证流程

（1）身份认证

（2）重新验证

7.3.1-2 密钥层次结构、密钥生成、密钥分发

（参考TS 33.501 6.2Key hierarchy, key derivation, and distribution scheme）
（1）密钥层次结构
（2）密钥生成
（3）密钥分发

（1）密钥层次结构:
认证相关的密钥：
5G AKA: K CK/IK
5G EAP-AKA’ CK/IK CK’/IK’
密钥层次结构包含的密钥：
K_AUSF、K_SEAF、K_AMF、K_NASint、K_NASenc、K_RRCint、K_RRCenc、K_UPint、K_UPenc、K_N3IWF、K_gNB

K_AUSF的两种生成方式：
①5G AKA:由UE和ARPF从CK和IK生成，K_AUSF作为5G HE AV的一部分从ARPF得到。
②5G EAP-AKA’:由UE和AUSF从CK’和IK’生成，CK’和IK’作为AV的一部分从ARPF得到。
注：基于EAP-AKA’的认证是一种基于USIM的EAP认证方式，鉴权流程由AUSF承担鉴权职责，而AMF只负责推衍密钥和透传EAP消息。
K_SEAF的生成方式：
由UE和AUSF从K_AUSF生成锚KEY,在SN中，K_SEAF由AUSF提供给SEAF.
K_AMF由UE和SEAF从K_SEAF生成，在执行横向密钥推导时，通过UE和AMF进行推导出K_AMF

5G密钥生成的层次结构：
（TS 33.501 6.2Key hierarchy, key derivation, and distribution scheme）
5G 密钥层次结构TS 33.501
（2）（3）密钥生成和分发
网络侧的密钥——UE侧的密钥

（4）用户相关密钥的处理
①密钥设置
②密钥识别
③密钥生命周期

NAS信令加密和完整性保护：

NAS安全模式命令流程
5G NAS安全模式命令流程

本文链接：https://blog.csdn.net/BJTUYBYUAN/article/details/119702692

原作者删帖不实内容删帖广告或垃圾文章投诉

智能推荐

试题算法训练拦截导弹_是彤彤啊的博客-程序员秘密

问题描述　　某国为了防御敌国的导弹袭击，发展出一种导弹拦截系统。但是这种导弹拦截系统有一个缺陷：虽然它的第一发炮弹能够到达任意的高度，但是以后每一发炮弹都不能高于前一发的高度。某天，雷达捕捉到敌国的导弹来袭。由于该系统还在试用阶段，所以只有一套系统，因此有可能不能拦截所有的导弹。输入导弹依次飞来的高度（雷达给出的高度数据是不大于30000的正整数），计算这套系统最多能拦截多少导弹，如果要拦截所有导弹最少要配备多少套这种导弹拦截系统。输入格式　　一行，为导弹依次飞来的高度输出格式　　两行，分别是最

OpenStack入门以及一些资料之（一、cinder，swift存储）_openstack 服务器组raid几?_JackLiu16的博客-程序员秘密

注：本文内容均来自网络，我只是在此做了一些摘抄和整理的工作，来源均有注明。存储入门存储技术：DAS(Direct Attached Storage):将存储设备通过SCSI线缆或FC(FiberChannel)直接连接到服务器上。NAS(Network Attached Storage)：按照TCP/IP协议进行通信，以文件的I/O方式进行数据传输。它拥有自己的文件系统，通过网络文件系统NFS或通...

[教程] lede安装&配置&功能简介_joyist的博客-程序员秘密

一、安装指南前文提到Lede是一种开源的路由器系统，可以根据自己需求进行定制，推荐我们论坛定制的Lede x64，已经集成了大量硬件驱动及常用插件，可以省去很多功夫。1.1 安装工具：Lede x64镜像文件，physdiskwrite写盘工具，另一台可用的Win系统的电脑（不妨称之为电脑A，准备作路由器的电脑称之为电脑R）这里我们假设安装的目标硬件是通用硬件，且含有两个网卡eth0 eth1，我...

Coffee Lake-S 處理器_YOYO--小天的博客-程序员秘密

Intel 的14nm++處理器系列又要擴大陣容了，在桌面、移動等市場普及之後，Coffee Lake 家族現在又打入了工作站市場。Intel 今天正式發布了 Xeon E-2100 系列處理器，最多6C12T，加速頻率4.7GHz，支援64GB ECC記憶體，採用 LGA1151 插槽，可以看作是 Coffee Lake-S 處理器的工作站版，不過並不相容於300系列晶片組，需要搭配C246晶片...

Anaconda中升级numpy_dingdingdang!的博客-程序员秘密

Anaconda中升级numpy在Anaconda Prompt中输入pip install --upgrade numpy

深度学习—近年来流行的卷积神经网络（一）_2015-2020卷积神经网络[email protected]_DIP的博客-程序员秘密

近年来流行的卷积神经网络前面几讲，我们以LeNet和AlexNet为例，详细讲解了卷积神经网络的结构。从2012年AlexNet在ImageNet数据集上获得远超传统算法识别率以来，学术界在卷积神经网络方面进行了一系列改进型研究工作，这一讲我们将描述这些重要的改进。下图是截至2015年卷积神经网络的发展图。图1 各种不同网络在ImageNet上的结果2012年AlexNet将ImageNet数据集的Top5错误率降低到16.4%。2014年VGGNet和GooleNet分别将Top5错误率降低到