缩写5gc 5g酷睿网络
5g-an 5g访问网络
5g-ran 5g radio访问网络
5g av 5g验证向量机
5 ghe a V5 ghomeenvironmentauthenticationvector
AES高级加密标准
akaauthenticationandkeyagreement
amfaccessandmobilitymanagementfunction
amfauthenticationmanagementfield
arpfauthenticationcredentialrepositoryandprocessingfunction
自动识别服务器功能
autn认证令牌
视听认证向量器
AV ' transformedauthenticationvector
hres hash响应
HXRES Hash eXpected RESponse
ike互联网密钥交换
ksi密钥集标识符
ng-enbnextgenerationevolvednode-b
ngKSI Key Set Identifier in 5G
RES响应
sucisubscriptionconcealedidentifier
supisubscriptionpermanentidentifier
xres expected响应
5G AKA过程5G AKA通过向归属网络提供来自接入网的UE的成功认证的证据而增强EPS AKA; 从具体过程比较来看,EPS的AKA过程是为归属网络认证中心接入网络的MME提供一组认证向量和XRES,其中,接入网使用这些参数来认证UE。 家庭网络不关心UE的认证结果,5G AKA过程的家庭网络认证中心也访问与接入网的安全锚(与SEAF、AMF一起)的5G认证向量相对应的一组hxres网络家庭网络将认证结果发送到接入网络,5G显示家庭网络参与认证并给出最后的认证结果。
)1)对于每个Nudm_Authenticate_Get请求,UDM/ARPF创建5G HE AV。 根据TS33.102附录h,使用UDM/ARPF创建5G HE AV时,验证管理域(AMF )参数的“separation bit”必须设置为0 (AMF长度为16bit,最高bit为separation ) 然后,UDM/ARPF根据TS33.501dqdy A.2、TS33.501dqdy A.4导出XRES*,最后创建5G HE AV(RAND、AUTN、XRES*、)。
) UDM/ARPF通过Nudm_Authenticate_Get响应向AUSF发送5G HE AV(RAND、AUTN、XRES*、)。 如果Nudm_Authenticate_Get请求消息包含SUCI,则UDM/ARPF在Nudm_Authenticate_Get响应中还具有参数SUPI。
)3) AUSF将XRES *暂时与收到的SUCI或SUPI一起保存,AUSF也可以保存在KAUSF中供他人使用。
)4)然后,AUSF制作5G AV (根据TS33.501dqdy A.5从XRES*导出HXRES*,根据TS33.501dqdy A.6导出,导出HXRES*)
)5) AUSF向SEAF发送nausf _ ueauthentication _ authenticate响应
消息,消息携带5G AV(RAND、AUTN、HXRES*、)。注:从(4)和(5)可以看出,XRES*、不会离开归属网络的鉴权中心,归属网络从这两个参数进一步推导出XRES*和给SEAF使用。
(6)SEAF(AMF)通过NAS消息Authentication -Request给UE发起鉴权流程,携带鉴权参数RAND和AUTN,还会携带参数ngKSI,UE和AMF用这个参数标识一个和部分安全上下文信息。UE的ME会将受到RAND和AUTN传给USIM。
(7)USIM收到RAND和AUTN后,验证5G AV的新鲜度(按照TS 33.102的描述进行验证)、验证“MAC=XMAC”,这些验证通过后,USIM接着计算出响应RES,USIM将响应RES、CK、IK返回给ME;ME按照TS33.501dqdy A.4 从RES推导出RES*、按照dqdy A.2从CK||IK推导出、按照dqdy A.6 从推导出。
注:USIM卡这部分计算和验证详见TS33.102 6.3.3
(8)ME要检验AUTN的AMF参数"separation bit"是否为1 (TS 33.102 dqdy F.);UE给网络发送NAS鉴权响应消息Authentication Response,消息携带RES*。
(9)SEAF按照TS33.501 dqdy A.5 从UE发上来的RES*推导出HRES*,然后将HRES*和HXRES*进行比较,如果比较通过,在访问网络的角度来说认为鉴权成功了。
(10)SEAF给归属网络鉴权中心AUSF发送Nausf_UEAuthentication_Authenticate请求,携带UE过来的RES*参数以及响应的SUCI或SUPI。
(11)归属网络AUSF接收到Nausf_UEAuthentication_Authenticate请求后,首先判断AV是否过期,如果过期了则认为鉴权失败;否则,对RES*和XRES*进行比较,如果相等,在归属网络的角度来说认为鉴权成功了。
(12)AUSF给SEAF发送Nausf_UEAuthentication_Authenticate 响应,告诉SEAF这个UE在归属网络的鉴权结果。
如果鉴权成功了,则收到的5G AV中的就会成为锚点key;然后SEAF按照TS33.501 dqdy A.7从推导出,然后将ngKSI和发给AMF使用。
下面给出4G下的AKA鉴权流程,以便做对比。
4G-AKA [参考TS33.401]鉴权中心创建鉴权向量(AV) 参考 TS33.102 6.3.2
终端(USIM)鉴权 参考TS33.102 6.3.3
参考
TS33.501
TS33.102