在 5G 网络的安全类型:
UE 访问网络服务所需的“网络访问安全性”。 此安全性主要涵盖信令和数据的身份验证,完整性和加密。
域安全性主要涵盖不同网络节点之间的安全通信。
应用程序域安全性涵盖对等应用程序之间的安全性机制。
有两种不同的身份验证
服务操作“身份验证”通过向 AUSF 提供以下信息,允许请求者 NF 发起 UE 的身份验证:
- UE id (i.e. SUPI or SUCI)
- Serving Network Name
AUSF 从 UDM 检索 UE 的签约身份验证方法,并根据 UDM 提供的信息,AUSF 进入以下过程之一:
- 5G-AKA
- EAP-based authentication'
在此过程中,NF 服务使用者(AMF)通过向 NF 服务生产者(AUSF)提供与 UE 相关的信息和 Serving Network Name 来请求 UE 的身份验证,AUSF 从 UDM 检索与 UE 有关的数据和身份验证方法。在这种情况下,检索到的身份验证方法是 5G AKA。 然后,NF 服务消费者(AMF)应将从 UE 收到的结果返回给 AUSF:
- NF 服务使用者(AMF)向 AUSF 发送 POST 请求。 请求 body 应至少包含 UE ID 和服务网络名称。
- 成功后,将返回“ 201 Created”。 response body 应包含所创建资源的表示,而“ Location” header 应包含所创建资源的 URI(例如... / v1 / ue_authentications / {authCtxId})。 AUSF 生成子资源“ 5g-aka-confirmation”。 每个 UE 的每个服务网络应只有一个子资源“ 5g-aka-confirmation”,由 AuthenticationInfo 中的 supiOrSuci 和 serveNetworkName标 识。 AUSF 必须在 responnse body 中提供指向该子资源的超媒体链接,以指示 AMF在 哪里发送 PUT 进行确认。
- 如果失败,则应返回表 6.1.7.3-1 中列出的 HTTP 状态代码之一,并在消息正文中包含一个 ProblemDetails结 构,并将“ cause”属性设置为表6.1.7.3-1中列出的应用程序错误之一。如果服务网络未被授权,则 AUSF 应使用 SERVING_NETWORK_NOT_AUTHORIZED “原因”。
- NF 服务消费者(AMF)推论它应将包含 UE 提供的“ RES *” 的 PUT 请求发送到 AUSF。 NF服务使用者(AMF)还应在RES *中发送包含空值的PUT,以在以下情况下向AUSF指示失败:
- 如果 UE 不可达,并且 NF 服务消费者(AMF)从未收到 RES *;
- 在 NF 服务使用者(AMF)中无法比较 HRES * 和 HXRES *;
- 从 UE 接收到认证失败,例如 synchronization failure 或 MAC failure;
这里描述的机制通过用户和网络之间的相互认证,密钥 K 在用户 HE 中的 USIM 和 AuC 之间共享并且仅对 USIM 和 AuC 可用。 此外,USIM 和 HE 分别跟踪计数器 SQNMS 和 SQNHE 以支持网络身份验证。 序列号 SQNHE 是每个用户的单独计数器,序列号 SQNMS 表示 USIM 接受的最高序列号。
| Parameter | Size(bits) | Comment |
| SQN | 48 | Sequence Number,序列号 |
| AK | 48 | Anonymity Key,匿名密钥 |
| CK | 128 | Cipher Key,加密密钥 |
| IK | 128 | Integrity Key,完整性密钥 |
| AMF | 16 | Authentication management field,鉴权管理字段 |
| MAC | 64 | Message authentication code,消息鉴权码 |
| MAC-A | 64 | Network authentication code,网络鉴权码,一般鉴权作为MAC值 |
| MAC-S | 64 | Resynchronisation authentication code,重同步鉴权码,重同步鉴权时作为MAC值 |
| RES | 64 | Authentication response parameter,鉴权响应 |
| XRES | 64 | Expected Response,期望响应,HSS期望UE回复的RES值和HSS自己产生的XRES相同 |
