非3GPP 接入到5G核心网络的安全性

非3GPP 接入到5G核心网络的安全性是通过使用RFC 7296 [25]中定义的IKEv2来建立一个或多个IPsec ESP[26]安全关联的过程来实现的。 IKE发起者(或客户端)的角色由UE承担,IKE响应者(或服务器)的角色由N3IWF承担。
在此过程中,AMF将密钥K n3iwf 传送给N3IWF。 AMF从密钥K AMF 导出密钥K n3iwf 。 然后,UE和N3IWF使用密钥K n3iwf 在IKEv2内完成认证。

安全流程

不受信任的非3GPP 接入的身份验证

本节规定了如何通过不受信任的非3GPP 接入网络对XG19进行5G网络认证。 它使用名为“EAP-5G”的特定于供应商的EAP方法,利用“扩展”EAP类型和现有的3GPP Vendor-Id,在SMI私有企业代码注册表下向IANA注册。 在UE和N3IWF之间使用“EAP-5G”方法,并用于封装NAS消息。 如果UE需要由3GPP归属网络认证,则可以使用第6.1.3节中描述的任何认证方法。 该方法在UE和AUSF之间执行,如下所示:
如果可能,应通过重用AMF中现有的UE NAS安全上下文来验证UE

  1. UE连接到不受信任的非3GPP 接入网络,其流程超出了3GPP的范围。 当UE决定连接到5GC网络时,UE在5G PLMN中选择N3IWF,如TS 23.501 [2]第6.3.6节中所述。
  2. UE通过根据RFC 7296 [25]启动IKE初始交换,继续建立与所选N3IWF的IPsec安全关联(SA)。 在步骤2之后,使用在此步骤中建立的IKE SA对所有后续IKE消息进行加密和完整性保护。
  3. UE应通过发送IKE_AUTH请求消息来启动IKE_AUTH交换。 IUTH有效载荷不包括在IKE_AUTH请求消息中,其指示IKE_AUTH交换应使用EAP信令(在这种情况下为EAP-5G信令)。 根据RFC 7296 [25],在IDi中,UE应在此消息中将ID类型设置为ID_KEY-ID,并将其值设置为等于任意随机数。 在该步骤中,UE不应使用其GUTI / SUCI / SUPI作为Id。 如果UE配置有N3IWF根证书,则它应在IKE_AUTH请求消息中包括CERTREQ有效载荷以请求N3IWF的证书。
  4. N3IWF以IKE_AUTH响应消息响应,该消息包括N3IWF标识,AUTH有效负载以保护它发送到UE的先前消息(IKE_SA_INIT交换中)和EAPRequest / 5G-Start分组。 EAP-Request / 5G-Start分组通知UE发起EAP-5G会话,即开始发送封装在EAP-5G分组内的NAS消息。 如果UE在步骤3中发送了CERTREQ有效载荷,则N3IWF还应包括CERT有效载荷,包括N3IWF证书。
  5. UE应验证N3IWF证书,并确认N3IWF标识与UE选择的N3IWF相匹配。 如果UE请求证书或身份确认不成功,则缺少N3IWF的证书将导致连接失败。 UE应发送IKE_AUTH请求,该请求包括EAP-Response / 5G-NAS分组,该分组包含包含UE安全能力和SUCI的注册请求消息。 如果UE已经通过3GPP 接入使用5GC并且存在可用的安全性上下文,则UE应该完整性地保护注册请求消息并且将发送5G-GUTI而不是SUCI, N3IWF应避免发送EAP身份请求。 UE可以忽略EAP身份请求或者使用它在注册请求中发送的SUCI进行响应。
    注 : N3IWF不发送EAP身份请求,因为UE在消息5中的IKE_AUTH请求中包含其身份。这符合RFC7296 [25],第3.16节。
  6. N3IWF应选择TS 23.501 [2]第6.5.3节中规定的AMF。 N3IWF将从UE接收的注册请求转发给AMF。
  7. 如果AMF收到5G-GUTI并且注册受到完整性保护,它可以使用安全上下文来验证完整性保护,如果成功验证了完整性并且没有通过3GPP 接入激活更新的安全上下文,则可以跳过步骤8到步骤11。 如果成功验证了完整性并且已通过3GPP 接入激活了更新的安全上下文,则可以跳过身份验证,但AMF将使用NAS SMC过程激活较新的上下文,如步骤8及之后所述。否则,AMF将验证UE。
    如果AMF决定对UE进行认证,则应使用6.1.3中的一种方法。 在这种情况下,AMF应向AUSF发送密钥请求, AUSF可以启动认证过程,在AMF和UE之间,认证分组被封装在NAS认证消息中,并且NAS认证消息在AMF和N3IWF之间的N2信令中携带,然后被封装在N3IWF和UE之间的EAP-5G / 5G-NAS分组内。
    在来自归属网络的最终认证消息中,AUSF应将从K AUSF 导出的锚密钥K SEAF 发送到SEAF。 SEAF将从K SEAF 导出K AMF 并将其发送到AMF,AMF使用该AMF来导出NAS安全密钥;如果EAP-AKA’用于认证,则AUSF应包括EAP-Success, UE还导出锚密钥K SEAF ,并从该密钥导出K AMF ,然后是NAS安全密钥。 与NAS连接标识符“1”相关联的NAS COUNT在UE和AMF处设置。
  8. AMF应向UE发送安全模式命令(SMC),以激活与NAS连接标识符“1”相关联的NAS安全性。 此消息首先发送到N3IWF(在N2消息中)。 如果EAP-AKA’用于认证,则AMF应将从AUSF接收的EAP-Success封装在SMC消息中。
  9. N3IWF应在EAP-Request / 5G-NAS数据包内将NAS SMC转发到UE。
  10. UE完成身份验证(如果在步骤7中启动)并根据NAS SMC中收到的ngKSI创建NAS安全上下文或激活另一个上下文。 UE应根据第6.7.2节中所述的所选算法和参数响应从AMF接收的NAS SMC。 UE应封装EAP-5G响应中的NAS SMC Complete。
  11. N3IWF应通过N2接口将包含NAS SMC Complete的NAS数据包转发到AMF。
  12. AMF收到NAS SMC完成后,或者在完整性保护验证成功后,启动NGAP流程以建立AN上下文。AMF应使用与附件A.9中定义的NAS连接标识符“1”相关联的上行链路NAS COUNT计算N3IWF密钥K n3iwf ,以便在UE和N3IWF之间建立IPsec SA,并将其包含在发送给N3IWF的NGAP初始上下文设置请求。
  13. N3IWF在收到包含N3IWF密钥KN3IWF的NGAP初始上下文建立请求后,向UE发送EAP-Success / EAP-5G。 这样就完成了EAP-5G会话,并且不再交换其他EAP-5G数据包。 如果N3IWF没有从AMF收到K n3iwf ,N3IWF将以EAP-Failure响应
  14. 通过使用与附件A.9中定义的NAS连接标识符“1”相关联的上行链路NAS COUNT在UE中创建的N3IWF密钥K n3iwf 在UE和N3IWF之间建立IPsec SA,并由N3IWF接收来自AMF的第12步。
    15.在UE和N3IWF之间成功建立IPsec SA后,N3IWF应向AMF发送NGAP初始上下文建立响应消息。
    16.当AMF收到UE的NGAP初始上下文设置响应时,AMF应通过N2向N3IWF发送UE的NAS注册接受消息。
    17.在收到来自AMF的NAS注册接受消息后,N3IWF应通过已建立的IPsec SA将其转发到UE。 UE和N3IWF之间的所有其他NAS消息应通过已建立的IPsec SA发送。

NR 5G 非3GPP 接入到核心网络的安全性相关推荐

  1. 【5G核心网】5G Non 3GPP接入-N3IWF

    5G 核心网支持通过非 3GPP 接入网(例如 WLAN访问).本节仅描述了在 NG-RAN 外部部署的非 3GPP 接入网的支持(称为"独立"非3GPP接入).非 3GPP接入网 ...

  2. NR 5G UE初始接入流程

    5G UE初始接入流程 流程图 流程说明 1. UE向gNB-DU发送RRC连接请求消息. 2. gNB-DU包括RRC消息,并且如果UE被允许,则在F1AP INITIAL UL RRC MESSA ...

  3. 【移动网络】[5G 核心网络架构] 5GC: Architecture

    5GC: Architecture 平衡进化和破坏(Balancing Evolution and Disruption) NSA Architecture 5GC与4G CN的区别 4G Point ...

  4. NR 5G UE和5G网络功能之间的安全流程

    UE和5G网络功能之间的安全流程 主要身份验证和密钥协议 认证框架 主要认证和密钥协商过程的目的是在UE和网络之间实现相互认证,并提供可在后续安全过程中在UE和服务网络之间使用的密钥材料. 由主认证和 ...

  5. NR 5G 网络功能之AMF

    AMF简述 接入和移动管理功能(AMF)包括以下功能. 在 AMF 的单个实例中可以支持部分或全部 AMF 功能: 终止 RAN CP 接口(N2). 终止 NAS(N1),NAS 加密和完整性保护. ...

  6. NR 5G 密钥与安全详解

    密钥层次结构 5GS中密钥层次生成的密钥: 与认证相关的密钥包括以下密钥:K,CK / IK. 密钥层次结构包括以下密钥:K AUSF ,K SEAF ,K AMF ,K nasint ,K nase ...

  7. NR 5G 安全要求和功能

    安全要求和功能 一般安全要求 缓解和降低攻击请求 攻击者可以通过使UE和网络实体分别认为对方不支持安全功能来尝试降低攻击,即使双方实际上都支持该安全功能. 应确保在上述意义上可以防止出价下降. 身份验 ...

  8. NR 5G NG-AP(NG接口)介绍

    NG-AP(NG接口) 协议文档:38.413 NG功能38.410 秘钥说明33.501 服务介绍 提供NG-RAN和AMF之间的信令服务,分为两类,非UE相关服务(与使用非UE相关信令连接的NG- ...

  9. NR 5G 安全架构概述

    安全架构概述 安全域 安全体系结构概述 该图说明了以下安全域: 网络接入安全性(I):一组安全功能,使UE能够安全地通过网络进行身份验证和接入服务,包括3GPP接入和非3GPP 接入,特别是防止对(无 ...

最新文章

  1. 企业做大的捷径:“复印”成功的商业模式
  2. 无刷新上传图片,ajax 和 iframe
  3. 当深度学习遇上异构并行计算
  4. tiny core linux 编译,tinycore linux使用
  5. #翻译NO.5# --- Spring Integration Framework
  6. 2.利用计算机进行信息加工的一般过程是:,[信息技术教案]《计算机信息加工的一般过程》教案...
  7. cmake 编译安装方法
  8. mysql的考试范围_数据库考试范围整理
  9. github结合TortoiseGit使用sshkey,无需输入账号和密码
  10. mongodb php update,MongoDB文档的更新(php代码实例)
  11. CakePHP查询数据
  12. CSS3淘宝支付成功打勾动画代码
  13. 1062 最简分数 python
  14. centos 架设虚拟服务器,centos虚拟主机搭建(centos搭建网站)
  15. 疫情可视化part1
  16. 火狐浏览器播放媒体没有声音怎么办?
  17. 这个社会最大的现实是“大鱼吃小鱼,小鱼吃虾米”
  18. 极光 · 底层逻辑 · doubleの浮点误差
  19. 单模光电转换器怎么接_光纤收发器(网桥,接口转换器),单模光纤收发器
  20. 手机您的浏览器不允许第三方_手机壁纸:我的世界不允许你的消失,不管结局是否完美...

热门文章

  1. vue ui无效_vue开发中,父组件添加scoped之后。解决在父组件中无法修改子组件样式问题。...
  2. mac 上搭建gitlabel_在mac终端中使用git(适用于github、gitlabel)
  3. python 归一化_一文学会用python进行数据预处理
  4. Review Python Numpy 数组的初始化和基本操作
  5. 关卡设计快速入门_1. 创建新项目
  6. html表单注册功能的实现,仅一个form表单 js实现注册信息依次填写提交功能
  7. 高光荣教授逝世:他是新中国首位MIT计算机博士,开创数据流体系结构
  8. 刚输一行代码就报5次假漏洞,npm让程序员们累觉不爱
  9. 未来AI将会在这10个方向升级|腾讯优图联合厦大发布趋势预测
  10. 生物版AlphaGo发威!DeepMind出手抗疫:预测多种新冠病毒相关蛋白结构