推荐星级:
- 1
- 2
- 3
- 4
- 5
5G终端认证和密钥协商过程的研究与实现
资料介绍
针对5G系统中终端和网络建立安全连接的需求,身份的相互认证是建立安全连接的关键.对5G系统中基于5G认证和密钥协商(5G Authentication and Key Agreement,5G AKA)方式的认证过程进行了研究,结合5G AKA认证机制的特点,完成了终端5G AKA认证过程的具体设计,包括流程设计、接口设计.并基于规范及描述语言(Specification and Description Language,SDL)和测试及测试控制表示法第三版(Testing and Test Control Notation,TTCN-3)协仿真平台上搭建了SDL功能图,对设计的终端5G AKA认证过程进行测试并对测试结果进行分析,有效检验了终端5G AKA认证过程与标准的一致性.
部分文件列表
| 文件名 | 大小 |
| 5G终端认证和密钥协商过程的研究与实现.pdf | 1M |
部分页面预览
(完整内容请下载后查看)Computer Engineering and Applications计算机工程与应用
2019,55(11)
35
5G终端认证和密钥协商过程的研究与实现
李小文,李阳阳,雷
秀
重庆邮电大学 通信与信息工程学院,重庆 400065
摘
要:针对 5G 系统中终端和网络建立安全连接的需求,身份的相互认证是建立安全连接的关键。对 5G 系统中基
于5G认证和密钥协商(5G Authentication and Key Agreement,5G AKA)方式的认证过程进行了研究,结合5G AKA
认证机制的特点,完成了终端 5G AKA 认证过程的具体设计,包括流程设计、接口设计。并基于规范及描述语言
(Specification and Description Language,SDL)和测试及测试控制表示法第三版(Testing and Test Control Notation,
TTCN-3)协仿真平台上搭建了 SDL功能图,对设计的终端 5G AKA认证过程进行测试并对测试结果进行分析,有效
检验了终端5G AKA认证过程与标准的一致性。
关键词:5G系统;认证和密钥协商;一致性测试;测试及测试控制表示法
文献标志码:A 中图分类号:TN929.5
doi:10.3778/j.issn.1002-8331.1901-0115
李小文,李阳阳,雷秀.5G终端认证和密钥协商过程的研究与实现 .计算机工程与应用,2019,55(11):35-39.
LI Xiaowen, LI Yangyang, LEI Xiu. Research and implementation of authentication and key agreement process in 5G
client. Computer Engineering and Applications, 2019, 55(11):35-39.
Research and Implementation of Authentication and Key Agreement Process in 5G Client
LI Xiaowen, LI Yangyang, LEI Xiu
College of Communications and Information Engineering, Chongqing University of Posts and Telecommunications,
Chongqing 400065, China
Abstract:In order to satisfy the requirements of establishing security connection between terminal and network in 5G
system, mutual authentication of identity is the key. The authentication process based on 5G authentication and key agree-
ment in 5G system is analyzed, together with the characteristics of 5G AKA authentication mechanism, the specific design
of 5G AKA authentication process is completed in terminal, including process design and interface design. The SDL
function diagram is constructed on the SDL and TTCN-3 co-simulation platform, and the 5G AKA authentication process
is tested. The test results are analyzed to check the consistency of 5G AKA authentication process with the standard.
Key words:5G system; authentication and key agreement; conformance testing; testing and test control notation
数据的完整性保护、服务请求的不可否认性等安全特
1
引言
性[6-9]
。
5G 通信系统致力于构建以用户为中心的全方位信
息生态系统,实现人与万物的智能互联[1]。在享受 5G带
来便利的同时,应意识到系统的接入设备不再是单一的
通信设备,也包括面向具体应用的物联网设备,这些设
备会收集用户的隐私信息[2- 3],如健康信息、生活足迹
等。因此,为了确保用户的隐私信息不被泄露,5G 系统
将提供更加可靠的安全防护[4-5]。5G 系统在继承长期演
进(Long Term Evolution,LTE)系统安全性的基础上,
又增加了对国际移动用户识别码(International Mobile
Subscriber Identification Number,IMSI)的保护、用户
在 5G系统中 5G AKA 认证过程是一个至关重要的
过程,只有通过 5G AKA认证过程实现终端和网络间身
份的相互认证以及安全上下文的建立,终端才能利用安
全上下文中的密钥对传输的数据进行机密性和完整性
保护。因此,对 5G AKA认证过程进行深入的研究是非
常重要的。
2
5G AKA认证机制分析
5G 系统中同样采用的是双向认证机制[10],终端和
基金项目:国家科技重大专项基金(No.2017ZX03001021)。
作者简介:李小文(1955—),男,研究员,主要研究方向为无线通信系统;李阳阳(1995—),男,硕士研究生,主要研究方向为无
线通信高层协议栈,E-mail:;雷秀(1992—),女,硕士研究生,主要研究方向为无线通信协议栈。
收稿日期:2019-01-09
修回日期:2019-03-28
文章编号:1002-8331(2019)11-0035-05
万方数据
36
2019,55(11)
Computer Engineering and Applications计算机工程与应用
网络都需要验证对方的身份。系统中的双向认证机制
采用 3GPP AKA 机制的原理和核心算法[11]。5G AKA
过程需要包含全球用户识别卡(Universal Subscriber
Identity Module,USIM)的用户设备(User Equipment,
UE)、服务网络(Serving Network,SN)、归属网络(Home
Network,HN)共同参与完成。其中,HN 中的认证服务
功能(Authentication Server Function,AUSF)、统一数
据管理(Unified Data Management,UDM)、身份认证凭
据存储和处理库(Authentication Credential Repository
and Processing Function,ARPF)负责向 SN 提供用于
认证过程的认证向量。SN 中安全锚定功能(Security
Anchor Function,SEAF)负责完成 UE 和网络间的认证
过程。
UE 可以通过检查 SQN 是否在允许的范围内来避免受
到回放攻击[13]。本文中采用 SQNUE 表示存储在 UE 中的
SQN值,用SQNHE表示存储在HE中的SQN值。5G AKA
采用质询-响应机制(challenge-response mechanism)。
认证执行阶段流程如图 2所示。
UE
SN
HN
K,SUPI,
SNname,SQNHE
K,SUPI,
SQNUE,SNname
SUCI,SNname
计算认证向量AV
RAND,AUTN,HXRES*,KSEAF
RAND,AUTN
计算MAC和
SQNHN
MAC和SQNHN正确
计算认证响应RES*
5G系统中的认证机制还存在以下特点[12]:(1)SN和
HN 需要同时对终端进行认证;(2)在认证过程中,终端
和 SN 产生一个锚定密钥 KSEAF,用于派生出加密和完整
性保护的密钥。
RES*
若SHA256(<RAND,RES*>)≠
HXRES*,中止
RES*,SUCI
若RES*≠XRES*,中止
3
5G AKA认证过程
在终端和网络建立信令连接后,SN中的 SEAF功能
SUPI
认证成功
实体根据认证策略决定是否发起认证过程。当 SEAF
确定执行认证过程时,SEAF 将该过程分成两个阶段:
(1)认证发起阶段;(2)认证执行阶段。
SQNHN 错误
计算AUTS
下面将针对 5G 系统认证过程的这两个阶段进行详
细的分析。
‘Sync_failure’,AUTS
RAND,SUCI
‘Sync_failure’,AUTS
SQNHN←SQNUE+1
3.1 认证发起阶段
一旦 SN 中的 SEAF 实体确定启动 5G AKA 过程,
SN 将该用户的用户隐藏标识(Subscription Concealed
Identifier,SUCI)和 服 务 网 络 名 称(Serving Network
Name,SNname)发送给 HN。SUCI 是由用户永久标识
(Subscription Permanent Identifier,SUPI)通过加密得
到。根据接收到的 SUCI和 SNname,HN可以从 SUCI中恢
复出用户身份标识 SUPI,进而执行认证过程。认证发
起阶段流程如图 1所示。
MAC错误
‘MAC_failure’
图2 认证执行阶段流程
根据认证请求阶段收到的认证信息,HN 计算以下
四个值从而构造出质询消息:
(1)质询随机数RAND;
UE
SN
HN
(2)认证令牌AUTN;
K,SUPI,
SQNUE,SNname
K,SUPI,
SQNHE
SNname
(3)SN期望收到的质询响应 HXRES*;
(4)用于SN和UE建立安全连接的锚定密钥 KSEAF
。
服务网络决定发起认证
认证令牌 AUTN 由消息鉴权码(Message Authenti-
cation Code,MAC)、匿名密钥(Anonymity Key,AK)、
认证管理域(Authentication Management Field,AMF)
和 该 用 户 对 应 的 SQNHN 值 计 算 得 到 ,AUTN 包 含 的
SQNHN 使用户能够确定质询消息的有效性以避免受到
回放攻击,MAC 用来判断质询消息是否被篡改。因 5G
系统中 SN 和 HN 都要对用户设备进行认证,所以 HN 没
有向 SN 发送完整的认证响应 XRES*,而仅仅发送一个
XRES*的哈希散列值 HXRES*,用于 SN 对用户设备的
SUCI,SNname
SUPI
从SUCI中获得
SUPI
图1 认证发起阶段流程
3.2 认证执行阶段
在该阶段,HN 中的 ARPF 实体根据 SUPI 得到存储
在 UDM 中的 UE 和 HN 共享密钥 K,且 HN 和 UE 中保存
的序列号(Sequence Number,SQN)为UE提供重发保护,
万方数据
全部评论(0)