5g与物联网技术（5G安全之鉴权与密钥协商）

5G即第五代移动通信网络，具有更快的速率，峰值速率期望提高10-20倍，更低的时延，协议空口环回时延降低1-10倍，更多的连接，连接密度期望能提高约10倍，除此之外，5G的安全性也全方位增加，增强了对用户唯一标识符的隐私保护，增强了归属网络对鉴权认证的控制，按需提供数据加密，扩大了对用户数据的保护面等等，这里我们就详细介绍5G的鉴权与认证环节。

​

5G鉴权的目的主要是实现终端和核心网之间的相互认证，并生成安全的密钥用于后续网络通信流程加密使用，具体的鉴权和密钥协商流程如下：

01

鉴权初始化与鉴权方法选择流程

1

终端将SUCI（Subscription Concealed Identifier 用户隐藏标识）或5G-GUTI（Globally Unique Temporary UE Identity 临时UE标识）上报给SEAF（Security Anchor Function 安全锚功能），SEAF用于创建统一的锚键，用于UE在网络中的认证和通信保护。

2

SEAF发送Nausf_UE Authentication_Authenticate Request消息给AUSF（身份验证服务器），告诉AUSF终端需要进行鉴权请求。

3

AUSF收到消息后，比较预期的网络服务名称是否与SEAF上报的名称是否一致，如果一致将发送Nudm_UEAuthentication_Get Request消息给UDM，若不一致，AUSF将返回“未授权服务网络”给SEAF，结束流程。

4

AUSF核对成功后，发送Nudm UEAuthentication Get Request消息给UDM，UDM收到消息后调用SIDF，将SUCI去隐后获得SUPI，根据获得的SUPI，UDM/ARPF选择最终的认证方法，本文中假设最终选择AKA认证方法。

02

5G AKA流程

1

对于每一个Nudm_Authenticate_Get Request请求消息，UDM/ARPF会产生一个5G HE AV，该向量由随机数RAND，AUTN，认证信息XRES*，Kausf四个部分组成。

2

UDM将步骤1中的5G HE AV ，SUPI（SubscriptionPermanent Identifier 用户永久标识）信息返回给AUSF。

3

AUSF将5G向量中的XRES*保留本地，并利用SHA256算法生成HXRES*，生成新的5G AV ，由RAND，AUTN，HXRES＊，Kseaf四元组组成。

4

AUSF将Kseaf删除后，返回5G SE AV (RAND, AUTN, HXRES*)给SEAF，SEAF通过NAS鉴权消息将RAND和AUTN信息发送给终端。

5

收到RAND和AUTN信息后，USIM验证5G AV 是否合法，若合法，USIM计算出通过5G核心网中的长期K与RAND计算出RES，CK，IK，并将这些信息返回给终端，ME在根据上述信息计算出RES*与Kseaf

6

终端将RES*在NAS鉴权响应消息中返回给SEAF，SEAF获取后计算出HRES*并与HXRES*比较是否一致，若一致进行后续验证，否则鉴权失败。

7

步骤6鉴权成功后，SEAF将终端返回的RES*再发送给AUSF，由AUSF完成二次鉴权，AUSF比对UE端的RES*和AUSF本地存储的XRES*，若一致表明鉴权成功，否则鉴权失败。

8

最终AUSF会将鉴权的结果信息发送给SEAF，到此5G鉴权流程完成。

撰稿人：尹娜

往期精选

【读懂物联网⑦】SGs短信：远程控制新方法

6-24 特稿

【读懂物联网⑥】物联网SoC SIM电子卡：我才是NB-IoT业务的“C位”

6-18 特稿

,