4G和5G认证的比较介绍

简介

蜂窝网络技术已经发展了几代人，包括2G、3G和4G，以及3GPP (3^{理查德·道金斯}Generation Partnership Project)正在积极制定5G规范。亚博苹果版怎么下载

预计5G将从2019年开始在全球范围内部署，5G的安全性和隐私性对其在现实世界中的成功部署至关重要。

安全和隐私问题在前几代，特别是在无线接入网络(RANs)，已被广泛研究。下面列出了发现的许多问题中的一些。

• 2G缺乏网络身份验证，导致虚假基站进行网络欺骗等攻击——例如，虚假基站可以用更强的信号强度发布不同的跟踪区号，诱使用户设备(UE)离开其合法的蜂窝网络，向虚假基站注册^[1]．
• 某些信令消息缺乏保密性，导致侵犯隐私——例如，未加密的分页信息可用于检测特定用户的存在，甚至跟踪用户到精确位置^[２]．

为了帮助缓解这些问题，3GPP定义了一个身份验证和密钥协议(AKA)协议和过程，支持实体身份验证、消息完整性和消息机密性以及其他安全属性。3GPP AKA协议是一种基于用户和家庭网络之间共享的对称密钥的挑战-响应认证协议。在用户和家庭网络之间的相互身份验证之后，导出加密密钥材料以保护用户和服务网络之间的后续通信，包括信令消息和用户平面数据(例如，通过无线电信道)。

本文概述了3GPP-4G EPS-AKA定义的4G和5G认证方法^[3]5G AKA, EAP-AKA '和EAP-TLS^[4]．本文还重点介绍了4G AKA和5G AKA协议之间的差异，以及三种5G认证方法之间的差异。

4 g认证

从身份验证的角度来看，蜂窝网络由三个主要组件组成:ue、服务网络(SN)和家庭网络(HN)(图1)。

每个终端都有一个通用集成电路卡(UICC)，至少托管一个通用用户标识模块(USIM)应用程序，该应用程序存储与用户的家庭网络共享的加密密钥。4G服务网络由无线接入设备组成，例如演进的NodeB (eNodeB)基站和移动管理实体(MMEs)等。终端通过无线接口与业务网络通信。4G中的家庭网络通常由身份验证服务器组成，例如家庭用户服务器(HSS)，用于存储用户凭据并对用户进行身份验证。服务网络与家庭网络之间的通信基于IP;通过IP网络连接的核心实体被统称为演进分组系统(EPS)。

4 g EPS-AKA

在终端与eNodeB完成无线电资源控制(RRC)过程后触发aps - aka，并向MME发送附加请求消息(见图2)。MME向位于家庭网络的HSS发送认证请求，包括终端标识(即IMSI)和服务网络标识符。HSS基于共享密钥K执行加密操作_我(与UE共享)，以派生一个或多个身份验证向量(av)，这些向量在身份验证响应消息中被发送回MME。AV由一个身份验证(AUTH)令牌和一个预期的身份验证响应(XAUTH)令牌以及其他数据组成。

MME收到HSS的鉴权响应消息后，向终端发送鉴权请求(Authentication Request)，并携带鉴权令牌。UE通过将其与基于K生成的令牌进行比较来验证AUTH令牌_我．如果验证成功，则认为网络是合法的，并向MME发送一个Authentication Response消息，其中包含一个Response (RES)令牌，RES令牌也是基于K生成的_我．

MME将RES令牌与期望的响应(XRES)令牌进行比较。如果两者相等，则MME进行密钥推导，并向终端发送安全模式命令消息，终端再推导出相应的密钥，用于保护后续的NAS信令消息。MME还将向eNodeB发送一个密钥，用于保护RRC通道的密钥从该密钥中派生出来。当终端也获得相应的密钥后，终端与eNodeB之间的后续通信才会受到保护。

4G EPS-AKA有两个弱点。

1. 首先，UE身份通过无线网络发送而不加密。虽然可以使用临时标识符(例如，global Unique temporary Identity, GUTI)来隐藏订阅者的长期身份，但研究人员已经表明，GUTI分配是有缺陷的:GUTI没有按照需要频繁地更改^[1]，并且GUTI分配是可预测的(例如，使用固定字节)^［5］．更重要的是，当响应来自网络的身份请求消息时，UE的永久身份可以在身份响应消息中以明文形式发送。
2. 其次，在UE身份验证期间，当服务网络咨询家庭网络时，家庭网络提供av，但这不是身份验证决策的一部分。这样的决定完全由服务网络做出。

以下部分将展示5G身份验证在这些问题上的改进。

5克的身份验证

5G核心网提出了基于服务的架构(SBA)。因此，在5G中也定义了新的实体和新的服务请求。下面列出了与5G身份验证相关的一些新实体。

• SEAF (Security Anchor Function)位于服务网络中，是终端与其家庭网络之间认证过程中的“中间人”。它可以拒绝来自UE的身份验证，但它依赖于UE的家庭网络来接受身份验证。
• AUSF (Authentication Server Function)位于家庭网络中，对终端进行认证。它对UE身份验证做出决定，但当使用5G-AKA或EAP-AKA '时，它依赖于后端服务来计算身份验证数据和密钥材料。
• 统一数据管理(UDM)是一个实体，它承载与数据管理相关的功能，例如身份验证凭据存储库和处理功能(ARPF)，它根据订阅者身份和配置的策略选择身份验证方法，并在需要时为AUSF计算身份验证数据和密钥材料。
• SIDF (Subscription Identifier De-concealing Function)是指通过对sui (Subscription hidden Identifier)进行解密，获得sui的长期身份，即sui (Subscription Permanent Identifier)，例如IMSI。在5G中，用户长期身份始终以加密形式通过无线电接口传输。更具体地说，使用基于公钥的加密来保护SUPI。因此，只有SIDF可以访问与分发给ue的公钥相关联的私钥，用于加密它们的supi。

下一节将介绍5G认证框架以及5G- aka、EAP-AKA '和EAP-TLS三种认证方法。它包括5G-AKA的详细消息流，并总结了5G-AKA与EAP-AKA '和EAP-TLS之间的区别。

5G认证框架

已经定义了统一的身份验证框架，以使5G身份验证既开放(例如，在EAP的支持下)又与接入网络无关(例如，既支持3GGP接入网络，也支持非3gpp接入网络，如Wi-Fi和有线网络)(见图3)。

当使用EAP(可扩展身份验证协议)时(例如，EAP- aka '或EAP- tls)， EAP身份验证是在UE (EAP对等体)和AUSF (EAP服务器)之间通过SEAF(作为EAP直通身份验证器)进行的。

在不可信的非3gpp接入网络上进行认证时，需要一个新的实体N3IWF (non-3GPP Interworking Function)作为VPN服务器，允许终端在不可信的非3gpp接入网络上通过IPsec (IP Security)隧道访问5G核心。

通过一次身份验证执行可以建立多个安全上下文，允许终端从3GPP接入网络移动到非3GPP网络，而无需重新进行身份验证。

5 g-aka

5G定义了新的与身份验证相关的服务。例如，AUSF通过Nausf_UEAuthentication提供鉴权服务，UDM通过Nudm_UEAuthentication提供鉴权服务。为简单起见，图4中使用了身份验证请求和身份验证响应等通用消息，而没有引用实际的身份验证服务名称。此外，身份验证向量包括一组数据，但图4中只显示了一个子集。

在5G-AKA中，SEAF可以在收到来自UE的任何信令消息后启动认证程序。请注意，如果服务网络尚未为UE分配5G-GUTI，则UE应向SEAF发送一个临时标识符(5G-GUTI)或一个加密的永久标识符(SUCI)。sui是使用家庭网络公钥的SUPI的加密形式。因此，在5G中，终端的永久标识符(例如IMSI)绝不会以明文形式通过无线网络发送。这一特性被认为是相对于前几代(如4G)的重大安全改进。

SEAF通过向AUSF发送身份验证请求来启动身份验证，AUSF首先验证请求身份验证服务的服务网络是否已获得授权。一旦成功，AUSF将向UDM/ARPF发送一个身份验证请求。如果AUSF提供SUCI，那么将调用SIDF来解密SUCI以获得SUPI, SUPI进一步用于选择为订阅者配置的身份验证方法。在本例中，它是5G-AKA，被选中并执行。

UDM/ARPF通过向AUSF发送身份验证响应来启动5G-AKA，其中包含一个AUTH令牌、一个XRES令牌和密钥K_卖，以及SUPI(如适用)(例如，当相应的身份验证请求中包含SUCI时)，以及其他数据。

AUSF计算期望响应令牌(HXRES)的散列，存储K_卖，并将身份验证响应与AUTH令牌和HXRES一起发送到SEAF。注意，在这个身份验证响应中，SUPI没有发送到SEAF。只有在UE身份验证成功后才会发送到SEAF。

SEAF存储HXRES并在身份验证请求中将AUTH令牌发送到UE。UE通过使用它与家庭网络共享的密钥来验证AUTH令牌。如果验证成功，则认为该网络通过认证。UE通过计算并向SEAF发送RES令牌来继续身份验证，该令牌由SEAF验证。成功后，SEAF将RES令牌进一步发送到AUSF进行验证。请注意，位于家庭网络中的AUSF对身份验证做出最终决定。如果来自UE的RES令牌有效，AUSF计算一个锚键(K_SEAF)，并连同SUPI(如适用)一并送交SEAF。AUSF还将身份验证结果通知UDM/ARPF，以便它们记录事件，例如，用于审计。

收到K的时候_SEAF， SEAF导出AMF键(K_AMF)(然后删除K_SEAF然后发送K_AMF访问和移动管理功能(AMF)。AMF将从K推导出来_AMF(a)保护UE和AMF之间的信令消息所需的机密性和完整性密钥以及(b)另一个密钥K_gNB，该信息被发送到下一代节点b (gNB)基站，以获得用于保护UE和gNB之间后续通信的密钥。注意，UE具有长期密钥，它是密钥派生层次结构的根。因此，终端可以导出上述所有密钥，从而在终端和网络之间形成一组共享的密钥。

5G-AKA与4G EPS-AKA的主要区别如下:

• 由于5G中新的基于服务的架构，涉及认证的实体有所不同。特别是，SIDF是新的;它在4G中不存在。
• 终端永久身份在发送到5G网络之前，始终使用家庭网络的公钥进行加密。在4G中，终端总是将其永久标识符以明文形式发送到网络，允许它被恶意网络(例如，伪造的基站)或通过无线电链路的被动对手窃取(如果通过无线电链路的通信没有受到保护)。
• 在5G中，家庭网络(例如AUSF)对终端认证做出最终决定。此外，终端鉴权结果也会发送到UDM进行记录。在4G中，在认证过程中只会参考家庭网络来生成认证向量;它不决定身份验证结果。
• 5G的密钥层次结构比4G长，因为5G引入了两个中间密钥K_卖和K_AMF(见图5)_SEAF5G中的锚键是否等于K_ASME在4 g。

EAP-AKA”

EAP-AKA”^[6]是5G支持的另一种认证方法。它也是一种基于终端与其家庭网络之间共享的加密密钥的挑战-响应协议。它实现了与5G-AKA相同级别的安全属性，例如，终端与网络之间的相互认证。因为它是基于EAP的^[7]，其消息流与5G-AKA不同。注意，EAP消息封装在UE和SEAF之间的NAS消息中，SEAF和AUSF之间的5G业务消息中。5G-AKA和EAP-AKA '之间的其他区别如下。

• SEAF在身份验证中的作用略有不同。在EAP- aka '中，EAP消息交换是在UE和AUSF之间通过SEAF进行的，SEAF透明地转发EAP消息，而不涉及任何身份验证决策。在5G-AKA中，SEAF还验证来自UE的身份验证响应，并可能在验证失败时采取行动，尽管这种行动尚未在3GPP TS 33.501中定义^[4]．
• 键派生略有不同。在5G-AKA中，K_卖由UDM/ARPF计算并发送到AUSF。在EAP-AKA '中，AUSF导出K_卖部分基于从UDM/ARPF收到的键控材料。更具体地说，AUSF根据EAP从UDM接收的键控材料派生一个扩展主会话密钥(EMSK)，然后使用EMSK的前256位作为K_卖．

EAP-TLS

EAP-TLS^[8]在5G中定义，用于专用网络和物联网环境等有限用例中的用户身份验证。当UDM/ARPF选择EAP- tls作为鉴权方式时，通过SEAF在UE和AUSF之间执行EAP- tls, SEAF作为透明的EAP鉴权器，在UE和AUSF之间来回转发EAP- tls消息。为了实现相互身份验证，UE和AUSF都可以验证彼此的证书或预先共享密钥(PSK)，如果它已经在先前的传输层安全(TLS)握手或带外建立。在EAP-TLS的末尾，导出EMSK, EMSK的前256位用作K_卖．在5G-AKA和EAP-AKA '中，K_卖是用来推导K_SEAF，它进一步用于导出保护UE和网络之间通信所需的其他键控材料(参见图5)。

EAP-TLS与5G-AKA和EAP-AKA '在终端与网络之间的信任建立上有本质区别，即它使用了不同的信任模型。在EAP-TLS中，终端和5G网络之间的相互认证主要基于双方公钥证书的相互信任，承认TLS与PSK是可能的，但除了会话恢复之外很少使用。在基于aka的方法中，这种信任仅基于UE和网络之间共享的对称密钥。

EAP-TLS的根本区别在于，它不需要在家庭网络(例如UDM)中存储大量的长期密钥，从而降低了对称密钥管理生命周期中的操作风险。另一方面，EAP-TLS在证书管理中引入了新的开销，例如证书颁发和撤销。

比较

表1比较了4G和5G认证方法，突出了两者之间的差异。例如，由于5G采用基于服务的架构，所以5G认证与4G认证的实体不同。其他主要差异包括基于EAP-TLS或AKA协议的方法中的信任模型、做出身份验证决策的实体和锚定密钥层次结构(参见图5)。

结论

身份验证和密钥管理对蜂窝网络至关重要，因为它们构成了保护用户、网络和它们之间通信的基础。蜂窝网络中的身份验证在每一代中都在不断发展——5g身份验证在许多领域都比4G身份验证有所改进，包括统一的身份验证框架、更好的终端身份保护、增强的家庭网络控制以及在密钥推导中更多的密钥分离。然而，5G认证并非没有弱点。例如，用户可跟踪性在5G中仍然是可能的^[9]．

5G身份验证的另一个显著区别是其开放框架和对多种身份验证方法的支持，特别是非基于aka的方法，如EAP-TLS(尽管使用有限)。考虑到基于aka的方法一直是4G及其前几代中支持的唯一主要身份验证方法，这个特性令人鼓舞。5G旨在支持各种用例，其中一些可能更适合非基于aka的方法。例如，在无线和有线融合的场景中，住宅网关后面的一台笔记本电脑等用户设备可能没有USIM;它将无法执行AKA协议，即使它需要能够注册并连接到5G核心。在这种情况下，可以使用EAP-TLS或EAP-TTLS等非基于aka的方法对用户进行5G核心的身份验证。

5G有各种各样的用例。未来关于5G身份验证的工作可以通过包括额外的安全增强和其他身份验证方法来支持这些用例。

参考文献

• [1]李振华，王薇薇，Christo Wilson，陈健，陈谦，Jung Taeho，张兰，刘克斌，李向阳和刘云浩，“fbs -雷达:在野外大规模揭露假基站”，互联网社会网络和分布式系统安全(NDSS)研讨会论文集(2017年2月)。
• [２]Altaf Shaik, Ravishankar Borgaonkar, N. Asokan, Valtteri Niemi和Jean-Pierre Seifert，“针对4G/LTE移动通信系统中隐私和可用性的实际攻击”，互联网协会网络和分布式系统安全(NDSS)研讨会论文集(2016年2月)。
• [3]3GPP，“3GPP系统架构演进(SAE) -安全架构”(版本15)，技术规范(TS) 33.401, v15.2.0(2018年9月)。
• [4]3GPP，“5G系统安全架构和程序”(第15版)，技术规范(TS) 33.501, v15.5.0(2018年9月)。
• ［5］Byeongdo Hong, Sangwook Bae和Yongdae Kim，“GUTI重新分配去神秘化:改变临时标识符的蜂窝位置跟踪”，网络和分布式系统安全(NDSS)互联网协会研讨会论文集(2018年2月)。
• [6]互联网工程任务组，“第三代认证和密钥协议(EAP-AKA’)的改进可扩展认证协议方法”，征求意见(RFC) 5448(2009年5月)。
• [7]互联网工程任务组，“可扩展认证协议”，征求意见(RFC) 3748(2004年6月)。
• [8]互联网工程任务组，“EAP-TLS认证协议”，征求意见(RFC) 5216(2008年3月)。
• [9]David Basin, Jannik Dreier, luca Hirschi, sasha Radomirovic, Ralf Sasse和Vincent Stettler，“5G认证的形式分析”，2018年ACM SIGSAC计算机和通信安全会议(CCS '18)(2018年10月)。

缩写

3 gpp- 3^{理查德·道金斯}发电伙伴计划
AKA协议—认证与密钥协议
AMF—访问和移动性管理功能
API-应用程序接口
ARPF—认证凭证存储和处理功能
卖-认证服务器功能
身份验证令牌-认证令牌
AV-认证向量
CK-密码密钥
学术用途英语-可扩展认证协议
eMBB-增强流动宽频
EMSK-扩展主会话密钥
eNodeB-演化的NodeB
每股收益-演进分组系统
gNB-下一代NodeB
古蒂-全局唯一临时标识
接下来的-家庭网络
高速钢-主用户服务器
HTTP—超文本传输协议
HXRES-期望响应令牌的哈希值
本土知识-完整性密钥
IMSI-国际移动用户标识
物联网-物联网
知识产权-互联网协议
IPsec-互联网协议保安
K_AMF- Access and Mobility Management功能的key
K_ASME-锚键(4G中，用于接入安全管理实体)
K_卖-用于导出认证和加密的其他密钥的key
K_gNB-用于gNB基站的键
K_我-共享密钥
K_SEAF-锚定键(5G中，用于安全锚定功能)
LTE-长期演进
世纪挑战集团-移动国家代码
居里夫人-移动性管理实体
mMTC-大规模的机器式通信
跨国公司-移动网络代码
N3IWF—非3gpp联动功能
NAS-非通道层
相移键控-预共享密钥
跑-无线接入网
RES令牌-响应令牌
RRC-无线电资源控制
小企业管理局-基于服务的架构
SEAF—安全锚
SIDF—订阅标识解除隐藏功能
SN-服务网络
苏悉—标签隐藏标识符
SUPI-订阅永久标识
TLS-传输层安全
ttl—隧道传输层安全
可以-统一数据管理
问题-用户设备
UICC-通用集成电路卡
uRLLC-超可靠的低延迟通信
USIM-通用用户识别模块
VPN-虚拟专用网
XAUTH令牌-期望的认证令牌
xr令牌-期望的响应令牌