5G安全深入解析:EAP-AKA、EAP-AKA‘与5G-AKA详解
1 引言:5G安全认证概述
随着5G技术的快速发展和普及,网络安全与隐私保护已成为通信领域的关键课题。在5G网络中,身份验证和密钥管理协议扮演着至关重要的角色,它们确保了用户设备与网络之间的安全通信。3GPP标准组织为5G定义了三种核心认证协议:5G-AKA、EAP-AKA和EAP-AKA’,这些协议共同构成了5G安全架构的基石。
与4G网络相比,5G在安全方面做出了重大改进,其中最显著的是用户永久标识符(如IMSI)不再以明文形式通过无线接口传输,而是使用加密的SUCI(订阅隐藏标识符)来保护用户隐私。这一改进有效防止了伪基站攻击和用户跟踪,大大提升了网络安全性。
在5G认证框架中,5G-AKA是基于传统SIM卡认证的增强协议,EAP-AKA’ 则是IETF定义的扩展认证协议在5G环境中的优化版本,而EAP-AKA是EAP-AKA’的前身,在5G中主要用于向后兼容。理解这三种协议的机制、流程和差异,对于从事5G网络规划和安全设计的工程师至关重要。
| 协议类型 | 基础技术 | 主要应用场景 | 关键特性 |
|---|---|---|---|
| 5G-AKA | 对称密钥算法 | 3GPP接入网络 | 增强的EPS-AKA,提供归属网络认证证明 |
| EAP-AKA | EAP框架+AKA算法 | 非3GPP网络接入 | 支持多种凭证类型,灵活性高 |
| EAP-AKA’ | EAP框架+改进AKA | 5G统一认证框架 | 绑定密钥与服务网络名称,增强安全性 |
2 5G认证协议基础概念
2.1 5G安全架构与关键网元
5G核心网采用了基于服务的架构(SBA),在安全方面引入了一系列新的网络功能实体,形成了统一的认证框架。这些实体各司其职,共同完成用户设备和网络之间的双向认证:
-
AMF(接入和移动管理功能):负责接收来自用户设备(UE)的所有连接和会话相关信息,主要处理连接和移动性管理任务。
-
SEAF(安全锚点功能):驻留在服务网络中,与AMF关系密切,在UE与归属网络之间的认证过程中充当"中间人"。它可以拒绝来自UE的认证,但最终依赖UE的归属网络来接受认证。
-
AUSF(认证服务器功能):位于归属网络内,负责执行UE认证。当使用5G-AKA或EAP-AKA’时,AUSF对UE认证做出最终决定,但依赖后端计算认证数据和密钥。
-
UDM(统一数据管理):功能类似4G中的HSS/HLR实体,包含ARPF(认证凭据存储库和处理功能),根据用户身份和配置策略选择认证方法,并为AUSF计算认证数据和密钥。
-
SIDF(订阅标识符解密功能):负责解密SUCI获得SUPI(如IMSI)。5G中用户永久标识符总是以加密形式通过无线接口传输,使用基于公钥的加密保护SUPI,只有SIDF能够访问与分发给UE的公钥对应的私钥。
-
N3IWF(非3GPP互通功能):作为VPN服务器,允许UE通过IPsec隧道通过不受信任的非3GPP网络访问5G核心网。一次认证可以建立多个安全上下文,使UE能够在3GPP和非3GPP接入网络之间移动而无需重新认证。
2.2 5G认证流程概述
5G认证过程分为两个主要阶段:
阶段1:5G认证启动和认证方法选择
SEAF在收到来自UE的NAS信令消息(如注册请求、服务请求等)后启动认证过程。如果网络没有为UE分配5G-GUTI,UE应向SEAF发送临时标识符GUTI或加密的永久标