非3GPP 接入到5G核心網絡的安全性
非3GPP 接入到5G核心網絡的安全性是通過使用RFC 7296 [25]中定義的IKEv2來建立一個或多個IPsec ESP[26]安全關聯的過程來實現的。 IKE發起者(或客戶端)的角色由UE承擔,IKE響應者(或服務器)的角色由N3IWF承擔。
在此過程中,AMF將密鑰K n3iwf 傳送給N3IWF。 AMF從密鑰K AMF 導出密鑰K n3iwf 。 然後,UE和N3IWF使用密鑰K n3iwf 在IKEv2內完成認證。
安全流程
不受信任的非3GPP 接入的身份驗證
本節規定了如何通過不受信任的非3GPP 接入網絡對XG19進行5G網絡認證。 它使用名爲“EAP-5G”的特定於供應商的EAP方法,利用“擴展”EAP類型和現有的3GPP Vendor-Id,在SMI私有企業代碼註冊表下向IANA註冊。 在UE和N3IWF之間使用“EAP-5G”方法,並用於封裝NAS消息。 如果UE需要由3GPP歸屬網絡認證,則可以使用第6.1.3節中描述的任何認證方法。 該方法在UE和AUSF之間執行,如下所示:
如果可能,應通過重用AMF中現有的UE NAS安全上下文來驗證UE
- UE連接到不受信任的非3GPP 接入網絡,其流程超出了3GPP的範圍。 當UE決定連接到5GC網絡時,UE在5G PLMN中選擇N3IWF,如TS 23.501 [2]第6.3.6節中所述。
- UE通過根據RFC 7296 [25]啓動IKE初始交換,繼續建立與所選N3IWF的IPsec安全關聯(SA)。 在步驟2之後,使用在此步驟中建立的IKE SA對所有後續IKE消息進行加密和完整性保護。
- UE應通過發送IKE_AUTH請求消息來啓動IKE_AUTH交換。 IUTH有效載荷不包括在IKE_AUTH請求消息中,其指示IKE_AUTH交換應使用EAP信令(在這種情況下爲EAP-5G信令)。 根據RFC 7296 [25],在IDi中,UE應在此消息中將ID類型設置爲ID_KEY-ID,並將其值設置爲等於任意隨機數。 在該步驟中,UE不應使用其GUTI / SUCI / SUPI作爲Id。 如果UE配置有N3IWF根證書,則它應在IKE_AUTH請求消息中包括CERTREQ有效載荷以請求N3IWF的證書。
- N3IWF以IKE_AUTH響應消息響應,該消息包括N3IWF標識,AUTH有效負載以保護它發送到UE的先前消息(IKE_SA_INIT交換中)和EAPRequest / 5G-Start分組。 EAP-Request / 5G-Start分組通知UE發起EAP-5G會話,即開始發送封裝在EAP-5G分組內的NAS消息。 如果UE在步驟3中發送了CERTREQ有效載荷,則N3IWF還應包括CERT有效載荷,包括N3IWF證書。
- UE應驗證N3IWF證書,並確認N3IWF標識與UE選擇的N3IWF相匹配。 如果UE請求證書或身份確認不成功,則缺少N3IWF的證書將導致連接失敗。 UE應發送IKE_AUTH請求,該請求包括EAP-Response / 5G-NAS分組,該分組包含包含UE安全能力和SUCI的註冊請求消息。 如果UE已經通過3GPP 接入使用5GC並且存在可用的安全性上下文,則UE應該完整性地保護註冊請求消息並且將發送5G-GUTI而不是SUCI, N3IWF應避免發送EAP身份請求。 UE可以忽略EAP身份請求或者使用它在註冊請求中發送的SUCI進行響應。
注 : N3IWF不發送EAP身份請求,因爲UE在消息5中的IKE_AUTH請求中包含其身份。這符合RFC7296 [25],第3.16節。 - N3IWF應選擇TS 23.501 [2]第6.5.3節中規定的AMF。 N3IWF將從UE接收的註冊請求轉發給AMF。
- 如果AMF收到5G-GUTI並且註冊受到完整性保護,它可以使用安全上下文來驗證完整性保護,如果成功驗證了完整性並且沒有通過3GPP 接入激活更新的安全上下文,則可以跳過步驟8到步驟11。 如果成功驗證了完整性並且已通過3GPP 接入激活了更新的安全上下文,則可以跳過身份驗證,但AMF將使用NAS SMC過程激活較新的上下文,如步驟8及之後所述。否則,AMF將驗證UE。
如果AMF決定對UE進行認證,則應使用6.1.3中的一種方法。 在這種情況下,AMF應向AUSF發送密鑰請求, AUSF可以啓動認證過程,在AMF和UE之間,認證分組被封裝在NAS認證消息中,並且NAS認證消息在AMF和N3IWF之間的N2信令中攜帶,然後被封裝在N3IWF和UE之間的EAP-5G / 5G-NAS分組內。
在來自歸屬網絡的最終認證消息中,AUSF應將從K AUSF 導出的錨密鑰K SEAF 發送到SEAF。 SEAF將從K SEAF 導出K AMF 並將其發送到AMF,AMF使用該AMF來導出NAS安全密鑰;如果EAP-AKA’用於認證,則AUSF應包括EAP-Success, UE還導出錨密鑰K SEAF ,並從該密鑰導出K AMF ,然後是NAS安全密鑰。 與NAS連接標識符“1”相關聯的NAS COUNT在UE和AMF處設置。 - AMF應向UE發送安全模式命令(SMC),以激活與NAS連接標識符“1”相關聯的NAS安全性。 此消息首先發送到N3IWF(在N2消息中)。 如果EAP-AKA’用於認證,則AMF應將從AUSF接收的EAP-Success封裝在SMC消息中。
- N3IWF應在EAP-Request / 5G-NAS數據包內將NAS SMC轉發到UE。
- UE完成身份驗證(如果在步驟7中啓動)並根據NAS SMC中收到的ngKSI創建NAS安全上下文或激活另一個上下文。 UE應根據第6.7.2節中所述的所選算法和參數響應從AMF接收的NAS SMC。 UE應封裝EAP-5G響應中的NAS SMC Complete。
- N3IWF應通過N2接口將包含NAS SMC Complete的NAS數據包轉發到AMF。
- AMF收到NAS SMC完成後,或者在完整性保護驗證成功後,啓動NGAP流程以建立AN上下文。AMF應使用與附件A.9中定義的NAS連接標識符“1”相關聯的上行鏈路NAS COUNT計算N3IWF密鑰K n3iwf ,以便在UE和N3IWF之間建立IPsec SA,並將其包含在發送給N3IWF的NGAP初始上下文設置請求。
- N3IWF在收到包含N3IWF密鑰KN3IWF的NGAP初始上下文建立請求後,向UE發送EAP-Success / EAP-5G。 這樣就完成了EAP-5G會話,並且不再交換其他EAP-5G數據包。 如果N3IWF沒有從AMF收到K n3iwf ,N3IWF將以EAP-Failure響應
- 通過使用與附件A.9中定義的NAS連接標識符“1”相關聯的上行鏈路NAS COUNT在UE中創建的N3IWF密鑰K n3iwf 在UE和N3IWF之間建立IPsec SA,並由N3IWF接收來自AMF的第12步。
15.在UE和N3IWF之間成功建立IPsec SA後,N3IWF應向AMF發送NGAP初始上下文建立響應消息。
16.當AMF收到UE的NGAP初始上下文設置響應時,AMF應通過N2向N3IWF發送UE的NAS註冊接受消息。
17.在收到來自AMF的NAS註冊接受消息後,N3IWF應通過已建立的IPsec SA將其轉發到UE。 UE和N3IWF之間的所有其他NAS消息應通過已建立的IPsec SA發送。