蔡秋艷 黃健文 楊光 李俊磊 閻占林 黃健

【摘? 要】用戶卡承載移動(dòng)用戶身份標(biāo)識(shí)和網(wǎng)絡(luò)接入認(rèn)證的重要功能。5G SA網(wǎng)絡(luò)在接入認(rèn)證方面新增不同于4G網(wǎng)絡(luò)的用戶隱私保護(hù)、EAP-AKA'認(rèn)證/5G AKA認(rèn)證、5G密鑰體系及5G安全上下文等特性，這些特性對(duì)5G用戶卡提出新的要求。本文首先介紹5G SA網(wǎng)絡(luò)的安全模型，然后介紹5G用戶卡為支持5G接入認(rèn)證特性所支持的的SUCI、雙向認(rèn)證、新增卡文件及服務(wù)等功能，在此基礎(chǔ)上介紹5G SA實(shí)驗(yàn)網(wǎng)絡(luò)中開(kāi)展的基于5G用戶卡的接入認(rèn)證試驗(yàn)及其成果。

【關(guān)鍵詞】5G用戶卡;5G;SA;認(rèn)證;SUCI

The user card carries the important functions of mobile user identity identification and network access authentication. Different from 4G network in terms of access authentication， 5G SA network adds user privacy protection， EAP-AKA' authentication/5G AKA authentication， 5G key hierarchy and 5G security context， which raises new requirements for 5G user cards. This paper first introduces the 5G SA network security model， then introduces SUCI、mutual authentication， new card file and service of 5G user card to support 5G access authentication feature. On this basis， the access authentication test based on 5G user card is introduced to be carried out in 5G SA experimental networks and results.

5G user card; 5G; SA; authentication; SUCI

0? ?引言

5G技術(shù)迅速發(fā)展，國(guó)內(nèi)外運(yùn)營(yíng)商紛紛加快5G網(wǎng)絡(luò)的建設(shè)。GSMA預(yù)計(jì)，到2025年，5G連接的數(shù)量將達(dá)到14億，占全球總數(shù)的15%;5G將在未來(lái)15年內(nèi)為全球經(jīng)濟(jì)增加2.2萬(wàn)億美元，約14.7萬(wàn)億人民幣[1]。

5G網(wǎng)絡(luò)部署有基于EPC的非獨(dú)立組網(wǎng)（NSA）和基于5GC的獨(dú)立組網(wǎng)（SA）方案 [2]。運(yùn)營(yíng)商目前主流采用NSA Option 3a/3x和SA Option 2模式。NSA Option 3只引入5G新空口（NR），控制面錨定在4G基站（LTE）側(cè)，5G終端使用現(xiàn)網(wǎng)已發(fā)行4G卡可以實(shí)現(xiàn)基本的接入認(rèn)證、使用5G無(wú)線網(wǎng)絡(luò)的基本通信業(yè)務(wù)[3]，因此NSA網(wǎng)絡(luò)的接入認(rèn)證不是本文討論重點(diǎn)。SA Option 2架構(gòu)包括5G NR（gNB）和服務(wù)化架構(gòu)的5GC（5G Core Network），引入了不同于LTE網(wǎng)絡(luò)的接入認(rèn)證機(jī)制，包括：用戶隱私保護(hù)、EAP-AKA'認(rèn)證＼5G AKA認(rèn)證、5G密鑰體系及5G安全上下文等[4]。用戶卡是移動(dòng)用戶在網(wǎng)絡(luò)中的唯一身份標(biāo)識(shí)，在UE接入網(wǎng)絡(luò)時(shí)提供用戶標(biāo)識(shí)、根據(jù)卡存儲(chǔ)的認(rèn)證參數(shù)（如密鑰K）及算法進(jìn)行運(yùn)算并提供認(rèn)證響應(yīng)，是實(shí)現(xiàn)接入認(rèn)證的關(guān)鍵。5G SA網(wǎng)絡(luò)接入認(rèn)證的新特性對(duì)用戶卡提出新的功能實(shí)現(xiàn)要求。

本文首先介紹5G SA網(wǎng)絡(luò)的安全模型，然后分析5G接入認(rèn)證中與用戶卡有關(guān)的用戶隱私保護(hù)、雙向認(rèn)證與密鑰協(xié)商、5G密鑰體系及5G安全上下文等特點(diǎn)以及5G用戶卡為此應(yīng)實(shí)現(xiàn)的功能：SUCI功能、雙向認(rèn)證、新增卡文件及服務(wù)，最后介紹5G SA實(shí)驗(yàn)網(wǎng)絡(luò)中基于5G用戶卡的接入認(rèn)證試驗(yàn)及其成果。

1? ?5G安全模型

以非漫游這種最基本的業(yè)務(wù)情景為例，5G SA網(wǎng)絡(luò)安全模型由UE和網(wǎng)絡(luò)組成[5]，包括：USIM（Universal Subscriber Identity Module）、ME、RAN、核心網(wǎng)，如圖1所示：

UE由USIM和移動(dòng)設(shè)備（ME）組成，USIM駐留在5G用戶卡上實(shí)現(xiàn)安全認(rèn)證功能（下文所指的5G用戶卡功能均在USIM模塊實(shí)現(xiàn)）。無(wú)線接入網(wǎng)（RAN）分為分布式單元（DU）和中央單元（CU），DU和CU共同構(gòu)成5G基站gNB。核心網(wǎng)中，AMF（Access and Mobility Management Function）是非接入層（NAS）安全的終止點(diǎn);SEAF（Security Anchor Function）持有UE與網(wǎng)絡(luò)主認(rèn)證之后派生的訪問(wèn)網(wǎng)絡(luò)的根密鑰（稱為錨定密鑰）KSEAF;AUSF（Authentication Server Function）保留一個(gè)可重用的密鑰KAUSF（同樣在主認(rèn)證后派生），以便在不同接入網(wǎng)技術(shù)（即3GPP接入網(wǎng)和非3GPP接入網(wǎng)，如IEEE 802.11無(wú)線局域網(wǎng)WLAN）同時(shí)注冊(cè)UE時(shí)重用;ARPF（Authentication credential Repository and Processing Function）保存認(rèn)證信息;UDM（Unified Data Management）使用存儲(chǔ)在UDR（Unified Data Repository）中的用戶簽約數(shù)據(jù)，來(lái)執(zhí)行各種功能，如認(rèn)證憑據(jù)生成等。

2? ?用戶隱私保護(hù)

4G網(wǎng)絡(luò)中，用戶卡保存IMSI作為永久身份標(biāo)識(shí)。在認(rèn)證過(guò)程中，如果服務(wù)網(wǎng)絡(luò)無(wú)法通過(guò)臨時(shí)標(biāo)識(shí)（GUTI）識(shí)別用戶，特別是服務(wù)網(wǎng)絡(luò)無(wú)法根據(jù)UE在空口標(biāo)識(shí)自身身份的GUTI獲取IMSI時(shí)，服務(wù)網(wǎng)絡(luò)應(yīng)啟用用戶識(shí)別機(jī)制[6]，通過(guò)永久用戶標(biāo)識(shí)（IMSI）來(lái)識(shí)別用戶。用戶識(shí)別機(jī)制由請(qǐng)求用戶發(fā)送其永久身份的MME啟動(dòng)，UE以明文形式IMSI響應(yīng)。明文形式傳遞IMSI存在用戶身份被非法截獲和泄露的風(fēng)險(xiǎn)。

5G用戶卡中的永久用戶標(biāo)識(shí)是SUPI（Subscription Permanent Identifier），SUPI有IMSI或NAI（Network Access Identifier）兩種[7]，如果5G系統(tǒng)部署在專用網(wǎng)絡(luò)，SUPI使用NAI格式進(jìn)行編碼。5G接入認(rèn)證過(guò)程中需要UE提供用戶標(biāo)識(shí)時(shí)，UE可以提供SUCI（Subscription Concealed Identifier）而非明文SUPI。例如，UE在注冊(cè)請(qǐng)求中應(yīng)提供SUCI或者5G-GUTI，但UE在沒(méi)有有效5G-GUTI時(shí)提供SUCI[8]。此時(shí)，UE使用與網(wǎng)絡(luò)協(xié)商一致的保護(hù)方案（如PROFILE A、PROFILE B）、網(wǎng)絡(luò)公鑰對(duì)SUPI進(jìn)行加密后構(gòu)建SUCI并提供給網(wǎng)絡(luò)，SIDF（Subscription Identifier De-concealing Function）使用網(wǎng)絡(luò)私鑰解密SUCI并重現(xiàn)SUPI。傳遞SUCI而非SUPI可以避免明文傳遞永久用戶標(biāo)識(shí)時(shí)帶來(lái)的用戶隱私暴露風(fēng)險(xiǎn)。

為實(shí)現(xiàn)向網(wǎng)絡(luò)提供SUCI，5G用戶卡應(yīng)該支持以下SUCI功能：

（1）指示卡是否支持SUCI功能：卡文件EFUST設(shè)置service n°124服務(wù)位（Subscription identifier privacy support），指示5G用戶卡是否支持用戶標(biāo)識(shí)隱私保護(hù)（1：支持，0：不支持）[9]，ME通過(guò)讀取EFUST文件的對(duì)應(yīng)服務(wù)位獲知該信息。

（2）指示SUCI計(jì)算位置：EFUST的service n°124指示為“支持”時(shí)，service n°125（SUCI calculation by the USIM）進(jìn)一步指示SUCI計(jì)算的位置。如servicen°124和servicen°125都指示為“可用”，那么SUCI計(jì)算由USIM（5G用戶卡）執(zhí)行;如servicen°124指示“可用”但servicen°125指示為“不可用”，SUCI計(jì)算由ME執(zhí)行。

（3）保存SUCI計(jì)算的參數(shù)：5G用戶卡（USIM）或ME執(zhí)行SUCI計(jì)算時(shí)，需要明確保護(hù)方案、網(wǎng)絡(luò)公鑰等相關(guān)數(shù)據(jù)，卡文件EFSUCI_Calc_Info存儲(chǔ)這些數(shù)據(jù)?，F(xiàn)有的保護(hù)方案有：Null-scheme、Profile A、profileB。Profile A和Profile B表明SUCI計(jì)算時(shí)在卡片生成秘鑰對(duì)、Key Agreement等步驟采用不同加密算法。例如，卡片生成密鑰對(duì)步驟中，Profile A采用Curve25519而Profile B采用secp256r1。Null-scheme這種特殊情況代表不對(duì)SUPI進(jìn)行加密、因此也無(wú)法提供用戶隱私保護(hù);通常在以下情況中使用：UE正在進(jìn)行未經(jīng)身份認(rèn)證的緊急會(huì)話而且沒(méi)有所選擇PLMN的5G-GUTI、歸屬網(wǎng)絡(luò)配置了使用“Null-scheme”或者卡沒(méi)有提供歸屬網(wǎng)絡(luò)公鑰或優(yōu)先級(jí)列表[4]。SUCI由USIM（5G用戶卡）計(jì)算時(shí)，ME不允許訪問(wèn)EFSUCI_Calc_Info文件，只有當(dāng)SUCI計(jì)算由ME執(zhí)行時(shí)ME才允許訪問(wèn)該文件。

（4）SUCI運(yùn)算：如果SUCI由USIM（5G用戶卡）計(jì)算，5G用戶卡還需要支持ECIES（Elliptic Curve Integrated Encryption Scheme，橢圓曲線綜合加密方案）?？ㄟ\(yùn)用ECC橢圓曲線加密算法對(duì)SUPI進(jìn)行加密，輸出ECC臨時(shí)公鑰、密文值、MAC標(biāo)簽值等（即SUCI組成結(jié)構(gòu)的第6部分，如圖2所示），輸出內(nèi)容與SUPI類型、主網(wǎng)絡(luò)標(biāo)識(shí)、路由指示符（從EFRouting_Indicator文件獲?。⒈Ｗo(hù)方案標(biāo)識(shí)、歸屬網(wǎng)絡(luò)公鑰標(biāo)識(shí)（這5項(xiàng)構(gòu)成SUCI結(jié)構(gòu)的前5部分）共同構(gòu)建成SUCI[7]，見(jiàn)圖2。ME可以通過(guò)ME-UICC之間的機(jī)卡接口指令GET IDENTITY從5G用戶卡獲取生成的SUCI[9]。

3? ? 雙向認(rèn)證和密鑰協(xié)商

在EPS AKA中，歸屬網(wǎng)絡(luò)鑒權(quán)中心提供一組認(rèn)證向量給訪問(wèn)網(wǎng)絡(luò)的MME，由訪問(wèn)網(wǎng)絡(luò)MME使用認(rèn)證向量對(duì)UE進(jìn)行鑒權(quán)[6]。5G采用EAP-AKA'和5G AKA兩種雙向認(rèn)證和密鑰協(xié)商機(jī)制[4]。EAP-AKA'中，UE是peer角色，SEAF承擔(dān)傳遞驗(yàn)證者的角色，AUSF充當(dāng)后端驗(yàn)證服務(wù)器;SEAF透明地轉(zhuǎn)發(fā)AUSF和UE之間認(rèn)證相關(guān)的EAP-Request/AKA'-Challenge、EAP-Response/AKA'-Challenge、EAP-Request/AKA'-Notification、EAP-Response/AKA'-Notification等消息。5G AKA增強(qiáng)了EPS AKA的認(rèn)證功能，歸屬網(wǎng)絡(luò)AUSF和訪問(wèn)網(wǎng)絡(luò)SEAF都會(huì)對(duì)UE進(jìn)行認(rèn)證（見(jiàn)下文）。

相對(duì)EPS AKA，EAP-AKA'認(rèn)證＼5G AKA認(rèn)證要求用戶卡實(shí)現(xiàn)的認(rèn)證功能沒(méi)有本質(zhì)區(qū)別，都需要用戶卡支持雙向認(rèn)證，即網(wǎng)絡(luò)對(duì)卡的認(rèn)證和卡對(duì)網(wǎng)絡(luò)的認(rèn)證。

以5G AKA為例，如圖3所示，UDM/ARPF創(chuàng)建一個(gè)5G HE AV（RAND、AUTN、XRES*、KAUSF）發(fā)送給AUSF;AUSF從XRES*中計(jì)算HXRES*，將5G SE AV（RAND、AUTN、HXRES*）返回給SEAF。SEAF在NAS消息Authentication-Request中向UE發(fā)送RAND、AUTN，其中，AUTN包含同步序列號(hào)SQN（USIM和網(wǎng)絡(luò)各自會(huì)維護(hù)一個(gè)保存在本地的同步序列號(hào)）、認(rèn)證管理域（AMF）和校驗(yàn)信息MAC。ME將RAND和AUTN在ME-UICC機(jī)卡命令A(yù)UTHENTICATE中傳遞給USIM。USIM通過(guò)校驗(yàn)AUTN進(jìn)行對(duì)網(wǎng)絡(luò)的認(rèn)證[10]，如圖4所示。如果AUTN校驗(yàn)通過(guò)，USIM使用與ARPF存儲(chǔ)一致的密鑰K、RAND計(jì)算響應(yīng)RES，在AUTHENTICATE命令響應(yīng)中返還RES、CK、IK給ME。

ME根據(jù)RES計(jì)算RES*并在AUTHENTICATION RESPONSE中返回RES*給SEAF。SEAF根據(jù)RES*計(jì)算HRES*，將HRES*與5G SE AV中的的HXRES*進(jìn)行比較，如果一致，SEAF從服務(wù)網(wǎng)絡(luò)的角度認(rèn)為認(rèn)證通過(guò)。SEAF將UE返回的RES*在 Nausf_UEAuthentication_Authenticate Request消息中返回AUSF，AUSF將RES*與5G HE AV中的XRES*比較，如果相等，AUSF從歸屬網(wǎng)絡(luò)的角度認(rèn)為認(rèn)證通過(guò)。如果USIM檢查AUTN失敗，USIM在AUTHENTICATE命令響應(yīng)中返回失敗原因（如同步失敗，MAC錯(cuò)誤等）給ME，ME在NAS消息Authentication Failure中用CAUSE值指示失敗原因。

4? ?5G密鑰體系與安全上下文

UE和網(wǎng)絡(luò)之間的主認(rèn)證和密鑰協(xié)商程序?qū)崿F(xiàn)UE和網(wǎng)絡(luò)之間實(shí)現(xiàn)相互認(rèn)證，并生成UE和網(wǎng)絡(luò)之間用于后續(xù)安全進(jìn)程的密鑰，如圖5所示。接收到認(rèn)證成功響應(yīng)消息后，UE從CK和IK（或CK'和IK'）計(jì)算出KAUSF，根據(jù)KAUSF計(jì)算出KSEAF。5G用戶卡文件EFUST的service n°123（5G Security Parameters）指示“可用”時(shí)，卡新增文件EF5GAUTHKEYS存儲(chǔ)UE派生的密鑰KAUSF、3GPP接入時(shí)的KSEAF和非3GPP接入時(shí)的KSEAF。

UE可以通過(guò)3GPP或非3GPP方式接入5GS，兩種方式下UE產(chǎn)生3GPP接入的NSA安全上下文和非3GPP接入的NAS安全上下文。5G用戶卡文件EFUST中的的service n°122（5GS Mobility Management Information），如指示“可用”，5G用戶卡新增文件EF5GS3GPPNSC（5GS 3GPP Access NAS Security Context）和EF5GSN3GPPNSC（5GS non-3GPP Access NAS Security Context）。EF5GS3GPPNSC保存3GPP接入相關(guān)的ngKSI、KAMF、上下行NAS計(jì)數(shù)器、NAS完整性算法和加密算法等參數(shù)，EF5GSN3GPPNSC保存非3GPP接入相關(guān)的KAMF、UE安全能力及上下行NAS計(jì)數(shù)值。ME通過(guò)ME-UICC機(jī)卡接口的文件更新指令和讀取指令可以向EF5GS3GPPNSC和EF5GSN3GPPNSC寫(xiě)入或讀出安全上下文。

5? ? 5G SA實(shí)驗(yàn)網(wǎng)絡(luò)試驗(yàn)

在5G SA實(shí)驗(yàn)網(wǎng)絡(luò)中，支持上述特性的5G用戶卡與5G SA測(cè)試終端配合試驗(yàn)5G接入認(rèn)證功能。5G用戶卡測(cè)試卡設(shè)置不同的保護(hù)方案（PROFILE A、RPOFILE B、Null-scheme）和SUCI計(jì)算位置（USIM計(jì)算SUCI、ME計(jì)算SUCI）。根據(jù)不同的預(yù)置條件組合，制作全新的5G用戶卡測(cè)試卡并插入5G SA測(cè)試終端開(kāi)機(jī)，模擬用戶第一次接入網(wǎng)絡(luò)的注冊(cè)接入認(rèn)證過(guò)程。同時(shí)，在ME-UICC機(jī)卡接口和UE-網(wǎng)絡(luò)空口跟蹤信令消息并判定試驗(yàn)結(jié)果，試驗(yàn)結(jié)果見(jiàn)表2。

以5G用戶卡預(yù)置保護(hù)方案為PROFILE B、SUCI計(jì)算在USIM執(zhí)行為例：

（1）ME通過(guò)ME-UICC機(jī)卡接口GET IDENTITY命令獲取USIM生成的SUCI，如圖6所示。

（2）UE將USIM返回的SUCI在REGISTRATION_REQUEST消息中上發(fā)網(wǎng)絡(luò)，如圖7所示。

（3）SIDF解密SUCI獲取SUPI并驗(yàn)證通過(guò)后，網(wǎng)絡(luò)下發(fā)包含AUTH、RAND的AUTHENTICATION_REQUEST到UE，如圖8所示。

（4）UE發(fā)送ME-UICC機(jī)卡指令A(yù)UTHENTICATE給5G用戶卡，卡在AUTHENTICATE指令響應(yīng)中返回響應(yīng)，如圖9所示。

（5）UE通過(guò)AUTHENTICATION_RESPONSE上發(fā)認(rèn)證響應(yīng)，網(wǎng)絡(luò)驗(yàn)證通過(guò)后返回REGISTRATION_ACCEPT，表明認(rèn)證成功，如圖10所示。

6? ?結(jié)束語(yǔ)

本文針對(duì)5G接入認(rèn)證過(guò)程中與用戶卡有關(guān)的用戶隱私保護(hù)、雙向認(rèn)證與密鑰協(xié)商、5G密鑰體系及5G安全上下文等特性，分析了5G用戶卡需支持的SUCI功能、雙向認(rèn)證、新增卡文件和服務(wù)，在此基礎(chǔ)上開(kāi)展了5G SA實(shí)驗(yàn)網(wǎng)絡(luò)中基于5G用戶卡的接入認(rèn)證試驗(yàn)并獲得成功。試驗(yàn)結(jié)果對(duì)后續(xù)5G SA網(wǎng)絡(luò)建設(shè)及商用，提供了可供參考的接入認(rèn)證實(shí)施方案。

參考文獻(xiàn)：

[1]? ?呂萌. GSMA：到2025年，5G將占全球移動(dòng)連接總數(shù)的15%[EB/OL]. （2019-02-27）[2020-04-05]. http：//www.cww.net.cn/article？id=447568.

[2]? ? 朱穎，楊思遠(yuǎn)，朱浩，等. 5G獨(dú)立組網(wǎng)與非獨(dú)立組網(wǎng)部署方案分析[J]. 移動(dòng)通信， 2019，43（1）： 40-45.

[3]? ? 何偉俊，桂烜，盧燕青，等. 4G用戶不換卡不換號(hào)升級(jí)5G問(wèn)題探討[J]. 移動(dòng)通信， 2019，43（9）： 7-12.

[4]? ? 3GPP. 3GPP TS 33.501 V16.1.0： Security architectureand procedures for 5G System[S]. 2019.

[5]? ? ?Anand R. Prasad， Alf Zugenmaier， Adrian Escott. 3GPP 5G Security[EB/OL]. （2018-08-06）[2020-04-05]. https：//www.3gpp.org/news-events/3gpp-news/1975-sec_5g.

[6]? ?3GPP. 3GPP TS 33.401 V15.10.0： 3GPP System Architecture Evolution （SAE）[S]. 2019.

[7]? ? ?3GPP. 3GPP TS 23.003 V16.2.0： Numbering， addressing and identification[S]. 2020.

[8]? ? ?3GPP. 3GPP TS 23.502 V16.3.0： Procedures for the 5G System （5GS）[S]. 2019.

[9]? ? 3GPP. 3GPP TS 31.102 V16.2.0： Characteristics of the Universal Subscriber Identity Module （USIM） application[S]. 2019.

[10]? ?3GPP. 3GPP TS 33.102 V15.1.0： 3G Security; Security architecture[S]. 2018.