姚 戈，徐 雷，張曼君（中國聯(lián)通研究院，北京 100048）

0 引言

3GPP在R12階段引入鄰近服務(wù)（ProSe）［1］，定義了ProSe 發(fā)現(xiàn)和ProSe 通信2 個基本過程，在R13 階段新增了UE 到網(wǎng)絡(luò)中繼（UE to Network Relay，U2N Relay）特性。3GPP R14 階段主要將鄰近服務(wù)用于LTE 的V2X 車聯(lián)網(wǎng)技術(shù)［2］。進入5G 時代，ProSe 有望成為使能5G 網(wǎng)絡(luò)支持各種應(yīng)用和服務(wù)的關(guān)鍵技術(shù)之一。在公共安全方面，維持鄰近發(fā)現(xiàn)和鄰近通信對于UE 在蜂窩網(wǎng)絡(luò)覆蓋范圍之外時是非常關(guān)鍵的，例如在偏遠地區(qū)發(fā)生災(zāi)難時，2 個鄰近的具有5G ProSe 功能的移動終端之間仍然能夠建立無線通信，為災(zāi)難救援提供保障。在商業(yè)領(lǐng)域，ProSe可廣泛應(yīng)用于依賴鄰近通信的B2B、B2B2C 和B2C 服務(wù)，包括廣告、社交網(wǎng)絡(luò)、游戲等［3］。3GPP 在R17 階段開展5G ProSe 關(guān)鍵技術(shù)的研究，旨在開發(fā)一個通用框架來支持公共安全和商業(yè)領(lǐng)域中的5G 鄰近服務(wù)。經(jīng)過3GPP R17、R18 階段的研究，目前5G ProSe技術(shù)已經(jīng)逐漸成熟，相關(guān)的安全研究也隨之開展。本文對5G ProSe技術(shù)和安全標(biāo)準(zhǔn)進行梳理，根據(jù)不同階段的5G ProSe的功能特性，分析安全機制如何消除對應(yīng)的安全威脅，并指出5G ProSe 技術(shù)未來的演進方向以及潛在的安全研究問題。

1 R17階段5G ProSe安全關(guān)鍵技術(shù)

3GPP SA2 于2021 年完成了5G ProSe_Ph1（階段1）的研究和標(biāo)準(zhǔn)化工作，形成3GPP TS 23.304 標(biāo)準(zhǔn)［4］，對5G ProSe的架構(gòu)和特性進行了如下規(guī)范。

a）5G ProSe系統(tǒng)架構(gòu)參考模型。

b）支持PC5（直連通信接口）直接發(fā)現(xiàn)。

c）支持PC5單播、群播和廣播通信。

d）支持PC5服務(wù)授權(quán)和策略/參數(shù)配置。

e）支持PC5 和Uu（蜂窩網(wǎng)通信接口）之間的直接通信路徑選擇。

f）支持層3 和層2 的U2N 中繼（包括QoS 和服務(wù)連續(xù)性方面）。

基于3GPP TS 23.304 定義的5G ProSe 架構(gòu)和特性，3GPP SA3工作組開展5G ProSe_Ph1相關(guān)安全問題的研究和標(biāo)準(zhǔn)化工作，發(fā)布了3GPP TS 33.503標(biāo)準(zhǔn)［5］。

1.1 5G ProSe直接發(fā)現(xiàn)安全

5G ProSe 直接發(fā)現(xiàn)是指檢測和識別出附近其他5G ProSe UE 的過程，可分為開放性5G ProSe 直接發(fā)現(xiàn)和限制性5G ProSe直接發(fā)現(xiàn)。

1.1.1 開放性5G ProSe直接發(fā)現(xiàn)安全

開放性5G ProSe 直接發(fā)現(xiàn)安全流程如圖1 所示，可歸納如下。

圖1 開放性5G ProSe直接發(fā)現(xiàn)安全流程

①～④：宣告UE 向其歸屬網(wǎng)絡(luò)的5G DDNMF 發(fā)送發(fā)現(xiàn)請求，以獲得允許在其服務(wù)網(wǎng)絡(luò)中宣告消息，并獲取ProSe應(yīng)用代碼和發(fā)現(xiàn)密鑰等參數(shù)。

⑤～⑩：宣告UE使用發(fā)現(xiàn)密鑰計算一個32位的消息完整性檢查（MIC），然后向網(wǎng)絡(luò)中發(fā)送宣告消息。監(jiān)控UE 向其歸屬網(wǎng)絡(luò)的5G DDNMF 發(fā)送包含ProSe應(yīng)用ID的發(fā)現(xiàn)請求，以獲取相應(yīng)的發(fā)現(xiàn)過濾器。

?～?：監(jiān)控UE 接收網(wǎng)絡(luò)中符合發(fā)現(xiàn)過濾器的宣告消息，收到后可根據(jù)需要發(fā)送給歸屬網(wǎng)絡(luò)的5G DDNMF，由它與宣告UE 歸屬網(wǎng)絡(luò)的5G DDNMF 交互進行驗證，返回驗證結(jié)果。

在上述過程中，宣告UE 和監(jiān)控UE 利用發(fā)現(xiàn)密鑰計算MIC 進行驗證，確保了發(fā)現(xiàn)消息的完整性。宣告UE 和監(jiān)控UE 分別設(shè)置ProSe 時鐘，利 用 與UTC 時間的差值判斷消息的時效性或過濾出符合的宣告消息，為發(fā)現(xiàn)過程提供了抗重放保護。

1.1.2 限制性5G ProSe直接發(fā)現(xiàn)安全

1.1.2.1 限制性5G ProSe直接發(fā)現(xiàn)模式A的安全流程

限制性5G ProSe直接發(fā)現(xiàn)模式A的安全流程如圖2所示，可歸納如下。

圖2 限制性5G ProSe直接發(fā)現(xiàn)模式A的安全流程

①～④：宣告UE 執(zhí)行發(fā)現(xiàn)請求程序，將限制性ProSe 應(yīng)用用戶ID（RPAUID）發(fā)給其歸屬網(wǎng)絡(luò)的DDNMF 來獲取ProSe 限制代碼及相關(guān)安全參數(shù)，并確定選擇的PC5 加密算法。在此過程中，DDNMF 向ProSe應(yīng)用服務(wù)器查驗宣告UE的授權(quán)情況。

⑤～⑩：監(jiān)控UE 向DDNMF 發(fā)送發(fā)現(xiàn)請求來獲取ProSe限制代碼及相關(guān)安全參數(shù)。由監(jiān)控UE歸屬網(wǎng)絡(luò)的DDNMF 根據(jù)ProSe 應(yīng)用服務(wù)器對監(jiān)控UE 的授權(quán)情況，向宣告UE 歸屬網(wǎng)絡(luò)的DDNMF 發(fā)送監(jiān)控請求，后者查詢授權(quán)情況，返回包含發(fā)現(xiàn)過濾器、ProSe 限制代碼和選擇的PC5加密算法的監(jiān)控響應(yīng)。

?～?：宣告UE 宣告包含ProSe 限制代碼的發(fā)現(xiàn)消息，監(jiān)控UE 接收網(wǎng)絡(luò)中符合發(fā)現(xiàn)過濾器的宣告消息。

?～?：監(jiān)控UE 請求其歸屬網(wǎng)絡(luò)的5G DDNMF 執(zhí)行MIC檢查，DDNMF檢查后返回檢查通過確認(rèn)消息。

在上述過程中，隨ProSe 限制代碼發(fā)送的相關(guān)安全參數(shù)可用于保護ProSe 限制代碼在傳輸和存儲中的機密性。在宣告和接收代碼時，監(jiān)控UE 執(zhí)行MIC 檢查則確保了發(fā)現(xiàn)消息的完整性。另外，宣告UE 和監(jiān)控UE 分別設(shè)置ProSe 時鐘，利用與UTC 時間的差值判斷消息的時效性或過濾出符合的宣告消息，為發(fā)現(xiàn)過程提供了抗重放保護。

1.1.2.2 限制性5G ProSe直接發(fā)現(xiàn)模式B的安全流程

限制性5G ProSe 直接發(fā)現(xiàn)模式B 的安全流程如圖3所示，可歸納如下。

圖3 限制性5G ProSe直接發(fā)現(xiàn)模式B的安全流程

①～④：被發(fā)現(xiàn)者UE 執(zhí)行發(fā)現(xiàn)請求程序，將RPAUID 發(fā)給其歸屬網(wǎng)絡(luò)的DDNMF 來獲取ProSe 響應(yīng)代碼及相關(guān)安全參數(shù)。在此過程中，DDNMF 向ProSe應(yīng)用服務(wù)器查驗被發(fā)現(xiàn)者UE的授權(quán)情況。

⑤～?：發(fā)現(xiàn)者UE 向其歸屬網(wǎng)絡(luò)的DDNMF 發(fā)送發(fā)現(xiàn)請求來獲取ProSe 查詢代碼及相關(guān)安全參數(shù)。由發(fā)現(xiàn)者UE 的DDNMF 根據(jù)ProSe 應(yīng)用服務(wù)器對發(fā)現(xiàn)者UE 的授權(quán)情況，向被發(fā)現(xiàn)者UE 的DDNMF 發(fā)送發(fā)現(xiàn)請求，被發(fā)現(xiàn)者UE 的DDNMF 通過查詢授權(quán)情況，返回包含ProSe查詢代碼的發(fā)現(xiàn)響應(yīng)。

?～?：發(fā)現(xiàn)者在PC5 接口發(fā)送ProSe 查詢代碼，被發(fā)現(xiàn)者UE 返回ProSe 響應(yīng)代碼與發(fā)現(xiàn)者UE 建立連接。

?～?：發(fā)現(xiàn)者UE 請求DDNMF 執(zhí)行MIC 檢查，DDNMF檢查后返回檢查通過確認(rèn)消息。

在上述過程中，隨ProSe 查詢/響應(yīng)代碼發(fā)送的相關(guān)安全參數(shù)可用于保護ProSe查詢/響應(yīng)代碼在傳輸和存儲中的安全，提供機密性保護。在發(fā)現(xiàn)者UE 請求DDNMF 執(zhí)行MIC 檢查則確保了發(fā)現(xiàn)消息的完整性。另外，發(fā)現(xiàn)者UE 和被發(fā)現(xiàn)者UE 分別設(shè)置ProSe 時鐘，利用與UTC 時間的差值判斷消息的時效性或過濾出符合的發(fā)現(xiàn)消息，為發(fā)現(xiàn)過程提供了抗重放保護。

1.2 5G ProSe直接通信安全

5G ProSe 直接通信是指UE 之間通過PC5 接口傳輸數(shù)據(jù)，不需要通過基站［6］。5G ProSe 直接通信支持單播、廣播和組播模式。在3GPP TS 33.503中，重新使用3GPP TS 33.536［7］第5.3節(jié)中定義的單播模式安全機制，以提供單播模式的5G ProSe 直接通信安全和隱私保護。對于廣播和組播模式的5G ProSe直接通信沒有安全要求。

1.3 5G ProSe U2N中繼通信安全

5G ProSe U2N中繼分為2種中繼方式：5G ProSe層3 U2N 中繼和5G ProSe 層2 U2N 中繼。這2 種方式均為遠端UE提供網(wǎng)絡(luò)訪問服務(wù)，但存在以下差異［8］。

a）5G ProSe層3 U2N中繼：遠端UE不會與基站建立RRC連接，沒有AS安全上下文。

b）5G ProSe層2 U2N中繼：遠端UE會與基站建立RRC連接并建立AS安全上下文。

1.3.1 5G ProSe層3 U2N中繼通信安全

1.3.1.1 基于用戶面建立5G ProSe U2N 中繼通信的PC5安全

基于用戶面建立5G ProSe U2N中繼通信的PC5安全流程如圖4所示，可歸納如下。

?a～?d：遠端UE 和U2N 中繼UE 分別向各自的5G DDNMF獲取發(fā)現(xiàn)安全材料，其中包含PC5策略。

①a～③：遠端UE 從ProSe 密鑰管理功能（ProSe Key Management Function，PKMF）獲取密鑰UP-PRUK和用戶面ProSe 遠端用戶密鑰ID（UP-PRUK ID）。遠端UE 與U2N 中繼UE 執(zhí)行1.1 節(jié)中定義的發(fā)現(xiàn)流程。然后遠端UE向U2N中繼UE發(fā)起直接通信請求。

④a～④e：U2N 中繼UE 在收到請求后，向它的PKMF請求ProSe遠端用戶密鑰，U2N中繼UE的PKMF從遠端UE 的PKMF 獲得KNRP。具體地，遠端UE 的PKMF通過與遠端UE的UDM/BSF/HSS交互，獲取UPPRUK、UP-PRUK ID，然后計算出KNRP。

⑤a～⑤e：U2N 中 繼UE 從KNRP導(dǎo)出會話密鑰KNRP-SESS，然后根據(jù)PC5 安全策略導(dǎo)出加密密鑰NRPEK和完整性密鑰NRPIK。遠端UE 也導(dǎo)出會話密鑰KNRP-SESS、加密密鑰NRPEK 和完整性密鑰NRPIK。遠端UE 和U2N 中繼UE 完成驗證直接安全模式命令消息，即完成了PC5鏈路建立流程。

⑥～⑧d：遠端UE和U2N 中繼UE進行PDU 會話的建立或修改。如果U2N 中繼UE 的SMF 沒有遠端UE的ID 和SUPI 之間的映射，則向U2N 中繼UE 的PKMF請求解析遠端UE的ID。

在上述過程中，不僅在遠端UE 和U2N 中繼UE 之間安全建立了PC5 鏈路，遠端UE 和遠端UE 的PKMF在計算KNRP密鑰時均輸入了KNRP新鮮度參數(shù)，保證了密鑰的新鮮度，實現(xiàn)抗重放保護。并且遠端UE 對直接發(fā)送請求消息中的UP-PRUK ID 和中繼服務(wù)代碼（Relay Service Code，RSC）進行加密，提供了隱私和完整性保護。

1.3.1.2 基于控制面建立5G ProSe U2N 中繼通信的PC5安全

基于控制面建立5G ProSe U2N中繼通信的PC5安全流程如圖5所示，可歸納如下。

?a～?b：遠端UE 和U2N 中繼UE 分別被網(wǎng)絡(luò)注冊、認(rèn)證和授權(quán)。

①～⑤：遠端UE 與U2N 中繼UE 執(zhí)行1.1 節(jié)中定義的發(fā)現(xiàn)流程。然后遠端UE 向U2N 中繼UE 發(fā)起直接通信請求。U2N 中繼UE 在收到請求后，向它的AMF（Access and Mobility Management Function）請求中繼密鑰，U2N 中繼UE 的AMF 將請求發(fā)給 遠 端UE 的AUSF（Authentication Server Function）。當(dāng)遠端UE 的AUSF 收到遠端UE 的簽約用戶隱式標(biāo)識（Subscription Concealed Identifier，SUCI）時，執(zhí)行步驟⑥～⑨b。

⑥～⑧b：遠端UE 的AUSF 向遠端UE 的UDM（Unified Data Management）獲取認(rèn)證向量，然后啟動認(rèn)證流程，通過EAP-AKA'認(rèn)證機制對遠端UE進行認(rèn)證。認(rèn)證通過后，遠端UE 和遠端UE 的AUSF 分別獲取KAUSF_P，然后生成CP-PRUK（Control Plan -Prose Remote User Key）和CP-PRUK ID。

⑨a～⑨b：遠端UE 的AUSF 選擇PAnF 并請求將遠端用戶的密鑰信息存儲在PAnF中。

當(dāng)遠端UE 的AUSF 收到CP-PRUK ID 時，執(zhí)行步驟⑩a～⑩b。

⑩a～⑩b：遠端UE 的AUSF 選擇PAnF 并發(fā)送CPPRUK ID。PAnF檢索出CP-PRUK后返回給AUSF。

?～?：遠端UE的AUSF生成KNRP并將其通過U2N中繼UE 的AMF 發(fā)送給U2N 中繼UE。U2N 中繼UE 從KNRP推導(dǎo)出PC5 會話密鑰Krelay-sess和加密密鑰Krelay-enc以及完整性密鑰Krelay-int。遠端UE 也生成KNRP，然后推導(dǎo)出PC5 會話密鑰Krelay-sess和加密密鑰Krelay-enc以及完整性密鑰Krelay-int。隨后遠端UE 和U2N 中繼UE 完成驗證直接安全模式命令消息，即完成了PC5鏈路建立流程。

在上述過程中，不僅在遠端UE 和U2N 中繼UE 之間建立了PC5 安全鏈路，5G ProSe 遠端UE 的AUSF 也基于EAP-AKA'機制完成了對5G ProSe 遠端UE 的認(rèn)證。

1.3.2 5G ProSe層2 U2N中繼通信安全

當(dāng)遠端UE 通過5G ProSe 層2 U2N 中繼進行5G ProSe 通信的連接建立時，5G ProSe 遠端UE 與基站建立AS 安全。遠端UE 和5G ProSe U2N 中繼UE 應(yīng)使用與5G ProSe 層3 U2N 中繼通信安全相同的安全機制為PC5鏈路建立安全。

2 R18階段5G ProSe安全研究進展

目前，3GPP SA2 已基本完成R18 階段的5G ProSe_Ph2 的研究和標(biāo)準(zhǔn)化工作，并對3GPP TS 23.304標(biāo)準(zhǔn)進行更新，主要增加以下5G ProSe的架構(gòu)和特性。

a）支持PC5單跳U2U中繼的單播模式。

b）增強了U2N 中繼功能以及通過U2N 中繼的遠端UE的緊急服務(wù)等。

c）支持Uu 通信路徑和PC5 通信路徑之間的路徑切換。

3GPP SA3 基于3GPP TS 23.304 中新增的特性，開展相關(guān)安全問題的研究，目前主要聚焦于5G ProSe U2U中繼發(fā)現(xiàn)和5G ProSe U2U中繼通信安全。

2.1 5G ProSe U2U中繼發(fā)現(xiàn)安全

在3GPP TS 23.304 中定義了2 種5G ProSe U2U 中繼發(fā)現(xiàn)模式：模式A 和模式B。前者由U2U 中繼充當(dāng)宣告UE 的角色，向鄰近的所有UE 廣播宣告消息；后者由源UE 充當(dāng)發(fā)現(xiàn)者，目標(biāo)UE 充當(dāng)被發(fā)現(xiàn)者，U2U中繼為兩者之間傳遞消息。

對于以上2 種模式，3GPP SA3 開展相關(guān)研究，為U2U 中繼發(fā)現(xiàn)的發(fā)現(xiàn)消息提供安全機制，主要從以下3個方面展開。

a）提供U2U 中繼發(fā)現(xiàn)消息的機密性、完整性和抗重放保護。

b）提供U2U 中繼發(fā)現(xiàn)過程中源UE 和目標(biāo)UE 的隱私保護。

c）提供U2U 中繼發(fā)現(xiàn)的安全材料的預(yù)先配置方法。

2.2 5G ProSe U2U中繼通信安全

與5G ProSe U2N 中繼相似，5G ProSe U2U 中繼也有2種類型：5G ProSe層3 U2U中繼通信和5G ProSe層2 U2U 中繼通信。針對這2 種場景，3GPP SA3 開展相關(guān)研究，為U2U 中繼的消息傳輸提供安全機制，主要從以下3個方面展開。

a）提供UE 之間傳輸信息的機密性、完整性和抗重放保護。

b）提供用戶面和控制面消息安全機制，包括U2U中繼路徑切換過程中的消息安全。

c）提供源UE 和目標(biāo)UE 之間建立安全連接的方法。

3 未來展望

當(dāng)前5G ProSe 已經(jīng)支持直接發(fā)現(xiàn)、直接通信、U2N中繼和U2U 中繼等關(guān)鍵技術(shù)，其中直接發(fā)現(xiàn)、直接通信和U2N 中繼的安全已完成標(biāo)準(zhǔn)化工作，后續(xù)工作重點將是完成R18 階段的U2U 中繼場景下的安全研究和標(biāo)準(zhǔn)化工作。

針對5G ProSe U2U 中繼發(fā)現(xiàn)安全，由于5G ProSe U2U 中繼發(fā)現(xiàn)消息包含2 套元素：直接發(fā)現(xiàn)元素和U2U 發(fā)現(xiàn)元素，需重點研究采用1 套還是2 套安全材料來保護5G ProSe U2U 中繼發(fā)現(xiàn)消息的安全，以及相應(yīng)的安全材料預(yù)先配置問題。

針對5G ProSe U2U 中繼通信安全，無論是層2 中繼還是層3 中繼，均需考慮U2U 中繼在覆蓋范圍內(nèi)或覆蓋范圍外2 種場景下的安全問題，并且在考慮源UE和目標(biāo)UE 之間的通信安全時，應(yīng)將U2U 中繼視為受信任的節(jié)點，通過U2U 中繼連接的源和目標(biāo)UE 之間的安全可以逐跳進行保護或端到端進行保護，亦或兩者兼而有之。

在完成R18階段5G ProSe安全的標(biāo)準(zhǔn)化工作的同時，3GPP R19階段關(guān)于5G ProSe 關(guān)鍵技術(shù)的研究也將同步開展，未來主要從增強U2N 中繼以支持PC5 多跳、Wi-Fi 或藍牙等非3GPP 無線接入技術(shù)（Radio Access Technology，RAT）等方面開展研究。此外，將NWDAF 及相關(guān)用例應(yīng)用在5G ProSe 技術(shù)中，使得提供的鄰近服務(wù)更加智能化也是下一階段的目標(biāo)。在安全方面，R19 階段也將繼續(xù)研究5G ProSe 新增關(guān)鍵技術(shù)相關(guān)的安全問題，包括U2N 中繼的PC5 多跳安全鏈接建立流程、支持非3GPP 接入的安全以及引入NWDAF 后將帶來的安全問題（如5G ProSe UE 的隱私保護、數(shù)據(jù)機密性和完整性保護以及5G ProSe UE 與NWDAF 所屬網(wǎng)絡(luò)的相互認(rèn)證和數(shù)據(jù)獲取的授權(quán)等安全問題）。

4 結(jié)束語

本文分析了3GPP 不同階段的5G ProSe 安全。針對R17 階段的5G ProSe 安全，主要分析5G ProSe 直接發(fā)現(xiàn)、直接通信和U2N中繼3種場景下的安全威脅，并對3GPP 標(biāo)準(zhǔn)中提出的安全機制進行抽象和歸納，分析安全機制如何消除對應(yīng)的安全威脅。針對R18階段的5G ProSe 安全，介紹了5G ProSe U2U 中繼的網(wǎng)絡(luò)架構(gòu)和關(guān)鍵技術(shù)以及相關(guān)安全問題的研究方向。最后指出5G ProSe技術(shù)未來的演進方向以及潛在的安全研究問題，可為5G ProSe 下一步研究工作的開展以及未來在公共安全和商業(yè)領(lǐng)域的實際部署提供參考。