5GAKA协议
5GAKA协议是5G网络中的关键安全协议,主要负责用户身份验证和密钥协商。其基本原理是通过挑战-应答的方式,验证终端用户的身份,并生成一组用于保障通信安全的密钥。协议的设计考虑到了隐私保护、抵御攻|击以及支持多样化应用场景等方面。
当UE尝试接入移动通信网络时,需要与网络进行相互身份认证。为了完成该认证, UE和网络必须运行身份认证协议,该协议通常以质询/响应方式工作。首先,网络需要计 算认证向量,只有对应的UE才能使用网络之间的共享密钥对其进行解密。UE接收到质询后,UE用自己的密钥对质询进行解密,并验证消息的真实性和新鲜度。如果检查通过, 则UE用成功消息响应质询。然后,网络将以认证结果响应UE。身份认证协议存在于历代移动通信网络中,随着移动通信网络的演进,身份认证协议也在不断发展,其安全性和效率也在不断提高。在5G网络中,3GPP 指定了网络必须支持的两个身份认证协议,即 5G AKA 和 EAP-AKA'。根据5G安全标准,5G AKA协议交互过程及传递的安全参数具体说明如下:
(1)归属地网络HN产生认证向量AV(RAND,AUTN,HXRES*,KAUSF)并将其发送给服务网络SN;
(2)服务网络将AV(RAND,AUTN,HXRES*,KAUSF)中的两个参数RAND,AUTN和另外两个参数ngKSI和ABBA组合成认证请求发送给UE;
(3)UE进行消息认证码MAC校验和同步序列号SQN校验,若二者都校验成功,则计算生成响应消息RES*发送给SN并由SN传递给HN进行校验;
(4)若HN和SN都校验成功,则鉴权成功,UE和网络可以正常进行后面的业务;
(5)若SQN校验失败,则UE明文返回同步失败消息并附上AUTS,AUTS中包含
了加密的SQNUE信息,可用于网络进行重新同步;
(6)若MAC校验失败,则UE明文返回MAC校验失败。
