5G(NR)學習(10)-5GC核心網(wǎng)AKA認證和密鑰管理流程

5G(NR)學習(10)-5GC核心網(wǎng)AKA認證和密鑰管理流程\o"5G"#5G\o"5GC"#5GC\o"AKA"#AKA\o"UE"#UE在5G(NR)系統(tǒng)中接入網(wǎng)絡的終端(UE)除了手機終端，還包括大量的垂直行業(yè)終端。而5G網(wǎng)絡的接入方式除了3GPP接入外，還包括各種類型的Non-3GPP接入。不同接入技術(shù)擁有相互獨立的ID和獨立的鑒權(quán)方式，加上網(wǎng)關(guān)邊緣的各種認證和私密會話業(yè)務，造成每種無線接入中都有獨立的無線資源管理，不同接入技術(shù)之間難以進行互通。為了適應上述變化，5G網(wǎng)絡引入了統(tǒng)一的終端(UE)認證框架，以實現(xiàn)對各種終端類型、各種接入方式的統(tǒng)一認證和鑒權(quán)及統(tǒng)一的密鑰層次結(jié)構(gòu)。5G終端(UE)接入網(wǎng)絡服務需通過5GAKA認證。一、5G終端(UE)網(wǎng)絡標識為了對終端(UE)用戶信息進行保護，防止用戶信息被泄露；在5G(NR)網(wǎng)絡中終端的IMSI被SUCI(SubscriptionPermanentIdentifier)取代，除IMSI外，還通過SUCI替換GUTI/TMSI。

二、加密算法3GPP網(wǎng)絡中機密性算法通常使用MILENAGE、XOR和Comp128，一些常用加密算法見下表：三、完整性保護算法5G網(wǎng)絡中常用的完整性保護算法分別如下:四、5GAKA認證流程通過N1接口發(fā)起注冊的終端，在AMF收到其請求后即執(zhí)行AKA認證流程，具體流程如下圖:1.當終端(UE)向無線網(wǎng)(RAN)發(fā)送N1注冊請求時，認證過程開始；2.RAN將InitialUErequest轉(zhuǎn)發(fā)給AMF；3.AMF將帶有SUCI或SUPI和服務網(wǎng)絡名稱的Nausf_UEAuthentications請求發(fā)送給AUSF；4.AUSF向UDM發(fā)送帶有SUPI/SUCI的Nudm_UEAuthentication_GetRequest；5.UDM將使用算法導出Kausf、MAC、XRES、CK、IK;6.AUSF將推導出5GAV(AuthenticationVector);7.AMF從5GSEAV用RAND和AUTN向UE發(fā)送NAS認證請求;8.UE將使用認證算法，推導出XMAC、RES、CK、IK;9.UE然后將使用在AUTN中接收到的MAC檢查XMAC;10.UE將導出RES，然后將其發(fā)送給AMF;11.AMF將從RES計算HRES，并將HRES與從AUSF接收的HXRES進行比較；12.AMF將從UE接收到的RES發(fā)送給AUSF，其中包含“AuthenticateRequest”消息；13.AUSF將R