5G AKA通过为归属网络提供从访问网络成功认证UE的证据来增强EPS AKA。

5G AKA的认证过程如下：

UDM/ARPF创建5G HE AV，生成AV，计算KAUSF和XRES*，然后根据RAND，AUTN，XRES*和KAUSF生成5G HE AV。

UDM在Nudm_UEAuthentication_Get响应中将5G HE AV连同指示一起返回给AUSF，AUSF将XRES*与接收到的SUCI或SUPI临时存储起来。

AUSF通过XRES*和从KAUSF推导的KSEAF计算出HXRES*，将从UDM/ARPF接收到的5G HE AV中的XRES*替换为HXRES*，将KAUSF替换为KSEAF，生成5G AV。

AUSF移除KSEAF，在Nausf_UEAuthentication_Authenticate Response中将5G SE AV（RAND，AUTN，HXRES*）返回给SEAF。

SEAF在NAS消息Authentication-Request中将RAND，AUTN发送给UE，向UE发起鉴权请求。该消息还应包括ngKSI，如果认证成功，UE和AMF将使用该ngKSI来识别KAMF并创建部分本地安全上下文。

USIM应通过按照TS 33.102中所述检查AUTN是否可以用来验证5G AV的新鲜度，如果可以，USIM计算响应RES，USIM将RES，CK，IK返回给ME。ME应根据A.4从RES计算RES*。ME根据A.2从CK || IK计算KAUSF。ME根据A.6从KAUSF计算KSEAF。在认证过程中检查AUTN的AMF字段中的“separation bit”是否设置为1。

UE应在NAS消息认证响应中将RES*返回到SEAF。然后，SEAF根据A.5从RES*计算HRES*，SEAF比较HRES*和HXRES*，如果一致，则SEAF应从服务网络的角度考虑验证成功。如果不一致，则SEAF按照描述进行。如果未到达UE，并且SEAF从未接收到RES*，则SEAF应认为认证失败。

认证过程之后，AUSF采取的进一步步骤进行描述。如果认证成功，则接收的密钥KSEAF将成为锚密钥，SEAF应根据A.7从KSEAF，ABBA参数和SUPI得出KAMF。然后，SEAF应向AMF提供ngKSI和KAMF。如果SUCI用于此认证，则SEAF仅在收到包含SUPI的Nausf_UEAuthentication_Authenticate Response消息后才向AMF提供ngKSI和KAMF。

如果认证失败，则SEAF或AUSF中的RES*验证失败。在这种情况下，SEAF应根据A.5从RES*计算HRES*，并且SEAF应比较HRES*和HXRES*。如果它们不一致，则SEAF应认为认证不成功。此外，如果SEAF没有按预期从AUSF接收到任何Nausf_UEAuthentication_Authenticate Request消息，则SEAF应当拒绝对UE的认证或者发起与UE的识别过程。

本文地址： http://www.goggeous.com/20241126/1/51654

文章来源：天狐定制

版权声明：除非特别标注，否则均为本站原创文章，转载时请以链接形式注明文章出处。