3GPP知识更新阅读系5-互通的安全性(Security of interworking)-将身份验证确认AMF&UDM注册关联

一、回顾图：

身份验证过程的启动和身份验证方法的选择

Authentication procedure for 5G AKA

1.6、从AMF将身份验证确认链接到Nudm_UECM_Registration过程

在 5G 网络中，认证确认 (Authentication Confirmation) 用于将认证结果从认证服务器功能 (AUSF) 传递到会话建立功能 (SEAF)。认证确认包括认证是否成功的信息，以及如果成功，则包括 KSEAF 密钥。

AMF 需要认证确认才能将用户注册到网络中。AMF 可以通过以下方式将认证确认链接到 Nudm_UECM_Registration 过程：

（1）AMF 可以将认证确认作为 Nudm_UECM_Registration 请求消息的一部分发送到 UDM。

（2）AMF 可以将认证确认作为 Nudm_UECM_Registration 响应消息的一部分接收。

将认证确认作为 Nudm_UECM_Registration 请求消息的一部分发送到 UDM，在这种情况下，AMF 会在 Nudm_UECM_Registration 请求消息的 authenticationData 参数中包含认证确认。UDM 会使用认证确认来验证 UE 的身份。

将认证确认作为 Nudm_UECM_Registration 响应消息的一部分接收，在这种情况下，UDM 会在 Nudm_UECM_Registration 响应消息的 authenticationData 参数中包含认证确认。AMF 会使用认证确认来建立安全上下文。

（3）具体实施

在 3GPP TS 23.501 中，没有指定将认证确认链接到 Nudm_UECM_Registration 过程的具体方式。因此，运营商可以根据自己的需求选择合适的实施方式。

（4）示例

以下是将认证确认作为 Nudm_UECM_Registration 请求消息的一部分发送到 UDM 的示例：

以下是将认证确认作为 Nudm_UECM_Registration 响应消息的一部分接收的示例：

5G 网络中的认证确认过程

1.6.1、信令流程

从AUSF发送到UDM的信息，即已成功进行订户认证或订户认证的信息，应用于将认证确认链接到后续过程。为此，AUSF必须发送Nudm_UEAuthentication_ResultConfirmation服务操作

Linking increased Home control to subsequent procedures

（1）AUSF必须使用 Nudm_UEAuthentication_ResultConfirmation 请求通知 UDM 与 UE 进行的认证过程的结果和时间。这应包括 SUPI、认证的时间戳、认证类型（例如 EAP 方法或 5G-AKA）和服务网络名称

（2）UDM 应存储 UE 的认证状态（SUPI、认证结果、时间戳和服务网络名称）

（3）UDM应使用Nudm_UEAuthentication_ResultConfirmation响应回复AUSF

（4）在收到后续的UE相关流程（例如来自AMF的Nudm_UECM_Registration_Request）时，UDM可以根据本地运营商的政策采取行动，以检测并防范某些类型的欺诈（例如在第1.7节中提出的）。

1.7、协议的过程指导（仅仅是指导不存在遵守）

本小节提供了指导信息，说明归属运营商如何将认证确认（或缺乏认证确认）与来自 AMF 的后续 Nudm_UECM_Registration 程序关联起来，以实现对某些类型欺诈的防护，如前面的小节所述。

解释：

• 本小节的目的是提供指导，而不是强制性要求。

• 归属运营商可以根据自己的需求选择是否实施此类链接。

• 实施此类链接可以帮助防范某些类型的欺诈。

法 1：

归属网络记录订户最近一次成功验证的认证确认的时间以及参与认证的 5G 访问网络的身份。当来自访问网络的新的 Nudm_UECM_Registration 请求到达时，归属网络会检查该访问网络是否有该订户的足够近期的认证。如果没有，则拒绝 Nudm_UECM_Registration 请求。根据归属网络的策略，拒绝消息可能包括指示访问网络应在重复 Nudm_UECM_Registration 请求之前发送新的 Nausf_UEAuthentication_Authenticate 请求以获取新的认证向量。

解释：

• 此方法旨在防止重放攻击，其中攻击者试图重复使用以前的认证信息来访问网络。

• 归属网络通过记录最近一次成功认证的时间和访问网络的身份来实现此目的。

• 如果接收到的 Nudm_UECM_Registration 请求没有最近的认证，则会被拒绝。

• 访问网络可能需要重新进行认证才能继续进行注册过程。

+----------------+                             +----------------+

|                     |                                  |                    |

|  归属网络      |                                  |  访问网络      |

|                    |                                  |                     |

|                    |                                  |                     |

+----------------+                             +----------------+

|                                                             |

|<---- 记录订户最近一次成功验证的认证确认 ----|

|                                                            |

|<---- 记录参与认证的5G访问网络的身份 --

|                                                            |

|<---- 新的Nudm_UECM_Registration请求 ----|

|                                                            |

|---- 检查该访问网络是否有该订户的足够近期的认证 ---->|

|                                                            |

|<---- 如果没有，拒绝Nudm_UECM_Registration请求 ----|

|                                                             |

|---- 如果需要，发送新的Nausf_UEAuthentication_Authenticate请求以获取新的认证向量 ---->                                 |

|                                                          |

方法 2：基于信任分类的细粒度策略

方法 2 基于归属网络实施的更细粒度策略，是上述方法 1 的变体。归属网络可以根据对访问网络的信任程度，将它们分为不同的类别，例如：

• 第一类访问网络: 对信任度最高的访问网络，归属网络会在来自 AMF 的 Nudm_UECM_Registration 请求之前立即要求一个成功的认证。

• 第二类访问网络: 对信任度较高的访问网络，归属网络只会检查最近一次认证是否足够新，即使它不在同一访问网络进行，也允许稍宽松的标准。

• 第三类访问网络: 对信任度最低的访问网络，归属网络完全不进行 Nudm_UECM_Registration 请求和认证方面的检查，意味着完全信任该网络的安全可靠性。

解释：

• 方法 2 允许归属网络根据对不同访问网络的信任程度，采用不同的安全措施。

• 对信任度高的访问网络，归属网络要求更严格的安全检查，例如立即之前成功的认证。

• 对信任度低的访问网络，归属网络可以放宽安全检查，例如检查最近一次认证的时效性，甚至完全信任该网络的安全性。

• 这种方法可以平衡安全性和便利性，在安全需求高的情况下提供更严格的保护，同时在信任度高的漫游情况下提供更便捷的连接。

需要注意的几点：

• 归属网络可以根据需要定义更多的类别，进一步细化信任分级。

• 分类标准不仅可以基于以往经验，还可以考虑网络安全级别、合作协议等因素。

• 不同类别可以设置不同的安全检查，例如时效要求、额外认证、风险评估等。

• 实施此方法需要网络功能实体之间的协作和配置，确保信息共享和检查流程的顺畅运行。

总而言之，方法 2 提供了一种灵活的机制，使归属网络能够根据对不同漫游合作伙伴的信任程度，制定可定制的防欺诈策略，实现网络安全与漫游便利性的双赢。