ETSI TS 133 535-2022 5G; Аутентификация и управление ключами для приложений (AKMA) на основе учетных данных 3GPP в системе 5G (5GS) (3GPP TS 33.535 версия 17.7.0 выпуск 17)

Стандартный №: ETSI TS 133 535-2022
Дата публикации: 2022
Разместил: European Telecommunications Standards Institute (ETSI)
состояние: быть заменен 2023-04
быть заменен: ETSI TS 133 535-2023
Последняя версия: ETSI TS 133 535-2024

сфера применения

Обзор технической спецификации 5G AKMA

ETSI TS 133 535 V17.7.0 (2022-09) определяет механизм аутентификации и управления ключами системы 5G (AKMA) на основе учетных данных 3GPP, предоставляя стандартизированное решение для безопасной связи между базовой сетью и функциями приложений. Являясь ключевым компонентом 3GPP Release 17, эта спецификация продолжает принципы проектирования архитектуры безопасности 5G и развивает и оптимизирует технологию GBA (Generic Bootstrapping Architecture).

Анализ проектирования архитектуры AKMA

Архитектура AKMA вводит новую логическую сущность — функцию привязки AKMA (AAnF) — в качестве основного компонента всей системы аутентификации. AAnF отвечает за хранение якорного ключа AKMA (KAKMA) и постоянного идентификатора пользователя (SUPI), а также за генерацию ключевого материала для определенных функций приложения (AF).

Сетевые функции Основные обязанности Функции расширения AKMA

AAnF Функция привязки AKMA Хранение KAKMA и SUPI, генерация ключей, специфичных для AF

AUSF Функция сервера аутентификации Предоставление материала ключей SUPI и AKMA, выполнение выбора AAnF

AF Функция приложения Запрос ключа приложения AKMA (KAF), поддержка анонимного пользователя доступ

NEF Функция открытия сети Предоставление доступа к сервису AKMA для внешнего AF и выполнение выбора AAnF

UDM Унифицированное управление данными Хранение данных о подписке AKMA и указание доступности сервиса AKMA

Система управления ключами

AKMA использует трехуровневую иерархию ключей для обеспечения безопасности и изоляции ключей:

Тип ключа Источник происхождения Жизненный цикл Сценарий использования

KAUSF Первичная аутентификация 5G Период первичной аутентификации Базовые ключи между AUSF и UE

KAKMA Выведение KAUSF Неявный жизненный цикл Якорный ключ AKMA, хранящийся в AAnF

KAF Выведение KAKMA Явный жизненный цикл Ключи приложения между определенными AF и UE

Для выведения ключа используется стандартизированная функция выведения ключа (KDF) на основе алгоритма, определённого в TS 33.220, для обеспечения взаимодействия между различными реализациями.

Подробное описание основного процесса

Процесс формирования ключа AKMA

После успешного завершения первичной аутентификации 5G AUSF генерирует KAKMA и A-KID (идентификатор ключа AKMA) на основе KAUSF. A-KID использует формат NAI (имя пользователя@домен) и содержит идентификатор маршрутизации (RID) и A-TID (временный идентификатор UE AKMA) для обеспечения глобальной уникальности.

Процесс получения ключа приложения

Когда UE необходимо установить защищенную связь с определенным AF:

UE отправляет запрос на установление сеанса приложения, содержащий A-KID, в AF

AF запрашивает ключ KAF у AAnF

AAnF выводит KAF на основе KAKMA и AF_ID

После получения KAF AF устанавливает защищенную связь с UE

Поддержка доступа анонимного пользователя

Стандарт поддерживает режим доступа анонимного пользователя. AAnF возвращает только KAF без предоставления информации о личности пользователя. A-KID используется в качестве временного идентификатора пользователя для удовлетворения требований по защите конфиденциальности.

Интерфейс службы безопасности

Интерфейс службы Тип операции Входные параметры Выходные параметры Потребитель

Naanf_AKMA_AnchorKey_Register Запрос/Ответ SUPI, A-KID, KAKMA Нет AUSF

Naanf_AKMA_ApplicationKey_Get Запрос/Ответ A-KID, AF_ID KAF, Срок действия KAF, SUPI

Naanf_AKMA_ApplicationKey_AnonUser_Get Запрос/Ответ A-KID, AF_ID KAF, Срок действия KAF AF

Nnef_AKMA_ApplicationKey_Get Запрос/Ответ A-KID, AF_ID KAF, Срок действия KAF, GPSI AF

Протокол Ua* Конфигурация

Стандарт определяет конфигурацию протокола Ua* на основе TLS и поддерживает два режима аутентификации:

Аутентификация UE с общим ключом и аутентификация AF на основе сертификата

Использует механизм аутентификации HTTP Digest. UE использует A-KID в качестве имени пользователя и KAF в качестве пароля для аутентификации, а AF использует сертификат для подтверждения личности.

Взаимная аутентификация между UE и AF с общим ключом

Поддерживает протоколы TLS 1.2 и TLS 1.3, используя KAF в качестве предварительного главного ключа для обеспечения сквозной безопасной связи.

Рекомендации по развитию технологий и внедрению

Анализ развития стандартов

Технология AKMA была представлена в выпуске 16 и значительно улучшена в выпуске 17:

Добавлена поддержка анонимного доступа пользователей

Улучшен механизм обнаружения и выбора AAnF

Улучшена обработка ошибок и процесс обновления ключей

Предоставлена более полная конфигурация протокола TLS

Рекомендации по внедрению

Стратегия развертывания: AAnF может быть развернут как отдельная функция или совместно с AUSF/NEF с гибким выбором на основе сценариев оператора

Управление ключами: Жизненный цикл KAKMA привязан к первичной аутентификации, в то время как KAF использует явное управление жизненным циклом и должен быть разумно настроен в соответствии к потребностям бизнеса

Конфигурация безопасности: Все интерфейсы SBA должны быть настроены с учетом конфиденциальности, целостности и защиты от повторного воспроизведения

Совместимость: Рекомендуется провести достаточное тестирование совместимости перед развертыванием, чтобы гарантировать совместимость между устройствами разных производителей

Мониторинг и аудит: Создайте комплексный механизм мониторинга и аудита использования ключей для оперативного обнаружения и обработки инцидентов безопасности

Анализ сценариев применения

Технология AKMA применима к различным сценариям применения 5G:

Доступ к корпоративным приложениям: Обеспечивает безопасный доступ на основе учетных данных 5G для внутренних корпоративных приложений

Услуги IoT: Обеспечивает безопасность связи между устройствами IoT и серверами приложений

Периферийные вычисления: Обеспечивает безопасную связь между терминалами и периферийными приложениями в Сценарии периферийных вычислений

Сторонние сервисы: Предоставляет стандартизированные возможности безопасного доступа для сторонних приложений через NEF

Стандарт ETSI TS 133 535 V17.7.0 обеспечивает прочную техническую основу для безопасности приложений в эпоху 5G. Благодаря стандартизированным механизмам аутентификации и управления ключами он эффективно поддерживает разнообразные бизнес-потребности сетей 5G.

Сетевые функции	Основные обязанности	Функции расширения AKMA
AAnF	Функция привязки AKMA	Хранение KAKMA и SUPI, генерация ключей, специфичных для AF
AUSF	Функция сервера аутентификации	Предоставление материала ключей SUPI и AKMA, выполнение выбора AAnF
AF	Функция приложения	Запрос ключа приложения AKMA (KAF), поддержка анонимного пользователя доступ
NEF	Функция открытия сети	Предоставление доступа к сервису AKMA для внешнего AF и выполнение выбора AAnF
UDM	Унифицированное управление данными	Хранение данных о подписке AKMA и указание доступности сервиса AKMA

Тип ключа	Источник происхождения	Жизненный цикл	Сценарий использования
KAUSF	Первичная аутентификация 5G	Период первичной аутентификации	Базовые ключи между AUSF и UE
KAKMA	Выведение KAUSF	Неявный жизненный цикл	Якорный ключ AKMA, хранящийся в AAnF
KAF	Выведение KAKMA	Явный жизненный цикл	Ключи приложения между определенными AF и UE

Интерфейс службы	Тип операции	Входные параметры	Выходные параметры	Потребитель
Naanf_AKMA_AnchorKey_Register	Запрос/Ответ	SUPI, A-KID, KAKMA	Нет	AUSF
Naanf_AKMA_ApplicationKey_Get	Запрос/Ответ	A-KID, AF_ID	KAF, Срок действия KAF, SUPI
Naanf_AKMA_ApplicationKey_AnonUser_Get	Запрос/Ответ	A-KID, AF_ID	KAF, Срок действия KAF	AF
Nnef_AKMA_ApplicationKey_Get	Запрос/Ответ	A-KID, AF_ID	KAF, Срок действия KAF, GPSI	AF

ETSI TS 133 535-2022 История
2024 ETSI TS 133 535-2024 5G; Аутентификация и управление ключами для приложений (AKMA) на основе учетных данных 3GPP в системе 5G (5GS) (3GPP TS 33.535 версия 18.5.0 выпуск 18)
2023 ETSI TS 133 535-2023 5G; Аутентификация и управление ключами для приложений (AKMA) на основе учетных данных 3GPP в системе 5G (5GS) (3GPP TS 33.535 версия 17.8.0 выпуск 17)
2022 ETSI TS 133 535-2022 5G; Аутентификация и управление ключами для приложений (AKMA) на основе учетных данных 3GPP в системе 5G (5GS) (3GPP TS 33.535 версия 17.7.0 выпуск 17)
2021 ETSI TS 133 535:2021 5G; Аутентификация и управление ключами для приложений (АКМА) на основе учетных данных 3GPP в системе 5G (5GS) (3GPP TS 33.535 версия 16.2.0 выпуск 16)
2020 ETSI TS 133 535-2020 5G; Аутентификация и управление ключами для приложений (AKMA) на основе учетных данных 3GPP в системе 5G (5GS) (3GPP TS 33.535 версия 16.0.0 выпуск 16)

ETSI TS 133 535-20225G; Аутентификация и управление ключами для приложений (AKMA) на основе учетных данных 3GPP в системе 5G (5GS) (3GPP TS 33.535 версия 17.7.0 выпуск 17)

Обзор технической спецификации 5G AKMA

Анализ проектирования архитектуры AKMA

Система управления ключами

Подробное описание основного процесса

Процесс формирования ключа AKMA

Процесс получения ключа приложения

Поддержка доступа анонимного пользователя

Интерфейс службы безопасности

Протокол Ua* Конфигурация

Аутентификация UE с общим ключом и аутентификация AF на основе сертификата

Взаимная аутентификация между UE и AF с общим ключом

Рекомендации по развитию технологий и внедрению

Анализ развития стандартов

Рекомендации по внедрению

Анализ сценариев применения

ETSI TS 133 535-2022 История

стандарты и спецификации

ETSI TS 133 535-2022
5G; Аутентификация и управление ключами для приложений (AKMA) на основе учетных данных 3GPP в системе 5G (5GS) (3GPP TS 33.535 версия 17.7.0 выпуск 17)