51学通信

深度解析 3GPP TS 33.501:章节 1-3 范围、参考与核心定义 (奠定安全基石)

22分钟阅读

深度解析 3GPP TS 33.501:章节 1-3 范围、参考与核心定义 (奠定安全基石)

本文技术原理深度参考了3GPP TS 33.501 V18.9.0 (2025-03) Release 18规范中,关于“Chapter 1 Scope”、“Chapter 2 References”及“Chapter 3 Definitions and abbreviations”的核心章节,旨在为读者奠定理解5G安全的坚实基础。

在上一篇概览中,我们跟随主角“安安”的脚步,鸟瞰了3GPP TS 33.501这座5G安全大厦的宏伟蓝图。我们理解了其分域治理的设计哲学和核心安全理念。从本文开始,我们将正式进入大厦内部,从地基开始,一砖一瓦地审视其构造。

今天,我们将聚焦于规范的开篇三章:范围(Scope)、引用(References)和定义(Definitions)。这三章虽然不像后续章节那样包含复杂的流程图和算法,但它们是理解整部规范的“说明书”、“参考文献”和“专业词典”。透彻理解这部分内容,对于后续深入学习至关重要。我们将继续通过安安的5G生活,将这些看似枯燥的规则和定义变得鲜活起来。

1. 解读第一章:范围(Scope)- 划定5G安全的疆域

当安安的5G手机连接网络时,她所体验到的无缝、高速且安全的服务,其背后所有的安全保障措施,都严格限定在一个明确的“疆域”内。规范的第一章,正是用来划定这个疆域的。

The present document specifies the security architecture, i.e., the security features and the security mechanisms for the 5G System and the 5G Core, and the security procedures performed within the 5G System including the 5G Core and the 5G New Radio.

这段话虽然简短,却精准地定义了TS 33.501的四大核心任务。让我们来逐一拆解:

1.1 安全架构 (Security Architecture)

这指的是5G安全的“顶层设计蓝图”。它定义了安全功能在整个5G系统中的布局,划分了不同的安全域(如我们在概览中提到的网络接入安全域、网络域安全等),并明确了不同网络实体(如UE、gNB、AMF)在安全体系中的角色和职责。

场景代入:可以将“安全架构”想象成安安所住小区的安防系统总规划图。它标明了哪里是小区大门(网络接入点),哪里需要门禁(认证),哪里需要监控摄像头(数据保护),保安亭(SEAF/AMF)和监控中心(AUSF/UDM)的位置和职责划分。

1.2 安全特性 (Security Features)

这指的是5G安全所要实现的“功能目标”,即“What”。它描述了5G系统需要具备哪些安全能力。

例如,TS 33.501定义了用户身份隐私保护、双向认证、数据机密性和完整性保护、网络切片安全等一系列安全特性。

场景代入:对应到小区的安防系统,安全特性就是“保障住户身份不被泄露”、“防止非法人员闯入”、“保障业主包裹不被偷窥或调包”等具体的功能目标。

1.3 安全机制 (Security Mechanisms)

这指的是为实现上述安全特性而采用的“技术手段”,即“How”。它是对安全特性的具体技术实现。

例如,为了实现“用户身份隐私保护”这一特性,规范设计了SUCI(订阅隐藏标识符)这一机制;为了实现“双向认证”,规范采用了5G AKA(认证与密钥协商)机制。

场景代入:为了实现“防止非法人员闯入”的特性,安防系统采用了“刷脸识别”或“密码门禁”等安全机制。

1.4 安全流程 (Security Procedures)

这指的是将上述机制串联起来,完成特定安全任务的“操作步骤”,即“When and in what order”。它详细描述了在各种场景下(如初次注册、切换、漫游),网络实体之间需要交换哪些信令、如何传递参数以及每一步的操作顺序。

场景代入:当安安回家时,她需要先走到门禁前(触发流程),进行人脸识别(执行机制),系统验证通过后(完成协商),门自动打开(流程结束)。这一整套连贯的动作,就是一个安全流程。

综上所述,第一章“范围”明确告诉我们,TS 33.501这部规范将系统性地回答关于5G安全的所有核心问题:蓝图是什么(架构)、目标是什么(特性)、用什么技术(机制)、以及如何一步步操作(流程)

2. 解读第二章:规范性引用文件(References)- 站在巨人的肩膀上

任何一部宏大的技术规范都不是凭空产生的,它必然建立在一个庞大的技术体系之上。第二章“引用文件”就是一张清单,列出了TS 33.501所依赖的所有其他技术标准。对于工程师而言,理解这张清单的结构,就是理解5G安全的技术生态。

我们无需逐一罗列所有引用,而是将其分类解读,看看5G安全都站在了哪些“巨人”的肩膀上。

2.1 5G系统架构的基石

3GPP TS 23.501: “System Architecture for the 5G System”. 3GPP TS 23.502: “Procedures for the 5G System”.

TS 23.501是5G系统的“总架构图”,定义了所有的网络功能实体(AMF, SMF, UPF等)及其相互关系。TS 23.502则定义了这些实体之间如何协作以完成各种业务流程(如注册、PDU会话建立等)。安全架构和流程必须与系统总架构和流程紧密耦合,因此这两份规范是TS 33.501最根本的依赖。

场景代入:在设计小区的安防系统前,必须先拿到小区的建筑规划图(23.501)和居民生活流程图(23.502),安防设计不能脱离建筑结构和居民的日常活动。

2.2 前代安全规范的继承与发展

3GPP TS 33.401: “3GPP System Architecture Evolution (SAE); Security architecture”.

TS 33.401是4G (EPS) 的安全规范。5G安全并非全盘创新,它继承了4G AKA认证等成熟的核心思想,并在其基础上进行了增强和改进(例如,5G AKA增强了对网络的认证)。同时,为了实现5G与4G的互通,必须参考4G的安全定义。

2.3 协议层面的具体实现

3GPP TS 24.501: “Non-Access-Stratum (NAS) protocol for 5G System (5GS); Stage 3”. 3GPP TS 38.331: “NR; Radio Resource Control (RRC); Protocol specification”.

安全流程需要通过具体的通信协议来承载。例如,认证请求、安全模式命令等消息,是在手机与AMF之间的NAS协议(24.501)中定义的;而空口的无线资源控制信令(如切换命令)的加解密,则是在RRC协议(38.331)层面实现的。

2.4 密码学与互联网协议的外部依赖 (IETF RFCs)

IETF RFC 7296: “Internet Key Exchange Protocol Version 2 (IKEv2)” IETF RFC 8446: “The Transport Layer Security (TLS) Protocol Version 1.3”. IETF RFC 5448: “Improved Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement (EAP-AKA’)“.

3GPP并不会重新发明所有轮子。对于已经非常成熟的互联网标准安全协议,3GPP会选择直接引用和适配。例如,在非3GPP接入场景中,保护UE和核心网之间数据传输的IPsec隧道,其密钥交换就依赖IKEv2协议。5G核心网内部服务化接口(SBI)的保护,则大量使用了TLS协议。而EAP-AKA’则是AKA算法在可扩展认证协议(EAP)框架下的实现。

理解这一点至关重要:一名优秀的5G安全工程师,不仅要懂3GPP,还必须对IETF定义的这些基础安全协议有深入的了解。

3. 解读第三章:定义与缩略语(Definitions and Abbreviations)- 掌握5G安全的“行话”

第三章是TS 33.501的“词典”,它定义了后续章节中将要频繁使用的关键术语和缩写。掌握这些“行话”是无障碍阅读规范的前提。我们将挑选其中最核心、最基础的几个概念,结合安安的场景进行深度解读。

3.1 身份标识:SUPI vs SUCI

subscription identifier: The SUbscription Permanent Identifier (SUPI).

subscription concealed identifier: A one-time use subscription identifier, called the SUbscription Concealed Identifier (SUCI), which contains the Scheme-Output…

  • SUPI (订阅永久标识符):这是安安在运营商处的唯一、永久的身份ID,类似于身份证号。它存储在她的USIM卡中,也存储在运营商的数据库(UDM/UDR)里。
  • SUCI (订阅隐藏标识符):这是SUPI的“隐私马甲”。安安的手机在公用无线信道上发起注册时,发送的是SUCI,而不是裸露的SUPI。

场景代入:安安的SUPI是她的真实姓名“安安”。当她在公共场合(无线空口)与网络初次“打招呼”(注册)时,她会说:“你好,我是代号‘猎鹰’的人”(SUCI)。只有网络的总部(UDM/SIDF)才知道“猎鹰”就是“安安”。下次打招呼时,她可能会换一个代号,比如“海燕”,让窃听者无法将多次通信关联到同一个人身上。

3.2 安全上下文:5G Security Context

5G security context: The state that is established locally at the UE and a serving network domain and represented by the “5G security context data” stored at the UE and a serving network.

这是5G安全中一个极其核心但又较为抽象的概念。可以将其理解为UE和网络在成功完成一次安全协商后,双方共同维护的一套“安全状态档案”。

这份档案里包含了:

  • 密钥材料:比如关键的KAMF密钥。
  • 安全能力:UE支持哪些加密和完整性算法。
  • 所选算法:本次通信实际使用的加密和完整性算法是什么。
  • 安全计数器 (COUNTs):用于防止重放攻击的序列号。

场景代入:当安安通过身份验证进入公司后,前台给了她一张临时访客卡,并记录下她的姓名、卡号、授权进入的楼层以及进出时间。这套记录和这张卡,就共同构成了安安这次访问的“安全上下文”。只要她还在公司里,她和公司的安防系统就共享这套上下文。当她从A楼走到B楼时,她只需刷卡,而无需再次出示身份证重新验证身份,这就是安全上下文的复用。

3.3 核心安全实体

SEAF: SEcurity Anchor Function.

AUSF: AUthentication Server Function.

SIDF: Subscription Identifier De-concealing Function.

  • SEAF (安全锚点功能):它位于服务网络(例如,安安当前漫游到的网络)的AMF中,是安全流程的“前线指挥官”或“本地派出所”。它直接与UE进行认证交互,接收UE的认证响应,但它自己没有能力判断响应是否正确。

  • AUSF (认证服务器功能):它位于归属网络(安安签约的运营商网络)中,是认证流程的“最高认证中心”。SEAF会将UE的响应转发给AUSF,由AUSF进行最终的裁决。认证成功后,AUSF会生成锚点密钥Kseaf并下发给SEAF。

  • SIDF (订阅标识符去隐藏功能):它位于归属网络的UDM中,是唯一的“解密者”。当网络收到UE发来的SUCI时,会将SUCI交给SIDF,由它解密出真实的SUPI。

场景代入:安安(UE)在异地出差,进入某栋大厦。

  1. 大厦的保安(SEAF)要求她出示一个加密的身份凭证(SUCI)。
  2. 保安看不懂,于是通过内部专线联系了安安公司的总部安保部(AUSF/UDM)。
  3. 总部安保部里的一位专员(SIDF)解密了凭证,确认了是“安安”。
  4. 另一位认证官(AUSF)向大厦保安(SEAF)发起一个“暗号挑战”,让保安转告给安安。
  5. 安安正确回答了暗号,保安将回答传回总部。
  6. 总部认证官(AUSF)确认回答正确,于是授权给大厦保安一把临时钥匙(Kseaf),并告诉他“这是合法员工安安”。

这个故事生动地展示了UE、SEAF、AUSF和SIDF在一次跨网认证中的角色分工与协作。

4. 总结

规范的开篇三章,虽然没有惊心动魄的技术交锋,却为我们理解整个5G安全体系打下了牢不可破的基础。

  • 第一章(范围) 定义了规范的“使命”,即全面阐述5G安全的架构、特性、机制和流程
  • 第二章(引用) 揭示了规范的“血脉”,即它根植于3GPP系统架构和流程,继承了前代安全思想,并广泛融合了IETF的成熟安全协议。
  • 第三章(定义) 授予了我们阅读规范的“钥匙”,通过精准定义SUPI/SUCI、安全上下文、SEAF/AUSF等核心概念,让我们掌握了与规范“对话”的语言。

地基已经夯实,工具也已备好。在下一篇文章中,我们将正式进入第4章和第5章的深度解读,详细分析5G安全架构的组成部分和必须满足的各项具体安全要求。

FAQ

Q1:为什么需要将TS 33.501与TS 23.501(系统架构)和TS 24.501(NAS协议)结合起来学习? A1:因为安全不是孤立的。TS 33.501定义了“应该做什么”和“为什么这么做”(安全策略和原因),而TS 23.501定义了执行这些安全功能的“角色”(网络功能NF),TS 24.501则定义了“如何传递信息”(具体的消息和参数)。不了解系统架构,就不知道安全功能由谁承担;不了解NAS协议,就不知道安全参数是如何在UE和核心网之间传递的。三者结合,才能形成从理论到实践的完整知识闭环。

Q2:5G AKA和EAP-AKA’有什么区别和联系? A2:它们都是基于USIM中密钥的认证方法,核心思想一脉相承。主要区别在于协议封装和应用场景。5G AKA是原生的5G认证方法,其流程和消息直接定义在NAS协议中。EAP-AKA’则是将AKA认证流程封装在可扩展认证协议(EAP)框架下,这使得AKA认证可以更方便地应用于多种接入网络,例如非3GPP接入(Wi-Fi)或专网中的二次认证,具有更好的通用性和扩展性。

Q3:为什么说“安全上下文 (Security Context)”是理解5G移动性安全的关键? A3:因为“安全上下文”是UE与网络之间安全关系的“状态记录”。在移动过程中,比如从一个基站切换到另一个基站,或者从4G网络移动到5G网络,核心问题就是如何快速、安全地重建或转换这种安全关系。通过传递和更新安全上下文,UE无需在每次移动时都进行完整的主认证,大大提高了移动效率,同时保证了通信的连续性和安全性。因此,理解安全上下文的创建、存储、传递和更新,是掌握5G移动性安全的核心。

Q4:为什么缩略语(Abbreviations)在通信标准中如此重要? A4:在通信标准中,概念和实体非常多,使用全称会使文档变得极为冗长和难以阅读。缩略语是一种高效的“技术速记”,它使得专家们可以用简洁的语言精确地交流复杂的技术概念。例如,用“AMF”代替“Access and Mobility Management Function”。对于学习者来说,熟记常用缩略语是提高阅读和理解规范效率的第一步。

Q5:将这三个看似基础的章节放在一起解读的目的是什么? A5:目的是构建一个坚实的学习起点。如果直接跳到复杂的安全流程,读者会因为不清楚某个术语的精确含义、不了解某个流程的边界、或不明白它所依赖的其他协议而陷入困境。通过将范围(边界)、引用(依赖)和定义(语言)这三者结合在一起,我们实际上是在进行一次“学习环境的搭建”,确保在后续深入探索时,我们拥有共同的语言、清晰的边界感和对技术生态的整体认知。

关系图谱