51学通信

深度解析 3GPP TS 33.501:17-30 (Annexes A-C) 密钥派生、EAP与隐私保护

22分钟阅读

好的,我们继续深入解读3GPP TS 33.501规范。

深度解析 3GPP TS 33.501:17-30 (Annexes A-C) 密钥派生、EAP与隐私保护

本文技术原理深度参考了3GPP TS 33.501 V18.9.0 (2025-03) Release 18规范中,关于“Annex A: Key derivation functions”、“Annex B: Using additional EAP methods for primary authentication”和“Annex C: Protection schemes for concealing the subscription permanent identifier”的核心章节,旨在为读者深入剖析5G安全体系背后的“密码学引擎”——揭示密钥是如何从“种子”一步步“炼成”的,以及用户隐私是如何通过先进的加密方案得到保障的。

在前面的系列文章中,我们已经详细探讨了5G安全的“是什么”(架构与需求)和“怎么做”(流程)。我们反复提到,某个密钥是从另一个密钥“派生”而来的,用户的SUPI是被“加密隐藏”的。然而,这些“派生”和“加密”的具体过程,如同一个神秘的“黑盒子”,我们一直未曾打开。

今天,我们将深入规范的“附录区”,打开这几个至关重要的“密码学黑盒子”。我们将要解读的附录A、B、C,是整部33.501规范的数学基础和算法核心。它们虽然是附录,但其内容却是规范性的(Normative),是所有设备商和运营商都必须严格遵守的实现准则。

  • 附录A 密钥派生函数:这是5G“信任之树”的“基因图谱”。它详细定义了从K_AUSFK_gNB再到K_SN,每一个密钥派生的具体函数、输入参数和编码方式。
  • 附录B EAP方法的扩展:展示了5G认证框架的强大灵活性。除了标准的EAP-AKA’,它还以EAP-TLS为例,展示了如何将基于证书的认证无缝集成到5G主认证流程中。
  • 附录C SUPI隐藏方案:这是5G隐私保护的“皇冠上的明珠”。它详细定义了隐藏SUPI的ECIES(椭圆曲线集成加密方案),揭示了SUCI生成的具体加密过程。

为了让这些高度技术性的内容变得可以理解,我们将以核心网工程师“李工”开发和调试一个安全模块的视角,来一步步剖析这些算法和流程。

1. Annex A: 密钥派生函数 (Key Derivation Functions) - “信任”的炼金术

附录A是5G密钥体系的“实现手册”。它规定,所有5G密钥的派生,都必须使用一个统一的、在TS 33.220中定义的密钥派生函数(KDF)。这个KDF本质上是基于HMAC-SHA-256构建的。附录A的核心任务,就是为我们在6.2.1节看到的每一个派生步骤,都提供精确的“配方”。

A.1 KDF interface and input parameter construction This clause specifies how to construct the input string, S, and the input key, KEY, for each distinct use of the KDF.

KDF的调用形式可以简化为 Output_Key = KDF(KEY, S),其中:

  • KEY:输入的父密钥。
  • S:一个精心构造的输入字符串,包含了这次派生的所有上下文信息。

S的构造是关键,它通常由一系列的“参数对”(P_i, L_i)和一个功能码FC组成,其中P_i是参数值,L_i是其长度。

1.1 K_AUSF 和 K_SEAF 的派生

A.2 KAUSF derivation function (for 5G AKA) FC = 0x6A; P0 = serving network name; L0 = length…; P1 = SQN ⊕ AK; L1 = length…; KEY = CK || IK.

  • K_AUSF (5G AKA场景)KDF的输入KEYCK || IK,输入字符串S则包含了serving network name和经过异或处理的序列号SQN ⊕ AK。这确保了K_AUSF与特定的认证事件和服务网络绑定。

A.6 KSEAF derivation function FC = 0x6C; P0 = ; L0 = length…; KEY = KAUSF.

  • K_SEAF:它的派生相对简单。KDF的输入KEYK_AUSF,输入字符串S中包含了serving network name这一步再次将服务网络名“注入”密钥链,是实现密钥与服务网络强绑定的关键所在。

1.2 K_AMF 的派生

A.7 KAMF derivation function FC = 0x6D; P0 = SUPI or NAI…; L0 = length…; P1 = ABBA parameter; L1 = length…; KEY = KSEAF.

  • K_AMF:它的派生引入了两个新的关键参数。KDF的输入KEYK_SEAF,输入字符串S则包含了:
    • SUPI:将用户的永久身份绑定到K_AMF中,确保了K_AMF的唯一性。
    • ABBA:一个用于支持安全能力协商的参数,用于防降级攻击。

1.3 K_gNB 和 K_N3IWF 的派生

A.9 KgNB, KWAGF, KTNGF, KTWIF and KN3IWF derivation function FC = 0x6E; P0 = Uplink NAS COUNT; L0 = length…; P1 = Access type distinguisher; L1 = length…; KEY = KAMF.

  • AS层密钥的父密钥:无论是用于3GPP接入的K_gNB,还是用于非3GPP接入的K_N3IWF,它们都使用同一个派生函数。KDF的输入KEYK_AMF,输入字符串S则包含了:
    • Uplink NAS COUNT:这就是我们在6.8节中提到的,利用NAS计数器作为“新鲜性”来源的核心机制。
    • Access type distinguisher:“接入类型区分符”。这是一个1字节的参数,0x01代表3GPP接入(用于派生K_gNB),0x02代表非3GPP接入(用于派生K_N3IWF)。这个参数实现了密钥的用途分离,确保了即使所有其他输入都相同,为不同接入类型派生的密钥也是完全不同的。

场景代入: 李工在调试AMF的密钥派生模块。

  • 当需要派生K_gNB时,他的代码会调用 KDF(K_AMF, S),其中S的构造包含了 FC=0x6E, 当前的Uplink NAS COUNT,以及 Access type=0x01
  • 而当需要为同一个UE的Wi-Fi接入派生K_N3IWF时,他的代码会使用完全相同的K_AMFNAS COUNT,但将Access type改为0x02。 正是这个小小的1字节参数,确保了蜂窝链路和Wi-Fi隧道的安全上下文在密码学上是完全隔离的。

2. Annex B: Using additional EAP methods - 认证框架的开放性

附录B虽然是信息性的(Informative),但它极具启发意义,充分展示了5G认证框架的灵活性。它以EAP-TLS为例,说明了如何将一个非AKA类型的、基于数字证书的认证方法,无缝地集成到5G的主认证流程中。

B.2.1.1 Security procedures The procedure below is based on the unified authentication framework from the present document… The procedure for EAP-TLS with TLS 1.2 is presented here as an example…

核心流程 (Figure B.2.1.1-1)

  1. UE SEAF AUSF UDM:流程的前半段与标准流程完全相同。UE发送SUCI,请求被逐级转发。
  2. UDM决策:UDM查询用户档案,发现该用户(例如,一个企业专网设备)配置的认证方法是EAP-TLS
  3. AUSF启动EAP-TLS:AUSF不再生成AKA向量,而是向SEAF/UE发送一个EAP-Request/EAP-TLS [TLS start]消息,启动了标准的TLS握手流程。
  4. TLS握手隧道:接下来,一系列的TLS消息(ClientHello, ServerHello, Certificate, ClientKeyExchange等)被封装在EAP消息中,在UE和AUSF之间来回传递。SEAF在此过程中仍然扮演“透明信使”的角色。
  5. 双向证书认证:在这个TLS握手过程中,UE会验证AUSF的服务器证书,AUSF也会验证UE的客户端证书,从而完成双向认证。
  6. 密钥派生:TLS握手成功后,UE和AUSF会协商出一个EMSK (Extended Master Session Key)
  7. 后续流程复用:从EMSK开始,后续的密钥派生流程与EAP-AKA’完全相同!AUSF使用EMSK的前256位作为K_AUSF,然后派生出K_SEAF,下发给SEAF。后续K_AMF的派生也完全复用A.7的定义。

附录B的意义在于,它雄辩地证明了5G认证框架的“上层逻辑与具体方法解耦”的设计哲学。无论底层是基于SIM卡的AKA,还是基于证书的TLS,上层的密钥体系(从K_AUSF开始)和安全上下文管理流程都是统一的

3. Annex C: SUPI隐藏方案 - 隐私保护的“黑科技”

附录C是规范性的,它详细定义了5G如何实现其最重要的隐私保护特性——SUPI隐藏。除了简单的null-scheme(即不加密),其核心是定义了基于**ECIES(Elliptic Curve Integrated Encryption Scheme,椭圆曲线集成加密方案)**的加密机制。

C.3 Elliptic Curve Integrated Encryption Scheme (ECIES) The use of ECIES for concealment of the SUPI shall adhere to the SECG specifications…

核心原理:椭圆曲线DH密钥交换 + 对称加密 ECIES是一种混合加密方案,它巧妙地结合了非对称加密和对称加密的优点。

  1. 非对称部分 (密钥协商)
    • 运营商生成一对长期的椭圆曲线公私钥对 (HN Public/Private Key)。公钥被预置在所有用户的USIM卡中。
    • 当UE需要生成SUCI时,它会临时生成一对属于自己的椭圆曲线临时公私钥对 (UE Ephemeral Public/Private Key)
    • UE使用自己的临时私钥和运营商的长期公钥,通过椭圆曲线Diffie-Hellman(ECDH)算法,计算出一个共享密钥**Z**。
  2. 对称部分 (加密与签名)
    • UE使用这个共享密钥Z作为“种子”,通过KDF派生出会话所需的对称加密密钥**EK和MAC密钥MK**。
    • UE使用EK通过对称加密算法(如AES-CTR)加密SUPI的明文(MSIN部分),得到密文**C**。
    • UE使用MK通过MAC算法(如HMAC-SHA-256)对密文C进行计算,得到MAC值**T**。
  3. SUCI的组成:最终的SUCI(的Scheme Output部分)由三部分拼接而成:UE的临时公钥 + 密文C + MAC值T

C.3.3 Processing on home network side …the home network shall use the received ECC ephemeral public key of the UE and the private key of the home network.

解密过程

  1. 归属网络的UDM/SIDF收到SUCI后,从中分离出这三部分。
  2. 它使用收到的UE的临时公钥和自己保管的运营商长期私钥,通过ECDH算法,计算出与UE完全相同的共享密钥**Z**。
  3. 它使用Z派生出相同的EKMK
  4. 它首先使用MK对密文C进行MAC校验,验证T是否正确。校验通过,说明SUCI未被篡改。
  5. 最后,它使用EK解密C,还原出SUPI的明文。

ECIES方案的优势

  • 前向安全:由于UE每次都使用临时的密钥对,即使攻击者在未来某天破解了运营商的长期私钥,他也无法解密之前截获的SUCI通信。
  • 高效率:只在密钥协商阶段使用开销较大的非对称算法,实际的数据加密使用高效的对称算法。

场景代入: 李工正在编写一个SUCI解密的测试程序。他的程序严格按照附录C的步骤:从输入的SUCI中解析出UE的临时公钥、密文和Tag,然后加载运营商的私钥,执行ECDH运算得出共享密钥,再派生出会话密钥,先验MAC,后解密。当程序成功地从一长串看似乱码的SUCI中解出正确的IMSI时,他深刻地感受到了5G隐私保护背后密码学的精妙与强大。

4. 总结

本章我们深入探索了规范附录中的三大“密码学引擎”,它们是5G安全体系得以运转的数学和算法基础。

  • 附录A (密钥派生):为“信任之树”的每一步生长都提供了精确、唯一的“配方”。通过FC码、Access Type等参数的巧妙运用,实现了密钥的用途分离和上下文绑定,是整个密钥体系的“实现蓝图”。
  • 附录B (EAP-TLS示例):雄辩地证明了5G认证框架的开放性和灵活性。它展示了5G安全如何与更广泛的IT身份认证生态(如PKI体系)无缝融合,为专网和垂直行业应用打开了大门。
  • 附录C (SUPI隐藏方案):通过标准化的ECIES加密方案,为5G的旗舰级隐私保护特性——SUCI,提供了坚实的密码学保障。它所实现的“前向安全”和高强度加密,是5G能够自信地宣称其能有效对抗大规模被动追踪的底气所在。

这三大附录,如同一本“武功秘籍”的心法部分,它们虽然不像正文中的流程那样直观,但却蕴含着5G安全设计的最高智慧。理解了它们,我们才算真正从“知其然”迈向了“知其所以然”。

FAQ

Q1:密钥派生函数(KDF)中的FC(Function Code)和各种Distinguisher的作用是什么? A1:它们的核心作用都是**“领域分离”(Domain Separation)**。在密码学中,一个密钥或一个函数如果被用于多种不同的目的,可能会引入难以预料的安全漏洞。通过引入这些唯一的、固定的区分符,可以确保:

  • FC:保证用于派生K_SEAFFC=0x6C)的KDF运算,与用于派生K_AMFFC=0x6D)的运算,在密码学上是完全不同的“函数”,即使它们的输入密钥和部分参数相同。
  • Distinguisher:保证使用同一个函数(如FC=0x6E)时,为3GPP接入(distinguisher=0x01)派生的密钥,与为非3GPP接入(distinguisher=0x02)派生的密钥,在密码学上是完全不同的。 这就像在银行的保险箱钥匙上刻上“一号金库专用”或“二号金库专用”的字样,防止钥匙被误用或被用于跨库攻击。

Q2:EAP-TLS需要UE持有客户端证书,这对设备管理意味着什么? A2:这意味着企业或专网的设备管理将从基于SIM卡的身份管理,转向基于PKI(公钥基础设施)的证书生命周期管理。IT部门需要:

  1. 证书签发:为每一台设备(如“智行一号”)签发一个唯一的数字证书,并安全地将其部署到设备上。
  2. 证书存储:设备需要有安全的存储区域(如TPM芯片)来保护证书的私钥。
  3. 证书吊销:当设备丢失、损坏或退役时,IT部门必须能及时地吊销其证书,并通过CRL(证书吊销列表)或OCSP(在线证书状态协议)机制,将吊销状态通知给AUSF。 这套体系虽然比SIM卡管理更复杂,但它能与企业现有的IT安全基础设施(如Windows AD CS)深度集成,实现统一的身份管理。

Q3:为什么SUCI要使用ECIES这种相对复杂的混合加密方案,而不是直接用运营商公钥进行RSA加密? A3:主要出于性能前向安全的考虑。

  • 性能:RSA等非对称加密算法的计算开销非常大,尤其是在资源受限的UE上。如果直接用RSA加密SUPI,会消耗更多的计算时间和电量。而ECIES只在密钥协商阶段使用一次计算开销较小的椭圆曲线(ECC)运算,后续的数据加密使用高效的对称加密,整体性能更优。
  • 前向安全 (Forward Secrecy):这是ECIES(以及所有基于临时密钥交换的方案)相比直接RSA加密的核心优势。在ECIES中,真正的会话密钥是从UE的临时密钥派生而来的。即使未来某天运营商的长期私钥泄露,攻击者也只能解密从那一刻起的SUCI,而无法解密过去截获的所有SUCI,因为他没有过去那些UE生成的一次性的临时私钥。而如果直接用RSA加密,一旦长期私钥泄露,所有历史通信都将被解密。

Q4:附录C中提到了Profile A (Curve25519) 和 Profile B (secp256r1),它们是什么? A4:它们是ECIES方案中具体使用的两条不同的椭圆曲线

  • Curve25519 (Profile A):是一条现代设计的、以其高安全性和高性能著称的曲线,在互联网安全协议(如TLS 1.3)中被广泛应用。
  • secp256r1 (Profile B):也称为NIST P-256,是由美国国家标准与技术研究院(NIST)标准化的曲线,应用历史更悠久,在工业界有广泛的硬件支持。 3GPP同时标准化这两条曲线,是为了提供选择的灵活性,并与更广泛的密码学生态保持一致。UE和UDM需要协商并使用双方都支持的Profile。

Q5:这些附录的内容是每个5G安全工程师都必须掌握的吗? A5:这取决于工程师的角色。

  • 对于协议栈开发、芯片设计、核心网NF开发等底层研发工程师,必须精通这些附录的每一个细节,因为他们需要将这些算法和编码规则转化为实际的代码和硬件实现。
  • 对于网络规划、运维、安全策略管理等高层工程师,不一定需要手写KDF函数或ECIES加密,但强烈建议理解其核心原理。理解了密钥是如何派生、SUCI是如何加密的,才能更好地配置安全策略、分析安全告警、排查疑难问题,并对5G安全体系的强度和边界有更深刻的认识。

关系图谱