51学通信

深度解析 3GPP TS 33.501:5.4-5.8a 核心网安全“大脑” (AMF, UDM与AUSF的安全职责)

21分钟阅读

深度解析 3GPP TS 33.501:5.4-5.8a 核心网安全“大脑” (AMF, UDM与AUSF的安全职责)

本文技术原理深度参考了3GPP TS 33.501 V18.9.0 (2025-03) Release 18规范中,关于“5.4 Requirements on the ng-eNB”至“5.8a Requirements on AUSF”的核心章节,旨在为读者深入剖析5G核心网中扮演“安全大脑”角色的关键网元(AMF, UDM, AUSF)所必须承担的安全职责。

在前两篇文章中,我们已经深入探讨了5G安全体系中的“前线单位”——终端(UE)和基站(gNB)。我们了解到,它们是执行安全策略、捍卫空中接口的第一道防线。然而,这些前线单位的所有安全行动,都源于更高层级的指令和决策。今天,我们将深入5G网络的“指挥中心”,解读规范中5.4节至5.8a节的核心内容,剖析5G核心网的“安全大脑”——AMF、UDM和AUSF的安全职责。

这些网元是5G安全策略的制定者、认证流程的仲裁者以及用户隐私的终极守护者。它们的协同工作,构成了5G安全体系的中枢神经系统。

为了串联这些核心网元的复杂互动,我们的主角“安安”今天将踏上一段旅程——她正乘坐一列时速300公里的高铁。在这趟旅程中,她的手机将在不同的基站、不同的网络技术(4G/5G)之间无缝切换。与此同时,在千里之外的运营商网络操作中心(NOC),一位名叫“李工”的核心网工程师正在屏幕前监控着网络的运行。我们将通过安安的移动轨迹和李工的专业视角,来揭示这些核心网元是如何协同作战,为安安的高速移动提供不间断的安全保障的。

1. 5.4 ng-eNB的安全需求 - 接入5G核心网的4G“老兵”

在深入核心网之前,我们先快速处理一个“过渡角色”——ng-eNB。这是指那些经过软件升级后,能够接入5G核心网(5GC)的4G基站。

The security requirements for ng-eNB are as specified for eNB in TS 33.401 with the following additional requirement:

  • ng-eNB shall support the use of integrity protection with the UE over the Uu interface.

规范对ng-eNB的要求非常简洁:

  1. 基本遵循4G标准:其大部分安全需求继承自4G的安全规范TS 33.401。
  2. 一项关键增强:它必须支持在空口(Uu接口)上对信令进行完整性保护

这是一个简短但重要的章节,我们在此一并解读。它的意义在于,确保了即使UE通过4G的无线技术接入,只要核心网是5G,就必须遵循5G核心的安全原则,尤其是对信令完整性的强制要求。

场景代入:安安乘坐的高铁驶出市区,进入了一段由ng-eNB覆盖的区域。李工在监控屏幕上看到,安安的手机从gNB无缝切换到了ng-eNB。他解释道:“虽然无线技术换成了4G,但由于核心网没变,AMF依然强制要求ng-eNB对所有RRC和NAS信令进行完整性保护。这就像换了一条路,但安保标准不变,确保了安安的通信指令在任何时候都不会被篡改。”

2. 5.5 & 5.6 AMF与SEAF - 移动安全的“交通枢纽”与“前线指挥”

AMF(接入和移动性管理功能)是5G核心网的“大门”和“交通枢纽”,负责处理所有与UE接入和移动性相关的信令。而SEAF(安全锚点功能)是内嵌于AMF的一个逻辑功能,是安全流程在服务网络中的“锚点”。因此,我们将它们合并解读。

2.1 信令机密性与完整性 (5.5.1 & 5.5.2)

5.5.1 Signalling data confidentiality The AMF shall support ciphering of NAS-signalling. The AMF shall support the following ciphering algorithms: - NEA0, 128-NEA1, 128-NEA2…

5.5.2 Signalling data integrity The AMF shall support integrity protection and replay protection of NAS-signalling. … NIA0 shall be disabled in AMF in the deployments where support of unauthenticated emergency session is not a regulatory requirement.

AMF是NAS(非接入层)信令的终结点,因此它必须具备与UE对称的NAS信令保护能力。

  • 能力对等:AMF必须支持与UE相同的NAS加解密(NEA)和完整性保护(NIA)算法集。
  • 决策与执行:AMF是安全算法的选择者。它会根据UE上报的能力和自身的策略,选择一个双方都支持的最高优先级的算法组合,并通过安全模式命令(SMC)流程通知UE。
  • 完整性优先:规范再次强调,除了紧急呼叫,NIA0(空完整性算法)在AMF中应该是禁用的,所有常规NAS信令都必须进行完整性保护。

场景代入:李工指着屏幕上的信令流说:“你看,当安安的手机发起注册时,我的AMF和她的手机协商使用了128-NEA2(AES加密)和128-NIA2(AES-CMAC完整性保护)。从那一刻起,他们之间所有的‘悄悄话’(NAS信令),不仅是加密的,而且每一句都带有一个无法伪造的‘数字签名’(MAC),确保了指令的绝对安全。”

2.2 用户隐私 (5.5.3) 与SEAF的角色 (5.6)

这是AMF/SEAF最关键的安全职责之一:保护用户的身份,管理其临时身份。

5.5.3 Subscriber privacy The AMF shall support to trigger primary authentication using the SUCI. The AMF shall support assigning 5G-GUTI to the UE. The AMF shall support reallocating 5G-GUTI to UE.

5.6 Requirements on the SEAF The SEAF shall support primary authentication using SUCI.

这些需求共同描绘了AMF/SEAF在隐私保护中的“三板斧”:

  1. 处理SUCI:当一个陌生的UE(如安安刚开机时)接入网络,它会发送SUCI。AMF中的SEAF功能块会识别出这是一个需要进行主认证的请求,并以SUCI作为用户的临时身份标识,向归属网络的AUSF发起认证流程。
  2. 分配GUTI:一旦认证成功,AMF会立即为UE分配一个5G-GUTI(5G全局唯一临时标识符)。这个GUTI与特定的AMF相关联,在网络内部可以唯一地找到UE的安全上下文。
  3. 重分配GUTI:为了进一步增强隐私,防止通过长期跟踪同一个GUTI来分析用户行为,AMF应该在适当的时候(如UE每次空闲态被唤醒、或周期性更新时)为UE重新分配一个新的GUTI。

场景代入:高铁飞速行驶,安安的手机跨越了一个新的跟踪区(Tracking Area)。李工的监控系统弹出一个事件:“UE [安安的旧GUTI] 已进入新TA,重新分配GUTI”。李工解释说:“这是AMF的常规操作。就像安安的‘数字汽车’开进了一个新区,我们马上给她换了一个新的‘车牌号’(GUTI)。这样,即使有人一直在监视旧车牌,现在也跟丢了。这就是通过不断更换临时身份来实现的隐私保护。”

3. 5.7 Void - 规范中的占位符

5.7 Void

规范的5.7节为空白(Void),在此特别说明以保持解读的完整性,我们直接进入下一节。

4. 5.8 & 5.8a UDM与AUSF - 归属网络的“终极守护者”

如果说AMF是服务网络的安全核心,那么UDM和AUSF就是整个5G体系安全信任的根源,它们都位于用户的归属网络(HPLMN)中。

4.1 UDM的安全需求 (5.8) - 用户的“数字档案库”与“身份解密人”

UDM(统一数据管理)存储着所有用户的签约数据和安全凭证。

5.8.1 Generic requirements The long-term key(s) used for authentication and security association setup purposes shall be protected from physical attacks and shall never leave the secure environment of the UDM/ARPF unprotected.

  • 根密钥的终极守护:用户的长期密钥K,即AKA认证的根密钥,被安全地存放在UDM内部的一个逻辑功能ARPF(认证凭证库和处理功能)中。这个环境必须是物理和逻辑上都绝对安全的“金库”,密钥K永远不能以明文形式离开这里。

5.8.2 Subscriber privacy related requirements to UDM and SIDF The SIDF is responsible for de-concealment of the SUCI and shall fulfil the following requirements:

  • The SIDF shall be a service offered by UDM.
  • The SIDF shall resolve the SUPI from the SUCI based on the protection scheme used to generate the SUCI.
  • SUCI的唯一解密者:UDM内部集成了SIDF(订阅标识符去隐藏功能),它拥有解密SUCI所需的私钥。当AUSF收到一个来自服务网络的SUCI认证请求时,它会调用UDM的SIDF服务,将SUCI“翻译”成真实的SUPI。这是整个隐私保护机制能够成立的关键。

4.2 AUSF的安全需求 (5.8a) - 认证流程的“最高法官”

AUSF(认证服务器功能)是执行认证算法、做出认证判决的权威机构。

The Authentication server function (AUSF) shall handle authentication requests for both, 3GPP access and non-3GPP access. The AUSF shall provide SUPI to the VPLMN only after authentication confirmation if authentication request with SUCI was sent by VPLMN. The AUSF shall inform the UDM that a successful or unsuccessful authentication of a subscriber has occurred.

AUSF的职责清晰明了:

  1. 处理认证请求:无论是来自3GPP接入(如蜂窝)还是非3GPP接入(如Wi-Fi),只要是需要AKA认证的,最终都会汇集到AUSF这里。
  2. 有条件地提供SUPI:只有在认证成功之后,AUSF才能将从UDM获取的明文SUPI告知服务网络(VPLMN)的AMF。这确保了在身份被确认之前,用户的真实身份不会在服务网络中暴露。
  3. 向UDM报告结果:认证无论成功与否,AUSF都必须将结果(成功或失败)通知给UDM。这一步至关重要,它形成了一个安全闭环,让UDM能够记录用户的认证历史,用于安全审计、欺诈检测,以及后续的密钥管理。

场景代入:当安安的手机发起注册时,李工所在的服务网络AMF(内含SEAF)将SUCI和认证请求,通过SEPP跨国路由到了安安归属的中国运营商核心网。

  1. 请求首先到达AUSF。AUSF看不懂SUCI,于是调用UDM的SIDF服务,得到了安安的SUPI。
  2. AUSF根据SUPI,再次请求UDM/ARPF生成一套认证向量。
  3. AUSF将认证向量(挑战)发回给李工的AMF,AMF再发给安安的手机。
  4. 安安的手机正确响应后,李工的AMF将响应结果传回给AUSF。
  5. AUSF对比响应结果与期望值,确认一致。认证成功
  6. AUSF执行两项关键动作: a. 向李工的AMF发送一个包含锚点密钥Kseaf和明文SUPI的成功响应。 b. 向自己的搭档UDM发送一条“结果确认”消息,告知:“安安刚刚在日本网络成功认证”。

至此,一个完整、安全、且保护隐私的跨国主认证流程宣告完成。

5. 总结

通过本章的解读,我们厘清了5G核心网中几个关键“大脑”的安全职责,它们形成了一个分工明确、层层递进的安全协作体系:

  • ng-eNB (5.4) 作为过渡角色,确保了即使在4G无线接入下,5G核心网的安全原则依然得到贯彻。
  • AMF/SEAF (5.5, 5.6) 作为服务网络的“枢纽”和“前线”,负责执行安全策略、管理移动性中的安全上下文、以及捍卫用户的位置和临时身份隐私。
  • UDM/SIDF (5.8) 作为归属网络的“档案库”,是用户长期密钥和隐私解密密钥的终极守护者。
  • AUSF (5.8a) 作为归属网络的“认证法官”,是所有认证请求的最终仲裁者,并负责形成安全审计的闭环。

正是这些“大脑”的协同工作,才使得像安安这样的普通用户,即使在高速移动和跨国漫游的复杂场景下,也能享受到无感、连续且高度安全的5G服务。

FAQ

Q1:AMF和SEAF到底是什么关系?为什么有时候说AMF,有时候说SEAF? A1:SEAF(安全锚点功能)是AMF(接入和移动性管理功能)的一个逻辑功能组成部分。你可以把AMF想象成一个功能强大的“部门”,而SEAF是这个部门里专门负责处理“安全接入”事务的“小组”。在3GPP规范的语境中,当强调与UE认证流程直接交互、作为安全上下文在服务网络中锚点的角色时,会使用SEAF;而当描述更广泛的移动性管理、连接管理以及作为SEAF的载体时,会使用AMF。在实际部署中,SEAF的功能是实现在AMF网元实体中的。

Q2:为什么AMF需要频繁地为UE重新分配GUTI?这不会很麻烦吗? A2:这是保护用户位置隐私和行为隐私的关键措施。GUTI是UE在网络中的临时身份。如果一个GUTI长时间不变,攻击者就可以在不同的地点通过监听空口信令,持续追踪这个GUTI,从而勾勒出用户的行动轨迹。通过频繁更换GUTI,网络可以有效切断这种关联性,使得追踪变得极为困难。这个过程对用户是完全透明的,由网络自动完成,虽然会增加一些信令开销,但对于隐私保护来说是值得的。

Q3:UDM和AUSF都在归属网络,为什么要把存储密钥和执行认证的功能分开? A3:这是基于“职责分离”和“最小权限”的安全设计原则。UDM的核心职责是统一数据管理,它像一个庞大的数据库,存储着所有用户的签约数据,包括身份、业务权限、策略以及安全凭证(由ARPF保管)。它的主要功能是“存储和提供数据”。而AUSF的职责是认证服务,它是一个计算密集型的功能,专门负责执行认证算法和做出判决。将两者分开有几个好处:1) 扩展性:可以根据认证请求的负载独立扩展AUSF,而无需改动庞大的UDM。2) 安全性:AUSF只在需要时向UDM请求认证向量,它本身不存储用户的长期密钥K,降低了密钥泄露的风险。3) 架构清晰:数据存储和业务逻辑处理分离,是现代服务化架构的标准实践。

Q4:如果一个AMF宕机了,我的安全上下文会丢失吗?重新连接到新的AMF时需要做什么? A4:UE的安全上下文(包含KAMF等关键密钥)在UE侧和AMF侧都有存储。如果一个AMF宕机,当您的手机重新发起注册并被分配到一个新的AMF时,新AMF会发现自己没有您的安全上下文。此时,它会利用您之前由旧AMF分配的GUTI,向UDM查询,或者如果网络有相应的机制,会尝试从旧AMF(如果它恢复了的话)获取您的上下文。如果能够成功获取,就可以恢复会话。如果无法获取(例如,旧AMF彻底损坏),新AMF将无法验证您的身份,此时它会强制发起一次全新的主认证流程,就像您初次开机一样,通过AUSF和UDM重新建立一套全新的安全上下文。

Q5:为什么规范里多次提到,对于一些操作(如禁用NIA0、禁止AUSF在认证成功前提供SUPI),要排除“紧急呼叫”的场景? A5:这是“安全”与“可用性”之间的一个重要权衡,体现了“生命安全优先”的原则。在任何情况下,保障用户能够成功发起紧急呼叫是移动通信网络的最高优先级任务之一。如果在紧急情况下,因为认证失败、SIM卡损坏、或者任何安全策略的限制而导致无法呼叫,后果是不可接受的。因此,规范在设计这些严格的安全规则时,几乎总会留一个“紧急出口”,即在识别到是紧急呼叫时,可以绕过某些常规的安全检查,甚至使用空算法,以确保呼叫能够以最大可能被接通。

关系图谱