51学通信

深度解析 3GPP TR 21.918:22.4 AKMA phase 2 (AKMA第二阶段)

18分钟阅读

好的,我们继续解读TR 21.819的后续章节。

深度解析 3GPP TR 21.918:22.4 AKMA phase 2 (AKMA第二阶段)

本文技术原理深度参考了3GPP TR 21.918 V18.0.0 (2025-03) Release 18规范中,关于“22.4 AKMA phase 2”的核心章节,旨在为读者深入剖析5G-Advanced的应用层认证框架(AKMA)如何突破单一运营商的边界,通过支持漫游和代理模式,为全球化、分布式的物联网和垂直行业应用,构建一个无缝、高效、安全的统一认证基石。

在上一篇文章中,我们已经了解到,AKMA(Authentication and Key Management for Applications,应用认证与密钥管理)是5G时代的应用层“万能钥匙工厂”。它允许UE(用户设备)和AF(应用功能)基于5G主认证,安全地派生出一个共享的应用层会話密钥(Ka),从而将物联网应用的安全,牢牢地锚定在运营商级的SIM卡认证体系之上。

然而,Release 17定义的AKMA“第一阶段”,主要聚焦于非漫游场景,即UE和AF都属于同一个运营商(HPLMN)。这在日益全球化的今天,显然是不够的。一个在欧洲销售的智能汽车,行驶到中国时,它能否继续使用其原厂提供的、需要AKMA认证的远程控制服务?一个部署在亚马逊云(AWS)上的全球物联网平台,如何高效地为来自全球不同运营商网络下的设备,提供统一的AKMA认证服务?

为了解决这些“跨域”和“效率”的挑战,3GPP在Release 18中启动了**“AKMA第二阶段”(AKMA_Ph2)**的演进。

今天,我们的主角,是一家全球领先的网联汽车制造商的安全架构师,刘工。他负责为其全球销售的汽车,设计一套统一的、基于AKMA的车载应用安全接入方案。让我们跟随刘工的视角,深入22.4章节,看看AKMA是如何通过“漫游”和“代理”这两大“法宝”,来构建其全球安全服务体系的。

1. 突破国界:AKMA的漫游支持

刘工面临的第一个核心挑战,就是漫游(Roaming)

场景: 一辆在德国注册的、归属于德国运营商(HPLMN)的汽车,行驶到了中国,漫游在中国运营商(VPLMN)的网络下。车主想要通过手机App,远程启动车内空调。这个“远程启动”的信令,需要通过汽车的AF进行AKMA认证。此时,AF部署在德国,而汽车(UE)则在中国。

AKMA_Ph2 specifies the roaming aspects of Authentication and Key Management for Applications based on 3GPP credential in 5G (AKMA)…

22.4章节的核心,就是为这种跨国漫游场景,定义了一套标准化的AKMA流程。

  • AAnF的“跨国对话”: 在AKMA架构中,负责生成和管理AKMA密钥的核心网元是AAnF(AKMA Anchor Function)。在漫游场景下,这个流程涉及到归属网络(HPLMN)的AAnF拜访网络(VPLMN)的AAnF之间的协同。

  • 流程解读:

    1. 汽车(UE)在中国网络(VPLMN)下,向其位于德国的应用服务器(AF)发起业务请求。
    2. 德国的AF向其归属网络(HPLMN)的AAnF发起密钥请求,请求中会包含UE当前的漫游信息(例如,UE所在的VPLMN ID)。
    3. 关键一步: HPLMN的AAnF发现这是一个漫游用户,它不会直接与UE进行认证。相反,它会通过N35接口(一个专门为AKMA漫游定义的接口),将密钥请求“委托”给UE当前所在的、VPLMN中的V-AAnF
    4. V-AAnF在中国本地,与汽车(UE)之间,完成一次基于5G主认证的密钥派生计算,生成一个中间密钥。
    5. V-AAnF将这个中间密钥,安全地传回给HPLMN的AAnF。
    6. HPLMN的AAnF再基于这个中间密钥,最终为AF计算出应用会话密钥(Ka)。

  • 优势:

    • 安全: 核心的AKA认证和密钥协商,始终发生在UE和其当前所在的、受信任的拜访网络之间,避免了敏感的认证信令在国际公共网络上的长距离传输。
    • 高效: 认证流程在本地完成,延迟更低。
    • 主权遵从: 拜访网络(VPLMN)对其网络内的信令有完全的可见性和控制权,满足了部分国家的监管要求。

通过这套精密的跨国协同机制,AKMA成功地将其安全能力,从单一的国内网络,延伸到了全球漫游的每一个角落,为刘工的全球车联网应用提供了统一的安全底座。

2. 提升效率:AKMA认证代理(AP)

刘工面临的第二个挑战,是效率和可扩展性。他的公司可能与全球数百个不同的应用服务提供商(ASP)合作(如保险、租赁、内容服务等)。如果每个ASP都需要自己去对接运营商复杂、严格的AAnF接口,那将是一场“集成噩梦”。

…a new funtionality about Authentication Proxy (AP) is defined, in order to help the ASs behind the AP to execute AKMA procedures to save the consumption of signalling resources and AAnF computing resources.

为了解决这个问题,Rel-18引入了一个全新的角色——AKMA认证代理(Authentication Proxy, AP)

  • “认证网关”: AP可以被看作一个部署在AF和AAnF之间的“认证网关”或“聚合器”。它可以由汽车制造商(如刘工的公司)自己部署,也可以由一个专业的第三方信任服务提供商来运营。

  • 职责:

    • 对上(对应用): AP向背后海量的、小型的AS/AF,提供一个简化的、统一的密钥请求API。这些AS/AF不再需要关心底层复杂的AAnF接口和运营商对接细节。
    • 对下(对网络): AP作为唯一的、受信任的实体,与运营商的AAnF进行对接。它会聚合来自背后所有AS/AF的密钥请求,并进行缓存、优化,再统一地向AAnF发起请求。

  • 工作流程:

    1. 一个第三方的停车App(AS),需要为刘工公司的汽车提供服务。它不再直接连接运营商的AAnF,而是向刘工公司部署的AKMA AP发起一个简化的密钥请求。
    2. AP收到请求后,首先检查自己的缓存中,是否已经有了这辆车最近生成的AKMA密钥。
    3. 如果缓存命中,AP直接使用缓存的密钥,为停车App派生出会话密钥,整个过程无需再打扰AAnF
    4. 如果缓存未命中,AP才会代表停车App,向运营商的AAnF发起一次标准的AKMA密钥请求流程。
    5. AP在从AAnF获取到密钥后,一方面将其返回给停车App,另一方面,将其缓存起来,以备后续其他App使用。

  • 巨大优势:

    • 简化集成: 数百个ASP,只需对接一个AP,大大降低了生态系统构建的复杂度。
    • 提升效率: 通过缓存机制,AP极大地减少了对核心网AAnF的信令冲击。AAnF只需为每辆车生成一次AKMA密钥,这个密钥就可以被AP“复用”,服务于背后多个不同的应用,显著降低了网络负载和认证时延。
    • 增强控制: 刘工的公司通过运营AP,获得了对其车辆应用生态系统安全访问的中心控制点。他可以在AP上,实现更精细的访问控制策略,例如,“只允许经过认证的保险App,在车辆发生碰撞后,请求访问车辆数据”。

AKMA AP的引入,是AKMA从一个单纯的“协议”,走向一个可运营、可扩展的“平台”的关键一步。

3. 架构的演进与标准的落地

22.4章节的这些增强,并非空中楼阁,而是与3GPP其他工作组紧密协同的结果。

The AKMA architecture and procedures has been specified by SA3 in TS 33.535… This work item is to add roaming aspects and new funtionality of AP into AKMA, which follows the conclusion from the related study in TR 33.737. detailed services and API definitions are specified by CT3 in TS 29.535.

  • SA3(安全组): 负责在TS 33.535中,定义AKMA漫游和AP代理的安全架构、威胁模型和核心安全流程。
  • CT3(互通与核心网接口组): 负责在TS 29.535中,将这些安全流程,转化为标准化的、基于HTTP/2的OpenAPI接口。例如,定义AAnF之间的N35接口、AP与AAnF之间的Aa接口的具体API消息格式和参数。

正是这种从架构到协议的完整标准化,确保了不同运营商、不同设备商之间,能够实现AKMA漫游和代理的互联互通。

总结

3GPP TR 21.918的22.4章节,通过引入“漫游”和“代理”两大核心能力,成功地将AKMA从一个“局域网”的安全方案,升级为了一个“广域网”的、平台级的统一认证框架。

  • 通过支持漫游(Roaming),AKMA打破了单一运营商的地理边界,使其能够为全球化的、移动的物联网设备(如网联汽车),提供无缝、一致的应用层安全认证。
  • 通过引入认证代理(Authentication Proxy, AP),AKMA解决了大规模、多应用场景下的效率和可扩展性难题,通过“聚合”和“缓存”,极大地降低了网络信令负荷和应用集成复杂度。

对于像刘工这样的全球化企业安全架构师,AKMA Phase 2为他提供了一套近乎完美的解决方案。他可以通过部署一个全球性的AKMA AP,构建起一个统一的、自主可控的车载应用安全生态入口,既能享受运营商SIM认证带来的电信级安全,又能将复杂的网络交互细节,对上层的应用开发者完全屏蔽。

AKMA Phase 2的演进,是5G安全能力向垂直行业深度“赋能”的典范。它正在为构建一个更加开放、协同、且端到端安全的全球物联网应用生态,提供最坚实的“信任根”。

FAQ - 常见问题解答

Q1:AKMA和我们熟知的OAuth 2.0/OpenID Connect有什么关系? A1:它们解决的问题不同,但可以协同工作。OAuth 2.0/OIDC主要解决的是用户授权(Authorization)身份认证(Authentication)的问题,即“你是谁?”和“你是否同意这个App访问你的数据?”。而AKMA主要解决的是**密钥协商(Key Agreement)**的问题,即在用户身份被确认后,“如何让UE和应用服务器之间,安全地共享一个用于加密通信的密钥?”。在实际应用中,两者可以结合:一个应用可以先通过OIDC流程,完成用户的登录和授权;然后,在需要进行端到端加密通信时,再触发AKMA流程,派生出用于加密该通信的会话密钥。

Q2:在AKMA漫游场景下,归属网络(HPLMN)的AAnF为什么不直接和UE交互,而是要“委托”给拜访网络(VPLMN)的AAnF? A2:这主要是出于安全、效率和主权的考虑。1)安全:核心的5G主认证信令(基于SUCI和AKA)如果在国际公共互联网上传输,会面临更大的安全风险。将其限制在VPLMN的“可信域”内进行,更为安全。2)效率:UE与本地的V-AAnF进行交互,其信令往返时延(RTT)远低于与遥远的H-AAnF交互,认证速度更快。3)主权:拜访网络运营商(VPLMN)通常需要对其网络内发生的所有信令(特别是认证信令)有完全的可见性和管辖权,这既是技术需要,也是许多国家的法规要求。

Q3:AKMA认证代理(AP)的引入,会不会产生新的安全风险?例如,AP会不会成为一个单点故障或攻击目标? A3:会,AP的安全性至关重要。AP的引入,本质上是将“信任”从网络(AAnF)部分地转移到了AP上。因此,AP自身必须是一个高度安全、高可用的实体。1)安全风险:如果AP被攻破,攻击者可能会获取到大量缓存的密钥,或冒充AP向AAnF发起攻击。因此,AP必须部署在极其安全的环境中,并受到严格的访问控制和审计。2)单点故障:如果AP宕机,其背后所有的应用都将无法进行AKMA认证。因此,AP的部署必须采用高可用架构,如负载均衡、异地容灾等。3GPP规范也定义了AP与AAnF之间的安全协议,确保它们之间的交互是加密和认证的。

Q4:AKMA派生出的密钥(Ka),其有效期是多久? A4:Ka的有效期是可配置的,并且由AAnF在生成密钥时决定。AAnF在向AF(或AP)提供Ka的同时,会附带上这个密钥的生命周期(Lifetime)。有效期通常不会太长(例如,几小时或一天),以降低密钥泄露的风险。AF/AP需要在密钥过期前,为UE重新发起一次AKMA流程,以获取一个新的密钥。这个“密钥更新”的流程,也是AKMA框架的一部分,可以自动化地在后台完成。

Q5:AKMA是5G独有的吗?4G网络下的物联网设备能使用吗? A5:AKMA是为5G核心网(5GC)和5G认证体系设计的,是GBA在5G时代的演进。它依赖于5G的AUSF、UDM等网元以及基于SUCI的主认证流程。对于纯粹的4G网络和4G终端,它们应该使用GBA(Generic Bootstrapping Architecture)。GBA是AKMA的“前身”,其原理和目标非常相似,但它是基于4G/3G的核心网架构(HSS, BSF)和认证体系。在22.122.2章节中,规范都是同时为GBA和AKMA定义DTLS/OSCORE的协议剖析,正是为了同时覆盖4G和5G的物联网应用场景。

关系图谱