51学通信

深度解析 3GPP TS 33.501:7A 可信非3GPP接入安全 (Trusted Non-3GPP Access)

19分钟阅读

好的,我们继续深入解读3GPP TS 33.501规范。

深度解析 3GPP TS 33.501:7A 可信非3GPP接入安全 (Trusted Non-3GPP Access)

本文技术原理深度参考了3GPP TS 33.501 V18.9.0 (2025-03) Release 18规范中,关于“7A Security for trusted non-3GPP access to the 5G core network”的核心章节,旨在为读者深入剖析5G融合安全体系中,针对“可信”Wi-Fi等网络的简化、高效的安全接入机制。

在上一篇文章中,我们详细探讨了当UE通过一个“不可信”的公共Wi-Fi接入5G核心网时的安全流程。我们了解到,5G通过构建一条强大的IPsec“装甲隧道”,完全无视了底层Wi-Fi网络的安全性,从而确保了端到端的安全。然而,在某些场景下,我们并非对接入网络一无所知。

今天,我们将深入解读规范的第7A章——可信非3GPP接入安全。这一章将为我们揭示,当接入网络本身就具备相当高的安全可信度时,5G安全体系是如何“智能”地卸下部分“重甲”,采用一套更轻量、更高效的“简装”流程,来兼顾安全与效率的。我们将了解到:

  • 相比“不可信”接入,可信接入的安全模型有何本质不同?
  • TNGF这个新的“可信网关”与N3IWF有何区别?
  • 安全流程是如何被简化的?IPsec的角色发生了什么变化?

为了生动地展现这一场景,我们的主角“安安”今天来到了她公司的办公园区。公司与运营商深度合作,部署了一套企业级的、符合3GPP安全标准的安全Wi-Fi网络。当安安进入园区,她的手机自动、无感地从室外的5G蜂窝网络切换到了内部的“可信”Wi-Fi网络上,她的高清视频会议丝毫未受影响。这场看似平静的切换背后,正是一套为“可信”环境量身定制的、高效的安全接入机制在发挥作用。

1. 7A.1 通用原则 - “信任”的基石与模型的变革

7A.1 General Security for trusted non-3GPP access to the 5G Core network is achieved when the UE registers to the 5GC via the TNAN. The security relies on Layer-2 security between UE and TNAP, which is a trusted entity so that no IPSec encryption would be necessary between UE and TNGF, i.e. NULL encryption is sufficient for the user plane and signalling. However, integrity protection would be provided.

核心思想:信任下沉,安全简化 可信接入安全模型的核心思想,与不可信接入截然相反。它不再无视底层网络,而是充分信任并利用底层接入网络(特别是L2链路层)自身的安全性

  • 信任的基石:UE与TNAP(可信非3GPP接入点,即安安公司的安全AP)之间的L2链路(如802.1X/EAP保护的Wi-Fi链路)被认为是安全的
  • 安全目标的转变:既然L2链路已经是加密的,那么在上层(IP层)建立一条全加密的IPsec隧道就显得多余了。因此,安全目标从“在不可信链路上构建一条可信隧道”,转变为“在已可信的链路上,如何高效地完成5G认证并保护信令完整性”。
  • IPsec角色的变化:IPsec不再是“重型装甲”,而更像是一个“防伪封条”。规范指出,IPsec的加密可以为NULL(空加密),但完整性保护仍然需要。

新的网络实体:TNGF 在可信接入场景中,核心网侧的网关不再是N3IWF,而是一个新的实体——TNGF(可信非3GPP网关功能)。它负责终结来自UE的EAP认证,并将NAS消息转发给AMF。

场景代入: 安安的手机连接到公司Wi-Fi后,识别出这是一个“可信”网络。它知道,接下来的通信,Wi-Fi链路本身已经提供了加密保护,就像走在一条有保安巡逻的“内部专用道路”上。因此,它后续与核心网建立的IPsec隧道,主要目的是为了“验明正身”和“防止篡改”,而不再需要对数据进行重复的加密。

2. 7A.2.1 可信接入认证流程 - 更轻量、更直接的“握手”

本节的核心,是定义UE如何通过可信网络,与核心网完成认证和注册。这个流程虽然在步骤上与不可信接入有相似之处,但在协议封装和实现上更为直接和轻量。

我们将参照规范中的 Figure 7A.2.1-1: Registration \ Authentication and PDU Session establishment for trusted non-3GPP access 来拆解这个流程。

阶段一:基于L2的EAP-5G认证

与不可信接入将EAP-5G封装在IKEv2中不同,可信接入将EAP-5G直接承载在**链路层(L2)的EAPoL(EAP over LAN)**等协议之上。

Steps 2-3. An EAP authentication procedure is initiated. EAP messages shall be encapsulated into layer-2 packets, e.g. into IEEE 802.11/802.1x packets… Steps 4-10. An EAP-5G procedure is executed as specified in clause 7.2.1 with the following modifications: - The EAP-5G packets shall not be encapsulated into IKEv2 packets.

解读

  1. L2连接与EAP发起 (Step 1-3):安安的手机与公司的安全AP(TNAP)建立802.11连接。AP随即发起802.1X认证,要求UE通过EAP协议表明身份。UE回应一个包含其身份(NAI格式的SUCI)的EAP消息。
  2. EAP-5G的“裸奔” (Step 4-10):TNAP将EAP消息通过AAA协议(如RADIUS)转发给TNGF。从TNGF开始,一个与7.2节逻辑上完全相同的EAP-5G流程被触发。核心区别在于,这些EAP-5G消息(包含NAS信令的“集装箱”)现在是直接封装在L2/AAA协议中在UE、TNAP、TNGF之间传递,全程没有IKEv2的参与。
  3. 核心网认证:TNGF从EAP-5G消息中提取出NAS消息,发往AMF。AMF与AUSF/UDM完成主认证,流程与之前完全相同。
  4. K_TNGF的派生:认证成功后,AMF会从K_AMF派生出一个专用于可信接入的密钥——K_TNGF(等同于K_N3IWF,但在可信场景下使用)。这个密钥会被下发给TNGF。

场景代入: 安安的手机与公司AP的交互,就像一次“当面盘问”,而不是“远程函询”。

  • AP:“你是谁?”
  • 手机:“这是我的‘加密名片’(SUCI),请转交给你们总部。”(EAPoL消息)
  • AP将名片通过内部邮件系统(AAA协议)发给TNGF“前台”。
  • TNGF“前台”打开名片,看到里面的5G NAS注册请求,立即上报给AMF“安保中心”。
  • 后续的认证流程在核心网内部完成。全程通信直接、高效,没有IKEv2那套复杂的隧道建立开销。

阶段二:建立“防伪”IPsec SA (Step 13-14)

尽管L2链路是加密的,5G仍然需要在IP层建立一个IPsec SA来提供端到端的完整性保护IP地址的锚定

Step 13. The UE shall initiate an IKE_INIT exchange with the TNGF. … subsequently, the UE shall initiate an IKE_AUTH exchange… The common KTIPSec is used for mutual authentication. … NULL encryption is negotiated… Step 14. After the NWt connection is successfully established, the TNGF responds to AMF with an N2 Initial Context Setup Response message.

解读

  1. K_TIPSec的生成:在EAP-5G流程成功后,UE和TNGF都拥有了K_TNGF。它们会使用这个K_TNGF作为父密钥,派生出一个专门用于IPsec认证的密钥——K_TIPSec(见规范Annex A.22)。
  2. IKEv2协商:此时,UE会向TNGF发起一次标准的IKEv2交换。在IKE_AUTH阶段,双方使用K_TIPSec作为预共享密钥(PSK)来完成双向认证。
  3. 协商NULL加密:在协商IPsec策略时,双方会明确协商使用NULL加密算法,但使用一个强完整性算法(如AES-GMAC)。
  4. IPsec SA (NWt) 建立:协商完成后,一条只提供完整性保护、不提供机密性保护的IPsec SA(被称为NWt)就在UE和TNGF之间建立起来了。

场景代入: 认证成功后,安安的手机和TNGF都有了一把“高级别密钥”K_TNGF

  • 手机对TNGF说:“我们用K_TNGF做个‘信物’,派生出一把‘IP层专用钥匙’K_TIPSec吧。”
  • TNGF:“同意。”
  • 手机:“现在,我们用这把K_TIPSec作为密码,建立一条IPsec通道。不过,这条通道不用加密了(NULL加密),因为我们的Wi-Fi链路已经很安全了。但是,每个数据包都必须用K_TIPSec签个名(完整性保护),防止有人在中间捣乱。”
  • TNGF:“同意。”
  • 一条轻量级的“防伪通道”就此建立。后续的Registration Accept消息和所有用户数据,都将在这个通道中传输。

3. 7A.2.3 可信接入的密钥体系 - 一根主干,两根分叉

The key KTNGF received from AMF is used for two different purposes; to setup IPSec SAs between the UE and the TNGF and to create WLAN keys between the UE and the TNAP. To separate the keys for these purposes, the key hierarchy in Figure 7A.2.3-1 shall be used. The KTIPSec key is used to setup IPSec SAs and the KTNAP key is used to setup access security.

解读: 可信接入的密钥体系,在K_AMF派生出K_TNGF之后,出现了一个重要的“分叉”:

  • K_TNGF:从AMF下发给TNGF的“父密钥”。
  • K_TIPSec:从K_TNGF派生而来,专门用于UE和TNGF之间建立IPsec SA
  • K_TNAP:同样从K_TNGF派生而来,由TNGF下发给TNAP(Wi-Fi AP)。它被用作L2链路层的密钥材料。例如,在802.11i (WPA2/3)中,它可以作为PMK(Pairwise Master Key),用于后续的4次握手,生成最终用于空口数据加密的密钥。

这个“分叉”设计,完美地体现了密钥用途分离的原则。同一个父密钥K_TNGF的信任,被安全地扩展到了两个不同的协议层面(IP层的IPsec和L2层的Wi-Fi安全),并且由两把不同的、互不关联的子密钥来承载,实现了安全域的隔离。

4. 总结

本章深入探讨的7A章节,为我们揭示了5G安全在面对不同信任环境时的适应性高效性

  • 信任下沉,效率提升:通过信任底层L2网络的安全性,可信接入流程省略了初始的IKEv2隧道建立,将EAP-5G认证直接承载于L2,极大地降低了初始连接的时延和信令开销。
  • IPsec角色转变:IPsec从“重甲护卫”(机密性+完整性)转变为“轻装宪兵”(仅完整性),在不过度消耗资源的前提下,提供了端到端的防篡改和身份认证能力。
  • 密钥体系的精妙扩展:通过从K_TNGF派生出K_TIPSecK_TNAP,实现了5G核心网的信任向IP层(IPsec)和L2层(Wi-Fi)两个不同维度的安全、独立地延伸,是固移融合(FMC)安全设计的典范。

可信非3GPP接入机制,是5G网络能够深入企业内网、与现有IT安全体系无缝融合的关键。它以一种更开放、更灵活的姿态,将电信级的身份认证与企业级的网络环境相结合,为安安这样的企业用户,提供了既安全又无感的融合通信体验。

FAQ

Q1:“可信”接入比“不可信”接入更不安全吗? A1:不能简单地这么说。它们的安全模型不同,但最终达到的安全目标是相似的。“不可信”接入的安全模型是“零信任”,它假设底层网络是完全危险的,因此通过IPsec构建了一个强大的、独立的端到端安全层,安全性极高,但开销也大。“可信”接入的安全模型是“分层信任”,它信任L2链路层的机密性,因此在上层IPsec中省去了重复的加密,但保留了端到端的完整性保护。其整体安全性依赖于L2链路安全性的强度。如果L2(如WPA3-Enterprise)确实足够安全,那么可信接入在达到同等安全目标的同时,会更加高效。

Q2:谁来决定一个Wi-Fi网络是“可信”还是“不可信”的?手机是怎么知道的? A2:最终的决策权在归属网络运营商(HPLMN)。运营商会通过多种方式将这个策略配置给UE:

  1. USIM配置:运营商可以在用户的SIM卡中预置一个“可信WLAN列表”(包含SSID、域名等)。
  2. 网络下发:运营商可以通过NAS信令(如UE Configuration Update)向UE动态更新这个列表。
  3. 用户手动配置:在某些企业场景下,IT管理员也可能通过MDM(移动设备管理)系统在员工手机上进行配置。 当UE扫描到一个Wi-Fi网络时,它会将其SSID等信息与本地存储的“可信列表”进行比对。如果匹配成功,UE就会采用“可信接入”流程;如果不匹配,UE就会默认其为“不可信”,并采用“不可信接入”流程。

Q3:在可信接入中,既然L2已经加密了,为什么还需要IPsec来做完整性保护? A3:这是为了实现端到端的、跨越多跳的完整性保护。L2的加密和完整性保护通常是**逐跳(hop-by-hop)**的,即只保护UE到AP这一段。数据包从AP到TNGF可能需要经过多个交换机和路由器,这些中间链路的安全性可能无法得到同等级别的保证。通过在UE和TNGF之间建立一个端到端的IPsec SA(即使是NULL加密),可以确保数据包从离开UE到抵达核心网网关的整个IP路径上,都没有被篡改。

Q4:K_TNAP是如何从TNGF传递给TNAP(Wi-Fi AP)的? A4:是通过TNGF和TNAP之间的**AAA协议(如RADIUS)**来传递的。在EAP-5G认证成功后,TNGF会向TNAP发送一个AAA消息(如RADIUS Access-Accept)。在这个消息中,会包含一个专门的属性(VSA, Vendor Specific Attribute),用于携带K_TNAP。由于TNGF和TNAP之间被认为是可信的,且AAA协议本身也可以通过IPsec等方式进行保护,因此K_TNAP可以被安全地分发。AP收到K_TNAP后,就会将其用作与UE进行4次握手的PMK。

Q5:N3IWF和TNGF这两个网关,在实际部署中会是同一个物理设备吗? A5:完全有可能。N3IWF和TNGF是3GPP定义的逻辑功能(NF)。在实际的网络设备中,一个物理的“非3GPP接入网关”设备,可以同时实现N3IWF和TNGF两种功能。它可以通过配置,对来自不同Wi-Fi网络(或不同用户策略)的流量,智能地应用不同的安全处理流程:对识别为“不可信”的流量,启用N3IWF的功能(全IPsec隧道);对识别为“可信”的流量,启用TNGF的功能(轻量级IPsec+L2安全联动)。

关系图谱