Tùy thuộc vào các chính sách nội bộ của mình, AMF bắt đầu xác thực trong bất kỳ quy trình nào đưa thiết bị di động từ CM-IDLE sang CM-CONNECTED. Hình 2.3 cho thấy một trong những thủ tục xác thực có thể dẫn đến kết quả gọi là xác thực 5G và thỏa thuận khóa [3].
25
Hình 2.3 : Xác thực 5G và quy trình thỏa thuận khóa.
Nausf_UEAuthentication Xác thực đăng tải / Xác thực UE ( SUPI hoặc SUCI, cung cấp tên mạng )
Xác thực Nudm_UEAuthentication nhận đăng tải ../ Thông tin bảo mật {Supi hoặc Suci} tạo dữ liệu xác thực ( Cung cấp tên mạng )
200 OK (RAND, XRES* , AUTN, KAUSF , [SUPI])
HTTP HTTP
201 Tạo (RAND, HXRES* , AUTN, KSEAF )
Yêu cầu xác thực (RAND, AUTN)
Xác thực lệnh (RAND, AUTN)
USIM USIM
Kiểm tra AUTN Tính toán RES
Xác thực phản hồi (RES, CK, IK)
USIM USIM
200 OK ([SUPI])
UICC ME SEAF (in AMF) UICC ARPF, SIDP (in UDM)
9 Tính toán HRES*, So sánh HRES* Với HXRES*
10 11
12
13
Nausf_UEAuthentication Xác thực đăng tải / Xác thực UE /
{AuthCtxld}/5g-aka – Xác nhận (RES*)
HTTP HTTP
7 Tinh toán RES*
So sánh RES* với XRES*
HTTP HTTP
Nudm_UEAuthentication Xác nhận kết quả thông báo sự kiện đăng tải ../{supi}/auth-events
HTTP HTTP HTTP HTTP 201 được tạo Phản hồi xác thực ( RES* ) 1 HTTP HTTP 2 HTTP HTTP
Tinh toán HXRES*
3, 4
5 HTTP HTTP
6 5GMM 5GMM
26
Được kích hoạt bởi một bản tin báo hiệu chẳng hạn như yêu cầu đăng ký, AMF chọn một AUSF trong mạng nhà của thiết bị di động và yêu cầu nó xác thực thiết bị di động (bước 1). Các yếu tố thông tin bao gồm tên mạng phục vụ được xây dựng từ mã mạng di động và mã quốc gia di động tương ứng, cũng như nhận dạng vĩnh viễn hoặc được che giấu của người đăng ký. Khi nhận được yêu cầu, AUSF trước tiên sẽ kiểm tra xem AMF có được quyền sử dụng tên mạng phục vụ hay không. Sau đó, nó chuyển tiếp thông tin đến UDM, tạo ra một tài nguyên mới bao gồm nhận dạng của người đăng ký.
Một số bước tiếp theo diễn ra bên trong UDM. Nếu AUSF cung cấp nhận dạng che giấu đăng ký, thì ARPF yêu cầu SIDF trả lại nhận dạng vĩnh viễn tương ứng. Sau đó, ARPF tra cứu bản sao của khóa K dành riêng cho người dùng và tạo một vectơ xác thực chứa bốn phần tử. Phần tử đầu tiên là một số ngẫu nhiên, được sử dụng như một thử thách xác thực đối với thiết bị di động và được ký hiệu là RAND. Ba phần còn lại đều được tính bằng RAND, K và tên mạng phục vụ. XRES * là phản hồi dự kiến đối với thử thách xác thực, được tính toán chính xác bởi thiết bị di động có cùng giá trị K. AUTN là mã thông báo xác thực, chứng minh cho thiết bị di động rằng mạng có cùng giá trị K và bao gồm số thứ tự để sử dụng trong bảo vệ phát lại. Cuối cùng, KAUSF là khóa neo của mạng nhà từ Hình 2.3. ARPF trả về vectơ xác thực cho AUSF, cùng với bất kỳ SUPI nào mà nó đã truy xuất (bước 2). Không giống như các thế hệ trước, 5G chỉ hỗ trợ trả lại một vectơ xác thực tại một thời điểm.
AUSF lưu trữ XRES * để sử dụng sau này theo thủ tục xác thực của mạng nhà và tính toán một phiên bản dẫn xuất, được ký hiệu là HXRES *, được sử dụng để xác thực trong mạng đã truy cập (mạng khách) (bước 3,4). (Ở đây, tiền tố H không liên quan gì đến mạng nhà: thay vào đó, nó chỉ ra rằng HXRES * được tính bằng thuật toán băm.) AUSF cũng lưu trữ bất kỳ nhận dạng vĩnh viễn bất kỳ mà nó nhận được từ UDM và tính toán khóa neo của mạng khách KSEAF. Sau đó, nó chuyển tiếp tài liệu xác thực có liên quan đến AMF và cung cấp mã định danh tài nguyên thống nhất (URI) mà AMF sẽ sử dụng cho việc xác nhận tiếp theo (bước 5). Đổi lại, AMF gửi số ngẫu nhiên và mã thông báo xác thực đến thiết bị di động (bước 6).
Bên trong thiết bị di động, thiết bị di động sẽ gửi số ngẫu nhiên và mã thông báo xác thực đến UICC. Trong UICC, ứng dụng USIM kiểm tra mã thông báo xác thực để kiểm tra xem mạng có cùng giá trị K và số thứ tự kèm theo chưa được sử dụng trước đó hay không. Nếu nó hài lòng, thì nó sẽ tính toán phản hồi xác thực đã được sử dụng
27
trong các thế hệ 3GPP trước đó, được ký hiệu là RES, bằng cách kết hợp RAND với bản sao K của chính nó. Nó chuyển phản hồi đó trở lại thiết bị di động, cùng với các giá trị của CK và IK từ Hình 2.3. Thiết bị di động kết hợp RES với sự hiểu biết riêng của nó về tên mạng phục vụ, để tính toán phản hồi xác thực 5G RES * (bước 7). Nó cũng sử dụng CK và IK để tính toán các giá trị của KAUSF, KSEAF và KAMF trên thiết bị di động Mặc dù hơi phức tạp nhưng quy trình này cho phép thiết bị di động truy cập vào mạng lõi 5G bằng USIM cũ và đảm bảo rằng các nhà khai thác mạng 5G không nhất thiết phải thay thế thẻ SIM của người đăng ký.
Sau đó, điện thoại di động trả về phản hồi xác thực cho AMF. Điều đó tính toán một phiên bản băm của phản hồi của thiết bị di động, được ký hiệu là HRES * và so sánh nó với giá trị của HXRES * từ trước đó (bước 9). Nếu cả hai giống nhau, thì nó kết luận rằng điện thoại di động có giá trị chính xác của K và do đó đã được xác thực thành công. AMF xác nhận xác thực bằng cách sử dụng URI mà nó nhận được từ AUSF và bao gồm phản hồi ban đầu RES * của thiết bị di động (bước 10).
AUSF so sánh phản hồi của thiết bị di động với phản hồi dự kiến XRES * (bước 11). Nếu cả hai giống nhau, thì AUSF không chỉ kết luận rằng điện thoại di động được xác thực mà còn cả mạng phục vụ trích dẫn cùng một mã mạng và mã quốc gia cho mạng nhà và cho điện thoại di động. Bằng cách kết hợp điều này với kết luận trước đó rằng AMF được quyền sử dụng các mã đó, AUSF kết luận rằng mạng phục vụ là chính hãng. AUSF trả về một xác nhận cho AMF và bao gồm nhận dạng vĩnh viễn bất kỳ mà nó đã truy xuất trước đó (bước 12). Khi nhận được xác nhận đó, AMF tính khóa KAMF.
Để kết thúc thủ tục, AUSF gửi xác nhận đến UDM rằng thiết bị di động đã được xác thực thành công (bước 13). Sau đó, UDM có thể liên kết xác nhận đó với các thủ tục tiếp theo. Ví dụ: nó có thể chỉ chấp nhận yêu cầu đăng ký điện thoại di động của mạng phục vụ, nếu điện thoại di động gần đây đã được xác thực bởi cùng một mạng phục vụ.