5GAKA协议的安全性增强与RIG攻击防护

# 5G AKA协议的安全性增强与RIG攻击防护 ## 1. 5G AKA增强协议探讨 ### 1.1 现有增强协议分析 在5G及未来的AKA协议形式验证中，GUTI的情况必须被考虑。此前的5G AKA’增强协议可抵抗可链接性攻击，而现在要讨论另外两个考虑了更多安全属性的5G AKA增强协议示例。 - **已有验证中的问题**：有研究使用Tamarin对5G AKA进行形式验证，指出其存在会话密钥确认缺失的安全问题。 - **不同增强协议特点** - 文献[5]提出了一个具有会话密钥确认且能抵抗已知可链接性攻击的协议。 - 文献[16]考虑了5G AKA中缺乏完美前向保密性的问题。 - 文献[15]同时研究了完美前向保密性和会话密钥确认。其关键思想是UE生成随机比特串RU，用HN的公钥pkH将RU与SUPI和IDSN一起加密；而文献[5,16]的协议还要求SN向UE发送随机数RS，然后将RS和RU与SUPI和IDSN一起用pkH加密，最后加密消息通过SN发送给HN。 ### 1.2 扩展协议到GUTI情况的挑战与方案 #### 1.2.1 文献[15]协议扩展 上述思想不能直接应用于GUTI情况，因为SN无法访问skH。若用GUTI代替SUPI加密，SN需向HN咨询解密，这会破坏GUTI保护身份隐私的目的。 为扩展文献[15]的协议以覆盖GUTI情况，提出一种修改方案：身份（GUTI而非SUPI）以明文形式发送，而随机RU和IDSN仍用HN的公钥加密发送。若SN选择不认证UE，SN会忽略加密消息，UE之后会发现无需认证并删除新生成的RU；若SN要认证，会在从GUTI解析出永久身份后，将加密的RU和IDSN与永久身份一起转发给HN。 #### 1.2.2 文献[5,16]协议扩展 上述修改方案不适用于文献[5,16]的协议，因为这两个协议都从UE接收SN生成的新鲜随机数RS开始，RS需与SUPI、RU和IDSN一起加密。在GUTI情况下，若SN想跳过认证，就无需生成这样的随机数。因此，有两种可能的扩展方式： - **方式一**：UE先只发送GUTI。若SN不想认证（使用之前连接的会话密钥），则完全跳过协议；若SN要认证，协议从头开始运行，与SUPI/SUCI情况类似。但此方案不优，因为SN已有UE身份信息却未利用，且增加了UE到SN的一条消息。 - **方式二**：SN总是先生成随机数RS，然后用HN的公钥将其与RU和IDSN一起加密，GUTI以明文形式发送。若SN不想认证，两个随机数就浪费了；若SN要认证，协议以修改后的形式继续，加密的RS、RU和IDSN代替文献[5,16]中的SUCI，永久身份单独从SN发送给HN。此方案也不完全令人满意，因为若SN决定不认证，生成和加密随机字符串的工作就浪费了。 ## 2. 抵御RIG攻击 ### 2.1 威胁模型 #### 2.1.1 UE与SN之间的信道 3GPP标准TS 33.501未规定UE与SN之间信道的条件。在此假设存在一个攻击者（IMSI捕获器），能向其攻击范围内的用户发送消息，还能拦截、操纵和重放SN与UE之间信道中的消息。 #### 2.1.2 SN与HN之间的信道 根据TS 33.501，SN与HN之间的信道是核心网络互连有线信道，假设该信道通过本文范围外的方式得到保护。 #### 2.1.3 USI