5GAKA中的位置隐私、攻击与增强方案

### 5G AKA 中的位置隐私、攻击与增强方案 #### 1. 5G 移动网络架构 5G 移动网络架构主要由三个实体组成： - **用户设备（UE）**：包含移动设备（ME）和通用用户识别模块（USIM），可分别类比为手机和 SIM 卡。 - **归属网络（HN）**：核心网络，负责用户的所有管理任务，在本文中主要负责认证和密钥协商，其标识为 IDH。 - **服务网络（SN）**：用户连接的网络，负责在 UE 和 HN 之间转发消息，其标识为 IDS。 UE 和 SN 之间的通信可由 UE 发起（如拨出电话）或 SN 发起（如来电），在这两种情况下，UE 都需要向 SN 发送其身份信息。在 5G 网络中，HN 为每个 UE 分配一个唯一的标识符，即订阅永久标识符（SUPI）。但明文发送 SUPI 存在严重的隐私威胁，因此 3GPP TS 33.501 规范引入了使用公钥加密 SUPI 的功能，采用 ECIES 算法，加密后的结果为订阅隐藏标识符（SUCI）。SUPI 的加密在 UE 端使用 HN 公钥 pkH 进行，解密在 HN 端使用 HN 私钥 skH 进行。 当 SN 收到 SUCI 后，会将其转发给 HN。HN 会根据新生成的随机比特串 RANDH 和用户存储的凭证为 UE 生成认证挑战。UE 和 HN 共享长期密钥 K 和动态序列号 SQN，K 存储在 UE 端 USIM 的抗篡改部分，SQN 用于检查同步和检测重放攻击，分别用 SQNH 和 SQNU 表示 HN 和 UE 端的序列号。 一旦通过 HN 在 UE 和 SN 之间建立了相互认证和密钥协商，服务网络会为 UE 分配一个全球唯一临时标识符（GUTI）。GUTI 是一个 80 位的字符串，前 48 位包含一些“可预测”信息（如移动国家代码），其余 32 位是“不可预测”部分。与 SUCI 相比，GUTI 是更常用的标识符，UE 使用 GUTI 无需额外计算（如加密），SN 识别 UE 也无需 HN 的帮助。 相关符号总结如下表： | 符号 | 含义 | | ---- | ---- | | HN | 归属网络 | | UE | 用户设备 | | SN | 服务网络 | | IDH | HN 标识 | | IDS | SN 标识 | | SUPI | 订阅永久标识符 | | pkH/skH | HN 公钥/私钥（ECIES 算法） | | KD | ECIES 共享的 SUPI 加密密钥 | | SUCI | 订阅隐藏标识符（加密后的 SUPI） | | GUTI | 全球唯一临时标识符 | | K | HN 和 UE 共享的长期密钥 | | SQNU | UE 端的序列号 | | SQNH | HN 端的序列号 | | RANDH | HN 生成的随机挑战 | #### 2. 贡献与相关工作 在 5G 及未来网络中，有许多工作提出了抵抗主动攻击的解决方案，但这些方案通常需要用户的参与，且主要针对基于 SUPI 的身份识别，往往忽略了 GUTI 情况。本文提出了一种针对基于 GUTI 身份识别的 5G AKA 的可链接性攻击，而之前有针对基于 SUCI 身份识别的类似攻击。本文强调该攻击的 GUTI 变体也适用于 [2] 中提出的 5G AKA 增强方案，尽管该增强方案可抵御之前基于 SUCI 的攻击。 同时，还讨论了 [5,15,16] 中的协议，这些协议为阻止可链接性攻击，至少要求 UE 将 SUPI 和新生成的随机比特串加密后发送给 SN，但未涵盖基于 GUTI 的身份识别。本文讨论了该攻击对这些协议扩展到 GUTI 情况的影响，旨在强调在未来 5G AKA 增强中考虑基于 GUTI 身份识别的重要性。此外，还提出了针对该攻击的修复方案，该方案与 USIM 兼容。 主要贡献如下： - 对 5G AKA 和 [2] 中提出的 5G AKA’进行攻击。 - 提出一种与 USIM 兼容的隐私保护修复方案，以应对 RIG 攻击。 - 通过讨论 [5,15,16] 中的协议，强调在 AKA 增强中涵盖基于 GUTI 身份识别的重要性。 #### 3. 5G 认证和密钥协商协议（5G AKA） 5G 系统支持两种协议：5G - 认证和密钥协商（5G - AKA）和移动网络特定的可扩展认证协议方法（EAP - AKA’），本文主要关注 5G AKA。该协议分为两个步骤： - **UE 识别**：5G 中的识别可通过 UE 发送 GUTI 或 SUCI 进行，也可由网络侧请求触发。GUTI 是一个频繁变化的标识符，看起来像随机的，因此大多数可链接性攻击的工作在设计时忽略了 GUTI 情况。为了完整性，先介绍基于 SUCI 的识别。UE 使用 ECIES 算法，结合 HN 公钥 pkHN 对 SUPI 进行加密，生成 SUCI，并将其与 MAC 标签和 UE 生成的临时公钥 pkU 一起通过 SN 发送给 HN。HN 使用其私钥 skHN 生成 KD，检查 MAC 并解密 SUCI，然后检索 UE 数据并进行认证程序。 - **认证和密钥协商**：5G - AKA 使用密钥派生函数（KDF）和七个独立的对称密钥算法（f1, f2, f3, f4, f5, f ∗1 和 f ∗5）。认证过程从 HN 解密 SUCI 开始，如果 MAC 检查通过，HN 会根据 SUPI 检索长期密钥 K 和相关序列号 SQNH，生成 128 位随机数 RANDH，并计算认证向量（AV）。然后，HN 将 (RANDH, AUTN, HXRES∗) 发送给 SN，SN 再将 RANDH 和