5G邻近通信安全研究
2022-09-01刘宇泽邢真游世林林兆骥
刘宇泽 邢真 游世林 林兆骥
(中兴通讯股份有限公司,上海 201203)
0 引言
邻近通信(Proximity Based Service,ProSe)一直是5G研究热点之一。在3GPP R12阶段,D2D(Device to Device)的服务发现和D2D直接通信是定义在邻近通信标准TS23.303中的两个基本功能,该标准使得用户终端UE可以和其邻近区域的其他UE使用PC5接口直接通信。从R13版本开始,UE to Network Relay (U2N Relay) 模式被引入邻近通信。U2N Relay模式使得无论UE是否在覆盖范围内,UE都可以通过U2N Relay模式来连接另一个Relay UE来接入网络。如今邻近通信主要包括邻近直接发现、邻近直接通信和邻近U2N Relay三个功能。在LTE时期,U2N Relay模式可以提供诸如公共安全服务、多播服务等[1]。相较于终端直接与基站通信,LTE U2N Relay模式可以节省最多约40%的终端能耗[2]。因此,U2N Relay模式在增加网络覆盖,降低能耗方面都有较大的益处。
在5G时代,随着5G对垂直行业的支撑愈发深入,Relay UE可以部署在越来越多的垂直行业场景中,比如智慧农场、智慧工厂、公共安全等场景[3]。同时,U2N Relay模式在5G也进一步增强了对车联网的支撑[4]。因此,如何保障5G U2N Relay模式下的业务安全是一个亟需解决的问题。
1 U2N Relay与移动基站中继的对比
针对中继场景,3GPP在5G还定义了一种移动基站中继,可以使用基站无线回传的模式(Integrated Access and Backhaul,IAB)来扩展网络覆盖,增加小区容量而无需有线回传。邻近通信的U2N Relay模式和基站无线回传模式有几点不同。首先,在协议栈方面,基站无线回传的模式,不需要UE做任何协议栈上的更改。因为在IAB模式下,从UE侧来看,IAB节点是被视为基站,而从接收IAB数据的基站来看,IAB节点被视为UE。对于U2N Relay模式,UE需要支持邻近通信的协议栈,支持PC5接口通信。其次,在应用场景方面,IAB节点通常需要额外专用的部署,而U2N Relay UE通常不需要专用的部署。
从3GPP R14版本开始,邻近通信的场景开始扩展到车联网(Vehicle to Everything)。可以预见,车联网业务的蓬勃发展,会使得支持邻近通信协议栈的UE越来越多。有理由相信,在未来发现合适的支持邻近通信的UE的可能性会越来越大。因此,无论当UE处于受限的网络环境的紧急业务场景中,或者是需要互操作的一般商业业务,U2N Relay模式都将会是一种很有前景的方案。
2 5G邻近通信中的U2N Relay模式
5G U2N Relay场景有两种不同的中继方式,2层中继方式和3层中继方式。2层中继和3层中继方式都可以发送IP数据、Ethernet数据以及非结构化数据。本文简要说明2层中继和3层中继的不同。
U2N Relay模式的2层中继通信示意图如图1所示。
其中,Remote UE位于基站覆盖范围外,U2N Relay UE位于基站覆盖范围内。对于2层中继,Remote UE与U2N Relay UE建立PC5连接之后,Remote UE会向基站传递RRC建立请求,并与基站之间建立RRC链接[5]。Remote UE与基站之间的RRC链接是通过Remote UE与U2N Relay UE之间的PC5通信以及U2N Relay UE与基站基站的Uu通信分段实现的。因此,Remote UE和基站之间也存在AS层安全,使用Remote UE的AS层安全上下文进行安全保护。而Remote UE接入数据的网络PDU会话的其NAS层安全由Remote UE的NAS层安全上下文进行保护。
U2N Relay模式的3层中继示意图如图2所示。
其中,Remote UE位于基站覆盖范围外,U2N Relay UE位于基站覆盖范围内。对于3层中继,Remote UE与U2N Relay UE建立PC5连接之后,Remote UE不会与基站之间建立RRC链接。因此,由U2N Relay UE决定是否为Remote UE的数据新建一条PDU会话。而承载Remote UE业务的PDU会话的AS层和NAS层安全由U2N Relay UE的安全上下文进行保护。
综上所述,2层中继的安全由Remote UE和U2N Relay UE之间的PC5安全,U2N Relay UE与基站之间的AS层安全,Remote UE与基站之间的AS层安全,Remote UE与核心网之间的NAS层安全组成。3层中继的安全由Remote UE和U2N Relay UE之间的PC5安全,U2N Relay UE与基站之间的AS层安全,U2N Relay UE与核心网之间的NAS层安全组成。
对比2层中继方式和3层中继方式,由于2层中继方式在Remote UE和基站之间启用了AS安全,因而有更高的安全性。但是相对的,2层中继方式在复杂性方面,信令开销也更高,比如考虑U2N Relay UE的移动性,U2N Relay UE是可能发生基站的切换,这也会同时导致Remote UE和基站之间进行基站切换。
可以看到,无论是采用2层中继方式还是3层中继方式,当Remote UE发起U2N Relay业务请求的时候,Remote UE和U2N Relay UE之间的PC5通信安全都是最基本的一环。5G核心网都需要对Remote UE和U2N Relay UE进行认证和授权,并进行密钥的分发以保证Remote UE和U2N Relay UE之间的PC5通信安全问题。从5G核心网侧对UE请求建立PC5通信的认证和授权流程上来说,采用2层中继方式还是3层中继方式在信息流程上没有区别,只是需要验证授权的信息不同。
针对Remote UE和U2N Relay UE之间的PC5通信安全问题,5G ProSe U2N Relay存在着用户面方案和控制面方案[6],本文主要探讨控制面方案安全。
3 U2N Relay控制面安全方案
图3简要说明了5G ProSe U2N Relay控制面的认证方案。其中UE 1(Remote UE)通过UE 2(U2N Relay UE)接入网络。为体现一般性,图3中UE 1和UE 3的归属网是PLMN 1,而UE 2的归属网是PLMN 2。UE 2处于基站的覆盖之中,而UE 1处于基站覆盖之外。
在UE 1准备采用U2N Relay模式接入网络的时候,首先要进行用户发现,即寻找可用的中继UE 2。用户发现之后,网络不仅需要验证UE 2是否可以提供U2N Relay服务,也需要验证UE 1是否可以接受U2N Relay服务。以下对在用户发现之后,UE 1如何同UE 2建立U2N Relay安全连接进行简要说明[5]。
(1)UE 1向UE 2发送直接通信请求,请求建立安全PC5单播链路。如果UE 1已经拥有有效的远端用户密钥(5G ProSe Remote User Key,5GPRUK),则UE 1应在直接通信请求中包含5GPRUK ID;如果UE1没有有效的5GPRUK,则UE 1应在直接通信请求中的包含其SUCI。
(2)UE 2收到直接通信请求消息后,向UE 2的接入移动管理网元(Access and Mobility Management Function,AMF)发送密钥请求消息,将直接通信请求消息中收到的SUCI或5GPRUK ID发送给AMF。
(3)AMF需要验证UE 2是否被授权提供U2N Relay服务。其次,AMF根据SUCI或5GPRUK ID选择UE 1的认证服务功能网元(Authentication Server Function,AUSF),并向AUSF发送认证请求。
由于AUSF可能从AMF收到SUCI,也可能收到5GPRUK ID。因此,AUSF会有两种处理方式。
选项A:AUSF收到的是UE 1的SUCI。这种情况下表明UE 1没有有效的5GPRUK,因此需要重新对UE 1进行认证并生成5GPRUK。AUSF在认证完成后,会将生成的5GPRUK发送到邻近通信锚点功能网元(Prose Anchor Function,PAnF)中进行保存。UE 1在同网络完成认证后,也会生成一个5GPRUK并保存。
选项B:AUSF收到的是UE 1的5GPRUK ID。这种情况下表明UE 1中存有有效的5GPRUK。AUSF会根据5GPRUK ID找到存有UE 1的密钥的PAnF,并向该PAnF请求密钥。PAnF根据5GPRUK ID检索到5GPRUK后,将5GPRUK发送给AUSF。
(4)AUSF通过选项A或者选项B获得5GPRUK后,会基于5GPRUK推衍出一个KNR_ProSe密钥返回给AMF。
(5)AMF向UE 2返回密钥响应,把KNR_ProSe发送给UE 2。
(6)UE 1和UE 2之间会交互推衍KNR_ProSe,Krelay-sess,Krelay-enc的必要参数并启动直接通信安全。在确认启动直接安全后,UE 2向UE 1回复直接通信接受消息,完成UE 1和UE 2之间的PC5安全连接建立过程。此后,UE 1就可以通过UE 2接入数据网中。
可以看到,当UE使用SUCI请求通信并被认证通过后,UE会生成一个5GPRUK并保存。由于并没有规定密钥有效期,UE侧可以长期使用5GPRUK。而且网络侧缺少主动触发5GPRUK更新的机制,难以保障5GPRUK的使用安全。
4 控制平面的密钥架构及密钥更新问题
4.1 控制平面的密钥架构
为进一步说明5GPRUK的更新问题,图4给出了U2N Relay控制平面密钥示意图[6]。
以下对U2N Relay场景下的几个密钥的产生及功能进行简要说明。
KAUSF_P是由Prose认证过程中产生,其用途是用来生成U2N Relay的服务根密钥5GPRUK。每个UE只有一个KAUSF_P。5GPRUK是U2N Relay的服务根密钥,由KAUSF_P推衍产生,其粒度是基于服务的,该密钥是跟U2N Relay服务代码(Relay Service Code,RSC)绑定的。KNR_ProSe是两个终端之间直接通信的根密钥,由5GPRUK推衍,其粒度是基于终端的。Krelay_sess是单播链接密钥,由KNR_ProSe推衍,其粒度是基于链接的。两个终端之间可以建立多条单播链接。Krelay_int和Krelay_enc分别是用于保护单播链接的完整性保护密钥和保密性密钥。
需要说明的是,依照3GPP TS 33.503[6]控制面方案的流程,KAUSF_P和5GPRUK的更新具有明显的相关性,当更新KAUSF_P的时候,就一定会更新5GPRUK。而且对于同一个U2N Relay服务(RSC相同),在KAUSF_P不变的时候,推衍出来的5GPRUK也是相同的。
4.2 5GPRUK更新问题
长时间使用同样的密钥,会增加密钥泄露的风险。当UE使用5GPRUK ID来发起直接通信请求的时候,意味着UE认为其保存的5GPRUK是可用的。从当前流程来看,只要UE不使用SUCI进行直接通信请求,就不会触发5GPRUK的更新。但是由于控制面方案的5GPRUK是UE侧和网络侧独立生成,网络并没有对UE侧的5GPRUK进行密钥有效期设置。所以对于同一个U2N Relay服务代码来说,UE的5GPRUK被认为是长期有效。需要说明的是,由于5GPRUK是服务根密钥,所以即使UE更换了其Relay UE,也只会更新KNR_ProSe而不会更新5GPRUK。因此,UE可以一直使用相同的5GPRUK而不进行密钥更新。
出于安全考虑,网络侧需要解决如何对5GPRUK进行更新的问题。
从UE侧来看,当UE使用SUCI的时候来进行通信的时候,就会触发ProSe认证从而对KAUSF_P和5GPRUK密钥进行更新。因此网络可以采取措施告知UE使用SUCI,而不是5GPRUK ID来进行通信。
从网络侧来看,由于KAUSF_P是在ProSe认证过程中产生,如果网络可以基于5GPRUK ID找到UE的SUPI,那么网络侧就也可以向UDM去索要认证向量来更新KAUSF_P,同时也更新5GPRUK。
以下将对U2N Relay服务根密钥5GPRUK更新方案进行分析。
5 U2N Relay服务根密钥5GPRUK更新方案
5.1 密钥有效期设定
5.1.1 方案分析
通常,对密钥设定有效期是一个较为有效的增强安全的方式。由于UE和网络两侧是独立生成5GPRUK,因此可以通过设定UE中5GPRUK的有效期,假如UE中的5GPRUK的有效期已过,则UE将其保存的5GPRUK视为无效密钥,从而采用SUCI来进行U2N Relay网络通信。也可以通过设定网络中5GPRUK的有效期,假如网络中的5GPRUK的有效期已过,则网络将其保存的5GPRUK视为无效密钥,从而拒绝相应通信请求。
5GPRUK有效期的设定主要有静态配置和动态配置两种方式。
(1)静态配置
静态配置或者预配置是一个较为简单的策略,可以提前设定一个针对某个U2N Relay服务代码的密钥有效期使得UE侧和网络侧的密钥有效期一致。由于服务代码灵活可变,难以穷尽,所以静态配置的方式难以跟同业务的灵活发展相匹配。
(2)动态配置
动态配置是一种较为灵活策略,网络可以根据自身网络状况、用户签约情况等信息来决定5GPRUK密钥的有效期。动态配置的方式也可以有三种情况:第一种是网络只动态配置网络侧的5GPRUK密钥有效期,如果网络侧密钥有效期到期,则网络侧可以拒绝本次请求。第二种是网络只动态配置UE的5GPRUK密钥有效期,这样UE侧进行判定其保存的密钥是否可用,如果可用则使用5GPRUK ID,反之则使用SUCI。网络侧不再对5GPRUK的有效期进行检查。第三种情况是网络动态配置网络侧和UE侧的5GPRUK密钥有效期。这种情况下,可能会出现网络侧的密钥有效期和UE侧的密钥有效期不一致的情况,因此网络侧会对5GPRUK的有效期进行检查。这种方式会带来一定复杂度的提升。
5.1.2 方案评估
设定密钥有效期只是决定是否更新的一种可能的方式。而在默认密钥长期有效的情况下,网络也可以根据自身网络状况,在UE申请通过Relay接入的时候决定是否对密钥进行更新。以下分析几种可能的网络侧触发密钥更新的方案。
5.2 Relay AMF触发密钥更新
5.2.1 方案分析
Relay AMF有两种可能触发U2N Relay认证来更新密钥的方式。当UE使用5GPRUK ID来进行通信请求的时候,Relay AMF并没有UE的SUCI信息。因此,Relay AMF可能有以下两种触发密钥更新的方式。
方式一:Relay AMF拒绝密钥请求并指示Remote UE重新发起通信请求。Relay AMF可以在收到Relay UE发来的密钥请求的时候,选择直接拒绝Remote UE的U2N Relay服务请求并指示Remote UE使用SUCI重新发起连接。
方式二:Relay AMF向Remote UE请求SUCI。Relay AMF发送获取标识请求给Remote UE,在收到Remote UE返回的SUCI后,Relay AMF将使用获取到的SUCI发认证请求给Remote AUSF。这样Remote AUSF收到SUCI后将触发ProSe认证,进而更新KAUSF_P和5GPRUK。
5.2.2 方案评估
由于Relay AMF是在服务网络,在未收到归属网关于ProSe业务的相关信息的指示前,通常Relay AMF难以精确了解ProSe业务的使用情况。因此,Relay AMF直接触发密钥更新的时机可能并非合适,而且如果Relay AMF频繁触发Remote UE进行重连接或者发送SUCI,还有可能造成SUCI相关的隐私问题。
5.3 Remote AUSF触发密钥更新
5.3.1 方案分析
Remote AUSF根据收到Relay AMF发来的Remote UE标识(SUCI或者5GRPUK ID),来决定是否发起ProSe认证。
如果Remote AUSF收到是5GPRUK ID,Remote AUSF会向PANF获取5GPRUK的密钥。在获取到5GPRUK之后,Remote AUSF可以做一次判断,判断认为该密钥是否可用。如果认为密钥不可用,Remote AUSF也可能有以下两种方式来触发5GPRUK更新。
方式一:Remote AUSF可以拒绝认证请求。Remote AUSF可以拒绝Relay AMF的认证请求,并告知Relay AMF该UE需要重新进行认证。而Relay AMF收到Remote AUSF的指示后,可以选择5.2.1节中的方式一或者方式二来触发密钥更新。
方式二:Remote AUSF可以向PAnF索要SUPI,直接触发ProSe认证。由于在ProSe认证过程中,AUSF会将UE的ProSe上下文,如SUPI、5GPRUK、5GPRUK ID、服务代码等存放到PAnF中。因此,当AUSF收到UE的5GPRUK ID后,AUSF可以利用5GPRUK ID向PAnF查询到UE的SUPI,进而利用SUPI以及Relay AMF发来的服务网络标识(Serving Network Name)向UDM获取认证向量,从而对UE进行认证,进而更新KAUSF_P和5GPRUK。如果Remote AUSF无法从PAnF中获取到SUPI,则拒绝认证请求。
5.3.2 方案评估
虽然AUSF是在归属网络,但是由于为Remote UE服务的AUSF是Relay AMF选择的,具有一定程度上的随机性。Relay AMF选择Remote AUSF并不一定是之前为Remote UE认证的AUSF,因此Remote AUSF很可能也没有Remote UE的相关信息,难以判断是否需要触发5GPRUK更新,需要向UDM或者PAnF获取相关信息。
5.4 Remote PAnF触发密钥更新
5.4.1 方案分析
PAnF是在ProSe中新定义的网元,其主要功能是用于存储UE的ProSe安全上下文。PAnF在收到AUSF的密钥获取请求后,会基于5GPRUK ID检索相关的5GPRUK。
PAnF有可能根据5GPRUK ID检索到相关的5GPRUK,也可能无法检索到5GPRUK。导致PAnF无法检索到5GPRUK的原因有几种,比如5GPRUK ID是个无效或者错误的密钥标识,或者PAnF因为自身存储问题等。即使PAnF可以检索到相关的5GPRUK,PAnF可以根据一些用户配置信息来判断是否发送5GPRUK给AUSF。如果PAnF判断5GPRUK需要进行更新,则PAnF可以有两种方式触发5GPRUK的更新。
方式一:PAnF拒绝AUSF的密钥获取请求。PAnF可以拒绝Remote AUSF的密钥获取请求,并告知Remote AUSF该UE需要重新进行认证。AUSF收到PAnF的指示后,可以选择5.3.1节的方式一或者方式二进行操作。
方式二:PAnF返回UE的SUPI给AUSF。AUSF收到PAnF返回的SUPI后,就可以利用该SUPI以及Relay AMF发来的服务网络标识(Serving Network Name)向UDM获取认证向量,从而对UE进行认证,进而更新KAUSF_P和5GPRUK。这种方式所需要的交互信息较少,相对来说对网络开销的影响较小。
5.4.2 方案评估
Remote PAnF是一个归属网的网元,其由Remote AUSF基于路由标识(Routing Indicator)选择,可以保证AUSF每次都能找到为该UE服务的PAnF。作为ProSe控制面专用的网元,PAnF保存有Remote UE的ProSe上下文,可以充分掌握ProSe的服务信息来判断是否更新5GPRUK。5.4.1节中方式二由于直接返回了UE的SUPI给AUSF,无需再要求Remote UE提供SUCI,因此可以减少SUCI暴露的可能性而且,可以结合设定密钥有效期的方法,在PAnF中设定5GPRUK的密钥有效期。PAnF在收到Remote AUSF的密钥请求时,可以将密钥是否处于有效期作为判断是否更新5GPRUK的依据之一。
本章主要分析了几种U2N Relay服务根密钥5GPRUK更新方案。由于PAnF是最终保存5GPRUK的网元,可以结合密钥有效期的设定,是比较合适的触发5GPRUK更新的网元。而且采用PAnF在需要更新5GPRUK的时候直接反馈SUPI来触发ProSe认证的方式,可以减少SUCI暴露的风险。
6 结束语
本文分析和研究了5G邻近通信中的U2N Relay场景下的通信及相关的安全问题。针对U2N Relay中的5GPRUK密钥更新问题,给出了几种可能的方案,如采用密钥有效期,Relay AMF触发更新,Remote AUSF触发更新,Remote PAnF触发更新。研究表明,采用Remote PAnF反馈SUPI来触发ProSe认证的方法在方案合理性,业务灵活性,SUCI隐私性等方面有优势。
在未来3GPP R18阶段,邻近通信将引入UE to UE Relay功能。由于D2D直接通信面临着通信距离的约束,UE to UE Relay功能将扩展设备之间通信范围,从而进一步增强邻近通信的可用性,而如何保障UE to UE Relay的安全性将是下一阶段邻近通信安全研究的重点。