通信人家园

标题: 5G的SUCI加密  [查看完整版帖子] [打印本页]

时间:  2021-7-8 13:49
作者: corwis     标题: 5G的SUCI加密

   5G Release15增加了公钥IMSI加密是最大的亮点。手机首次入网或手机移动到其它MME覆盖范围后,MME中无法从网络中查询到手机的GUTI/TMSI,需要手机上报自己的真实身份。伪基站通过高信号强度不停向手机发送身份验证请求消息——“Identity Request”,手机就会上报真实身份。这种获取工具称为IMSI CatcherIMSI Catcher可以获取IMSITMSIIMEI
   5G引入公钥机制实现用户IMSI传输中的身份隐藏和认证。公钥公开,用来加密。私钥保留,用来解密。将公钥存放在手机端,私钥存放在运营商手里。只有运营商可以解密手机的真正的身份信息,攻击者只能拿到加密后的信息,没有私钥而无法解出IMSI。
    手机的真实身份在5G里称为SUPISUbscription Permanent Identifier签约永久标识符)(类似IMSI),通过公钥加密后的密文称为SUCISUbscription Concealed Identifier)。SUCI传送给基站后,基站直接上传至核心网。
   终端的Eph.key pair generation,产生终端的公钥和私钥对。这两对秘钥均采用椭圆曲线加密算法ECC生成。私钥可以衍生出唯一的公钥,但是从公钥不能反推出私钥。终端存储运营商网络的公钥。终端生成的私钥与网络提供的公钥结合,生成一对共享加密秘钥(用来加密的原始秘钥),派生出加密的主密钥master key
                              
  
取主密钥的高有效位,对SUPI进行对称加密,得到SUCI。取主密钥的低有效位,对终端参数等信息,进行完整性保护。终端发出的消息包括:终端生成的公钥、SUCI和终端参数等。 网络侧采用私钥与终端所发送的公钥,组合成共享秘钥;由共享秘钥派生出主密钥master key
  
网络侧先通过主密钥master key的低有效位校验消息的完整性与否。如果消息经过篡改,则该步骤的验证无法通过。只有验证通过,才会进一步将信令转发至UDM中执行SIDF(Subscription identifier de-concealingfunction,签约标识符去隐藏功能)的过程,解密得到SUPI




通信人家园 (https://www.txrjy.com/) Powered by C114