通信人家园
标题: 5G的SUCI加密 [查看完整版帖子] [打印本页]
时间: 2021-7-8 13:49
作者: corwis
标题: 5G的SUCI加密
5G Release15增加了公钥IMSI加密是最大的亮点。手机首次入网或手机移动到其它MME覆盖范围后,MME中无法从网络中查询到手机的GUTI/TMSI,需要手机上报自己的真实身份。伪基站通过高信号强度不停向手机发送身份验证请求消息——“Identity Request”,手机就会上报真实身份。这种获取工具称为IMSI Catcher。IMSI Catcher可以获取IMSI,TMSI,IMEI。 5G引入公钥机制实现用户IMSI传输中的身份隐藏和认证。公钥公开,用来加密。私钥保留,用来解密。将公钥存放在手机端,私钥存放在运营商手里。只有运营商可以解密手机的真正的身份信息,攻击者只能拿到加密后的信息,没有私钥而无法解出IMSI。
手机的真实身份在5G里称为SUPI(SUbscription Permanent Identifier,签约永久标识符)(类似IMSI),通过公钥加密后的密文称为SUCI(SUbscription Concealed Identifier)。SUCI传送给基站后,基站直接上传至核心网。
终端的Eph.key pair generation,产生终端的公钥和私钥对。这两对秘钥均采用椭圆曲线加密算法ECC生成。私钥可以衍生出唯一的公钥,但是从公钥不能反推出私钥。终端存储运营商网络的公钥。终端生成的私钥与网络提供的公钥结合,生成一对共享加密秘钥(用来加密的原始秘钥),派生出加密的主密钥master key。
取主密钥的高有效位,对SUPI进行对称加密,得到SUCI。取主密钥的低有效位,对终端参数等信息,进行完整性保护。终端发出的消息包括:终端生成的公钥、SUCI和终端参数等。 网络侧采用私钥与终端所发送的公钥,组合成共享秘钥;由共享秘钥派生出主密钥master key。
网络侧先通过主密钥master key的低有效位校验消息的完整性与否。如果消息经过篡改,则该步骤的验证无法通过。只有验证通过,才会进一步将信令转发至UDM中执行SIDF(Subscription identifier de-concealingfunction,签约标识符去隐藏功能)的过程,解密得到SUPI。
通信人家园 (https://www.txrjy.com/) |
Powered by C114 |