有空就来刷几道5G面试题系列 | 安全(最新更新11月17日,持续更新中)

Posted COCOgsta

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了有空就来刷几道5G面试题系列 | 安全(最新更新11月17日,持续更新中)相关的知识,希望对你有一定的参考价值。

“每天进步一点”,十多年前加入广东电信,每天上班都可以看到这个标语,激励着我从技术小白一路学习到现在。

“每天刷几道题”,迎合现在大家采用碎片时间学习的大环境,个人参考CSDN的很多大佬,计划开一系列的专题,分多个篇章将5G的基础知识通过“问答”的形式整理出来。欢迎各位技术大佬多多指点,丰富完善各篇章内容。也欢迎技术新人们了解学习,查缺补漏。

话不多说,开始“问答”(持续更新于2021年11月17日)

1、在准许用户接入网络之前,鉴权是单向的还是双向的?
答:在5GS中,用户和网络需要相互鉴权。鉴权过程中,每一方都要证明自己可以获取仅参与方知道的秘密,例如密码和密钥。

2、加密、完整性保护的作用?
答:通过加密,我们确保传输的信息仅对预期的接收端可读。为达到这一目的,发送端对发送的数据进行修改,这样除了可接触正确的密钥的实体外,其他任何设法拦截数据者都无法读取数据。
完整性保护是一种检测到达目的接收端的数据是否已被篡改的手段。如果数据已被修改,则完整性保护可确保接收端能够检测到。5GS根据接口和流量类型在协议层2和层3上都支持数据保护功能。

3、什么是密钥分离?
答:密钥分离是指用于不同目的和用于不同访问的密钥应该是不同的,设法恢复其中一个密钥的攻击者应该不能获得关于其他密钥的任何有用信息。

4、什么是隐私保护?
答:隐私保护是指可用于确保有关用户的信息不会对其他人可用的功能。例如,它可以包括确保永久用户ID不会通过空口以明文形式发送。

5、3GPP TS 33.501将安全架构分为哪些组或域?
答:1)网络接入安全。
2)网络域安全。
3)用户域安全。
4)应用域安全。
5)SBA域安全。
6)安全的可见性和可配置性。
相比于4G/EPC,第5组是新加的。

6、3GPP R15在网络接入安全域中定义了哪些类型的凭证?
答:R15侧重于更“传统”的签约标识(即IMSI)和凭证(即基于SIM卡的凭证)。其定义的安全框架已足够通用和灵活,可以在将来以一种直接的方式进行添加。

7、简述网络接入安全的逻辑架构。
答:用于网络接入安全的逻辑架构包含USIM、SEAF、AUSF、SIDF、ARPF。
ARPF(鉴权凭证存储和处理功能):ARPF包含签约者的凭证(即长期密钥)和签约标识SUPI。
AUSF(鉴权服务器功能):位于用户的归属网络中,负责根据从UE和UDM/ARPF接收到的信息来处理归属网络中的鉴权。
SEAF(安全锚点功能):由AMF提供的功能,基于从UE和AUSF接收的信息负责在提供服务的网络(即访问网络)中处理鉴权。
SIDF(签约标识取消隐藏功能):由归属网络的UDM提供服务,负责从SUCI中解析SUPI。

 8、5G相对4G在接入安全性上做了哪些改进?
答:改进的隐私保护。4G中,可以使用IMSI寻呼UE以便应对某些罕见的情况,在5G中SUPI绝不会在5G中通过明文发送。
UE和基站之间的用户面数据的完整性保护。4G支持加密,但不支持完整性保护。5G启用完整性保护是为了服务于IoT用例。
改善了漫游场景中的归属运营商的控制。4G中,使用3GPP接入时的实际鉴权将基于HPLMN提供的鉴权向量代理给VPLMN。5G中,VPLMN和HPLMN都可以参与UE的实际鉴权。
改进的功能可支持基于SIM卡以外的凭证。4G中,基于SIM的鉴权是E-UTRAN唯一支持的鉴权方法,5G中,可以使用基于非SIM的凭证,例如证书。
额外的安全可配置性。4G中,用户面安全在eNB中始终是激活的,即使加密算法可能为NULL。5G中,网络会根据UDM中的签约数据在PDU会话建立时动态地进行决策,应使用哪种UP安全性。
与4G相比,5G可以在初始NAS消息中保护某些信元。

9、5GS如何做到对永久签约标识的保护?
答:UE在空口上不发送SUPI,而是发送SUCI(签约隐藏标识)。如果UE具有先前注册的有效5G-GUTI,则用于4G中类似的方式发送5G-GUTI。如果UE没有可使用的5G-GUTI,则发送SUCI。

10、 EPS支持基于SIM的两种鉴权方法是什么?
答:EPS AKA和EAP-AKA'。EPS AKA是3GPP接入中使用的鉴权方法,EAP-AKA'则用于非3GPP接入。

11、5GS中的主鉴权相比EPS有什么区别?
答:一个区别是,5G AKA和EAP-AKA'都可以在3GPP和非3GPP接入时使用。
另一个区别是,5G AKA增加了归属网络控制。

12、什么是密钥分离?
答:鉴权过程中,终端和网络中会生成附加密钥,用于对用户面和控制面数据进行加密和完整性保护。例如,派生的密钥之一用于保护用户面,而另一密钥用于保护NAS信令。之所以产生多个密钥,原因之一是为了提供密钥分离并保护底层的共享密钥K。密钥K是一个永久密钥,存在USIM和归属网络的UDM/ARPF(或UDR)中。不会发送给其他NF。

以上是关于有空就来刷几道5G面试题系列 | 安全(最新更新11月17日,持续更新中)的主要内容,如果未能解决你的问题,请参考以下文章

有空就来刷几道5G面试题系列 | 5G架构篇

有空就来刷几道5G面试题系列 | 语音篇

有空就来刷几道5G面试题系列 | 4G基础篇

有空就来刷几道5G面试题系列 | QoS篇

大学生因疫情被封宿舍,无聊?那就刷几道链表的算法题解解闷儿---Java实现

刷几道链表题,看看自己对指针的把握程度了