5G异构网络的切换认证

预备知识

当用户UE从源AP移动到目标AP的时候，UE要和目标AP进行交互认证和密钥协商（这是切换认证两个基本的安全需求）。
在5G网络中，5G新无线节点B（gNB）可以充当AP。在5G HetNets中，存在许多不同的切换身份验证方案，这些方案在身份验证服务器的部署，接入网络的类型和接入点的层级方面有所不同。
为了描述方便，直接用AP来代表接入网络，当UE通过最近的接入点来连接到核心网络。
AAA是验证、授权和记账（Authentication、Authorization、Accounting ）三个英文单词的简称。其主要目的是管理哪些用户可以访问网络服务器，具有访问权的用户可以得到哪些服务，如何对正在使用网络资源的用户进行记账。
在移动通信系统中，用户要访问网络资源，首先要进行用户的入网认证，这样用户才能访问网络资源。鉴别的过程就是验证用户身份的合法性；鉴别完成后，才能对用户访问网络资源进行授权，并对用户访问网络资源进行计费管理。一般来讲，鉴别过程由三个实体来完成的。用户（Client）、认证器（Authenticator）、AAA服务器（Authentication 、Authorization和Accounting Server）。在第三代移动通信系统的早期版本中，用户也称为MN（移动节点）Authenticator在NAS（Network Access Server）中实现，它们之间采用PPP协议，认证器和AAA服务器之间采用AAA协议 。
不过本篇文章中AAA不仅是服务器同时也是认证器
域内交换中，源AP和目标AP共享同一AAA认证服务器。域间切换就是，UE从一个AAA管理的源接入点AP移动到另一AAA管理的目标接入点AP 。
交换认证应同时满足的安全需求：相互认证，密钥协议，匿名性，可追溯性，鲁棒性，完美的前向保密性，主密钥前向保密性，已知的随机性安全性和密钥托管自由度。
参考
Robust and Universal Seamless Handover Authentication in 5G HetNets