《AI時代系列(5):掌握AI + 6G無線行動通訊網路 —— 超高速、零延遲、智慧城市全攻略 🌐》
57/100 📌 第 6 周:無線協定與流程 -規範裝置與網路如何連線、傳輸與切換。
57. 安全 🔐
AKA、IPsec、TLS —— 網路的護衛!
________________________________________
🎯 單元導讀
行動通訊不只是「能連上網」,還必須 保證安全。
從 SIM 卡身份驗證,到核心網加密,再到使用者應用的傳輸加密,安全協定層層把關,避免「假基站、竊聽、駭客入侵」。
👉 一句話:行動網路的安全機制就像守衛隊,AKA 負責驗證身份,IPsec 把隧道鎖緊,TLS 保護應用端到端。
________________________________________
🧠 一、AKA(Authentication and Key Agreement)
• 誰是誰?能不能上網?
• 基於 SIM/USIM 的密鑰挑戰回應機制。
• 核心網與 UE 驗證身份,並產生會話金鑰。
• 在 2G GSM → 3G UMTS → 4G LTE → 5G 中持續演進:
o GSM:簡單挑戰回應,較弱。
o UMTS/LTE:雙向驗證 + 演算法改進。
o 5G:SUCI(Subscription Concealed Identifier),避免 IMSI 暴露。
________________________________________
🧠 二、IPsec(Internet Protocol Security)
• 把核心網的隧道加密起來。
• 用於 eNodeB/gNodeB ↔ 核心網(EPC/5GC)的傳輸。
• 功能:加密、完整性驗證、防竄改。
• 在 S1/X2/N2/N3 介面 常見。
• 好比是「專屬保全車隊,確保資料不會被半路攔截」。
________________________________________
🧠 三、TLS(Transport Layer Security)
• 端到端應用安全協定。
• 用於行動應用與伺服器間(HTTPS、VoWiFi、APP 登入)。
• 提供加密、完整性、伺服器身份驗證。
• 例如:手機用戶開銀行 APP → TLS 確保交易資訊不外洩。
________________________________________
💻 四、ASCII 安全層級示意圖
[UE / SIM] ---- AKA ----> [核心網 HSS/UDM]
| |
|---- IPsec 隧道 --------> | (RAN ↔ Core 安全傳輸)
|
|---- TLS (HTTPS) ------> [應用伺服器]
這張圖展示了 行動網路中多層安全機制的整體架構。
首先,使用者端的 UE(手機)或 SIM 卡 會與核心網的 HSS / UDM 之間執行 AKA(Authentication and Key Agreement)認證機制,以確認身分與產生加密金鑰。這是最底層的「接入安全」,確保只有合法用戶能登入網路。
接著,在無線接取網(RAN)與核心網(Core)之間,資料會透過 IPsec 隧道 進行加密傳輸,保護通訊內容不被竊聽或篡改。
最後,當 UE 與外部的 應用伺服器(如網站、雲端服務)互動時,會再啟用 TLS / HTTPS 加密,確保端到端(End-to-End)的應用層安全。
👉 說明:
• AKA:確定用戶身份合法。
• IPsec:確保網路節點之間的傳輸安全。
• TLS:應用端到端的加密與保護。
________________________________________
🧩 五、實務應用
• 防假基站 → AKA 雙向驗證,避免 UE 連上假冒基站。
• 防內網竊聽 → IPsec 保護基站 ↔ 核心網隧道。
• 防駭客竊取 → TLS 保護 APP 資料(銀行、支付)。
• 5G 特點 → 使用 SUCI,避免 IMSI 以明文暴露;支援更細粒度安全策略。
________________________________________
🧪 六、模擬題
1️⃣ 專業題
請解釋 AKA 在 5G 中的改進,特別是 SUCI 的作用。
5G 採用改良版的 5G-AKA(Authentication and Key Agreement),相較於 4G 的 EPS-AKA,主要強化了「使用者隱私保護」與「認證完整性」。
在 4G 時代,用戶的永久身分識別碼 IMSI 可能以明文傳輸,存在被攔截追蹤的風險。
5G 為此引入 SUCI(Subscription Concealed Identifier,隱藏用戶識別碼)。
運作方式:
• UE 不再直接傳送 SUPI(真實用戶 ID),而是用公鑰加密後生成 SUCI。
• 核心網的 UDM/AUSF 會使用私鑰解密並驗證。
• 即使被攔截,外部攻擊者也無法還原真實用戶身份。
✅ 結論:
SUCI 是 5G 安全的關鍵創新,透過公鑰加密隱藏使用者身分,
有效防止 IMSI 攻擊與用戶追蹤。
________________________________________
2️⃣ 應用題
如果一個企業專網需要確保基站 ↔ 核心網資料不被攔截,你會建議部署什麼安全協定?為什麼?
建議部署 IPsec(Internet Protocol Security) 隧道加密機制。
原因:
1. 點對點加密(End-to-End Protection):
在基地台(gNodeB)與核心網(5GC)間建立安全通道,防止中途竊聽與封包竄改。
2. 標準化支援:
IPsec 是 3GPP 規範指定的安全傳輸協定,支援 AES 加密與完整性驗證。
3. 靈活部署:
可應用於公網或私網環境,適合企業專網或工業 IoT 網路。
✅ 結論:
IPsec 能保障 RAN 與 Core 間的所有資料加密傳輸,
是 5G 專網最穩定、最廣泛採用的基站級安全方案。
________________________________________
3️⃣ 情境題
某銀行用戶抱怨手機 APP 資料外洩,你會如何判斷是 TLS 問題還是行動網路核心安全問題?
可依下列邏輯分析:
1. 檢查應用層(TLS)是否加密:
o 若 APP 使用 HTTP 而非 HTTPS,或 TLS 憑證過期、加密套件弱,
→ 資料可能在「應用層」被竊聽。
o 表現症狀:僅特定 APP 外洩,其他行動服務正常。
2. 檢查行動網核心安全:
o 若多個用戶跨不同 APP 都有異常,
→ 可能是核心網連線(如 IPsec 隧道)被破壞或未啟用。
o 表現症狀:多數用戶出現連線異常或封包洩漏。
3. 實務判斷原則:
o 單一 APP 外洩 → 多半是 TLS 問題(應用層漏洞)。
o 全區或多服務外洩 → 可能是 核心網安全問題(傳輸層未加密)。
✅ 結論:
若僅影響銀行 APP,優先檢查 TLS 憑證與 HTTPS 配置;
若影響整個行動網,則應檢查 IPsec、AKA 等核心安全層設定。
5G-AKA 用 SUCI 隱藏身分、IPsec 保傳輸安全、TLS 守應用端;
三層防護並行,才能讓用戶資料真正「從 SIM 到雲端都安全」。
________________________________________
✅ 七、小結與啟示
• AKA:驗證身份,建立金鑰。
• IPsec:保護無線接取網路與核心網之間的傳輸安全。
• TLS:確保應用端到端的數據不被竊取。
• 三層保護 → 從 接入 → 傳輸 → 應用 全面安全。
👉 一句話總結:AKA 像驗身證,IPsec 像裝甲運輸車,TLS 像保險箱,三者合力守護行動網路的安全。
