UE和ng-eNB之间的加密和完整性保护的支持和使用与SEA中UE和eNB之间的加密和完整性保护的支持和使用相同。安全架构如图1所示。
PEI(Permanent Equipment Identifier)应安全地存储在UE中,以确保PEI的完整性。
用户数据和信令数据保密
UE应支持UE和gNB之间的用户数据加密。
UE应基于gNB发送的指示激活用户数据的加密。
UE应支持RRC和NAS信令的加密。
UE应实现以下加密算法:
NEA0、128-NEA1、128-NEA2,见图2。UE可以实现以下128-NEA3加密算法:
电脑UE和gNB之间的用户数据的机密性保护是可选的。
RRC信令和NAS信令的保密保护是可选的。
用户数据和信令数据的完整性
UE应支持UE与gNB之间用户数据的完整性保护和重放保护。UE应支持以任何数据速率对用户数据的完整性保护,该数据速率不超过且包括UE支持的最高数据速率。
UE应基于gNB发送的指示激活用户数据的完整性保护。
UE应支持RRC和NAS信令的完整性保护和重放保护电脑。
UE应实现以下完整性保护算法:
NIA0、128-NIA1、128-NIA2。UE可以实现以下完整性保护算法:
128-NIA3UE和gNB之间的用户数据的完整性保护是可选的。
订阅凭据的安全存储和处理
以下要求适用于接入5G网络的订阅凭证的存储和处理:
1. 订阅凭证应使用防篡改安全硬件组件在UE内受到完整性保护。
2. 订阅凭证(即K)的长期密钥应在UE内使用防篡改安全硬件组件进行保密保护。
3. 订阅凭证的长期密钥不得在防篡改安全硬件组件的透明外部可用。
使用订阅凭证的认证算法应始终在防篡改安全硬件组件内执行。
应能够根据防篡改安全硬件组件的相应安全要求进行安全评估/评估。
用户隐私
UE应支持5G-GUTI。
除了路由信息,例如移动国家代码(MCC)和移动网络代码(MNC),SUPI不应通过NG-RAN以明文形式传输。
归属网络公钥应存储在USIM中。
保护方案标识符应存储在USIM中。
归属网络公钥标识符应存储在USIM中。
SUCI计算指示(USIM或ME计算SUCI)应存储在USIM中。
ME将支持null-scheme。如果归属网络未在USIM中设置本地网络公钥,未提供初始注册过程中的SUPI保护。在这种情况下,ME将使用null-scheme。
根据USIM指示的本地运营商的决定,SUCI的计算应由USIM或ME执行。
备注:如果SUCI计算指示不存在,则计算在ME中。
如果是未经验证的紧急呼叫,SUPI不需要隐私保护。
在USIM中提供和更新本地网络公钥、本地网络公钥标识符、保护方案标识符、路由指示符和SUCI计算电脑指示应由本地网络运营商控制。
用户隐私的实现应在用户本地网络的控制下进行。
只有在建立了NAS安全上下文之后,UE才能在NAS协议中发送PEI,除非在紧急注册期间无法建立NAS安全上下文。
路由指示器应存储在USIM中。如果USIM中不存在路由指示符,ME应将其设置为默认值。
电脑