UE和ng-eNB之间的加密和完整性保护的支持和使用与SEA中UE和eNB之间的加密和完整性保护的支持和使用相同。安全架构如图1所示。

PEI（Permanent Equipment Identifier）应安全地存储在UE中，以确保PEI的完整性。

用户数据和信令数据保密

UE应支持UE和gNB之间的用户数据加密。

UE应基于gNB发送的指示激活用户数据的加密。

UE应支持RRC和NAS信令的加密。

UE应实现以下加密算法：

UE可以实现以下128-NEA3加密算法：

UE和gNB之间的用户数据的机密性保护是可选的。

RRC信令和NAS信令的保密保护是可选的。

用户数据和信令数据的完整性

UE应支持UE与gNB之间用户数据的完整性保护和重放保护。UE应支持以任何数据速率对用户数据的完整性保护，该数据速率不超过且包括UE支持的最高数据速率。

UE应基于gNB发送的指示激活用户数据的完整性保护。

UE应支持RRC和NAS信令的完整性保护和重放保护电脑。

UE应实现以下完整性保护算法：

UE可以实现以下完整性保护算法：

UE和gNB之间的用户数据的完整性保护是可选的。

订阅凭据的安全存储和处理

以下要求适用于接入5G网络的订阅凭证的存储和处理：

1. 订阅凭证应使用防篡改安全硬件组件在UE内受到完整性保护。

2. 订阅凭证（即K）的长期密钥应在UE内使用防篡改安全硬件组件进行保密保护。

3. 订阅凭证的长期密钥不得在防篡改安全硬件组件的透明外部可用。

使用订阅凭证的认证算法应始终在防篡改安全硬件组件内执行。

应能够根据防篡改安全硬件组件的相应安全要求进行安全评估/评估。

用户隐私

UE应支持5G-GUTI。

除了路由信息，例如移动国家代码（MCC）和移动网络代码（MNC），SUPI不应通过NG-RAN以明文形式传输。

归属网络公钥应存储在USIM中。

保护方案标识符应存储在USIM中。

归属网络公钥标识符应存储在USIM中。

SUCI计算指示（USIM或ME计算SUCI）应存储在USIM中。

ME将支持null-scheme。如果归属网络未在USIM中设置本地网络公钥，未提供初始注册过程中的SUPI保护。在这种情况下，ME将使用null-scheme。

根据USIM指示的本地运营商的决定，SUCI的计算应由USIM或ME执行。

备注：如果SUCI计算指示不存在，则计算在ME中。

如果是未经验证的紧急呼叫，SUPI不需要隐私保护。

在USIM中提供和更新本地网络公钥、本地网络公钥标识符、保护方案标识符、路由指示符和SUCI计算电脑指示应由本地网络运营商控制。

用户隐私的实现应在用户本地网络的控制下进行。

只有在建立了NAS安全上下文之后，UE才能在NAS协议中发送PEI，除非在紧急注册期间无法建立NAS安全上下文。

路由指示器应存储在USIM中。如果USIM中不存在路由指示符，ME应将其设置为默认值。