5G系统安全对UE的要求
UE和ng-eNB之间的加密和完整性保护的支持和使用与SEA中UE和eNB之间的加密和完整性保护的支持和使用相同。安全架构如图1所示。
PEI(Permanent Equipment Identifier)应安全地存储在UE中,以确保PEI的完整性。
(IV) User Application Provider Application Application stratum (III) (I) (I) USIM (II) (I) (I) HE SN (II) Home stratum/ Serving Stratum ME (I) (I) AN Transport stratum
图1: 安全架构视图
用户数据和信令数据保密
UE应支持UE和gNB之间的用户数据加密。 UE应基于gNB发送的指示激活用户数据的加密。 UE应支持RRC和NAS信令的加密。 UE应实现以下加密算法:
? NEA0、128-NEA1、128-NEA2,见图2。 UE可以实现以下128-NEA3加密算法:
COUNT DIRECTION BEARER COUNT DIRECTION MESSAGE MESSAGE BEARER KEY NIA KEY NIA Sender MAC-I/NAS-MAC XMAC-I/XNAS-MAC Receiver
图2: MAC-I/NAS-MAC (或XMAC-I/XNAS-MAC)派生
UE和gNB之间的用户数据的机密性保护是可选的。 RRC信令和NAS信令的保密保护是可选的。 用户数据和信令数据的完整性
UE应支持UE与gNB之间用户数据的完整性保护和重放保护。UE应支持以任何数据速率对用户数据的完整性保护,该数据速率不超过且包括UE支持的最高数据速率。
UE应基于gNB发送的指示激活用户数据的完整性保护。 UE应支持RRC和NAS信令的完整性保护和重放保护。 UE应实现以下完整性保护算法: ? NIA0、128-NIA1、128-NIA2。 UE可以实现以下完整性保护算法: ? 128-NIA3
UE和gNB之间的用户数据的完整性保护是可选的。 订阅凭据的安全存储和处理
以下要求适用于接入5G网络的订阅凭证的存储和处理:
1. 订阅凭证应使用防篡改安全硬件组件在UE内受到完整性保护。 2. 订阅凭证(即K)的长期密钥应在UE内使用防篡改安全硬件组件进行保密保
护。
3. 订阅凭证的长期密钥不得在防篡改安全硬件组件的透明外部可用。 使用订阅凭证的认证算法应始终在防篡改安全硬件组件内执行。
应能够根据防篡改安全硬件组件的相应安全要求进行安全评估/评估。 用户隐私
UE应支持5G-GUTI。
除了路由信息,例如移动国家代码(MCC)和移动网络代码(MNC),SUPI不应通过NG-RAN以明文形式传输。 归属网络公钥应存储在USIM中。 保护方案标识符应存储在USIM中。 归属网络公钥标识符应存储在USIM中。
SUCI计算指示(USIM或ME计算SUCI)应存储在USIM中。
ME将支持null-scheme。如果归属网络未在USIM中设置本地网络公钥,未提供初始注册过程中的SUPI保护。在这种情况下,ME将使用null-scheme。
根据USIM指示的本地运营商的决定,SUCI的计算应由USIM或ME执行。 备注:如果SUCI计算指示不存在,则计算在ME中。 如果是未经验证的紧急呼叫,SUPI不需要隐私保护。
在USIM中提供和更新本地网络公钥、本地网络公钥标识符、保护方案标识符、路由指示符和SUCI计算指示应由本地网络运营商控制。 用户隐私的实现应在用户本地网络的控制下进行。
只有在建立了NAS安全上下文之后,UE才能在NAS协议中发送PEI,除非在紧急注册期间无法建立NAS安全上下文。
路由指示器应存储在USIM中。如果USIM中不存在路由指示符,ME应将其设置为默认值。