6.9 Xử lý bảo mật trong tính di động.

6.9.1 Chung.

Lưu ý của biên tập viên: Việc sử dụng KSEAF trong liên kết 4G-5G là ffs và có thể ảnh hưởng đến điều
khoản này.

6.9.2 Xử lý chính trong bàn giao.

6.9.2.1 Chung.

6.9.2.1.1 Tiếp cận địa tầng.

Nguyên tắc chung của xử lý khóa đối với KNG-RAN * / NH khi bàn giao được mô tả trong Hình
6.9.2.1.1-1.

Sau đây là phác thảo của mô hình xử lý khóa để làm rõ cấu trúc dự kiến của các dẫn xuất khóa. Đặc
điểm kỹ thuật chi tiết được cung cấp trong các điều khoản phụ 6.9.2.2 và 6.9.2.3.

Bất cứ khi nào bối cảnh bảo mật AS ban đầu cần được thiết lập giữa UE và gNB, AMF và UE sẽ lấy ra
một KgNB và một tham số Next Hop (NH). KgNB và NH có nguồn gốc từ KAMF. Bộ đếm chuỗi NH
(NCC) được liên kết với mỗi tham số KgNB và NH. Mọi KgNB được liên kết với NCC tương ứng với giá
trị NH mà từ đó nó được tạo ra. Ở thiết lập ban đầu, KgNB được lấy trực tiếp từ KAMF, và sau đó
được coi là liên kết với một tham số NH ảo có giá trị NCC bằng không. Tại thiết lập ban đầu, giá trị
NH bắt nguồn được liên kết với giá trị NCC.

CHÚ THÍCH 1: Tại UE, dẫn xuất NH liên quan đến NCC = 1 có thể bị trì hoãn cho đến khi lần chuyển
giao đầu tiên thực hiện dẫn xuất khóa dọc.

AMF có gửi KKhóa gNB hoặc cặp {NH, NCC} đối với gNB phục vụ được mô tả chi tiết trong các mệnh
đề phụ
và 6.9.2.3. AMF sẽ không gửi giá trị NH tới gNB khi thiết lập kết nối ban đầu. GNB sẽ khởi tạo giá trị
NCC bằng 0 sau khi nhận được thông báo Yêu cầu thiết lập ngữ cảnh ban đầu NGAP.

LƯU Ý 2: Vì AMF không gửi giá trị NH tới gNB khi thiết lập kết nối ban đầu, giá trị NH được liên kết
với giá trị NCC không thể được sử dụng trong lần chuyển giao Xn tiếp theo hoặc lần chuyển giao
trong gNB tiếp theo, cho lần chuyển giao Xn tiếp theo hoặc lần chuyển giao nội bộ tiếp theo của gNB
dẫn xuất khóa ngang (xem Hình 6.9.2.1.1-1) sẽ được áp dụng.

CHÚ THÍCH 3: Một trong các quy tắc được chỉ định cho AMF trong điều khoản phụ 6.9.2.3.3 của tài
liệu này nêu rõ rằng AMF luôn tính toán một cặp {NH, NCC} mới được cấp cho gNB đích. Hàm ý của
điều này là cặp {NH, NCC} đầu tiên sẽ không bao giờ được sử dụng để lấy KgNB. Nó chỉ đóng vai trò
là giá trị ban đầu cho chuỗi NH.

UE và gNB sử dụng KgNB để bảo mật thông tin liên lạc giữa nhau. Khi chuyển giao, cơ sở cho KgNB sẽ
được sử dụng giữa UE và gNB mục tiêu, được gọi là KNG-RAN *, được lấy từ KgNB hiện đang hoạt
động hoặc từ tham số NH. Nếu KNG-RAN * có nguồn gốc từ KgNB hiện đang hoạt động thì điều này
được gọi là dẫn xuất khóa ngang (xem Hình 6.9.2.1.1-1) và nếu KNG-RAN * có nguồn gốc từ tham số
NH thì dẫn xuất được tham chiếu như một dẫn xuất khóa dọc (xem Hình 6.9.2.1.1-1).

Vì các tham số NH chỉ được UE và AMF tính toán nên nó được sắp xếp để các tham số NH được cung
cấp cho các gNB từ AMF theo cách có thể đạt được bảo mật chuyển tiếp.

Khi chuyển giao với dẫn xuất khóa dọc, NH liên kết thêm với PCI mục tiêu và tần số ARFCN-DL của nó
trước khi nó được đưa vào sử dụng làm KgNB trong gNB mục tiêu. Khi chuyển giao có dẫn xuất khóa
ngang, KgNB hiện đang hoạt động được liên kết thêm với PCI mục tiêu và tần số ARFCN-DL của nó
trước khi được đưa vào sử dụng làm KgNB trongmục tiêu gNB.

6.9.2.1.2 Địa tầng không truy cập.

Trong quá trình di chuyển, các khía cạnh NAS cần được xem xét là khả năng KAMF thay đổi, thuật
toán NAS có thể thay đổi tại thay đổi AMF và sự hiện diện có thể có của kết nối NAS song song. Có
khả năng AMF nguồn và AMF đích không hỗ trợ cùng một tập hợp các thuật toán NAS hoặc có các
ưu tiên khác nhau về việc sử dụng các thuật toán NAS. Trong trường hợp này, AMF mục tiêu lấy lại
các khóa NAS từ KAMF hiện có (nếu không thay đổi) hoặc lấy lại các khóa NAS từ KAMF mới (nếu
thay đổi) bằng cách sử dụng danh tính thuật toán NAS và các loại thuật toán NAS làm đầu vào cho
dẫn xuất khóa NAS chức năng (xem Phụ lục A.8). Khi KAMF không thay đổi, tất cả các đầu vào, đặc
biệt là KAMF, sẽ giống nhau trong việc tái dẫn xuất ngoại trừ nhận dạng thuật toán NAS. Khi KAMF
đã thay đổi, các khóa NAS mới được tạo ra bất kể sự thay đổi trong thuật toán NAS.

Trong trường hợp KAMF đã thay đổi hoặc AMF mục tiêu quyết định sử dụng các thuật toán NAS khác
với các thuật toán được sử dụng bởi AMF nguồn, AMF đích sẽ cung cấp các tham số cần thiết cho UE
như được định nghĩa trong Điều 6.9.2.3.3 cho N2-Handover (tức là sử dụng NAS Vùng chứa) và Điều
khoản 6.9.3 để cập nhật đăng ký di động (tức là sử dụng NAS SMC).

CHÚ THÍCH 1: Chính sách của mỗi nhà điều hành là cách định cấu hình lựa chọn các kiểu chuyển giao.
Tùy thuộc vào yêu cầu bảo mật của nhà điều hành, nhà điều hành có thể quyết định xem có chuyển
giao Xn hoặc N2 cho một gNB cụ thể hay không theo các đặc điểm bảo mật của một gNB cụ thể.
CHÚ THÍCH 2: Các chỉ báo thay đổi quan trọng sau liên quan đến việc bàn giao N2. 1) Nguồn AMF chỉ
ra yêu cầu bắt buộc lại khóa AS nghĩa là KAMF được gửi bởi AMF nguồn đến AMF đích không đồng
bộ với gNB hiện tại bằng keyAmfChangeInd (KAMF Change Indicator). 2) Nguồn AMF chỉ ra rằng
KAMF do AMF nguồn gửi đến AMF đích đã được tính toán bằng cách sử dụng phép lấy KAMF ngang
với keyAmfHDerivationInd (KAMF Horizontal Derivation Indicator). 3) AMF mục tiêu chỉ ra một dẫn
xuất KAMF theo chiều ngang tới UE với K_AMF_change_flag trong Vùng chứa NAS để thông báo cho
lớp NAS của UE thay đổi KAMF. 4). AMF đích chỉ ra khóa anAS đang khóa lại NG-RAN bằng NSCI (Chỉ
báo ngữ cảnh bảo mật mới).KAMF thay vì NH và NCC cần được đặt lại về 0.

6.9.2.2 Các dẫn xuất chính cho quy trình sửa đổi ngữ cảnh.

Như đã nêu trong điều 6.9.2.1, bất cứ khi nào một K mớigNB được tính toán từ KAMF, AMF sẽ
chuyển KgNB tới gNB phục vụ trong một thông báo sửa đổi ngữ cảnh bảo mật trong gNB. AMF và UE
sẽ tính KgNB mới như được định nghĩa trong Phụ lục A.9 theo các quy tắc trong điều 6.9.6.4. Giá trị
NCC 0 được liên kết với KgNB mới. Từ KgNB mới, gNB và UE sẽ tính KgNB * và sau đó sử dụng KgNB *
đã tính toán làm KgNB như được mô tả trong điều 6.9.4.4.

LƯU Ý 1: Không giống như EPS, trong 5GS ngữ cảnh bảo mật NAS và AS được đồng bộ hóa như một
phần của thủ tục chuyển giao, nếu xảy ra chuyển giao. Xem các điều khoản phụ trong điều khoản
6.9.2.3 (các dẫn xuất chính trongbàn giao) của tài liệu hiện tại.

6.9.2.3 Các phát sinh chính trong quá trình bàn giao.

6.9.2.3.1 Chuyển giao Intra-gNB-CU.

GNB sẽ có một chính sách quyết định việc nội bộ gNB -CU chuyển giao KgNB có thể được giữ lại và
tại đó một KgNB mới cần được tạo ra. Khi chuyển giao trong gNB-CU, gNB sẽ chỉ ra cho UE biết liệu
có nên thay đổi hoặc giữ lại KgNB hiện tại trong bản tin HO Command hay không. Việc giữ lại KgNB
hiện tại chỉ nên được thực hiện trong quá trình chuyển giao nội bộ gNB-CU.

Nếu K hiện tạigNB sẽ được thay đổi, gNB và UE phải lấy KgNB * như trong Phụ lục A.11 bằng cách sử
dụng PCI mục tiêu, tần số ARFCN-DL của nó và NH hoặc KgNB hiện tại tùy thuộc vào các tiêu chí sau:
gNB sẽ sử dụng NH để dẫn xuất KgNB * nếu cặp {NH, NCC} chưa sử dụng có sẵn trong gNB (đây được
gọi là dẫn xuất khóa dọc), ngược lại nếu không có cặp {NH, NCC} chưa sử dụng nào trong gNB, thì
gNB sẽ lấy KgNB * từ KgNB hiện tại (đây được gọi là dẫn xuất khóa ngang). GNB sẽ gửi NCC được sử
dụng cho dẫn xuất KgNB * tới UE trong bản tin HO Command. GNB và UE sẽ sử dụng KgNB * làm
KgNB, sau khi bàn giao.

Nếu K hiện tạigNB sẽ được giữ lại, gNB và UE sẽ tiếp tục sử dụng KgNB hiện tại, sau khi bàn giao.

LƯU Ý: Điều khoản này cũng có thể áp dụng khi gNB được thực hiện như một đơn vị duy nhất, tức là
khi gNB không được tách thành CU và DU.

6.9.2.3.2 Xin bàn giao.

Như trong chuyển giao nội bộ gNB, đối với chuyển giao Xn, gNB nguồn sẽ thực hiện dẫn xuất khóa
dọc trong trường hợp nó có cặp {NH, NCC} không được sử dụng. Đầu tiên gNB nguồn sẽ tính KgNB *
từ PCI mục tiêu, tần số ARFCN-DL của nó và từ KgNB hiện đang hoạt động trong trường hợp lấy khóa
ngang hoặc từ NH trong trường hợp lấy khóa dọc như mô tả trong Phụ lục A.11.

Tiếp theo, gNB nguồn sẽ chuyển tiếp {KgNB *, NCC} ghép nối với gNB đích. GNB đích sẽ sử dụng
KgNB * nhận được trực tiếp dưới dạng KgNB được sử dụng với UE. GNB đích sẽ liên kết giá trị NCC
nhận được từ gNB nguồn với KgNB. GNB đích sẽ bao gồm NCC đã nhận vào bản tin HO Command đã
chuẩn bị sẵn, bản tin này được gửi trở lại gNB nguồn trong một vùng chứa trong suốt và được
chuyển tiếp đến UE bởi gNB nguồn.

Khi gNB đích đã hoàn thành báo hiệu chuyển giao với UE, nó sẽ gửi một bản tin YÊU CẦU NGAP PATH
SWITCH tới AMF. Sau khi nhận được YÊU CẦU CHUYỂN ĐỔI NGAP PATH, AMF sẽ tăng một giá trị NCC
được lưu giữ cục bộ của mình và tính toán một NH mới từ dữ liệu được lưu trữ của mình bằng cách
sử dụng chức năng được xác định trong Phụ lục

A.10. AMF sẽ sử dụng KAMF từ bối cảnh bảo mật NAS 5G hiện đang hoạt động để tính toán NH mới.
Sau đó, AMF sẽ gửi cặp {NH, NCC} mới được tính toán tới gNB đích trong thông báo NGAP PATH
SWITCH REQUEST ACKNOWLEDGE. GNB đích sẽ lưu trữ cặp {NH, NCC} đã nhận để chuyển giao tiếp
và loại bỏ các cặp {NH, NCC} chưa được sử dụng khác đã được lưu trữ nếu có.

Nếu AMF đã kích hoạt bối cảnh bảo mật NAS 5G mới với K mớiAMF, khác với ngữ cảnh bảo mật NAS
5G mà ngữ cảnh bảo mật 5G AS hiện đang hoạt động dựa trên ngữ cảnh bảo mật 5G AS hiện đang
hoạt động, nhưng chưa thực hiện thành công quy trình Sửa đổi ngữ cảnh UE, thông báo NGAP PATH
SWITCH REQUEST ACKNOWLEDGE đã gửi cũng phải chứa NSCI (Bảo mật mới Chỉ báo ngữ cảnh).
Trong trường hợp này, AMF sẽ lấy KgNB ban đầu mới từ KAMF mới và NAS COUNT đường lên trong
thông báo Hoàn thành Chế độ bảo mật NAS gần đây nhất như được chỉ định trong Phụ lục

A.9. AMF sẽ liên kết K ban đầu mới dẫn xuấtgNB với giá trị NCC mới bằng không. Sau đó, AMF sẽ sử
dụng cặp {KgNB ban đầu mới dẫn xuất, giá trị NCC mới được khởi tạo bằng 0} làm cặp {NH, NCC} mới
được tính toán sẽ được gửi trong thông báo NGAP PATH SWITCH REQUEST ACKNOWLEDGE. Trong
trường hợp này, gNB sẽ đặt giá trị của trường keyChangeIndicator thành true trong các lần chuyển
giao tiếp theo. Trong trường hợp này, gNB phải thực hiện chuyển giao nội bộ gNB ngay lập tức và gửi
phản hồi thích hợp đến AMF.

LƯU Ý: Bởi vì bản tin NGAP PATH SWITCH REQUEST được truyền sau khi chuyển giao liên kết vô
tuyến, nó chỉ có thể được sử dụng để cung cấp vật liệu khóa cho thủ tục chuyển giao tiếp theo. Do
đó, đối với việc phân tách khóa Xn-handovers chỉ xảy ra sau hai bước vì gNB nguồn biết các khóa
gNB đích. GNB mục tiêu có thể ngay lập tức bắt đầu bàn giao trong nội bộ gNB để đưa NH mới vào
sử dụng sau khi NH mới có đã đến thông báo PATH SWITCH REQUEST ACKNOWLEDGE.

6.9.2.3.3 N2-Bàn giao.

Khi nhận được thông báo YÊU CẦU NGAP HANDOVER, nếu nguồn AMF không thay đổi K hoạt
độngAMF (có nghĩa là không có dẫn xuất KAMF theo chiều ngang) và nếu không yêu cầu khóa lại
khóa AS, AMF nguồn sẽ tăng giá trị NCC được lưu giữ cục bộ của nó lên một và tính toán NH mới từ
dữ liệu được lưu trữ bằng cách sử dụng chức năng được xác định trong Phụ lục A.10. AMF nguồn sẽ
sử dụng KAMF từ ngữ cảnh bảo mật 5GS NAS hiện đang hoạt động để tính toán NH mới. AMF nguồn
sẽ gửi cặp {NH, NCC} mới tới AMF đích trong thông báo Namf_Communication_CreateUEContext
Request. Ngoài ra, thông báo Namf_Communication_CreateUEContext Request phải chứa KAMF
được sử dụng để tính cặp {NH, NCC} mới và ngKSI tương ứng của nó và các COUNT NAS đường lên
và đường xuống tương ứng.

Nếu nguồn AMF đã kích hoạt bối cảnh bảo mật NAS 5G mới với K mớiAMF, khác với ngữ cảnh bảo
mật NAS 5G mà ngữ cảnh bảo mật 5G AS hiện đang hoạt động dựa trên ngữ cảnh bảo mật 5G AS
hiện đang hoạt động, nhưng chưa thực hiện thành công quy trình Sửa đổi ngữ cảnh UE, thông báo
Namf_Communication_CreateUEContext Request cũng phải chứa chỉ báo rằng KAMF được gửi bởi
nguồn AMF để nhắm mục tiêu AMF không đồng bộ với KgNB hiện tại (tức là keyAmfChangeInd), có
nghĩa là cần phải khóa lại khóa AS.
Nguồn AMF sử dụng chính sách cục bộ của nó để xác định xem có thực hiện K ngangAMF dẫn xuất
trên KAMF hiện đang hoạt động. Nếu tính toán KAMF theo chiều ngang được thực hiện, Yêu cầu
Namf_Communication_CreateUEContext sẽ chứa một dấu hiệu (ví dụ: keyAmfHDerivatoinInd) rằng
KAMF mới đã được tính toán, một dấu hiệu (ví dụ: keyAmfChangeInd) rằng khóa AS khóa lại là bắt
buộc và NAS COUNT đường xuống được sử dụng trong dẫn xuất ngang của KAMF đã gửi. NgKSI cho
khóa KAMF mới dẫn xuất có cùng giá trị và cùng loại với ngKSI của KAMF hiện tại. AMF nguồn cũng
sẽ bao gồm ngKSI cho khóa KAMF mới dẫn xuất trong Namf_Communication_CreateUEContext
Request.

AMF nguồn sẽ luôn tăng COUNT NAS đường xuống lên một.

Không giống như thông báo YÊU CẦU LIÊN HỆ FORWARD của S10 trong EPS, thông báo
Namf_Communication_CreateUEContext Request trong 5G sẽ không chứa dữ liệu và siêu dữ liệu liên
quan đến ngữ cảnh bảo mật 5G cũ.

LƯU Ý 1: Không có.

Nếu AMF mục tiêu nhận được chỉ báo của K ngangDẫn xuất AMF (tức là keyAmfHDerivationInd), nó
sẽ lấy các khóa NAS từ KAMF nhận được như được chỉ định trong điều A.8 và đặt các ĐẾM NAS bằng
0. AMF mục tiêu sẽ tạo một NASC (NAS Container) chứa K_AMF_change_flag, NAS COUNT đường
xuống nhận được, ngKSI, các thuật toán bảo mật NAS đã chọn và NAS MAC. K_AMF_change_flag
được đặt thành một khi AMF đích nhận được keyAmfHDerivationInd_. Nếu không,
K_AMF_change_flag được đặt thành 0. Nếu AMF mục tiêu không nhận được keyAmfHDerivationInd
nhưng muốn thay đổi các thuật toán NAS, nó sẽ tạo một NASC bằng cách sử dụng các thuật toán bảo
mật NAS đã chọn theo cách tương tự như trường hợp dẫn xuất KAMF ngang. Tuy nhiên, AMF mục
tiêu sẽ không đặt các ĐẾM NAS thành 0.

AMF mục tiêu sẽ tính toán NAS MAC 32 bit dựa trên các tham số có trong NASC bằng cách sử dụng
KKhóa NASint. Các tham số đầu vào cho các thuật toán tính toàn vẹn của NAS 128-bit như được mô
tả trong Phụ lục D.3 sẽ được thiết lập như sau khi tính toán NAS MAC.

Việc tính toán NAS MAC sẽ là đầu ra 32 bit của NIA đã chọn và sẽ sử dụng các đầu vào sau:

- KEY: nó sẽ được đặt thành tương ứng KNASint;

- COUNT: nó sẽ được đặt thành 2 32-1;
- THÔNG ĐIỆP: nó sẽ được đặt thành nội dung của NAS Container như được định nghĩa trong
TS 24.501 [35];
- HƯỚNG: bit của nó sẽ được đặt thành 1; và
- BEARER: nó sẽ được đặt thành 0 (tức là giá trị của mã định danh kết nối NAS cho 3GPP
truy cập).

Việc sử dụng 232-1 làm giá trị của COUNT cho mục đích tính toán / xác minh NAS MAC không thực
sự đặt NAS COUNT thành 232-1. Lý do chọn một giá trị như vậy không nằm trong dải NAS COUNT
bình thường, tức là [0,

224-1] là để tránh mọi khả năng giá trị có thể được sử dụng lại cho các thông báo NAS bình thường.

Bảo vệ phát lại được thực hiện bằng cách UE kiểm tra xem NAS COUNT đường xuống có trong Bộ
chứa NAS có được phát lại hay không. UE sẽ không chấp nhận cùng một giá trị NAS COUNT đường
xuống hai lần trước khi một KAMF mới dẫn xuất được đưa vào sử dụng và NAS COUNT đường xuống
tương ứng được đặt thành 0. AMF mục tiêu sẽ tăng COUNT NAS đường xuống một sau khi tạo NASC.
NASC được đưa vào thông báo YÊU CẦU XỬ LÝ NGAP tới gNB đích. Mục đích của NASC này có thể
được so sánh với một thông điệp NAS SMC. Nếu AMF mục tiêu nhận được keyAmfChangeInd, nó sẽ
đặt NCC bằng 0 và sẽ tính thêm KgNB tạm thời như được định nghĩa trong Phụ lục A.9. Nó sẽ gửi
thêm cặp {NCC = 0, NH = KgNB} tạm thời và Chỉ báo bối cảnh bảo mật mới (NSCI) tới gNB mục tiêu
trong thông báo NGAP HANDOVER REQUEST. AMF mục tiêu sẽ đặt NCC thành một và sẽ tính toán
thêm một NH như quy định trong Phụ lục A.10. AMF mục tiêu sẽ lưu trữ thêm cặp {NCC = 1, NH}.

LƯU Ý 2: Bộ chứa NAS (NASC) được định nghĩa là bộ chứa trong suốt chế độ Intra N1 NAS trong TS
24.501 [35].

LƯU Ý 3: NAS COUNT đường xuống luôn được bao gồm trong Yêu cầu
Namf_Communication_CreateUEContext và được AMF đích sử dụng cho tính toán NAS MAC. Điều
này cung cấp khả năng bảo vệ phát lại cho NASC.

Nếu AMF mục tiêu không nhận được keyAmfChangeInd, nó sẽ lưu trữ cục bộ KCặp AMF và {NH,
NCC} được nhận từ AMF nguồn và sau đó gửi cặp {NH, NCC} đã nhận đến gNB đích trong bản tin
NGAP HANDOVER REQUEST.

Khi nhận được thông báo YÊU CẦU XỬ LÝ NGAP từ AMF đích, gNB đích sẽ tính KgNB được sử dụng
với UE bằng cách thực hiện lấy khóa được xác định trong Phụ lục A.11 với cặp {NH, NCC} nhận được
trong NGAP XỬ LÝ Thông báo REQUEST và PCI mục tiêu và tần số ARFCN-DL của nó. GNB đích sẽ liên
kết giá trị NCC nhận được từ AMF với KgNB. GNB đích sẽ bao gồm giá trị NCC từ cặp {NH, NCC} đã
nhận và NASC nếu cũng nhận được, vào bản tin HO Command tới UE và xóa mọi cặp {NH, NCC} được
lưu trữ chưa sử dụng hiện có. Nếu gNB đích đã nhận được NSCI, nó sẽ đặt trường
keyChangeIndicator trong thông báo HO Command thành true.

CHÚ THÍCH 4: AMF nguồn có thể giống AMF đích trong mô tả trong điều khoản phụ này. Nếu vậy,
AMF đơn thực hiện các vai trò của cả AMF nguồn và đích. Trong trường hợp này, các hành động liên
quan đến thông báo N14được xử lý nội bộ trong AMF duy nhất.

6.9.2.3.4 Hành động của UE.

Hành vi của UE giống nhau bất kể việc chuyển giao là nội bộ gNB, Xn hay N2. Nếu UE cũng nhận được
NASC (NAS Container) trong thông báo HO Command, UE sẽ cập nhật ngữ cảnh bảo mật NAS của nó
như sau:

LƯU Ý 1: Mục đích của NASC này có thể được so sánh với một thông điệp NAS SMC.

UE sẽ xác minh tính mới của NAS COUNT đường xuống trong NASC.

Nếu NASC chỉ ra một K mớiAMFđã được tính toán (tức là K_AMF_change_flag là một),

UE sẽ tính toán K được suy ra theo chiều ngangAMFsử dụng KAMFtừ bảo mật NAS 5G hiện tạingữ
cảnh được xác định bởi ngKSI có trong NASC và NAS COUNT đường xuống trong NASC, như quy định
trong Phụ lục A.13.

UE sẽ gán ngKSI có trong NASC cho ngKSI của K mới dẫn xuấtAMF. UE sẽ cấu hình thêm bảo mật NAS
dựa trên K có nguồn gốc theo chiều ngangAMFvà bảo mật NAS đã chọncác thuật toán trong NASC.

UE sẽ xác minh thêm NAS MAC trong NASC như được mô tả trong Điều 6.9.2.3.3 và nếu việc xác
minh thành công, UE sẽ đặt thêm các ĐẾM NAS về 0.

Nếu KAMFthay đổi không được chỉ định,

Nếu xác minh thành công, UE sẽ định cấu hình bảo mật NAS dựa trên các tham số có trong NASC
nhưng không được đặt ĐẾM NAS thành 0.

UE sẽ xác minh MAC của NAS trong NASC.

UE sẽ đặt thêm giá trị NAS COUNT đường xuống của ngữ cảnh bảo mật NAS hiện đang hoạt động
thành giá trị NAS COUNT đường xuống nhận được trong NASC.

Nếu keyChangeIndicator trong lệnh HO là true

Nếu thông báo HO Command chứa một tham số NASC với K_AMF_change_flag được đặt thành một:

UE sẽ sử dụng K được suy ra theo chiều ngangAMFvà ĐẾM NAS bằng không trong dẫn xuất của K
tạm thờigNB. UE sẽ tiếp tục xử lý khóa tạm thời này như được mô tả trong mục 6.9.4.4.

Khác:

Việc xử lý UE liên quan đến dẫn xuất khóa phải được thực hiện như định nghĩa trong điều 6.9.4.4.

Khác

Nếu giá trị NCC mà UE nhận được trong bản tin HO Lệnh từ eNB đích qua gNB nguồn bằng giá trị
NCC được liên kết với K hiện đang hoạt độnggNB, UE sẽ lấy KgNB* từ K hiện đang hoạt độnggNBvà
PCI mục tiêu và tần số ARFCN-DL của nó bằng cách sử dụng chức năng được xác định trong Phụ lục
A.11.

Nếu UE nhận được giá trị NCC khác với NCC được liên kết với K hiện đang hoạt độnggNB, cácTrước
tiên, UE sẽ đồng bộ hóa tham số NH được lưu giữ cục bộ bằng cách tính toán lặp đi lặp lại chức năng
được xác định trong Phụ lục A.10 (và tăng giá trị NCC cho đến khi nó khớp với giá trị NCC nhận được
từ gNB nguồn qua bản tin lệnh HO. Khi các giá trị NCC khớp , UE sẽ tính toán KgNB* từ đồng bộ
hóaTham số NH và PCI mục tiêu và tần số ARFCN-DL của nó bằng cách sử dụng chức năng được xác
định trong Phụ lục A.11.

UE sẽ sử dụng KgNB * làm KgNB khi giao tiếp với gNB đích.

6.9.3 Xử lý chính trong cập nhật đăng ký di động.

Thủ tục sẽ được gọi bởi AMF mục tiêu sau khi nhận được thông báo Yêu cầu đăng ký cập nhật đăng
ký kiểu di động từ UE trong đó UE và AMF nguồn được xác định bằng số nhận dạng tạm thời 5G-
GUTI.

Các bước giao thức cho AMF nguồn và AMF đích thực hiện chuyển ngữ cảnh như sau:

a)AMF đích sẽ gửi một tin nhắn đến AMF nguồn, tin nhắn này chứa 5G-GUTI và bản tin Yêu cầu đăng
ký đã nhận.

b)AMF nguồn tìm kiếm dữ liệu của UE trong cơ sở dữ liệu và kiểm tra tính bảo vệ toàn vẹn trên
thông báo Yêu cầu đăng ký.

i) Nếu UE được tìm thấy và kiểm tra tính toàn vẹn thành công, khi AMF nguồn không thay đổi
KAMFtheođối với chính sách địa phương của mình, AMF nguồn sẽ gửi phản hồi lại rằng:

sẽ bao gồm SUPI, và có thể bao gồm bất kỳ bối cảnh bảo mật 5G hiện tại nào mà nó nắm giữ.

Nếu UE được tìm thấy và kiểm tra tính toàn vẹn thành công, khi AMF nguồn thay đổi KAMFtheo
nóchính sách địa phương, AMF nguồn sẽ gửi phản hồi lại rằng:
 - sẽ bao gồm SUPI,
- keyAmfHDerivationInd và có thể bao gồm bối cảnh bảo mật 5G mới mà nó bắt nguồn từ bối
cảnh hiện tại mà nó nắm giữ. Nguồn AMF sau đó xóa bối cảnh bảo mật 5G mà nó nắm giữ.

Nếu UE không thể được xác định hoặc kiểm tra tính toàn vẹn không thành công, thì AMF nguồn sẽ
gửi một phản hồi cho biết rằng không thể truy xuất mã định danh 5G-GUTI tạm thời.

C) Nếu AMF mục tiêu nhận được phản hồi với SUPI, nó sẽ tạo một mục nhập và lưu trữ bối cảnh bảo
mật 5G có thể đã được nhận biết.

Nếu AMF mục tiêu nhận được phản hồi cho thấy rằng UE không thể được xác định, nó sẽ bắt đầu
quy trình nhận dạng đăng ký được mô tả trong điều 6.12.4 của tài liệu này.

LƯU Ý: Không có.

KSEAF sẽ không được chuyển tiếp sang bộ AMF khác.

Tại bản cập nhật đăng ký di động, AMF nguồn sẽ sử dụng chính sách cục bộ để xác định xem có thực
hiện K ngangDẫn xuất AMF. Nếu AMF nguồn xác định không thực hiện dẫn xuất KAMF ngang, AMF
nguồn sẽ chuyển ngữ cảnh bảo mật hiện tại đến AMF đích. Nếu AMF nguồn xác định thực hiện dẫn
xuất KAMF ngang, AMF nguồn sẽ lấy KAMF khóa mới từ KAMF hiện đang hoạt động và giá trị NAS
COUNT đường lên trong thông báo Yêu cầu đăng ký đã nhận. NgKSI cho khóa KAMF mới dẫn xuất
được xác định chẳng hạn như trường giá trị và trường loại được lấy từ ngKSI của KAMF hiện tại. AMF
nguồn sẽ chuyển KAMF mới, ngKSI mới, khả năng bảo mật của UE, keyAmfHDerivationInd tới AMF
đích. Nguồn gốc chính của KAMF mới được quy định trong Phụ lục A.13. Nếu nguồn AMF đã dẫn
xuất một khóa KAMF mới,

Khi AMF mục tiêu nhận được K mớiAMF cùng với keyAmfHDerivationInd, sau đó AMF mục tiêu sẽ
quyết định có sử dụng KAMF trực tiếp theo chính sách cục bộ của nó hay không sau khi nhận được
phản hồi từ AMF nguồn.

Nếu AMF mục tiêu, theo chính sách địa phương, quyết định không sử dụng KAMF nhận được từ
AMF nguồn, nó có thể thực hiện quy trình xác thực lại tới UE để thiết lập bối cảnh bảo mật NAS mới.

Nếu AMF mục tiêu quyết định sử dụng khóa KAMF nhận được từ AMF nguồn (tức là không xác thực
lại), nó sẽ gửi K_AMF_change_flag được đặt thành 1 tới UE trong NAS SMC bao gồm các khả năng
bảo mật của UE được phát lại, các thuật toán NAS đã chọn và ngKSI để xác định KAMF mới mà từ đó
UE sẽ lấy KAMF mới để thiết lập bối cảnh bảo mật NAS mới giữa UE và AMF mục tiêu.

AMF mục tiêu sẽ đặt lại các ĐẾM NAS về 0 và lấy các khóa NAS mới (KNASint và KNASenc) từ KAMF
mới bằng cách sử dụng các số nhận dạng thuật toán NAS đã chọn làm đầu vào. AMF mục tiêu sẽ bảo
vệ toàn vẹn thông báo Lệnh Chế độ Bảo mật NAS bằng khóa KNASint mới.

Nếu UE nhận được K_AMF_change_flag được đặt thành 1 trong thông báo Lệnh chế độ bảo mật
NAS, thì UE sẽ lấy một khóa KAMF mới từ KAMF đang hoạt động hiện tại được xác định bởi ngKSI đã
nhận trong thông báo Lệnh chế độ bảo mật NAS bằng cách sử dụng giá trị NAS COUNT đường lên
được gửi trong tin nhắn Yêu cầu đăng ký. UE sẽ gán ngKSI nhận được trong thông báo Lệnh Chế độ
Bảo mật NAS cho ngKSI của KAMF mới dẫn xuất. UE sẽ lấy các khóa NAS mới (KNASint và KNASenc)
từ KAMF mới và kiểm tra tính toàn vẹn của thông báo Lệnh Chế độ Bảo mật NAS bằng cách sử dụng
khóa KNASint mới.

Sau đó, UE sẽ lấy K ban đầu mớigNB từ KAMF mới như quy định trong Phụ lục A.9.

UE sẽ liên kết K ban đầu mới dẫn xuấtgNB với giá trị NCC mới bằng 0 và đặt lại các ĐẾM NAS về 0.
Sau khi hoàn tất thành công thủ tục đăng ký di động đang diễn ra, ME sẽ thay thế các giá trị KAMF và
ngKSI hiện đang được lưu trữ trên cả USIM và ME bằng KAMF mới và ngKSI liên quan.

6.9.4 Key-change-on-the-fly.

6.9.4.1 Chung.

Thay đổi phím nhanh chóng bao gồm làm mới phím hoặc khóa lại phím.

Có thể làm mới khóa cho KgNB, KRRC-enc, KRRC-int, KUP-enc, KUP-int và sẽ được khởi tạo bởi gNB
khi một ĐẾM PDCP sắp được sử dụng lại với cùng danh tính Radio Bearer và với cùng một KgNB. Quy
trình được mô tả trong mục 6.9.4.5.

Có thể làm lại chìa khóa cho KgNB, KRRC-enc, KRRC-int, KUP-enc và KUP-int. Việc khóa lại này sẽ
được AMF bắt đầu khi bối cảnh bảo mật 5G AS khác với bối cảnh hiện đang hoạt động sẽ được kích
hoạt. Các thủ tục để thực hiện việc này được mô tả trong Điều 6.9.4.4.

AS Thay đổi khóa nhanh chóng được thực hiện bằng cách sử dụng quy trình dựa trên chuyển giao
nội bộ. Có thể thực hiện nhanh các thay đổi khóa AS sau: làm mới KgNB cục bộ (được thực hiện khi
các ĐẾM PDCP sắp kết thúc), khóa lại KgNB được thực hiện sau khi chạy AKA, kích hoạt ngữ cảnh gốc
sau khi chuyển giao từ E-UTRAN .

Ghi chú của người biên tập: Văn bản liên quan đến khóa NAS sau đây được điều chỉnh từ TS 33.401
và được lưu giữ ở đây để hoàn thiện và không bỏ sót chúng. Đó là FFS liệu họ có cần cập nhật theo
các thỏa thuận trong SA3 hay không và có nên chuyển chúng sang Khoản 6.5 hay không.

KNAS-enc và KNAS-int. Việc khóa lại KNAS-enc và KNAS-int sẽ được AMF bắt đầu khi bối cảnh bảo
mật NAS 5G khác với bối cảnh hiện đang hoạt động sẽ được kích hoạt. Các thủ tục để thực hiện việc
này được mô tả trong Điều 6.9.4.2.

Khóa lại toàn bộ hệ thống phân cấp khóa 5G bao gồm KAMF sẽ đạt được bằng cách đầu tiên khóa lại
KAMF, sau đó là KNAS-enc và KNAS-int, tiếp theo là khóa lại KgNB và các khóa dẫn xuất. Để thay đổi
khóa NAS nhanh chóng, kích hoạt khóa NAS làđược thực hiện bằng quy trình NAS SMC.

6.9.4.2 Khóa lại khóa NAS.

Lưu ý của người biên tập: Điều khoản này cần được cập nhật theo các thỏa thuận trong SA3 liên
quan đến khóa NAS là FFS hay không (ví dụ: số lượng khóa NAS, số lượng NAS SMC, dẫn xuất ngang
của KAMF, v.v.).

Sau khi xác thực chính diễn ra, các khóa NAS mới từ K mớiAMF phải được dẫn xuất, theo Phụ lục A.8.

Để kích hoạt lại bối cảnh bảo mật 5G gốc đầy đủ không hiện tại sau khi chuyển giao từ E-UTRAN, UE
và AMF đưa các khóa NAS vào sử dụng bằng cách chạy quy trình NAS SMC theo điều khoản 6.7.2.

AMF sẽ kích hoạt các khóa NAS mới từ một lần chạy xác thực chính hoặc kích hoạt ngữ cảnh bảo mật
gốc, có giá trị NAS COUNT đủ thấp, trước khi đường lên NAS hoặc COUNT đường xuống kết thúc với
hiện tạibối cảnh an ninh.

6.9.4.3 Làm mới khóa NAS.

Biên tập viên Lưu ý: Điều khoản này có nghĩa là bao gồm nội dung về KLàm mới AMF. Các kịch bản
để làm mới KAMF là FFS.

6.9.4.4 Đang khóa lại khóa AS.

KThủ tục khóa lại gNB do AMF bắt đầu. Nó có thể được sử dụng trong các điều kiện sau:

sau khi chạy AKA thành công với UE như một phần của việc kích hoạt bối cảnh bảo mật 5G gốc một
phần; hoặc như một phần của việc đồng bộ hóa ngữ cảnh bảo mật NAS và AS như một phần của thủ
tục chuyển giao, nếu quá trình chuyển giao đang diễn ra; hoặc như một phần của việc kích hoạt lại
bối cảnh bảo mật 5G gốc đầy đủ không hiện tại sau khi bàn giao từ E-UTRAN theo điều khoản 8.4;
hoặc để tạo một K mớigNBtừ K hiện tạiAMF.

LƯU Ý 1: Để thực hiện thay đổi quan trọng ngay lập tức của toàn bộ hệ thống phân cấp chính, AMF
phải thay đổi bối cảnh bảo mật 5G NAS trước khi thay đổi bối cảnh bảo mật 5G AS.

Để có thể khóa lại KgNB, AMF yêu cầu một NAS COUNT đường lên mới từ quy trình NAS SMC thành
công với UE. Trong trường hợp tạo một KgNB mới từ KAMF hiện tại, một thủ tục NAS SMC sẽ được
chạy trước để cung cấp NAS COUNT đường lên mới này. Thủ tục NAS SMC này không phải thay đổi
các tham số khác trong bối cảnh bảo mật NAS EPS hiện tại. AMF dẫn xuất KgNB mới bằng cách sử
dụng chức năng dẫn xuất khóa như được chỉ định trong Phụ lục A.9 bằng cách sử dụng KAMF và NAS
COUNT đường lên được sử dụng trong thông báo Hoàn thành Chế độ Bảo mật NAS gần đây nhất.
KgNB mới dẫn xuất được gửi đến gNB trong một thông báo YÊU CẦU SỬA ĐỔI TIẾP THEO NGAP UE
kích hoạt gNB thực hiện khóa lại khóa AS. GNB chạy quy trình thay đổi khóa một cách nhanh chóng
với UE. Trong quy trình này, gNB sẽ chỉ ra cho UE biết rằng một thay đổi quan trọng đang diễn ra.
Quy trình được sử dụng dựa trên chuyển giao nội bộ và do đó các bước dẫn xuất KgNB tương tự sẽ
được thực hiện như trong quy trình chuyển giao thông thường. GNB phải chỉ ra cho UE để thay đổi
KgNB hiện tại trong chuyển giao nội bộ trong quy trình này.

Việc xử lý phía mạng đối với việc khóa lại khóa AS xảy ra như một phần của quá trình chuyển giao Xn
và N2 được mô tả được định nghĩa trong các điều 6.9.2.3.2 và 6.9.2.3.3 của tài liệu này.

Khi UE nhận được chỉ báo rằng thủ tục này là một thủ tục thay đổi quan trọng, UE sẽ lấy KgNB tạm
thời bằng cách áp dụng chức năng dẫn xuất khóa như quy định trong Phụ lục A.9 bằng cách sử dụng
KAMF từ bối cảnh bảo mật NAS 5G hiện tại. và đường lên NAS COUNT trong thông báo Hoàn thành
Chế độ bảo mật NAS gần đây nhất. Việc xử lý lại khóa AS từ phía UE xảy ra như một phần của quá
trình chuyển giao Xn và N2 được mô tả trong điều 6.9.2.3.4 của tài liệu này.

Từ K tạm thời nàygNB UE phải lấy KNG-RAN * như bình thường (xem Phụ lục A.11 / A.12). GNB sẽ lấy
KgNB mà nó nhận được từ AMF, bằng với KgNB tạm thời, làm cơ sở cho các dẫn xuất KNG-RAN * của
nó. Từ bước này trở đi, các khóa dẫn xuất vẫn tiếp tục như trong quá trình chuyển giao thông
thường.

Nếu khóa lại mức AS không thành công, thì AMF sẽ hoàn thành quy trình chế độ bảo mật NAS khác
trước khi bắt đầu khóa lại mức AS mới. Điều này đảm bảo rằng một KgNB mới được sử dụng.

Thông số NH sẽ được xử lý theo các quy tắc sau:

UE, AMF và gNB sẽ xóa mọi NH cũ sau khi hoàn thành sửa đổi ngữ cảnh.

UE và AMF sẽ sử dụng KAMFtừ bối cảnh bảo mật NAS 5G đang hoạt động hiện tại để tính toánNH
tươi. Tính toán giá trị tham số NH được gửi trong Namf_Communication_CreateUEContext Request,
NGAP HANDOVER REQUEST và NGAP PATH SWITCH REQUEST ACKNOWLEDGE

thông báo phải được thực hiện theo các điều 6.9.2.3.2 và 6.9.2.3.3.

6.9.4.5 Làm mới phím AS .

Quy trình này dựa trên sự chuyển giao nội bộ tế bào. KChuỗi gNB được thực hiện trong quá trình
chuyển giao đảm bảo rằng KgNB được làm mới đối với RRC và UP COUNT sau thủ tục. GNB phải chỉ
ra cho UE đểthay đổi K hiện tạigNB trong chuyển giao nội bộ trong quy trình này.

6.9.5 Các quy tắc về chạy đồng thời các thủ tục bảo mật.

6.9.5.1 Các quy tắc liên quan đến đồng bộ hóa ngữ cảnh bảo mật AS và NAS.

Trong một số tình huống nhất định, việc chạy đồng thời các thủ tục bảo mật có thể dẫn đến sự
không phù hợp giữa các bối cảnh bảo mật trong mạng và UE. Để tránh sự không phù hợp như vậy,
các quy tắc sau đây phải được tuân thủ:

1.AMF ngẽ không khởi tạo bất kỳ quy trình N2 nào bao gồm khóa mới đối với UE nếu thủ tục Lệnh
Chế độ Bảo mật NAS đang diễn ra với UE.

2. AMF sẽ không khởi tạo Lệnh chế độ bảo mật NAS đối với UE nếu một trong các thủ tục N2 bao
gồm khóa mới đang diễn ra với UE.

3.Khi AMF đã gửi Lệnh chế độ bảo mật NAS đến UE để thực hiện một K mớiAMFsử dụng vànhận
được yêu cầu chuyển giao giữa các AMF hoặc chuyển giao giữa các RAT từ gNB đang phục vụ, AMF
sẽ đợi hoàn thành quy trình NAS SMC (tức là nhận được Chế độ bảo mật NAS Hoàn thành) trước khi
bắt đầu chuyển giao giữa các AMF hoặc bắt đầu một bàn giao inter-RAT.

4.Khi AMF đã bắt đầu quy trình Sửa đổi ngữ cảnh NGAP UE để thực hiện một K mớigNBđưa vào sử
dụng và nhận được yêu cầu chuyển giao giữa các AMF từ gNB đang phục vụ và quyết định không
thay đổi KAMFvìviệc chuyển giao giữa các AMF, AMF sẽ đợi hoàn thành (thành công hoặc không
thành công) của thủ tục Sửa đổi bối cảnh UE trước khi bắt đầu chuyển giao giữa các AMF.

5. AMF nguồn đã bắt đầu chuyển giao giữa các AMF cho AMF đích hoặc chuyển giao liên hệ thống
tới MME đích, AMF nguồn sẽ không gửi bất kỳ thông báo NAS đường xuống nào đến UE cho đến khi
nhận biết được rằng việc chuyển giao đã thất bại hoặc đã đã bị hủy bỏ.

6.9.5.2 Các quy tắc liên quan đến kết nối NAS song song.

Việc chạy đồng thời các thủ tục bảo mật song song trên hai kết nối NAS khác nhau khi kết thúc trong
cùng một AMF có thể dẫn đến các điều kiện chạy đua và sự không khớp giữa các bối cảnh bảo mật
trong mạng và UE. Để tránh sự không phù hợp như vậy, các quy tắc sau đây phải được tuân theo:

1. SEAF / AMF sẽ không bắt đầu xác thực chính hoặc thủ tục NAS SMC trong trường hợp xác
thực chính hoặc thủ tục NAS SMC đang diễn ra trên một kết nối NAS song song. Các thủ tục
xác thực theo sau là các thủ tục NAS SMC đưa bối cảnh bảo mật 5G mới vào sử dụng, sẽ
được thực hiện trên một kết nối báo hiệu NAS tại một thời điểm.
2. Khi AMF đã gửi Lệnh chế độ bảo mật NAS đến UE để thực hiện một K mớiAMFsử dụng
vànhận được thông báo yêu cầu chuyển ngữ cảnh cho UE từ một AMF khác, AMF sẽ đợi
hoàn thành quy trình NAS SMC (ví dụ: nhận được Chế độ bảo mật NAS Hoàn thành) trước
khi chuyển ngữ cảnh.
3. UE sẽ không bắt đầu đăng ký NAS qua kết nối NAS thứ hai với AMF của cùng một mạngtrước
khi xác thực chính trên kết nối NAS đầu tiên hoàn tất.