Professional Documents
Culture Documents
5G-Security-TS33501 VN-35-41
5G-Security-TS33501 VN-35-41
Một UE hỗ trợ cả 5GC NAS và EPC NAS có thể hoạt động trong:
- Chế độ đăng ký một lần: UE được kết nối với 5GC hoặc kết nối với EPC - Chế độ
đăng ký kép: UE có thể đăng ký độc lập với 5GC và EPC. • UE chỉ có thể được
Hỗ trợ chế độ SR là bắt buộc đối với các UE hỗ trợ cả 5GC NAS và EPC NAS.
- Tính di động ở chế độ kết nối (chuyển giao giữa các hệ thống) giữa EPC và 5GC
Trong giai đoạn 1, bắt buộc phải hỗ trợ liên kết với MME kế thừa
- MME kế thừa coi N26 là giao diện S10, không biết rằng nó đang nói chuyện với AMF ở phía bên kia
Bảo mật cho kết nối phần lớn sẽ tuân theo cơ chế bảo mật cho các tình huống MME <-> MME
Machine Translated by Google
Tác động bảo mật trong mỗi tình huống trong số bốn tình huống di động với N26
Không có tác động bảo mật đối với các tình huống di động mà không có N26
- Về nguyên tắc, thiếu N26 có nghĩa là UE phải đăng ký với mạng đích với đầy đủ xác thực và thiết lập khóa.
Ý tưởng là tránh xác thực khi di chuyển vào mạng mục tiêu.
Các khóa mới được tạo trong mạng đích dựa trên khóa mạng nguồn
Nguyên tắc cơ bản đằng sau tính di động ở chế độ nhàn rỗi (lấy 4g đến 5g làm ví dụ):
- Chế độ chờ UE khởi tạo một yêu cầu (Yêu cầu đăng ký) đến mạng mục tiêu (5G) với Yêu cầu 4G TAU được nhúng
trong tin nhắn. Yêu cầu TAU được bảo vệ toàn vẹn với bối cảnh bảo mật 4G hiện có.
- Mạng đích (AMF) yêu cầu thông tin ngữ cảnh từ mạng nguồn (MME). Nó bao gồm Yêu cầu TAU
thông điệp.
- Mạng nguồn (MME) xác minh Yêu cầu TAU và cung cấp khóa chính K-ASME của nó.
- Mạng mục tiêu (AMF) tạo bối cảnh bảo mật 5G được ánh xạ từ K-ASME
Nguyên tắc cơ bản đằng sau chuyển giao liên hệ thống (lấy 4g đến 5g làm ví dụ):
nguồn (MME) cung cấp thông tin ngữ cảnh bảo mật cho mạng đích (AMF)
- Mạng đích (AMF) lấy khóa (AS và NAS) từ khóa mạng nguồn (MME) và cập nhật gNB
- Handover Command cho UE (được gửi bởi mạng nguồn) kích hoạt UE lấy ra các khóa AS và NAS cần thiết; - UE gửi
HO hoàn tất. Điều này kích hoạt bảo mật AS trong gNB; gNB to AMF Handover Notify kích hoạt bảo mật NAS
trong AMF.
Machine Translated by Google
Truy cập xác thực bất khả tri Không truy cập bất khả tri Xác thực hợp nhất cho tất cả quyền truy cập
Thông tin xác thực Chỉ bằng chứng xác thực AKA Hoặc
Chứng chỉ cho IoT / mạng riêng (tùy chọn, phụ lục thông tin)
Được hỗ trợ
Điều khiển nhà để xác thực Không được hỗ trợ
(HPLMN liên quan đến Xác thực và giữ một khóa)
Bảo vệ tính toàn vẹn của lưu lượng UP Không được hỗ trợ Được hỗ trợ (tùy chọn để sử dụng)
Bảo mật lưu lượng UP Đã bật / tắt cho tất cả DRBS Bảo vệ có chọn lọc dựa trên phiên PDU
Bảo mật miền mạng IPSec (Bảo mật điểm-điểm) TLS / Bảo vệ lớp ứng dụng (SBA)
Giải pháp gốc mới sử dụng mặt phẳng điều khiển (bắt buộc triển khai và tùy
Chỉ đạo chuyển vùng Dựa trên OTA (tùy chọn để hỗ trợ)
chọn sử dụng) + dựa trên OTA (tùy chọn hỗ trợ)
Bảo vệ các API giới hạn phía Bắc Cơ chế bảo mật phân mảnh VỐN
40
Machine Translated by Google
Cảm ơn