5G-Security-TS33501 VN-35-41

Machine Translated by Google
Giao tiếp với giao diện N26
Một UE hỗ trợ cả 5GC NAS và EPC NAS có thể hoạt động trong:
- Chế độ đăng ký một lần: UE được kết nối với 5GC hoặc kết nối với EPC - Chế độ
đăng ký kép: UE có thể đăng ký độc lập với 5GC và EPC. • UE chỉ có thể được
đăng ký với 5GC, chỉ EPC hoặc cả EPC và 5GC
Hỗ trợ chế độ SR là bắt buộc đối với các UE hỗ trợ cả 5GC NAS và EPC NAS.
Tính di động bằng N26
- Di động ở chế độ nhàn rỗi giữa EPC và 5GC
- Tính di động ở chế độ kết nối (chuyển giao giữa các hệ thống) giữa EPC và 5GC
Tính di động không có N26
- Chỉ hỗ trợ chuyển giao liên hệ thống giữa EPC và 5GC
Trong giai đoạn 1, bắt buộc phải hỗ trợ liên kết với MME kế thừa
- MME kế thừa coi N26 là giao diện S10, không biết rằng nó đang nói chuyện với AMF ở phía bên kia
Bảo mật cho kết nối phần lớn sẽ tuân theo cơ chế bảo mật cho các tình huống MME <-> MME
Bảo mật cho việc làm việc với nhau
Tác động bảo mật trong mỗi tình huống trong số bốn tình huống di động với N26
- Tính di động ở chế độ nhàn rỗi từ 5GC đến EPC
- Tính di động ở chế độ nhàn rỗi từ EPC đến 5GC
- Chuyển giao hệ thống giữa các hệ thống từ EPC sang 5GC
- Chuyển giao hệ thống giữa các hệ thống từ 5GC sang EPC
Không có tác động bảo mật đối với các tình huống di động mà không có N26
- Về nguyên tắc, thiếu N26 có nghĩa là UE phải đăng ký với mạng đích với đầy đủ xác thực và thiết lập khóa.
Ý tưởng là tránh xác thực khi di chuyển vào mạng mục tiêu.
Các khóa mới được tạo trong mạng đích dựa trên khóa mạng nguồn
(lấy qua N26)

Bảo mật cho việc làm việc với nhau
Nguyên tắc cơ bản đằng sau tính di động ở chế độ nhàn rỗi (lấy 4g đến 5g làm ví dụ):
- Chế độ chờ UE khởi tạo một yêu cầu (Yêu cầu đăng ký) đến mạng mục tiêu (5G) với Yêu cầu 4G TAU được nhúng
trong tin nhắn. Yêu cầu TAU được bảo vệ toàn vẹn với bối cảnh bảo mật 4G hiện có.
- Mạng đích (AMF) yêu cầu thông tin ngữ cảnh từ mạng nguồn (MME). Nó bao gồm Yêu cầu TAU
thông điệp.
- Mạng nguồn (MME) xác minh Yêu cầu TAU và cung cấp khóa chính K-ASME của nó.
- Mạng mục tiêu (AMF) tạo bối cảnh bảo mật 5G được ánh xạ từ K-ASME
- AMF kích hoạt quy trình NAS SMC với UE
- UE tạo bối cảnh bảo mật 5G được ánh xạ từ K-ASME
Nguyên tắc cơ bản đằng sau chuyển giao liên hệ thống (lấy 4g đến 5g làm ví dụ):
- Mạng nguồn (eNB) bắt đầu chuyển giao - Mạng
nguồn (MME) cung cấp thông tin ngữ cảnh bảo mật cho mạng đích (AMF)
- Mạng đích (AMF) lấy khóa (AS và NAS) từ khóa mạng nguồn (MME) và cập nhật gNB
- Handover Command cho UE (được gửi bởi mạng nguồn) kích hoạt UE lấy ra các khóa AS và NAS cần thiết; - UE gửi
HO hoàn tất. Điều này kích hoạt bảo mật AS trong gNB; gNB to AMF Handover Notify kích hoạt bảo mật NAS
trong AMF.
Ảnh chụp nhanh về Thỏa thuận bảo mật 5G
© Samsung Electronics. Đã đăng ký Bản quyền. Bảo mật và độc quyền. 38

Các khía cạnh bảo mật 4G và 5G
Tính năng bảo mật 4G 5G
Truy cập xác thực bất khả tri Không truy cập bất khả tri Xác thực hợp nhất cho tất cả quyền truy cập
Thông tin đăng nhập AKA
Thông tin xác thực Chỉ bằng chứng xác thực AKA Hoặc
Chứng chỉ cho IoT / mạng riêng (tùy chọn, phụ lục thông tin)
5G-AKA trên 5G NAS
Giao thức xác thực EPS-AKA trên 4G NAS hoặc
EAP-AKA '/ EAP-TLS trên 5G NAS
Nền tảng bảo mật cho

UICC UICC hoặc UICC không thể tháo rời
Thông tin xác thực
Được hỗ trợ
Điều khiển nhà để xác thực Không được hỗ trợ
(HPLMN liên quan đến Xác thực và giữ một khóa)
Bảo vệ tính toàn vẹn của lưu lượng UP Không được hỗ trợ Được hỗ trợ (tùy chọn để sử dụng)
Bảo mật lưu lượng UP Đã bật / tắt cho tất cả DRBS Bảo vệ có chọn lọc dựa trên phiên PDU
IMSI không được bảo vệ, nếu không có

Bảo vệ danh tính đăng ký SUPI luôn được bảo vệ bằng cách sử dụng Mật mã không đối xứng
ngữ cảnh bảo mật
Bảo mật miền mạng IPSec (Bảo mật điểm-điểm) TLS / Bảo vệ lớp ứng dụng (SBA)
Giải pháp gốc mới sử dụng mặt phẳng điều khiển (bắt buộc triển khai và tùy
Chỉ đạo chuyển vùng Dựa trên OTA (tùy chọn để hỗ trợ)
chọn sử dụng) + dựa trên OTA (tùy chọn hỗ trợ)
Bảo vệ các API giới hạn phía Bắc Cơ chế bảo mật phân mảnh VỐN
40
Cảm ơn
© Samsung Electronics. Đã đăng ký Bản quyền. Bảo mật và độc quyền. 41

5G-Security-TS33501 VN-35-41

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

5G-Security-TS33501 VN-35-41

Uploaded by

Copyright:

Available Formats

Machine Translated by Google

Giao tiếp với giao diện N26

đăng ký với 5GC, chỉ EPC hoặc cả EPC và 5GC

Tính di động bằng N26

- Di động ở chế độ nhàn rỗi giữa EPC và 5GC

Tính di động không có N26

- Chỉ hỗ trợ chuyển giao liên hệ thống giữa EPC và 5GC

Bảo mật cho việc làm việc với nhau

- Tính di động ở chế độ nhàn rỗi từ 5GC đến EPC

- Tính di động ở chế độ nhàn rỗi từ EPC đến 5GC

- Chuyển giao hệ thống giữa các hệ thống từ EPC sang 5GC

- Chuyển giao hệ thống giữa các hệ thống từ 5GC sang EPC

(lấy qua N26)

Bảo mật cho việc làm việc với nhau

- AMF kích hoạt quy trình NAS SMC với UE

- UE tạo bối cảnh bảo mật 5G được ánh xạ từ K-ASME

- Mạng nguồn (eNB) bắt đầu chuyển giao - Mạng

Ảnh chụp nhanh về Thỏa thuận bảo mật 5G

© Samsung Electronics. Đã đăng ký Bản quyền. Bảo mật và độc quyền. 38

Các khía cạnh bảo mật 4G và 5G

Tính năng bảo mật 4G 5G

Thông tin đăng nhập AKA

5G-AKA trên 5G NAS

Giao thức xác thực EPS-AKA trên 4G NAS hoặc

EAP-AKA '/ EAP-TLS trên 5G NAS

Nền tảng bảo mật cho

IMSI không được bảo vệ, nếu không có

© Samsung Electronics. Đã đăng ký Bản quyền. Bảo mật và độc quyền. 41

You might also like