1.UE und UICC In dem von 3GPP (3rd Generation Partnership Project) definierten Mobilfunksystem besteht das Endgerät des Nutzers (UE) aus:ME (mobile Ausrüstung) + UICC (Universal Integrated Circuit Card); wobei UICC eine physische Karte ist, die manipulationssicher und gegen Software- und Hardwareangriffe resistent ist.
2. UICC und USIM UICC können mehrere Anwendungen enthalten, von denen eine USIM ist; USIM speichert und verarbeitet alle sensiblen Daten im Zusammenhang mit dem Benutzer und dem Heimnetzwerk sicher.USIM untersteht der Kontrolle des HeimnetzbetreibersDer Betreiber wählt vor der Ausgabe die in der USIM zu konfigurierenden Daten aus und verwaltet die USIM im Gerät des Benutzers über den OTA-Mechanismus (over-the-air).
3.USIM in 5G 3GPP definiert USIM für das 5G-System in Rel-15 für den Zugriff und die Nutzung in 3GPP- und nicht-3GPP-Netzwerken, so dass UE (Benutzergeräte) externe Datennetzwerke.USIM wird in Rel-16 als Netzwerk-Slice-spezifische Authentifizierung definiert.
4.Die erstmalige Authentifizierung ist ein obligatorisches Verfahren, mit dem die UE (Benutzergeräte) auf 3GPP- oder nicht-3GPP-Netzwerke zugreifen können. EAP-AKA' or 5G-AKA are the only authentication methods that allow primary authentication and the subscription credentials are always stored in the USIM when the terminal supports 3GPP access functionalityFür die primäre Authentifizierung basierend auf AKA,die im USIM durchgeführte gegenseitige Authentifizierung und die Erzeugung des Schlüsselmaterials (Integritätsschlüssel IK und Vertraulichkeitsschlüssel CK), das vom USIM an die ME gesendet wird, bleiben im Vergleich zu 3G unverändert, 4G und erfüllt die 3GPP TS 33.102 Spezifikation [3].Änderungen an der 5G Primary Authentication USIM umfassen die Speicherung eines neuen Sicherheitskontextes und zusätzliches Schlüsselmaterial in der USIM (je nach Konfiguration der USIM).
4.1 5G-Unterstützung Wenn das USIM die Speicherung von 5G-Parametern unterstützt, speichert die ME den neuen 5G-Sicherheitskontext und die für die 5G-Schlüsselhierarchie definierten neuen Schlüssel (d. h. KAUSF, KSEAF und KAMF) im USIM.USIM kann einen 5G-Sicherheitskontext für 3GPP-Zugangsnetze und einen 5G-Sicherheitskontext für Nicht-3GPP-Zugangsnetze speichernDie Speicherung des Sicherheitskontextes und des Schlüsselmaterials in der USIM sorgt für eine schnellere Wiederverbindung beim Roaming (UICC bewegt sich von einem ME zum anderen).
4.2 NPN-Unterstützung Die Authentifizierung in privaten Netzwerken (die sogenannten unabhängigen nicht öffentlichen Netzwerke) kann auf das von dem 5G-System unterstützte Rahmenwerk für das EAP beruhen.Benutzergeräte und Dienstnetze können 5G AKA unterstützen, EAP-AKA" oder einer anderen EAP-Authentifizierungsmethode der Schlüsselgeneration, wenn
·Wenn AKA-basierte Authentifizierungsmethoden verwendet werden, gilt Klausel 6.1 von 3PPTS 33501 [1].
·Bei der Auswahl einer anderen als EAP-AKA' verwendeten Authentifizierungsmethode bestimmt die gewählte Methode die für die UE und das Netzwerk erforderlichen Anmeldeinformationen.Wie diese Anmeldeinformationen für andere EAP-Methoden als EAPAKA' innerhalb der EU gespeichert und verarbeitet werden, liegt außerhalb des Anwendungsbereichs.Aber um ein hohes Sicherheitsniveau für den Zugang zu privaten Netzwerken zu gewährleisten, private network operators may decide to require the presence and use of a UICC containing USIM applications in order to securely store and process subscription credentials for EAP methods such as EAP-AKA' or EAP-TLS .
5. Sekundäre Authentifizierung Dies ist eine optionale Authentifizierung, die auf EAP basiert und zwischen UE (Benutzergeräte) und DN (externes Datennetzwerk) durchgeführt wird.Obwohl die Wahl der Authentifizierungsmethode und der EAP-Zugriffsberechtigungen über den Anwendungsbereich der 3GPP hinausgeht,, können externe Datennetzwerke beschließen, den Zugriff auf ihre DN durch eine starke Authentifizierung durch die Authentifizierungsmethode EAP-AKA' oder EAP-TLS zu schützen,UICC im Benutzergerät Das Vorhandensein von USIM auf der DN speichert und verarbeitet sicher die für den Zugriff auf die DN verwendeten Anmeldeinformationen. Netzwerk-Slice-spezifische Authentifizierung Mit Netzwerk-Slice-spezifische Authentifizierung zwischen dem Benutzergerät und der AAA (Authentifizierung,Autorisierung und Buchhaltung) Server zum Zugriff auf den Netzwerk-Slice ist optionalDie Netzwerk-Slice-spezifische Authentifizierung basiert auf dem EAP-Framework und unterscheidet sich von der 3GPP-Abonnement-Authentifizierung durch Benutzer-ID und Anmeldeinformationen.Es folgt der obligatorischen PrimärzertifizierungDie Beteiligten, die Slices bereitstellen, können beschließen, USIM auf dem UICC der Benutzergeräte zu installieren, um ein hohes Sicherheitsniveau für den Zugriff auf ihre Slices zu gewährleisten und das Auftreten von unbefugten Benutzern zu verhindern.
