1.UE en UICC In het mobiele communicatiesysteem dat is gedefinieerd door 3GPP (3e generatie partnerschapsproject), bestaat het eindtoestel (UE) van de gebruiker uit:ME (mobiele apparatuur) + UICC (Universal Integrated Circuit Card); waarbij UICC een fysieke kaart is die manipulatiebestendig is en bestand is tegen software- en hardwareaanvallen.
2. UICC en USIM UICC kunnen meerdere toepassingen bevatten, waarvan een USIM is; USIM slaat alle gevoelige gegevens met betrekking tot de gebruiker en het thuisnetwerk veilig op en verwerkt ze.USIM is onder controle van de thuisnetwerkoperator; de exploitant selecteert de gegevens die in de USIM moeten worden geconfigureerd voordat deze worden afgegeven en beheert de USIM op afstand in het apparaat van de gebruiker via het OTA-mechanisme (over-the-air).
3.USIM in 5G 3GPP definieert USIM voor het 5G-systeem in Rel-15 voor toegang en gebruik in 3GPP- en niet-3GPP-netwerken, waardoor UE (gebruikersapparatuur) externe datanetwerken mogelijk is.USIM is gedefinieerd in Rel-16 als netwerk slice specific authenticatie.
4.Eerste authenticatie is een verplichte procedure om UE (gebruikersapparatuur) toegang te verlenen tot 3GPP- of niet-3GPP-netwerken. EAP-AKA' or 5G-AKA are the only authentication methods that allow primary authentication and the subscription credentials are always stored in the USIM when the terminal supports 3GPP access functionalityVoor primaire authenticatie gebaseerd op AKA,de wederzijdse authenticatie in het USIM en de generatie van het sleutelmateriaal (integrity key IK en confidentiality key CK) dat door het USIM naar de ME wordt verzonden, blijven ongewijzigd in vergelijking met 3G, 4G en voldoet aan de specificatie 3GPP TS 33.102 [3].Veranderingen in 5G Primary Authentication USIM omvatten het opslaan van nieuwe beveiligingscontext en extra sleutelmateriaal in USIM (afhankelijk van de configuratie van USIM).
4.1 5G-ondersteuning Indien het USIM het opslaan van 5G-parameters ondersteunt, slaat de ME de nieuwe 5G-beveiligingscontext en de nieuwe sleutels die zijn gedefinieerd voor de 5G-sleutelhiërarchie (d.w.z. KAUSF, KSEAF en KAMF) in het USIM op.USIM kan een 5G-beveiligingscontext opslaan voor 3GPP-toegangsnetwerken en een 5G-beveiligingscontext voor niet-3GPP-toegangsnetwerkenHet opslaan van de beveiligingscontext en het belangrijkste materiaal in de USIM zorgt voor een snellere herverbinding tijdens roaming (UICC gaat van de ene ME naar de andere).
4.2 NPN-ondersteuning Authenticatie in particuliere netwerken (de zogenaamde onafhankelijke niet-openbare netwerken) kan afhankelijk zijn van het door het 5G-systeem ondersteunde EAP-kader;Gebruikersapparatuur en service netwerken kunnen 5G AKA ondersteunen, EAP-AKA' of een andere EAP-authenticatie methode voor sleutelgeneratie, wanneer:
·Bij gebruik van AKA-gebaseerde authenticatiemethoden is punt 6.1 van 3PPTS 33501 [1] van toepassing.
·Bij het selecteren van een andere EAP-authenticatiemethode dan EAP-AKA' bepaalt de gekozen methode de vereiste geloofsbrieven in de UE en het netwerk.Hoe deze referenties voor andere EAP-methoden dan EAPAKA' binnen de EU worden opgeslagen en verwerkt, ligt buiten het toepassingsgebied van deMaar om een hoog niveau van beveiliging te garanderen voor toegang tot privénetwerken, private network operators may decide to require the presence and use of a UICC containing USIM applications in order to securely store and process subscription credentials for EAP methods such as EAP-AKA' or EAP-TLS .
5. Secundaire authenticatie Dit is een optionele authenticatie op basis van EAP, uitgevoerd tussen UE (gebruikersapparatuur) en DN (extern datanetwerk).Hoewel de keuze van EAP-authenticatie methode en geloofsbrieven buiten het toepassingsgebied van 3GPP valt, kunnen externe datanetwerken besluiten de toegang tot hun DN te beschermen door krachtige authenticatie uit te voeren dankzij de EAP-AKA' of EAP-TLS-authenticatie methode,UICC in het gebruikersapparaat De aanwezigheid van USIM op de DN slaat de credentials die worden gebruikt om toegang te krijgen tot de DN veilig op en verwerkt deze. Netwerk Slice Specifieke Authenticatie Met behulp van netwerk slice specifieke authenticatie tussen het gebruikersapparaat en de AAA (Authenticatie,Autorisatie en boekhouding) server om toegang te krijgen tot het netwerk slice is optioneelDe authenticatie voor netwerksnippen is gebaseerd op het EAP-framework en de gebruikers-ID en -gegevens verschillen van de 3GPP-abonnementgegevens.Het volgt de verplichte primaire certificeringDe belanghebbenden die slices inzetten, kunnen besluiten om USIM op de UICC van gebruikersapparaten te installeren om een hoog veiligheidsniveau te garanderen om toegang te krijgen tot hun slices en het ontstaan van onbevoegde gebruikers te voorkomen.