NR 5G 密鑰與安全詳解

密鑰層次結構

5GS中密鑰層次生成的密鑰：

與認證相關的密鑰包括以下密鑰：K，CK / IK。
密鑰層次結構包括以下密鑰：K AUSF ，K SEAF ，K AMF ，K nasint ，K nasenc ，K n3iwf ，K gNB ），Krrcint ，Krrcenc ，Kupint 和Kupenc 。

歸屬網絡中AUSF的關密鑰：

• K AUSF 是一個關密鑰派生的
• 通過ME和AUSF來自CK’，IK’在EAP-AKA’的情況下，CK’和IK’被AUSF接收爲來自ARPF的變換AV的一部分; 要麼，
• 通過來自CK的ME和ARPF，在5G AKA的情況下IK，K AUSF 被AUSF作爲來自ARPF的5G HE AV的一部分接收。
• K SEAF 是由ME和AUSF從K AUSF 導出的錨密鑰。 K SEAF 由AUSF提供給服務網絡中的SEAF。

AMF服務網絡的關密鑰：

• K AMF 是來自K SEAF 的ME和SEAF衍生的密鑰。 當執行水平密鑰導出時，通過ME和源AMF進一步導出
  K AMF 。

NAS信令的密鑰：

• K nasint 是來自K AMF 的ME和AMF導出的密鑰，其僅用於通過特定完整性算法保護NAS信令。
• K nasenc 是來自K AMF 的ME和AMF導出的密鑰，其僅用於通過特定加密算法保護NAS信令。

NG-RAN的關密鑰：

• K gNB 是來自K AMF 的ME和AMF衍生的密鑰。 當執行水平或垂直密鑰導出時，由ME和源gNB進一步導出
  K gNB 。 K gNB 用作ME和ng-eNB之間的K 基站 。

UP流量的關密鑰：

• K upenc 是由ME和來自K的TF gNB 導出的密鑰，其僅用於通過特定加密算法保護UP業務。
• K upint 是由ME和gNB從K gNB 導出的密鑰，其僅用於通過特定的完整性算法來保護ME和gNB之間的UP業務。

RRC信令的密鑰：

• K rrcint 是由ME和來自K的TF gNB 導出的密鑰，其僅用於利用特定完整性算法來保護RRC信令。
• K rrcenc 是由ME和來自K gNB 的gNB導出的密鑰，其僅用於利用特定加密算法保護RRC信令。

中級密鑰：

• NH是由ME和AMF派生的密鑰，用於提供A.10中描述的前向安全性。
• K NG-RAN *是在執行如條款6.9中規定的水平或垂直密鑰導出時由ME和NG-RAN（即，gNB或ng-eNB）導出的密鑰。
• K’ AMF 是當UE在AMF間移動期間從AMF移動到另一個AMF時可以通過ME和AMF導出的密鑰。

非3GPP 接入的關密鑰：

• K n3iwf 是由ME和AMF從K AMF 導出的用於非3GPP 接入的密鑰。 在N3IWF之間不轉發K n3iwf 。

密鑰推導和分配方案

網絡實體中的密鑰

ARPF中的密鑰ARPF應存儲長期密鑰K.密鑰K應爲128位或256位長。
在認證和密鑰協商過程期間，ARPF將在使用EAP-AKA’的情況下從K導出CK’和IK’，並且在使用5G AKA的情況下從K導出K AUSF 。 ARPF應將派生密鑰轉發給AUSF。
ARPF保持歸屬網絡私鑰，SIDF使用該私鑰來解除SUCI並重構SUPI。 該密鑰材料的生成和存儲超出了本文檔的範圍。
AUSF中的鑰匙在使用EAP-AKA’作爲認證方法的情況下，AUSF將從CK’和IK’的EAP-AKA’導出密鑰K AUSF 。 K AUSF 可以在兩個後續認證和密鑰協商過程之間存儲在AUSF中。
AUSF將在認證和密鑰協商過程期間從ARPF接收的認證密鑰材料生成錨密鑰，也稱爲K SEAF 。
SEAF的鑰匙在每個服務網絡中成功的主認證過程之後，SEAF從AUSF接收錨密鑰K SEAF 。
SEAF絕不會將K SEAF 轉移到SEAF以外的實體。 一旦K AMF 被導出，K SEAF 將被刪除。
SEAF將在認證和密鑰協商流程之後立即從K SEAF 生成K AMF 並將其交給AMF。
注 1： 這意味着爲每次認證和密鑰協商過程生成新的K AMF 以及新的K SEAF 。
注 2： SEAF與AMF位於同一地點。

AMF中的鑰匙

AMF從SEAF或另一個AMF接收K AMF 。
AMF應根據策略從K AMF 導出密鑰K’ AMF ，以便在AMF間移動性中轉移到另一個AMF。 接收AMF應使用K’ AMF 作爲其密鑰K AMF 。
AMF將生成專用於保護NAS層的密鑰K nasint 和K nasenc 。
AMF應從K AMF 生成接入網絡特定密鑰，尤其是：

• AMF應生成K gNB 並將其傳輸到gNB。
• AMF應生成NH並將其與相應的NCC值一起傳送到gNB。
  AMF還可以將NH密鑰與相應的NCC值一起傳送到另一個AMF；
• 當從SEAF接收K AMF 時，或當從另一個AMF接收到K’ AMF 時，AMF將產生K n3iwf 並將其傳送到N3IWF。

NG-RAN中的密鑰

NG-RAN（即，gNB或ng-eNB）從AMF接收K gNB 和NH。 ng-eNB使用K gNB 作爲K 基站 。
NG-RAN（即，gNB或ng-eNB）將從K gNB 和/或NH生成所有其他接入層（AS）密鑰。

N3IWF中的鑰匙

N3IWF從AMF接收K n3iwf 。
在不受信任的非3GPP 接入的流程中，N3IWF應使用K n3iwf 作爲UE和N3IWF之間IKEv2的密鑰MSK。
下圖示表明不同密鑰之間的依賴關係，以及它們是如何從網絡節點的角度派生的：

UE中的密鑰

對於網絡實體中的每個密鑰，UE中都有相應的密鑰。
下圖顯示了在UE中執行的相應關係和派生：

USIM中的密鑰

USIM應存儲存儲在ARPF中的相同長期密鑰K.
在認證和密鑰協商過程中，USIM將從K生成密鑰材料，並將其轉發給ME。
如果由歸屬運營商提供，USIM將存儲用於隱藏SUPI的歸屬網絡公鑰。

ME鑰匙

ME將從從USIM接收的CK，IK生成K AUSF 。
當使用5G AKA時，RES的RES *的生成應由ME執行。
在UE處存儲K AUSF 是可選的。 如果USIM支持5G參數存儲，則K AUSF 應存儲在USIM中。 否則，K AUSF 應存儲在ME的非易失性存儲器中。
ME應從K AUSF 執行K SEAF 的生成。 如果USIM支持5G參數存儲，KSEAF應存儲在USIM中。 否則，KSEAF應存儲在ME的非易失性存儲器中。
ME應執行K AMF 的生成。 如果USIM支持5G參數存儲，則K AMF 應存儲在USIM中。 否則，KAMF應存儲在ME的非易失性存儲器中。
ME應執行從K AMF 派生的所有其他後續密鑰的生成。
如果出現以下情況，則應從ME中刪除存儲在ME中的任何5G安全上下文K AUSF 和K SEAF ：
a) 當ME處於通電狀態時，USIM從ME中移除;
b) ME上電，ME發現USIM與用於創建5G安全上下文的USIM不同;
c) ME上電，ME發現ME沒有USIM。

處理與用戶相關的密鑰

關密鑰設定

密鑰設置在成功驗證過程結束時發生。 當存在活動的NAS連接時，網絡運營商希望的頻率可以由網絡發起認證和密鑰設置。 一旦AMF知道移動用戶的身份（即5G-GUTI或SUPI），就可以進行密鑰設置。 5G AKA或EAP AKA’的成功運行導致新的K AMF 存儲在UE和AMF中，具有新的部分非當前安全上下文。
NAS密鑰（即K nasint 和K nasenc ）和AS密鑰（即K gNB ，K rrcenc ，K rrcint ，K upenc ，K upint ）源自K AMF 使用附件A中規定的KDF。從新K AMF 派生的NAS密鑰通過NAS安全模式命令流程在AMF和UE中使用。 AS密鑰與AS安全模式命令過程一起使用或隨時更改密鑰。
對於非3GPP 接入，密鑰K n3iwf 源自K AMF 。 K n3iwf 存儲在子條款7.2.1中規定的UE和N3IWF中。 該密鑰K n3iwf和IPsec SA加密密鑰用於在UE和N3IWF之間建立IPsec安全關聯（SA）。
注 ： 對於映射的安全性上下文，K AMF 在與EPS交互期間從EPS密鑰導出。

關密鑰識別

密鑰K AMF 應由密鑰集標識符ngKSI標識。 ngKSI可以是本機類型或映射類型。 如果可用，ngKSI應與K AMF 和臨時標識符5G-GUTI一起存儲在UE和AMF中。
注 1： 5G-GUTI指向存儲K AMF 的AMF。
本機ngKSI與在主要認證期間導出的K SEAF 和K AMF 相關聯。 它由SEAF分配並與認證請求消息一起發送到UE，在那裏它與K一起存儲 AMF 。 ngKSI的目的是使UE和AMF能夠在不調用認證過程的情況下識別本機安全上下文。 這用於允許在後續連接設置期間重用本機安全上下文。
映射的ngKSI與在互通期間從EPS密鑰導出的K AMF 相關聯， 當從EPS移動到5GS時導出映射的K AMF 時，它分別在UE和AMF中生成。 映射的ngKSI與映射的K AMF 一起存儲。
映射的ngKSI的目的是使UE和AMF能夠在交互過程中指示映射的K AMF 的使用。
ngKSI的格式應允許此類參數的接收者區分參數是本機類型還是映射類型。 格式應包含類型字段和值字段。
type字段表示密鑰集的類型。 值字段由三個位組成，其中七個值（不包括值“111”）用於標識密鑰集。保留值“111”以供UE使用以指示有效K AMF 不可用。 ngKSI的格式在[35]中描述密鑰層次中的K nasenc 和K nasint ，它們是從K AMF 派生的，可以由ngKSI與來自集合{算法識別器，算法標識符}的那些參數一起唯一地識別，用於從K AMF 導出這些密鑰。
K n3iwf 可以由ngKSI唯一確定，上行鏈路NAS COUNT用於根據條款A.9導出它。
初始K gNB 可以由ngKSI唯一確定，並且上行鏈路NAS COUNT用於根據條款A.9導出它。
中間密鑰NH可以由ngKSI唯一確定，以及從當前5G NAS安全上下文派生的初始K gNB ，用於正在進行的CM-CONNECTED狀態和計數如何計數根據A.10條款，已從該初始K gNB 中進行了許多NH衍生物。 下一跳鏈接計數NCC表示該計數器的3個最低有效位。
中間密鑰K NG-RAN *，以及第6.9.2.1.1節中定義的非初始K gNB 可以由ngKSI與來自集合{K gNB 或NH的序列中的那些參數唯一地識別。 PCI和ARFCN-DL}，用於從K gNB 或NH導出這些密鑰。
密鑰層次中的K rrcint ，K rrcenc ，K upint 和K upenc 可以由ngKSI與來自集合{algorithmdistinguisher，algorithm identifier}的那些參數一起唯一標識。 ，用於從K gNB 導出這些密鑰。
注 2： 除了5G安全上下文之外，UE還可以緩存EPS安全上下文。 這些EPS安全上下文由eKSI識別，如TS 33.401 [10]中所定義。

關密鑰生命週期

當運行成功的主要認證時，應創建K AUSF 和K SEAF 。
在下列情況下應創建K AMF ：

1. 主要身份驗證
2. NAS密鑰重新密鑰
3. NAS密鑰刷新
4. 與EPS的互通流程
   如果UE沒有有效的K AMF ，則UE將向網絡發送值爲“111”的ngKSI，該網絡可以啓動（重新）認證過程以獲得基於a的新K AMF ，成功的主要認證。
   K nasint 和K nasenc 是在運行成功的NAS SMC流程時基於K AMF 導出的。
   K n3iwf 衍生自K AMF 並且只要UE通過非3gpp 接入連接至5GC或直至UE重新驗證，則其仍然有效。

在下列情況下，K gNB 和NH基於K AMF 或K gNB 或NH衍生：

1. 如第6.9.2.3.1節所述的inter-gNB-CU切換
2. 狀態轉換，如第6.8節所述
3. 如第6.9.4.4節所述的AS密鑰重新密鑰
4. AS密鑰刷新，如第6.9.4.5節所述

在得到新的K gNB 後，K rrcint ，K rrcenc ，K upint 和K upenc 基於K gNB 衍生。

安全上下文的分佈

在一個5G服務網絡域內分配用戶標識和安全數據

在同一服務網絡域的5G核心網絡實體之間允許傳輸以下用戶標識和安全數據：

• SUPI明確
• 5G安全上下文，如第6.9節所述
  不得在SEAF之間傳輸5G認證向量。
  一旦用戶標識和安全數據已從舊網絡實體發送到新網絡實體，舊網絡實體將刪除該數據。

在5G服務網絡域之間分配用戶標識和安全數據

在不同服務網絡域的5G核心網絡實體之間允許傳輸以下用戶標識和安全數據：

• SUPI明確
• 5G安全上下文，如第6.9節所述，如果發送5G服務網絡域的安全策略允許這樣做。
  5G認證向量或非當前5G安全上下文不應傳輸到不同的5G服務網絡域。

在5G和EPS服務網絡域之間分配用戶標識和安全數據

注 1： 預計在EPS之前5G網絡和世代網絡之間不能直接互通。 因此，這裏僅解決5G和EPS服務網絡域之間的交互。
如果具有IMSI的形式，則允許在5G和EPS核心網絡實體之間以明文方式傳輸SUPI。
不允許將任何未修改的5G安全上下文傳輸到EPS核心網絡實體。 。
不允許將5G認證向量傳輸到EPS核心網絡實體。 不允許將任何未使用的EPS認證向量傳輸到5G核心網絡實體。 如果SEAF收到任何未使用的認證向量（例如，在來自傳統MME的移動性場景中），則應丟棄它們而不
進行任何處理。
注 2： 上述規則與3GPP TS 33.401第6.1.6條中的相應規則不同：後者允許在特定條件下將UMTS認證向量從SGSN轉發到MME並返回到相同的SGSN。 但是這個功能違背了EPS和5G域的嚴格安全分離，由於其性能優勢值得懷疑，因此未被複制到5G中。
注 3： 根據第8條，允許EPS和5G服務網絡之間的安全上下文映射。

在相同或不同的服務網絡中進行多次註冊

有兩種情況，UE可以在不同PLMN的服務網絡中或在同一PLMN的服務網絡中多次註冊。 第一種情況是UE通過某種類型的接入（例如3GPP）在一個PLMN服務網絡中註冊，並且通過另一種類型的接入（例如，非3GPP）註冊到另一個PLMN服務網絡。 第二種情況是UE通過3GPP和非3GPP接入在同一PLMN服務網絡中的相同AMF中註冊。 在這兩種情況下，UE將與網絡建立兩個NAS連接。
注 ： UE在相同或不同的服務網絡中使用相同的用戶憑證進行多次註冊。

不同PLMN中的多個註冊
UE應獨立維護和使用兩個不同的5G安全上下文，每個PLMN的服務網絡一個. . 每個安全上下文應通過與Home PLMN的成功主要認證過程單獨建立。
如果USIM支持5G參數存儲，ME將在USIM上存儲兩個不同的5G安全上下文。 如果USIM不支持5G參數存儲，則ME應將兩個不同的5G安全上下文存儲在ME非易失性存儲器中。 兩個不同的5G安全上下文都是當前的5G安全上下文。

在同一PLMN中進行多次註冊
當UE通過3GPP和非3GPP接入在同一PLMN服務網絡中的相同AMF中註冊時，UE將與網絡建立兩個NAS連接。 在接收到註冊請求消息時，AMF應該檢查UE是否被網絡認證。 AMF可以決定在通過5G-GUTI爲該UE存在可用的5G安全性上下文的情況下跳過新的認證運行，例如當UE成功註冊到3GPP接入時，如果UE通過非註冊到相同的AMF。在3GPP訪問中，如果AMF具有可用的安全上下文，則AMF可以決定不運行新的認證。
在這種情況下，UE應直接使用可用的公共5G NAS安全上下文並使用它來保護非3GPP接入上的註冊。 AMF和UE應在首次註冊任何訪問時建立由單組NAS密鑰和算法組成的公共NAS安全上下文。 AMF和UE還應包括特定於公共NAS安全上下文中的每個NAS連接的參數。

NAS安全機制

多個NAS連接的安全性

具有不同PLMN的多個活動NAS連接
TS 23.501 [2]有一種情況，即UE通過3GPP 接入註冊到VPLMN的服務網絡，同時通過非3GPP 接入註冊到另一個VPLMN或HPLMN的服務網絡。 當UE通過某種類型的接入（例如3GPP）在一個PLMN的服務網絡中註冊並且通過另一種類型的接入（例如，非3GPP）註冊到另一個PLMN的服務網絡時，則UE具有兩個不同的活動NAS連接。 AMF在不同的PLMN中。 如第6.3.2.1節所述，UE應獨立維護和使用兩個不同的5G安全上下文，每個PLMN服務網絡一個。 每個安全上下文應通過與Home PLMN的成功主要認證過程單獨建立。 爲單一註冊模式定義的所有NAS和AS安全機制都可以使用相應的5G安全上下文在每個接入上獨立應用。
注 ： UE屬於單個HPLMN。

同一PLMN服務網絡中的多個活動NAS連接
當UE通過兩種類型的接入（例如3GPP和非3GPP）在服務網絡中註冊時，則UE具有兩個具有相同AMF的活動NAS連接。 在註冊過程中，在第一個接入類型上創建了一個通用的5G NAS安全上下文。
爲了實現加密分離和重放保護，公共NAS安全上下文應具有特定於每個NAS連接的參數。 連接特定參數包括用於上行鏈路和下行鏈路的一對NAS COUNT以及唯一NAS連接標識符。 對於3GPP 接入，唯一NAS連接標識符的值應設置爲“0x01”，對於非3GPP 接入，設置爲“0x02”。
在移動性和互通場景中，僅在報告移動性的NAS連接上激活新創建的部分NAS安全性上下文，對於多個連接逐個啓用NAS上下文。
當UE在兩種類型的訪問中同時註冊時，如果在其中一個訪問（例如訪問A）上進行NAS SMC運行後執行的身份驗證過程，則只能通過該訪問激活新的NAS安全上下文（訪問A）。 UE和AMF應保留並繼續使用舊NAS安全上下文而不是其他訪問（例如訪問B）。 爲了通過其他訪問（訪問B）激活新的NAS安全上下文，AMF將觸發在該訪問上運行的NAS SMC。 在第二次NAS SMC運行期間（在訪問B上），AMF應包括與新NAS安全上下文相關聯的相同ngKSI。 在通過其他訪問（訪問B）成功進行第二NAS SMC過程之後，UE和AMF都將刪除舊的NAS安全上下文。

NAS完整性機制

NAS信令消息的完整性保護應作爲NAS協議的一部分提供。
NAS輸入參數爲完整性算法
KEY輸入應等於K nasint 密鑰。
承載輸入應等於NAS連接標識符。
對於上行鏈路，DIRECTION位應設置爲0，對於下行鏈路，DIRECTION位應設置爲1。
COUNT輸入應構造如下：
COUNT：= 0x00 || NAS COUNT
其中NAS COUNT是24位NAS UL COUNT或24位NAS DL COUNT值，取決於方向，與由用於形成承載輸入的值標識的當前NAS連接相關聯。
NAS COUNT的構造如下：
NAS COUNT：= NAS OVERFLOW || NAS SQN

• NAS OVERFLOW是一個16位值，每當NAS SQN從最大值遞增時，該值就會遞增。
• NAS SQN是每個NAS消息中攜帶的8位序列號。

NAS完整性激活
NAS完整性應使用NAS SMC流程或在EPC的系統間切換後激活。
激活完整性保護時，應激活重播保護，除非選擇了NULL完整性保護算法。 重播保護應確保接收方僅使用相同的NAS安全上下文接受每個傳入的NAS COUNT值。
激活NAS完整性後，UE或AMF不接受沒有完整性保護的NAS消息。 在激活NAS完整性之前，只有在無法應用完整性保護的情況下，UE或AMF才能接受沒有完整性保護的NAS消息。
在UE或AMF中刪除5G安全上下文之前，NAS完整性應保持激活狀態。 不可能從非NULL完整性保護算法更改爲NULL完整性保護。

NAS完整性故障處理
應在ME和AMF中對NAS完整性檢查失敗進行監督。 如果在NAS完整性保護開始後檢測到完整性檢查失敗（即NAS-MAC出現故障或丟失），則除TS 26.501 [35]中規定的某些NAS消息外，應丟棄相關消息。 對於這些例外情況，當接收到NAS-MAC故障或缺失的NAS消息時，AMF應採取TS 24.501 [35]中規定的動作。
丟棄NAS消息可能發生在AMF側或ME側。

NAS加密機制

NAS信令消息的加密保護應作爲NAS協議的一部分提供。
NAS輸入參數爲加密算法
NAS 128位加密算法的輸入參數應與用於NAS完整性保護的輸入參數相同，不同之處在於使用不同的密鑰K nasenc 作爲KEY，並且存在另外的輸入參數，即由加密算法生成的密鑰流的長度。
附錄D規定了128位加密算法的使用和操作方式。
注 ： 當應用NULL加密算法NEA0時，也認爲消息被加密。
NAS加密激活
應使用NAS SMC流程或在EPC的系統間切換後激活NAS加密。
一旦NAS加密被激活，UE或AMF將不接受沒有加密保護的NAS消息。 在激活NAS加密之前，在無法應用加密保護的某些情況下，只有UE或AMF才能接受沒有加密保護的NAS消息。
NAS加密應保持激活狀態，直到在UE或AMF中刪除5G安全上下文。

處理NAS COUNTs

在第一個接入類型的註冊時創建的NAS安全上下文包含NAS完整性和加密密鑰，所選NAS算法對所有NAS連接都是通用的。 此外，每個NAS連接應具有唯一的NAS連接標識符，一對獨特的NAS COUNT，一個用於上行鏈路的NAS COUNT和一個用於下行鏈路的NAS COUNT。 在NAS安全上下文中，NAS連接標識符應該是特定於連接的參數的區分器。
必須將特定K AMF 的NAS COUNT重置爲起始值（即，當生成新的K AMF 時，NAS COUNT僅具有其起始值）。
這防止了在UE在兩個AMF之間來回移動並且重新導出相同NAS密鑰的情況下使用具有相同NAS密鑰的相同NAS COUNT的安全性問題，例如密鑰流重用。
在AMF中，在相同的5G NAS安全上下文中，所有不同的NAS COUNT對都應該在以下情況下設置爲起始值：

• 對於在同一AMF和UE之間建立的NAS連接之一上成功進行主要身份驗證所創建的部分本機5GC NAS安全上下文；
• 對於在空閒和連接模式移動期間UE從MME移動到AMF時生成的映射5G安全上下文，或者，
• 對於在移動性註冊更新或切換期間在目標AMF中使用的新K AMF 。
  NAS COUNT的起始值應爲零（0）。

保護初始NAS消息

初始NAS消息是在UE從空閒狀態轉換之後發送的第一個NAS消息。 UE將發送一組有限的IE（稱爲明文IE），包括在沒有NAS安全上下文時建立安全性和/或在初始消息中啓用AMF選擇所需的IE。 在這種情況下，UE應在NAS安全模式完成消息中包括附加IE，以提供這些IE的加密保護。 當UE具有安全上下文時，UE將發送完整的初始消息完整性，並使用未加密的明文IE保護。 明文IE包括允許AMF驗證消息，建立安全性和/或啓用AMF選擇所需的那些。 UE將發送所有其他加密的IE。 如果UE中沒有安全上下文或者AMF的完整性保護檢查失敗，則AMF使用散列值來保護未加密的IE的完整性。
保護初始NAS消息的過程如圖所示：

步驟1：UE應將初始消息發送給AMF。 如果UE沒有NAS安全上下文，則初始NAS消息應僅包含明文IE，即用戶標識符（例如SUCI或GUTI），UE安全能力，S-NSSAI，ngKSI，最後訪問的TAI，指示UE是在空閒移動性爲4G的情況下，從包含TAU請求的EPC和IE移動。

如果UE具有NAS安全上下文，則初始消息應包含完整消息，其中上面給出的信息將以明文形式發送，但消息的其餘部分將被加密。 使用NAS安全上下文時，初始消息也應受到完整性保護。 在初始消息受到保護的情況下，AMF具有相同的安全上下文併成功檢查完整性，然後可以省略步驟2到4。
步驟2：如果AMF沒有安全上下文或完整性檢查失敗，則AMF應啓動與UE的認證過程。
步驟3：成功驗證UE後，AMF應發送NAS安全模式命令消息。 如果發送的Initial消息沒有完整性保護或者未通過完整性保護（由於MAC故障或AMF無法找到使用的安全上下文），AMF應包括NAS安全模式完成消息。
如果AMF沒有從步驟1獲得額外的IE，或者由於它們未被包括或者因爲AMF不能解密IE，則AMF將在NAS安全模式命令消息中包括初始NAS消息的散列。
步驟4：UE將響應NAS安全模式命令消息向網絡發送NAS安全模式完成消息。 NAS安全模式完成消息應加密並保護完整性。 此外，如果檢查散列失敗，則NAS安全模式完成消息應包括完整的初始NAS消息； 在這種情況下，AMF應將此視爲要響應的初始NAS消息。 否則，如果檢查哈希成功，則NAS安全模式完成消息應包含NAS安全模式命令消息中的附加IE。 在這種情況下，AMF使用來自步驟1的明文IE和來自該步驟的附加IE作爲響應的初始NAS消息。
步驟5：AMF應將其響應發送到初始NAS消息。 此消息應加密並保護完整性。

SMS over NAS的安全方面

基於NAS的SMS的特定服務在TS 23.501 [2]中定義，並且基於NAS的SMS的過程在TS 23.502 [8]中規定。有關基於NAS的SMS的註冊和註銷流程，詳細信息在TS 23.502 [8]的子條款4.13.3.1和4.13.3.2中規定。
NAS消息可以受NAS安全機制的保護。
對於UE在發送/接收SMS之前已經使用AMF激活NAS安全性時通過3GPP /非3GPP的MO / MT SMS，應通過UE / AMF使用NAS安全上下文對NAS傳輸消息進行加密和完整性保護。

RRC安全機制

RRC完整性機制

RRC完整性保護應由UE和gNB之間的PDCP層提供，PDCP下面的層不應受到完整性保護。 激活完整性保護時，應激活重放保護（選定的完整性保護算法爲NIA0時除外）；重放保護應確保接收方僅使用相同的AS安全上下文接受每個特定的傳入PDCP COUNT值。
128位NIA算法的輸入參數是作爲MESSAGE的RRC消息，作爲KEY的128位完整性密鑰K rrcint ，5位承載標識承載，其值由TS指定。 38.323 [23]，1比特傳輸方向DIRECTION和承載特定方向相關的32比特輸入COUNT對應於32比特PDCP COUNT。
應在ME和gNB中執行RRC完整性檢查。 如果在完整性保護開始後檢測到失敗的完整性檢查（即，錯誤或丟失MAC-I），則應丟棄相關消息。 這可能發生在gNB側或ME側。 UE可以觸發TS 38.331 [22]中規定的恢復過程。
注 ：失敗的完整性檢查並不總是暗示有關消息被靜默丟棄。

RRC加密機制

RRC加密保護由UE和gNB之間的PDCP層提供。
128位NEA算法的輸入參數是128位密碼密鑰K rrcenc 作爲KEY，5位承載標識承載對應於無線承載標識，1位方向傳輸DIRECTION，密鑰流的長度需要LENGTH和承載特定方向相關的32位輸入COUNT，它對應於32位PDCP COUNT。

UP安全機制

UP安全策略

在TS 23.502 [8]中規定的PDU會話建立過程期間，SMF應爲PDU會話提供UP安全策略。
UP安全策略應指示是否應對屬於該PDU會話的所有DRB激活UP加密和/或UP完整性保護。 UP安全策略應用於激活屬於PDU會話的所有DRB的UP加密和/或UP完整性。
gNB應根據接收到的UP安全策略，使用第6.6.2節中定義的RRC信令，爲每個DRB激活UP加密和/或UP完整性保護。 如果用戶平面安全策略指示“必需”或“不需要”，則gNB不應否決SMF提供的UP安全策略。 如果當接收到的UP安全策略是“必需”時gNB不能激活UP加密和/或UP完整性保護，則gNB將拒絕爲PDU會話建立UP資源並向SMF指示拒絕原因。
注 1： 本地SMF可以根據其本地策略，漫遊協議和/或監管要求，覆蓋從歸屬SMF接收的UP安全策略中的加密選項。
在從源gNB到目標gNB的Xn切換中，源gNB將在HANDOVER REQUEST消息中包括UE的UP安全策略。 如果UP安全策略是“必需的”，則目標gNB將拒絕其不能遵守相應的接收到的UP安全策略的所有PDU會話，並向SMF指示拒絕原因。 對於接受的PDU會話，目標gNB將根據接收到的UE的UP安全策略激活每個DRB的UP加密和/或UP完整性保護，並且應該由源gNBHANDOVER COMMAND中向UE指示。
如果UE在HANDOVER COMMAND中接收到在目標gNB處啓用UP會話的完整性保護和/或UP加密的指示，則UE將生成或更新UP加密密鑰和/或UP完整性保護密鑰，並且應激活針對相應PDU會話的UP加密和/或UP完整性保護。
注 2： 如果安全策略是“首選”，則可以在切換之後改變UP完整性的激活或去激活。
此外，在Path-Switch消息中，目標gNB必須將從源gNB接收的UE的UP安全策略和相應的PDU會話ID發送到SMF。 SMF應驗證從目標gNB接收的UE的UP安全策略是否與SMF本地存儲的UE的UP安全策略相同。 如果存在不匹配，則SMF應將其本地存儲的相應PDU會話的UE的UP安全策略發送到目標gNB。 如果由SMF包括，則該UP安全策略信息在Path-Switch Acknowledge消息中被傳遞到目標gNB。 此外，SMF可以記錄事件並可能採取其他措施，例如發出警報。
如果目標gNB在Path-Switch Acknowledge消息中從SMF接收到UE的UP安全策略，則目標gNB將使用接收
到的UE的UP安全策略更新UE的UP安全策略。 如果UE的當前UP加密和/或UP完整性保護激活與接收的UE的UP安全策略不同，則目標gNB將發起小區內切換過程，其包括RRC連接重新配置過程以重新配置DRB以激活或去激活DRB。根據SMF收到的政策提升完整性/加密。

在目標gNB接收UE安全能力和UP安全策略的情況下，gNB發起包含所選算法和NCC到UE的小區內切換過程。 應在UE和目標gNB處導出並使用新的UP密鑰。
在N2切換時，SMF將通過目標AMF將UE的UP安全策略發送到目標gNB。 目標gNB將拒絕所有不符合相應接收的UP安全策略的PDU會話，並通過目標AMF向SMF指示拒絕原因。 對於所有其他PDU會話，目標gNB將根據接收的UE的UP安全策略激活每個DRB的UP加密和/或UP完整性保護。

UP安全激活機制

AS UP完整性保護和加密激活應作爲DRB添加過程的一部分，使用本節所述的RRC連接重新配置過程，如下圖
SMF將UP安全策略發送給gNB

1a. 只有在作爲第6.7.4節中定義的AS安全模式命令過程的一部分激活RRC安全性之後，才應執行用於添加DRB的該RRC連接重新配置過程。

1b. gNB將向UE發送RRC連接重新配置消息以用於UP安全激活，其包含用於根據安全策略激活UP完整性保護和用於每個DRB的加密的指示。

1c. 如果如RRC連接重新配置消息中所指示的那樣爲DRB激活UP完整性保護，並且如果gNB不具有K upint ，則gNB將生成K upint 並且對於這樣的DRB的UP完整性保護應該在gNB處開始。 類似地，如果如RRC連接重新配置消息中所指示的那樣爲DRB激活UP加密，並且如果gNB不具有K upenc ，則gNB將生成K upenc 並且對於這樣的DRB的UP加密應該在gNB處開始。

2a. UE應驗證RRC連接重新配置消息。 如果成功：
2a.1 如果在RRC連接重新配置消息中指示爲DRB激活UP完整性保護，並且如果UE不具有K upint ，則UE將生成K upint 並且對於這樣的DRB的UP完整性保護應從UE開始。
2a.2 類似地，如果在RRC連接重新配置消息中指示爲DRB激活UP加密，並且如果UE不具有K upenc ，則UE將生成K upenc 並且對於這樣的DRB的UP加密應從UE開始。
2b. 如果UE成功驗證了RRC連接重新配置消息的完整性，則UE將向gNB發送RRC連接重新配置完成消息。
如果沒有爲DRB激活UP完整性保護，則gNB和UE不能完整地保護這種DRB的流量，並且不應將MAC-I置於PDCP分組中。
如果沒有爲DRB激活UP加密，則gNB和UE不應加密這些DRB的流量。

UP加密機制

在UE和5G-RAN之間的TS 38.323 [23]中規定的PDCP協議應負責用戶平面數據加密保護。
128位NEA算法的輸入參數是消息包，作爲KEY的128位密碼密鑰K upenc ，5位承載標識承載，其值按TS 38.323的規定分配[在圖23中，1比特傳輸方向DIRECTION，密鑰流的長度需要LENGTH和承載特定，並且方向相關的32比特輸入COUNT對應於32比特PDCP COUNT。

UP完整性機制

PDTC協議，如UE和5G-RAN之間的TS 38.323 [23]所規定，應負責用戶平面數據完整性保護。
128位NIA算法的輸入參數是消息包，128位完整性密鑰K upenc 作爲KEY，其5位承載標識承載值由TS指定。 38.323 [23]，1比特傳輸方向DIRECTION，和承載特定的，與方向相關的32比特輸入COUNT，它對應於32比特的PDCP COUNT。
如果gNB或UE收到PDCP PDU，在完整性保護開始後接收到故障或缺少MAC-I的完整性檢查，則應丟棄PDU。

安全算法選擇與密鑰建立和安全模式命令過程

NAS算法選擇的流程

初始NAS安全上下文建立
每個AMF都應通過網絡管理配置允許使用的算法列表。 應該有一個NAS完整性算法列表，一個用於NAS加密算法， 這些清單應根據運營商決定的優先順序排列。
爲了建立NAS安全上下文，AMF應選擇一種NAS加密算法和一種NAS完整性保護算法。 然後，AMF應啓動NAS安全模式命令過程，並在到UE的消息中包括所選算法和UE安全功能（以檢測攻擊者對UE安全功能的修改）。 AMF應根據有序列表選擇具有最高優先級的NAS算法。
AMF改變
如果在N2-切換或移動性註冊更新時AMF的改變導致用於建立NAS安全性的算法的改變，則目標AMF應向NTC的UE指示所選擇的算法。 -Handover（即使用NAS容器）和條款6.9.3進行移動性註冊更新（即使用NAS SMC）。 AMF應根據有序列表選擇具有最高優先級的NAS算法。

NAS安全模式命令過程

圖示的NAS SMC應用於在UE和AMF之間建立NAS安全上下文。 此過程包括AMF和UE之間的往返消息。 AMF將NAS安全模式命令消息發送到UE，UE使用NAS安全模式完成消息進行回覆。
注 1： NAS SMC過程被設計成使得它保護註冊請求免受中間人攻擊，其中攻擊者在註冊請求中修改包含UE提供的UE安全能力的IE； 它的工作原理如下：如果該方法成功完成，則UE連接到網絡，知道沒有發生降價攻擊。 在嘗試降低競價的情況下，NAS SMC的驗證將失敗並且UE回覆拒絕消息，這意味着UE將不連接到網絡。

1a. AMF在發送NAS安全模式命令消息之前激活NAS完整性保護。

1b. AMF將NAS安全模式命令消息發送到UE。 NAS安全模式命令消息應包含：重放的UE安全功能，選定的NAS算法以及用於識別K AMF 的ngKSI。 NAS安全模式命令消息可以包含：K_AMF_change_flag（在TS 24.501 [35]中指定的附加5G安全參數IE中攜帶）以指示新K AMF 被計算HASH AMF ，在架構之間反向競標（ABBA） ）參數； 在移動性註冊更新期間或在同一PLMN中的多次註冊期間水平推導K AMF 的情況下，水平推導參數應包括在如第6.9.3節所述的NAS安全模式命令消息中； AMF應如附件H.2中所述計算HASH AMF 。 根據NAS安全模式命令消息中ngKSI指示的K AMF ，該消息應使用NAS完整性密鑰進行完整性保護（但不加密）； 在發送NAS安全模式命令消息之後，在該上下文的AMF上進行NAS上行鏈路解密。
注 2：無效：
如果網絡支持使用MME和AMF之間的N26接口進行互通，則AMF還應包括在NAS安全模式命令中移動到EPS之後使用的所選EPS NAS算法（在TS 33.401 [10]的附錄B中定義）。
UE應使用MME和AMF之間的N26接口存儲在移動到EPS後使用的算法， AMF應將選定的EPS算法存儲在UE安全上下文中。
該消息應具有完整性保護（但不加密），其中NAS完整性密鑰源自NAS安全模式命令消息中的ngKSI指示的K AMF 。
1c：AMF在發送NAS安全模式命令消息後激活NAS上行鏈路解密。
2a： UE應驗證NAS安全模式命令消息。
這包括檢查UE AMF發送的安全功能與存儲在UE中的安全功能相匹配，以確保攻擊者不會修改這些安全功能，並使用指示的NAS完整性算法和基於ngKSI指示的K AMF 的NAS完整性密鑰驗證完整性保護。
如果NAS安全模式命令消息包括HASH AMF ，則UE將從其發送的整個初始NAS消息計算HASH UE 並將其與HASH AMF 進行比較。
UE可以在發送註冊請求之後並且在它接收NAS安全模式命令消息之前計算HASH UE 。 或者，UE可以在成功驗證包括HASH的NAS安全模式命令消息 AMF 之後計算HASH UE 。
如果NAS安全模式命令消息包括水平推導參數，則UE將如附件A.13中所述導出新的K AMF 並將NAS COUNT設置爲零。
如果驗證NAS安全模式命令消息的完整性是否成功，則UE應啓動NAS完整性保護並使用ngKSI指示的安全上下文進行加密/解密。
2b：UE將NAS安全模式完成消息發送到AMF加密和完整性保護。 NAS安全模式完成消息應包括PEI，以防AMF在NAS安全模式命令消息中請求它。 HASH AMF 的處理在第6.4節中描述。 如果執行K AMF 的水平推導，AMF應將NAS COUNT設置爲零。
如果在UE中驗證NAS安全模式命令消息不成功，它將回復NAS安全模式拒絕消息（參見TS 24.501[35]）。 NAS安全模式拒絕消息和所有後續NAS消息應使用先前的（如果有）5G NAS安全上下文（即，在NAS安全模式命令失敗消息之前使用的5G NAS安全上下文）進行保護。 如果在NAS安全模式命令消息之前不存在5G NAS安全上下文，則NAS安全模式拒絕消息將保持不受保護。
注 2： 失敗的哈希比較不會影響安全性建立，因爲UE仍然檢查了AMF在NAS安全模式命令消息中發送的UE安全功能。
AMF應使用NAS安全模式命令消息中指示的密鑰和算法對NAS安全模式完成消息中的完整性保護進行解密和檢查。 具有此安全性上下文的AMF下的NAS下行鏈路加密應在接收到NAS安全模式完成消息後開始。
1d：AMF激活NAS下行鏈路解密。
注 3： 如果上行鏈路NAS COUNT將通過發送NAS安全模式拒絕消息進行環繞，則UE將釋放NAS連接，而不是發送NAS安全模式拒絕消息。

AS算法選擇的流程

初始AS安全上下文建立
在UE初始AS安全上下文建立期間AS安全算法協商和考慮的詳細信息，每個gNB應通過網絡管理配置，允許使用的算法列表。 應該有一個完整性算法列表，一個用於加密算法。 這些清單應根據運營商決定的優先順序排列； 當要在gNB中建立AS安全上下文時，AMF應將UE 5G安全功能發送給gNB，gNB應從其配置列表中選擇具有最高優先級的加密算法，並且還存在於UE 5G安全功能中。
gNB應從其配置列表中選擇具有最高優先級的完整性算法，並且還存在於UE 5G安全功能中，所選算法應指示給AS SMC中的UE， 所選擇的加密算法用於加密（當被激活時）用戶平面和RRC業務。 所選擇的完整性算法用於用戶平面和RRC流量的完整性保護（當被激活時）。
XN-切換
在從Xn上的源gNB切換到目標gNB時，源gNB將在切換請求消息中包括源小區中使用的UE的5G安全能力和加密和完整性算法。 目標gNB將根據優先化的本地配置的算法列表從所接收的UE的5G安全能力中選擇具有最高優先級的算法（這適用於完整性和加密算法）。
如果目標gNB與源gNB相比選擇不同的算法，則應在切換命令消息中向UE指示所選擇的算法。 如果UE沒有接收到任何完整性和加密算法的選擇，則它繼續使用與切換之前相同的算法（參見TS 38.331 [22]），在Path-Switch消息中，目標gNB必須將從源gNB接收的UE的5G安全能力發送到AMF。 AMF應驗證從目標gNB接收的UE的5G安全能力與AMF本地存儲的UE的5G安全能力相同。 如果存在不匹配，則AMF應在Path-Switch Acknowledge消息中將其本地存儲的UE的5G安全能力發送到目標gNB。
此外，AMF可以記錄事件並可以採取其他措施，例如發出警報。
如果目標gNB在Path-Switch Acknowledge消息中從AMF接收到UE的5G安全功能，則目標gNB將使用UE的這些5G安全功能更新UE的AS安全上下文。 目標gNB將根據本地配置的優先級算法列表從這些5G安全性能力中選擇具有最高優先級的算法（這適用於完整性和加密算法）。 如果由目標gNB選擇的算法與在源gNB處使用的算法不同，則目標gNB將發起小區內切換過程，其包括指示所選算法的RRC連接重新配置過程和到UE的NCC。
注 ： 在切換請求消息中將源小區中使用的加密和完整性算法傳送到目標gNB允許目標gNB在潛在的RRC連接重建過程中解密和驗證SRB1上的RRC重建完成消息的完整性。 目標gNB還使用該信息來確定是否有必要在切換命令消息中包括新的安全算法選擇。
N2切換
在通過N2從源gNB切換到目標gNB（可能包括AMF更改並因此將UE的5G安全功能從源AMF傳輸到目標AMF）時，目標AMF應將UE的5G安全功能發送到在NGAP HANDOVER REQUEST消息中定位gNB（參見TS33.413 [34]）， 目標gNB將根據本地配置的優先級算法列表從UE的5G安全性能力中選擇具有最高優先級的算法（這適用於完整性和加密算法）， 如果目標gNB與源gNB相比選擇不同的算法，則應在切換命令消息中向UE指示所選擇的算法。 如果UE沒有接收到任何完整性和加密算法的選擇，則它繼續使用與切換之前相同的算法（參見TS 38.331 [22]）。

對於N2切換，源gNB應包括在源小區（加密和完整性算法）中使用的AS算法，以便將目標透明容器發送到目標gNB。 源小區中使用的AS算法被提供給目標gNB，使得它可以在潛在的RRC連接重建過程中對SRB1上的RRC連接重建完成消息進行解密和完整性驗證。
內部gNB-CU切換
在gNB-CU內切換期間不需要改變AS安全算法。 如果UE在gNB-CU內切換期間沒有收到新的AS安全算法的指示，則UE將繼續使用與切換之前相同的算法（參見TS 38.331 [22]）。
從RRC-INACTIVE到RRC-CONNECTED狀態的轉換
在從RRC-INACTIVE到RRC-CONNECTED的狀態轉換時，源gNB應包括UE 5G安全能力以及UE在消息中與源小區一起使用的加密和完整性算法。

目標gNB將檢查它是否支持所接收的算法，如果目標gNB支持所接收的加密和完整性算法，則目標gNB將檢查所接收的算法到其本地配置的算法列表（這適用於完整性和加密算法）。 如果目標gNB選擇相同的安全算法，則目標gNB將使用所選擇的算法來導出RRC完整性和RRC加密密鑰以保護<RRC連接恢復>消息併發送到SRB1上的UE。
如果目標gNB不支持所接收的算法或者如果目標gNB更喜歡使用不同的算法，則目標gNB將在SRB0上發送<RRC連接建立>消息以便繼續建立RRC連接，就好像UE在RRC中一樣-IDLE（回退流程）到UE。 然後，UE執行基於NAS的RRC恢復，並通過AS SMC過程與目標gNB協商合適的算法。
RNA更新流程
如果源gNB在RNA更新過程中決定將UE上下文重定位到目標gNB，則源gNB應包括UE 5G安全功能以及UE與<Xn-AP Retrieve中的源小區一起使用的加密和完整性算法UE上下文響應>消息。
LSM中未經認證的UE的算法協商
處於有限服務模式（LSM）並且不能由AMF / SEAF認證（無論出於何種原因）的UE仍然可以通過發送緊急註冊請求消息來建立緊急會話。 應該可以配置AMF是否允許LSM中未經認證的UE建立緊急會話的承載。 如果AMF允許LSM中未經認證的UE爲緊急會話建立承載，則對於NAS協議，AMF應分別使用NIA0和NEA0作爲完整性和加密算法。
如果AMF允許LSM中未經認證的UE在收到來自UE的緊急註冊請求消息後建立緊急會話承載，則AMF應：

• 選擇NIA0和NEA0，無論UE先前作爲NAS算法公佈的支持算法如何，並在激活5G NAS安全上下文時通過NAS安全模式命令流程將此信號通知給UE。
• 在以下消息中將UE 5G安全功能發送到5G RAN時，將UE 5G安全功能設置爲僅包含EIA0，EEA0，NIA0和NEA0：
• NGAP UE初始上下文設置
• NGAP UE上下文修改請求
• ngap切換請求
  注 ： 由於AMF僅向5G RAN發送包含EIA0，EEA0，NIA0和NEA0的UE 5G安全功能，因此5G RAN只能爲AS完整性保護選擇空完整性保護，併爲AS提供空加密算法保密。 也就是說，如果NIA0用於NAS完整性保護，則NIA0或EIA0將始終用於AS完整性保護。
  如果在gNB處禁用NIA0以滿足監管要求，並且gNB在上述消息之一中接收到UE 5G安全功能僅包含來自AMF的完整性保護算法的NIA0，則gNB將拒絕該會話。
  AMF何時應選擇NIA0進行NAS完整性保護的規則，以及當UE接受選擇NIA0進行NAS完整性保護的NAS安全模式命令時，取決於UE和AMF是否可以確定不能建立5G NAS安全上下文， 如果AMF選擇NIA0作爲NAS完整性保護算法，則UE應接受選擇NIA0或EIA0作爲AS完整性保護算法， 通過AS安全模式命令過程或通過切換命令來選擇AS完整性保護算法。 UE在任何其他情況下都不應接受選擇零完整性算法作爲AS完整性保護算法。

AS安全模式命令過程

AS SMC過程用於RRC和UP安全算法協商和RRC安全激活。 在TS 38.413 [34]和TS 23.502 [8]中規定的UE註冊或PDU會話建立期間，可以觸發AS SMC過程以建立僅安全的RRC信令連接， AS SMC流程包括gNB和UE之間的往返消息， gNB將AS安全模式命令發送到UE，UE使用AS安全模式完成消息進行回覆。
從gNB發送到UE的AS安全模式命令消息應包含所選的RRC和UP加密和完整性算法。 該AS安全模式命令消息應基於當前K gNB 用RRC完整性密鑰進行完整性保護。
從UE到gNB的AS安全模式完成消息應使用AS安全模式命令消息中指示的所選RRC算法和基於當前K的RRC完整性密鑰 gNB 進行完整性保護。
在發送AS安全模式命令消息之後，gNB處的RRC下行鏈路加密（加密）將開始。 在接收併成功驗證AS安全模式完成消息之後，gNB處的RRC上行鏈路解密（解密）將開始。
在發送AS安全模式完成消息之後，UE處的RRC上行鏈路加密（加密）將開始。 UE處的RRC下行鏈路解密（解密）應在接收併成功驗證AS安全模式命令消息之後開始。
如果在UE中對AS安全模式命令的任何控制都不成功，則UE將以不受保護的安全模式故障消息進行應答（參見TS 38.331[22]）。
AS SMC僅應在UE和gNB之間的初始上下文設置期間使用（即，在RRC-IDLE到RRC-CONNECTED狀態轉換時激活初始K gNB ）。
注 ： 在RRC-IDLE到RRC-CONNECTED狀態的K gNB 的推導確保AS SMC建立新鮮K gNB 。 因此，可以重置PDCP COUNT。

狀態轉換中的安全處理

RM-REGISTERED和RM-REGISTERED狀態之間轉換時的密鑰處理

UE和AMF中的一個狀態機通過3GPP 接入處理註冊狀態，第二個狀態機通過非3GPP 接入處理註冊狀態。 本條款及其子條款適用於3GPP 接入和非3GPP 接入。 UDM爲每個接入管理單獨/獨立的UE註冊流程。
AMF應將每個接入類型的註冊狀態與UE相關聯。

從RM-REGISTERED過渡到RM-REGISTERED

轉換到RM-REGISTERED狀態有不同的原因。 如果NAS消息導致狀態轉換爲RM-REGISTERED，則它應受當前5G NAS安全上下文（映射或本機）的安全保護，如果存在於UE或AMF中。
注 ： 本文件僅考慮狀態RM-REGISTERED和RM REGISTERED以及這兩種狀態之間的轉換。 其他文件定義了額外的RM狀態（參見TS 24.501 [35]中的5GMM狀態）。
在轉換到RM-REGISTERED時，UE和AMF應執行以下操作：

1. 如果他們具有完整的非當前本機5G NAS安全上下文和當前映射的5G NAS安全上下文，那麼他們將使非當前本機5G NAS安全上下文成爲當前的安全上下文。
2. 他們將刪除他們持有的任何映射或部分5G NAS安全上下文。

下面給出了對每種情況的剩餘安全參數的處理：

1. 註冊拒絕：所有剩餘的安全參數應從UE和AMF中刪除
2. 註銷：
   a. UE啓動
   i. 如果原因被關閉，那麼所有剩餘的安全參數都應從UE和AMF中刪除，但當前的本機5G NAS安全上下文（如第6.1.1節所述）除外，它應保留在AMF和UE中。
   ii. 如果原因沒有關閉，則AMF和UE應保留所有剩餘的安全參數。
   b. AMF啓動
   i. 顯式：如果重新註冊分離類型，則所有剩餘的安全參數應保留在UE和AMF中。
   ii. 隱含：所有剩餘的安全參數應保存在UE和AMF中。
   c. UDM / ARPF啓動：如果消息是“用戶撤銷”，則應從UE和AMF中刪除所有剩餘的安全參數。
3. 註冊拒絕：註冊拒絕有多種原因。 採取的行動應如TS 24.501 [35]所述。
   存儲完整的本機5G NAS安全上下文，包括與每個接入相關聯的不同NAS COUNT值的對以及相應的NAS連接標識符，不包括UE安全能力和密鑰K nasint 和K nasenc ，當UE轉換到RM-REGISTERED狀態時UE如下完成：
   a) 如果ME在易失性存儲器中沒有完整的本機5G NAS安全上下文，則存儲在USIM或ME的非易失性存儲器中的任何現有本機5G NAS安全上下文應被標記爲無效。
   b) 如果USIM支持RM參數存儲，則ME應在USIM上存儲完整的本機5G NAS安全上下文參數（K nasint 和K nasenc 除外），將USIM上的本機5G NAS安全上下文標記爲有效，而不是將任何本機5G NAS安全上下文保留在非易失性ME內存中。
   c) 如果USIM不支持RM參數存儲，則ME應將完整的本機5G NAS安全上下文（K nasint 和K nasenc 除外））存儲在其內存的非易失性部分中，並標記本機5G NAS安全上下文在其非易失性存儲器中有效。
   d）對於AMF或UE未使用上述任何流程進入RM-REGISTERED狀態的情況，其餘安全參數的處理應符合TS24.501 [35]的規定。
   從RM-REGISTERED過渡到RM-REGISTERED
   當開始轉換遠離RM註銷狀態以最終轉換到RM-REGISTERED狀態時，如果ME中沒有當前的5G NAS安全上下文，則ME將檢索存儲在USIM上的本機5G NAS安全上下文（如果USIM）支持RM參數存儲，如果USIM上存儲的本機5G NAS安全上下文被標記爲有效。 如果USIM不支持RM參數存儲，則如果本機5G NAS安全上下文被標記爲有效，則ME將從其非易失性存儲器中檢索存儲的本機5G NAS安全上下文。 在檢索存儲的5G NAS安全上下文之後，ME將從K AMF 導出K nasint 和K nasenc ; 有關NAS密鑰推導的信息，檢索到的本地5G NAS安全上下文與派生的K nasint 和K nasenc 將成爲當前的5G NAS安全上下文。
   當ME正在轉移遠離RM註銷狀態以最終轉換到RM-REGISTERED狀態時，如果USIM支持RM參數存儲，則ME應將USIM上存儲的5G NAS安全上下文標記爲無效。 如果USIM不支持RM參數存儲，ME應將其非易失性存儲器中存儲的5G NAS安全上下文標記爲無效。
   如果ME使用5G NAS安全上下文來保護NAS消息，則在ME的易失性存儲器中更新不同的NAS COUNT值以及與該接入相關聯的NAS連接標識符。 如果嘗試從最終轉換到RM-REGISTERED狀態的RM註銷狀態轉換失敗，ME將存儲（可能更新的）5G NAS安全上下文，包括不同的NAS COUNT值以及與之關聯的NAS連接標識符。這個接入，在USIM或非易失性ME存儲器上，並將其標記爲有效。
   注 ： 本文件僅考慮狀態RM-REGISTERED和RM REGISTERED以及這兩種狀態之間的轉換。 其他文件定義了額外的RM狀態（參見TS 24.501 [35]中的5GMM狀態）。
   當UE從RM-REGISTERED轉換爲RM-REGISTERED / CM-CONNECTED時，有兩種情況需要考慮，要麼存在完整的本機5G NAS安全上下文，要麼不存在。

提供完整的本機5G NAS安全上下文
UE必須發送NAS註冊請求消息。 此消息使用不同的NAS COUNT值和與此接入關聯的NAS連接標識符進行完整性保護，並且對於UE使用的5G NAS安全上下文在AMF中是非當前的情況。 此外，假設NAS註冊請求具有“要重新激活的PDU會話”並且在AS SMC之前沒有NAS SMC過程，則應使用註冊請求消息的NAS COUNT來導出K gNB ）附件A中規定的KDF。
作爲具有“要重新激活的PDU會話”的NAS註冊請求的結果，gNB將向UE發送AS SMC以激活AS安全性。 使用的K gNB 是在當前的5G NAS安全上下文中導出的。
當UE在註冊請求之後沒有收到NAS安全模式命令且“重新激活PDU會話”時接收到AS SMC時，它應使用觸發AS SMC的註冊請求消息的上行鏈路NAS COUNT在K gNB 的推導中作爲新鮮度參數發送。
如果UE連接到之前連接的相同AMF或不同的AMF，則可以使用與刷新K gNB 相同的流程。 如果UE連接到不同的AMF並且此AMF選擇不同的NAS算法，則必須使用附錄A中指定的KDF將新算法ID作爲輸入在AMF中重新導出NAS密鑰。
此外，需要AMF將NAS SMC發送到UE以指示NAS算法的改變並使用重新導出的NAS密鑰。 UE應確保用於驗證NAS SMC完整性的NAS密鑰是使用NAS SMC中指定的算法ID導出的。 NAS SMC Command和NAS SMC Complete消息受新NAS密鑰保護。
如果在“重新激活PDU會話”之後但在AS SMC之前存在註冊請求之後的NAS安全模式命令，則UE和AMF使用最新NAS安全模式完成的上行鏈路NAS COUNT和相關的KAMF作爲推導K gNB 的參數。 根據該K gNB ，如第

完全本機5G NAS安全上下文不可用
AMF中沒有完整的本機5G NAS安全上下文（即，UE已發送未受保護的註冊請求消息，或者UE已使用當前保護註冊請求消息原生5G安全上下文（不再存儲在AMF中）需要進行主認證運行。 如果AMF中存在完整的本機5G NAS安全上下文，則AMF可以（根據AMF策略）決定運行新的主

要認證和NAS SMC過程（基於K激活新的5G NAS安全上下文） AMF 在註冊請求之後的主要認證運行期間導出。
如果註冊請求具有“要重新激活的PDU會話”，則在相應的AS SMC之前執行NAS SMC過程。 NAS（上行鏈路和下行鏈路）COUNT被設置爲起始值，並且上行鏈路NAS COUNT的起始值將被用作當來自新鮮K AMF（在主要認證之後）的K gNB 推導中的新鮮度參數。接收AS SMC時，K gNB 從當前的5G NAS安全上下文導出，即，新鮮K AMF 用於導出K gNB 。 附件A中規定的KDF應用於推導K gNB 。
注 ： 在這種情況下，使用上行鏈路NAS COUNT的起始值不能導致K AMF 和NAS COUNT的相同組合被使用兩次。 這是由於在主要認證之後UE發送到AMF的第一完整性保護的NAS消息是NAS SMC完成消息的事實保證了這一點。

NAS SMC完成消息應包括在K gNB 推導中用作新鮮度參數的上行鏈路NAS COUNT的起始值，並且K AMF 是新鮮的。 在主認證之後，需要將NAS SMC從AMF發送到UE以便使用新的NAS密鑰。 NAS SMC和NAS SMC Complete消息均受新NAS密鑰保護。

UE在第二個接入類型上註冊到同一個AMF
假設UE已經在第一個接入類型（比如接入 A）上註冊。 當UE嘗試通過以下添加/例外將新接入類型（接入 B）註冊到同一AMF時，也適用條款6.8.1.1.2.1和6.8.1.1.2.2：
每當UE通過第二個接入類型（接入 B）註冊到同一個AMF，意圖從RM-REGISTERED狀態轉換到RM-REGISTERED狀態時，UE和AMF中就已經有了完整的本機5G NAS安全上下文. . 在這種情況下，UE應直接使用可用的完整5G NAS安全上下文，並使用它來保護第二個接入上的註冊請求，使用第二個接入類型（接入B）的不同NAS COUNT對。
AMF可以決定在第二個接入（接入 B）上作爲註冊過程的一部分運行新的主要認證。 如果運行新的主要身份驗證，則需要在第二個接入（接入 B）上使用NAS SMC對第二個接入使用不同的NAS COUNT對，使用新派生的部分5G NAS安全上下文。 由於UE已在第一個接入（接入 A）上註冊，因此AMF需要在第一個接入上運行NAS SMC流程，以便按照第6.4.2.2節所述使用部分5G NAS安全上下文。
如果AMF需要使用新的部分5G NAS安全上下文，從第一個接入（接入 A）上執行的主要認證中獲得，則AMF需要將NAS SMC發送到第二個接入上的UE （接入 B），以便按照第6.4.2.2節的描述使用新的部分5GNAS安全上下文。

CM-IDLE和CM-CONNECTED狀態之間轉換時的密鑰處理

UE和AMF中的一個狀態機通過3GPP 接入處理連接狀態，第二個狀態機處理非3GPP 接入上的連接狀態。

從CM-IDLE過渡到CM-CONNECTED
UE發送初始NAS消息以啓動從CM-IDLE到CM-CONNECTED狀態的轉換（參見TS 24.501 [35]）。
如果UE和AMF中已有完整的原生5G NAS安全上下文，那麼UE將直接使用可用的完整5G NAS安全上下文，並使用它來保護初始NAS消息，同時使用不同的NAS COUNT對使用此接入的NAS連接標識符。
如果UE在同一AMF中同時在3GPP 接入和非3GPP 接入上註冊，那麼如果需要AMF在該接入（接入 A）上使用新的部分5G NAS安全上下文，則源自在不同的接入上執行主要認證，然後AMF需要將NAS SMC發送到該接入（接入 A）上的UE，以便在該接入上使用新的部分5G NAS安全上下文。
在轉換到CM-CONNECTED時，AMF應該能夠檢查是否需要新的認證，例如由於先前的提供商間切換。
如果UE在同一AMF中同時在3GPP 接入和非3GPP 接入上註冊，那麼如果運行新的主要認證，則需要在該接入（接入 A）上使用新的派生部分5G NAS安全上下文。 ）使用NAS SMC爲此接入使用不同的NAS COUNT對。 但是新的派生部分5G NAS安全上下文也需要在其他訪問（訪問B）上使用NAS SMC使用不同的NASCOUNT對進行相應的訪問，作爲NAS過程的一部分。
當建立無線承載的加密保護時，應如第6.2.3.1小節所述生成RRC保護密鑰和UP保護密鑰，而假設K AMF 已在AMF中可用。
如果存在使用不同的NAS COUNT對以及該接入的NAS連接標識符，則初始NAS消息應由當前5G NAS安全上下文進行完整性保護。 如果不存在當前的5G NAS安全上下文，則ME將在初始NAS消息中發出“無可用密鑰”的信號。
由於在該接入上或在不同的接入上運行主認證，或者由於在N2切換或空閒模式移動期間從另一個AMF進行的5G安全上下文傳輸，可能已在AMF中建立K AMF 。
當gNB釋放RRC連接時，UE和gNB將刪除它們存儲的密鑰，使得用於CM-IDLE狀態UE的網絡中的狀態將僅保留在AMF中。

在3GPP 接入中建立用於加密保護的無線承載的密鑰
本子條款僅適用於在3GPP 接入中爲加密保護的無線承載建立密鑰。
UE用於建立無線承載的加密保護的過程由NAS服務請求消息或註冊請求消息發起，該消息具有從UE到AMF的“要重新激活的PDU會話”。 當“要重新激活的PDU會話”未包括在註冊請求中但是存在未決的下行鏈路UP數據或未決的下行鏈路信令時，AMF可以啓動爲無線承載建立加密保護的過程。

收到NAS消息後，如果AMF在啓動NGAP流程初始上下文設置之前不需要NAS SMC流程，則AMF應使用上行鏈路NAS COUNT導出附件A中規定的密鑰K gNB （見TS 24.501 [ 35]）對應於當前5G NAS安全上下文的NAS消息和K AMF 。
AMF應在NGAP過程INITIAL CONTEXT SETUP中將K gNB 傳送給服務gNB。 UE將從當前5G NAS安全上下文的K AMF 導出K gNB 。

作爲NAS服務請求或註冊過程的結果，“PDU會話將被重新激活”，建立無線承載，並且gNB向UE發送AS SMC。 當UE在沒有接收到NAS安全模式命令的情況下接收AS SMC時，它將使用觸發AS SMC的NAS消息的NAS上行鏈路COUNT作爲K的推導中的新鮮度參數 gNB 。 附件A中規定的KDF應用於使用當前5G NAS安全上下文的K AMF 的K gNB 推導。 如K gNB 所述，RRC保護密鑰和UP保護密鑰由UE和gNB導出。
如果建立無線承載的NAS過程包含主認證運行（可選），則新K AMF 的NAS上行鏈路和下行鏈路COUNT應設置爲起始值（即零）。 如果建立無線承載的NAS流程包含NAS SMC（可選），則來自最新NAS安全模式完成的上行鏈路NAS COUNT的值將用作新鮮K gNB 從新鮮K中導出的新鮮度參數 AMF ）執行AS SMC時當前的5G NAS安全上下文。 在這種情況下，附件A中規定的KDF也應用於K gNB 推導。
建立非3GPP 接入中加密保護流量的密鑰
在非3GPP 接入的情況下，在UE和N3IWF之間沒有設置單獨的無線承載。 對於非3GPP 接入，在UE和互通功能N3IWF之間建立IPsec隧道。 主SA僅用於在UE和AMF / SMF之間傳輸NAS消息。
對應於UE的PDU會話，基於策略和配置，N3IWF確定要建立的IPsec子SA的數量以及與每個IPsec子SA相關聯的QoS配置文件。 例如，N3IWF可以決定建立一個IPsec子SA並將所有QoS配置文件與該IPsec子SA相關聯。 在這種情況下，PDU會話的所有QoS流將通過一個IPsec子SA傳輸。 N3IWF還可以決定建立與不同QoS流相對應的不同子SA。

對應於映射到QoS值的3GPP 接入中的無線承載，對於非3GPP接入，僅存在映射到QoS值的子SA。 在密碼學上，每個子SA與根據RFC 7296 [25]交換的不同密鑰材料不同。
從CM-CONNECTED過渡到CM-IDLE
在CM-CONNECTED到CM-IDLE轉換時，gNB不再需要存儲關於相應UE的狀態信息。
特別是，在CM-CONNECTED到CM-IDLE轉換時：

• gNB和UE將釋放所有無線承載並刪除AS安全上下文。
• AMF和UE應保存5G NAS安全上下文。

在5G-RAN中註冊時註冊過程的密鑰處理

注 ： 本節適用於3GPP 接入和非3GPP 接入。
在UE可以啓動註冊過程之前，UE需要轉換到CM-CONNECTED狀態。 UE應使用當前的5G安全上下文來保護註冊請求幷包含相應的5G-GUTI和ngKSI值。 註冊請求應受到完整性保護，但不受加密保護。 UE應使用當前的5G安全上下文算法來保護註冊請求消息。
如果“重新激活的PDU會話”包含在註冊請求消息中，或者當存在未決的下行鏈路UP數據或未決的下行鏈路信令時AMF選擇建立無線承載，則將建立無線承載作爲將導出註冊流程和K gNB 。 如果沒有後續的NAS

SMC，則與從UE向AMF發送註冊請求消息的3GPP 接入相關聯的上行鏈路NAS COUNT的值被用作使用KDF的K gNB 推導中的新鮮度參數。
在主要認證成功運行的情況下，上行鏈路和下行鏈路NAS COUNT應設置爲起始值（即零）。

UE handling

無論切換是內部gNB，Xn還是N2，UE行爲都是相同的。
如果UE還在HO命令消息中接收到NASC（NAS容器），則UE將更新其NAS安全上下文，如下所示：
注 1：可以將此NASC的目的與NAS SMC消息進行比較。

• UE應驗證NASC中下行鏈路NAS COUNT的新鮮度。
• 如果NASC指示已經計算出新的K AMF （即，K_AMF_change_flag是1），
• UE將使用來自當前5G NAS安全上下文的K AMF 計算水平導出的K AMF ，該安全上下文由NASC中包含的ngKSI和NASC中的下行鏈路NAS COUNT標識，如附件A.13中所規定。
• UE應將NASC中包含的ngKSI分配給新派生的K AMF 的ngKSI。 UE將進一步根據水平導出的K AMF 和NASC中選定的NAS安全算法配置NAS安全性。
• UE應進一步驗證NASC中的NAS MAC，如果驗證成功，UE應進一步將NASCOUNT設置爲零。
• 如果未指示K AMF 更改，
• 如果驗證成功，UE將根據NASC中包含的參數配置NAS安全性，但不應將NAS COUNT設置爲零。
• UE應驗證NASC中的NAS MAC。
• UE還應將當前活動的NAS安全上下文的下行鏈路NAS COUNT值設置爲NASC中接收的下行鏈路NAS COUNT值。

如果HO命令中的keyChangeIndicator爲true

• 如果HO命令消息包含將K_AMF_change_flag設置爲1的NASC參數：
• UE將使用水平導出的K AMF 和零NAS COUNT來推導臨時K gNB ,UE應進一步處理該臨時密鑰。

其他

• 如果UE在來自目標eNB的HO命令消息中經由源gNB接收的NCC值等於與當前活動的K相關聯的NCC值gNB ，則UE將從當前活動的K導出K gNB * gNB 和目標PCI及其頻率ARFCN-DL使用附件A.11中定義的功能。
• 如果UE收到的NCC值與當前活動的K gNB 相關的NCC不同，則UE應首先通過迭代計算附件A.10中定義的函數來同步本地保留的NH參數（並增加NCC值）直到它與通過HO命令消息從源gNB接收的NCC值匹配。當NCC值匹配時，UE應從同步的NH參數和目標PCI及其頻率ARFCN-DL計算K gNB *。
  當與目標gNB通信時，UE將使用K gNB *作爲K gNB 。

移動註冊更新中的密鑰處理

在從UE接收到類型移動性註冊更新的註冊請求消息之後，目標AMF應該調用該過程，其中UE和源AMF通過臨時標識符5G-GUTI來識別。

源AMF和目標AMF執行上下文傳輸的協議步驟如下：
a) 目標AMF向源AMF發送消息，該消息包含5G-GUTI和接收的註冊請求消息。
b) 源AMF搜索數據庫中UE的數據，並檢查註冊請求消息上的完整性保護。
i) 如果找到UE並且完整性檢查成功，當源AMF根據其本地策略不更改K AMF 時，源AMF將發回響應：

• 應包括SUPI，和
• 可能包括它擁有的任何當前5G安全上下文。
  ii) 如果找到UE並且完整性檢查成功，當源AMF根據其本地策略更改K AMF 時，源AMF將發送響應：
• 應包括SUPI，
• keyAmfHDerivationInd，和
• 可能包括一個新的5G安全上下文，它來自它所擁有的當前安全上下文。

源AMF隨後刪除它所擁有的5G安全上下文
如果無法識別UE或完整性檢查失敗，則源AMF應發送指示無法檢索臨時標識符5G-GUTI的響應。
c) 如果目標AMF收到帶有SUPI的響應，它將創建一個條目並存儲可能已被接收的5G安全上下文。
如果目標AMF收到指示無法識別UE的響應，則它應啓動本文件第6.12.4節中描述的用戶識別流程。
K SEAF 不得轉發給另一個AMF集。
在移動性註冊更新時，源AMF應使用本地策略來確定是否執行水平K AMF 推導。 如果源AMF確定不執行水平K AMF 推導，則源AMF應將當前安全上下文傳送到目標AMF。 如果源AMF確定執行水平K AMF 推導，則源AMF將從當前活動的K AMF 和所接收的註冊請求消息中的上行鏈路NAS COUNT值導出新密鑰K AMF 。 定義新導出的K AMF 密鑰的ngKSI，例如值字段，類型字段取自當前K AMF 的ngKSI。 源AMF應將新的K AMF ，新的ngKSI，UE安全能力，keyAmfHDerivationInd傳送到目標AMF; 如果源AMF已導出新密鑰K AMF ，則源AMF不應將舊K AMF 傳送到目標AMF，並且源AMF在這種情況下也應刪除任何存儲的非當前5G安全上下文，並且不將任何非當前的5G安全上下文傳輸到目標AMF。
當目標AMF與keyAmfHDerivationInd一起接收到新的K AMF 時，目標AMF將在收到來自源AMF的響應後，根據其本地策略決定是否直接使用K AMF 。
如果目標AMF根據其本地策略決定不使用從源AMF接收的K AMF ，則它可以對UE執行重新認證過程以建立新的NAS安全上下文。

如果目標AMF決定使用從源AMF接收的密鑰K AMF （即，沒有重新認證），它將把K_AMF_change_flag設置爲1發送到NAS SMC中的UE，包括重放的UE安全功能，所選擇的NAS用於識別新K AMF 的算法和ngKSI，UE將從中導出新的K AMF 以在UE和目標AMF之間建立新的NAS安全上下文。

目標AMF應將NAS COUNT重置爲零，並使用所選NAS算法標識符作爲輸入從新K AMF 導出新的NAS密鑰（K nasint 和K nasenc ）。 目標AMF應使用新的K nasint 密鑰完整地保護NAS安全模式命令消息。
如果UE在NAS安全模式命令消息中接收到K_AMF_change_flag設置爲1，則UE將從NAS安全模式命令消息中的接收到的ngKSI識別的當前活動K AMF 中導出新密鑰K AMF 。在註冊請求消息中發送的上行鏈路NAS COUNT值。 UE應將NAS安全模式命令消息中接收到的ngKSI分配給新導出的K AMF 的ngKSI。 UE將從新K AMF 導出新的NAS密鑰（K nasint 和K nasenc ），並使用新的K nasint 密鑰對NAS安全模式命令消息進行完整性檢查。

UE應將導出的新初始K gNB 與等於零的新NCC值相關聯，並將NAS COUNT重置爲零。
在成功完成正在進行的移動性註冊流程之後，ME將用新的K AMF 和相關的ngKSI替換USIM和ME上當前存儲的K AMF 和ngKSI值。

主要變化上即時

主要變化上即時即時密鑰更改包括密鑰刷新或密鑰重新密鑰。
對於K gNB ，K RRC ENC ，K RRC int ，K 了ENC 和K 把int ，密鑰刷新應該是可能的，並且當PDCP COUNT將要重新使用時，應由gNB啓動。相同的無線 承載標識和相同的K gNB 。
對於K gNB ，K RRC ENC ，K RRC int ，K 了ENC 和K 把int ，可以進行密鑰重密鑰。 當應激活與當前活動的不同的5G AS安全上下文時，該重新密鑰控應由AMF啓動。 執行此操作的過程在第6.9.4.4節中描述。
AS使用基於小區內切換的過程即時完成密鑰更改。 以下AS密鑰可以即時更改：本地K gNB 刷新（當PDCPCOUNT即將回繞時執行），K gNB 重新密鑰入在AKA運行之後執行，激活本機上下文從E-UTRAN切換後。

K NAS ENC 和K NAS int 可以進行密鑰重密鑰。 當激活不同於當前活動的5G NAS安全上下文時，應由AMF啓動K NAS ENC 和K NAS int 的重新密鑰控。 執行此操作的過程在第6.9.4.2節中描述。
重新密鑰入包括K AMF 在內的整個5G密鑰層次結構應首先重新密鑰入K AMF ，然後是K NAS ENC 和K NAS int ，然後重新密鑰入K gNB 和派生密鑰。 對於NAS密鑰即時更改，NAS密鑰的激活是通過NAS SMC過程完成的。

NAS密鑰重新密鑰入

爲了在從E-UTRAN切換之後重新激活非當前的完全本機5G安全上下文，UE和AMF根據通過運行NAS SMC過程來使用NAS密鑰。
在NAS上行鏈路或下行鏈路COUNT與當前安全上下文環繞之前，AMF將從主認證運行激活新的NAS密鑰或激活具有足夠低的NAS COUNT值的本機安全上下文。

AS密鑰重新密鑰入

K gNB 重新密鑰控流程由AMF啓動。 它可以在以下條件下使用：

• 在使用UE成功運行AKA之後，作爲激活部分原生5G安全上下文的一部分; 要麼
• 作爲切換過程的一部分，同步NAS和AS安全上下文的一部分，如果發生切換; 要麼
• 作爲根據第8.4條從E-UTRAN切換後重新激活非當前完整原生5G安全上下文的一部分; 要麼
• 從當前的K AMF 創建一個新的K gNB 。
  注 1：要在整個密鑰層次結構中即時執行密鑰更改，AMF必須在更改5G AS安全上下文之前更改5G NAS安全上下文。
  爲了能夠重新密鑰K gNB ，AMF需要從使用UE的成功NAS SMC流程獲得新的上行鏈路NAS COUNT。 在從當前K AMF 創建新K gNB 的情況下，應首先運行NAS SMC過程以提供該新的上行鏈路NAS COUNT。 此NAS SMC過程不必更改當前EPS NAS安全上下文中的其他參數。 AMF使用在最近的NAS安全模式完成消息中使用的K AMF 和上行鏈路NAS COUNT，使用附件A.9中規定的密鑰導出函數導出新的K gNB 。 導出的新K gNB 在NGAP UE上下文修改請求消息中被髮送到gNB，觸發gNB執行AS密鑰重新密鑰控。 gNB與UE一起運行密鑰更改即時過程。 在此過程期間，gNB將向UE指示正在進行的密鑰改變。 所使用的過程基於小區內切換，因此應採用與正常切換過程相同的K gNB 推導步驟。 在該過程期間，gNB將向UE指示改變小區內切換中的當前K gNB 。

當UE收到指示該過程是關密鑰變化的動態過程時，UE應通過應用附件A.9中規定的密鑰導出函數，使用來自附件A.9的K AMF 得出臨時K gNB 。最近的NAS安全模式完成消息中的當前5G NAS安全上下文和上行鏈路NASCOUNT。
從這個臨時K gNB ，UE將正常得到K NG-RAN ， gNB應從AMF接收的K gNB ，其等於臨時K gNB ，作爲其K NG-RAN *推導的基礎。 從該步驟開始，密鑰導出在正常切換中繼續。
如果AS級別重新密鑰入失敗，則AMF應在啓動新的AS級別重新密鑰入之前完成另一NAS安全模式過程，確保使用新的K gNB 。
NH參數應按照以下規則處理：

• UE，AMF和gNB將在完成上下文修改後刪除任何舊的NH。
• UE和AMF應使用當前活動的5G NAS安全上下文中的K AMF 來計算新鮮NH，在Namf_Communication_CreateUEContext請求，NGAP HANDOVER REQUEST和NGAP PATH SWITCH REQUEST ACKNOWLEDGE消息中發送的NH參數值的計算。

AS密鑰刷新

該過程基於小區內切換。 在切換期間執行的K gNB 鏈接確保在過程之後關於RRC和UP COUNT重新刷新K gNB ，在此過程中，gNB應指示UE改變小區內切換中的當前K gNB 。

安全流程併發運行規則

與AS和NAS安全上下文同步相關的規則
在某些情況下，併發運行的安全流程可能導致網絡中的安全上下文與UE之間的不匹配。 爲避免此類不匹配，應遵守以下規則：

1. 如果UE正在進行NAS安全模式命令流程，AMF不應啓動任何N2流程，包括朝向UE的新密鑰。
2. 如果包含新密鑰的N2流程之一正在與UE一起進行，則AMF不應向UE發起NAS安全模式命令。
3. 當AMF已經向UE發送NAS安全模式命令以便使用新的K AMF 並且從服務gNB接收AMF間切換或RAT間切換的請求時，AMF將等待在發起AMF間切換或發起RAT間切換之前完成NAS SMC過程（即接收NAS安全模式完成）。
4. 當AMF啓動NGAP UE上下文修改過程以便使用新的K gNB ，並從服務gNB接收AMF間切換請求，並決定不更改K AMF 在AMF間切換之前，AMF應在發起AMF間切換之前等待（成功或不成功）完成UE上下文修改過程。
5. 一旦源AMF啓動了到目標AMF的AMF間切換，或者到目標MME的系統間切換，源AMF就不會向UE發送任何下行鏈路NAS消息，直到它意識到切換已經失敗或者已經有被取消了。

與並行NAS連接相關的規則
當在同一AMF中終止時，並行運行兩個不同NAS連接的併發安全過程可能導致競爭條件和網絡中的安全上下文與UE之間的不匹配。 爲避免此類不匹配，應遵循以下規則：

1. 如果在並行NAS連接上正在進行主認證或NAS SMC過程，則SEAF / AMF不應啓動主認證或NAS SMC過程。 使用新的5G安全上下文的NAS SMC流程遵循的認證流程應一次在一個NAS信令連接上執行。
2. 當AMF向UE發送NAS安全模式命令以便使用新的K AMF 並從另一個AMF接收UE的上下文傳送請求消息時，AMF將等待NAS SMC的完成傳輸上下文之前的過程（例如，接收NAS安全模式完成）。
3. 在第一個NAS連接上的主要認證完成之前，UE不應通過與同一網絡的AMF的第二個NAS連接啓動NAS註冊。

雙連接

本節描述了支持同時連接到多個NG-RAN節點的UE所需的安全功能，即具有5GC的多RAT雙連接（MR-DC），如TS 37.340 [51]中所述。 在控制雙連接的功能的上下文中描述了安全功能。

具有5GC的MR-DC的雙連接協議架構

具有5GC的MR-DC的雙連接協議架構如下圖所示。 有關SRB和DRB的MCG，SCG和分離承載的體系結構的更多詳細信息，請參考TS 37.340 [51]。 該體系結構具有以下變體：

• 當UE連接到充當主節點（MN）的一個ng-eNB和充當輔助節點（SN）的一個gNB時，NG-RAN E-UTRA-NR雙連接（NGEN-DC）是變體。 ng-eNB連接到5GC，gNB通過Xn接口連接到ng-eNB。
• 當UE連接到充當MN的一個gNB和充當SN的一個ng-eNB時，NR-E-UTRA雙連接（NE-DC）是變體。
  -MN（即，gNB）連接到5GC，並且ng-eNB（即，SN）經由Xn接口連接到gNB：
  
  當MN在MN和UE之間共享的給定AS安全上下文第一次在SN和UE之間建立安全上下文時，MN爲SN生成K SN並通過Xn將其發送到SN。 -C。 爲了生成K SN ，MN將稱爲SN計數器的計數器與當前AS安全性上下文相關聯。 SN計數器用作K SN 推導的新鮮輸入， 當需要生成新的K SN 時，MN通過RRC信令路徑將SN計數器的值發送給UE。 K SN 用於導出在UE和SN之間使用的其他RRC和UP密鑰。

DC的安全機制和流程

SN添加或修改
當MN執行輔助節點添加過程（即一個或多個無線承載初始卸載到SN）或輔助節點修改過程（如TS 37.340[51]中的條款10.2.2和10.3.2）時要求更新K SN ，MN得出K SN ，MN維護SN計數器。
當執行將後續無線 承載添加到同一SN的過程時，MN應爲每個新的無線 承載分配一個無線 承載標識，該標識自上次K SN 更改以來以前未使用過。 如果MN無法爲SN中的新無線 承載分配未使用的無線 承載標識，由於無線 承載標識空間耗盡，MN應遞增SN計數器並計算新的K SN ，然後執行SN修改更新K的流程 SN 。
激活加密/解密和完整性保護的雙連接過程遵循圖示：

1. UE和MN建立RRC連接。
2. MN通過Xn-C向SN發送SN添加/修改請求，以協商SN上的可用資源，配置和算法。 如果需要新密鑰，MN計算並將K SN 傳送到SN。 UE安全功能也應發送到SN。
3. SN分配必要的資源並從其配置列表中選擇具有最高優先級的加密算法和完整性算法，並且還存在於UE安全性能力中。 如果新的K SN 被傳送到SN，則SN計算所需的RRC和UP密鑰。
4. SN向MN發送SN添加/修改確認，指示所請求的資源的可用性以及用於UE的所請求的DRB和/或SRB的所選算法的標識符。
5. MN向UE發送RRC連接重新配置請求，指示其爲SN配置新的DRB和/或SRB。 MN應包括SN計數器參數以指示需要新的K SN 並且UE應計算SN的K SN 。 MN將UE配置參數（其包含在步驟4中從SN接收的算法標識符）轉發給UE。
   注 3：由於消息是通過MN和UE之間的RRC連接發送的，因此使用MN的K rrcint 對其進行完整性保護， 因此SN計數器不能被篡改。
6. UE在驗證其完整性後接受RRC連接重新配置請求。 如果包括SN計數器參數，則UE應計算SN的K SN 。UE還應計算相關聯的DRB和/或SRB所需的RRC和UP密鑰。 UE將RRC重新配置完成發送到MN。 此時，UE利用SN激活所選擇的加密/解密和完整性保護密鑰。
7. MN通過Xn-C向SN發送SN重配置完成，以通知SN配置結果。 收到此消息後，SN可以使用UE激活所選的加密/解密和完整性保護。 如果SN在此階段不使用UE激活加密/解密和完整性保護，則SN應在從UE接收到隨機接入請求時激活加密/解密和完整性保護。
   輔助節點密鑰更新
   當上行鏈路和/或下行鏈路PDCP COUNT即將環繞任何SCG DRB或SCG SRB時，SN將請求主節點通過Xn-C更新K SN 。
   如果主節點在5G AS安全上下文中重新密鑰入其當前活動的AS密鑰，則主節點將更新與該5G AS安全上下文相關聯的任何K SN 。
   每當UE或SN開始使用新鮮K SN 時，他們將從新鮮K SN 重新計算RRC和UP密鑰。
   MN發起
   主節點可以出於任何原因更新K SN 。 如果MN決定更新K SN ，則MN應執行SN修改流程，將新的K SN 傳送到SN， MN應在完整性保護的RRC連接重新配置過程中向UE提供用於推導K SN 的SN計數器的值。 UE導出K SN 。
   SN發起
   當上行鏈路和/或下行鏈路PDCP COUNT將要繞過任何SCG DRB或SCG SRB時，SN將使用具有MN參與的SN修改過程請求MN在Xn-C上更新K SN 。 SN應向MN發送包含K SN 密鑰更新指示的SN修改要求消息，如下圖所示。 當MN接收到K SN 密鑰更新指示時，MN將導出新的K SN 並將導出的K SN 發送到SN修改請求消息中的SN， 呼叫流程圖示如下：
   

SN發佈和更改

當SN在SN上釋放最後一個UE 無線 承載或更換SN時，即UE 無線 承載從SN移出時，SN和UE將刪除SNRRC和UP密鑰。 如果之前沒有刪除，SN和UE也應刪除K SN 。

建立UE和SN之間的安全上下文

SN櫃檯維護
MN應在其AS安全上下文中維護一個16位計數器SN計數器。 計算K SN 時使用SN計數器。
MN在UE和MN之間的當前5G AS安全性上下文的持續時間內維持計數器SN計數器的值。 在UE計算出K SN 之後，UE不需要維持SN計數器，因爲當UE需要計算新的K SN 時，MN向UE提供當前的SN計數器值。SN計數器是K SN 推導的新輸入。 也就是說，UE假設MN每次都提供一個新的SN計數器，而不需要驗證SN計數器的新鮮度。
注 ：攻擊者無法通過空中修改SN計數器並強制重新使用相同的SN計數器。 這樣做的原因是SN計數器通過MN和UE之間的RRC連接傳送，並且該連接受到完整性保護並且不受重放的保護。
當在相關的5G AS安全上下文中建立新的AS根密鑰K NG-RAN 時，MN應將SN計數器設置爲’0’。 在第一次計算的K SN 之後，MN應將SN計數器設置爲’1’，並且對於每個附加的計算K SN ，將其單調遞增。 SN計數器值’0’用於計算第一個K SN 。
如果MN決定釋放到SN的卸載連接，並且稍後決定重新開始卸載到同一SN，則SN計數器值應保持增加，從而保持計算的K SN 新鮮。
在SN計數器環繞之前，MN應刷新與SN計數器相關的5G AS安全上下文的根密鑰， 刷新根密鑰後，SN計數器將重置爲“0”，如上所述。

密鑰的推導
UE和MN必須導出本文件附件A.16中定義的SN的安全密鑰K SN 。
如果SN是ng-eNB或使用給定的函數，SN RRC和UP密鑰應使用TS 33.401 [10]附件A.7中給出的函數從SN和UE的K SN 導出。如果SN是gNB，一旦所有SN RRC和UP密鑰都來自K SN ，SN和UE就可以刪除K SN 。
安全算法的協商
MN應從AMF或先前的NG-RAN節點接收UE安全功能。 這些安全功能包括LTE和NR安全功能。
當在SN爲UE建立一個或多個DRB和/或SRB時，MN應在SN添加/修改請求消息中向SN提供UE的UE安全功能。
收到此消息後，SN將在其本地配置的算法列表中選擇具有最高優先級的算法，這些算法也存在於接收到的UE安全功能中，並在SN添加/修改請求確認中包含所選算法。
MN應在RRCConnectionReconfiguration過程期間向UE提供所選算法，該過程使用SN爲UE配置DRB和/或SRB。 UE應使用指定的算法用於DRB和/或SRB，其PDCP終止於SN。
注 ：UE與MN一起使用的算法可以與SN使用的算法相同或不同。

保護UE和SN之間的流量
本子條款提供了所需SN RRC和UP密鑰的詳細信息，以及用於保護PDCP終止於SN的流量的算法， UE和SN可以立即計算所有SN RRC和UP密鑰，也可以根據需要使用。 RRC和UP密鑰是SRB的K rrcenc 和K rrcint ，其PDCP終止於SN，K upenc 用於其PDCP在SN上終止的DRB。
當SN是gNB時，使用本文件附錄D中規定的算法分別使用當前文檔的子條款6.5和6.6中描述的機制來保護RRC和UP業務；
當SN是ng-eNB時，使用TS 33.401 [10]的子條款7.4和7.3中描述的機制以及TS 33.401 [10]的附件C中規定的算法來保護RRC和UP業務。
注 ：不支持PDCP在SN上終止的用戶平面的完整性保護。

切換流程

在N2和Xn切換期間，UE和SN之間的DRB和/或SRB連接應被釋放，SN和UE將刪除SN RRC和UP密鑰，因爲它們將被新的K SN 導出。由目標-MN。

PDCP COUNT檢查的信令過程

SN可以請求MN執行本規範的條款6.13中規定的計數器檢查過程，以驗證與卸載到SN的DRB相關聯的PDCP COUNT的值。 爲實現此目的，SN應通過Xn-C向MN傳達此請求，包括PDCP COUNT和相關無線 承載標識的預期值。
如果MN從UE接收到包含一個或多個PDCP COUNT值（可能與MN和SN相關聯）的RRC計數器檢查響應，則MN可以釋放該連接或將PDCP COUNT值的差異報告給服務AMF或用於進一步流量分析的O＆M服務器，例如，檢測攻擊者。

無線鏈路故障恢復

由於MN如第6.10.1.2節那樣將控制平面功能保持在MR-DC中，因此UE按照本文件的第6.11條的規定與MN一起運行RRC重建過程。 在RRC重建過程中，UE和SN之間的無線承載將被釋放。

RRC連接重建過程的安全處理

切換準備時的K NG-RAN *和令牌計算是小區特定的而不是gNB特定的。 在切換過程期間，在潛在的RRC連接重建（例如，在切換失敗的情況下），UE可以選擇與目標小區不同的小區以發起重建過程。 爲了確保UE在切換準備時在目標gNB的控制下選擇另一個小區時UE RRCConnectionReestablishment嘗試成功，服務gNB可以爲多個小區準備多個K NG-RAN * s和令牌，這些小區受到目標gNB， 服務gNB可以準備屬於服務gNB自身的多個小區。
這些單元的準備包括髮送包含K NG-RAN * s的安全上下文和要準備的每個單元的令牌，以及相應的NCC，UE 5G安全功能以及源單元中用於計算的安全算法。令牌，到目標gNB。 源gNB將基於相應的目標小區的物理小區ID和頻率ARFCN-DL，如附件A.11 / A.12中所述導出K NG-RAN * s。
爲了計算令牌，源gNB將使用來自源gNB的5G AS Security上下文中的協商NIA算法，具有以下輸入：源C-RNTI，源PCI和目標小區-ID，其中源PCI和源C-RNTI與小區相關聯，UE最後具有與其有效的RRC連接，並且目標小區-ID是發送RRCConnectionReestablishmentRequest的目標小區的標識。

• KEY應設置爲源小區的K rrcint ;
• 所有承載位應設置爲1;
• DIRECTION位應設置爲1;
• 所有COUNT位應設置爲1。
  令牌應該是使用的完整性算法的輸出的16個最低有效位。
  爲了避免UE由於切換或連接重建期間的故障而無法執行RRC重建過程，UE應保持在源小區中使用的K gNB ，直到切換或連接重建爲止。已成功完成或直到UE由於其他原因（例如，由於轉換到CM-IDLE）而刪除了K gNB 。
  對於Xn切換，目標gNB將使用接收的多個K NG-RAN * s。 但是對於N2切換，目標gNB丟棄從源gNB接收的多個K NG-RAN * s，並且基於所接收的新鮮{NH，如附件A.11 / A.12所述導出K NG-RAN * s。 ，NCC}來自AMF，用於前向安全目的。

當UE發起RRCConnectionReestablishmentRequest時，RRCConnectionReestablishmentRequest應包含與UE嘗試重新連接的小區相對應的令牌。 此消息通過SRB0傳輸，因此不受完整性保護。

如果目標gNB具有針對特定小區的準備好的K NG-RAN ，則接收RRCConnectionReestablishmentRequest的目標gNB將響應包含在準備階段期間接收的NCC的RRCConnectionReestablishment消息（如果令牌有效），否則目標gNB將回復RRCConnectionReestablishmentReject消息。 RRCConnectionReestablishment和RRCConnectionReestablishmentReject消息也在SRB0上發送，因此不受完整性保護。 接下來，目標gNB和UE將執行以下操作：如果接收的NCC值不同於UE自身中的當前NCC值，則UE應首先同步本地保持的NH參數。 然後，UE將基於所選擇的小區的物理小區 ID及其頻率ARFCN-DL，如附件A.11 / A.12中所述導出K NG-RAN *。 UE應使用此K NG-RAN *作爲K gNB 。 gNB使用與所選小區對應的K NG-RAN 作爲K gNB 。 然後，UE和gNB將從該K gNB 和在源gNB中使用的切換準備過程期間獲得的AS算法（加密和完整性算法）導出並激活用於完整性保護和驗證的密鑰。 即使源gNB使用的AS算法與目標gNB本地算法優先級列表不匹配，在運行RRCConnectionReestablishment過程時，源gNB選擇的AS算法也應優先。 在RRCConnectionReestablishment過程之後，目標gNB和UE應該基於本地優先級算法刷新所選擇的AS算法和AS密鑰。
注 ：當目標gNB不支持源gNB傳輸的AS算法時，目標gNB將無法解密或完整性驗證SRB1上的RRCReestablishmentComplete消息； 因此，RRCConnectionReestablishment過程將失敗。
UE將在SRB1上響應RRCReestablishmentComplete，使用這些新密鑰進行完整性保護和加密。 用於重新建立剩餘無線承載的RRCConnectionReconfiguration過程應僅包括完整性保護和加密消息。

用戶標識符隱私

用戶永久標識符

在5G系統中，全球唯一的5G用戶永久標識符稱爲SUPI，如3GPP TS 23.501 [2]中所定義。 SUCI是包含隱藏SUPI的隱私保護標識符。
SUPI通過使用SUCI進行隱私保護。

用戶隱藏標識符

稱爲SUCI的SUBScription隱藏標識符是包含隱藏SUPI的隱私保護標識符。
UE將使用具有原始公鑰（即歸屬網絡公鑰）的保護方案生成SUCI，該原始公鑰是在歸屬網絡的控制下安全地提供的。 保護方案應爲本文件附件C中規定的保護方案或HPLMN規定的保護方案。
UE應從SUPI的用戶標識符部分構造一個方案輸入，如下所示：

• 對於包含 IMSI 的 SUPI，SUPI 的用戶標識符部分包括 TS 23.003 [19]中定義的 IMSI 的 MSIN。 這也適用於採用 TS 23.003 [19]中定義的基於 IMSI 的 NAI 形式的 SUPI。
• 對於採用基於非 IMSI 的 NAI 形式的 SUPI，SUPI 的用戶標識符部分包括 NAI RFC 7542 [57]中定義的NAI 的“用戶名”部分。
  UE應以構造的方案輸入作爲輸入執行保護方案，並將輸出作爲方案輸出。
  UE不得隱藏歸屬網絡標識符和路由指示符。
  UE應構建具有以下數據字段的SUCI：
• SUPI的歸屬網絡標識符，見於23.003 [19]。 它的構造如下：
• 對於包含IMSI的SUPI，歸屬網絡標識符包括TS 23.003 [19]中定義的IMSI的MNC / MCC。 這也適用於採用TS 23.003 [19]中定義的基於IMSI的NAI形式的SUPI。
• 對於採用基於非IMSI的NAI形式的SUPI，歸屬網絡標識符包括NAI RFC 7542 [57]中定義的NAI的“領域”部分。
• TS 23.003 [19]中規定的路由指示符。
• 保護方案標識符，代表本規範附錄C中規定的保護方案，或HPLMN規定的保護方案。
• 歸屬網絡公鑰標識符，如本文件中所述，詳見TS 23.003 [19]。
• 本文件中規定的方案輸出，詳見TS 23.003 [19]。
  注 1： SUPI保護方案標識符的格式在附錄C中定義。
  注 2： 方案輸出的標識符和格式由附件C中的保護方案定義。在非零方案的情況下，SUCI的新鮮度和隨機性將由相應的SUPI保護方案處理。
  在使用空方案的情況下，歸屬網絡公鑰標識符應設置爲默認值，如TS 23.003 [19]中所述。
  UE僅在以下5G NAS消息中包含SUCI：
• 如果UE正在向UE尚未具有5G-GUTI的PLMN發送類型爲“初始註冊”的註冊請求消息，則UE應在註冊
  請求消息中包括SUCI，或者
• 如果UE在向PLMN發送類型爲“重新註冊”的註冊請求消息時包括5G-GUTI，並且作爲響應，接收到身份請求消息，則UE應在身份響應消息中包括新的SUCI。
  注 3： 響應於標識符請求消息，UE從不發送SUPI。

UE僅在以下情況下使用“空方案”生成SUCI：

• 如果UE正在進行未經認證的緊急會話且它沒有所選PLMN的5G-GUTI，或者
• 如果歸屬網絡配置了“null-scheme”要使用，或者
• 如果歸屬網絡沒有提供生成SUCI所需的公鑰。

如果USIM指示的運營商的決定是USIM應該計算SUCI，則USIM不應給ME任何用於計算SUCI的參數，包括歸屬網絡公鑰，歸屬網絡公鑰標識符和保護方案標識符。 如果ME確定由USIM指示的SUCI的計算應由USIM執行，則ME應刪除用於計算SUCI的任何先前接收的或本地緩存的參數，包括歸屬網絡公鑰，歸屬網絡。公鑰標識符和保護方案標識符。 如果運營商選擇在USIM中完成SUCI的計算，則運營商應使用專有標識符作爲保護方案。

如果運營商的決定是ME將計算SUCI，則歸屬網絡運營商應在USIM中提供運營商允許的保護方案標識符的有序優先級列表。 USIM中的保護方案標識符的優先級列表應僅包含附件C中規定的保護方案標識符，並且該列表可以包含一個或多個保護方案標識符。 ME應從USIM讀取SUCI計算信息，包括SUPI，路由指示符，歸屬網絡公鑰，歸屬網絡公鑰標識符和保護方案標識符列表。 ME應從其支持的方案中選擇保護方案，該方案在列表中具有最高優先級，從USIM獲得。
如果在USIM中沒有提供歸屬網絡公鑰或優先級列表，則ME應使用空方案計算SUCI。
注 4： 引入上述功能是因爲將來可以爲ME版本更新版本指定其他保護方案。 在這種情況下，較舊的ME選擇的保護方案可能不是USIM列表中具有最高優先級的保護方案。

用戶臨時標識符

只有在成功激活NAS安全性後，才能將新的5G-GUTI發送到UE。 5G-GUTI在TS 23.003 [19]中定義。在從UE接收到“初始註冊”或“移動性註冊更新”類型的註冊請求消息時，AMF將在註冊接受消息中向UE發送新的5G-GUTI。

在從UE接收到“定期註冊更新”類型的註冊請求消息時，AMF應該在註冊接受消息中向UE發送新的5G-GUTI。
在從UE接收到網絡觸發的服務請求消息（即，UE響應於尋呼消息而發送的服務請求消息）時，AMF將使用UE配置更新過程來向UE發送新的5G-GUTI。 該UE配置更新過程應在當前NAS信令連接被釋放之前使用，即，它不必是服務請求過程的一部分，因爲這樣做會延遲服務請求過程。
注 1： 與上述情況相比，實施更頻繁地重新分配5G-GUTI。
注 2： 留給實現以生成包含5G-TMSI的5G-GUTI，其在AMF內唯一地標識UE。
5G-TMSI生成應遵循不可預測的標識符生成的最佳實踐。

用戶識別流程

當不能通過臨時標識（5G-GUTI）識別UE時，服務網絡可以調用用戶識別機制。 特別是，當服務網絡無法根據用戶在無線路徑上識別自身的5G-GUTI檢索SUPI時，應該使用它。
圖中描述的機制允許通過SUCI識別無線路徑上的UE：

該機制由請求UE發送其SUCI的AMF發起：
UE將使用歸屬網絡公鑰從SUPI計算新的SUCI，並用攜帶SUCI的標識符響應進行響應。 UE應實現一種機制，以限制UE用新SUCI響應給定5G-GUTI的標識符請求的頻率。
注 1： 如果UE使用除零方案之外的任何其他方案，則SUCI不會顯示SUPI，AMF可以啓動AUSF認證，接收SUPI。

在UE註冊緊急服務並接收標識符請求的情況下，UE應使用空方案在標識符響應中生成SUCI。
注 2： 緊急註冊不提供用戶標識符加密。

用戶標識符隱藏功能（SIDF）

SIDF負責從SUCI中隱藏SUPI。 當歸屬網絡公鑰用於SUPI的加密時，SIDF將使用安全存儲在歸屬運營商網絡中的私鑰來解密SUCI。 撤銷應在UDM進行。 應定義對SIDF的接入權限，以便僅允許歸屬網絡的網絡元素請求SIDF。
注 ： 一個UDM可以包含多個UDM實例。 SUCI中的路由指示符可用於識別能夠爲用戶服務的正確UDM實例。

PDCP COUNT檢查的信令過程

gNB可選擇使用以下過程來定期執行本地認證。 同時，gNB和UE定期檢查AS連接期間發送的數據量，用於上行和下行流。 如果UE收到計數器檢查請求，它將響應計數器檢查響應消息。 每當激活用戶平面完整性保護並在DRB上使用時，本節中定義的過程不得用於該特定DRB。
gNB正在監視與每個無線 承載相關聯的PDCP COUNT值。 只要這些值中的任何一個達到臨界檢查值，就會觸發該過程。 這些檢查值的粒度和值本身由訪問網絡定義。 過程中的所有消息都受到完整性保護。

1. 當達到檢查值時（例如，超幀號中某些固定比特位置的值改變），gNB發送計數器檢查消息。 計數器檢查消息包含每個活動無線 承載的PDCP COUNT值的最重要部分（反映發送和接收的數據量）。
2. UE將計數器檢查消息中收到的PDCP COUNT值與其無線承載的值進行比較。 計數器檢查響應消息中包括不同的UE PDCP COUNT值。
3. 如果gNB接收到不包含任何PDCP COUNT值的計數器檢查響應消息，則該過程結束。 如果gNB接收到包含一個或多個PDCP COUNT值的計數器檢查響應，則gNB可以釋放連接或報告服務AMF或O＆M服務器的PDCP COUNT值的差異，以進行進一步的流量分析，例如檢測攻擊者。

漫遊安全機制的指導

本節描述了在註冊過程中支持在VPLMN中引導UE所需的安全功能，以及在TS 23.122 [53]附錄C中描述的註冊之後。安全功能在支持控制平面解決方案的功能的上下文中描述。用於5GS漫遊的轉向。
如果HPLMN支持用於漫遊轉向的控制平面解決方案，則AUSF將在完成主要認證之後存儲K AUSF 。TS 23.122 [53]附件C中描述了轉向信息列表的內容以及將其發送到UE的條件，下面不再重複。 例如，轉向信息列表可以包括優選的PLMN / 接入技術組合的列表或者HPLMN指示“不需要改變存儲在UE中的”具有接入技術的“運營商控制的PLMN選擇器”列表，因此沒有優選的PLMN列表提供/ 接入技術組合’。

安全機制

註冊期間在VPLMN中引導UE的流程，UE向VPLMN AMF註冊時的安全過程如下圖：

1. UE通過向VPLMN AMF發送註冊請求消息來啓動註冊。
   2-3) VPLMN AMF執行3GPP TS 23.502 [8]的子條款4.2.2.2.2中定義的註冊過程。 作爲註冊過程的一部分，VPLMN AMF執行UE的主要認證，然後在認證成功後啓動NAS SMC過程。
2. VPLMN AMF向UDM調用Nudm_SDM_Get服務操作消息以獲得UE的接入和移動用戶數據以及其他信息（參見3GPP TS 23.502 [8]的子條款4.2.2.2.2中的步驟14b）。
3. UDM決定發送指導信息，並獲得TS 23.122 [53]中描述的列表。
   6-7) UDM應向AUSF調用Nausf_SoRProtection服務操作消息，以獲得本文件子條款14.1.3中規定的SoR-MAC-I AUSF 和計數器 救贖之魂 。 如果HPLMN決定UE要確認收到的轉向信息列表的成功安全檢查，那麼UDM應在SoR報頭中指出（見TS 24.501 [35]）它還需要預期的SoR-XMAC-I UE 。
   計數器 救贖之魂 的詳細信息在本文件的第6.14.2.3小節中規定。 如果轉向信息列表不可用或者HPLMN確定不需要轉向UE，那麼SoR報頭中的List指示值應設置爲空，並且不應包括列表。 在SoR-MAC-I AUSF 的計算中包括優選PLMN / 接入技術組合（如果提供）和SoR報頭的列表允許UE驗證所接收的轉向信息列表未被篡改或移除。 VPLMN以及UDM是否請求確認。 預期的SoR-XMAC-1 UE 允許UDM驗證UE接收到指導信息列表。
4. UDM響應對VPLMN AMF的Nudm_SDM_Get服務操作，VPLMN AMF應包括接入和移動用戶數據內的SoR報頭，轉向信息列表，SoR-MAC-I AUSF 和計數器 救贖之魂 。 如果UDM請求確認，它將臨時存儲預期的SoR-XMAC-I UE 。
5. VPLMN AMF應在註冊接受消息中包括轉向信息列表，SoR-MAC-I AUSF ，計數器 救贖之魂 和SoR報頭到UE;
6. 收到註冊接受消息後，如果USIM配置了UE應接收轉向信息列表的指示，則UE應以與AUSF相同的方式計算SoR-MAC-I AUSF （如附件A.17）關於收到的轉向信息，計數器 救贖之魂 和SoR報頭，並驗證它是否與註冊接受消息中收到的SoR-MAC-I AUSF 值相匹配。 基於SoR-MAC-I AUSF 驗證結果，UE的行爲在TS 23.122 [53]中規定。
   11）如果UDM已經請求來自UE的確認並且UE在步驟9中驗證了HPLMN已經提供了指導信息列表，則UE應該向服務AMF發送註冊完成消息。 UE應生成附件A.18中規定的SoR-MAC-I UE ，並在註冊完成消息中的透明容器中包括生成的SoR-MAC-I UE 。
7. AMF向UDM發送Nudm_SDM_Info請求消息。 如果在註冊完成消息中收到帶有SoR-MAC-I UE 的透明容器，則AMF應在Nudm_SDM_Info請求消息中包含透明容器。
8. 如果HPLMN指示UE要在步驟8中確認收到的轉向信息列表的成功安全檢查，則UDM應將接收的SoR-MAC-I UE 與預期的SoR-XMAC-I UE 進行比較。 UDM暫時存儲在步驟8中。

註冊後在VPLMN中引導UE的流程

註冊後在VPLMN中引導UE的安全流程如下圖：

1. UDM決定通過調用Nudm_SDM_UpdateNotification服務操作向UE通知轉向信息列表的更改。
   2-3) UDM應通過將SoR報頭和轉向信息列表包含在AUSF中來調用Nausf_SoRProtection服務操作消息，以獲得SoR-MAC-I AUSF 和計數器 。 如果HPLMN決定UE要確認收到的轉向信息列表的成功安全檢查，那麼UDM應在SoR報頭中指出（見TS 24.501 [35]）它還需要預期的SoR-XMAC-I UE 。
   在SoR-MAC-I AUSF 的計算中包括轉向信息列表和確認指示允許UE驗證所接收的轉向信息列表是否未被VPLMN篡改或移除以及UDM是否請求確認。 在計算預期的SoR-XMAC-I UE 中包括這些信息允許UDM驗證UE接收到指導信息。
2. UDM應調用Nudm_SDM_UpdateNotification服務操作，該操作包含接入和Mobility用戶數據中的首選PLMN / 接入技術組合，SoR-MAC-I AUSF ，計數器 救贖之魂 和SoR報頭的列表。 如果UDM請求確認，它將臨時存儲預期的SoR-XMAC-I UE 。
3. 在收到Nudm_SDM_UpdateNotification消息後，AMF將向服務的UE發送DL NAS傳輸消息。 AMF應在DL NAS傳輸消息中包括從UDM接收的透明容器。
4. 在接收到DL NAS傳輸消息時，UE將以與接收到的轉向信息，計數器 救贖之魂 和AUSF（如附件A.17中規定的）相同的方式計算SoR-MAC-I AUSF 。 SoR標頭並驗證它是否與DL NAS傳輸消息中接收的SoR-MAC-I AUSF 值匹配。
5. 如果UDM已經請求來自UE的確認並且UE驗證了HPLMN已經提供了轉向信息列表，則UE應該將UL NAS傳輸消息發送到服務AMF。 UE應生成附件A.18中規定的SoR-MAC-I UE ，並將生成的SoR-MAC-I UE 包括在UL NAS傳輸消息中的透明容器中。
6. AMF應向UDM發送Nudm_SDM_Info請求消息。 如果在UL NAS傳輸消息中收到具有SoR-MAC-I UE 的透明容器，則AMF應在Nudm_SDM_Info請求消息中包括透明容器。
7. 如果HPLMN指示UE要確認收到的轉向信息列表的成功安全檢查，則UDM應將接收的SoR-MAC-I UE 與預期的SoR-XMAC-I UE 進行比較，即UDM暫時存儲在步驟4中。

SoR櫃檯

AUSF和UE應將16位計數器Counter 救贖之魂 與密鑰K AUSF 相關聯。
當導出K AUSF 時，UE應將計數器 救贖之魂 初始化爲0x00 0x00。
要生成SoR-MAC-I AUSF ，AUSF應使用稱爲計數器 救贖之魂 的計數器。 對於SoR-MAC-I AUSF 的每次新計算，計數器 救贖之魂 應由AUSF遞增。 計數器 救贖之魂 分別用作SoR-MAC-I AUSF 和SoR-MAC-I UE 推導的新鮮度輸入，如附件A.17和附錄A.18所述，以減輕重放攻擊。 AUSF應將計數器 救贖之魂 （用於生成SoR-MAC-I AUSF ）的值與SoR-MAC-I AUSF 一起發送給UE。 UE應僅接受大於存儲的計數器 救贖之魂 值的計數器 救贖之魂 值。 僅當接收到的SoR-MAC-I AUSF 的驗證成功時，UE才應存儲接收的計數器 救贖之魂， 當爲SoR確認導出SoR-MAC-I UE 時，UE應使用從HPLMN接收的存儲計數器 救贖之魂 。
AUSF和UE應保持計數器 救贖之魂 的壽命爲K AUSF 。

支持用於漫遊轉向的控制平面解決方案的AUSF應在導出K AUSF 時將計數器 救贖之魂 初始化爲0x00 0x01。 在第一次計算的SoR-MAC-I AUSF 之後，AUSF應將計數器 救贖之魂 設置爲0x00 0x02，並且對於每個額外計算的SoR-MAC-I AUSF ，將其單調遞增。
SoR計數器值0x00 0x00不得用於計算SoR-MAC-I AUSF 和SoR-MAC-I UE 。
如果與UE的K AUSF 相關的計數器 救贖之魂 即將環繞，則AUSF應暫停UE的SoR保護服務。 當爲UE生成新的K AUSF時，AUSF的計數器 救贖之魂 將復位爲0x00 0x01，如上所述，AUSF將恢復UE的SoR保護服務。