1.UE y UICC En el sistema de comunicaciones móviles definido por 3GPP (Proyecto de asociación de tercera generación), el dispositivo terminal (UE) del usuario está compuesto por:Me (equipos móviles) + UICC (Tarjeta de circuito integrado universal); donde UICC es una tarjeta física a prueba de manipulaciones y resistente a ataques de software y hardware.
2. UICC y USIM UICC pueden contener múltiples aplicaciones, una de las cuales es USIM; USIM almacena y procesa de forma segura todos los datos confidenciales relacionados con el usuario y la red doméstica.La USIM está bajo el control del operador de red de origen; el operador selecciona los datos a configurar en la USIM antes de su emisión y gestiona de forma remota la USIM en el dispositivo del usuario mediante el mecanismo OTA (over-the-air).
3.USIM en 5G 3GPP define USIM para el sistema 5G en Rel-15 para el acceso y uso en redes 3GPP y no 3GPP, permitiendo redes de datos externas de UE (equipo de usuario).USIM se define en Rel-16 como autenticación específica de la sección de red.
4.La autenticación por primera vez es un procedimiento obligatorio para permitir que el equipo de usuario acceda a las redes 3GPP o no 3GPP. EAP-AKA' or 5G-AKA are the only authentication methods that allow primary authentication and the subscription credentials are always stored in the USIM when the terminal supports 3GPP access functionalityPara la autenticación primaria basada en AKA,la autenticación mutua realizada en el USIM y la generación del material clave (clave de integridad IK y clave de confidencialidad CK) enviados por el USIM al ME permanecen sin cambios en comparación con 3G, 4G y cumple las especificaciones 3GPP TS 33.102 [3].Los cambios en el USIM de autenticación primaria 5G incluyen el almacenamiento de un nuevo contexto de seguridad y material de clave adicional en el USIM (dependiendo de la configuración del USIM).
4.1 Soporte 5G Si el USIM admite el almacenamiento de parámetros 5G, el ME almacenará el nuevo contexto de seguridad 5G y las nuevas claves definidas para la jerarquía de claves 5G (es decir, KAUSF, KSEAF y KAMF) en el USIM.USIM puede almacenar un contexto de seguridad 5G para redes de acceso 3GPP y un contexto de seguridad 5G para redes de acceso no 3GPPEl almacenamiento del contexto de seguridad y el material clave en el USIM garantiza una reconexión más rápida durante el roaming (UICC se mueve de un ME a otro).
4.2 Soporte para NPN La autenticación en redes privadas (llamadas redes independientes no públicas) puede basarse en el marco del PAE soportado por el sistema 5G;Los equipos de usuario y las redes de servicio pueden admitir 5G AKA, EAP-AKA' o cualquier otro método de autenticación EAP de generación de claves, cuando:
·Cuando se utilicen métodos de autenticación basados en AKA, se aplica la cláusula 6.1 de 3PPTS 33501 [1].
·Cuando se selecciona un método de autenticación del PEA distinto del PEA-AKA', el método seleccionado determina las credenciales requeridas en la UE y la red.La forma en que se almacenan y procesan estas credenciales para los métodos de PAE distintos de EAPAKA' dentro de la UE está fuera del ámbito de aplicación.Pero para garantizar un alto nivel de seguridad para el acceso a las redes privadas, private network operators may decide to require the presence and use of a UICC containing USIM applications in order to securely store and process subscription credentials for EAP methods such as EAP-AKA' or EAP-TLS .
5. Autenticación secundaria Esta es una autenticación opcional basada en EAP, realizada entre UE (equipo de usuario) y DN (red de datos externa).Aunque la elección del método y las credenciales de autenticación del PAE está más allá del alcance de 3GPP, las redes de datos externas pueden decidir proteger el acceso a su DN mediante la realización de una autenticación fuerte gracias al método de autenticación EAP-AKA' o EAP-TLS,UICC en el dispositivo del usuario La presencia de USIM en el DN almacena y procesa de forma segura las credenciales utilizadas para acceder al DN. Autenticación específica de la franja de red Utilizando la autenticación específica de la franja de red entre el dispositivo del usuario y el AAA (Autenticación,Autorización y contabilidad) servidor para acceder a la rebanada de red es opcional. La autenticación específica del segmento de red se basa en el marco EAP y sus ID de usuario y credenciales son diferentes de las credenciales de suscripción 3GPP.Sigue la certificación primaria obligatoriaLas partes interesadas que desplieguen los slices pueden decidir instalar USIM en el UICC de los dispositivos de los usuarios para garantizar un alto nivel de seguridad para acceder a sus slices y evitar la aparición de usuarios no autorizados.