我们从各个利益相关者那里收到的最常见问题之一是 5G 的新安全和隐私功能是否需要新的 SIM 卡。
在某些假设下,简单的答案是否定的。
然而,一个完整的答案仍然比一个是或不是更棘手。
为了理解这个问题背后的背景,让我们简要讨论一下不同类型的 SIM 卡。
“SIM 卡”是指在移动网络中使用的那些智能卡。
在 2G 中,智能卡被称为用户识别模块 ( SIM ),它同时代表了硬件和软件。
尽管这些 SIM 卡也可用于 3G 系统,但为了增强安全性,3G 系统使用软件和硬件分离的新型智能卡。
通用用户识别模块 ( USIM ) 是位于硬件部分的多个软件应用程序之一,称为通用集成电路卡 ( UICC )。
在这篇文章中,我们将这些较新的智能卡称为 Rel 99+ USIM,它与 3GPP Release 1999(第一个 3G 规范)及之后的版本兼容。
这些 Rel 99+ USIM 可用于访问每一代移动网络,包括 5G。
这种向后和向前的兼容性是通过精心设计的将一些计算和存储卸载到手机上来实现的。
虽然访问 5G 系统是一回事,但我们面临的问题是,使用 5G 的“新”安全和隐私功能是否需要一种新的 USIM,而不是可用于 4G 安全的 Rel 99+ USIM。
这是一个有效的问题,我们将在下面讨论。
为简洁起见,在这篇文章中,我们不涉及 5G 中与 USIM 无关的其他新功能。
在 5G 中,订阅永久标识符 (SUPI) 可以有两种格式,一种是传统格式,称为国际移动用户身份 (IMSI),另一种是 5G 新采用的格式,称为网络接入标识符 (NAI)。
NAI 格式的 SUPI 允许在专用网络和无线-有线融合的环境中使用 3GPP 5G 技术。
此外,5G 提供了至少两种用于访问网络的身份验证和密钥协商 (AKA) 方法。
其中一种方法 5G AKA 是 4G 中身份验证方法的演进。
另一种方法称为 EAP-AKA',是一种现在在 5G 中广泛采用的方法,用于更广泛地使用可扩展身份验证协议 (EAP) 框架。
无论如何,从 IdAM 的角度来看,可以在 4G 中使用的 Rel 99+ USIM 仍然与 5G 兼容,因为它们可以用于验证和访问 5G 系统。
这种前向兼容性的主要原因是不需要在 USIM 和网络之间共享新的永久安全密钥。
另一个原因是新安全功能所需的更新存储和计算可以卸载到手机上,例如计算新型 AKA 响应和新会话密钥。
在 5G 中采用 EAP 框架和以 NAI 格式定义 SUPI,意味着可以使用 EAP-AKA' 以外的其他方法,例如可扩展身份验证协议-传输层安全 (EAP-TLS)隔离部署。
在这些情况下,可能会跳过 USIM 的角色。
另外值得注意的是,与 4G 网络一样,任何早于 Rel 99+ USIM(可能称为 Rel 98-SIM)的智能卡都不能用于接入 5G。
5G 在如何使用永久和临时标识符方面引入了显着的隐私增强功能。
让我们首先讨论最重要的一个,即订阅隐藏标识符 (SUCI) 的使用。
SUCI 基本上隐藏了空中的 SUPI,可以使用所谓的 Profile A 和 Profile B 等标准化方案来计算。
它还需要一些新的参数,如家庭网络的公钥、方案标识符和路由指示符.
虽然使用 Profile A/B 的 SUCI 计算可以卸载到手机,但标准只允许在 USIM 中存储新参数。
为简洁起见,在这篇文章中,我们将不讨论可以使用非标准化方案在 USIM 中进行 SUCI 计算的专有选项。
因此,Rel 99+ USIM 可用于存储使用 Profile A/B 计算 SUCI 所需的参数,因为它们支持创建必要的文件 (DF5GS/EFSUCI_Calc_Info/EFRouting_Indicator)。
对于已经在该领域的 Rel 99+ USIM 也是如此,即,如果它们支持某些机制,如无线远程文件管理 (OTA),那么它们可以用于存储使用 Profile A 计算 SUCI 所需的参数/B。
否则,SUCI 将由手机使用所谓的“null-scheme”计算,这是一种虚拟方案,不隐藏 SUPI。
换句话说,无法存储 SUCI 计算所需的新参数的 Rel 99+ USIM 仍可用于访问 5G 系统,但无法通过无线方式隐藏 SUPI。
请注意,5G 中还有其他隐私增强功能,例如临时标识符的严格更新、永久标识符与寻呼过程的解耦以及初始消息的部分机密性保护。
对于这些功能,标准中不需要 USIM 的角色。
SoR和UPU是5G手机和家庭网络之间的两个新程序。
这些新程序使家庭网络能够使用控制平面信令更新移动电话和/或 USIM 中的配置参数
。这意味着在 5G 中,家庭网络可以替代现有机制,例如使用 SMS 作为传输的无线 (OTA) 更新。
除了处理手机基本上可以中继到 USIM 的所谓“安全数据包”外,SoR 和 UPU 程序的范围还包括运营商控制的具有接入技术的 PLMN 选择器、默认配置的网络切片选择辅助信息 (NSSAI) 等参数和路由指示器。
包括安全性在内的新控制平面信令的处理,如新安全令牌的计算和验证,被转移到手机上。
此外,在某些情况下,参数的存储也被卸载到手机上,例如默认配置的 NSSAI 和带有接入技术的运营商控制的 PLMN 选择器的手机副本。
因此,在这种情况下,5G 中的 SoR 和 UPU 不需要 USIM 的特殊支持,这意味着可以使用 Rel 99+ USIM。
但是,在其他情况下,新/更新参数的存储仍在 USIM 中完成,例如路由指示符 (EFRouting_Indicator)、USIM 的操作员控制的具有访问技术的 PLMN 选择器的副本 (EFOPLMNwACT),以及由“安全数据包”。
即便如此,Rel 99+ USIM 仍然与 5G 中的 SoR 和 UPU 兼容,因为它们支持必要的文件管理操作。
3GPP (2G-5G) 中的安全性最终依赖于安全存储在 SIM 卡中的所谓长期密钥(Ki 或 K)。
此长期密钥启用基于 AKA 的身份验证,并且是派生会话密钥的根密钥。
还有其他用于安全管理 SIM 卡的长期密钥,称为无线 (OTA) 密钥,它们也安全地存储在 SIM 卡中。
如果这些长期密钥(Ki 或 K 和 OTA 密钥)由于任何原因(例如意外暴露或工厂泄露)泄漏,对安全性的影响将是毁灭性的。
早些时候,处理此类泄漏的唯一方法是更换 SIM 卡。
现在,3GPP 推荐了两种使用 OTA 安全快速地替换长期密钥的标准化方法:一种使用基于 Diffie-Hellman 的密钥协议,另一种在 USIM 上的多组密钥中激活一种。
如果服务提供商选择使用 LTKUP,那么确实需要新的 SIM 卡。
但是LTKUP被指定为信息性的,即不是强制性的,并且无论如何它都不是特定于5G(它适用于从2G到5G)。
因此,LTKUP 不强制要求使用新的 SIM 卡来访问 5G 或启用任何 5G 安全和隐私功能。
3GPP 最近指定了对 5G 中 NPN 的原生支持。
这些 NPN 不仅可以在公共网络的支持下部署,称为公共网络集成 NPN (PNI-NPN),还可以单独部署,称为独立 NPN (SNPN)。
在 PNI-NPN 中,PLMN 订阅是强制性的。
这包括安全存储在设备中的 SUPI 和凭据,例如,在 AKA 长期密钥的情况下,存储在 SIM 卡中。
PNI-NPN 可以使用封闭访问组 (CAG),以便只有授权的 PNI-NPN 设备才能访问 PNI-NPN。
在这种情况下,可以为设备配置允许设备访问的 CAG 单元列表和/或是否仅允许设备通过 CAG 单元(例如,工厂内的机器人)访问 5GS,或者它们是否也可以通过非 CAG 小区接入 5GS(例如,工厂工人的手机在工厂外也可以连接到 PLMN)。
NPN 相关设置的存储可以卸载到 NPN 设备,因此 NPN 本身不要求新的 SIM 卡访问 NPN。
在 SNPN 中,虽然可以通过基于 IMSI 的 SUPI 和 AKA 长期密钥来识别和验证订户,但并不严格要求 PLMN 订阅。
事实上,如前所述,使用除 EAP-AKA(例如 EAP-TLS)之外的身份验证 EAP 方法的 SNPN 不需要 SIM 卡。
无论如何,当涉及到 NPN,特别是 SNPN 时,假设大多数设备和订阅都是新的,如果需要 SIM 的支持,可以适当配置相应的 SIM 以启用所有安全性、隐私和 NPN 特定设置,从一开始就按照 NPN 的要求进行。
总而言之,我们讨论了 5G 中新的相关安全和隐私功能对 USIM 的影响。
首先,从 IdAM 的角度来看,可用于 4G 的 Rel 99+ USIM 仍然兼容以访问 5G。
其次,关于 SUPI 隐私,Rel 99+ USIM 只要支持必要的文件管理操作,就可以使用 Profile A/B 启用 SUCI 计算。
关于其他隐私功能,Rel 99+ USIM 与其当前形式完全兼容。
从 SoR/UPU 程序的角度来看,Rel 99+ USIM 仅在某些情况下以当前形式兼容,而在其他情况下的兼容性将取决于它们是否支持必要的文件管理操作。
其次,LTKUP 既不是强制性功能,也不是 5G 特有的。
最后,NPN 本身不需要新的 SIM 卡,尽管假设大多数 NPN 用户将使用新的订阅连接,从一开始就可以适当地配置新的 SIM 卡。
值得一提的是,最终是否或如何使用上述新的安全和隐私功能是服务提供商的职权范围,因此,即使在最坏的情况下,他们也不会禁止访问过多的其他基本 5G 功能。
如果您是订户,则无需担心手机中的 SIM 卡版本以及您的服务提供商是否更换了旧 SIM 卡;您应该对您关心的特定功能感兴趣,例如,是否启用了 SUPI 隐私。
新型 AKA 响应称为 RES,新会话密钥称为 KAUSF 和 KSEAF。
3GPP TS 33.501 中的第 6.12 条和附件 C 包含订阅标识符隐私的主要细节。
3GPP TS 31.102 中的第 4.4.11 条规定了特定于 5G 的 USIM 文件。
SoR 和 UPU 的主要细节可以在 3GPP TS 33.501 中的第 6.14 和 6.15 条、TS 23.112 中的附件 C 和 TS 23.502 中的第 4.20 条中找到。