An ninh truy cập mạng dựa trên kiến thức được chia sẻ về khóa dành riêng cho người dùng, K, được lưu trữ an toàn trong ARPF và được phân phối an toàn trong UICC. Trong thủ tục xác thực, thiết bị di động và mạng xác nhận với nhau có giá trị chính xác là K. Sau đó, chúng tính toán một hệ thống phân cấp các khóa cấp thấp hơn, được minh họa trong Hình 2.2 và được sử dụng bởi các thủ tục cấp thấp hơn [2].
Hình 2.2 : Các khóa bảo mật truy cập mạng.
Từ K, ARPF và UICC lấy ra hai khóa khác, được ký hiệu là CK và IK. Hệ thống 3G sử dụng trực tiếp các khóa đó để giải mật mã và bảo vệ tính toàn vẹn. Trong 5G, chúng được sử dụng để lấy một chuỗi các khóa cấp thấp hơn, được ký hiệu là KAUSF, KSEAF, KAMF và KgNB, và được chuyển tới AUSF, SEAF, AMF và nút chính tương ứng. Từ KAMF, thiết bị di động và AMF lấy ra hai khóa khác, được ký hiệu là KNASenc và KNASint, sử dụng để mã hóa và bảo vệ tính toàn vẹn của các bản tin báo hiệu tầng không truy cập. Tương tự, thiết bị di động và nút chính lấy thêm bốn khóa nữa, được ký hiệu là KRRCenc, KRRCint, KUPenc và KUPint. Chúng được sử dụng để mã hóa và bảo vệ tính toàn vẹn của các bản tin báo hiệu điều khiển tài nguyên vô tuyến (RRC) và lưu lượng mặt
24
phẳng người dùng. Mỗi bộ khóa được nhận dạng bằng một nhận dạng bộ khóa, ký hiệu là ngKSI.
K có 128 hoặc 256 bit, trong khi CK và IK có 128 bit mỗi loại. Các khóa khác đều có 256 bit, nhưng các thuật toán mã hóa và bảo vệ tính toàn vẹn hiện tại chỉ sử dụng 128 bit ít quan trọng nhất. Những tiến bộ trong công nghệ máy tính trong tương lai có thể khiến khóa 128 bit không an toàn, nhưng cũng có thể làm cho việc sử dụng khóa 256 bit khả thi hơn. Nếu điều đó xảy ra, thì 5G sẽ có thể nâng cấp các thuật toán của mình để hỗ trợ các khóa 256-bit một cách dễ dàng.