Các khóa trong mơ hình phân cấp trên hình như sau:
- K là khóa an ninh được lưu vĩnh viễn trong USIM và trong AuC. Được sử dụng là cơ sở cho tất cả các giải thuật rút ra các khóa khác trong 3G UMTS và EPS.
- CK (Ciphering Key: khóa mật mã), IK (Integrity Key: khóa tồn vẹn). Được rút ra tại AuC và USIM khi thiết lập liên kết an ninh.
- KASME (Access Security Management Entity Key: Khóa thực thể quản lý an ninh truy nhập). Là một khóa trung gian được rút ra trong UE và HSS từ các khóa CK, IK trong q trình AKA (Authentication and Key Agreement: Nhận thực và thoả thuận khóa). ASME là thực thể mạng chịu trách nhiệm thiết lập và duy trì các liên kết an ninh với UE dựa trên các khóa nhận được từ HSS. Trong EPS, MME đóng vai trị ASME.
- KeNB: Là một khóa trung gian được UE và MME rút ra từ KASME. KeNB có giá trị phụ thuộc vào nhận dạng của eNodeB. Được eNode sử dụng để rút ra các khóa cho lưu lượng RRC và UP.
Quá trình tạo ra các khóa trên như sau:
- Khi nhận thực và thỏa thuận khóa (AKA: Authentication and Key Agreement) được thực hiện cho yêu cầu nhận thực tương hỗ, khóa CK và IK được tạo ra tại AUC và USIM và được chuyển đến HSS và ME (Mobile Equipement: thiết bị di động) trong UE.
- MME và HSS tạo ra KASME từ cặp CK, IK bằng cách sử dụng chức năng tạo khóa được xây dựng trên cơ sở ID của mạng. HSS chuyển KASME đến MME của mạng để thông tin cơ sở cho phân cấp khóa.
- Từ khóa KASME, các khóa KNASenc (NASenc: Non Access Stratum Encryption: mật mã tầng không truy nhập) và KNASint (NASint: Non Access Stratum Integrity: tồn vẹn tầng khơng truy nhập) được tạo ra. Đây là các khóa dùng cho trao đổi số liệu và bảo vệ báo hiệu trong giao thức NAS giữa MME và UE.
- Khi UE được nối đến mạng, MME tạo ra khóa KeNB và chuyển nó đến eNodeB. Từ KeNodeB các khóa sau được tạo ra: (1) KUPenc (User Plane Encryption: mật mã mặt phẳng người sử dụng) để mật mã hóa mặt phẳng người sử
dụng, (2) khóa KRRCenc (RRCenc: Radio resource Control Encryption: mật mã điều khiển tài nguyên vô tuyến) để mật mã hóa mặt phẳng điều khiển và (3) KRRCint (RRCint: Radio Resource Control Integrity: toàn vẹn quản lý tài ngun vơ tuyến) để bảo vệ tồn vẹn mặt phẳng điều khiển.
Kết quả cuối cùng, năm khóa được tạo ra để bảo vệ toàn vẹn và bảo mật cho ba kiểu luồng: Báo hiệu NAS (giữa UE và MME), báo hiệu AS (RRC) (giữa UE và eNodeB) và số liệu mặt phẳng người sử dụng (giữa UE và S-GW).
Các chức năng an ninh trong EPS được phân tách thành các chức năng an ninh AS và NAS. Vì chỉ luồng số liệu lớn được truyền khi UE được kết nối, nên mạng chỉ thiết lập các liên kết an ninh khi UE và eNodeB được kết nối. Vì thế khi UE trong trạng thái rỗi (IDLE MODE), không cần duy trì trạng thái này trong eNodeB. Vì các bản tin NAS được trao đổi với các UE chế độ rỗi, nên các liên kết an ninh được thiết lập giữa UE và các nút mạng lõi (MME).
1.4.5. Thuật tốn mã hóa và tồn vẹn EPS
a. Thuật tốn mã hóa EPS
Ba thành phần quan trọng chính trong kiến trúc 5G cần có bảo mật là: UE, eNB và MME. Theo đó, UE và MME được kết nối bởi giao thức bảo mật NAS và các bản tin NAS trao đổi giữa UE và MME được bảo vệ tính tồn vẹn và mã hố bằng cách Header bảo mật NAS. Trong khi UE và eNB được kết nối thông qua các giao thức truy cập AS và các dịch vụ bảo mật được thực hiện cho cả mặt phẳng điều khiển và mặt phẳng người dùng. Những thuật tốn mật mã bí mật EPS Encryption Algorithm (EEA) đạt được sau khi xác thực giữa UE và SN được thực hiện bởi EPS-AKA. Các thuật toán EEA gồm 4 bit định danh bao gồm:
KNASenc, KRRCint và KUpenc (User Plane Encryption: mật mã mặt phẳng người sử dụng) để chỉ ra kiểu thuật tốn mã hóa được sử dụng. Theo đó, 3GPP chỉ ra thuật toán EEA0, EEA1 và EEA2 được sử dụng trong 4G LTE. Chúng cũng sẽ được sử dụng trong mạng 5G tương lai.
“00002” 128-EEA0 thuật tốn mã hóa Null “00012” 128-EEA1 SNOW 3G
Các giá trị khác sẽ được phát triển và sử dụng trong tương lai
UE và Enb sử dụng các thuật tốn 128-EEA0, 128-EEA1, 128-EEA2 để mã hóa RRC signaling và mã hóa UP.
UE và MME sử dụng các thuật toán 128-EEA0, 128-EEA1, 128-EEA2 để mã hóa NAS signaling.