TS 24.501-5G 系统的非接入层（NAS）协议(R18.5)-4

4.4  NAS security

4.4.2  处理 5G NAS 安全上下文

4.4.2.1  General

4.4.2.1.2  UE 离开 5GMM-DEREGISTERED状态 |R18|

如果 UE 仅能够通过单一接入进行注册，那么 UE 应当在启动如子 clause 5.5.1.2 所述的初始注册过程或者当UE从状态 5GMM-DEREGISTERED 转换到除 5GMM-NULL 外的任意其他状态时，在USIM 或非易失性内存中将5G NAS安全上下文标记为无效。

如果 UE 能够通过 3GPP 接入和非 3GPP 接入进行注册，并且最后一次注册是通过 3GPP 接入和非 3GPP 接入在同一 PLMN 上进行的、 当 UE 按照第 5.1.2 子条款所述通过 3GPP 接入或非 3GPP 接入启动初始注册程序时，处于通过 3GPP 接入和非 3GPP 接入的 5GMM-DEREGISTERED 状态的 UE 应将 USIM 上 3GPP 接入和非 3GPP 接入记录 1 或非易失性存储器中的 5G NAS 安全上下文标记为无效。5.1.2 或当 UE 通过 3GPP 接入或非 3GPP 接入离开 5GMM-DEREGISTERED 状态而进入除 5GMM-NULL 之外的任何其他状态时。

本章节内容解读：

如果 UE 只支持一种接入方式进行注册，则在以下两种情况下，UE 需要将 USIM 卡或非易失性内存中的 5G NAS 安全上下文标记为无效：

1. 当 UE 启动子句 5.5.1.2 描述的初始注册流程时。

2. 当 UE 从 5GMM-DEREGISTERED 状态进入除 5GMM-NULL 以外的任何其他状态时。

如果 UE 既支持 3GPP 接入 (如移动网络运营商提供的蜂窝网络) 也支持非 3GPP 接入 (如 Wi-Fi)，并且最近一次在同一个公共陆地移动网 (PLMN) 上同时使用 3GPP 接入和非 3GPP 接入进行注册，那么在以下两种情况下，处于 3GPP 接入和非 3GPP 接入均已注销的 5GMM-DEREGISTERED 状态的 UE，需要将 USIM 卡或非易失性内存中用于 3GPP 接入和非 3GPP 接入的第 1 记录的 5G NAS 安全上下文标记为无效：

1. 当 UE 通过子句 5.5.1.2 描述的初始注册过程，启动 3GPP 接入或非 3GPP 接入的注册时。

2. 当 UE 通过 3GPP 接入或非 3GPP 接入，从 5GMM-DEREGISTERED 状态进入除 5GMM-NULL 以外的任何其他状态时。

4.4.2.1.3 UE 进入状态 5GMM-DEREGISTERED 状态

用户设备 (UE) 如何存储和标记 5G NAS 安全上下文 (用于加密通信的信息) 的状态，具体取决于 UE 的接入能力和注册状态：

• 如果 UE 只支持一种接入方式进行注册，那么只有在以下两种情况下，UE 才需要将当前的原生 5G NAS 安全上下文存储在 USIM 卡或非易失性内存中并将其标记为有效：

1. 当 UE从除5GMM-NULL以外的任何其他状态进入 5GMM-DEREGISTERED 状态时 (即注销移动网络)。

2. 当UE在没有离开5GMM-DEREGISTERED状态的情况下中止初始注册过程时。

• 如果 UE 既支持 3GPP 接入 (如移动网络运营商提供的蜂窝网络) 也支持非 3GPP 接入 (如 Wi-Fi)，并且在同一个公共陆地移动网 (PLMN) 上同时使用 3GPP 接入和非 3GPP 接入进行注册，那么 UE 需要按照附件 C 的规定存储用于 3GPP 接入和非 3GPP 接入的当前原生 5G NAS 安全上下文，并仅在以下两种情况下将它们标记为有效：

1. 当UE通过3GPP接入和非3GPP 接入均处于注销状态(5GMM-DEREGISTERED) 时，且没有进入除 5GMM-NULL以外的其他状态。

2. 当UE 在没有离开通过3GPP 接入和非3GPP 接入均处于注销状态 (5GMM-DEREGISTERED) 的情况下中止初始注册过程时。

4.4.2.2 在 5GMM-CONNECTED 模式下从 S1 模式到 N1 模式的系统间更改期间建立映射的 5G NAS 安全上下文

为了使在支持N26接口的网络中以单注册模式运行的UE能够在5GMM-CONNECTED模式下，从S1模式到N1模式的系统间切换中推导出一个映射的5G NAS安全上下文，AMF应根据TS 33.501中的指示，从源MME接收到的EPS安全上下文中构造一个映射的5G NAS安全上下文。

AMF应选择5G NAS安全算法并派生5G NAS密钥（即KNASenc和KNASint）。AMF应为新派生的K'AMF密钥定义一个ngKSI，使得值字段取自KASME密钥的eKSI，类型字段设置为指示映射的安全上下文，并将此ngKSI与新创建的映射5G NAS安全上下文关联。然后，AMF应将消息认证码、选定的NAS算法、NCC和生成的ngKSI包含在S1模式到N1模式NAS透明容器IE中（见子条款9.11.2.9）。

当在支持N26接口的网络中以单注册模式运行的UE有紧急承载服务的PDN连接且没有当前的EPS安全上下文时，AMF应将5G-IA0和5G-EA0设置为S1模式到N1模式NAS透明容器IE中选定的5G NAS安全算法。AMF应创建一个本地生成的K'AMF。AMF应将关联的安全上下文的ngKSI值设置为"000"，并将安全上下文类型的标记设置为"映射的安全上下文"，在S1模式到N1模式NAS透明容器IE中。

当在支持N26接口的网络中以单注册模式运行的UE接收到执行系统间切换到5GMM-CONNECTED模式下N1模式的命令（参见TS 38.331），并且具有紧急承载服务的PDN连接时，如果S1模式到N1模式NAS透明容器IE中包含了选定的5G NAS安全算法5G-IA0和5G-EA0，UE应创建一个本地生成的K'AMF。此外，UE应将相关安全上下文的ngKSI值设置为接收到的KSI值。

完成将新映射的 5G NAS 安全上下文用于 3GPP 接入的 5GMM-CONNECTED 模式下的 S1 模式到 N1 模式的成功互系切换后，如果 UE 在 3GPP 接入和非 3GPP 接入上与相同的 PLMN 注册：

1. 如果5G原生NAS安全 context 在非3GPP访问中使用，那么：

   （1）UE 在非 3GPP 接入上处于 5GMM-IDLE 模式，则 AMF 和 UE 应在 3GPP 接入上激活并使用新映射的 5G NAS 安全上下文以进行非 3GPP 接入，如 TS 33.501 中所述AMF发送或UE接收REGISTRATION ACCEPT消息。UE和AMF应保留在非3GPP接入上使用的本机5G NAS安全上下文，并将其设为非当前本机5G NAS安全上下文。非当前本机 5G NAS 安全上下文可以稍后使用安全模式控制过程重新激活；或者

   （2）UE 在非 3GPP 接入上处于 5GMM-CONNECTED 模式，为了激活在非 3GPP 接入上处于活动状态的 3GPP 接入上的本机 5G NAS 安全上下文，AMF 应通过 3GPP 接入发送安全模式命令消息如 TS 33.501 中所述。SECURITY MODE COMMAND 消息应包含相同的 ngKSI 来标识非 3GPP 接入上使用的本机 5G NAS 安全上下文；或者

2. 如果在非 3GPP 接入上使用映射的 5G NAS 安全上下文并且：

   （1）UE 在非 3GPP 接入上处于 5GMM-IDLE 模式，AMF 和 UE 应在 3GPP 接入上激活并使用新映射的 5G NAS 安全上下文，以用于非 3GPP 接入，如 TS 33.501 中所述AMF发送或UE接收REGISTRATION ACCEPT消息；或者

   （2）UE 在非 3GPP 接入上处于 5GMM-CONNECTED 模式，为了在一个接入上激活在另一接入上使用的相同映射 5G NAS 安全上下文，AMF 应通过单接入发送安全模式命令消息，如所述在 TS 33.501 中。安全模式命令消息应包含相同的 ngKSI，以识别在其他接入上使用的映射 5G NAS 安全上下文。

如果 5GMM-CONNECTED 模式下从 S1 模式到 N1 模式的系统间更改未成功完成，则在支持 N26 接口的网络中以单注册模式运行的 AMF 和 UE 应删除新映射的 5G NAS 安全上下文。