Tech-invite3GPPspaceIETFspace
21222324252627282931323334353637384‑5x
Top   in Index   Prev   Next

TR 33.835
Study on Authentication and Key Management
for Applications based on 3GPP Credential in 5G

3GPP‑Page   fToC   Partial Content
V16.1.0 (Wzip)  2020/06  83 p.
Rapporteur:
Miss Huang, Xiaoting
China Mobile Com. Corporation

full Table of Contents for  TR 33.835  Word version:  16.1.0

each clause number in 'red' refers to the equivalent title in the Partial Content
Here   Top
1Scope  p. 10
2References  p. 10
3Definitions of terms, symbols and abbreviations  p. 11
3.1Terms  p. 11
3.2Symbols  p. 11
3.3Abbreviations  p. 11
4Key Issues  p. 12
4.1Key Issue#1: Security Anchor  p. 12
4.1.1Issue detail  p. 12
4.1.2Security Threat  p. 14
4.1.3Potential architectural requirement  p. 14
4.2Key Issue #2: Transport independent procedure definition  p. 14
4.2.1Issue details  p. 14
4.2.2Security Threats  p. 15
4.2.3Potential architecture requirements  p. 15
4.3Key Issue #3: Mutual authentication between UE and anchor function  p. 15
4.3.1Issue details  p. 15
4.3.2Security Threats  p. 15
4.3.3Potential security requirements  p. 15
4.4Key Issue #4: Authentication framework  p. 16
4.4.1Issue details  p. 16
4.4.2Security Threats  p. 16
4.4.3Potential security requirements  p. 16
4.5Key Issue #5: User privacy  p. 16
4.5.1Issue details  p. 16
4.5.2Security Threats  p. 16
4.5.3Potential security requirements  p. 17
4.6Key Issue #6: Secure communication between UE and application server  p. 17
4.6.1Issue details  p. 17
4.6.2Security threats  p. 17
4.6.3Potential security requirements  p. 17
4.7Key Issue #7: Protecting subscriber's personal information in control and data traffic  p. 17
4.7.1Issue details  p. 17
4.7.2Security Threats  p. 18
4.7.3Potential security requirements  p. 18
4.8Key Issue #8: Protection of AKMA architecture interfaces  p. 18
4.8.1Issue details  p. 18
4.8.2Security Threats  p. 18
4.8.3Potential security requirements  p. 18
4.9Key Issue #9: Key separation for AKMA AFs  p. 18
4.9.1Issue details  p. 18
4.9.2Security Threats  p. 18
4.9.3Potential security requirements  p. 18
4.10Key Issue #10: Compliance with local rules and regulations  p. 19
4.10.1Issue details  p. 19
4.10.2Security Threats  p. 19
4.10.3Potential security requirements  p. 19
4.11Key Issue #11: Generic battery efficient end-to-end security  p. 19
4.11.1Issue details  p. 19
4.11.2Security threats  p. 19
4.11.3Potential security requirements  p. 19
4.12Key Issue #12: Key lifetimes  p. 19
4.12.1Issue details  p. 19
4.12.2Security Threats  p. 19
4.12.3Potential security requirements  p. 20
4.13Key Issue #13: API for AKMA keys in UE  p. 20
4.13.1Issue details  p. 20
4.13.2Security Threats  p. 21
4.13.3Potential security requirements  p. 21
4.14Key Issue #14: Key revocation  p. 21
4.14.1Issue details  p. 21
4.14.2Security Threats  p. 21
4.14.3Potential security requirements  p. 21
4.15Key Issue #15: Synchronization of keys when using established keys  p. 21
4.15.1Issue details  p. 21
4.15.2Security Threats  p. 22
4.15.3Potential security requirements  p. 22
4.16Key Issue #16: Application key freshness of AKMA  p. 22
4.16.1Issue details  p. 22
4.16.2Security Threats  p. 22
4.16.3Potential security requirements  p. 22
4.17Key Issue #17: AKMA push  p. 22
4.17.1Issue details  p. 22
4.17.2Security Threats  p. 23
4.17.3Potential security requirements  p. 23
5Candidate Solutions  p. 23
5.1Solution #1: Introducing third party key to AKMA  p. 23
5.1.1Introduction  p. 23
5.1.2Solution details  p. 23
5.1.3Evaluation  p. 24
5.2Solution #2: Access independent architecture solution for AKMA  p. 25
5.2.1Introduction  p. 25
5.2.2Solution details  p. 25
5.2.2.1Architecture and reference points  p. 25
5.2.2.2Procedures  p. 26
5.2.2.2.1Initiation  p. 26
5.2.2.2.2Authentication  p. 26
5.2.2.2.3Usage  p. 27
5.2.3Evaluation  p. 27
5.3Solution #3: Architecture solution for AKMA with standalone anchor  p. 28
5.3.1Introduction  p. 28
5.3.2Solution details  p. 28
5.3.2.1Architecture and reference points  p. 28
5.3.2.2Procedures  p. 29
5.3.2.2.1Initiation  p. 29
5.3.2.2.2Authentication  p. 29
5.3.2.2.3Usage  p. 30
5.3.3Evaluation  p. 31
5.4Solution #4: Bootstrapping authentication of AKMA  p. 31
5.4.1Introduction  p. 31
5.4.2Solution details  p. 31
5.4.2.0General  p. 31
5.4.2.1Potential Authentication procedure for 5G AKA  p. 31
5.4.2.2Potential Authentication procedure for EAP-AKA'  p. 34
5.4.3Evaluation  p. 35
5.5Solution #5: Transport independent procedure using existing protocols by applying OneM2M protocol binding mechanism  p. 35
5.5.1Introduction  p. 35
5.5.2Solution details  p. 35
5.5.3Evaluation  p. 36
5.6Solution #6: Transport independent procedure using existing protocols by introducing a protocol transfer gateway  p. 36
5.6.1Introduction  p. 36
5.6.2Solution details  p. 37
5.6.2.1Architecture reference model  p. 37
5.6.2.1.1Entities  p. 37
5.6.2.1.2Service based interfaces  p. 37
5.6.2.2Procedures  p. 38
5.6.3Evaluation  p. 39
5.7Solution #7: UE implementation scheme- AKMA framework and application on modem  p. 39
5.7.1Introduction  p. 39
5.7.2Solution details  p. 39
5.7.3Evaluation  p. 39
5.8Solution #8: UE implementation scheme- AKMA framework on UICC and application on modem  p. 40
5.8.1Introduction  p. 40
5.8.2Solution details  p. 40
5.8.3Evaluation  p. 40
5.9Solution #9: UE implementation scheme- Application Processor (AP) scheme with AKMA framework on modem  p. 40
5.9.1Introduction  p. 40
5.9.2Solution details  p. 40
5.9.3Evaluation  p. 41
5.10Solution #10: UE implementation scheme- Application Processor (AP) scheme with AKMA framework on UICC  p. 41
5.10.1Introduction  p. 41
5.10.2Solution details  p. 41
5.10.3Evaluation  p. 42
5.11Solution #11: UE implementation scheme- AKMA framework implemented on Secure Element (SE)  p. 42
5.11.1Introduction  p. 42
5.11.2Solution details  p. 42
5.11.3Evaluation  p. 42
5.12Solution #12: UE implementation scheme- AKMA framework implemented on application processor's OS  p. 42
5.12.1Introduction  p. 42
5.12.2Solution details  p. 43
5.12.3Evaluation  p. 43
5.13Solution #13: AKMA authentication via the control plane  p. 43
5.13.1Introduction  p. 43
5.13.2Solution details  p. 44
5.13.2.1Architecture and reference points  p. 44
5.13.2.2Procedures  p. 44
5.13.2.2.1Initiation  p. 44
5.13.2.2.2AKMA authentication with EAP-AKA'  p. 45
5.13.2.2.3AKMA authentication with 5G AKA  p. 46
5.13.2.2.4Usage  p. 47
5.13.3Evaluation  p. 47
5.14Solution #14: Key revocation  p. 48
5.14.1Introduction  p. 48
5.14.2Solution details  p. 48
5.14.2.1Revocation in Application function  p. 48
5.14.2.2Revocation in UE  p. 48
5.15Solution #15: Implicit bootstrapping  p. 49
5.15.1Introduction  p. 49
5.15.2Solution details  p. 51
5.15.2.1Authentication using EAP-AKA'  p. 51
5.15.2.2Authentication using 5G AKA  p. 52
5.15.2.3AKMA key refresh  p. 52
5.15.3Evaluation  p. 53
5.16Solution #16: Use of KSEAF as root key for KAKMA  p. 54
5.16.1Introduction  p. 54
5.16.2Solution details  p. 54
5.16.2.1AKMA Key Repository Service  p. 54
5.16.2.1.1AKMA Key Repository Service Serving Network Architecture Option  p. 54
5.16.2.1.2AKMA Key Repository Service Home Network Architecture Option  p. 55
5.16.2.2AKMA Established Key Use Procedure  p. 56
5.16.2.2.1Procedure  p. 56
5.16.3Evaluation  p. 57
5.17Solution #17: Efficient key derivation for end-to-end security  p. 58
5.17.1Introduction  p. 58
5.17.2Solution details  p. 58
5.17.2.1Architecture  p. 58
5.17.2.2Potential Procedures  p. 59
5.17.2.2.1Information flow  p. 59
5.17.2.2.2Key hierarchy  p. 64
5.17.3Evaluation  p. 65
5.18Solution #18: Key separation for AKMA AFs using counters  p. 65
5.18.1Introduction  p. 65
5.18.2Solution details  p. 66
5.18.3Evaluation  p. 66
5.19Solution #19: Reusing KAUSF for AKMA  p. 67
5.19.1Introduction  p. 67
5.19.2Solution details  p. 67
5.19.3Evaluation  p. 68
5.20Solution #20: Key identification when implicit bootstrapping is used  p. 68
5.20.1Introduction  p. 68
5.20.2Solution details  p. 68
5.20.2.1Option 1 - Key Identifier calculated from the keys  p. 68
5.20.2.2Option 2 - Reuse of ngKSI  p. 68
5.20.3Evaluation  p. 69
5.21Solution #21: Combining implicit bootstrapping solutions for usage of KAUSF or KSEAF as AKMA root key  p. 70
5.21.1Introduction  p. 70
5.21.2Solution details  p. 70
5.21.2.1Generic procedure  p. 70
5.21.2.2Home Network Option  p. 71
5.21.2.3Serving Network Option  p. 71
5.21.2.4Combined Option  p. 72
5.21.3Evaluation  p. 72
5.22Solution #22: Key freshness in AKMA  p. 72
5.22.1Introduction  p. 72
5.22.2Solution details  p. 72
5.22.3Evaluation  p. 73
5.23Solution #23: Implicit bootstrapping using NEF as the AKMA Anchor Functions  p. 74
5.23.1Introduction  p. 74
5.23.2Solution details  p. 74
5.23.2.1Architecture  p. 74
5.23.2.2Procedures  p. 75
5.23.3Evaluation  p. 76
5.24Solution #24: AKMA push  p. 76
5.24.1Introduction  p. 76
5.24.2Solution details  p. 76
5.24.2.1Architecture and reference points  p. 76
5.24.2.2Potential Procedures  p. 77
5.24.2.2.1Initiation  p. 77
5.24.3Evaluation  p. 79
5.25Solution #25: Key lifetimes  p. 79
5.25.1Introduction  p. 79
5.25.2Solution details  p. 79
5.25.2.1KAKMA lifetime  p. 79
5.25.2.2Application key lifetime  p. 80
5.25.3Evaluation  p. 81
6Evaluation and conclusion  p. 81
6.1Evaluation and conclusion on architecture and authentication procedures  p. 81
6.2Evaluation and conclusion on key management  p. 81
6.2.1Evaluation and conclusion on Key lifetimes (Key issue #12)  p. 81
6.2.2Evaluation and conclusion on Secure communication between UE and application server (Key issue #6)  p. 82
6.3Evaluation and conclusion on interfaces and protocols  p. 82
6.4Evaluation and conclusion on privacy  p. 82
6.5Evaluation and conclusion on API of AKMA in the UE  p. 82
$Change history  p. 83

Up   Top