5G安全标准是什么?详尽的5G安全标准报告
5G安全标准包括对用户装备(主要是平板电脑和智能手机)和5G网络中基站的要求。
其他标准包括5G系统中的各种功能。5G安全标准侧重于机密性,完全性和重放保护。有关机密性和完全性的更多信息,请参见SDxCentral文章“云中的数据安全最好实践”。重播保护用于避免重播攻击,在这类攻击中,歹意行动者将拦截一条消息,获得包括的凭据,然后将类似但经过修改的消息再次发送到同一目的地。结果是发送给原始发送者的响应转而发送给攻击者。
标准“5G系统的安全架构和进程”是这些标准的重要示例。它是通过标准组织的合作,开发出了共同构成了3GPP和通过合作与互联网工程任务组(IETF)。国际电信同盟(ITU)在其他领域已发布了许多5G标准,但是没有可比的文档来建立与3GPP出版物相同程度的5G安全规则。
本文并不是详实地讨论3GPP有关5G安全部系结构和进程的出版物中的所有内容。相反,它是一个高级概述,总结了用户装备和5G基站的要求。选择这两个种别是由于它们是5G网络最重要和最基础的方面。
用户装备安全功能
1.认证:在这类情况下,用户装备一定要通过密钥认证对网络标识符进行认证。
2.用户和信令数据的机密性:用户装备可以通过用于加密的密码算法来支持数据的机密性。用户装备一定要使用NEA0、128NEA1和128NEA2密码算法。就上下文而言,NEA0缺少加密,而128NEA2与AES128相同。加密算法128NEA3是更强大的算法,虽然它是可选的。
3.用户和信令数据的完全性:密码算法NIA0、128NIA1和128NIA2用于完全性保护。用户装备一定要支持完全性保护,并支持其与网络节点之间的用户数据重播保护。完全性保护是防篡改的一部份,在这类情况下,将采取措施确保程序正常运行,特别是当实体尝试破坏,监视或更改程序的运行方式时。用户数据完全性的可选元素是用户装备和网络节点之间数据的完全性保护。这是可选的,由于用户平面的完全性保护会增加数据包大小的开消,并增加用户装备和网络节点上的处理负载。
4.定阅凭证的安全存储和处理:这些凭证及其长时间密钥应使用防篡改硬件在用户装备内进行完全性保护。长时间密钥永久不可在防篡改硬件以外未经加密的情况下使用。使用定阅凭证的任何身份验证算法都一定要在此硬件中运行。较大标准的这一部份还要求一定要对硬件组件履行安全性评估。
5.用户隐私:为了满足3GPP5G安全标准,用户装备一定要支持3GPP所谓的全国唯一临时UE身份(GUTI)。GUTI提供了用户装备的明确标识,但没有流露5G网络中的UE或用户的永久身份。所述定阅永久标识符(SUPI)不得超过下一代无线接入网络传送加密。的通用定户辨认模块存储家庭网络公钥,保护方案标识符,家庭网络公钥标识符和定阅隐藏标识符(SUCI)的位置。SUCI顺次包括SUPI。5G网络提供商负责用户隐私,和提供和更新家庭网络公共密钥和该密钥的标识符。在3GPP5G安全标准中,家庭网络是指用户主要定阅的网络。
网络安全功能
5G基站称为gNB,是新的无线NodeB的缩写。这是继4GLTE演进的NodeB和3G的NodeB以后的结果。
1.定阅认证:在认证和与用户装备履行密钥协议时,要求网络认证SUPI。
2.用户装备授权:服务网络一定要通过使用从归属网络取得的定阅配置文件来授权用户装备。服务网络实质上是允许用户连接到其家庭网络的漫游网络。用户装备授权取决于要验证的SUPI。
3.由归属网络授权的服务网络:在较大的5G安全标准的这一部份中,一定要确保用户装备已连接到由归属网络授权的服务网络。
4.接入网授权:就像服务网络一定要由家庭网络授权一样,接入网也一定要由服务网络授权才能向用户装备提供服务。
5.用户和信令数据的机密性:5GgNB一定要支持传输中的用户数据和无线资源控制(RRC)信令的加密。gNB应基于安全策略激活用户数据加密进程。这样的加密算法与上述用户装备用于数据机密性的算法相同。
6.用户和信令数据的完全性:节点,如用户装备,一定要支持完全性保护和对在用户装备和gNB之间传输的用户数据进行重播保护。加密算法与用户装备用于完全性保护的算法相同。但是,不建议将NIA0用于完全性保护,由于它不会加密,因此会增加没必要要的开消。5G网络节点还一定要支持RRC的完全性保护和重播保护。就上下文而言,RRC存在于控制平面中,并控制无线接口第2层和第3层之间的配置。
7.设置和配置要求:当一定要由注册机构和认证机构(RA/CA)对操作和管理(O&M)系统的设置和配置gNB进行身份验证和授权时,攻击者将没法修改gNB设置和软件配置。O&M系统与gNB之间的通讯一定要遭到机密,完全性和重放保护,以避免受未授权实体的攻击。另外,在安装和使用之前一定要对软件和数据更改进行授权,一定要对软件和数据本身进行授权,并且将软件传输到gNB的进程一定要是机密的,并具有完全性保护。启动进程一定要在安全的环境中进行,以保护其敏感元素。
8.gNB内部密钥管理的要求:有必要保护5G网络核心提供给gNB的加密密钥的不同元素。这些元素是特定于定阅的会话密钥材料,其中包括用于安全关联设置和身份验证目的的长时间密钥。这项要求的第一个要素是,一定要保护gNB部署中存储或处理未加密密钥的任何部份免受物理攻击。如果没有遭到物理保护,则将gNB放置在物理安全的位置。
9.处理用户平面和控制平面数据要求:密钥管理的要求类似于处理gNB的用户平面和控制平面数据的要求。一定要保护未加密的数据免受物理攻击,并将其放置在物理上安全的位置,并且要在安全的环境中存储和处理未加密的数据。
10.安全环境的要求:所有未加密数据都在其中运行的安全环境也有要求。它一定要通过例如长时间加密机密和重要配置数据来支持安全存储。环境一定要能够履行使用长时间机密的敏感功能和协议。履行敏感功能包括用户数据的加密和解密。使用长时间机密的协议的一个示例是身份验证协议。3GPP5G安全标准的这一部份要求安全环境具有完全性。最后,只有具有授权访问权限的用户才能访问安全环境。
11.F1接口的要求:F1接口可以在网络的散布式单元和中央单元之间发送信令流量和用户平面数据。控制平面和用户平面的F1接口一定要支持机密性,完全性和重放保护。但是,用于控制平面和用户平面的F1接口遭到独立保护。相同的保护一定要适用于通过中央单元传输到散布式单元链路的所有管理流量。
12.E1接口的要求:E1接口与中央单元和控制平面和中央单元和用户平面之间的开放接口一起工作。在这两种情况下使用的E1接口都需要机密性,完全性和重播保护。
5G安全标准:关键要点
各种5G网络安全责任均落在用户装备和网络基础设施上。
3GPP标准强调数据的机密性和完全性,主要使用加密算法(也称为密码算法)来保护数据。
用户装备和网络基础设施都需要通过加密,防篡改硬件或位于安全的物理位置来保护算法的加密密钥。
认证和授权对用户装备和网络基础结构也很重要,因此可以将用户装备和其他网络确认为授权装备和网络。
