【编辑推荐】5G安全标准包括对用户设备的要求——主要是他们的平板电脑和智能手机以及5G网络中的基站。
其他标准包括5G系统内的各种功能。5G安全标准强调机密性、完整性和重放保护。重放保护用于避免重放攻击,在这种攻击中,恶意行为者会拦截一条消息,获取包含的凭据,然后将类似但经过修改的消息再次发送到同一目的地。结果是发送给原始发件人的响应而不是发送给攻击者。
“5G系统的安全架构和程序”标准是5G安全标准的一个重要例子。它是通过共同组成3GPP的标准机构的合作以及通过与互联网工程任务组(IETF)的合作开发的。国际电信联盟(ITU)已在其他领域发布了大量5G标准,但没有与3GPP的出版物相同程度地制定5G安全规则的可比文件。
本文并未详尽介绍3GPP出版物中有关5G安全架构和程序的所有内容。相反,它是一个概括用户设备和5G基站要求的高级概述。之所以选择这两个类别,是因为它们是5G技术最重要和最基础的例子。
随着物联网设备数量激增,现在是更新基础知识和阅读最新发展的最佳时机。立即下载本指南,了解您需要了解的一切。
用户设备安全特性
认证:在这种情况下,用户设备必须通过密钥认证来认证网络标识符。
用户和信令数据的机密性:用户设备可以通过加密算法来支持数据的机密性。用户设备必须使用NEA0、128-NEA1和128-NEA2密码算法。就上下文而言,NEA0缺乏加密,而128-NEA2与AES-128相同。密码算法128-NEA3是一种更强的算法,尽管它是可选的。
用户和信令数据的完整性:密码算法NIA0、128-NIA1和128-NIA2用于完整性保护。用户设备必须支持其与网络节点之间用户数据的完整性保护和重放保护。完整性保护是防篡改的一部分,即采取措施确保程序正常运行时,尤其是当实体试图破坏、监视或更改其运行方式时。用户数据完整性的一个可选元素是用户设备和网络节点之间数据的完整性保护。这是可选的,因为用户平面的完整性保护增加了数据包大小的开销并增加了用户设备和网络节点的处理负载。
订阅凭证的安全存储和处理:这些凭证及其长期密钥将在用户设备内通过防篡改硬件进行完整性保护。长期密钥永远不会在防篡改硬件之外未加密。任何使用订阅凭据的身份验证算法都必须在此硬件中运行。更大标准的这一部分还要求必须能够对硬件组件进行安全评估。
用户隐私:为了满足3GPP5G安全标准,用户设备必须支持3GPP所谓的全球唯一临时UE身份(GUTI)。GUTI提供用户设备的明确标识,但不会泄露UE或用户在5G网络中的永久身份。订阅永久标识符(SUPI)不得通过下一代无线接入网络进行未加密传输。通用用户身份模块是存储家庭网络公钥、保护方案标识符、家庭网络公钥标识符和订阅隐藏标识符(SUCI)的地方。SUCI又包含SUPI。5G网络提供商负责用户隐私以及配置和更新家庭网络公钥和该密钥的标识符。在3GPP5G安全标准中,家庭网络是指用户主要订阅的网络。
网络安全功能
5G基站称为gNB,是新无线电NodeB的缩写。这是在4GLTE的演进型NodeB和3G的NodeB之后出现的。
订阅认证:网络在与用户设备进行认证和执行密钥协议时需要对SUPI进行认证。
用户设备授权:服务网络必须使用从归属网络获取的订阅模板对用户设备进行授权。服务网络本质上是一个漫游网络,允许用户连接到他们的家庭网络。用户设备授权取决于被认证的SUPI。
归属网络授权的服务网络:在这部分更大的5G安全标准中,用户设备必须确保其连接到归属网络授权的服务网络。
接入网授权:正如服务网络必须获得归属网络的授权一样,接入网络必须获得服务网络的授权才能为用户设备提供服务。
用户和信令数据的机密性:5GgNB必须支持对传输中的用户数据和无线资源控制(RRC)信令进行加密。gNB应根据安全策略激活用户数据加密过程。这种加密算法与用户设备用于数据机密性的算法相同,如上所述。
用户和信令数据的完整性:节点和用户设备一样,必须支持用户设备和gNB之间用户数据的完整性保护和重放保护。加密算法与用户设备用于完整性保护的算法相同。但是,不建议将NIA0用于完整性保护,因为它不加密,因此会增加不必要的开销。5G网络节点还必须支持RRC的完整性保护和重放保护。对于上下文,RRC存在于控制平面中并控制无线接口第2层和第3层之间的配置。
设置和配置要求:在这个5G安全标准中,当运营和管理(O&M)系统设置和配置gNB时,必须通过注册机构和认证机构(RA/CA)的身份验证和授权,这样攻击者将无法修改gNB设置和软件配置。O&M系统和gNB之间的通信必须受到保密、完整性和重放保护,不受未经授权的实体的影响。此外,软件和数据更改必须在安装和使用前获得授权,软件和数据本身必须获得授权,将软件传输到gNB必须保密并具有完整性保护。启动过程必须在安全的环境中完成,以保护其敏感元素。
gNB内部的密钥管理要求:需要保护5G网络核心向gNB提供的加密密钥的不同元素。这些元素是订阅特定的会话密钥材料,它保存用于安全关联设置和身份验证目的的长期密钥。此要求的第一个要素是,存储或处理未加密密钥的gNB部署的任何部分都必须受到保护,免受物理攻击。如果它没有受到物理保护,那么gNB会被放置在一个物理安全的位置。
处理用户面和控制面数据要求:密钥管理的要求与处理gNB的用户面和控制面数据的要求相似。必须保护未加密的数据免受物理攻击,将其放置在物理安全的位置,并且在安全的环境中存储和处理未加密的数据。
安全环境的要求:运行所有这些未加密数据的安全环境也有要求。它必须通过例如长期加密机密和重要配置数据来支持安全存储。环境必须能够执行使用长期机密的敏感功能和协议。执行敏感功能包括用户数据的加密和解密。使用长期秘密的协议的一个例子是认证协议。3GPP5G安全标准的这一部分要求安全环境具有完整性。最后,只有具有授权访问权限的人员才能访问安全环境。
F1接口要求:F1接口可以在网络的分布式单元和中央单元之间发送信令流量和用户平面数据。控制平面和用户平面的F1接口必须支持机密性、完整性和重放保护。但是,控制平面和用户平面的F1接口是独立保护的。相同的保护必须适用于通过中央单元传输到分布式单元链路的所有管理流量。
E1接口要求:E1接口与中央单元和控制平面以及中央单元和用户平面之间的开放接口一起工作。在这两种情况下使用的E1接口都需要机密性、完整性和重放保护。
5G安全标准:关键要点
1.各种5G网络安全责任落在用户设备和网络基础设施上。
2.3GPP标准强调数据的机密性和完整性,主要使用加密算法,也称为密码算法来保护数据。
3.用户设备和网络基础设施都需要通过加密、防篡改硬件或处于安全物理位置来保护算法的加密密钥。
4.认证和授权对于用户设备和网络基础设施也很重要,因此用户设备和其他网络可以被确认为授权设备和网络。