随着移动通信系统在社会生活中的使用越来越广泛,特别是 5G 进一步以企业级应用作为核心应用场景,安全成为了包括 5G 在内的移动通信系统不可忽视的因素。本文梳理了全球主流移动通信标准化组织在安全方面的标准制定,从而可以快速了解 5G 协议层面对信息安全的考量。原文: 5G Security Standards: 3GPP, ETSI, NIST, GSMA
随着 5G 技术在全球范围内不断推广,需要强大的安全措施来抵御威胁并确保网络的完整性,因此安全的作用越来越重要。
5G 的关键安全标准组织是 3GPP(第三代合作伙伴计划,3rd Generation Partnership Project),这是一个由 6 个电信标准组织合作推动移动电信标准制定的合作组织。
在 3GPP 内部,SA3(安全小组,Security Group)负责制定并维护包括 5G 在内的 3GPP 技术的安全标准。
5G 的另一个重要安全标准组织是 ETSI(欧洲电信标准协会,European Telecommunications Standards Institute),这是一个制定和维护信息和通信技术标准的欧洲标准化组织。
ETSI 已经为 5G 制定了多项安全标准,包括 NFV(网络功能虚拟化,Network Functions Virtualization)安全标准,该标准为保护虚拟化网络功能和服务提供了指导方针。
除了这些标准化组织外,还有一些行业特定的安全标准也适用于 5G,例如与移动网络运营商相关的 GSMA(全球移动通信系统协会,Global System for Mobile Communications Association)安全标准,以及与关键基础设施提供商相关的 5G-ENS(5G 交换网络安全,5G Exchange Network Security)标准。
5G 安全标准包括:
- 3GPP (3rd Generation Partnership Project)
- Joint Technical Committee for IT (信息技术联合技术委员会)
- NESAS (The Network Equipment Security Assurance Scheme, 网络设备安全保障计划)
- IETF
- ETSI
- NIST, GSMA, 以及其他
在这篇文章中,我们将详细探讨上述 5G 安全标准,讨论这些标准为防范威胁和确保 5G 网络安全而采取的具体措施。
5G 3GPP 安全标准
3GPP 是一个电信标准化组织,负责制定 5G 和其他移动技术标准。
3GPP 为 5G 网络制定了多项安全标准,包括加密、认证和网络安全标准。
3GPP 还为 5G 设备和用户设备制定了一系列安全标准,包括 SIM 卡、eSIM 和可信执行环境(TEEs,Trusted Execution Environments)标准。
5G 3GPP 安全技术标准要点:
1. AES (Advanced Encryption Standard)
AES(Advanced Encryption Standard)是一种广泛使用的加密算法,用于保护在 5G 网络上传输的数据的机密性和完整性。
2. SSL/TLS
SSL(安全套接字层,Secure Sockets Layer)和 TLS(传输层安全,Transport Layer Security)是用于保护 5G 网络通信的加密协议。
SSL 和 TLS 使用公钥和对称密钥算法的组合,为网络传输的数据提供强大的加密和身份验证功能 。
3. EAP
EAP(Extensible Authentication Protocol)是一种用于对接入 5G 网络的设备和用户进行认证的协议。
EAP 使用密码、令牌、证书等多种身份验证方法来验证设备和用户的身份。
4. RADIUS
RADIUS(Remote Authentication Dial-In User Service)是对接入 5G 网络的设备和用户进行认证授权的协议。
RADIUS 使用中央服务器对设备和用户进行认证和授权,支持密码、令牌、证书等多种认证方式。
5G GSMA 安全标准
GSMA(GSM 协会,GSM Association)是代表全球移动运营商利益的行业组织。
GSMA 为 5G 网络和设备制定了多项安全标准,包括加密、身份验证和网络安全标准。
SEPP(安全边缘保护代理,Security Edge Protection Proxy)是 5G 网络架构的关键组件,旨在保护家庭网络边缘,并在家庭网络与访问网络之间的互连中充当安全网关。
SEPP 旨在提供应用层安全、端到端身份验证、完整性和机密性保护、密钥管理机制以及消息过滤和策略。
此外,在 5G 网络中采用基于 IP 的协议,如 HTTP/2、TLS、TCP 和 OpenAPI 3.0.0 的 RESTful 框架,预计将增强与更大范围服务和技术的互操作性,但也可能增加潜在的攻击面和漏洞的影响。
移动运营商和其他利益相关方必须意识到这些安全风险,并采取适当措施减少风险。
GSMA 正在通过各种计划和服务支持移动安全生态系统,例如:
- 未来网络计划的欺诈和安全小组(FASG,Fraud and Security Group)
- 协同漏洞披露(CVD,Coordinated Vulnerability Disclosure)计划
- 物联网安全项目,以及
- 网络组(NG,Networks Group)
这些计划和服务有助于确保 5G 网络、设备以及用户设备的安全。
5G GSMA 安全技术标准要点:
为了提高 5G 网络中用户和设备数据的保密性和完整性:
1. 保护初始非访问层(NAS, Non-Access Stratum)消息的机密性
保护 5G 网络中设备和网络之间 NAS 消息的机密性,使得当前的攻击方法通过无线接口跟踪用户设备(UE)更加困难,从而有助于防止中间人(MITM,man in the middle)和假基站的攻击。
2. 引入名为归属控制(Home Control)的保护机制
在 5G 网络中引入名为归属控制(Home Control)的保护机制,即在归属网络检查访问网络中设备的认证状态后,并最终完成对访问网络的设备的认证。
该增强有助于防止各种类型的漫游欺诈,这些欺诈在过去一直是移动运营商的大问题,该机制可以支持运营商正确验证设备到服务的请求。
3. 对不同类型的接入网支持统一鉴权
在 5G 网络中支持 WLAN 等不同接入网的统一鉴权,使 5G 网络能够管理以前不受管理和不安全的连接。
该机制支持 UE 在不同的接入网或服务网之间移动时重新执行身份验证的可能性。
4. 支持用户面完整性校验
在 5G 网络中支持用户面完整性校验,保证用户流量在传输过程中不被修改,从而有助于保护通过网络传输的用户数据的完整性。
5. 使用公/私钥对及锚定密钥加强私隐保护
在 5G 网络中,通过使用公钥/私钥对和锚定密钥来隐藏用户身份并派生整个服务架构中使用的密钥,隐私保护得到增强,并有助于保护通过网络传输的用户和设备数据的隐私。
5G NIST 安全标准
美国国家标准与技术研究所(NIST,National Institute of Standards and Technology)是美国政府机构,负责为包括电信行业在内的各行各业制定技术标准和指导方针。
NIST 已经为 5G 网络制定了一系列安全标准和指南,包括加密、认证和网络安全标准。
5G NIST 安全技术标准要点:
1. 网络安全框架(CSF,Cybersecurity Framework)
NIST 网络安全框架(CSF)是一种基于风险的网络安全管理方法,可帮助组织识别、保护、检测、响应和从网络威胁中恢复。CSF 的设计具有灵活性和适应性,可用于所有规模和所有行业的组织来管理网络安全风险。
2. Special Publication (SP) 800-53
NIST SP 800-53 是一套针对联邦信息系统和组织的安全和隐私控制。SP 800-53 提供了一套全面的安全控制,可根据组织的特定需求进行定制,并被设计成与 NIST 网络安全框架一起使用。
3. NIST SP 800-63
NIST SP 800-63 是一套数字身份指南,为数字身份的安全发布、管理和使用提供了建议,其中囊括了 5G 网络和设备使用数字身份(包括身份验证、授权和身份验证)的指南。
随着 5G 的普及,企业有效管理与 5G 相关的安全风险,并在其发展过程中保护该技术免受网络攻击非常重要。
为了应对这些挑战,NIST 正在采用敏捷流程发布 5G 网络安全项目,该项目建立在 NCCoE 的可信云项目基础上,重点关注基于 5G 标准的安全功能和基于云的安全托管基础设施的组合。
《5G 网络安全实践指南》中提出的解决方案旨在降低风险和安全事件发生的可能性,加强 5G 网络的支撑基础设施,保护 5G 通信内容和用户隐私,并通过实施反映关键零信任原则的示范实践,为实现零信任铺平道路。
通过采用这些解决方案,企业可以从其 5G 网络系统的安全性和信任度提高中受益。
NCCoE 5G 实现概要架构
NIST 网络安全卓越中心(NCCoE,NIST Cybersecurity Center of Excellence)制定了一份名为《NCCoE 5G 实施》的全面指南,为组织在其 5G 网络中实施安全标准提供了实际步骤。
《NCCoE 5G 实施》涵盖了身份和访问管理、网络安全、安全软件开发和供应链风险管理等多个安全领域。
同时该指南提供了如何实现安全控制和技术的详细指导,包括加密、安全引导、安全通信协议和入侵检测系统。
NIST 5G 安全标准和 NCCoE 5G 实施指南的目标是确保 5G 网络的设计和实施具有强大的安全功能,以防范潜在网络威胁和攻击。
通过遵循这些指导方针,组织可以改善 5G 网络的安全态势,并帮助确保数据和系统的机密性、完整性和可用性。
在下图中,该架构由图左侧的 5G 无线接入网(RAN)组成,其中包括 5G 用户设备(UE)、无线电和天线以及称为 gNodeB(gNB)的基带单元。
RAN 通过回传网连接到数据中心的核心网。
5G NIST 安全标准: NCCoE 5G 实现
数据中心是 NCCoE 示例解决方案的重点,包括支持云基础设施,支持可信计算集群、网络管理和安全工具,以及虚拟和容器化 5G 网络功能。
下面提到的 NIST 推荐架构旨在实现 5G 网络的商业级安全参考架构,弥合 IT 和电信网络安全能力之间的差距。
5G ETSI 安全标准
ETSI(欧洲电信标准协会,European Telecommunications Standards Institute)是一个负责为电信行业制定技术标准的组织。
ETSI 为 5G 网络和设备制定了多项安全标准,包括加密、身份验证和网络安全标准。
ETSI 5G 系统通用安全建议
这些要求旨在减少 bidding down 攻击,确保适当的身份验证和授权,并为用户和信令数据提供机密性和完整性保护。
为了实现这些目标,5G 系统必须支持某些安全特性和算法,包括加密和完整性保护算法的密钥至少为 128 位,对用户数据和信令数据进行加密,以及支持多种加密算法。
5G 系统还必须支持在用户设备(UE)中安全存储用户永久标识符(SUPI,Subscription Permanent Identifier),并根据从归属网络获得的 UE 订阅配置文件提供授权。
此外,系统必须支持某些地区的未经身份验证的紧急服务,并且必须向终端保证其已连接到获得授权的服务和接入网络。
这些安全要求旨在确保 5G 系统和网络的机密性、完整性和可信性。
ETSI 对 5G 系统的一般安全建议:
- 加密和完整性保护算法密钥至少为 128 位
- 对用户数据和信令数据进行加密
- 支持多种加密算法
此外,5G 系统还必须:
- 支持在用户设备(UE)中安全存储用户永久标识符(SUPI)
- 根据从归属网络获得的终端订阅配置文件提供授权
- 在特定地区支持未经认证的紧急服务
- 向终端保证其已连接到获得授权的服务和接入网络
总体而言,这些安全需求都是为了确保 5G 系统和网络的机密性、完整性和可信性。
希望这篇文章能够帮助你了解由不同组织(3GPP, ETSI, NIST, GSMA)提供的 5G 安全规范和标准建议,所有这些组织都对 5G 以及电信行业做出了重要贡献。
你好,我是俞凡,在 Motorola 做过研发,现在在 Mavenir 做技术工作,对通信、网络、后端架构、云原生、DevOps、CICD、区块链、AI 等技术始终保持着浓厚的兴趣,平时喜欢阅读、思考,相信持续学习、终身成长,欢迎一起交流学习。
微信公众号:DeepNoMind