5 分钟搞懂 5G 安全增强

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 5 分钟搞懂 5G 安全增强

安全是移动通信网络的关键指标之一,5G 在 4G 的基础上进一步增强了安全指标,本文详细介绍了 5G 在安全方面的相关工作。原文: 5G Security: In Detail Points and Enhancements over 4G


5G 技术已迅速成为电信行业的下一件大事,有望实现更快的速度、更大的容量和更高的网络可靠性。


然而,与任何新技术一样,5G 网络也有自己的一套安全标准、挑战和隐私问题。


本文将详细探讨 5G 安全性以及为确保更安全的网络环境而在 4G 基础上进行的增强。


5G 系统引入了多项安全改进,包括在 HPLMN 中终止用户身份验证,物联网设备基于非 SIM 卡的身份验证,通过对长期用户标识符的加密增强用户隐私,并且不再将长期用户标识符用于寻呼,在所有网络功能上强制支持 TLS 和 OAuth 2.0,以实现 SBA 安全和互连。


5G 系统安全改进还包括在终端和 gNB 上对用户平面进一步强制支持完整性保护,运营商的可选控制,以及在 gNB 端为保护 RAN-CN 接口(传输层)而强制支持 IPsec,除 IPsec 外,还强制支持 DTLS over SCTP。


在 3GPP 网络中,由 SA3 小组定义的安全保证规范(SCAS,SeCurity Assurance Specifications)确保网络设备满足安全需求,并遵循安全的研发和产品生命周期流程。


由于移动网络系统是维系社会的支柱,在某些司法管辖区域被列为关键基础设施,因此安全保障至关重要。


为了创建适合电信设备生命周期的安全保障方案,3GPP 和 GSMA 发起了 NESAS(网络设备安全保障方案,network equipment security assurance scheme)。


NESAS 包括两个主要组成部分: 由 3GPP(SCAS 安全保证规范)定义的安全需求和由 GSMA 管理的基础设施审计。


NESAS 旨在满足许多国家和国际组织对网络安全的要求(如欧盟网络安全认证框架),针对 5G 系统网络功能的新 SCAS 开发工作正在进行中。

5G 安全标准

5G 安全基础标准

5G 安全标准包括:


  • 3GPP (3rd Generation Partnership Project)
  • Joint Technical Committee for IT
  • NESAS (The Network Equipment Security Assurance Scheme)
  • IETF
  • ETSI
  • NIST, GSMA, 以及其他
5G 云计算安全标准
  1. 信息安全管理系统相关的国际标准


  • ISO 27001:2013 信息安全管理体系要求(附件 A)
  • ISO 27002:2013 信息安全控制实施规范
  • ISO 27003:2017 信息安全管理体系指南
  • ISO 27017:2015 基于 ISO/IEC 27002 的云服务信息安全控制实施规范
  • ISO 27018:2014 在处理个人身份信息(PII, personally identifiable information)的公共云中保护个人身份信息的实践规范
  • 公共云计算安全与私隐指南(SP-800 144)
  • 联邦信息系统和组织的安全和隐私控制(SP 800-53)


  1. 云安全联盟(CSA,Cloud Security Alliance)


云安全联盟(CSA)是一个旨在促进在云计算中提供安全保证最佳实践的组织。


它是一个成员驱动的组织,发布了云控制矩阵(CCM,Cloud Controls Matrix),这是一组安全控制基线,帮助企业评估与云计算供应商相关的风险。


CCM 由 16 个控制框架组成,涵盖各种安全领域,如法规遵从性、数据安全性和应用程序安全性等。


  1. NIST


美国国家标准与技术研究院(NIST,National Institute of Standards and Technology)也发布了一些与云计算安全和隐私相关的指导方针。


公共云计算安全和隐私指南(SP-800 144,The Guidelines on Security and Privacy in Public Cloud Computing)概述了云计算中的安全和隐私问题,并为组织提供了解决这些问题的建议。


联邦信息系统和组织的安全和隐私控制(SP 800-53,The Security and Privacy Controls for Federal Information Systems and Organizations)为联邦信息系统和组织提供了安全和隐私控制目录。


网络安全框架(The Cybersecurity Framework)是一组公共基线,提供基于风险的方法管理网络安全风险。


  1. COBIT(IT 控制目标,Control Objectives for IT)


ISACA 的 IT 控制目标(COBIT)是由 ISACA 制定和维护的标准。COBIT 5 为业务驱动的、基于 IT 的项目和运维提供 IT 管理和治理框架。


ISACA 已经发布了几份关于将 COBIT 应用于云的标准,提供了如何使用 COBIT 来管理与云计算相关风险的指导,并确保基于云的服务与组织的目标和宗旨保持一致。

5G 系统安全增强

5G 核心网络整合了多项安全增强功能,以防范潜在威胁。虽然 5G 网络重用了 4G EPS 网络原有的大部分安全机制,但也已经引入了一些额外的安全功能。


这些安全功能包括对 EAP、归属地控制、SUPI 隐私、SBA 安全、增强的密钥分离、边缘保护、漫游安全、服务通信代理、增强的 API 网关安全以及 GTP-U 防火墙(PFCP)控制的支持。


核心网内部的 SBI 通信采用 OAuth 2.0(Trust)进行双向认证,采用 TLS 对 VNF 接口间以及内部通信进行加密(以及完整性)保护。证书管理也是 5G 核心网的重要功能,包括证书自动注册以及生命周期管理,证书和密钥会被存储在安全的存储空间里。



除了 Kubernetes 安全标准之外,还需要实施其他安全措施,例如在网络接口上基于 VPN 进行流量隔离、用于全面隔离微服务的软防护扩展(SGX,Soft Guard Extensions)、安全的 enclave 缓存和内存加密引擎。这些措施有助于确保 5G 核心网的安全,防止潜在安全威胁。


5G 核心网安全增强包括:


  • EAP 支持
  • 归属地控制
  • SUPI 隐私
  • SBA 安全
  • 增强密钥分离
  • 边缘保护和漫游安全
  • 服务通信代理
  • 增强安全性的 API 网关
  • GTP-U 防火墙(PFCP)控制
  • 对内外部 SBI 通信的保护:
  • 基于 OAuth 2.0(Trust)的双向认证
  • 基于 TLS 的 VNF 内外部接口加密(完整性)
  • 证书管理:
  • 证书自动注册和生命周期管理
  • 证书/密钥的安全存储
  • 超越 Kubernetes 安全标准:
  • 对网络接口进行额外的 VPN 流量隔离
  • 软防护扩展(SGX)用于全面的微服务隔离
  • 安全的 Enclave 缓存
  • 内存加密引擎


以下 5G 安全增强点细节:

1. 用户身份验证改进
  • 在 HPLMN 中终止身份验证: 此改进确保在归属地公共陆地移动网络(HPLMN,Home Public Land Mobile Network)中终止用户身份验证,从而降低未经授权访问的风险。
  • 物联网设备的非 SIM 卡认证: 该功能为物联网设备提供非 SIM 卡认证,允许安全的访问网络。
2. 增强用户隐私
  • 对长期用户标识符进行加密的机制: 此改进提供了加密长期用户标识符的机制,使其更加安全。
  • 不再将长期用户标识符用于寻呼: 此增强确保不再将长期用户标识符用于寻呼,从而降低未经授权访问的风险。
3. 基于服务架构(SBA)和连接的安全性
  • 所有网络功能都必须支持 TLS 和 OAuth 2.0: 该特性确保所有网络功能都支持 TLS 和 OAuth 2.0,提供安全的基于服务的架构和连接。
  • 运营商之间的应用层安全支持: 此增强提供了运营商之间的应用层安全支持,进一步提高了安全性。
4. 用户面完整性保护
  • 终端和 gNB 用户面强制完整性保护: 实现终端和 gNB(gNodeB)用户面强制完整性保护,提供安全通信。
  • 用户面完整性保护是可选的,由运营商控制: 此增强为运营商提供了控制决定是否使用用户面完整性保护的选项。
5. RAN-CN 接口保护(传输层)
  • IPsec 支持在 gNB 侧是必选项: 确保 gNB 侧支持 IPsec(Internet Protocol Security),提供安全传输。
  • 除 IPsec 外必须支持 DTLS over SCTP: 除 IPsec 外,此增强功能还支持 DTLS over SCTP,进一步提高安全性。




你好,我是俞凡,在 Motorola 做过研发,现在在 Mavenir 做技术工作,对通信、网络、后端架构、云原生、DevOps、CICD、区块链、AI 等技术始终保持着浓厚的兴趣,平时喜欢阅读、思考,相信持续学习、终身成长,欢迎一起交流学习。

微信公众号:DeepNoMind

目录
相关文章
|
1月前
|
存储 安全 5G
|
1月前
|
Kubernetes 安全 微服务
使用 Istio 缓解电信 5G IoT 微服务 Pod 架构的安全挑战
使用 Istio 缓解电信 5G IoT 微服务 Pod 架构的安全挑战
53 8
|
1月前
|
边缘计算 安全 5G
|
1月前
|
存储 安全 物联网
|
1月前
|
监控 安全 物联网
|
1月前
|
存储 边缘计算 安全
5G 边缘计算的安全保障:构建可信的边缘智能
5G 边缘计算的安全保障:构建可信的边缘智能
73 0
|
1月前
|
数据采集 安全 自动驾驶
5G中的隐私保护机制:守护数字世界的安全与信任
5G中的隐私保护机制:守护数字世界的安全与信任
52 0
|
1月前
|
安全 5G 网络安全
5G 网络中的认证机制:构建安全连接的基石
5G 网络中的认证机制:构建安全连接的基石
109 0
|
3月前
|
Kubernetes 安全 微服务
使用 Istio 缓解电信 5G IoT 微服务 Pod 架构的安全挑战
在5G电信领域,Kubernetes集群中部署微服务至关重要,但也带来了重大的安全挑战。Istio作为一个强大的开源服务网格,能有效地管理这些微服务间的通信,通过其控制平面自动将Sidecar代理注入到各微服务Pod中,确保了安全且高效的通信。Istio的架构由数据平面和控制平面组成,其中Sidecar代理作为Envoy代理运行在每个Pod中,拦截并管理网络流量。此外,Istio支持多种Kubernetes发行版和服务,如EKS等,不仅增强了安全性,还提高了应用性能和可观测性。
75 0
使用 Istio 缓解电信 5G IoT 微服务 Pod 架构的安全挑战
|
安全 算法 5G
了解 5G 安全标准,看这一篇就够了
了解 5G 安全标准,看这一篇就够了
575 0