隨著移動(dòng)通信系統(tǒng)在社會生活中的使用越來越廣泛，特別是5G進(jìn)一步以企業(yè)級應(yīng)用作為核心應(yīng)用場景，安全成為了包括5G在內(nèi)的移動(dòng)通信系統(tǒng)不可忽視的因素。本文梳理了全球主流移動(dòng)通信標(biāo)準(zhǔn)化組織在安全方面的標(biāo)準(zhǔn)制定，從而可以快速了解5G協(xié)議層面對信息安全的考量。原文: 5G Security Standards: 3GPP, ETSI, NIST, GSMA

隨著5G技術(shù)在全球范圍內(nèi)不斷推廣，需要強(qiáng)大的安全措施來抵御威脅并確保網(wǎng)絡(luò)的完整性，因此安全的作用越來越重要。

5G的關(guān)鍵安全標(biāo)準(zhǔn)組織是3GPP(第三代合作伙伴計(jì)劃，3rd Generation Partnership Project)，這是一個(gè)由6個(gè)電信標(biāo)準(zhǔn)組織合作推動(dòng)移動(dòng)電信標(biāo)準(zhǔn)制定的合作組織。

在3GPP內(nèi)部，SA3(安全小組，Security Group)負(fù)責(zé)制定并維護(hù)包括5G在內(nèi)的3GPP技術(shù)的安全標(biāo)準(zhǔn)。

5G的另一個(gè)重要安全標(biāo)準(zhǔn)組織是ETSI(歐洲電信標(biāo)準(zhǔn)協(xié)會，European Telecommunications Standards Institute)，這是一個(gè)制定和維護(hù)信息和通信技術(shù)標(biāo)準(zhǔn)的歐洲標(biāo)準(zhǔn)化組織。

ETSI已經(jīng)為5G制定了多項(xiàng)安全標(biāo)準(zhǔn)，包括NFV(網(wǎng)絡(luò)功能虛擬化，Network Functions Virtualization)安全標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)為保護(hù)虛擬化網(wǎng)絡(luò)功能和服務(wù)提供了指導(dǎo)方針。

除了這些標(biāo)準(zhǔn)化組織外，還有一些行業(yè)特定的安全標(biāo)準(zhǔn)也適用于5G，例如與移動(dòng)網(wǎng)絡(luò)運(yùn)營商相關(guān)的GSMA(全球移動(dòng)通信系統(tǒng)協(xié)會，Global System for Mobile Communications Association)安全標(biāo)準(zhǔn)，以及與關(guān)鍵基礎(chǔ)設(shè)施提供商相關(guān)的5G-ENS(5G交換網(wǎng)絡(luò)安全，5G Exchange Network Security)標(biāo)準(zhǔn)。

5G安全標(biāo)準(zhǔn)包括:

• 3GPP (3rd Generation Partnership Project)
• Joint Technical Committee for IT (信息技術(shù)聯(lián)合技術(shù)委員會)
• NESAS (The Network Equipment Security Assurance Scheme, 網(wǎng)絡(luò)設(shè)備安全保障計(jì)劃)
• IETF
• ETSI
• NIST, GSMA, 以及其他

在這篇文章中，我們將詳細(xì)探討上述5G安全標(biāo)準(zhǔn)，討論這些標(biāo)準(zhǔn)為防范威脅和確保5G網(wǎng)絡(luò)安全而采取的具體措施。

5G 3GPP安全標(biāo)準(zhǔn)

3GPP是一個(gè)電信標(biāo)準(zhǔn)化組織，負(fù)責(zé)制定5G和其他移動(dòng)技術(shù)標(biāo)準(zhǔn)。

3GPP為5G網(wǎng)絡(luò)制定了多項(xiàng)安全標(biāo)準(zhǔn)，包括加密、認(rèn)證和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。

3GPP還為5G設(shè)備和用戶設(shè)備制定了一系列安全標(biāo)準(zhǔn)，包括SIM卡、eSIM和可信執(zhí)行環(huán)境(TEEs，Trusted Execution Environments)標(biāo)準(zhǔn)。

5G 3GPP安全技術(shù)標(biāo)準(zhǔn)要點(diǎn):

1. AES (Advanced Encryption Standard)

AES(Advanced Encryption Standard)是一種廣泛使用的加密算法，用于保護(hù)在5G網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)的機(jī)密性和完整性。

2. SSL/TLS

SSL(安全套接字層，Secure Sockets Layer)和TLS(傳輸層安全，Transport Layer Security)是用于保護(hù)5G網(wǎng)絡(luò)通信的加密協(xié)議。

SSL和TLS使用公鑰和對稱密鑰算法的組合，為網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)提供強(qiáng)大的加密和身份驗(yàn)證功能 。

3. EAP

EAP(Extensible Authentication Protocol)是一種用于對接入5G網(wǎng)絡(luò)的設(shè)備和用戶進(jìn)行認(rèn)證的協(xié)議。

EAP使用密碼、令牌、證書等多種身份驗(yàn)證方法來驗(yàn)證設(shè)備和用戶的身份。

4. RADIUS

RADIUS(Remote Authentication Dial-In User Service)是對接入5G網(wǎng)絡(luò)的設(shè)備和用戶進(jìn)行認(rèn)證授權(quán)的協(xié)議。

RADIUS使用中央服務(wù)器對設(shè)備和用戶進(jìn)行認(rèn)證和授權(quán)，支持密碼、令牌、證書等多種認(rèn)證方式。

5G GSMA安全標(biāo)準(zhǔn)

GSMA(GSM協(xié)會，GSM Association)是代表全球移動(dòng)運(yùn)營商利益的行業(yè)組織。

GSMA為5G網(wǎng)絡(luò)和設(shè)備制定了多項(xiàng)安全標(biāo)準(zhǔn)，包括加密、身份驗(yàn)證和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。

SEPP(安全邊緣保護(hù)代理，Security Edge Protection Proxy)是5G網(wǎng)絡(luò)架構(gòu)的關(guān)鍵組件，旨在保護(hù)家庭網(wǎng)絡(luò)邊緣，并在家庭網(wǎng)絡(luò)與訪問網(wǎng)絡(luò)之間的互連中充當(dāng)安全網(wǎng)關(guān)。

SEPP旨在提供應(yīng)用層安全、端到端身份驗(yàn)證、完整性和機(jī)密性保護(hù)、密鑰管理機(jī)制以及消息過濾和策略。

此外，在5G網(wǎng)絡(luò)中采用基于IP的協(xié)議，如HTTP/2、TLS、TCP和OpenAPI 3.0.0的RESTful框架，預(yù)計(jì)將增強(qiáng)與更大范圍服務(wù)和技術(shù)的互操作性，但也可能增加潛在的攻擊面和漏洞的影響。

移動(dòng)運(yùn)營商和其他利益相關(guān)方必須意識到這些安全風(fēng)險(xiǎn)，并采取適當(dāng)措施減少風(fēng)險(xiǎn)。

GSMA正在通過各種計(jì)劃和服務(wù)支持移動(dòng)安全生態(tài)系統(tǒng)，例如:

• 未來網(wǎng)絡(luò)計(jì)劃的欺詐和安全小組(FASG，F(xiàn)raud and Security Group)
• 協(xié)同漏洞披露(CVD，Coordinated Vulnerability Disclosure)計(jì)劃
• 物聯(lián)網(wǎng)安全項(xiàng)目，以及
• 網(wǎng)絡(luò)組(NG，Networks Group)

這些計(jì)劃和服務(wù)有助于確保5G網(wǎng)絡(luò)、設(shè)備以及用戶設(shè)備的安全。

5G GSMA安全技術(shù)標(biāo)準(zhǔn)要點(diǎn):

為了提高5G網(wǎng)絡(luò)中用戶和設(shè)備數(shù)據(jù)的保密性和完整性:

1. 保護(hù)初始非訪問層(NAS, Non-Access Stratum)消息的機(jī)密性

保護(hù)5G網(wǎng)絡(luò)中設(shè)備和網(wǎng)絡(luò)之間NAS消息的機(jī)密性，使得當(dāng)前的攻擊方法通過無線接口跟蹤用戶設(shè)備(UE)更加困難，從而有助于防止中間人(MITM，man in the middle)和假基站的攻擊。

2. 引入名為歸屬控制(Home Control)的保護(hù)機(jī)制

在5G網(wǎng)絡(luò)中引入名為歸屬控制(Home Control)的保護(hù)機(jī)制，即在歸屬網(wǎng)絡(luò)檢查訪問網(wǎng)絡(luò)中設(shè)備的認(rèn)證狀態(tài)后，并最終完成對訪問網(wǎng)絡(luò)的設(shè)備的認(rèn)證。

該增強(qiáng)有助于防止各種類型的漫游欺詐，這些欺詐在過去一直是移動(dòng)運(yùn)營商的大問題，該機(jī)制可以支持運(yùn)營商正確驗(yàn)證設(shè)備到服務(wù)的請求。

3. 對不同類型的接入網(wǎng)支持統(tǒng)一鑒權(quán)

在5G網(wǎng)絡(luò)中支持WLAN等不同接入網(wǎng)的統(tǒng)一鑒權(quán)，使5G網(wǎng)絡(luò)能夠管理以前不受管理和不安全的連接。

該機(jī)制支持UE在不同的接入網(wǎng)或服務(wù)網(wǎng)之間移動(dòng)時(shí)重新執(zhí)行身份驗(yàn)證的可能性。

4. 支持用戶面完整性校驗(yàn)

在5G網(wǎng)絡(luò)中支持用戶面完整性校驗(yàn)，保證用戶流量在傳輸過程中不被修改，從而有助于保護(hù)通過網(wǎng)絡(luò)傳輸?shù)挠脩魯?shù)據(jù)的完整性。

5. 使用公/私鑰對及錨定密鑰加強(qiáng)私隱保護(hù)

在5G網(wǎng)絡(luò)中，通過使用公鑰/私鑰對和錨定密鑰來隱藏用戶身份并派生整個(gè)服務(wù)架構(gòu)中使用的密鑰，隱私保護(hù)得到增強(qiáng)，并有助于保護(hù)通過網(wǎng)絡(luò)傳輸?shù)挠脩艉驮O(shè)備數(shù)據(jù)的隱私。

5G NIST安全標(biāo)準(zhǔn)

美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST，National Institute of Standards and Technology)是美國政府機(jī)構(gòu)，負(fù)責(zé)為包括電信行業(yè)在內(nèi)的各行各業(yè)制定技術(shù)標(biāo)準(zhǔn)和指導(dǎo)方針。

NIST已經(jīng)為5G網(wǎng)絡(luò)制定了一系列安全標(biāo)準(zhǔn)和指南，包括加密、認(rèn)證和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。

5G NIST安全技術(shù)標(biāo)準(zhǔn)要點(diǎn):

1. 網(wǎng)絡(luò)安全框架(CSF，Cybersecurity Framework)

NIST網(wǎng)絡(luò)安全框架(CSF)是一種基于風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全管理方法，可幫助組織識別、保護(hù)、檢測、響應(yīng)和從網(wǎng)絡(luò)威脅中恢復(fù)。CSF的設(shè)計(jì)具有靈活性和適應(yīng)性，可用于所有規(guī)模和所有行業(yè)的組織來管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

2. Special Publication (SP) 800-53

NIST SP 800-53是一套針對聯(lián)邦信息系統(tǒng)和組織的安全和隱私控制。SP 800-53提供了一套全面的安全控制，可根據(jù)組織的特定需求進(jìn)行定制，并被設(shè)計(jì)成與NIST網(wǎng)絡(luò)安全框架一起使用。

3. NIST SP 800-63

NIST SP 800-63是一套數(shù)字身份指南，為數(shù)字身份的安全發(fā)布、管理和使用提供了建議，其中囊括了5G網(wǎng)絡(luò)和設(shè)備使用數(shù)字身份(包括身份驗(yàn)證、授權(quán)和身份驗(yàn)證)的指南。

隨著5G的普及，企業(yè)有效管理與5G相關(guān)的安全風(fēng)險(xiǎn)，并在其發(fā)展過程中保護(hù)該技術(shù)免受網(wǎng)絡(luò)攻擊非常重要。

為了應(yīng)對這些挑戰(zhàn)，NIST正在采用敏捷流程發(fā)布5G網(wǎng)絡(luò)安全項(xiàng)目，該項(xiàng)目建立在NCCoE的可信云項(xiàng)目基礎(chǔ)上，重點(diǎn)關(guān)注基于5G標(biāo)準(zhǔn)的安全功能和基于云的安全托管基礎(chǔ)設(shè)施的組合。

《5G網(wǎng)絡(luò)安全實(shí)踐指南》中提出的解決方案旨在降低風(fēng)險(xiǎn)和安全事件發(fā)生的可能性，加強(qiáng)5G網(wǎng)絡(luò)的支撐基礎(chǔ)設(shè)施，保護(hù)5G通信內(nèi)容和用戶隱私，并通過實(shí)施反映關(guān)鍵零信任原則的示范實(shí)踐，為實(shí)現(xiàn)零信任鋪平道路。

通過采用這些解決方案，企業(yè)可以從其5G網(wǎng)絡(luò)系統(tǒng)的安全性和信任度提高中受益。

NCCoE 5G實(shí)現(xiàn)概要架構(gòu)

NIST網(wǎng)絡(luò)安全卓越中心(NCCoE，NIST Cybersecurity Center of Excellence)制定了一份名為《NCCoE 5G實(shí)施》的全面指南，為組織在其5G網(wǎng)絡(luò)中實(shí)施安全標(biāo)準(zhǔn)提供了實(shí)際步驟。

《NCCoE 5G實(shí)施》涵蓋了身份和訪問管理、網(wǎng)絡(luò)安全、安全軟件開發(fā)和供應(yīng)鏈風(fēng)險(xiǎn)管理等多個(gè)安全領(lǐng)域。

同時(shí)該指南提供了如何實(shí)現(xiàn)安全控制和技術(shù)的詳細(xì)指導(dǎo)，包括加密、安全引導(dǎo)、安全通信協(xié)議和入侵檢測系統(tǒng)。

NIST 5G安全標(biāo)準(zhǔn)和NCCoE 5G實(shí)施指南的目標(biāo)是確保5G網(wǎng)絡(luò)的設(shè)計(jì)和實(shí)施具有強(qiáng)大的安全功能，以防范潛在網(wǎng)絡(luò)威脅和攻擊。

通過遵循這些指導(dǎo)方針，組織可以改善5G網(wǎng)絡(luò)的安全態(tài)勢，并幫助確保數(shù)據(jù)和系統(tǒng)的機(jī)密性、完整性和可用性。

在下圖中，該架構(gòu)由圖左側(cè)的5G無線接入網(wǎng)(RAN)組成，其中包括5G用戶設(shè)備(UE)、無線電和天線以及稱為gNodeB(gNB)的基帶單元。

RAN通過回傳網(wǎng)連接到數(shù)據(jù)中心的核心網(wǎng)。

數(shù)據(jù)中心是NCCoE示例解決方案的重點(diǎn)，包括支持云基礎(chǔ)設(shè)施，支持可信計(jì)算集群、網(wǎng)絡(luò)管理和安全工具，以及虛擬和容器化5G網(wǎng)絡(luò)功能。

下面提到的NIST推薦架構(gòu)旨在實(shí)現(xiàn)5G網(wǎng)絡(luò)的商業(yè)級安全參考架構(gòu)，彌合IT和電信網(wǎng)絡(luò)安全能力之間的差距。

5G ETSI安全標(biāo)準(zhǔn)

ETSI(歐洲電信標(biāo)準(zhǔn)協(xié)會，European Telecommunications Standards Institute)是一個(gè)負(fù)責(zé)為電信行業(yè)制定技術(shù)標(biāo)準(zhǔn)的組織。

ETSI為5G網(wǎng)絡(luò)和設(shè)備制定了多項(xiàng)安全標(biāo)準(zhǔn)，包括加密、身份驗(yàn)證和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。

ETSI 5G系統(tǒng)通用安全建議

這些要求旨在減少bidding down攻擊，確保適當(dāng)?shù)纳矸蒡?yàn)證和授權(quán)，并為用戶和信令數(shù)據(jù)提供機(jī)密性和完整性保護(hù)。

為了實(shí)現(xiàn)這些目標(biāo)，5G系統(tǒng)必須支持某些安全特性和算法，包括加密和完整性保護(hù)算法的密鑰至少為128位，對用戶數(shù)據(jù)和信令數(shù)據(jù)進(jìn)行加密，以及支持多種加密算法。

5G系統(tǒng)還必須支持在用戶設(shè)備(UE)中安全存儲用戶永久標(biāo)識符(SUPI，Subscription Permanent Identifier)，并根據(jù)從歸屬網(wǎng)絡(luò)獲得的UE訂閱配置文件提供授權(quán)。

此外，系統(tǒng)必須支持某些地區(qū)的未經(jīng)身份驗(yàn)證的緊急服務(wù)，并且必須向終端保證其已連接到獲得授權(quán)的服務(wù)和接入網(wǎng)絡(luò)。

這些安全要求旨在確保5G系統(tǒng)和網(wǎng)絡(luò)的機(jī)密性、完整性和可信性。

ETSI對5G系統(tǒng)的一般安全建議:

• 加密和完整性保護(hù)算法密鑰至少為128位
• 對用戶數(shù)據(jù)和信令數(shù)據(jù)進(jìn)行加密
• 支持多種加密算法

此外，5G系統(tǒng)還必須:

• 支持在用戶設(shè)備(UE)中安全存儲用戶永久標(biāo)識符(SUPI)
• 根據(jù)從歸屬網(wǎng)絡(luò)獲得的終端訂閱配置文件提供授權(quán)
• 在特定地區(qū)支持未經(jīng)認(rèn)證的緊急服務(wù)
• 向終端保證其已連接到獲得授權(quán)的服務(wù)和接入網(wǎng)絡(luò)

總體而言，這些安全需求都是為了確保5G系統(tǒng)和網(wǎng)絡(luò)的機(jī)密性、完整性和可信性。

希望這篇文章能夠幫助你了解由不同組織(3GPP, ETSI, NIST, GSMA)提供的5G安全規(guī)范和標(biāo)準(zhǔn)建議，所有這些組織都對5G以及電信行業(yè)做出了重要貢獻(xiàn)。

你好，我是俞凡，在Motorola做過研發(fā)，現(xiàn)在在Mavenir做技術(shù)工作，對通信、網(wǎng)絡(luò)、后端架構(gòu)、云原生、DevOps、CICD、區(qū)塊鏈、AI等技術(shù)始終保持著濃厚的興趣，平時(shí)喜歡閱讀、思考，相信持續(xù)學(xué)習(xí)、終身成長，歡迎一起交流學(xué)習(xí)。
微信公眾號：DeepNoMind