【編輯推薦】5G安全標(biāo)準(zhǔn)包括對用戶設(shè)備的要求——主要是他們的平板電腦和智能手機(jī)以及5G網(wǎng)絡(luò)中的基站。

[[430277]]

其他標(biāo)準(zhǔn)包括5G系統(tǒng)內(nèi)的各種功能。5G安全標(biāo)準(zhǔn)強(qiáng)調(diào)機(jī)密性、完整性和重放保護(hù)。重放保護(hù)用于避免重放攻擊，在這種攻擊中，惡意行為者會攔截一條消息，獲取包含的憑據(jù)，然后將類似但經(jīng)過修改的消息再次發(fā)送到同一目的地。結(jié)果是發(fā)送給原始發(fā)件人的響應(yīng)而不是發(fā)送給攻擊者。

“5G系統(tǒng)的安全架構(gòu)和程序”標(biāo)準(zhǔn)是5G安全標(biāo)準(zhǔn)的一個重要例子。它是通過共同組成3GPP的標(biāo)準(zhǔn)機(jī)構(gòu)的合作以及通過與互聯(lián)網(wǎng)工程任務(wù)組(IETF)的合作開發(fā)的。國際電信聯(lián)盟(ITU)已在其他領(lǐng)域發(fā)布了大量5G標(biāo)準(zhǔn)，但沒有與3GPP的出版物相同程度地制定5G安全規(guī)則的可比文件。

本文并未詳盡介紹3GPP出版物中有關(guān)5G安全架構(gòu)和程序的所有內(nèi)容。相反，它是一個概括用戶設(shè)備和5G基站要求的高級概述。之所以選擇這兩個類別，是因?yàn)樗鼈兪?G技術(shù)最重要和最基礎(chǔ)的例子。

隨著物聯(lián)網(wǎng)設(shè)備數(shù)量激增，現(xiàn)在是更新基礎(chǔ)知識和閱讀最新發(fā)展的最佳時機(jī)。立即下載本指南，了解您需要了解的一切。

用戶設(shè)備安全特性

認(rèn)證：在這種情況下，用戶設(shè)備必須通過密鑰認(rèn)證來認(rèn)證網(wǎng)絡(luò)標(biāo)識符。

用戶和信令數(shù)據(jù)的機(jī)密性：用戶設(shè)備可以通過加密算法來支持?jǐn)?shù)據(jù)的機(jī)密性。用戶設(shè)備必須使用NEA0、128-NEA1和128-NEA2密碼算法。就上下文而言，NEA0缺乏加密，而128-NEA2與AES-128相同。密碼算法128-NEA3是一種更強(qiáng)的算法，盡管它是可選的。

用戶和信令數(shù)據(jù)的完整性：密碼算法NIA0、128-NIA1和128-NIA2用于完整性保護(hù)。用戶設(shè)備必須支持其與網(wǎng)絡(luò)節(jié)點(diǎn)之間用戶數(shù)據(jù)的完整性保護(hù)和重放保護(hù)。完整性保護(hù)是防篡改的一部分，即采取措施確保程序正常運(yùn)行時，尤其是當(dāng)實(shí)體試圖破壞、監(jiān)視或更改其運(yùn)行方式時。用戶數(shù)據(jù)完整性的一個可選元素是用戶設(shè)備和網(wǎng)絡(luò)節(jié)點(diǎn)之間數(shù)據(jù)的完整性保護(hù)。這是可選的，因?yàn)橛脩羝矫娴耐暾员Ｗo(hù)增加了數(shù)據(jù)包大小的開銷并增加了用戶設(shè)備和網(wǎng)絡(luò)節(jié)點(diǎn)的處理負(fù)載。

訂閱憑證的安全存儲和處理：這些憑證及其長期密鑰將在用戶設(shè)備內(nèi)通過防篡改硬件進(jìn)行完整性保護(hù)。長期密鑰永遠(yuǎn)不會在防篡改硬件之外未加密。任何使用訂閱憑據(jù)的身份驗(yàn)證算法都必須在此硬件中運(yùn)行。更大標(biāo)準(zhǔn)的這一部分還要求必須能夠?qū)τ布M件進(jìn)行安全評估。

用戶隱私：為了滿足3GPP5G安全標(biāo)準(zhǔn)，用戶設(shè)備必須支持3GPP所謂的全球唯一臨時UE身份(GUTI)。GUTI提供用戶設(shè)備的明確標(biāo)識，但不會泄露UE或用戶在5G網(wǎng)絡(luò)中的永久身份。訂閱永久標(biāo)識符(SUPI)不得通過下一代無線接入網(wǎng)絡(luò)進(jìn)行未加密傳輸。通用用戶身份模塊是存儲家庭網(wǎng)絡(luò)公鑰、保護(hù)方案標(biāo)識符、家庭網(wǎng)絡(luò)公鑰標(biāo)識符和訂閱隱藏標(biāo)識符(SUCI)的地方。SUCI又包含SUPI。5G網(wǎng)絡(luò)提供商負(fù)責(zé)用戶隱私以及配置和更新家庭網(wǎng)絡(luò)公鑰和該密鑰的標(biāo)識符。在3GPP5G安全標(biāo)準(zhǔn)中，家庭網(wǎng)絡(luò)是指用戶主要訂閱的網(wǎng)絡(luò)。

網(wǎng)絡(luò)安全功能

5G基站稱為gNB，是新無線電NodeB的縮寫。這是在4GLTE的演進(jìn)型NodeB和3G的NodeB之后出現(xiàn)的。

訂閱認(rèn)證：網(wǎng)絡(luò)在與用戶設(shè)備進(jìn)行認(rèn)證和執(zhí)行密鑰協(xié)議時需要對SUPI進(jìn)行認(rèn)證。

用戶設(shè)備授權(quán)：服務(wù)網(wǎng)絡(luò)必須使用從歸屬網(wǎng)絡(luò)獲取的訂閱模板對用戶設(shè)備進(jìn)行授權(quán)。服務(wù)網(wǎng)絡(luò)本質(zhì)上是一個漫游網(wǎng)絡(luò)，允許用戶連接到他們的家庭網(wǎng)絡(luò)。用戶設(shè)備授權(quán)取決于被認(rèn)證的SUPI。

歸屬網(wǎng)絡(luò)授權(quán)的服務(wù)網(wǎng)絡(luò)：在這部分更大的5G安全標(biāo)準(zhǔn)中，用戶設(shè)備必須確保其連接到歸屬網(wǎng)絡(luò)授權(quán)的服務(wù)網(wǎng)絡(luò)。

接入網(wǎng)授權(quán)：正如服務(wù)網(wǎng)絡(luò)必須獲得歸屬網(wǎng)絡(luò)的授權(quán)一樣，接入網(wǎng)絡(luò)必須獲得服務(wù)網(wǎng)絡(luò)的授權(quán)才能為用戶設(shè)備提供服務(wù)。

用戶和信令數(shù)據(jù)的機(jī)密性：5GgNB必須支持對傳輸中的用戶數(shù)據(jù)和無線資源控制(RRC)信令進(jìn)行加密。gNB應(yīng)根據(jù)安全策略激活用戶數(shù)據(jù)加密過程。這種加密算法與用戶設(shè)備用于數(shù)據(jù)機(jī)密性的算法相同，如上所述。

用戶和信令數(shù)據(jù)的完整性：節(jié)點(diǎn)和用戶設(shè)備一樣，必須支持用戶設(shè)備和gNB之間用戶數(shù)據(jù)的完整性保護(hù)和重放保護(hù)。加密算法與用戶設(shè)備用于完整性保護(hù)的算法相同。但是，不建議將NIA0用于完整性保護(hù)，因?yàn)樗患用?，因此會增加不必要的開銷。5G網(wǎng)絡(luò)節(jié)點(diǎn)還必須支持RRC的完整性保護(hù)和重放保護(hù)。對于上下文，RRC存在于控制平面中并控制無線接口第2層和第3層之間的配置。

設(shè)置和配置要求：在這個5G安全標(biāo)準(zhǔn)中，當(dāng)運(yùn)營和管理(O&M)系統(tǒng)設(shè)置和配置gNB時，必須通過注冊機(jī)構(gòu)和認(rèn)證機(jī)構(gòu)(RA/CA)的身份驗(yàn)證和授權(quán)，這樣攻擊者將無法修改gNB設(shè)置和軟件配置。O&M系統(tǒng)和gNB之間的通信必須受到保密、完整性和重放保護(hù)，不受未經(jīng)授權(quán)的實(shí)體的影響。此外，軟件和數(shù)據(jù)更改必須在安裝和使用前獲得授權(quán)，軟件和數(shù)據(jù)本身必須獲得授權(quán)，將軟件傳輸?shù)絞NB必須保密并具有完整性保護(hù)。啟動過程必須在安全的環(huán)境中完成，以保護(hù)其敏感元素。

gNB內(nèi)部的密鑰管理要求：需要保護(hù)5G網(wǎng)絡(luò)核心向gNB提供的加密密鑰的不同元素。這些元素是訂閱特定的會話密鑰材料，它保存用于安全關(guān)聯(lián)設(shè)置和身份驗(yàn)證目的的長期密鑰。此要求的第一個要素是，存儲或處理未加密密鑰的gNB部署的任何部分都必須受到保護(hù)，免受物理攻擊。如果它沒有受到物理保護(hù)，那么gNB會被放置在一個物理安全的位置。

處理用戶面和控制面數(shù)據(jù)要求：密鑰管理的要求與處理gNB的用戶面和控制面數(shù)據(jù)的要求相似。必須保護(hù)未加密的數(shù)據(jù)免受物理攻擊，將其放置在物理安全的位置，并且在安全的環(huán)境中存儲和處理未加密的數(shù)據(jù)。

安全環(huán)境的要求：運(yùn)行所有這些未加密數(shù)據(jù)的安全環(huán)境也有要求。它必須通過例如長期加密機(jī)密和重要配置數(shù)據(jù)來支持安全存儲。環(huán)境必須能夠執(zhí)行使用長期機(jī)密的敏感功能和協(xié)議。執(zhí)行敏感功能包括用戶數(shù)據(jù)的加密和解密。使用長期秘密的協(xié)議的一個例子是認(rèn)證協(xié)議。3GPP5G安全標(biāo)準(zhǔn)的這一部分要求安全環(huán)境具有完整性。最后，只有具有授權(quán)訪問權(quán)限的人員才能訪問安全環(huán)境。

F1接口要求：F1接口可以在網(wǎng)絡(luò)的分布式單元和中央單元之間發(fā)送信令流量和用戶平面數(shù)據(jù)?？刂破矫婧陀脩羝矫娴腇1接口必須支持機(jī)密性、完整性和重放保護(hù)。但是，控制平面和用戶平面的F1接口是獨(dú)立保護(hù)的。相同的保護(hù)必須適用于通過中央單元傳輸?shù)椒植际絾卧溌返乃泄芾砹髁俊?/p>

E1接口要求：E1接口與中央單元和控制平面以及中央單元和用戶平面之間的開放接口一起工作。在這兩種情況下使用的E1接口都需要機(jī)密性、完整性和重放保護(hù)。

5G安全標(biāo)準(zhǔn)：關(guān)鍵要點(diǎn)

1.各種5G網(wǎng)絡(luò)安全責(zé)任落在用戶設(shè)備和網(wǎng)絡(luò)基礎(chǔ)設(shè)施上。

2.3GPP標(biāo)準(zhǔn)強(qiáng)調(diào)數(shù)據(jù)的機(jī)密性和完整性，主要使用加密算法，也稱為密碼算法來保護(hù)數(shù)據(jù)。

3.用戶設(shè)備和網(wǎng)絡(luò)基礎(chǔ)設(shè)施都需要通過加密、防篡改硬件或處于安全物理位置來保護(hù)算法的加密密鑰。

4.認(rèn)證和授權(quán)對于用戶設(shè)備和網(wǎng)絡(luò)基礎(chǔ)設(shè)施也很重要，因此用戶設(shè)備和其他網(wǎng)絡(luò)可以被確認(rèn)為授權(quán)設(shè)備和網(wǎng)絡(luò)。