【編輯推薦】5G安全標準包括對用戶設備的要求——主要是他們的平板電腦和智能手機以及5G網絡中的基站。

[[430277]]

其他標準包括5G系統內的各種功能。5G安全標準強調機密性、完整性和重放保護。重放保護用于避免重放攻擊，在這種攻擊中，惡意行為者會攔截一條消息，獲取包含的憑據，然后將類似但經過修改的消息再次發送到同一目的地。結果是發送給原始發件人的響應而不是發送給攻擊者。

“5G系統的安全架構和程序”標準是5G安全標準的一個重要例子。它是通過共同組成3GPP的標準機構的合作以及通過與互聯網工程任務組(IETF)的合作開發的。國際電信聯盟(ITU)已在其他領域發布了大量5G標準，但沒有與3GPP的出版物相同程度地制定5G安全規則的可比文件。

本文并未詳盡介紹3GPP出版物中有關5G安全架構和程序的所有內容。相反，它是一個概括用戶設備和5G基站要求的高級概述。之所以選擇這兩個類別，是因為它們是5G技術最重要和最基礎的例子。

隨著物聯網設備數量激增，現在是更新基礎知識和閱讀最新發展的最佳時機。立即下載本指南，了解您需要了解的一切。

用戶設備安全特性

認證：在這種情況下，用戶設備必須通過密鑰認證來認證網絡標識符。

用戶和信令數據的機密性：用戶設備可以通過加密算法來支持數據的機密性。用戶設備必須使用NEA0、128-NEA1和128-NEA2密碼算法。就上下文而言，NEA0缺乏加密，而128-NEA2與AES-128相同。密碼算法128-NEA3是一種更強的算法，盡管它是可選的。

用戶和信令數據的完整性：密碼算法NIA0、128-NIA1和128-NIA2用于完整性保護。用戶設備必須支持其與網絡節點之間用戶數據的完整性保護和重放保護。完整性保護是防篡改的一部分，即采取措施確保程序正常運行時，尤其是當實體試圖破壞、監視或更改其運行方式時。用戶數據完整性的一個可選元素是用戶設備和網絡節點之間數據的完整性保護。這是可選的，因為用戶平面的完整性保護增加了數據包大小的開銷并增加了用戶設備和網絡節點的處理負載。

訂閱憑證的安全存儲和處理：這些憑證及其長期密鑰將在用戶設備內通過防篡改硬件進行完整性保護。長期密鑰永遠不會在防篡改硬件之外未加密。任何使用訂閱憑據的身份驗證算法都必須在此硬件中運行。更大標準的這一部分還要求必須能夠對硬件組件進行安全評估。

用戶隱私：為了滿足3GPP5G安全標準，用戶設備必須支持3GPP所謂的全球唯一臨時UE身份(GUTI)。GUTI提供用戶設備的明確標識，但不會泄露UE或用戶在5G網絡中的永久身份。訂閱永久標識符(SUPI)不得通過下一代無線接入網絡進行未加密傳輸。通用用戶身份模塊是存儲家庭網絡公鑰、保護方案標識符、家庭網絡公鑰標識符和訂閱隱藏標識符(SUCI)的地方。SUCI又包含SUPI。5G網絡提供商負責用戶隱私以及配置和更新家庭網絡公鑰和該密鑰的標識符。在3GPP5G安全標準中，家庭網絡是指用戶主要訂閱的網絡。

網絡安全功能

5G基站稱為gNB，是新無線電NodeB的縮寫。這是在4GLTE的演進型NodeB和3G的NodeB之后出現的。

訂閱認證：網絡在與用戶設備進行認證和執行密鑰協議時需要對SUPI進行認證。

用戶設備授權：服務網絡必須使用從歸屬網絡獲取的訂閱模板對用戶設備進行授權。服務網絡本質上是一個漫游網絡，允許用戶連接到他們的家庭網絡。用戶設備授權取決于被認證的SUPI。

歸屬網絡授權的服務網絡：在這部分更大的5G安全標準中，用戶設備必須確保其連接到歸屬網絡授權的服務網絡。

接入網授權：正如服務網絡必須獲得歸屬網絡的授權一樣，接入網絡必須獲得服務網絡的授權才能為用戶設備提供服務。

用戶和信令數據的機密性：5GgNB必須支持對傳輸中的用戶數據和無線資源控制(RRC)信令進行加密。gNB應根據安全策略激活用戶數據加密過程。這種加密算法與用戶設備用于數據機密性的算法相同，如上所述。

用戶和信令數據的完整性：節點和用戶設備一樣，必須支持用戶設備和gNB之間用戶數據的完整性保護和重放保護。加密算法與用戶設備用于完整性保護的算法相同。但是，不建議將NIA0用于完整性保護，因為它不加密，因此會增加不必要的開銷。5G網絡節點還必須支持RRC的完整性保護和重放保護。對于上下文，RRC存在于控制平面中并控制無線接口第2層和第3層之間的配置。

設置和配置要求：在這個5G安全標準中，當運營和管理(O&M)系統設置和配置gNB時，必須通過注冊機構和認證機構(RA/CA)的身份驗證和授權，這樣攻擊者將無法修改gNB設置和軟件配置。O&M系統和gNB之間的通信必須受到保密、完整性和重放保護，不受未經授權的實體的影響。此外，軟件和數據更改必須在安裝和使用前獲得授權，軟件和數據本身必須獲得授權，將軟件傳輸到gNB必須保密并具有完整性保護。啟動過程必須在安全的環境中完成，以保護其敏感元素。

gNB內部的密鑰管理要求：需要保護5G網絡核心向gNB提供的加密密鑰的不同元素。這些元素是訂閱特定的會話密鑰材料，它保存用于安全關聯設置和身份驗證目的的長期密鑰。此要求的第一個要素是，存儲或處理未加密密鑰的gNB部署的任何部分都必須受到保護，免受物理攻擊。如果它沒有受到物理保護，那么gNB會被放置在一個物理安全的位置。

處理用戶面和控制面數據要求：密鑰管理的要求與處理gNB的用戶面和控制面數據的要求相似。必須保護未加密的數據免受物理攻擊，將其放置在物理安全的位置，并且在安全的環境中存儲和處理未加密的數據。

安全環境的要求：運行所有這些未加密數據的安全環境也有要求。它必須通過例如長期加密機密和重要配置數據來支持安全存儲。環境必須能夠執行使用長期機密的敏感功能和協議。執行敏感功能包括用戶數據的加密和解密。使用長期秘密的協議的一個例子是認證協議。3GPP5G安全標準的這一部分要求安全環境具有完整性。最后，只有具有授權訪問權限的人員才能訪問安全環境。

F1接口要求：F1接口可以在網絡的分布式單元和中央單元之間發送信令流量和用戶平面數據。控制平面和用戶平面的F1接口必須支持機密性、完整性和重放保護。但是，控制平面和用戶平面的F1接口是獨立保護的。相同的保護必須適用于通過中央單元傳輸到分布式單元鏈路的所有管理流量。

E1接口要求：E1接口與中央單元和控制平面以及中央單元和用戶平面之間的開放接口一起工作。在這兩種情況下使用的E1接口都需要機密性、完整性和重放保護。

5G安全標準：關鍵要點

1.各種5G網絡安全責任落在用戶設備和網絡基礎設施上。

2.3GPP標準強調數據的機密性和完整性，主要使用加密算法，也稱為密碼算法來保護數據。

3.用戶設備和網絡基礎設施都需要通過加密、防篡改硬件或處于安全物理位置來保護算法的加密密鑰。

4.認證和授權對于用戶設備和網絡基礎設施也很重要，因此用戶設備和其他網絡可以被確認為授權設備和網絡。