5G有哪些(xiē)安全标準？

5G安全标準包括對(duì)用(yòng)戶設備的要求——主要是他(tā)們的平闆電腦(nǎo)和(hé)智能(néng)手機以及5G網絡中的基站(zhàn)。 其他(tā)标準包括5G系統内的各種功能(néng)。5G安全标準強調機密性、完整性和(hé)重放(fàng)保護。重放(fàng)保護用(yòng)于避免重放(fàng)攻擊，在這(zhè)種攻擊中，惡意行爲者會(huì)攔截一條消息，獲取包含的憑據，然後将類似但(dàn)經過修改的消息再次發送到(dào)同一目的地。結果是發送給原始發件人的響應而不是發送給攻擊者。 “5G系統的安全架構和(hé)程序”标準是5G安全标準的一個重要例子。它是通過共同組成3GPP的标準機構的合作(zuò)以及通過與互聯網工(gōng)程任務組(IETF)的合作(zuò)開(kāi)發的。國際電信聯盟(ITU)已在其他(tā)領域發布了(le)大(dà)量5G标準，但(dàn)沒有與3GPP的出版物相同程度地制定5G安全規則的可比文(wén)件。 本文(wén)并未詳盡介紹3GPP出版物中有關5G安全架構和(hé)程序的所有内容。相反，它是一個概括用(yòng)戶設備和(hé)5G基站(zhàn)要求的高(gāo)級概述。之所以選擇這(zhè)兩個類别，是因爲它們是5G技術最重要和(hé)最基礎的例子。 随着物聯網設備數量激增，現(xiàn)在是更新基礎知(zhī)識和(hé)閱讀最新發展的最佳時(shí)機。立即下(xià)載本指南，了(le)解您需要了(le)解的一切。 單擊該鏈接，我同意與此内容的贊助商分享我的聯系信息，他(tā)們可能(néng)會(huì)在營銷活動中與您聯系，并注冊SDxCentral電子郵件通信。查看(kàn)我們如何使用(yòng)您的數據：隐私政策。 用(yòng)戶設備安全特性 認證：在這(zhè)種情況下(xià)，用(yòng)戶設備必須通過密鑰認證來(lái)認證網絡标識符。 用(yòng)戶和(hé)信令數據的機密性：用(yòng)戶設備可以通過加密算(suàn)法來(lái)支持數據的機密性。用(yòng)戶設備必須使用(yòng)NEA0、128-NEA1和(hé)128-NEA2密碼算(suàn)法。就上(shàng)下(xià)文(wén)而言，NEA0缺乏加密，而128-NEA2與AES-128相同。密碼算(suàn)法128-NEA3是一種更強的算(suàn)法，盡管它是可選的。 用(yòng)戶和(hé)信令數據的完整性：密碼算(suàn)法NIA0、128-NIA1和(hé)128-NIA2用(yòng)于完整性保護。用(yòng)戶設備必須支持其與網絡節點之間用(yòng)戶數據的完整性保護和(hé)重放(fàng)保護。完整性保護是防篡改的一部分，即采取措施确保程序正常運行時(shí)，尤其是當實體試圖破壞、監視(shì)或更改其運行方式時(shí)。用(yòng)戶數據完整性的一個可選元素是用(yòng)戶設備和(hé)網絡節點之間數據的完整性保護。這(zhè)是可選的，因爲用(yòng)戶平面的完整性保護增加了(le)數據包大(dà)小(xiǎo)的開(kāi)銷并增加了(le)用(yòng)戶設備和(hé)網絡節點的處理(lǐ)負載。 訂閱憑證的安全存儲和(hé)處理(lǐ)：這(zhè)些(xiē)憑證及其長期密鑰将在用(yòng)戶設備内通過防篡改硬件進行完整性保護。長期密鑰永遠不會(huì)在防篡改硬件之外(wài)未加密。任何使用(yòng)訂閱憑據的身份驗證算(suàn)法都必須在此硬件中運行。更大(dà)标準的這(zhè)一部分還要求必須能(néng)夠對(duì)硬件組件進行安全評估。 用(yòng)戶隐私：爲了(le)滿足3GPP5G安全标準，用(yòng)戶設備必須支持3GPP所謂的全球唯一臨時(shí)UE身份(GUTI)。GUTI提供用(yòng)戶設備的明(míng)确标識，但(dàn)不會(huì)洩露UE或用(yòng)戶在5G網絡中的永久身份。訂閱永久标識符(SUPI)不得通過下(xià)一代無線接入網絡進行未加密傳輸。通用(yòng)用(yòng)戶身份模塊是存儲家庭網絡公鑰、保護方案标識符、家庭網絡公鑰标識符和(hé)訂閱隐藏标識符（SUCI）的地方。SUCI又包含SUPI。5G網絡提供商負責用(yòng)戶隐私以及配置和(hé)更新家庭網絡公鑰和(hé)該密鑰的标識符。在3GPP5G安全标準中，家庭網絡是指用(yòng)戶主要訂閱的網絡。 網絡安全功能(néng) 5G基站(zhàn)稱爲gNB，是新無線電NodeB的縮寫。這(zhè)是在4GLTE的演進型NodeB和(hé)3G的NodeB之後出現(xiàn)的。 訂閱認證：網絡在與用(yòng)戶設備進行認證和(hé)執行密鑰協議(yì)時(shí)需要對(duì)SUPI進行認證。 用(yòng)戶設備授權：服務網絡必須使用(yòng)從(cóng)歸屬網絡獲取的訂閱模闆對(duì)用(yòng)戶設備進行授權。服務網絡本質上(shàng)是一個漫遊網絡，允許用(yòng)戶連接到(dào)他(tā)們的家庭網絡。用(yòng)戶設備授權取決于被認證的SUPI。 歸屬網絡授權的服務網絡：在這(zhè)部分更大(dà)的5G安全标準中，用(yòng)戶設備必須确保其連接到(dào)歸屬網絡授權的服務網絡。 接入網授權：正如服務網絡必須獲得歸屬網絡的授權一樣，接入網絡必須獲得服務網絡的授權才能(néng)爲用(yòng)戶設備提供服務。 用(yòng)戶和(hé)信令數據的機密性：5GgNB必須支持對(duì)傳輸中的用(yòng)戶數據和(hé)無線資源控制(RRC)信令進行加密。gNB應根據安全策略激活用(yòng)戶數據加密過程。這(zhè)種加密算(suàn)法與用(yòng)戶設備用(yòng)于數據機密性的算(suàn)法相同，如上(shàng)所述。 用(yòng)戶和(hé)信令數據的完整性：節點和(hé)用(yòng)戶設備一樣，必須支持用(yòng)戶設備和(hé)gNB之間用(yòng)戶數據的完整性保護和(hé)重放(fàng)保護。加密算(suàn)法與用(yòng)戶設備用(yòng)于完整性保護的算(suàn)法相同。但(dàn)是，不建議(yì)将NIA0用(yòng)于完整性保護，因爲它不加密，因此會(huì)增加不必要的開(kāi)銷。5G網絡節點還必須支持RRC的完整性保護和(hé)重放(fàng)保護。對(duì)于上(shàng)下(xià)文(wén)，RRC存在于控制平面中并控制無線接口第2層和(hé)第3層之間的配置。 設置和(hé)配置要求：在這(zhè)個5G安全标準中，當運營和(hé)管理(lǐ)(O&M)系統設置和(hé)配置gNB時(shí)，必須通過注冊機構和(hé)認證機構(RA/CA)的身份驗證和(hé)授權，這(zhè)樣攻擊者将無法修改gNB設置和(hé)軟件配置。O&M系統和(hé)gNB之間的通信必須受到(dào)保密、完整性和(hé)重放(fàng)保護，不受未經授權的實體的影響。此外(wài)，軟件和(hé)數據更改必須在安裝和(hé)使用(yòng)前獲得授權，軟件和(hé)數據本身必須獲得授權，将軟件傳輸到(dào)gNB必須保密并具有完整性保護。啓動過程必須在安全的環境中完成，以保護其敏感元素。 gNB内部的密鑰管理(lǐ)要求：需要保護5G網絡核心向gNB提供的加密密鑰的不同元素。這(zhè)些(xiē)元素是訂閱特定的會(huì)話(huà)密鑰材料，它保存用(yòng)于安全關聯設置和(hé)身份驗證目的的長期密鑰。此要求的第一個要素是，存儲或處理(lǐ)未加密密鑰的gNB部署的任何部分都必須受到(dào)保護，免受物理(lǐ)攻擊。如果它沒有受到(dào)物理(lǐ)保護，那麽gNB會(huì)被放(fàng)置在一個物理(lǐ)安全的位置。 處理(lǐ)用(yòng)戶面和(hé)控制面數據要求：密鑰管理(lǐ)的要求與處理(lǐ)gNB的用(yòng)戶面和(hé)控制面數據的要求相似。必須保護未加密的數據免受物理(lǐ)攻擊，将其放(fàng)置在物理(lǐ)安全的位置，并且在安全的環境中存儲和(hé)處理(lǐ)未加密的數據。 安全環境的要求：運行所有這(zhè)些(xiē)未加密數據的安全環境也(yě)有要求。它必須通過例如長期加密機密和(hé)重要配置數據來(lái)支持安全存儲。環境必須能(néng)夠執行使用(yòng)長期機密的敏感功能(néng)和(hé)協議(yì)。執行敏感功能(néng)包括用(yòng)戶數據的加密和(hé)解密。使用(yòng)長期秘密的協議(yì)的一個例子是認證協議(yì)。3GPP5G安全标準的這(zhè)一部分要求安全環境具有完整性。最後，隻有具有授權訪問權限的人員才能(néng)訪問安全環境。 F1接口要求：F1接口可以在網絡的分布式單元和(hé)中央單元之間發送信令流量和(hé)用(yòng)戶平面數據。控制平面和(hé)用(yòng)戶平面的F1接口必須支持機密性、完整性和(hé)重放(fàng)保護。但(dàn)是，控制平面和(hé)用(yòng)戶平面的F1接口是獨立保護的。相同的保護必須适用(yòng)于通過中央單元傳輸到(dào)分布式單元鏈路的所有管理(lǐ)流量。 E1接口要求：E1接口與中央單元和(hé)控制平面以及中央單元和(hé)用(yòng)戶平面之間的開(kāi)放(fàng)接口一起工(gōng)作(zuò)。在這(zhè)兩種情況下(xià)使用(yòng)的E1接口都需要機密性、完整性和(hé)重放(fàng)保護。 5G安全标準：關鍵要點 1.各種5G網絡安全責任落在用(yòng)戶設備和(hé)網絡基礎設施上(shàng)。 2.3GPP标準強調數據的機密性和(hé)完整性，主要使用(yòng)加密算(suàn)法，也(yě)稱爲密碼算(suàn)法來(lái)保護數據。 3.用(yòng)戶設備和(hé)網絡基礎設施都需要通過加密、防篡改硬件或處于安全物理(lǐ)位置來(lái)保護算(suàn)法的加密密鑰。 4.認證和(hé)授權對(duì)于用(yòng)戶設備和(hé)網絡基礎設施也(yě)很(hěn)重要，因此用(yòng)戶設備和(hé)其他(tā)網絡可以被确認爲授權設備和(hé)網絡。