474-5G系统安全方面知识

1、5G系统安全方面知识先看下5G系统安全架构图:Application StratumUser Application.>Provider Application1111111111111111Home Stratum/MEf (III).USIM<SNA， , (V)/HEServing Stratum(1)(1)3GPPANTransport Stratum< >« 3).Non-3GPP AN图1： 5G安全架构总视图（来自33. 501）此图说明了以下安全域： 网络接入安全（I）: 一组安全特性，使UE能够通过网络安全地认证和接入 服务，包括3Gpp接入

2、和非3Gpp接入，特别是防止（无线）接口受到攻击。此 外，它还包括从SN到AX的安全上下文传递，以实现接入安全。 网络域安全（H）：使网络节点能够安全地交换信令数据和用户平面数据的 一组安全特性。 用户域安全（III）： 一组安全特性，用于保护用户对移动设备的访问。 应用程序域安全性（IV）:使用户域和提供者域中的应用程序能够安全地交 换消息。 SBA域安全（V）：使SBA体系结构的网络功能能够在服务网络域内以及与其 他网络域进行安全通信。这些特性包括网络功能注册、发现和授权安全方面, 以及对基于服务的接口的保护。 安全性的可视性和可配置性（VI）：使用户能够获知安全性功能是否正在运 行的一组

3、功能。NSA NR安全NSA架构使用LTE作为主无线接入技术，而新的无线接入技术（即NR）作为辅助无 线电接入技术，用户设备（UE）连接到两个无线网络。除能力协商外，EN-DC的 安全程序基本遵循LTE的双连接安全规范。E信任模型的演变从NSA开始，在SA的5G系统中，信任模型得到了发展。网络内部的信任被认为是 离开核心越远，信任度就越低。这会影响5G安全设计中的决策，因此将在本文 中介绍信任模型。UE中的信任模型相当简单：有两个信任域，即通用用户标识模块（USIM： Universal Subscriber Identity Module）作为信任锚点驻留的防篡改UICC和移 动设备（ME）

4、。ME和USIM一起组成了UE。漫游和非漫游情况下的网络侧信任模型分别显示在图2和图3中，它显示了多层 信任，就像洋葱一样。无线接入网（RAN）分为分布式单元（DU,或gNB-Dl；）和中央单元（CU,或gNB-CU） DU和CU共同构成gNB。DU无法访问客户通信，因为它可能部署在无监督的站点 中。CU和非3Gpp互通功能（N3IWF图中未显示）终止接入层（AS）安全，将部署 在接入更受限的站点。在核心网中，AMF作为非接入层（NAS）安全的终止点。目前，即在3Gpp 5G第1 阶段规范中，AMF与安全锚定功能（SEAF： SEcurity Anchor Function）并置， 该安全锚定

5、功能（SEAF）持有所访问网络的根密钥（称为锚定密钥）。安全体系 结构是以一种经得起未来考验的方式定义的，因为它允许将安全锚定与在系统 体系结构的未来演进中可能实现的移动性功能分离。Figure 1 Trust model of non-roaming scenario图2:非漫游场景的信任模式认证功能（AUSF： Authentication Function）保持在不同接入网络技术：即3Gpp 接入网络和IEEE 802. 11无线局域网（WLAN）的非3Gpp接入网络，中的UE同时注 册的情况下，在认证之后导出的用于重用的密钥。认证凭证存储和处理功能（ ARPF： Authenticat

6、ion credential Repository and Processing Function） 保存认证凭证。这由客户端(即UE侧)的USI”镜像。用户信息存储在统一数据存 储库(UDR： Unified Data Repository)中。统一数据管理(UDM： Unified Data Management)使用存储在UDR中的用户数据，实现应用逻辑，通过空口执行各种 功能，例如认证凭证生成、用户标识、服务和会话连续性等，在控制面和用户 面上都考虑了主动攻击和被动攻击。隐私变得越来越重要，导致永久标识符在 空口上被加密。在漫游体系结构中，属地和拜访网络通过安全保护代理(SEPP： S

7、Ecurity Protection Proxy)进行连接，作为网间互联的控制平面。这种增强是在5G中完 成的，因为最近曝光的攻击数量很多，例如SS7中的密钥盗窃和重路由攻击，以 及利用网络互连的受信任性质的网络节点模拟和直径信令消息中的源地址欺 骗。Figure 2 Trust model of roaming scenario图3:漫游场景的信任模式5G第一阶段安全主认证(Primary authentication) ： 5G中的网络和设备相互认证是基于主认证 的。这与LTE类似，但有一些区别。认证机制具有内置的归属控制，允许归属地 运营商知道设备是否在给定网络中被认证，并进行认证的最终

8、调用。在5G阶段1 中，有两个强制认证选项：5G认证和密钥协议(5G-AKA)和可扩展认证协议(EAP:Extensible Authentication Protocol ) -AKA',即EAP-AKA。5G中也允 许其他基于EAP的认证机制用于特定情况，例如专用网络。此外，主认证独立于 无线接入技术，因此它可以在非3Gpp技术( ftnieee802. llwlan)上运行。二次身份验证(Secondary authentication) ： 5G中的：次身份验证是指与移动 运营商域外的数据网络进行身份验证。为此，可以使用不同的基于EAP的身份验 证方法和关联的凭证。类似的服务在

9、LTE中也是可能的，但现在它被集成在5G架 构中。运营商间安全(Inter-operator security)：在前几代移动通信系统中，ill于 SS7或Diameter引起的运营商间接口存在一些安全问题。为了解决这些问题，5G 第一阶段从一开始就提供运营商间的安全保障。隐私(Privacy)：自从LTE和更早的几代移动系统以来，与用户身份相关的问题 就已经为人所知。在5G中，开发了一种隐私解决方案，保护用户的订阅永久标 识符免受主动攻击。归属网络公钥用于提供用户身份隐私。基于服务的架构(SBA： Service based architecture) ： 5G核心网基于SBA, 这在LTE和更早的几代中是不存在的。因此5G也为SBA提供了足够的安全性。中央单元(CU： Central Unit )-分布式单元(DU： Distributed Unit)：在 5G中，基站在逻辑上分为CU和DU,它们之间有一个接口(F1)。CU-DU接口具有 安全性。这种分离在LTE中也是可能的，但在5G中，它是架构的一部分，可以支 持许多部署选项(例如，也可以使用同一位置的CU-DU部署)。部署在网络边缘 的DU在启用保密保护时无法访问任何用户数据。即使使用CU-DU分离，5G中的空 口安全点仍然与LTE中的相同，即在无线