随着移动通信系统在社会生活中的使用越来越广泛，特别是5G进一步以企业级应用作为核心应用场景，安全成为了包括5G在内的移动通信系统不可忽视的因素。本文梳理了全球主流移动通信标准化组织在安全方面的标准制定，从而可以快速了解5G协议层面对信息安全的考量。原文: 5G Security Standards: 3GPP, ETSI, NIST, GSMA

随着5G技术在全球范围内不断推广，需要强大的安全措施来抵御威胁并确保网络的完整性，因此安全的作用越来越重要。

5G的关键安全标准组织是3GPP(第三代合作伙伴计划，3rd Generation Partnership Project)，这是一个由6个电信标准组织合作推动移动电信标准制定的合作组织。

在3GPP内部，SA3(安全小组，Security Group)负责制定并维护包括5G在内的3GPP技术的安全标准。

5G的另一个重要安全标准组织是ETSI(欧洲电信标准协会，European Telecommunications Standards Institute)，这是一个制定和维护信息和通信技术标准的欧洲标准化组织。

ETSI已经为5G制定了多项安全标准，包括NFV(网络功能虚拟化，Network Functions Virtualization)安全标准，该标准为保护虚拟化网络功能和服务提供了指导方针。

除了这些标准化组织外，还有一些行业特定的安全标准也适用于5G，例如与移动网络运营商相关的GSMA(全球移动通信系统协会，Global System for Mobile Communications Association)安全标准，以及与关键基础设施提供商相关的5G-ENS(5G交换网络安全，5G Exchange Network Security)标准。

5G安全标准包括:

• 3GPP (3rd Generation Partnership Project)
• Joint Technical Committee for IT (信息技术联合技术委员会)
• NESAS (The Network Equipment Security Assurance Scheme, 网络设备安全保障计划)
• IETF
• ETSI
• NIST, GSMA, 以及其他

在这篇文章中，我们将详细探讨上述5G安全标准，讨论这些标准为防范威胁和确保5G网络安全而采取的具体措施。

5G 3GPP安全标准

3GPP是一个电信标准化组织，负责制定5G和其他移动技术标准。

3GPP为5G网络制定了多项安全标准，包括加密、认证和网络安全标准。

3GPP还为5G设备和用户设备制定了一系列安全标准，包括SIM卡、eSIM和可信执行环境(TEEs，Trusted Execution Environments)标准。

5G 3GPP安全技术标准要点:

1. AES (Advanced Encryption Standard)

AES(Advanced Encryption Standard)是一种广泛使用的加密算法，用于保护在5G网络上传输的数据的机密性和完整性。

2. SSL/TLS

SSL(安全套接字层，Secure Sockets Layer)和TLS(传输层安全，Transport Layer Security)是用于保护5G网络通信的加密协议。

SSL和TLS使用公钥和对称密钥算法的组合，为网络传输的数据提供强大的加密和身份验证功能 。

3. EAP

EAP(Extensible Authentication Protocol)是一种用于对接入5G网络的设备和用户进行认证的协议。

EAP使用密码、令牌、证书等多种身份验证方法来验证设备和用户的身份。

4. RADIUS

RADIUS(Remote Authentication Dial-In User Service)是对接入5G网络的设备和用户进行认证授权的协议。

RADIUS使用中央服务器对设备和用户进行认证和授权，支持密码、令牌、证书等多种认证方式。

5G GSMA安全标准

GSMA(GSM协会，GSM Association)是代表全球移动运营商利益的行业组织。

GSMA为5G网络和设备制定了多项安全标准，包括加密、身份验证和网络安全标准。

SEPP(安全边缘保护代理，Security Edge Protection Proxy)是5G网络架构的关键组件，旨在保护家庭网络边缘，并在家庭网络与访问网络之间的互连中充当安全网关。

SEPP旨在提供应用层安全、端到端身份验证、完整性和机密性保护、密钥管理机制以及消息过滤和策略。

此外，在5G网络中采用基于IP的协议，如HTTP/2、TLS、TCP和OpenAPI 3.0.0的RESTful框架，预计将增强与更大范围服务和技术的互操作性，但也可能增加潜在的攻击面和漏洞的影响。

移动运营商和其他利益相关方必须意识到这些安全风险，并采取适当措施减少风险。

GSMA正在通过各种计划和服务支持移动安全生态系统，例如:

• 未来网络计划的欺诈和安全小组(FASG，Fraud and Security Group)
• 协同漏洞披露(CVD，Coordinated Vulnerability Disclosure)计划
• 物联网安全项目，以及
• 网络组(NG，Networks Group)

这些计划和服务有助于确保5G网络、设备以及用户设备的安全。

5G GSMA安全技术标准要点:

为了提高5G网络中用户和设备数据的保密性和完整性:

1. 保护初始非访问层(NAS, Non-Access Stratum)消息的机密性

保护5G网络中设备和网络之间NAS消息的机密性，使得当前的攻击方法通过无线接口跟踪用户设备(UE)更加困难，从而有助于防止中间人(MITM，man in the middle)和假基站的攻击。

2. 引入名为归属控制(Home Control)的保护机制

在5G网络中引入名为归属控制(Home Control)的保护机制，即在归属网络检查访问网络中设备的认证状态后，并最终完成对访问网络的设备的认证。

该增强有助于防止各种类型的漫游欺诈，这些欺诈在过去一直是移动运营商的大问题，该机制可以支持运营商正确验证设备到服务的请求。

3. 对不同类型的接入网支持统一鉴权

在5G网络中支持WLAN等不同接入网的统一鉴权，使5G网络能够管理以前不受管理和不安全的连接。

该机制支持UE在不同的接入网或服务网之间移动时重新执行身份验证的可能性。

4. 支持用户面完整性校验

在5G网络中支持用户面完整性校验，保证用户流量在传输过程中不被修改，从而有助于保护通过网络传输的用户数据的完整性。

5. 使用公/私钥对及锚定密钥加强私隐保护

在5G网络中，通过使用公钥/私钥对和锚定密钥来隐藏用户身份并派生整个服务架构中使用的密钥，隐私保护得到增强，并有助于保护通过网络传输的用户和设备数据的隐私。

5G NIST安全标准

美国国家标准与技术研究所(NIST，National Institute of Standards and Technology)是美国政府机构，负责为包括电信行业在内的各行各业制定技术标准和指导方针。

NIST已经为5G网络制定了一系列安全标准和指南，包括加密、认证和网络安全标准。

5G NIST安全技术标准要点:

1. 网络安全框架(CSF，Cybersecurity Framework)

NIST网络安全框架(CSF)是一种基于风险的网络安全管理方法，可帮助组织识别、保护、检测、响应和从网络威胁中恢复。CSF的设计具有灵活性和适应性，可用于所有规模和所有行业的组织来管理网络安全风险。

2. Special Publication (SP) 800-53

NIST SP 800-53是一套针对联邦信息系统和组织的安全和隐私控制。SP 800-53提供了一套全面的安全控制，可根据组织的特定需求进行定制，并被设计成与NIST网络安全框架一起使用。

3. NIST SP 800-63

NIST SP 800-63是一套数字身份指南，为数字身份的安全发布、管理和使用提供了建议，其中囊括了5G网络和设备使用数字身份(包括身份验证、授权和身份验证)的指南。

随着5G的普及，企业有效管理与5G相关的安全风险，并在其发展过程中保护该技术免受网络攻击非常重要。

为了应对这些挑战，NIST正在采用敏捷流程发布5G网络安全项目，该项目建立在NCCoE的可信云项目基础上，重点关注基于5G标准的安全功能和基于云的安全托管基础设施的组合。

《5G网络安全实践指南》中提出的解决方案旨在降低风险和安全事件发生的可能性，加强5G网络的支撑基础设施，保护5G通信内容和用户隐私，并通过实施反映关键零信任原则的示范实践，为实现零信任铺平道路。

通过采用这些解决方案，企业可以从其5G网络系统的安全性和信任度提高中受益。

NCCoE 5G实现概要架构

NIST网络安全卓越中心(NCCoE，NIST Cybersecurity Center of Excellence)制定了一份名为《NCCoE 5G实施》的全面指南，为组织在其5G网络中实施安全标准提供了实际步骤。

《NCCoE 5G实施》涵盖了身份和访问管理、网络安全、安全软件开发和供应链风险管理等多个安全领域。

同时该指南提供了如何实现安全控制和技术的详细指导，包括加密、安全引导、安全通信协议和入侵检测系统。

NIST 5G安全标准和NCCoE 5G实施指南的目标是确保5G网络的设计和实施具有强大的安全功能，以防范潜在网络威胁和攻击。

通过遵循这些指导方针，组织可以改善5G网络的安全态势，并帮助确保数据和系统的机密性、完整性和可用性。

在下图中，该架构由图左侧的5G无线接入网(RAN)组成，其中包括5G用户设备(UE)、无线电和天线以及称为gNodeB(gNB)的基带单元。

RAN通过回传网连接到数据中心的核心网。

数据中心是NCCoE示例解决方案的重点，包括支持云基础设施，支持可信计算集群、网络管理和安全工具，以及虚拟和容器化5G网络功能。

下面提到的NIST推荐架构旨在实现5G网络的商业级安全参考架构，弥合IT和电信网络安全能力之间的差距。

5G ETSI安全标准

ETSI(欧洲电信标准协会，European Telecommunications Standards Institute)是一个负责为电信行业制定技术标准的组织。

ETSI为5G网络和设备制定了多项安全标准，包括加密、身份验证和网络安全标准。

ETSI 5G系统通用安全建议

这些要求旨在减少bidding down攻击，确保适当的身份验证和授权，并为用户和信令数据提供机密性和完整性保护。

为了实现这些目标，5G系统必须支持某些安全特性和算法，包括加密和完整性保护算法的密钥至少为128位，对用户数据和信令数据进行加密，以及支持多种加密算法。

5G系统还必须支持在用户设备(UE)中安全存储用户永久标识符(SUPI，Subscription Permanent Identifier)，并根据从归属网络获得的UE订阅配置文件提供授权。

此外，系统必须支持某些地区的未经身份验证的紧急服务，并且必须向终端保证其已连接到获得授权的服务和接入网络。

这些安全要求旨在确保5G系统和网络的机密性、完整性和可信性。

ETSI对5G系统的一般安全建议:

• 加密和完整性保护算法密钥至少为128位
• 对用户数据和信令数据进行加密
• 支持多种加密算法

此外，5G系统还必须:

• 支持在用户设备(UE)中安全存储用户永久标识符(SUPI)
• 根据从归属网络获得的终端订阅配置文件提供授权
• 在特定地区支持未经认证的紧急服务
• 向终端保证其已连接到获得授权的服务和接入网络

总体而言，这些安全需求都是为了确保5G系统和网络的机密性、完整性和可信性。

希望这篇文章能够帮助你了解由不同组织(3GPP, ETSI, NIST, GSMA)提供的5G安全规范和标准建议，所有这些组织都对5G以及电信行业做出了重要贡献。

你好，我是俞凡，在Motorola做过研发，现在在Mavenir做技术工作，对通信、网络、后端架构、云原生、DevOps、CICD、区块链、AI等技术始终保持着浓厚的兴趣，平时喜欢阅读、思考，相信持续学习、终身成长，欢迎一起交流学习。
微信公众号：DeepNoMind