2022移动通信网络设备安全保障要求(合订本).docx
《2022移动通信网络设备安全保障要求(合订本).docx》由会员分享,可在线阅读,更多相关《2022移动通信网络设备安全保障要求(合订本).docx(148页珍藏版)》请在课桌文档上搜索。
1、移动通信网络设备安全保障要求第1部分:通用要求第2部分:演进分组系统(EPS)移动通信网络设备安全保障要求第1部分:通用要求目次前言II2规范性引Jn文件13术语和定义和缩略语11缩略语25通用安全功能性需求和测试用例351概述35,Ll测试淮备35.1.2测试工具35.1.3文档需求4-安全功能性需求和测试用例41. 2.1概述45. 2.23GPP标准中的安全功能性需求和测试用例46. 2.3技术基线9=;R加固的安全需求和测试用例657. 3.1概述658. 3.2技术基线659. 3.3操作系统765. 3.4Web服务器896. 3.5网络设备102137. 4.1ijL1038.
2、4.2端口扫描10354*31049. 4.4鲁棒性和模糊测试105移动通信网络设备安全保障要求第1部分:通用要求?范围本文件规定移动通信网络中网络设备的通用安全保障要求。本文件是移动通信系统网络设备安全要求系列标准的一部分。本文件的主要内容包括:1. 通用安全功能性需求及其相关的测试用例,包括3GPP规范中定义的设备的安全功能,数据保护等安全基线,操作系统安全,Web服务安全和网络设备安全;2. 通用加固功能及其相关的测试用例,包括安全加固基线,操作系统加固,Web服务加固以及设备安全加固;3. 通用基本漏洞测试要求和相美的测试用例。本文件适用于移动通信网络中网络设备的安全评估。2规范性引用
3、文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注H期的引用文件,其最新版本(包括所有的修改单)适用于本文件。1 YDb3807-2020,移动通信网络设备安全保障通用要求2 TfTAF088-2021.网络关键设备安全通用检测方法313GPPTR33.916,SecurityAssuranceMethodology(SECAM)for3GPPnetworkproducts4 3GPPTS33.116,SecurityAssuranceSpecification(SCAS)fortheMMEnetworkproduc
4、tclassf53GPPTS33.117,Catalogueofgeneralsecurityassurancerequirements6 3GPPTR33.926,SecurityAssuranceSpecification(SCAS)threatsandcriticalassetsin3GPPnetworkproductclasses7 3GPPTR21.905,Vocabularyfor3GPPSpecifications8 3GPPTR41.001,GSMSpecificationset9IETFRFC3871,OperationalSecurityRequirementsforLar
5、geInternetServiceProvider(ISP)IPNetworkInfrastructure010 IETFRFC6749:,OAuth2.0AuthorizationFramework11.IllIETFRFC7540:1HypertextTransferProtocolVersion2(HTTP2)3术语和定义和缩略语下列术语和定义适用于本文件。31机器账号machineaccount用于系统到系统或者在一个系统上的应用之间的认证和授权,其不能分配给单用户或者一组用户。个人数据personaldata与可识别的自然人相关的信息。可识别的个人identifiableindivi
6、dual可直接或间接识别的,特别是被身份证号码、姓名,或一个/多个特定因子识别的个体、社会身份等。个人数据可能通过用户数据和流量数据推测。14敏感数据sensitivedata可能被用于认证或帮助识别用户的数据,例如用户名、密码、PIN、加密密钥、IMShIMEhMEISDN、UE的IP地址,系统的功能性文件,如固件镜像、路径、驱动或内核模块。系统组账号systemgroupaccount网络设备中预先配置的系统账号,通常具备特定权限,预先设定用户名,在正常的操作环境中不依赖于单个用户。例如:root账号。4缩略语下列缩略语适用于本文件。ARPCGICISCLICOTSEPSFMFOSSGTP
7、HTTPSICMPIPIPsecISOMMENFAddressResolutionProtocol地址解析协议CommonGatewayInterface公共网关接口CenterforInternetSecurity互联网安全中心CallingLineIdentity呼叫线路识别Commercial-of-the-Shelf商业化成品EvolvedPacketSystem演进的分组系统FaultManagement故障管理Free-Open-Source-Software免费开源软件GPRSTunnelingProtocolGPRS隧道协议HyperTextTransferProtocolSe
8、cure超文本传输安全协议InternetControlMessageProtocol互联网控制报文协议InternetProtocol互联网协议InternetProtocolSecurity互联网安全协议InternationalOrganizationforStandardization国际标准化组织MobileManagementEntity移动性管理实体NetworkFunction网络功能OAMOperationAdministrationandMaintenance运行操作维护OSIOpenSystemInterconnection开放系统互联PINPersonalIdentif
9、icationNumber个人识别码PMPerfbmianceManagement性能管理RBACRoleBasedAccessControl基于角色的访问控制RDPRemoteDesktopProtocol远程桌面协议RPFReversePathForwarding逆向路径转发SBAService-BasedArchitecture基于服务的架构SBIService-BasedInterface基于服务的接口SCASSecurityAssuranceSpecification安全保障规范SFTPSSHFileTransferProtocol安全文件传输协议SSHSecureShell安全外壳
10、协议TCPTransmissionControlProtocol传输控制协议TFTPTrivialFileTransferProtocol简单文件传输协议TLSTransportLayerSecurity传输层安全ToETargetofEvaluation评估对象UDPUserDatagramProtocol用户数据报协议UIDUserIdentification用户标识VPNVirtualPrivateNetwork虚拟专用网络5通用安全功能性需求和测试用例5. 1概述6. 1.1测试准备本文件中的SCAS测试,适用于网络环境或仿真环境中,采用软件和硬件实现特定功能的网络设备。在测试进行之前
11、,硬件和软件应正确安装,网络设备上电,如设备厂商的文档描述,通过标准化接口和OAM接口建立网络设备功能性相关的通信。根据设备厂商的文档,对于可选的外部非标准化接口上的通信应建立,除非其在设备厂商的文档中明确的标记为不推荐。对于每个外部通信接口,可能有多种可选的能力.在测试过程中,所有的能力应启用,除非其在设备厂商的文档中明确的标记为不推荐。在-些情况下,一个测试用例可能将改变配置作为执行步骤或预置条件。在该测试执行后和进一步的测试执行前,需确保ToE的状态恢复到初始状态。SCAS测试与运行和部署不相关。因此,SCAS测试独立于运营商在特定部署场景下的指导方针或考虑。7. 1.2测试工具以下内容
12、应用于本文件中所有的测试用例:本文件考虑测试工具的发展速度影响SCAS标准的制定。因此对于每个需求,当满足如下条件时,实际测试实施可能偏离本文件中测试用例的步骤描述:(1)对于其他测试者重现该测试,测试更适合使用COTS和免费开源软件工具。当使用的工具不属于这两种时,需要提供其质量保障的证明。该情况仅适用于工具用于进行实际的测试,不涉及建立测试环境,例如流量生成器/仿真器。当测试实验室无法获取必要的测试工具进行测试,测试实验室可使用厂商专有的测试工具,只要测试工具符合合适的质量管理系统(QMS)的要求。测试实验室确定质量管理系统己到位,以便应用厂商的测试工具,此外,当认可的实验室不具备必需的测
13、试环境进行测试,应在厂商测试实验室进行测试。这时认可的实验室应记录测试环境、测试建立、如何测试的细节(2)测试者提供证明,例如关于工具的文档,说明该工具适用于验证需求,测试的范围等同或大于本文件描述的测试用例。该证明需要为测试领域专家提供足够的细节。(3)测试者提供该工具已经用于网络设备测试的证明(例如,提供追溯)。5.1.3 文档需求当测试用例对产品文档中的某个条目的可用性作出了假设,即使文档没有提到该需求,该假设也被认为是需求的一部分。S7安全功能性需求和测试用例5.2.1 概述本章描述安全功能需求和相应的测试用例,不依赖于特定的网络设备分类。安全需求分为以下两类:1)安全功能需求源自3G
14、PP规范和本文件4.2.2章节。2)通用的安全功能需求包括3GPP规范中没有规定,但其对于保障网络设备符合通用安全基线同样重要,详见本文件4.2.3章节。5. 2.23GPP标准中的安全功能性需求和测试用例6. 2.2.13GPP标准中通用安全功能需求与测试用例本章节描述通用的源自3GPP规范中的安全功能需求和相应的测试用例,独立于特定的网络设备类型.本文件中SCAS的目的是网络设备符合所有3GPP规范中强制的安全相关的规定,特别是:1)所有33系列(安全规范)的3GPP规范中与网络设备类型相关的:2)其他3GPP规范,作为安全规范的参考或者被安全规范引用.与网络设备相关的安全流程通常被嵌入到
15、非安全流程之中,因此通常认为与其一起测试。本文件的目的是从EPS和5G安全架构中识别SCAS的安全需求,特别是:a)当安全需求不被满足时导致脆弱性;b)对于非安全流程,通过普通测试活动未被识别的安全需求;C)处理安全相关的失败用例,例外或否定的需求,如网络设备不应。本文件的目的并非提供以上规范的所有安全流程测试用例的全集。5. 2.2.23GPP标准中SBA/SBI方面通用安全功能需求6. 2.2.2.1通用本条款目的是识别和描述SBA安全架构和相应测试用例的一般基线要求。一般基线要求适用于5G核心网(5GC)中所有使用SBI(Service-Basedinterface)的网络功能,与特定的
16、网络产品类别无关。7. 2.2.2.2传输层保护需求名称:传输层保护需求描述:网络功能(NF,Networkfunction)服务请求和响应过程,支撑疗服务使用者和NF服务提供者之间的相互认证。所有网络功能都支持TLS(I网络功能同时支持服务器端和客户端证书。TLS配置文件遵循TS33.310附件E中给出的配置文件,其限制是符合RFC7540ll中定义的H11P/2配置文件,并己在TS33.501第13.1条中指定。安全目标参考:待定测试用例:测试名称:传输层保护测试编号:5.2.2.2.2测试目的:根据所需的配置文件,验证在网络产品中实现了用于NF相互认证和NF传输层保护的TLS协议预置条件
17、:包含有关支持的TLS协议和证书的信息的网络产品文档由供应商提供。必须有一个实现由供应商配置的TLS协议的对等体。测试人员应根据TS33.310附件E中3GPP定义的配置文件进行测试,但必须符合RFC7540中定义的HnP/2给出的配置文件。测试步骤:1)测试人员应检查是否可以从网络产品文档的详细规定中推断出符合TLS配置文件。2)测试人员应在被测网络产品和对端之间建立安全连接,并验证被测网络产品支持TLS配置文件规定的所有TLS协议版木和加密算法组合。3)测试人员应尝试在被测网络产品与对等方之间建立安全连接,并验证当对等方仅提供TLS配置文件所禁止的特性(包括协议版本和加密算法组合)时,不可
18、能建立安全连接.预期结果:如果被测试方使用的TLS配置文件符合TS33.310附件E和RFC7540中的配置文件要求,则被测试网络产品和对等方建立TLS。如果对端使用的TLS配置文件在TS33.310附件E或RFC7540中被禁止,则被测网络产品和对端建立TLS失败。预期证明方式:以明文形式提供产品文档检查的证据。保存H志和通信流.pcap文件。8. 2.2.2.3网络功能业务访问授权9. 2.2.2.3.1在一个PLMN内处理授权令牌验证失败需求名称:在一个PLMN内处理授权令牌验证失败需求描述:网络功能服务生产者通过使用NRF的公钥验证签名或使用共享密钥检查MAC值来确保访问令牌的完整性。
19、如果完整性检查成功,则网络功能服务生产者生产者对访问令牌中的声明进行如F验证:1)检查访问令牌中的受众声明是否与自己的身份或NF服务生产者的类型匹配。如果存在NSSl列表或NSlID列表,则NF服务生产者检查它是否提供相应的片。2)如果存在NFSetID,则NF服务生产者检查请求中的NFSetID是否与自己的FSetID匹配。3)如果访问令牌包含“附加作用域”信息(即资源上允许的资源和允许的动作(服务操作),它会检查附加作用域是否与请求的服务操作匹配。如果存在作用域,则检查作用域是否与请求的服务操作匹配。4)通过对照当前数据/时间验证访问令牌中的过期时间来检查访问令牌是否过期。5)如果验证成功
20、,则NF服务生产者执行请求的服务并响应给NF服务消费者。否则根据RFC6749中定义的OaUth2.0错误响应进行应答。网络功能服务消费者可选择存储接收到的令牌。存储的令牌可以重新用于访问服务。在其有效期内,在声明(范围,受众)中列出的网络功能类型。安全目标参考:待定测试用例:测试名称:在一个PLMN内处理授权令牌验证失败测试编号:5.2.2.2.3.1测试目的:确认如果同一PLMN中来自NF服务消费者的授权令牌验证失败,网络功能服务生产者不会授予服务访问权限。预置条件:D带有NF服务使用者的测试环境。2)可以模拟NF服务使用者。3)被测网络产品己经与XF服务消费者进行了相互认证。4)测试人员
21、应能够访问NF服务消费者与被测网络产品之间的接口。5)测试人员拥有NRF的私钥或共享密钥。6)被测试的网络产品是用NRF的公钥或共享密钥预配置的。测试步骤:被测网络产品接收到NF服务消费者发送的访问令牌,基于OaUth2.0对访问令牌进行验证。测试用例1-4是当访问令牌中的强制声明验证失败时,被测网络产品处理失败的测试。测试用例1:访问令牌完整性的验证失败I)测试者正确地计算出一个访问令牌,除了签名或MAC不正确,例如签名或MAC随机选择,然后在NF服务请求中包含访问令牌从NF服务消费者发送到正在测试的网络产品。2)被测网络产品对访问令牌完整性验证失败。测试用例2:访问令牌中不正确的受众声明D
22、测试者正确计算出一个访问令牌,除了访问令牌中的受众声明不正确,即访问令牌中的受众声明与待测网络产品的身份或类型不匹配,然后将访问令牌包含在NF服务使用者发送给待测网络产品的NF服务请求中。2)被测网络产品验证访问令牌完整性有效。然而,受众访问令牌中的声明与其标识或类型不匹配。测试用例3:访问令牌中不正确的范围声明1)测试者正确计算出访问令牌,但范围不正确,即范围与请求的服务操作不匹配,然后将访问令牌包含在NF服务消费者发送给被测网络产品的NF服务请求中。2)被测网络产品验证访问令牌和受众声明的完整性有效的。但是,范围与请求的服务操作不匹配。测试用例4:过期的访问令牌1)测试器正确计算出一个访问
23、令牌,但当前的过期时间己经过期然后在YF服务消费者发送给被测网络产品的NF服务请求中包含访问令牌。2)被测网络产品验证访问令牌、受众和范围声明的完整性都是有效的。但是,访问令牌中的过期时间相对于当前数据/时间已经过期。测试用例5-8是当访问令牌中的可选声明验证失败时,被测网络产品处理失败的测试。注:下面的测试用例仅适用于支持识别和理解接收到的访问令牌中的可选声明的网络功能。测试用例5:访问令牌中的S-nssai列表不正确1)测试者正确计算出一个访问令牌,但S-nssae列表不正确,即被测网络产品没有服务于STSSAl列表所示的切片,然后将该访问令牌包含在NF服务消费者发送给被测网络产品的NF服
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022 移动 通信 网络设备 安全 保障 要求 合订本
链接地址:https://www.desk33.com/p-804257.html