20215G网络安全标准化白皮书word可编辑.docx
《20215G网络安全标准化白皮书word可编辑.docx》由会员分享,可在线阅读,更多相关《20215G网络安全标准化白皮书word可编辑.docx(51页珍藏版)》请在课桌文档上搜索。
1、5G网络安全标准化白皮书(2021版)2021年5月目录CONTENTS1弓I言25322.15G概念与应用场景22.25G关健技术与安全特性32.2.1T化网堪设施3222服务化网络架构42.2.3边缘化计算资源52.2.4增强的安全能力635G网络安全政策与标准现状93.15G网络安全法规和政策93.1.1美国93.1.2欧盟93.1.3国内现状103.25G网络安全标准化现状113.2.1国外标准化情况11322国内标准化情况1345G网稣全风险174.1终端安全风险174.2IT化网络设施安全风险174.3通信网络安全风险174.4行咽用安全风险184.6网络运维安全风险1855G网络
2、安全标准框架195.1总体原则195.25G网络安全标准化需求19(1)基础共性类需求19(2)终端安全类需求203)IT化网络设施安全类需求20(4)通信网络安全类需求205)5G业务与应用安全类标准20(6)数据应用安全类需求20(7)网络安全运营类常求205.35G网络安全标准框架215.3.1基础共性类标准215.3.2终端安全类标准225.3.3IT化网络设施安全类标准225.3.4通信网络安全类标准235.3.5应用与服务安全类标准245.3.6数据安全类标准245.3.7安全运营管理类标准245.45G网络安全重点标准研制建议2565G网箍全标准化工作推进建议276.1加快推进5
3、G网络安全标准体系建设与重点标准研制276.2提前布局5G融合应用安全风险与保障研究276.3大力开展5G网络安全标准验证与实施286.4深度参与5G网络安全国际标准化工作28附录A国内外已发布及在研相关标准33附件B5G网络安全标准应用实践案例39附录C术语定义441引言当前,以第五代移动通信技术(以下称5G)为代表的新一轮科技和产业变革正在快速兴起,成为世界各国经济发展的重要技术支撑和全球产业竞争的战略高地。2019年起,全球各大运营商竞相加快5G网络部署,各大机构积极探索5G与重点行业的融合创新。截至2020年底,全球131个国家的412家运营商采取各种方式投资5G,59个国家和区域的1
4、40个运营商己推动5G商用,全球共建成超100万个5G基站。其中,我国累计建成5G基站71.8万个,占比超全球总量的70%,形成全球最大规模的5G网络,实现所有地级以上城市5G网络全覆盖。5G凭借全新的架构,引入网络功能虚拟化、服务化网络架构、边缘计算等新型关键技术,大幅提升了移动网络业务能力,通过超高清视频、智能电网、工业互联网、智慧交通、智慧城市等应用,开启了万物广泛互联、人机深度交互的新时代,为产业数字化、生活智慧化、数字化治理提供有力支撑.在全球范围内5G广泛商用、规模快速扩大的背景下,5G网络安全问题也成为各方关注焦点。5G网络安全包括终端安全、IT化网络设施安全、通信网络安全、行业
5、应用安全、数据安全、网络运维安全等多个方面。虽然5G较4G拥有更为完善的安全特性,但随着5G融合应用的不断深入,又将面临的新网络安全威胁与风险。为促进5G与相关产业的健康安全发展,切实发挥标准在网络安全工作中的基础性、规范性、引领性作用,有效指导和体系化推进相关重点标准研究制定工作,本白皮书在充分调研国内外5G网络安全发展情况的基础上,针对5G典型应用场景和关键环节,研究提出5G网络安全标准框架,给出标准化工作推进建议。25G技术概述2.15G概念与应用场景5G即第五代移动通信技术(The5thGenerationWirelesscommunication),是继2G、3G和4G系统之后的延伸
6、,其设计目标是高数据速率、低传输延迟、提升传输质量、节省能源、降低成本、提高系统容量和大规模设备连接。5G不仅用于人与人之间的通信,还适用于人与物、物与物之间的通信,被视为促进各行业智能化升级、推动数字经济发展的关键技术之一。2015年发布的ITU-RM.2083-0建议书IMTVision-FrameworkandoverallobjectivesofthefuturedevelopmentofIMTfor2020andbeyond提出了5G(IMT-2020)的关键技术特征及指标建议,包括峰值数据速率、用户体验数据速率、频谱效率、移动性、延迟、连接密度、网络能效、区域业务容量等。基于全面提
7、升的网络性能指标,ITU-RM.2083-0建议书进一步定义了5G的三大应用场景:增强移动宽带(EnhancedMobileBroadband,eMBB)、海量机器类通信(MassiveMachineTypeCommunication,mMTC)和超可靠低时延通信(UltraReliableandLowLatencyCommunication,uRLLC),如图1所示。5G结合其三大应用场景,与智慧家庭、智慧城市等社会生活领域结合,与超高清视频和VR/AR等多媒体应用、车联网和工业互联网等行业融合,渗透到生产和生活的各领域,为经济与社会发展注入强劲动力。图1ITU定义的5G关键指标和应用场景增
8、强移动宽带(eMBB)是以人为中心的应用场景,集中表现为超高的传输数据速率,广覆盖下的移动性保证。以常用的视频业务为例,4G网络的平均用户体验速度下行为3050Mbps、上行为68Mbps,能够满足一路高清视频的在线播放需求,无法满足高清直播、多路视频会议的需求;而5G网络的平均用户体验速度下行为100Mbps.上行为50Mbps,用户体验会有明显的提升。海量机器类通信(mMTC)以大规模物联网为应用场景,支持密集环境下的海量机器类通信,使得人与机器、机器与机器的大规模通信成为可能。niiITC的海量体现在两个方面:首先,5G网络可连接的物联网设备量远大于4G,每平方公里可支持100万个连接;
9、其次,联网设备和业务的种类也大大丰富了,支持多种使用不同通信模式的终端,比如:仅作为主叫不作为被叫被寻址的终端、仅在固定时间间隔激活和通信的终端。大部分物联网终端具有资源受限的特点和低功耗工作要求,5G在架构和协议设计上做了优化,简化了连接建立和管理模型,可最大限度降低物联网终端的功耗。超可靠超低时延通信(URLLC)以无人驾驶、远程医疗、智能制造等关键通信为应用场景,必须严格满足业务需求的时延和可靠性。4G网络时延最小只能达到20ms左右,但是5G系统本身可将端到端时延降低到10ms、且在高速移动(500KM/H)情况下保持高可靠性(99.999%)连接。同时,5G系统架构支持边缘计算,可进
10、一步降低业务时延,确保时延敏感场景下高速通信、及时执行命令和发送反馈。2.25G关键技术与安全特性2.2.1IT化网络设施传统移动通信网络基于网元设备实现网络功能。5G在网络基础设施层面引入了包括网络功能虚拟化(NetworkFunctionVirtualization,NFV)、软件定义网络(SoftwareDefinedNetwork,SDN)等IT技术,并支持通过网络切片将网络划分为虚拟专网,从而能够低成本、灵活快速地满足行业应用对网络的高安全性和可定制化需求。网络功能虚拟化:NFV技术实现了计算和存储资源的虚拟化,实现了软件与硬件的解耦,使网络功能不再依赖于专有通信硬件平台、专用操作系
11、统,实现了5G网络基础设施的云化,支持资源的集中控制、动态配置、高效调度和智能部署,缩短网络运营的业务创新周期。软件定义网络:SDN技术实现了通信连接的软件定义,将数据通信设备拆分为控制面和数据面,控制面集中控制并提供可编程接口,实现了根据组网和业务需要灵活定义网络传输通道,可灵活调度流量并编排安全能力。网络切片:网络切片是为满足垂直行业对网络能力可定制化、通信及信息安全可控化的需求而出现的,它可将一个物理网络切分成功能、特性各不相同的多个逻辑网络,同时支持多种业务场景。基于网络切片技术,可以隔离不同业务场景所需的网络资源、提高网络资源利用率。2.2.2服务化网络架构传统移动通信网络架构基于固
12、定网元、固定连接,网络功能的可扩展性受限。为了满足5G时代灵活部署的需要,5G采用了服务化架构(SerViCe-basedArchitecture,SBA),将原有的网元按照“微服务”的理念拆分为松耦合、细粒度的网络功能(NetworkFunction,NF),通过服务调用、服务组合的方式实现核心网的基本功能。5G核心网内的应用功能(ApplicationFunction,AF)指应用层的各种服务,它既可以是运营商内部应用,也可以是第三方应用,其他网元可通过AF的服务化接口Naf对其进行访问。3GPP将5G核心网定义为一个可分解的网络体系结构,引入了控制面和用户面分离,其中核心网用户面采用传统
13、架构和接口,用户面功能(USerPlaneFunction,UPF)负责数据包的路由转发、与外部数据网络的数据交互等,核心网控制面网元采用服务化架构设计,彼此之间通信采用服务化接口,从而提供多个网络功能服务。5G服务化架构中,将网络功能以服务的方式对外提供,不同的网络功能服务之间通过标准接口进行互通,支持按需调用、功能重构,从而提高核心网的灵活性和开放性。如图2所示,5G核心网将控制面拆分为多个网络功能:接入和移动性管理功能(ACCeSSandMobilityManagementFunction,AMF)主要负责终端接入和移动性管理,对应的服务化接口为Namf:会话管理功能(SessionMa
14、nagementFunction,SMF)负责会话管理,对应的服务化接口为Nsmf:策略控制功能(PoIiCyControlFunction,PCF)负责策略管理,对应的服务化接口为Npcf;网络切片选择功能(NetworkSliceSelectionFunction.NSSF)负责判断应该为UE提供何种网络切片服务,对应的服务化接口为Nnssf;网络开放功能(NetworkExposureFunction,NEF)负责开放网络能力给AF,对应的服务化接口为Nnef;网络存储功能(NetworkRepositoryFunction,NRF)负责NF以及NF上提供的服务的统一管理,包括注册、发现
15、、授权等功能,对应的服务化接口为Nnrf:统一数据管理(UnifiedDataManagement5UDM)负责用户数据管理等,对应的服务化接口为Nudmo5G独立组网架构中,SB化的核心网控制面及用户面对外交互时所涉及的业务接口包括:NL控制面与用户终端之间的接口。N2:控制面与无线接入网之间的接口。N3:用户面和无线接入网之间的接口。N4:控制面和用户面之间的接口。N6:用户面和数据网络之间的接口。N9:用户面的漫游接口。图25(;独立组网架构2.2.3边缘化计算资源3G/4G时代,网络服务普遍采用云端协同的方式,即远端的云计算或者云数据中心和终端相互配合完成网络服务的提供和访问。5G时代
16、,大量高可靠低时延业务出现,对网络传输和服务计算的时延效率提出更高需求,边缘计算(MEC,Multi-accessEdgeComputing)的应用需求更为广泛。5G网络本身也支持更加灵活的边缘计算服务。边缘计算作为5G网络新型网络架构的主要特征之一,部署在无线基站、接入机房等网络边缘,通过将计算能力和IT服务环境下沉,就近向用户提供服务,从而构建一个具备高性能、低时延与高带宽的电信级服务环境。边缘计算平台在网络边缘靠近用户的位置上,提供IT服务和云计算的能力,降低核心网的负载开销和用户业务时延,为用户提供本地视频、位置定位、视频质量优化、流量分析等低时延和高带宽业务。边缘计算采用开放应用编程
17、接口(API)、网络功能虚拟化(NFV)等技术,通过边缘节点上应用程序APP对外提供服务。2.2.4增强的安全能力基于前几代移动通信演进过程中发现的安全问题和积累的运维经验,5G网络对安全机制考虑更加充分,具有以下特点:(1)更全面的数据安全保护在数据安全保护方面,5G相对于之前的通信网络对用户数据的完整性保护要求更严格,5G不仅只是对网络信令进行完整性保护,还增强了对用户数据的完整性保护。从3G到4G,系统的设计要求主要是保证系统空口的吞吐效率最大化和时延最小化,通信系统对网络信令进行完整性保护、避免被恶意篡改,对用户数据并未进行完整性保护。在5G通信中,数据应用越来越广泛,对用户数据的完整
18、性保护要求更严格,需要进行更全面的数据安全保护。除信令外,5G通信中对用户数据也可进行完整性保护,确保用户数据在空中接口传输时不会被恶意篡改。(2)更丰富的认证机制支持在认证机制支持方面,5G相对于之前的通信网络具有更丰富的认证机制支持,不仅增强了归属网络对认证的控制,还具有更加灵活的可扩展框架。在3G至4G网络中,所使用的认证与密钥协商(AuthenticationandKeyAgreement,AKA)认证机制具备很高的安全性。AKA协议是3GPP在研究2G安全脆弱性的基础上,针对3G接入域安全需求提出的,其使用挑战应答机制完成用户和网络间的身份认证,同时基于身份认证对通信加密密钥进行协商
19、,通过认证和加密手段更好地预防攻击行为。5G支持多种接入技术(如4G接入、WLAN接入以及5G接入),为了使用户可以在不同接入网间实现无缝切换,5G网络认证一方面继承了AKA框架,在机制和能力上进行增强并形成了5G-AKA,增强归属网络对认证的控制,不仅提供对用户的认证,还提供对访问网络的认证,防止访问网络虚报用户漫游状态、产生恶意扣费等情况。另一方面,5G网络采用统一的认证框架,引入了扩展认证协议(EXtenSibIeAuthenticationProtocol,EAP),其具有较好的灵活性和可扩展性,既可运行在数据链路层上,也可以运行于TCP或UDP协议之上,不仅支持多种认证协议和各种应用
20、场景下的双向身份鉴权,还支持垂直行业的多种已有应用,扩展适配垂直行业应用所需的新认证能力。(3)更严密的用户隐私保护在用户隐私保护方面,5G相对于之前的通信网络具备更严密的加密措施,能在更大力度上保护用户隐私不受侵犯。在2G至4G网络中,通信网络和终端通常使用临时移动用户识别码(TemporaryMobileSubscriberIdentity,TMSI)交互,用于避免国际移动用户识别码(InternationalMobileSubscriberIdentity,IMSI)被攻击者窃取。但当终端初始接入网络,TMSl和IMSl未能同步时,通信网络会请求终端发送IMSl进行认证,IMSl会短暂出
21、现在信道上,攻击者可能获取IMSl并进一步攻击或追踪用户。5G通信网络利用用户卡上存储的归属运营商的公钥对永久用户标识进行加密,不再明文传输国际移动用户识别码。为抵御中间人攻击,归属运营商的公钥直接预置在用户卡内,有效地保护了用户的隐私。其次,在5G通信网络中,切片选择辅助信息NSSAl(NetworkSliceSelectionAssistanceInformation)可区分不同类型的5G网络切片,在用户初始接入网络时,NSSAI知识基站及核心网网元将其路由到正确的切片网络,5G网络可对NSSAl敏感信息进行隐私保护。(4)更灵活的网间信息保护在网间信息保护方面,5G新增了安全边界保护代理
22、(SeCUrityEdgeProteCtiOnProxy,SEPP),能有效保护在网络中互联互通信息的机密性和完整性。在3G/4G系统中,运营商的数量和网络部署规模也在不断扩大,为防止信令在网络间传输过程中被窃听、篡改甚至伪造,3GPP制定了基于域划分的网络域/IP层安全机制、基于公钥基础设施提供认证服务的认证框架协议,以保护网间信息互联互通。在5G网络中引入了SEPP,其作为运营商核心网控制面之间的边界网关,所有跨运营商的信息传输均需要通过SEPP进行处理和转发,SEPP在运营商之间建立TLS安全传输通道,对传输的信息中需要进行保护的字段进行机密性和完整性保护,从而有效防止数据在传输过程中被
23、篡改和窃听。表2-15G网络与4G网络的安全能力对比能力类型4G5G数据安全保护对网络信令进行完整性保护。对网络信令和用户数据进行完整性保护。认证机制支持使用AKA认证机制。使用增强的5G-AKA认证机制,并引入EAP构建更灵活的可扩展框架。用户隐私保护通信网络和终端通常使用临时移动用户识别码TMSI交互。利用用户卡上存储的归属运营商的公钥对永久用户标识进行加密。网间信息保护基于域划分的网络域/IP层安全机制、基于公钥基础设施提供认证服务的认证框架协议。新增了安全边界保护代理SEPP,对传输信息进行机密性和完整性保护。35G网络安全政策与标准现状3.15G网络安全法规和政策3.1.1美国美国力
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 20215 网络安全 标准化 白皮书 word 编辑
链接地址:https://www.desk33.com/p-833183.html