5分钟搞懂5G安全增强

程序员--青青

于 2024-02-21 20:00:00 发布

阅读量1k

点赞数 25

文章标签： 5G 安全

本文链接：https://blog.csdn.net/ZL_1618/article/details/136192319

版权

安全是移动通信网络的关键指标之一，5G在4G的基础上进一步增强了安全指标，本文详细介绍了5G在安全方面的相关工作。原文:5G Security:
In Detail Points and Enhancements over
4G

5G技术已迅速成为电信行业的下一件大事，有望实现更快的速度、更大的容量和更高的网络可靠性。

然而，与任何新技术一样，5G网络也有自己的一套安全标准、挑战和隐私问题。

本文将详细探讨5G安全性以及为确保更安全的网络环境而在4G基础上进行的增强。

5G系统引入了多项安全改进，包括在HPLMN中终止用户身份验证，物联网设备基于非SIM卡的身份验证，通过对长期用户标识符的加密增强用户隐私，并且不再将长期用户标识符用于寻呼，在所有网络功能上强制支持TLS和OAuth
2.0，以实现SBA安全和互连。

5G系统安全改进还包括在终端和gNB上对用户平面进一步强制支持完整性保护，运营商的可选控制，以及在gNB端为保护RAN-
CN接口(传输层)而强制支持IPsec，除IPsec外，还强制支持DTLS over SCTP。

在3GPP网络中，由SA3小组定义的安全保证规范(SCAS，SeCurity Assurance
Specifications)确保网络设备满足安全需求，并遵循安全的研发和产品生命周期流程。

由于移动网络系统是维系社会的支柱，在某些司法管辖区域被列为关键基础设施，因此安全保障至关重要。

为了创建适合电信设备生命周期的安全保障方案，3GPP和GSMA发起了NESAS(网络设备安全保障方案，network equipment security
assurance scheme)。

NESAS包括两个主要组成部分: 由3GPP(SCAS安全保证规范)定义的安全需求和由GSMA管理的基础设施审计。

NESAS旨在满足许多国家和国际组织对网络安全的要求(如欧盟网络安全认证框架)，针对5G系统网络功能的新SCAS开发工作正在进行中。

5G安全标准

5G安全基础标准

5G安全标准包括:

3GPP (3rd Generation Partnership Project)
Joint Technical Committee for IT
NESAS (The Network Equipment Security Assurance Scheme)
IETF
ETSI
NIST, GSMA, 以及其他

5G云计算安全标准

信息安全管理系统相关的国际标准

ISO 27001:2013 信息安全管理体系要求(附件A)
ISO 27002:2013 信息安全控制实施规范
ISO 27003:2017 信息安全管理体系指南
ISO 27017:2015 基于ISO/IEC 27002的云服务信息安全控制实施规范
ISO 27018:2014 在处理个人身份信息(PII, personally identifiable information)的公共云中保护个人身份信息的实践规范
公共云计算安全与私隐指南(SP-800 144)
联邦信息系统和组织的安全和隐私控制(SP 800-53)

云安全联盟(CSA，Cloud Security Alliance)

云安全联盟(CSA)是一个旨在促进在云计算中提供安全保证最佳实践的组织。

它是一个成员驱动的组织，发布了云控制矩阵(CCM，Cloud Controls Matrix)，这是一组安全控制基线，帮助企业评估与云计算供应商相关的风险。

CCM由16个控制框架组成，涵盖各种安全领域，如法规遵从性、数据安全性和应用程序安全性等。

NIST

美国国家标准与技术研究院(NIST，National Institute of Standards and
Technology)也发布了一些与云计算安全和隐私相关的指导方针。

公共云计算安全和隐私指南(SP-800 144，The Guidelines on Security and Privacy in Public Cloud
Computing)概述了云计算中的安全和隐私问题，并为组织提供了解决这些问题的建议。

联邦信息系统和组织的安全和隐私控制(SP 800-53，The Security and Privacy Controls for Federal
Information Systems and Organizations)为联邦信息系统和组织提供了安全和隐私控制目录。

网络安全框架(The Cybersecurity Framework)是一组公共基线，提供基于风险的方法管理网络安全风险。

COBIT(IT控制目标，Control Objectives for IT)

ISACA的IT控制目标(COBIT)是由ISACA制定和维护的标准。COBIT 5为业务驱动的、基于IT的项目和运维提供IT管理和治理框架。

ISACA已经发布了几份关于将COBIT应用于云的标准，提供了如何使用COBIT来管理与云计算相关风险的指导，并确保基于云的服务与组织的目标和宗旨保持一致。

5G系统安全增强

5G核心网络整合了多项安全增强功能，以防范潜在威胁。虽然5G网络重用了4G EPS网络原有的大部分安全机制，但也已经引入了一些额外的安全功能。

这些安全功能包括对EAP、归属地控制、SUPI隐私、SBA安全、增强的密钥分离、边缘保护、漫游安全、服务通信代理、增强的API网关安全以及GTP-
U防火墙(PFCP)控制的支持。

核心网内部的SBI通信采用OAuth
2.0(Trust)进行双向认证，采用TLS对VNF接口间以及内部通信进行加密(以及完整性)保护。证书管理也是5G核心网的重要功能，包括证书自动注册以及生命周期管理，证书和密钥会被存储在安全的存储空间里。

5G安全强制需求	5G安全最佳实践
- GDPR
- 网络安全与完整性保护: 适用于电信运营商的电子通信规范
- 网络与信息安全
- 隐私代码(Privacy Code)
- SOX以及其他法律法规	- ISO 27000协议族
- ISO 27001/02 ISMS，ISO 27005 基础设施风险管理，ISO 27017 云服务信息安全控制，ISO
27018公共云的个人信息管理
- ENISA指南:数据泄露风险、影响分析和网络安全
- PCI-DSS
- GSMA
- NIST
- CIS(互联网安全中心, Center for Internet Security): 系统加固
- CSA(云安全联盟, Cloud Security Alliance): CCM(云控制矩阵, Cloud Control Matrix)
- ISACA
- ETS

除了Kubernetes安全标准之外，还需要实施其他安全措施，例如在网络接口上基于VPN进行流量隔离、用于全面隔离微服务的软防护扩展(SGX，Soft
Guard Extensions)、安全的enclave缓存和内存加密引擎。这些措施有助于确保5G核心网的安全，防止潜在安全威胁。

5G核心网安全增强包括:

EAP支持
归属地控制
SUPI隐私
SBA安全
增强密钥分离
边缘保护和漫游安全
服务通信代理
增强安全性的API网关
GTP-U防火墙(PFCP)控制
对内外部SBI通信的保护:
- 基于OAuth 2.0(Trust)的双向认证
- 基于TLS的VNF内外部接口加密(完整性)
证书管理:
- 证书自动注册和生命周期管理
- 证书/密钥的安全存储
超越Kubernetes安全标准:
- 对网络接口进行额外的VPN流量隔离
- 软防护扩展(SGX)用于全面的微服务隔离
- 安全的Enclave缓存
- 内存加密引擎

以下5G安全增强点细节:

1. 用户身份验证改进

在HPLMN中终止身份验证: 此改进确保在归属地公共陆地移动网络(HPLMN，Home Public Land Mobile Network)中终止用户身份验证，从而降低未经授权访问的风险。
物联网设备的非SIM卡认证: 该功能为物联网设备提供非SIM卡认证，允许安全的访问网络。

2. 增强用户隐私

对长期用户标识符进行加密的机制: 此改进提供了加密长期用户标识符的机制，使其更加安全。
不再将长期用户标识符用于寻呼: 此增强确保不再将长期用户标识符用于寻呼，从而降低未经授权访问的风险。

3. 基于服务架构(SBA)和连接的安全性

所有网络功能都必须支持TLS和OAuth 2.0: 该特性确保所有网络功能都支持TLS和OAuth 2.0，提供安全的基于服务的架构和连接。
运营商之间的应用层安全支持: 此增强提供了运营商之间的应用层安全支持，进一步提高了安全性。

4. 用户面完整性保护

终端和gNB用户面强制完整性保护: 实现终端和gNB(gNodeB)用户面强制完整性保护，提供安全通信。
用户面完整性保护是可选的，由运营商控制: 此增强为运营商提供了控制决定是否使用用户面完整性保护的选项。

5. RAN-CN接口保护(传输层)

IPsec支持在gNB侧是必选项: 确保gNB侧支持IPsec(Internet Protocol Security)，提供安全传输。
除IPsec外必须支持DTLS over SCTP: 除IPsec外，此增强功能还支持DTLS over SCTP，进一步提高安全性。

你好，我是俞凡，在Motorola做过研发，现在在Mavenir做技术工作，对通信、网络、后端架构、云原生、DevOps、CICD、区块链、AI等技术始终保持着浓厚的兴趣，平时喜欢阅读、思考，相信持续学习、终身成长，欢迎一起交流学习。
微信公众号：DeepNoMind

- END -

本文由 mdnice 多平台发布

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。