2022年6月9日晚,在3GPP TSG第96次会议上,R17版本的协议编码冻结,5G R17版本标准正式转入可执行阶段,宣告该版本标准的正式完成。按照3GPP整体规划,5G R15、R16、R17三个版本为5G演进的第一阶段,R18、R19、R20三个版本为5G演进的第二阶段,即5G Advanced,因此5G R17版本标准的完成标志着5G技术演进第一阶段的圆满结束,为下一阶段R18及未来版本演进奠定了基础。
在安全机制方面,经过了R15和R16两个版本的迭代更新,3GPP已基本搭建5G网络的安全架构,完成覆盖三大场景的安全机制设计。为了支持新场景和新用例,R17主要在安全架构、基础安全机制、垂直行业应用安全、网元安全测试评估四方面增强了相关安全机制。
(资料图片)
在安全架构方面,细化完善了5G网络服务化架构下网元间服务调用的认证和授权机制。
5G网络引入服务化架构(SBA),使网络功能定义为若干个“服务”模块,实现高效灵活、自动智能的网络运营和调度。服务化架构被认为是5G网络软件化、开放化的基础。
在R15版本,5G网络针对网络功能在直接通信场景设计了服务调用的安全认证和身份鉴权机制。R16则扩展考虑了间接通信场景下,通过网络功能注册网元(NRF)或网络功能(NF)实现安全认证和身份鉴权的增强机制。R17版本进一步针对服务提供者对NRF/NF认证鉴权、跨PLMN等漫游场景认证鉴权、不同服务通信代理(SCP)部署场景等问题,细化完善NF服务调用的安全机制,主要包括:增加NF服务访问令牌的确认和验证机制;增加了跨PLMN场景下的NF服务访问授权机制;增加了近距离通信场景下的服务操作流程和安全措施;补充了服务通信代理模块在不同部署场景下的证书配置流程等。这些安全机制的完善,有力支持增强服务化架构的安全部署和管理。
在基础安全机制方面,完善了密码算法和安全协议增强、用户面完整性保护以及服务过程中的用户同意机制。
在密码算法和安全协议增强方面,为了及时跟进协议安全漏洞,R17版本协议进一步更新了所使用的IPSEC、TLS、DTLS等安全协议密码算法和协议配置,例如更新IKEv2中的椭圆曲线加密配置文件、在IMS规范中添加新的推荐算法等。
在用户面完整性保护方面,5G R15版本要求可选支持对用户面数据的完整性保护,但在R16版本中为了抵御防范网络攻击,对上下行同时支持全速率的5G终端要求必须支持用户面的完整性保护。在R17版本中,为了进一步防范在4G网络以及4G/5G互联场景下的网络攻击,将用户面数据的完整性保护机制扩展到4G LTE网络中,扩展定义了包括完整性保护算法选择、激活机制、密钥产生等流程。
R17版本还考虑依据本地的网络安全法律法规,支持在网络服务过程中对个人信息等敏感数据或操作提供用户同意机制。
在垂直行业应用安全方面,新增了针对应用鉴权认证、边缘服务安全、组播多播安全等机制。
面向5G多样化垂直应用,5G网络引入一个专用AKMA(Authentication and key management for applications)鉴权和密钥管理机制,能够直接利用存储在用户SIM卡UICC中用于5G网络用户鉴权的本地化证书完成终端用户和5G垂直应用服务商之间互信,并建立安全的通信隧道,该机制将能够帮助垂直行业解决密钥分发和管理难题,为专网用户提供运营商独有的应用层安全保护。
针对网络边缘计算安全,新增定义了向本地边缘应用开放网络信息时的安全要求,强调必须依据网络功能开放的相关安全机制实施。
针对5G网络在垂直行业应用时使用的组播多播、有线无线融合等场景,细化了对组播网元功能和接口在密钥生成、管理和分配机制,流量传输安全机制,多播会话身份验证和授权机制,以及本地卸载WLAN、4G/ 5G共存、漫游等场景下流量用户身份鉴权、配置等流程等。
在网元安全测试评估方面,同步更新和扩展了5G网元安全保障系列技术规范。
为保障通信领域的网络设备安全,全球移动通信系统协会(GSMA)与3GPP共同制定了网络设备安全保障计划(NESAS),定义了一套网元安全风险描述、测试用例及加固措施的技术报告(TR)和技术规范(TS),并自2020年启动相关评测工作,已逐步被业界广泛认可,成为保障5G网络安全可靠的重要评估方法。
结合5G网元在R16、R17版本引入的新特性和新功能,3GPP进一步更新了SCAS技术规范,修订了已有技术规范,并补充识别了新威胁和资产、新测试用例,完成了新增的网络切片鉴权认证功能(NSSAAF)、网络数据分析功能(NWDAF)、服务通信代理功能(SCP)等网元的SCAS测评技术规范,下一步将进一步针对非3GPP接入功能(N3IWF)、应用锚点功能(AKMA AAnF)、管理功能(Mnf)、拆分gNB功能制定SCAS评测规范。
标签: 技术支持