NIST网络安全白皮书
NIST CSWP 36
应用5G网络安全与隐私能力
2026年3月
编译 樊山
最终
I白皮书系列简介
1.摘要
本文档介绍了题为“应用5G网络安全和隐私能力”的白皮书系列。该系列由国家网络安全卓越中心(NCCoE)5G网络安全项目发布。5G在标准中引入了新的安全功能,重点是保护可互操作的接口而不是底层的IT基础设施,在特定的网络安全和隐私保护方面留下了空白和选择,使组织评估、部署和补充5G系统的安全变得复杂。5G网络安全项目在5G标准范围内以及5G标准中未规定的底层IT基础设施中实施了安全功能,并证明了其有效性。该系列中的每一篇论文都包括5G系统或其支持基础设施中可用的单个技术网络安全或隐私支持能力的实施指南和测试台得出的实施结果。作为NCCoE项目的一部分,每项功能都已在NCCoE 5G网络安全测试平台上实施,每份白皮书都反映了实施及其测试的结果。
2. 读者
本系列面向技术、安全和隐私项目经理,他们关心如何识别、理解、评估和减轻5G网络的网络安全和隐私风险。这些信息针对三种类型的组织:
l潜在的私有5G网络运营商。私有5G网络有望成为现实,例如在大学和大公司。任何考虑部署和运营自己的5G网络的组织都需要使用基于风险的方法来管理其安全性。本系列将解释一系列安全功能以及每种功能有助于减轻的风险,这将为组织的风险管理提供有价值的信息。
l商业移动网络运营商。本系列将让商业移动网络运营商更好地了解其供应商提供的系统中已有的云安全功能。这些安全功能超出了5G标准目前的规定,目前可以提供补充保护。随着运营转向商品平台和软件,以及移动网络技术与IT的融合,这一点变得越来越重要。
l使用和管理5G技术的组织。在组织采用5G技术之前,他们应该就其使用、管理和维护做出网络安全风险管理决策。
本系列中的信息应有助于为这些决策提供信息。
本系列可能对5G相关标准工作的参与者(例如,来自标准制定组织)有所帮助,他们希望找出标准中的差距,为未来的工作提供信息。想要建立5G网络安全研究试验台的网络安全研究人员也可能会发现本系列作为参考很有用。
所有读者都应该已经了解5G的基本概念;关于5G基础知识,有许多可用的资源,包括来自GSM协会(GSMA)的资源。读者还应该熟悉基本的网络安全概念。无需事先了解5G特定的安全性或信任的硬件根源。
5. 5G网络安全和隐私挑战
用于宽带蜂窝网络的5G技术将显著改善人类和机器在物理和虚拟世界中的通信、操作和交互方式。5G提供了更高的带宽和容量以及低延迟。然而,技术、网络安全和隐私领域的专业人员面临着保护这项技术的问题,而其开发、部署和使用仍在不断发展。随着5G的发展,功能同时在标准机构中得到规定,由设备供应商实施,网络运营商部署并被消费者采用。
目前的标准开发主要侧重于5G组件之间基于标准的可互操作接口的安全性。5G标准没有规定在支持和操作5G系统的底层IT组件上部署的网络安全或隐私保护,标准确实定义的安全控制留给实施和部署决策。这种缺乏规范的情况增加了计划利用5G的组织的复杂性。他们面临的挑战是确定5G可以提供哪些网络安全和隐私功能,如何部署这些功能,以及可能需要实施哪些补充功能来保护数据和通信。
NIST CSWP 36A
1. 摘要
本白皮书描述了如何在5G网络中启用订阅隐藏标识符(SUCI)保护。5G标准将SUCI保护定义为运营商部署的可选安全功能。虽然它是可选的,但它为订阅用户标识符提供了重要的安全和隐私保护。通过在5G网络和用户SIM卡上启用SUCI,并将SUCI配置为使用非空加密密码方案,5G网络运营商可以为客户提供SUCI保护的优势。网络运营商应仔细评估不启用此关键功能的风险。本白皮书是名为“应用5G网络安全和隐私能力”的系列的一部分,该系列涵盖了在国家网络安全卓越中心(NCCoE)的5G网络安全测试台上演示和验证的5G网络安全和隐私支持能力。
2.读者
参与使用、管理或提供5G服务和产品的技术、网络安全和隐私专业人员。这包括潜在的私有5G网络运营商、商业移动网络运营商和最终用户组织。读者应该已经熟悉了移动网络架构和组件的基础知识
5. 概述
5G网络不会通过用户的名字来联系用户;相反,用户由他们的订阅信息管理,通常被称为订阅者。网络使用称为订阅永久标识符(SUPI)的永久标识符,该标识符与每个用户的订阅相关联。SUPI被写入用户身份模块(SIM),该模块被实现为物理通用集成电路卡(UICC)或嵌入式SIM(eSIM)。自3G时代以来,这些模块已经发展为支持更安全的功能,这些功能被实现为通用用户身份模块(USIM)应用程序。SUPI相当于4G的IMSI,是国际移动用户身份的缩写。
III 使用硬件安全确保5G系统平台完整性
NIST CSWP 36B
1.摘要
本白皮书提供了一个概述和一个使用硬件支持的安全功能来提供、测量、证明和执行计算平台完整性的示例,以促进对5G系统服务器基础设施的信任。它讨论了计算环境中的安全威胁,以及如何利用硬件信任根(HRoT)和远程认证来帮助减轻特定威胁。本白皮书是名为“应用5G网络安全和隐私能力”系列的一部分,该系列涵盖了作为国家网络安全卓越中心(NCCoE)5G网络安全项目一部分的5G网络安全与隐私支持能力。
2. 读者
参与使用、管理或提供5G服务和产品的技术、网络安全和隐私专业人员。这包括潜在的私有5G网络运营商、商业移动网络运营商和最终用户组织。读者应该已经熟悉了移动网络架构和组件的基础知识。
5. 概述
第三代合作伙伴计划(3GPP)标准将5G系统指定为基于服务的架构(SBA),其设计在利用微服务和容器技术的云原生技术实现时效果良好。简而言之,蜂窝系统的核心网络首次可以像可扩展和有弹性的现代云应用程序一样运行。以前,在LTE(4G)网络中,网络功能(NF)是虚拟机,而在3G之前,NF是物理专用的电信设备。现在,单个5G NF可以由在许多分布式服务器上运行的多个软件容器组成。因此,NF的操作和管理现在基本上是自动化的,依靠容器编排引擎按需扩展。
这一转变使NFs和5G核心网络能够在商用服务器上运行,而不是在专用电信设备上运行。此外,还有机会采用支持传统信息技术工作负载的云平台中现有的先进网络安全功能和技术。实施基于硬件信任根的硬件平台完整性测量和资产标签,可以为5G系统的云原生基础设施提供更坚实的基础。
5.1 面临什么问题?
数据中心威胁格局已经演变为包括许多攻击面,这些攻击面可能是寻求持久访问的攻击者的目标。随着组织越来越关注软件安全,攻击者正在向图1所示的平台堆栈的较低层推进。这迫使安全团队应对威胁操作系统(OS)以下平台固件和硬件的攻击。例如,2018年发现的一个名为LoJax的rootkit可以安装在服务器固件中,这允许它在操作系统重新启动或重新安装的情况下持续存在,并且对操作系统恶意软件扫描不可见,同时为攻击者提供对操作系统以及其上所有内容的完全访问权限。
图III-1 简化的平台堆栈
在5G环境中,这些类型的攻击可能涉及修改配置以将流量发送到未经授权的位置,获得控制5G云原生网络功能(CNF)的访问权限,窃取专有网络软件或导出用户信息。云基础设施的传统网络安全保护通常植根于固件或软件。这使得它们不足以应对这些攻击,因为基于软件和固件的保护与攻击在同一层运行。例如,如果固件可以被成功利用,那么基于该固件的安全控制很可能会以同样的方式受到损害,因此不应该被信任来检测恶意软件。固件下面需要有一个机制来帮助检测和预防这些威胁。
5G系统由运行5G环境的硬件、网络和软件组件组成。随着5G系统采用在数据中心内运行的自动化云原生应用程序,跟踪支持5G基础设施的大型系统集群中的每台服务器可能具有挑战性。因此,很难确保5G CNF在其预期的服务器上运行,以隔离和执行关键功能的运行位置。一种方法是使用标签来标记关键的CNF,以便将其配置到一组特定的专用服务器。虽然5G容器编排器中的软件标签可以实现这一点,但不能保证软件标签与正确的物理服务器相关联。在本文中,术语“平台”和“服务器”可以互换使用。
IV 临时身份的重新分配
NIST CSWP 36C
1.摘要
本白皮书是名为“应用5G网络安全和隐私能力”系列的一部分,该系列涵盖了作为国家网络安全卓越中心(NCCoE)5G网络安全项目一部分实施的5G网络安全与隐私支持能力。本白皮书描述了5G标准如何增强实施指南以保护用户身份(ID),特别是网络如何重新分配临时ID以保护用户免受攻击者的识别和定位。与前几代蜂窝系统不同,5G的新要求明确规定了何时必须重新分配(刷新)临时ID。5G网络运营商应该知道这个标准定义的安全能力是如何保护他们的用户和订户的。运营商应确保其5G技术正在刷新5G标准中描述的临时身份。
2. 读者
从事5G赋能服务与产品使用、管理或提供工作的技术、网络安全及隐私保护专业人士。此范围涵盖潜在的私有5G网络运营商、商业移动网络运营商及终端用户组织。读者应已掌握移动网络架构与组件的基础知识。
5. 概述
5G网络不会根据用户的姓名将其关联起来。相反,他们使用一个称为订阅永久标识符(SUPI)的永久标识符来管理每个订阅。SUPI被写入由用户的网络运营商提供的用户身份模块(SIM)中。运营商还将SUPI存储在运营商的订户数据库中,作为订户服务配置的一部分。当移动设备首次连接到5G网络时,它会使用其SUPI建立连接。在连接过程(技术规范中也称为“注册”)中,网络会计算出一个名为5G全球唯一临时UE标识(5G-GUTI)的临时标识符,随后将其与用户设备(UE)——即5G移动终端及其SIM卡——关联并存储其中。网络和设备之间的所有后续信令通信都利用临时ID(5G-GUTI)而不是永久ID(SUPI)。
V 非基于SUPI的寻呼
NIST CSWP 36D
1. 摘要
本白皮书概述了“基于无订阅永久标识符(SUPI)的寻呼”,这是一种保护用户免受攻击者识别和定位的5G功能。与前几代蜂窝系统不同,5G标准中的新要求通过使用临时身份(ID)而不是用于寻呼协议的SUPI来保护用户机密性,并明确定义何时必须重新分配(刷新)临时ID。鼓励使用5G技术的5G网络运营商和组织验证寻呼是否按照5G标准中的描述进行。本白皮书是名为“应用5G网络安全和隐私能力”系列的一部分,该系列涵盖了作为国家网络安全卓越中心(NCCoE)5G网络安全项目一部分实施的5G网络安全与隐私支持能力。
2.读者
参与使用、管理或提供5G服务和产品的技术、网络安全和隐私专业人员。这包括潜在的私有5G网络运营商、商业移动网络运营商和最终用户组织。读者应该已经熟悉了移动网络架构和组件的基础知识。
5. 概述
前几代蜂窝系统通常使用永久或准永久ID来寻呼用户,这使他们容易受到网络安全和隐私风险的影响。本文解释了5G网络如何通过从寻呼协议中删除订阅永久标识符(SUPI)关系来缓解这一问题。只有临时ID用于寻呼用户设备(UE),当与特定用户相关联的某些事件发生时,包括寻呼,需要重新分配临时ID。我们将这种5G标准增强称为“非基于SUPI的寻呼”。如果移动UE从5G漫游回上一代系统,这些新的保护措施可能不可用。
VI 5G网络安全设计原则
NIST CSWP 36E
1.摘要
本白皮书描述了商业和私人5G网络运营商可以用来改善网络安全和隐私的网络基础设施设计原则。这样的网络基础设施将各种类型的5G网络流量相互隔离:数据平面、控制平面和运维(O&M)流量。本白皮书是名为“应用5G网络安全和隐私能力”系列的一部分,该系列涵盖了在NIST国家网络安全卓越中心(NCCoE)5G安全测试台上演示的5G网络安全与隐私支持能力,作为NCCoE 5G网络安全项目的一部分。
2.读者
参与使用、管理或提供5G服务和产品的技术、网络安全和隐私专业人员。这包括商业移动网络运营商、潜在的私有5G网络运营商和最终用户组织。读者应该已经熟悉了移动网络架构和组件的基础知识。
5. 概述
5G旨在使用在云原生技术上利用微服务和容器实现基于服务的架构(SBA)。单个5G网络功能(NF)可以由在许多分布式服务器上运行的多个容器组成。5G NF通过网络基础设施相互通信,包括运营商级路由器和交换机。5G无线接入网络(RAN)组件在分散的地理区域内运行,同时仍需要同时连接到多种类型的5G流量。
数据中心和云环境中的大多数网络流量都通过相同的物理连接流动,并由相同的网络设备处理。由于物理分离是不可行的,因此需要将5G流量与其他流量进行逻辑分离,并进一步将5G流量类型相互分离,以提高5G网络安全和隐私。
附录A关键知识补充
A.1 GSMA-确保5G移动时代的安全
A.2 N6接口
A.3 控制平面风暴
