51学通信

深度解析 3GPP TS 33.501:5.1 General security requirements (通用安全需求)

23分钟阅读

深度解析 3GPP TS 33.501:5.1 General security requirements (通用安全需求)

本文技术原理深度参考了3GPP TS 33.501 V18.9.0 (2025-03) Release 18规范中,关于“5.1 General security requirements”的核心章节,旨在为读者深度剖析构建整个5G安全体系的 foundational principles(基础性原则)。

在前面的文章中,我们已经对TS 33.501规范进行了宏观的概览,并解读了其前言、范围和核心定义。我们已经了解,这部规范是5G安全的“宪法”。那么,任何一部宪法的核心,都是其开宗明义的“基本原则”条款。今天,我们将深入解读规范的 5.1节——通用安全需求,这正是5G安全的“基本原则”。

这一节的内容虽然文字不多,但字字珠玑,它所定义的每一项需求,都像一颗钉子,牢牢地将5G安全大厦的框架固定在地基之上。后续所有复杂的认证流程、密钥派生和移动性安全管理,都是为了实现这些基本原则而设计的。

我们的主角“安安”又将开始新的一天。从她按下手机电源键的那一刻起,她的设备与网络之间的一系列互动,都将被这些通用安全需求所约束和塑造。让我们跟随安安开机的过程,来逐条解构这些构成5G安全灵魂的准则。

1. 5.1.1 降级攻击的缓解 (Mitigation of bidding down attacks) - 杜绝“将就”,坚持最高标准

安安的新5G手机支持最新的、最强的加密算法,我们称之为“钻石级”防护。运营商的网络也同样支持。然而,一个潜在的风险是,一个恶意的“中间人”可能会欺骗手机和网络,让它们误以为对方只支持低级别的“青铜级”防护,从而迫使它们“降级”通信,为攻击者创造可乘之机。这就是降级攻击(bidding down attack)。

An attacker could attempt a bidding down attack by making the UE and the network entities respectively believe that the other side does not support a security feature, even when both sides in fact support that security feature. It shall be ensured that a bidding down attack, in the above sense, can be prevented.

规范的第一条通用需求就明确规定:必须防止这种降级攻击。这不仅仅是针对加密算法,而是针对任何安全特性。比如,攻击者可能试图欺骗网络,让它以为安安的手机不支持完整性保护,从而关闭对某些信令的保护。

5.G系统如何实现这一点?

其核心思想是:对“能力协商”本身进行保护

场景代入

  1. 安安的手机开机后,在初始的注册请求消息中,会向网络声明自己的“安全能力集”,就像是在说:“我支持钻石、黄金、白银、青铜所有级别的防护。”
  2. 一个潜伏在空中的攻击者“小黑”截获了这个消息,并篡改为:“我只支持青铜级防护”,然后转发给网络。
  3. 网络侧AMF看到这个被篡改的消息后,如果按此协商,就会选择“青铜级”防护。
  4. 为了防止这种情况,5G的安全模式控制(SMC)流程中包含了一个关键步骤:AMF在决定了要使用的安全算法后,会把UE原始的安全能力集(AMF在认证过程中已从UE获取并存储)和它选择的算法一起,完整性保护后发回给UE。
  5. 安安的手机收到这个消息后,首先会验证消息的完整性,确保没有被篡改。然后,它会检查消息中包含的“安全能力集”是否和自己原始发送的完全一致。
  6. 如果不一致(例如,手机发现自己声明的“钻石级”能力在网络的回显中消失了),手机就会判定遭遇了降级攻击,并立即中止这个流程,拒绝接入网络。

通过这种“回声检验”机制,5G确保了安全能力的协商过程是透明且不可篡改的,从根本上杜绝了降级攻击的发生。这体现了5G安全“毫不妥协”的设计哲学。

2. 5.1.2 认证与授权 (Authentication and Authorization) - 盘查身份与授予权限的艺术

这是5.1节的核心,它构建了5G网络信任体系的完整逻辑链条。当安安的手机尝试接入网络时,一场复杂而严谨的“身份与权限”的盘问正在进行。

The 5G system shall satisfy the following requirements.

规范要求5G系统必须满足以下一系列环环相扣的认证与授权需求:

2.1 用户订阅认证 (Subscription authentication)

The serving network shall authenticate the Subscription Permanent Identifier (SUPI) in the process of authentication and key agreement between UE and network.

这是最基础的一步:服务网络(安安当前连接的运营商网络)必须验证她的订阅身份(SUPI)是合法的。这是“我是不是我”的问题。这个过程通过UE的USIM卡和网络侧的AUSF/UDM之间基于预共享密钥的密码学挑战-应答来完成,也就是我们熟知的AKA(Authentication and Key Agreement)流程。

场景代入:安安的手机向网络出示了它的“护照”(SUCI)。网络通过一系列复杂的“暗号问答”(AKA流程)来确认这本护照以及持有护照的人是真实有效的。这个过程的核心是验证护照背后独一无二的SUPI。

2.2 服务网络认证 (Serving network authentication)

The UE shall authenticate the serving network identifier through implicit key authentication.

认证是双向的。不仅网络要认证UE,UE也必须能认证它所连接的网络是合法的,而非伪基站。这是“你是不是你”的问题。有趣的是,规范在这里明确了认证方式是“隐式密钥认证”(implicit key authentication)。

这意味着,网络不会像UE一样主动出示一个“身份证明”。它的合法性是通过后续行为来证明的。只有合法的网络,才能在AKA流程中从归属网络(HPLMN)的AUSF那里获取正确的密钥材料,并最终与UE派生出相同的会话密钥。如果后续建立加密信道、传输加密数据的过程一切顺利,就反向证明了这个网络从一开始就拥有正确的“钥匙”,因此它是一个合法的网络。

场景代入:安安在完成“护照检查”后,检查官(网络)给了她一个今日的“通行口令”(会话密钥)。随后,引导她前往下一个房间的向导(网络后续的信令交互)正确地说出了这个口令。安安的手机由此确认,整个服务流程都是由合法的内部人员提供的,自己没有被骗进一个“冒牌”的网络。

2.3 UE授权 (UE authorization)

The serving network shall authorize the UE through the subscription profile obtained from the home network. UE authorization is based on the authenticated SUPI.

认证(Authentication)和授权(Authorization)是两个紧密相连但截然不同的概念。认证解决“你是谁”,而授权解决“你能做什么”。

一旦安安的SUPI被成功认证,服务网络的AMF就会从归属网络的UDM中获取安安的签约档案(Subscription Profile)。这份档案详细记录了她购买的套餐内容:是否开通了高清语音(VoLTE)、是否购买了每月200GB的流量包、是否订阅了低时延游戏切片服务等。AMF会根据这份档案,为安安开放相应的网络资源和服务。

场景代入:网络确认了安安的合法用户身份后,马上查询她的“会员等级”。发现她是“钻石会员”,于是为她开放了所有她已付费的服务权限,如高速上网通道、VIP语音服务等。如果一个普通用户,即使认证通过,也无法享受这些钻石会员的专属服务。

2.4 服务网络授权 (Serving network authorization by the home network)

Assurance shall be provided to the UE that it is connected to a serving network that is authorized by the home network to provide services to the UE. This authorization is ‘implicit’ in the sense that it is implied by a successful authentication and key agreement run.

这一条需求主要针对漫游场景。它要求安安的归属网络(例如中国移动)必须有一种机制,确保只有那些与自己签订了合法漫游协议的海外运营商(例如日本NTT DoCoMo),才能获得用于认证安安的敏感安全信息(如认证向量)。

这个授权也是“隐式”的。因为如果一个非法的海外运营商向中国移动请求认证安安,中国移动会直接拒绝,根本不会启动后续的AKA流程。因此,只要AKA流程能够成功启动并完成,就隐式地证明了安安当前所连接的这个服务网络是经过她归属网络授权的。

场景代入:安安在日本漫游。日本的运营商向中国移动请求认证安安。中国移动先查了一下“外交关系”(漫游协议),发现和这家运营商是合作伙伴,于是同意了请求。如果是一个没有任何协议的“野鸡”运营商发来请求,中国移动会直接置之不理。

2.5 接入网络授权及紧急服务 (Access network authorization & Unauthenticated Emergency Services)

  • 接入网络授权:同样是隐式的,指的是AMF授权基站(gNB)为UE提供服务,这是通过AMF向gNB下发包含密钥的安全上下文来实现的。
  • 无认证紧急服务:为了满足全球各地的法规要求,5G系统必须支持在没有SIM卡或认证失败的情况下也能拨打紧急电话。此时,系统将使用特殊的“空”加密和完整性算法(NEA0/NIA0),在不进行认证的情况下建立紧急呼叫,体现了生命安全优先的设计原则。

3. 5.1.3 密钥相关需求 (Requirements on 5GC and NG-RAN related to keys) - 奠定密码学基础

最后,5.1节对整个系统的密码学基础——密钥,提出了明确的要求。

The 5GC and NG-RAN shall allow for use of encryption and integrity protection algorithms for AS and NAS protection having keys of length 128 bits. The network interfaces shall support the transport of 256 bit keys. The keys used for UP, NAS and AS protection shall be dependent on the algorithm with which they are used.

这里包含三个关键点:

  1. 密钥长度标准:所有用于保护空口(AS)和核心网信令(NAS)的对称密钥,长度必须是128位。128位AES是当前全球公认的商业级强加密标准,能够有效抵抗所有已知的暴力破解攻击。

  2. 前瞻性设计:网络设备之间的接口(如AMF和gNB之间的N2接口)必须具备传输256位密钥的能力。这是一种重要的未来规划。随着计算技术的发展,尤其是量子计算的威胁,未来可能需要升级到256位甚至更长的密钥。规范提前要求“路要修得足够宽”,以便未来“更长的车(密钥)”能够顺利通过,避免了届时对底层传输网络的颠覆性改造。

  3. 算法与密钥绑定:用于不同算法(如加密算法NEA2和完整性算法NIA2)的密钥必须是独立的,即使它们派生自同一个父密钥。这可以防止跨算法的攻击,例如通过分析一个算法的行为来推断用于另一个算法的密钥。

场景代入:安安家的门锁(AS/NAS保护)使用的是一把非常复杂的128齿的钥匙,小偷无法破解。而负责运输这把钥匙的安保公司(网络接口),他们的保险箱(传输协议)设计得更大,可以装下256齿的钥匙,为将来社区安防升级做好了准备。同时,安安的大门钥匙和她保险柜的钥匙是两把不同的钥匙,虽然都是由物业(AMF)根据她的房号(KAMF)制作的,但不能混用。

4. 总结

第五章的5.1节,用精炼的语言,为5G安全体系立下了三大基石:

  1. 稳健性:通过强制性的防降级攻击机制,确保安全体系不会被“欺骗”而在低水平上运行。
  2. 信任链:构建了一个从UE到服务网络、再到归属网络,并贯穿认证与授权全过程的、完整且闭环的信任模型。
  3. 密码学强度:明确了以128位密钥为当前标准、256位为未来演进方向的强大密码学基础。

这三大原则,如同三根擎天之柱,支撑起了整个5G安全的大厦。它们是理解后续所有具体安全流程和机制的“第一性原理”。当我们理解了“为什么”要有这些原则,就能更好地理解后续章节中那些复杂的“如何”实现。

在下一篇文章中,我们将聚焦5.2节,深入探讨作为5G安全体系重要一环的终端设备(UE),即安安的手机,具体需要满足哪些细致入微的安全需求。

FAQ

Q1:为什么防降级攻击如此重要,以至于被放在通用安全需求的第一条? A1:因为它关乎安全承诺的兑现。用户选择5G,部分原因就是相信其宣称的高安全性。如果攻击者可以轻易地通过降级攻击,迫使通信在用户和运营商都不知情的情况下,使用一个过时或脆弱的安全等级,那么所有更高级别的安全设计都形同虚设。将它放在首位,体现了3GPP对“安全承诺必须得到技术保障”这一原则的高度重视。

Q2:对于普通用户来说,“隐式网络认证”相比4G的认证机制,安全性是更高还是更低? A2:安全性更高。在4G及之前的系统中,网络认证相对较弱,使得伪基站攻击较为普遍。5G的隐式网络认证机制,核心是基于在归属网络(HPLMN)严格控制下的密钥协商。伪基站无法获取合法的密钥材料,因此在认证的后续步骤(如建立安全模式)中必然会失败,或者无法与UE进行正常的加密通信。UE一旦发现异常,就会拒绝接入。这种机制虽然是“隐式”的,但由于其深深植根于强大的AKA密码学流程,所以比以往任何一代都更加可靠。

Q3:5G要求网络接口支持256位密钥,这是否意味着我现在的5G通信就是256位加密的? A3:不一定。规范要求的是传输能力,而非当前实现。目前,用于保护您手机通信(AS和NAS层)的密钥长度是128位,这已经足够安全。要求网络接口(如基站和核心网之间)支持传输256位密钥,是一种面向未来的设计。它确保了当未来需要将空口加密标准提升到256位时,网络的“信息高速公路”已经准备就绪,可以顺畅地承载和分发这些更长的密钥,而不需要对底层网络设备进行大规模的硬件更换。

Q4:既然有认证(Authentication),为什么还需要单独强调授权(Authorization)? A4:这是两个不同维度但缺一不可的安全概念。认证解决的是“你是谁”的身份问题,而授权解决的是“你能做什么”的权限问题。在一个复杂的系统中,仅仅确认身份是远远不够的。例如,在一个公司里,CEO和普通员工都是合法的、经过认证的员工,但他们对公司资源的访问权限(授权)天差地别。在5G网络中也是如此,认证通过后,网络必须根据您的签约信息(授权)来提供相应的服务,防止资源滥用和越权访问。

Q5:安全实体SEAF和AUSF为什么要分开部署在服务网络和归属网络? A5:这是为了同时实现高效处理最高级别的安全

  • 高效处理:SEAF位于服务网络(VPLMN)的AMF中,离UE最近。它可以快速处理UE的接入请求、移动性管理等绝大部分信令交互,减少了跨国/跨网通信的延迟。
  • 最高安全:用户的核心安全凭证——长期密钥K,以及最核心的认证决策逻辑,必须绝对安全。将它们集中存放在归属网络(HPLMN)的AUSF和UDM中,由用户签约的运营商直接掌控,可以最大限度地减少密钥暴露的风险。这种“前线(SEAF)处理业务,后方(AUSF)掌管核心安全”的模式,是移动通信网络漫游安全设计的经典架构。

关系图谱