国之重器出版工程 5G网络安全实践

本书介绍了5G网络技术架构及其面临的安全风险、5G网络安全的发展趋势、5G网络安全架构。对于5G网络的主要通信场景，本书从安全技术的角度详细讲解了5G网络端到端的工作过程和安全保护机制；在此基础上，对安全相关流程和信息给出了编解码细节。本书还对5G网络的新业务场景，包括物联网、网络切片、边缘计算等给出了安全风险分析和安全防护建议。5G网络安全需要新的安全支撑手段，本书给出了这方面的多个解决方案。
本书适合需要进一步了解5G网络安全技术的网络工程技术人员阅读，也可作为高等院校相关专业本科生、研究生的参考书，还可作为读者了解和学习5G网络安全知识及开发5G网络应用的参考书。

黄昭文
高 级工程师、博士，毕业于华南理工大学，中国移动广东公司业务与系统支撑工程师，主要从事移动通信网络运行维护、端到端质量优化、网络安全管理、网管系统开发和新技术的研究应用等工作，先后支撑2G/3G/4G移动通信网络的建设运营，移动数据网、移动互联网业务和系统的集中管理维护，自主研发2G/3G/4G/5G网络信令与协议分析系统，为通信网络稳定运行、质量优化、智能管道及大数据技术应用提供有力支撑。

第1章 5G网络安全风险与应对措施\t001
1．1 5G网络技术基础\t002
1．2 5G网络安全形势\t004
1．3 5G网络安全威胁\t004
1．3．1 网络安全威胁分类\t005
1．3．2 安全威胁的主要来源\t006
1．3．3 通信网络的安全风险评估\t007
1．4 5G网络安全技术的发展\t009
1．4．1 5G网络的安全需求\t009
1．4．2 5G网络的总体安全原则\t010
1．4．3 5G网络的认证能力要求\t011
1．4．4 5G网络的授权能力要求\t011
1．4．5 5G网络的身份管理\t011
1．4．6 5G网络监管\t012
1．4．7 欺诈保护\t012
1．4．8 5G安全功能的资源效率\t013
1．4．9 数据安全和隐私\t013
1．4．10 5G系统的安全功能\t013
1．4．11 5G主要场景的网络安全\t014
第2章 5G网络安全体系\t015
2．1 5G网络架构概述\t016
2．1．1 5G网络协议\t016
2．1．2 5G网络功能\t025
2．1．3 5G网络身份标识\t039
2．1．4 5G的用户身份保护方案\t042
2．2 5G网络安全关键技术\t044
2．2．1 5G安全架构与安全域\t044
2．2．2 5G网络的主要安全功能网元\t045
2．2．3 5G网络的安全功能特性\t048
2．2．4 5G网络中的安全上下文\t049
2．2．5 5G的密钥体系\t050
2．3 5G网络安全算法\t053
2．3．1 安全算法工作机制\t053
2．3．2 机密性算法\t055
2．3．3 完整性算法\t056
2．3．4 SNOW 3G算法\t057
2．3．5 AES算法\t057
2．3．6 ZUC算法\t058
2．4 5G网络安全认证过程\t058
2．4．1 主认证和密钥协商过程\t060
2．4．2 EAP-AKA(认证过程\t062
2．4．3 5G AKA认证过程\t067
2．5 SA模式下NAS层安全机制\t073
2．5．1 NAS安全机制的目标\t073
2．5．2 NAS完整性机制\t073
2．5．3 NAS机密性机制\t074
2．5．4 初始NAS消息的保护\t074
2．5．5 多个NAS连接的安全性\t077
2．5．6 关于5G NAS安全上下文的处理\t078
2．5．7 密钥集标识符ngKSI\t078
2．5．8 5G NAS安全上下文的维护\t079
2．5．9 建立NAS消息的安全模式\t081
2．5．10 NAS Count计数器的管理\t081
2．5．11 NAS信令消息的完整性保护\t082
2．5．12 NAS信令消息的机密性保护\t085
2．6 NSA模式下的NAS消息安全保护机制\t086
2．6．1 EPS安全上下文的处理\t086
2．6．2 密钥集标识符eKSI\t087
2．6．3 EPS安全上下文的维护\t087
2．6．4 建立NAS消息的安全模式\t088
2．6．5 NAS COUNT和NAS序列号的处理\t089
2．6．6 重放保护\t090
2．6．7 基于NAS COUNT的完整性保护和验证\t090
2．6．8 NAS信令消息的完整性保护\t091
2．6．9 NAS信令消息的加密\t094
2．7 接入层的RRC安全机制\t095
2．7．1 RRC层的安全保护机制\t096
2．7．2 RRC完整性保护机制\t096
2．7．3 RRC机密性机制\t096
2．8 接入层PDCP的安全保护机制\t096
2．8．1 PDCP加密和解密\t098
2．8．2 PDCP完整性保护和验证\t098
2．9 用户面的安全机制\t099
2．9．1 用户面的安全保护策略\t099
2．9．2 用户面的安全激活实施步骤\t102
2．9．3 接入层的用户面保密机制\t102
2．9．4 接入层的用户面完整性机制\t102
2．9．5 非接入层的用户面安全保护\t103
2．10 状态转换安全机制\t104
2．10．1 从RM-DEREGISTERED到RM-REGISTERED状态的
转换\t104
2．10．2 从RM-REGISTERED到RM-DEREGISTERED状态的
转换\t106
2．10．3 从CM-IDLE到CM-CONNECTED状态的转换\t107
2．10．4 从CM-CONNECTED到CM-IDLE状态的转换\t107
2．10．5 从RRC_INACTIVE到RRC_CONNECTED状态的转换\t108
2．10．6 从RRC_CONNECTED到RRC_INACTIVE状态的转换\t110
2．11 双连接安全机制\t111
2．11．1 建立安全上下文\t111
2．11．2 对于用户面的完整性保护\t112
2．11．3 对于用户面的机密性保护\t112
2．12 基于服务的安全鉴权接口\t113
第3章 5G网络采用的基础安全技术\t115
3．1 EAP\t116
3．2 AKA\t119
3．3 TLS\t120
3．4 EAP-AKA\t121
3．5 EAP-AKA(\t122
3．6 EAP-TLS\t124
3．7 OAuth\t125
3．8 IKE\t127
3．9 IPSec\t129
3．10 JWE\t130
3．11 HTTP摘要AKA\t130
3．12 NDS/IP\t131
3．13 通用安全协议用例\t132
3．13．1 IPSec的部署与测试\t132
3．13．2 TLS/HTTPs交互过程\t140
第4章 IT网络安全防护\t145
4．1 IT基础设施安全工作内容\t146
4．2 5G网络中的IT设施安全防护\t147
4．3 IT主机安全加固步骤\t147
4．4 常用IT网络安全工具\t152
4．4．1 tcpdump\t152
4．4．2 wireshark/tshark\t153
4．4．3 nmap\t153
4．4．4 BurpSuite\t156
第5章 5G SA模式下接入的安全过程\t159
5．1 UE接入SA网络前的准备\t161
5．2 建立SA模式RRC连接\t162
5．3 AMF向UE获取身份信息\t166
5．4 SA模式认证和密钥协商过程\t172
5．5 AMF和UE之间鉴权消息交互\t174
5．6 SA模式下NAS安全模式控制机制\t176
5．7 AMF与UE之间的安全模式控制消息交互\t181
5．8 建立UE的网络上下文\t184
5．9 建立PDU会话\t192
5．10 SA模式下的安全增强\t197
第6章 5G NSA模式下接入的安全过程\t199
6．1 UE接入NSA网络前的准备\t201
6．2 建立NSA模式RRC连接\t202
6．3 NSA模式的认证和密钥协商过程\t207
6．4 MME与UE之间的鉴权信息交互\t208
6．5 NSA模式下NAS安全模式控制机制\t210
6．6 MME与UE之间的安全模式控制信息交互\t211
6．7 建立UE的网络上下文\t212
6．8 UE加入5G NR节点\t214
第7章 5G接入网的网络安全\t217
7．1 5G接入网的网络安全风险\t218
7．2 5G接入网的网络安全防护\t219
第8章 5G核心网的网络安全\t233
8．1 5G核心网的网络安全风险\t234
8．2 5G核心网的网络安全防护\t235
8．2．1 对5G核心网体系结构的安全要求\t236
8．2．2 对端到端核心网互联的安全要求\t237

第9章 5G承载网网络安全\t239
9．1 5G承载网的网络安全风险\t240
9．2 5G承载网的网络安全防护\t241
第10章 5G网络云安全\t243
10．1 5G网络云平台的安全风险\t244
10．2 网络功能虚拟化的安全需求\t245
10．3 网络云平台基础设施的安全分析\t246
10．4 网络云平台应用程序安全分析\t248
10．5 5G网络云平台的安全防护\t250
10．6 5G和人工智能安全风险及应对措施\t251
第11章 5G终端安全\t253
11．1 5G终端的网络安全风险\t254
11．2 面向终端消息的网络安全防护\t255
第12章 物联网业务安全\t257
12．1 物联网安全风险分析\t258
12．2 物联网通信机制的安全优化\t259
12．3 物联网应用开发的安全防护\t260
12．4 适用于物联网的GBA安全认证\t261
12．4．1 物联网设备的鉴权挑战\t261
12．4．2 GBA的体系架构\t262
12．4．3 GBA的业务流程\t264
第13章 网络切片业务安全\t269
13．1 网络切片的工作原理\t270
13．2 网络切片的管理流程\t271
13．2．1 网络切片的操作过程\t271
13．2．2 网络切片的描述信息\t272
13．2．3 切片管理服务的认证与授权\t273
13．3 网络切片的安全风险及应对措施\t273
13．4 接入过程中的网络切片特定认证和授权\t275
第14章 边缘计算安全\t279
14．1 边缘计算的工作原理\t280
14．2 边缘计算的安全防护\t281
第15章 5G网络安全即服务\t283
15．1 安全即服务的业务模型\t284
15．2 安全即服务的产品形态\t285
15．3 5G网络DPI系统\t287
15．4 5G网络安全能力开放的关键技术分析\t288
第16章 支持虚拟化的嵌入式网络安全NFV\t291
16．1 虚拟化环境下的网络安全技术和解决方案\t292
16．2 嵌入式网络安全NFV的功能与工作流程\t293
第17章 5G终端安全检测系统\t295
17．1 手机终端的安全风险\t296
17．2 手机终端安全性自动化测试环境\t296
17．3 无线接入环境\t298
第18章 面向5G网络的安全防护系统\t301
18．1 面向5G网络的安全支撑的现状与需求\t302
18．2 5G端到端安全保障体系\t303
18．2．1 安全接入层\t304
18．2．2 安全能力层\t310
18．2．3 安全应用层\t311
18．3 5G端到端安全保障体系的应用\t312
附录Ⅰ 基于SBI的5GC网络安全接口\t315
附录Ⅱ EAP支持的类型\t325
参考文献\t329
缩略语\t331