5G網(wǎng)絡(luò)安全實踐

第1章 5G網(wǎng)絡(luò)安全風險與應(yīng)對措施\t001
1．1 5G網(wǎng)絡(luò)技術(shù)基礎(chǔ)\t002
1．2 5G網(wǎng)絡(luò)安全形勢\t004
1．3 5G網(wǎng)絡(luò)安全威脅\t004
1．3．1 網(wǎng)絡(luò)安全威脅分類\t005
1．3．2 安全威脅的主要來源\t006
1．3．3 通信網(wǎng)絡(luò)的安全風險評估\t007
1．4 5G網(wǎng)絡(luò)安全技術(shù)的發(fā)展\t009
1．4．1 5G網(wǎng)絡(luò)的安全需求\t009
1．4．2 5G網(wǎng)絡(luò)的總體安全原則\t010
1．4．3 5G網(wǎng)絡(luò)的認證能力要求\t011
1．4．4 5G網(wǎng)絡(luò)的授權(quán)能力要求\t011
1．4．5 5G網(wǎng)絡(luò)的身份管理\t011
1．4．6 5G網(wǎng)絡(luò)監(jiān)管\t012
1．4．7 欺詐保護\t012
1．4．8 5G安全功能的資源效率\t013
1．4．9 數(shù)據(jù)安全和隱私\t013
1．4．10 5G系統(tǒng)的安全功能\t013
1．4．11 5G主要場景的網(wǎng)絡(luò)安全\t014
第2章 5G網(wǎng)絡(luò)安全體系\t015
2．1 5G網(wǎng)絡(luò)架構(gòu)概述\t016
2．1．1 5G網(wǎng)絡(luò)協(xié)議\t016
2．1．2 5G網(wǎng)絡(luò)功能\t025
2．1．3 5G網(wǎng)絡(luò)身份標識\t039
2．1．4 5G的用戶身份保護方案\t042
2．2 5G網(wǎng)絡(luò)安全關(guān)鍵技術(shù)\t044
2．2．1 5G安全架構(gòu)與安全域\t044
2．2．2 5G網(wǎng)絡(luò)的主要安全功能網(wǎng)元\t045
2．2．3 5G網(wǎng)絡(luò)的安全功能特性\t048
2．2．4 5G網(wǎng)絡(luò)中的安全上下文\t049
2．2．5 5G的密鑰體系\t050
2．3 5G網(wǎng)絡(luò)安全算法\t053
2．3．1 安全算法工作機制\t053
2．3．2 機密性算法\t055
2．3．3 完整性算法\t056
2．3．4 SNOW 3G算法\t057
2．3．5 AES算法\t057
2．3．6 ZUC算法\t058
2．4 5G網(wǎng)絡(luò)安全認證過程\t058
2．4．1 主認證和密鑰協(xié)商過程\t060
2．4．2 EAP-AKA(認證過程\t062
2．4．3 5G AKA認證過程\t067
2．5 SA模式下NAS層安全機制\t073
2．5．1 NAS安全機制的目標\t073
2．5．2 NAS完整性機制\t073
2．5．3 NAS機密性機制\t074
2．5．4 初始NAS消息的保護\t074
2．5．5 多個NAS連接的安全性\t077
2．5．6 關(guān)于5G NAS安全上下文的處理\t078
2．5．7 密鑰集標識符ngKSI\t078
2．5．8 5G NAS安全上下文的維護\t079
2．5．9 建立NAS消息的安全模式\t081
2．5．10 NAS Count計數(shù)器的管理\t081
2．5．11 NAS信令消息的完整性保護\t082
2．5．12 NAS信令消息的機密性保護\t085
2．6 NSA模式下的NAS消息安全保護機制\t086
2．6．1 EPS安全上下文的處理\t086
2．6．2 密鑰集標識符eKSI\t087
2．6．3 EPS安全上下文的維護\t087
2．6．4 建立NAS消息的安全模式\t088
2．6．5 NAS COUNT和NAS序列號的處理\t089
2．6．6 重放保護\t090
2．6．7 基于NAS COUNT的完整性保護和驗證\t090
2．6．8 NAS信令消息的完整性保護\t091
2．6．9 NAS信令消息的加密\t094
2．7 接入層的RRC安全機制\t095
2．7．1 RRC層的安全保護機制\t096
2．7．2 RRC完整性保護機制\t096
2．7．3 RRC機密性機制\t096
2．8 接入層PDCP的安全保護機制\t096
2．8．1 PDCP加密和解密\t098
2．8．2 PDCP完整性保護和驗證\t098
2．9 用戶面的安全機制\t099
2．9．1 用戶面的安全保護策略\t099
2．9．2 用戶面的安全激活實施步驟\t102
2．9．3 接入層的用戶面保密機制\t102
2．9．4 接入層的用戶面完整性機制\t102
2．9．5 非接入層的用戶面安全保護\t103
2．10 狀態(tài)轉(zhuǎn)換安全機制\t104
2．10．1 從RM-DEREGISTERED到RM-REGISTERED狀態(tài)的
轉(zhuǎn)換\t104
2．10．2 從RM-REGISTERED到RM-DEREGISTERED狀態(tài)的
轉(zhuǎn)換\t106
2．10．3 從CM-IDLE到CM-CONNECTED狀態(tài)的轉(zhuǎn)換\t107
2．10．4 從CM-CONNECTED到CM-IDLE狀態(tài)的轉(zhuǎn)換\t107
2．10．5 從RRC_INACTIVE到RRC_CONNECTED狀態(tài)的轉(zhuǎn)換\t108
2．10．6 從RRC_CONNECTED到RRC_INACTIVE狀態(tài)的轉(zhuǎn)換\t110
2．11 雙連接安全機制\t111
2．11．1 建立安全上下文\t111
2．11．2 對于用戶面的完整性保護\t112
2．11．3 對于用戶面的機密性保護\t112
2．12 基于服務(wù)的安全鑒權(quán)接口\t113
第3章 5G網(wǎng)絡(luò)采用的基礎(chǔ)安全技術(shù)\t115
3．1 EAP\t116
3．2 AKA\t119
3．3 TLS\t120
3．4 EAP-AKA\t121
3．5 EAP-AKA(\t122
3．6 EAP-TLS\t124
3．7 OAuth\t125
3．8 IKE\t127
3．9 IPSec\t129
3．10 JWE\t130
3．11 HTTP摘要AKA\t130
3．12 NDS/IP\t131
3．13 通用安全協(xié)議用例\t132
3．13．1 IPSec的部署與測試\t132
3．13．2 TLS/HTTPs交互過程\t140
第4章 IT網(wǎng)絡(luò)安全防護\t145
4．1 IT基礎(chǔ)設(shè)施安全工作內(nèi)容\t146
4．2 5G網(wǎng)絡(luò)中的IT設(shè)施安全防護\t147
4．3 IT主機安全加固步驟\t147
4．4 常用IT網(wǎng)絡(luò)安全工具\t152
4．4．1 tcpdump\t152
4．4．2 wireshark/tshark\t153
4．4．3 nmap\t153
4．4．4 BurpSuite\t156
第5章 5G SA模式下接入的安全過程\t159
5．1 UE接入SA網(wǎng)絡(luò)前的準備\t161
5．2 建立SA模式RRC連接\t162
5．3 AMF向UE獲取身份信息\t166
5．4 SA模式認證和密鑰協(xié)商過程\t172
5．5 AMF和UE之間鑒權(quán)消息交互\t174
5．6 SA模式下NAS安全模式控制機制\t176
5．7 AMF與UE之間的安全模式控制消息交互\t181
5．8 建立UE的網(wǎng)絡(luò)上下文\t184
5．9 建立PDU會話\t192
5．10 SA模式下的安全增強\t197
第6章 5G NSA模式下接入的安全過程\t199
6．1 UE接入NSA網(wǎng)絡(luò)前的準備\t201
6．2 建立NSA模式RRC連接\t202
6．3 NSA模式的認證和密鑰協(xié)商過程\t207
6．4 MME與UE之間的鑒權(quán)信息交互\t208
6．5 NSA模式下NAS安全模式控制機制\t210
6．6 MME與UE之間的安全模式控制信息交互\t211
6．7 建立UE的網(wǎng)絡(luò)上下文\t212
6．8 UE加入5G NR節(jié)點\t214
第7章 5G接入網(wǎng)的網(wǎng)絡(luò)安全\t217
7．1 5G接入網(wǎng)的網(wǎng)絡(luò)安全風險\t218
7．2 5G接入網(wǎng)的網(wǎng)絡(luò)安全防護\t219
第8章 5G核心網(wǎng)的網(wǎng)絡(luò)安全\t233
8．1 5G核心網(wǎng)的網(wǎng)絡(luò)安全風險\t234
8．2 5G核心網(wǎng)的網(wǎng)絡(luò)安全防護\t235
8．2．1 對5G核心網(wǎng)體系結(jié)構(gòu)的安全要求\t236
8．2．2 對端到端核心網(wǎng)互聯(lián)的安全要求\t237
第9章 5G承載網(wǎng)網(wǎng)絡(luò)安全\t239
9．1 5G承載網(wǎng)的網(wǎng)絡(luò)安全風險\t240
9．2 5G承載網(wǎng)的網(wǎng)絡(luò)安全防護\t241
第10章 5G網(wǎng)絡(luò)云安全\t243
10．1 5G網(wǎng)絡(luò)云平臺的安全風險\t244
10．2 網(wǎng)絡(luò)功能虛擬化的安全需求\t245
10．3 網(wǎng)絡(luò)云平臺基礎(chǔ)設(shè)施的安全分析\t246
10．4 網(wǎng)絡(luò)云平臺應(yīng)用程序安全分析\t248
10．5 5G網(wǎng)絡(luò)云平臺的安全防護\t250
10．6 5G和人工智能安全風險及應(yīng)對措施\t251
第11章 5G終端安全\t253
11．1 5G終端的網(wǎng)絡(luò)安全風險\t254
11．2 面向終端消息的網(wǎng)絡(luò)安全防護\t255
第12章 物聯(lián)網(wǎng)業(yè)務(wù)安全\t257
12．1 物聯(lián)網(wǎng)安全風險分析\t258
12．2 物聯(lián)網(wǎng)通信機制的安全優(yōu)化\t259
12．3 物聯(lián)網(wǎng)應(yīng)用開發(fā)的安全防護\t260
12．4 適用于物聯(lián)網(wǎng)的GBA安全認證\t261
12．4．1 物聯(lián)網(wǎng)設(shè)備的鑒權(quán)挑戰(zhàn)\t261
12．4．2 GBA的體系架構(gòu)\t262
12．4．3 GBA的業(yè)務(wù)流程\t264
第13章 網(wǎng)絡(luò)切片業(yè)務(wù)安全\t269
13．1 網(wǎng)絡(luò)切片的工作原理\t270
13．2 網(wǎng)絡(luò)切片的管理流程\t271
13．2．1 網(wǎng)絡(luò)切片的操作過程\t271
13．2．2 網(wǎng)絡(luò)切片的描述信息\t272
13．2．3 切片管理服務(wù)的認證與授權(quán)\t273
13．3 網(wǎng)絡(luò)切片的安全風險及應(yīng)對措施\t273
13．4 接入過程中的網(wǎng)絡(luò)切片特定認證和授權(quán)\t275
第14章 邊緣計算安全\t279
14．1 邊緣計算的工作原理\t280
14．2 邊緣計算的安全防護\t281
第15章 5G網(wǎng)絡(luò)安全即服務(wù)\t283
15．1 安全即服務(wù)的業(yè)務(wù)模型\t284
15．2 安全即服務(wù)的產(chǎn)品形態(tài)\t285
15．3 5G網(wǎng)絡(luò)DPI系統(tǒng)\t287
15．4 5G網(wǎng)絡(luò)安全能力開放的關(guān)鍵技術(shù)分析\t288
第16章 支持虛擬化的嵌入式網(wǎng)絡(luò)安全NFV\t291
16．1 虛擬化環(huán)境下的網(wǎng)絡(luò)安全技術(shù)和解決方案\t292
16．2 嵌入式網(wǎng)絡(luò)安全NFV的功能與工作流程\t293
第17章 5G終端安全檢測系統(tǒng)\t295
17．1 手機終端的安全風險\t296
17．2 手機終端安全性自動化測試環(huán)境\t296
17．3 無線接入環(huán)境\t298
第18章 面向5G網(wǎng)絡(luò)的安全防護系統(tǒng)\t301
18．1 面向5G網(wǎng)絡(luò)的安全支撐的現(xiàn)狀與需求\t302
18．2 5G端到端安全保障體系\t303
18．2．1 安全接入層\t304
18．2．2 安全能力層\t310
18．2．3 安全應(yīng)用層\t311
18．3 5G端到端安全保障體系的應(yīng)用\t312
附錄Ⅰ 基于SBI的5GC網(wǎng)絡(luò)安全接口\t315
附錄Ⅱ EAP支持的類型\t325
參考文獻\t329
縮略語\t331