第1章 5G网络安全风险与应对措施 001
1.1 5G网络技术基础 002
1.2 5G网络安全形势 004
1.3 5G网络安全威胁 004
1.3.1 网络安全威胁分类 005
1.3.2 安全威胁的主要来源 006
1.3.3 通信网络的安全风险评估 007
1.4 5G网络安全技术的发展 009
1.4.1 5G网络的安全需求 009
1.4.2 5G网络的总体安全原则 010
1.4.3 5G网络的认证能力要求 011
1.4.4 5G网络的授权能力要求 011
1.4.5 5G网络的身份管理 011
1.4.6 5G网络监管 012
1.4.7 欺诈保护 012
1.4.8 5G安全功能的资源效率 013
1.4.9 数据安全和隐私 013
1.4.10 5G系统的安全功能 013
1.4.11 5G主要场景的网络安全 014
第2章 5G网络安全体系 015
2.1 5G网络架构概述 016
2.1.1 5G网络协议 016
2.1.2 5G网络功能 025
2.1.3 5G网络身份标识 039
2.1.4 5G的用户身份保护方案 042
2.2 5G网络安全关键技术 044
2.2.1 5G安全架构与安全域 044
2.2.2 5G网络的主要安全功能网元 045
2.2.3 5G网络的安全功能特性 048
2.2.4 5G网络中的安全上下文 049
2.2.5 5G的密钥体系 050
2.3 5G网络安全算法 053
2.3.1 安全算法工作机制 053
2.3.2 机密性算法 055
2.3.3 完整性算法 056
2.3.4 SNOW 3G算法 057
2.3.5 AES算法 057
2.3.6 ZUC算法 058
2.4 5G网络安全认证过程 058
2.4.1 主认证和密钥协商过程 060
2.4.2 EAP-AKA(认证过程 062
2.4.3 5G AKA认证过程 067
2.5 SA模式下NAS层安全机制 073
2.5.1 NAS安全机制的目标 073
2.5.2 NAS完整性机制 073
2.5.3 NAS机密性机制 074
2.5.4 初始NAS消息的保护 074
2.5.5 多个NAS连接的安全性 077
2.5.6 关于5G NAS安全上下文的处理 078
2.5.7 密钥集标识符ngKSI 078
2.5.8 5G NAS安全上下文的维护 079
2.5.9 建立NAS消息的安全模式 081
2.5.10 NAS Count计数器的管理 081
2.5.11 NAS信令消息的完整性保护 082
2.5.12 NAS信令消息的机密性保护 085
2.6 NSA模式下的NAS消息安全保护机制 086
2.6.1 EPS安全上下文的处理 086
2.6.2 密钥集标识符eKSI 087
2.6.3 EPS安全上下文的维护 087
2.6.4 建立NAS消息的安全模式 088
2.6.5 NAS COUNT和NAS序列号的处理 089
2.6.6 重放保护 090
2.6.7 基于NAS COUNT的完整性保护和验证 090
2.6.8 NAS信令消息的完整性保护 091
2.6.9 NAS信令消息的加密 094
2.7 接入层的RRC安全机制 095
2.7.1 RRC层的安全保护机制 096
2.7.2 RRC完整性保护机制 096
2.7.3 RRC机密性机制 096
2.8 接入层PDCP的安全保护机制 096
2.8.1 PDCP加密和解密 098
2.8.2 PDCP完整性保护和验证 098
2.9 用户面的安全机制 099
2.9.1 用户面的安全保护策略 099
2.9.2 用户面的安全激活实施步骤 102
2.9.3 接入层的用户面保密机制 102
2.9.4 接入层的用户面完整性机制 102
2.9.5 非接入层的用户面安全保护 103
2.10 状态转换安全机制 104
2.10.1 从RM-DEREGISTERED到RM-REGISTERED状态的
转换 104
2.10.2 从RM-REGISTERED到RM-DEREGISTERED状态的
转换 106
2.10.3 从CM-IDLE到CM-CONNECTED状态的转换 107
2.10.4 从CM-CONNECTED到CM-IDLE状态的转换 107
2.10.5 从RRC_INACTIVE到RRC_CONNECTED状态的转换 108
2.10.6 从RRC_CONNECTED到RRC_INACTIVE状态的转换 110
2.11 双连接安全机制 111
2.11.1 建立安全上下文 111
2.11.2 对于用户面的完整性保护 112
2.11.3 对于用户面的机密性保护 112
2.12 基于服务的安全鉴权接口 113
第3章 5G网络采用的基础安全技术 115
3.1 EAP 116
3.2 AKA 119
3.3 TLS 120
3.4 EAP-AKA 121
3.5 EAP-AKA( 122
3.6 EAP-TLS 124
3.7 OAuth 125
3.8 IKE 127
3.9 IPSec 129
3.10 JWE 130
3.11 HTTP摘要AKA 130
3.12 NDS/IP 131
3.13 通用安全协议用例 132
3.13.1 IPSec的部署与测试 132
3.13.2 TLS/HTTPs交互过程 140
第4章 IT网络安全防护 145
4.1 IT基础设施安全工作内容 146
4.2 5G网络中的IT设施安全防护 147
4.3 IT主机安全加固步骤 147
4.4 常用IT网络安全工具 152
4.4.1 tcpdump 152
4.4.2 wireshark/tshark 153
4.4.3 nmap 153
4.4.4 BurpSuite 156
第5章 5G SA模式下接入的安全过程 159
5.1 UE接入SA网络前的准备 161
5.2 建立SA模式RRC连接 162
5.3 AMF向UE获取身份信息 166
5.4 SA模式认证和密钥协商过程 172
5.5 AMF和UE之间鉴权消息交互 174
5.6 SA模式下NAS安全模式控制机制 176
5.7 AMF与UE之间的安全模式控制消息交互 181
5.8 建立UE的网络上下文 184
5.9 建立PDU会话 192
5.10 SA模式下的安全增强 197
第6章 5G NSA模式下接入的安全过程 199
6.1 UE接入NSA网络前的准备 201
6.2 建立NSA模式RRC连接 202
6.3 NSA模式的认证和密钥协商过程 207
6.4 MME与UE之间的鉴权信息交互 208
6.5 NSA模式下NAS安全模式控制机制 210
6.6 MME与UE之间的安全模式控制信息交互 211
6.7 建立UE的网络上下文 212
6.8 UE加入5G NR节点 214
第7章 5G接入网的网络安全 217
7.1 5G接入网的网络安全风险 218
7.2 5G接入网的网络安全防护 219
第8章 5G核心网的网络安全 233
8.1 5G核心网的网络安全风险 234
8.2 5G核心网的网络安全防护 235
8.2.1 对5G核心网体系结构的安全要求 236
8.2.2 对端到端核心网互联的安全要求 237
第9章 5G承载网网络安全 239
9.1 5G承载网的网络安全风险 240
9.2 5G承载网的网络安全防护 241
第10章 5G网络云安全 243
10.1 5G网络云平台的安全风险 244
10.2 网络功能虚拟化的安全需求 245
10.3 网络云平台基础设施的安全分析 246
10.4 网络云平台应用程序安全分析 248
10.5 5G网络云平台的安全防护 250
10.6 5G和人工智能安全风险及应对措施 251
第11章 5G终端安全 253
11.1 5G终端的网络安全风险 254
11.2 面向终端消息的网络安全防护 255
第12章 物联网业务安全 257
12.1 物联网安全风险分析 258
12.2 物联网通信机制的安全优化 259
12.3 物联网应用开发的安全防护 260
12.4 适用于物联网的GBA安全认证 261
12.4.1 物联网设备的鉴权挑战 261
12.4.2 GBA的体系架构 262
12.4.3 GBA的业务流程 264
第13章 网络切片业务安全 269
13.1 网络切片的工作原理 270
13.2 网络切片的管理流程 271
13.2.1 网络切片的操作过程 271
13.2.2 网络切片的描述信息 272
13.2.3 切片管理服务的认证与授权 273
13.3 网络切片的安全风险及应对措施 273
13.4 接入过程中的网络切片特定认证和授权 275
第14章 边缘计算安全 279
14.1 边缘计算的工作原理 280
14.2 边缘计算的安全防护 281
第15章 5G网络安全即服务 283
15.1 安全即服务的业务模型 284
15.2 安全即服务的产品形态 285
15.3 5G网络DPI系统 287
15.4 5G网络安全能力开放的关键技术分析 288
第16章 支持虚拟化的嵌入式网络安全NFV 291
16.1 虚拟化环境下的网络安全技术和解决方案 292
16.2 嵌入式网络安全NFV的功能与工作流程 293
第17章 5G终端安全检测系统 295
17.1 手机终端的安全风险 296
17.2 手机终端安全性自动化测试环境 296
17.3 无线接入环境 298
第18章 面向5G网络的安全防护系统 301
18.1 面向5G网络的安全支撑的现状与需求 302
18.2 5G端到端安全保障体系 303
18.2.1 安全接入层 304
18.2.2 安全能力层 310
18.2.3 安全应用层 311
18.3 5G端到端安全保障体系的应用 312
附录Ⅰ 基于SBI的5GC网络安全接口 315
附录Ⅱ EAP支持的类型 325
参考文献 329
缩略语 331
