第1章 5G網絡安全風險與應對措施\t001
1.1 5G網絡技術基礎\t002
1.2 5G網絡安全形勢\t004
1.3 5G網絡安全威脅\t004
1.3.1 網絡安全威脅分類\t005
1.3.2 安全威脅的主要來源\t006
1.3.3 通信網絡的安全風險評估\t007
1.4 5G網絡安全技術的發展\t009
1.4.1 5G網絡的安全需求\t009
1.4.2 5G網絡的總體安全原則\t010
1.4.3 5G網絡的認證能力要求\t011
1.4.4 5G網絡的授權能力要求\t011
1.4.5 5G網絡的身份管理\t011
1.4.6 5G網絡監管\t012
1.4.7 欺詐保護\t012
1.4.8 5G安全功能的資源效率\t013
1.4.9 數據安全和隱私\t013
1.4.10 5G繫統的安全功能\t013
1.4.11 5G主要場景的網絡安全\t014
第2章 5G網絡安全體繫\t015
2.1 5G網絡架構概述\t016
2.1.1 5G網絡協議\t016
2.1.2 5G網絡功能\t025
2.1.3 5G網絡身份標識\t039
2.1.4 5G的用戶身份保護方案\t042
2.2 5G網絡安全關鍵技術\t044
2.2.1 5G安全架構與安全域\t044
2.2.2 5G網絡的主要安全\t045
2.2.3 5G網絡的安全功能特性\t048
2.2.4 5G網絡中的安全上下文\t049
2.2.5 5G的密鑰體繫\t050
2.3 5G網絡安全算法\t053
2.3.1 安全算法工作機制\t053
2.3.2 機密性算法\t055
2.3.3 完整性算法\t056
2.3.4 SNOW 3G算法\t057
2.3.5 AES算法\t057
2.3.6 ZUC算法\t058
2.4 5G網絡安全認證過程\t058
2.4.1 主認證和密鑰協商過程\t060
2.4.2 EAP-AKA(認證過程\t062
2.4.3 5G AKA認證過程\t067
2.5 SA模式下NAS層安全機制\t073
2.5.1 NAS安全機制的目標\t073
2.5.2 NAS完整性機制\t073
2.5.3 NAS機密性機制\t074
2.5.4 初始NAS消息的保護\t074
2.5.5 多個NAS連接的安全性\t077
2.5.6 關於5G NAS安全上下文的處理\t078
2.5.7 密鑰集標識符ngKSI\t078
2.5.8 5G NAS安全上下文的維護\t079
2.5.9 建立NAS消息的安全模式\t081
2.5.10 NAS Count計數器的管理\t081
2.5.11 NAS信令消息的完整性保護\t082
2.5.12 NAS信令消息的機密性保護\t085
2.6 NSA模式下的NAS消息安全保護機制\t086
2.6.1 EPS安全上下文的處理\t086
2.6.2 密鑰集標識符eKSI\t087
2.6.3 EPS安全上下文的維護\t087
2.6.4 建立NAS消息的安全模式\t088
2.6.5 NAS COUNT和NAS序列號的處理\t089
2.6.6 重放保護\t090
2.6.7 基於NAS COUNT的完整性保護和驗證\t090
2.6.8 NAS信令消息的完整性保護\t091
2.6.9 NAS信令消息的加密\t094
2.7 接入層的RRC安全機制\t095
2.7.1 RRC層的安全保護機制\t096
2.7.2 RRC完整性保護機制\t096
2.7.3 RRC機密性機制\t096
2.8 接入層PDCP的安全保護機制\t096
2.8.1 PDCP加密和解密\t098
2.8.2 PDCP完整性保護和驗證\t098
2.9 用戶面的安全機制\t099
2.9.1 用戶面的安全保護策略\t099
2.9.2 用戶面的安全激活實施步驟\t102
2.9.3 接入層的用戶面保密機制\t102
2.9.4 接入層的用戶面完整性機制\t102
2.9.5 非接入層的用戶面安全保護\t103
2.10 狀態轉換安全機制\t104
2.10.1 從RM-DEREGISTERED到RM-REGISTERED狀態的
轉換\t104
2.10.2 從RM-REGISTERED到RM-DEREGISTERED狀態的
轉換\t106
2.10.3 從CM-IDLE到CM-CONNECTED狀態的轉換\t107
2.10.4 從CM-CONNECTED到CM-IDLE狀態的轉換\t107
2.10.5 從RRC_INACTIVE到RRC_CONNECTED狀態的轉換\t108
2.10.6 從RRC_CONNECTED到RRC_INACTIVE狀態的轉換\t110
2.11 雙連接安全機制\t111
2.11.1 建立安全上下文\t111
2.11.2 對於用戶面的完整性保護\t112
2.11.3 對於用戶面的機密性保護\t112
2.12 基於服務的安全鋻權接口\t113
第3章 5G網絡采用的基礎安全技術\t115
3.1 EAP\t116
3.2 AKA\t119
3.3 TLS\t120
3.4 EAP-AKA\t121
3.5 EAP-AKA(\t122
3.6 EAP-TLS\t124
3.7 OAuth\t125
3.8 IKE\t127
3.9 IPSec\t129
3.10 JWE\t130
3.11 HTTP摘要AKA\t130
3.12 NDS/IP\t131
3.13 通用安全協議用例\t132
3.13.1 IPSec的部署與測試\t132
3.13.2 TLS/HTTPs交互過程\t140
第4章 IT網絡安全防護\t145
4.1 IT基礎設施安全工作內容\t146
4.2 5G網絡中的IT設施安全防護\t147
4.3 IT主機安全加固步驟\t147
4.4 常用IT網絡安全工具\t152
4.4.1 tcpdump\t152
4.4.2 wireshark/tshark\t153
4.4.3 nmap\t153
4.4.4 BurpSuite\t156
第5章 5G SA模式下接入的安全過程\t159
5.1 UE接入SA網絡前的準備\t161
5.2 建立SA模式RRC連接\t162
5.3 AMF向UE獲取身份信息\t166
5.4 SA模式認證和密鑰協商過程\t172
5.5 AMF和UE之間鋻權消息交互\t174
5.6 SA模式下NAS安全模式控制機制\t176
5.7 AMF與UE之間的安全模式控制消息交互\t181
5.8 建立UE的網絡上下文\t184
5.9 建立PDU會話\t192
5.10 SA模式下的安全增強\t197
第6章 5G NSA模式下接入的安全過程\t199
6.1 UE接入NSA網絡前的準備\t201
6.2 建立NSA模式RRC連接\t202
6.3 NSA模式的認證和密鑰協商過程\t207
6.4 MME與UE之間的鋻權信息交互\t208
6.5 NSA模式下NAS安全模式控制機制\t210
6.6 MME與UE之間的安全模式控制信息交互\t211
6.7 建立UE的網絡上下文\t212
6.8 UE加入5G NR節點\t214
第7章 5G接入網的網絡安全\t217
7.1 5G接入網的網絡安全風險\t218
7.2 5G接入網的網絡安全防護\t219
第8章 5G核心網的網絡安全\t233
8.1 5G核心網的網絡安全風險\t234
8.2 5G核心網的網絡安全防護\t235
8.2.1 對5G核心網體繫結構的安全要求\t236
8.2.2 對端到端核心網互聯的安全要求\t237
第9章 5G承載網網絡安全\t239
9.1 5G承載網的網絡安全風險\t240
9.2 5G承載網的網絡安全防護\t241
第10章 5G網絡雲安全\t243
10.1 5G網絡雲平臺的安全風險\t244
10.2 網絡功能虛擬化的安全需求\t245
10.3 網絡雲平臺基礎設施的安全分析\t246
10.4 網絡雲平臺應用程序安全分析\t248
10.5 5G網絡雲平臺的安全防護\t250
10.6 5G和人工智能安全風險及應對措施\t251
第11章 5G終端安全\t253
11.1 5G終端的網絡安全風險\t254
11.2 面向終端消息的網絡安全防護\t255
第12章 物聯網業務安全\t257
12.1 物聯網安全風險分析\t258
12.2 物聯網通信機制的安全優化\t259
12.3 物聯網應用開發的安全防護\t260
12.4 適用於物聯網的GBA安全認證\t261
12.4.1 物聯網設備的鋻權挑戰\t261
12.4.2 GBA的體繫架構\t262
12.4.3 GBA的業務流程\t264
第13章 網絡切片業務安全\t269
13.1 網絡切片的工作原理\t270
13.2 網絡切片的管理流程\t271
13.2.1 網絡切片的操作過程\t271
13.2.2 網絡切片的描述信息\t272
13.2.3 切片管理服務的認證與授權\t273
13.3 網絡切片的安全風險及應對措施\t273
13.4 接入過程中的網絡切片特定認證和授權\t275
第14章 邊緣計算安全\t279
14.1 邊緣計算的工作原理\t280
14.2 邊緣計算的安全防護\t281
第15章 5G網絡安全即服務\t283
15.1 安全即服務的業務模型\t284
15.2 安全即服務的產品形態\t285
15.3 5G網絡DPI繫統\t287
15.4 5G網絡安全能力開放的關鍵技術分析\t288
第16章 支持虛擬化的嵌入式網絡安全NFV\t291
16.1 虛擬化環境下的網絡安全技術和解決方案\t292
16.2 嵌入式網絡安全NFV的功能與工作流程\t293
第17章 5G終端安全檢測繫統\t295
17.1 手機終端的安全風險\t296
17.2 手機終端安全性自動化測試環境\t296
17.3 無線接入環境\t298
第18章 面向5G網絡的安全防護繫統\t301
18.1 面向5G網絡的安全支撐的現狀與需求\t302
18.2 5G端到端安全保障體繫\t303
18.2.1 安全接入層\t304
18.2.2 安全能力層\t310
18.2.3 安全應用層\t311
18.3 5G端到端安全保障體繫的應用\t312
附錄Ⅰ 基於SBI的5GC網絡安全接口\t315
附錄Ⅱ EAP支持的類型\t325
參考文獻\t329
縮略語\t331