5G终端安全技术.pdfVIP

5G终端安全技术

1、安全需求

5G网络将提供对海量用户的支持并保障多种类型设备的安全接

入，将数以千亿计的设备接入网络，实现“万物互联”。在万物互联

的场景中，如何确保海量接入设备自身的安全，即网元的安全性，将

成为保障未来5G安全的基础。具体地，5G网络中的终端面临着下列

的安全需求：

（1）更高的身份可靠性要求

5G时代终端和终端之间可以直接交互，需要终端自身具备身份

证明和验证能力，从而保证交互双方的身份可靠性。

（2）信息完整性需求

5G网络需要面向无人驾驶、工业控制等对安全性较高的领域，

除了在基础网络层保证低延时和连接的可靠性，还要保障网络所传送

控制指令的完整性。5G终端需要具备信息完整性证明和验证手段。

（3）隐私保护需求

5G为万物互联时代，海量终端接入将会促进大数据技术得到更

充分应用，5G网络大数据环境下的隐私保护将成为重要问题。5G终

端需要提供保护隐私的有效技术手段。

（4）终端可靠性需求

智能终端执行环境的可靠性和应用程序来源的可信性面临挑战。

嵌入式传感器终端数量巨大，这些传感器可能面临固件更新问题，而

固件代码来源的可信性证明，是保证终端可靠性的基础。5G时代，

需要通过技术手段保证终端执行环境的可靠性和可信性。

现有移动通信技术安全保障机制已经无法满足未来移动通信应

用的安全需求，因此必须针对5G设计全新的安全保障体系，为未来

的移动通信应用提供多样化、个性化、差异化和分级别的安全服务。

而构建这种安全保障体系的关键则是设计面向移动终端的基础安全

模块，为各类5G应用提供基础性安全服务。

2、关键技术

（1）面向终端的基础安全模块

基础安全模块由一系列组件构成，为模块内部应用和外部管理系

统之间提供了一套独立于硬件和厂商的接口，实现全生命周期的密钥

管理、数字证书管理以及各类安全域的动态管理，为5G通信以及5G

应用提供包括实体认证，以及信息的保密性、完整性、不可否认性等

各类所需的基础性安全服务。其中，安域的设计采用对称结构，各安

全域之间并无依赖关系，为5G终端提供了极大的灵活性去管理大量

不断变化的、期望能够在基础安全模块上运行自己应用的业务合作伙

伴。同时，该基础安全模块具备高强度的硬件安全防护体系，能够抵

御各类物理攻击。基础安全模块的框架图如下图所示。

▲基础安全模块设计框架图

（2）基础安全模块安全管理技术

①基础安全模块系统框架设计

围绕基础安全模块，构建涉及5G终端设备、运营商、应用提供

方、设备生产商在内的基础安全服务框架。其中涉及基础安全模块的

初始化流程，运营商、应用提供方以及设备生产商间信任链的构建等

问题。

②全生命周期的密钥管理

基于基础安全模块，设计各类密钥的生命周期管理机制，其中涉

及密钥的产生、存储、使用、分配、更新、锁定、解锁、销毁等操作。

③安全域控制

能够在基础安全模块中实现各类安全域的动态管理与配置。其中

包括：安全域的动态分配和回收操作，跨域安全交互操作，以及安全

策略的下载、更新、删除、锁定、解锁等操作。

④安全协议的设计

面向安全服务的申请、应用下载、安全策略的分配等信息通信，

设计轻量级的安全协议，确保信息传输的保密性、完整性和认证性。

⑤信息格式设计

设计各类命令格式以及消息格式，满足基于基础安全模块的安全

管理和安全服务的需求。

⑥基础安全模块的硬件安全设计

包括硬件的主机接口协议设计、密钥安全管理设计，密码算法种

类及实现效率设计。

3、基础安全模块安全检测技术

（1）安全功能检测

包括密码算法、随机数发生器、异常检测机制、残余信息保护机

制、存储器访问控制机制功能性检测。

（2）抗攻击能力检测

包括基础安全模块芯片表面检测、基础安全模块芯片背部检测、

基础安全模块芯片表面简要分析、基础安全模块芯片表面详细分析等

检测技术，以增强基础安全模块的抗攻击能力。