您当前的位置:   首页 > 新闻中心
爱立信使用Luna HSM拓展5G核心安全认证解决方案
发布时间:2022-03-09 10:18:41   阅读次数:

image.png

5G 正在改变安全格局。安全措施现在需要有效地解决新用例、新设备的激增以及从消费者移动宽带向行业和企业的转移。我们探讨了爱立信身份验证安全模块如何使 CSP 能够增强具有更严格安全要求的市场和用例的安全性。


爱立信身份验证安全模块:简而言之

随着 5G 的发展,用户隐私和安全的重要性不断提高。新的用例、不同的接入类型(例如,3GPP、非 3GPP、Wi-Fi、3G、4G 和 5G)以及通信服务提供商 (CSP) 不断发展的基础设施,都在提高整个网络域的安全需求。因此,我们需要研究如何使用户的认证信息更加安全。


随着5G网络在全球范围内的数量不断增长并成为许多国家关键基础设施的核心部分,用户身份验证和安全性正在为旨在控制网络访问和保护用户数据的更严格的法律法规带来“粘性”。云和网络切片等技术的采用,以及更多种类的设备和接入网络,增加了基础设施的复杂性,并增加了需要更安全处理的身份验证用例类型。


当前的标准化解决方案将在 5G 更广泛的生态系统中承受压力,从而导致网络脆弱性风险增加。通过将硬件安全模块 (HSM)集成到5G 核心,爱立信在防篡改硬件中为 CSP 提供更强大的加密密钥和算法保护。

 

为什么 CSP 需要身份验证安全 HSM?

虽然安全一直是移动网络中的热门话题,但随着 5G 的到来,安全焦点正在加强。这是因为 5G 将导致数十亿新设备连接到移动网络。这些设备将通过具有不同的特性、不同类型的接入点和不同的安全机制来增加网络暴露。


5G新型用例,以及可能涉及网络切片、边缘计算、专网等的部署场景,也将带来新的安全隐患和挑战。

image.png

图 1 - 身份验证安全性分布在多个上下文和用例中

 

移动重要工作负载和用户流量的网络云化是导致安全风险增加的另一个因素。


在过去的几年里,我们还看到网络上的网络攻击越来越多,而且随着时间的推移,这些攻击变得越来越复杂。


随着 5G 网络成为一个国家关键通信基础设施的关键组成部分,业务风险增加,因此,国家监管机构需要通过增加对网络安全的授权和要求来进行反击。


另一方面,随着用例的要求越来越高,攻击动机也在增加,攻击向量也在成倍增加。由于面临重大风险,对安全风险的容忍度正在下降。


但是,当前的标准化身份验证解决方案是否足够安全?


虽然现有的基于软件的移动网络身份验证解决方案对于大多数5G 用例来说都非常安全,但对于某些 5G 用例和/或具有更严格安全要求的市场来说,它们可能不够强大。


对于提供非常关键服务的用例,例如远程手术和关键任务通信,可能需要扩展级别的安全性。目前,业界正在努力建立方法来实现与嵌入式系统类似的信任和安全性。例如,通过在 5G 网络中包含 HSM 等硬件技术。


加密机制依赖于存储在 5G 核心网络中的加密密钥、标识符、凭证(用户名和密码的集合)和加密算法。然而,5G 系统中此类机制的实施方面仅由 3GPP 在非常有限的程度上标准化。 


为了保护网络免受恶意访问,3GPP 的 5G 系统标准提供了基于经过充分验证的 4G 安全机制的安全机制,但还包括加密、身份验证和用户隐私等新的增强功能。例如,在 5G 中,我们看到了国际移动用户身份 (IMSI) 加密的引入,其中通过 5G 无线电网络发送的所有流量数据都经过加密、完整性保护并受到相互认证,例如设备到网络。 


在虚拟化部署中,多个供应商也可能参与提供解决方案的不同部分,例如硬件基础设施、虚拟化平台和执行 3GPP 网络功能的应用程序。标识符和凭证的安全配置和存储是在虚拟化部署中提供安全部署的一个组成部分。目前,业界正致力于建立实现与嵌入式系统类似的信任和安全性的方法,例如通过包含 HSM 等硬件技术。 


总之,CSP 将着眼于 UDM 解决方案中增加的身份验证安全性:

  • 增加的复杂性和各种身份验证用例:5G 中对安全性的更高要求——适用于更多的最终用户类型(智能手机、事物和多设备,基于 SIM/非 SIM)和不同的网络环境(不同的 3GPP 和non-3GPP 访问 2G/3G/4G/5G/WiFi、公共和非公共网络、多个网络切片)——随着身份验证用例的多样性增加复杂性。
  • 处理用户身份验证和移动性的 NF 数量增加:在 5G 驱动下引入新的网络功能 (NF),用于用户身份验证和授权以及移动性管理(AUSF、UDM),以及用于其他域(HLR)的现有功能, AUC, HSS, AVG, AAA, EIR)——在网络操作的这一层提出了合理化要求。通过利用联合软件开发和内部自动化,减少集成、配置和管理不同前端的工作非常重要。
  • 增加流量组合的变体和灵活使用不同前端资源:5G NR(SA 和 NSA)的引入增加了流量组合的变体。因此,我们必须同时支持多种访问类型,确保它们之间的服务连续性。每种访问类型可能需要不同的前端资源,具体取决于网络覆盖范围和服务采用情况。

image.png

图 2 - 在 5G 中管理身份验证和隐私时增加的复杂性

 

爱立信身份验证安全模块如何应对这些挑战?

新的爱立信身份验证安全模块是一种高级安全产品,包括一个物理专用模块,用于集中管理 5G 核心网络中的身份验证程序。它提供:

  • 具有多接入支持 (3G/4G/5G) 的单一解决方案

  • 用于加密操作和存储敏感加密密钥材料的HSM

  • 符合标准和政府法规

  • 预集成到爱立信的双模 5G 核心,以实现可靠的部署效率和灵活性


它允许将身份验证软件的敏感部分(例如加密密钥和加密算法)移动到外部和专用硬件存储环境(即 HSM),以增强网络身份验证和最终用户隐私保护的安全性。


爱立信身份验证安全模块由身份验证凭证存储库和处理功能 (ARPF) 组成,它集中了核心网络中的所有身份验证过程。它由Thales提供的Luna HSM 5G组件提供支持,Thales是 HSM 市场的行业领导者,在全球多个领域都有业务。


它通过经认证的 FIPS 140-2 Level 3 防篡改硬件平台提供最高级别的安全性,满足合规性要求和各种法规。


通过一个组合解决方案,爱立信云核心订阅管理器提供高度安全的身份验证机制,以实现对用户隐私的高级保护。



image.png

图 3 - Ericsson Authentication Security Module 产品视图

 

爱立信推出了其身份验证安全模块解决方案,以扩展用户隐私的安全性,该解决方案基于用于集中管理 5G 核心网络中身份验证程序的物理专用模块。

 

爱立信提供基于 HSM 的身份验证的方法

身份验证是一个安全过程,用于获取设备(例如,移动电话或物联网设备)和网络是他们声称的实体的加密断言——这称为相互证明身份验证。


网络对设备进行加密验证,允许 CSP 确保:特定服务提供给正确的用户,用户不能拒绝他们的账单,并且一个用户不能冒充另一个用户。


使用 3GPP 术语“认证和密钥协商”(AKA) 通常指代的密钥标识符和认证算法来执行认证过程。


用户隐私是 5G 网络中实施的另一个安全过程,用于隐藏/隐藏用户在初始连接到网络时的身份。


用户设备 (UE) 不是通过空中发送订阅永久标识符 (SUPI),而是发送隐藏版本的 SUPI,称为订阅隐藏标识符 (SUCI)。SUCI 由 UE 基于公钥密码术创建。


UE 应使用具有归属网络公钥的保护方案生成 SUCI,该密钥已安全地提供给 UE,以控制归属网络。家庭网络 (UDM/SIDF) 然后可以通过使用家庭网络私钥从 SUCI 导出 SUPI。


image.png

图 4 - 身份验证和订户隐私原则

 

如前所述,5G 核心网络中身份验证用例的复杂性和多样性显着增加。由于 UDM、ARPF 和 AUSF 必须与 3G 和 4G 架构中的现有元素互通,因此在 5GC 架构中引入了新的网络元素进行身份验证。在下面的图 5 中,我们说明了在网络中使用或不使用 HSM 时发生的差异。



image.png

图 5 - 没有爱立信身份验证安全模块的身份验证向量生成

 

图 5 显示了标准 3GPP 5GC 解决方案,其中 ARPF 通过统一数据管理 (UDM) 功能集中并执行与网络其余部分连接的所有身份验证程序。在这种典型场景中,ARPF 还存储和管理所有加密密钥和算法,执行向量生成并关心 5G 中的订阅去隐藏功能。然而,在下面的图 6 中,当 HSM 组件被添加时,ARPF 仍然充当网络其余部分的中心点,但现在它实现了额外的机制:使其能够与外部 HSM 模块接口。订阅去隐藏功能、身份验证生成器功能以及密钥和算法的存储都被转移到 HSM。


image.png

图 6 - 使用爱立信身份验证安全模块生成身份验证向量

 

HSM 是一种加密处理器,专门设计用于保护加密密钥生命周期。它是一种管理和保护加密身份验证过程的硬件设备。


需要更高级别安全性来管理、处理和存储加密密钥的组织使用这些模块。HSM 为未授权用户的数字密钥提供逻辑和物理保护。


身份验证安全模块与爱立信的双模 5G 核心无缝集成:一种基于微服务的云原生技术,将演进分组核心 (EPC) 和 5G 核心 (5GC) 网络功能组合成一个通用的多接入和云原生支持 5G 和前几代的平台,通过爱立信 CCSM(云核心订阅管理器)优化占地面积和总拥有成本 (TCO) 效率,并提供与传统网络和网络功能的完全互通。


由于它经过预先集成、测试和验证,因此大大缩短了上市时间 (TTM) 和现场额外活动的需求。


但是,如前所述,该解决方案的 HSM 组件不是 3GPP 标准架构的一部分。此外,由于其目的是通过物理专用硬件提供扩展安全性,因此它没有部署为云原生功能。


image.png

图 7 – 爱立信云原生双模 5G Core 产品视图

 

爱立信身份验证安全模块的优势

总而言之,爱立信身份验证安全模块:

  1. 将 3G、4G 和 5G 访问的身份验证向量生成集中并整合到我们的 5G 核心产品中,以无缝集成的解决方案。
  2. 在 5G 网络中提供高级别的安全性,允许存储和管理所有加密密钥和算法,结合爱立信 5G 核心用户数据管理解决方案和泰雷兹市场领先的 HSM 的优势。
  3. 符合行业中的主要安全标准,并为在具有更严格监管要求的市场中运营的 CSP 添加合规标记。
  4. 通过满足具有非常严格安全要求的垂直行业的需求(从生态系统链中的开发人员到消费者),为 5G 中的用例创新提供更安全的行业生态系统。
  5. 最后,作为爱立信 CCSM 产品的一部分,它可以在一个 TCO 中确保所有必需的集成质量和支持。


Thales Luna Network HSM的优势

  • 密钥安全方法:硬件中的密钥

    在经过 FIPS 140-2 Level 3认证的Thales Luna Network HSM 范围内保护密钥的整个生命周期。我们在硬件中保护加密密钥的独特方法将我们的设备定位为市场上最值得信赖的通用 HSM。与其他将 HSM 之外的密钥移动到“受信任层”的密钥存储方法不同,硬件密钥方法可确保您的密钥始终受益于 Thales Luna Network HSM 的物理和逻辑保护。


  • 市场领先的性能——为速度而生

    Thales Luna Network HSM 7 比市场上的其他 HSM 更快,非常适合需要高性能的用例,例如保护 SSL/TLS 密钥和大量代码签名。


  • 虚拟和云环境的可扩展安全性

    将 Thales Luna 网络 HSM 分成多达 100 个加密隔离分区,每个分区就像一个独立的 HSM。单个 HSM 可以充当保护数百个独立应用程序的加密密钥生命周期的信任根,为您提供巨大的可扩展性和灵活性。


    密钥和分区以加密方式相互分离,使企业和服务提供商能够为多个租户和设备利用相同的硬件。


  • 易于使用 – 集中式加密资源

    使用 Thales Crypto Command Center 简化对多个 HSM 的管理,以提供加密资源的按需配置和监控。


  • 云安全的事实标准

    作为云端事实上的标准,Thales Luna Network HSM 部署在比任何其他 HSM 更多的公共云环境中。无论环境如何,无论是本地、私有、公共还是混合和多云环境,都可以扩展以满足您的加密性能要求。


  • 最大的合作伙伴生态系统

    使用我们广泛的合作伙伴生态系统快速保护大量标准应用程序 - 与 Thales Luna Network HSM 进行记录的、开箱即用的集成。


  • 物联网

    借助Thales无与伦比的产品和功能组合,防范不断演变的威胁并利用包括物联网 (IoT)、区块链等在内的新兴技术。 


  • 遵守合规性要求

    满足金融、医疗保健和政府等高度监管行业对 GDPR、eIDAS、FIPS 140、通用标准、HIPAA、PCI-DSS 等的合规性和审计需求。



揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问!


相关阅读

购买咨询电话
021-54410609