移动通信网络设备安全保障要求 第2部分：演进分组系统（EPS） 征求意见稿

1移动通信网络设备安全保障要求本文件规定演进分组系统（EPS）移动通信网络中网络设备的通用安全保障要求件将是移动通信系统网络设备安全要求系列标准的一部本文件适用于演进分组系统（EPS）中的网络设备安全评估，包括演进基站设备、移[2]YD/T4025-2023，[4]3GPPTS33.116,SecurityAssuranceSpecification(SCAS)fortheMMEnetworkproducproductclass[6]3GPPTS33.250,SecurityassurancespecificationforthePGWnetworkproductclass[7]3GPPTS33.401,3GPPSystemArchitectureEvolution(SAE);Securityarchitecture3.14缩略语AuthenticationandKeyAgreeAuthenticationfailureMessagewithSynch2MobilityManagementEnNASNon-AccessStratumPublicLandMobileNetwoSubscriberIdentifiUserEquipmentUMTS集成电路卡E-UTRANewRadio-DualConnectivi增强型E-UTRA和新无线电5基站设备的特定要求和测试用例eNB特定的安全需求既包含从TS33.401中eNB特有的安全功能需求衍生的需求，又包含根据TR5.2基站设备安全功能性需求和测试用例功能性需求和测试用例及技术基线、操作系统、web服务器、网络设备等方面5.2.23GPP标准中的基站设备安全功能性需求和测试35.2.2.1控制面数据的机密性保护5.2.2.2控制面数据的完整性保护5.2.2.3eNB对用户面数据的加密和解密5.2.2.4用户面数据的完整性保护上述需求的测试用例参见GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第1部分：通用要5.2.2.5AS保护算法选择如TS33.401，7.2.4.2.1章所述，“每个eNB应该通过网管预配置可以使用的算法列表。至少应该配置一个完整性算法列表以及一个加密算法列表。这4从日志文件获得样本数据。5.2.2.6校验RRC信令的完整性5从日志文件获得样本数据。a)测试环境包含UE和eNB。UE可以是模拟终端。b)厂商提供文档说明如何在eNB上激活和去激活EIA0。6从日志文件获得样本数据。5.2.2.8eNB密钥更新“KeNB,KRRC-enc,KRRC-int,KUP-int,andKUP-enc都可“KeNB,KRRC-enc,KRRC-int,KUP-int,andKUP-enc都可测试环境包含UE。UE可以是模拟终端。从日志文件获得PDCP计数器重置和小区内切换的样本数据。这个样本数据可以被截屏作为证据。7使用UE进行测试环境。可以模拟UE。b)对安全模式下的MAC进行了验证，正确选择并应用了AS完整性保护算法。包含结果的截图。5.2.2.10X2切换的降级保护测试环境包含源eNB和目标eNB。源eNB可以是模拟基站。包含结果的截图。5.2.2.11eNB切换过程中的AS保护算法的选择8a)UE校验HandoverCommand消息的消息认证码。b)HandoverComplete包含结果的截图。94)测试者根据SecurityMode适用于展示的证据，如包含操作结果的截图。适用于展示的证据，如包含操作结果的截图。5.2.2.15在X2切换过程中目标eNB获包含结果的截图。策略和UEEPS安全能力发送给目标eNB。此外，如果从源MME接收到，源eNB还应将UE的UP完整性保护策略发送到源到目标容器中的目标eNB。目标eNB应使用表示在EPS中支持UPIP的UP能力以及从MME接收到对于测试用例3，在eNB发送RRCConnectionReconfiguration后，通过Uu接口在UE对于测试用例1，必需的UPIP策略在路径切对于测试用例2，不需要的UPIP策略在路径切换基站设备的技术基线安全保障要求参见GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第1基站设备的操作系统安全保障要求参见GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第15.2.5Web服务器基站设备的Web安全保障要求参见GB/TXXXXX-XXXX《移基站设备的网络设备安全保障要求参见GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第15.3基站设备加固安全5.4基站设备特定的基本脆弱性测试需求6.1概述本标准的结构与GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第1部分：通用要求》一致，MME应满足以下：-参考3GPPTS33.401与行业标准YD/T3948-2021《移动通信网络设备安全保障要求移动性管理实-参考其他安全标准引用3GPPTS33.401或被3GPPTS33.4在HSS请求的认证数据中，MME包含存储的RAND和收到MME接收来自SGSN的标识请求消息。列表中的具有最高优先级的算法，如3GPa)MME选择完整性算法，该完整性算法应是UEEPS安全能力中的算法列表中的具有最高优MME接收到未经机密性保护的安全模式完成消息。配置MME，用以记录UEEPS安全能力MME接收切换消息，且该消息中的UEEPS安全能力与MME中所存储的该UEEPS安全能力应选择NAS算法，该NAS算法应是UEEPS安全能力中的算法列表中的具有最高优先级的算法（参考TS33.401章节7.2.4.3.1），如3GPPTS33.401中章节7.2.42）目标MME选择NAS算法，该完整性算法应是UEEPS安全能力中的高优先级的算法，假设目标MME从列表里选择的算法与从MME确认SGSN的上下文响应，以适当的失败原因终止该过程。测试环境具备源MSC服务器和目标MME，源MSC服MME拒绝该请求。测试环境具备MME和UE，UE可仿真，服务网络策略允许未鉴权的IM在UE和网络之间已经建立了非紧急承载。然后UE发送EPS紧急承载服务请求，然后MME6.2.5Web服务6.3MME加固安全6.4MME特定的基本脆弱性测试7.1概述本标准的结构与GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第1部分：通用要求》一致。7.2PGW特定安全功能性要求和测试用例7.2.13GPP标准中的PGW特定安全功能性要求7.2.1.13GPP标准中的PGW安全功能性应假定PGW符合以下与PGW相关的所有必选安全相关规范中的要求:-应该给每个IP-CAN承载分配一个唯一的身份号码实现计费。（即Chargingid）.测试名称：基于用户的包过滤测试目的：验证PGW支持基于每个用户的包过滤。预置条件：a)测试者有权限在PGW上配置过滤策略，使PGW能够实现基于每个用户的包过滤。b)用户（如UE1和UE2）注册到PGW。c)PGW上已经安装了网络分析器（e.g.tcpdump）。测试步骤：1)测试者为PGW上注册的UE1和UE2配置不同的过滤策略，例如PGW转发UE1到SGi的数据包，丢弃从UE2到SGi的数据包。2)测试者传送从UE1到PGW的数据包。3)测试者传送从UE2到PGW的数据包。4)测试者使用网络流量分析器检查过滤的数据包。预期结果：PGW可以根据配置的过滤策略对每个用户的数据包进行过滤，例如PGW可以在步骤2中将UE1的数据包转发到SGi，并在步骤3中丢弃来自UE2的数据包。预期的证明方式：适用于该接口的证据，如包含操作结果的屏幕截图，pcap文件能够显示UE2的包被正确接收，但SGi接口上不可用，而UE1的包被正确发送到SGi。会话相关的ChargingID被释放后，可以重用该Chargi测试名称：ChargingID的唯一性测试编号：7.2.1.3测试目的：验证CreateSessionResponse内的theInformationElementBearerContext中设置的ChargingID是唯一的。预置条件：a)测试环境中部署了PGW、S-GW和PCRF。PCRF和S-GW可以是真实设备，也可以是模拟的。b)测试者能够跟踪PGW和S-GW之间的流量。测试步骤：1）测试者监听PGW和S-GW之间的流量。2）为了实现在PGW上的InitialUEattach，测试者触发一个以上(例如至少10000个)连续的CreateSessionRequest(使用真实的或模拟的S-GW)，以便设置一个新的IP-CAN承载。3）P-GW创建一个UE/S-GW上下文，并与PCRF(真实的或模拟的)进行通信，实现QOS和APN解析。该流程应成功地允许P-GW向S-GW发送CreateSessionResponse，其至少包含以下内容:a)成功的条件b)用于控制面的PGW的F-TEIDc)PDNAddressAllocation(PAA)d)ABearerContextsCreated.4）测试者验证在每个生成的CreateSessionResponse中创建的BearerContexts中的ChargingID是否不同。预期结果：分配给不同CreatSessionRequest请求的每个IP-CAN承载的ChargingID是唯一的。预期的证明方式：包含触发的GTP消息（pcap跟踪）的文档。注：TEID不会同时分配给多个激活的GTP隧道。在GTP隧道被终止，并且与此GTP隧道相关测试名称：TEID的唯一性测试编号：7.2.1.4测试目的：验证为每个新建的控制面和数据面的GTP隧道分配的TEID是唯一的。预置条件：a)测试环境中部署了PGW和S-GW,PCRF。PCRF和S-GW可以是真实设备，也可以是模拟的。b)测试者能够跟踪PGW和S-GW之间的流量（真实的或者模拟的）。测试步骤：1)测试者监听PGW和S-GW之间的流量。2)测试者触发一个以上(例如至少500个)连续的CreateSessionRequest(使用真实的或模拟的S-GW)，例如实现在PGW上的InitialUEattach，并且GTPheaderTEID设置成0到F-TEID中不同的值。3)P-GW创建一个UE/S-GW上下文，并与PCRF(真实的或模拟的)进行通信，实现QOS和APN解析。该流程应成功地允许P-GW向S-GW发送CreateSessionResponse，其至少包含以下内容:a)成功的条件b)用于控制面的PGW的F-TEIDc)PDNAddressAllocation(PAA)d)ABearerContextsCreated4)测试者验证在每个生成的CreateSessionResponse中创建的F-TEID是唯一的。预期结果：分配给不同CreatSessionResponse中的每个TEID是唯一的。预期的证明方式：包含触发的GTP消息（pcap跟踪）的文档。测试编号：7.2.1.5测试目的：测试PGW是否正确验证MN-HA身份验证扩展。预置条件：a)UE和PGW在测试环境中连接。UE可以是模拟的。b)测试者可以访问3GPPAAA服务器和PDNGW之间的S6b接口。c)测试者可以访问基于MIPv4FACoA的PGW和UE之间的S2a接口。测试步骤：1)PGW(UE的归属网络代理)在3GPP接入网中处于活动状态。2)测试者使用任何包分析器捕获S6b和S2a接口上的报文。3)测试者通过S6b接口过滤从3GPPAAA服务器传输到PGW的身份验证和授权信息中的MN-HA密钥。4)UE通过可信的非3gppIP接入网向PGW发送注册请求消息。5)测试者通过S2a接口过滤UE发送给PGW的注册请求和PGW发送给UE的注册响应。6)测试者使用注册请求中的SPI值来标识MN-HA密钥，以计算身份验证扩展的Authenticator值。7)测试者验证计算的Authenticator值是否与注册请求消息中的Authenticator值相同。8)测试者还检查注册响应消息中的响应代码，以验证PGW验证的正确性。预期结果：注册响应信息中的响应码为“0”。预期的证明方式：可视化的证明方式，如包含操作结果的截图。测试名称：非激活的紧急PDN连接释放测试编号：7.2.1.6测试目的：验证PGW是否去激活在配置时间周期内处于非激活状态的紧急PDN连接的所有承载，以防止资源耗尽。预置条件：a)测试环境中连接了UE、PGW和S-GW网络产品。b)可以模拟UE和S-GW。c)测试者可以访问PGW配置文件。d)测试者可以访问基于GTP的S5/S8接口。测试步骤：1)测试者检查PGW配置文件，以找到PDN连接的非激活超时值。2)测试者启动紧急附着流程。3)测试者使用数据包分析仪，捕获PGW和S-GW之间的S5/S8接口上的数据包。4)测试者过滤附着流程中带有“emergency”请求类型的PDNCONNECTIVITYREQUEST消息。5)测试者过滤从PGW发送到S-GW的DELETEBEARERREQUEST消息(ProcedureTransactionIdentifier,EPSBearerIdentity,Causes)。6)测试者还过滤从S-GW发送到PGW的相应DELETEBEARERRESPONSE消息(EPSBearerIdentity,UserLocationInformation)。7)测试者验证DELETEBEARERREQUEST消息的原因值是否为“PDNconnectioninactivitytimerexpires”。如果是，继续，否则转到步骤5。8)为了确认紧急承载释放,测试者比较UE的EPS承载身份是否与三种消息(PDNCONNECTIVITYREQUEST,DELETEBEARERREQUESTandDELETEBEARERRESPONSE)中的身份相同。如果相同，说明非激活的紧急PDN连接没有被释放，即使配置的时间已经超时。预期结果：PGW根据配置的超时值释放非激活的紧急承载。预期的证明方式：可视化的证明方式，如包含操作结果的截图。线、数据和信息传输保护技术基线、个人数据日志访问数据基线分别见GB/TXXXXX-XXXX《移动通信网见GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第1部分：通用要求》的5见GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第1部分：通用要求》的5测试名称：不可预测的GTPTEID测试编号：7.2.2.4.1测试目的：验证GTPTEID是不可预测的预置条件：a)测试环境中P-GW、S-GW、PCRF已部署，PCRF和S-GW可以是真实或模拟网元。b)能够跟踪P-GW和S-GW之间的流量。测试步骤：1)对P-GW和S-GW之间的流量进行监听；2)在用户A向P-GW初始化附着的过程中，连续触发10次CreateSessionRequest,。10次请求中，设置GTP隧道头的TEID为0，设置F-TEID为不同的值；3)测试者连续触发1次CreateSessionRequest。该请求来自另一个S-GW，用于另一个UE（如用户B4)P-GW创建用户B和S-GW之间的上下文，并与PCRF交互进行QoS和APN解析。P-GW向S-GW返回CreateSessionResponse消息，至少包含：a)成功原因；b)控制面P-GW的F-TEID；c)PDN地址分配；d)创建的承载上下文。5)测试者尝试从初始的10个F-TEID中，为用户B最后的CreateSessionResponse预测一个F-TEID。预期结果：a)测试者在用户B最后的CreateSessionResponse中无法预测一个F-TEID。预期的证明方式：如果结果是F-TEID不可预测，应包含触发GTP消息的文件（例如pcap抓包文件）；如果结果是F-TEID可预测，应包含能预测的具体原因描述。见GB/TXXXXX-XXXX《移动通信见GB/TXXXXX-XXXX《移动通信见GB/TXXXXX-XXXX《移动通信见GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第1部分：通用要求》的5见GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第1部分：通用要求》的5测试名称：IP地址重分配间隔测试目的：验证PGW是否支持IP地址重新分配间隔预置条件：文档描述如何配置IP地址分配间隔测试步骤：1)根据产品文档配置IP地址的重分配间隔T；2)将一个IP地址IP1分配给UE1。3)让用户UE1释放IP地址IP1;4)释放IP1后，T时间间隔内，PGW将IP地址IP1分配给UE2。5)释放IP1后，超过时间间隔T,执行步骤4。预期结果：a)在执行步骤4中，重新分配被拒绝。b)在执行步骤5中，接受重新分配。预期的证明方式：测试结果通过或失败。测试名称：禁止MS/UE相互访问测试目的：验证网络产品是否支持禁止MS/UE相互访问。预置条件：a)PGW已经为名为IPSeg1和IPSeg2的UE配置了两个（或更多）IP地址段（例如，10.40.0.0/16,10.42.0.0/16b)PGW有2个不同的逻辑或物理以太网端口，每个端口都连接到主机；c)网络产品上的PGW分析仪（例如tcpdump）可用；d)UE上的报文分析器可用。测试步骤：1)根据产品文档，配置PGW以阻止UE直接到UE的流量。2)配置过滤规则，IPSeg1中具有IP地址的UE无法访问IPSeg2中具有IP地址的服务器，反之亦然。3)PGW将IPSeg1内的IP1分配给UE1；4)PGW将IPSeg2内的IP2分配给UE2；5)UE1发送一个数据包给目的IP地址IP3，IP3与IPSeg内的IP1不同；6)UE1发送一个数据包给目的地IP2；7)UE2发送一个数据包给目的IP地址IP4，IP4与IPSeg2内的IP2不同；8)UE2发送一个数据包给目的IP地址IP1。预期结果：a)使用网络分析仪，验证PGW是否正确接收和丢弃了数据包。b)通过UE上的报文分析器，验证UE正确发送了数据包。预期的证明方式：可视化的证明方式，如来自分析仪的显示该过程的日志。7.3PGW加固的安全需求和测试用例见GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第1部分：通用要求见GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第1部分：通用要求