2023移动通信网络设备安全保障要求第2部分

2目 次112范引文件 13语定和略语 14略语 15站备特安求和试例 2概述 2基设特的功能需和试例 25.2.125.2.23GPP准的站设安功性求测试例 25.2.3术线 115.2.4作统 165.2.5Web务器 175.2.6络备 17基设加安全 17基设特的脆弱测需求 176MME定全求试用例 17概述 17MME特安功需求测用例 176.2.1176.2.23GPP准的MME特安功性求测试例 176.2.3术线 256.2.4作统 256.2.5Web256.2.6络备 25MME加安全 25MME特的本性测试 257PGW定全求试用例 25概述 25PGW特安功要求测用例 267.2.13GPP准的PGW特安功性求测试例 267.2.2术线 317.2.3作统 327.2.4Web务器 327.2.5络备 33PGW加的全和测用例 347.3.1作统 34IIIII7.3.2Web务器 347.3.3络备 34基脆性试求 36PAGEPAGE102(EPS)范围本文件规定演进分组系统（EPS）移动通信网络中网络设备的通用安全保障要求及测试方法。本文件将是移动通信系统网络设备安全要求系列标准的一部分。本文件适用于演进分组系统（EPS）中的网络设备安全评估，包括演进基站设备、移动性管理实体（MME）和分组数据网网关（PGW）。（YD/T3948-2021（MME）YD/T4025-2023（PGW）YD/T1043-2019（EPS）3GPPTS33.116,SecurityAssuranceSpecification(SCAS)fortheMMEnetworkproductclass3GPPTS33.216,SecurityAssuranceSpecification(SCAS)fortheevolvedNodeB(eNB)networkproductclass3GPPTS33.250,SecurityassurancespecificationforthePGWnetworkproductclass3GPPTS33.401,3GPPSystemArchitectureEvolution(SAE);Securityarchitecture下列术语和定义适用于本文件。MME应用MMEapplication为MMEOAM）缩略语下列缩略语适用于本文件。AESAdvancedEncryptionStandard高级加密标准APNAccessPointName接入点名称AKAAuthenticationandKeyAgreement认证和密钥协商AUTSAuthenticationfailureMessagewithSynchronisationFailure重同步失败的认证失败消息EIAeNBEPCEPSE-UTRANGPRSGSMHSSMeNBMMEMSCNASO&MPLMNRANDSCASSGSNSIMSRVCCTAUUEUICCEN-DC

EPSIntegrityAlgorithmEnvolvedNodeBEvolvedPacketCoreEvolvedPacketSystemEvolvedUTRANGeneralPacketRadioServiceGlobalSystemforMobileCommunicationsHomeSubscriberServerMicroevolvedNodeBMobilityManagementEntityMobileSwitchingCenterNon-AccessStratumOperation&MaintenancePublicLandMobileNetworkRANDomnumberSecurityAssuranceSpecificationServingGPRSSupportNodeSubscriberIdentificationModuleSingleRadioVoiceCallContinuityTrackingAreaUpdateUserEquipmentUMTSIntegratedCircuitCardE-UTRANewRadio-DualConnectivity

EPS完整性保护算法4G基站演进的分组系统UTRAN球移动通信系统归属用户服务器微基站移动交换中心非接入层运行操作维护公用陆地移动网络随机数安全保障规范服务GPRS支持节点用户身份失败模块单无线频率语音呼叫连续性跟踪区更新用户设备UMTS集成电路卡增强型E-UTRA和新无线电双连接概述eNB特定的安全需求既包含从TS33.401中eNB特有的安全功能需求衍生的需求，又包含根据TR33.926中介绍的eNB特有威胁衍生的需求。GB/T概述eNB3GPP标准中的基站设备安全web3GPP当前章节包含eNB设备特有的安全保障目标、需求以及测试用例。需求名称：如TS33.401，5.3.4aeNBS1/X2B/TXXXXXX15.2.3.2.4章中定义的测试流程。需求名称：如TS33.401，5.3.4aeNBS1/X2B/TXXXXXX15.2.3.2.4章中定义的测试流程。eNBTS3.4.3.NUuS1XB/TXXXXXX15.2.3.2.4章中定义的测试流程。需求名称：如TS33.401，5.3.4章所述，“eNBS1/X2上述需求的测试用例参见GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第1部分：通用要求》，5.2.3.2.4章中定义的测试流程。AS需求名称：AS保护算法选择需求描述：如TS33.401，如TS33.401，7.2.4.2.1章所述，“每个eNB应该通过网管预配置可以使用的算法列表。至少应该配置一个完整性算法列表以及一个加密算法列表。这些列表应该由管理员根据优先级进行排序”。测试用例：测试编号：5.2.2.5预置条件：在测试环境中，eNB预先配置好按优先级排序的算法列表。测试步骤：UERequesteNBS1ContextSetupRequesteNBUE预期结果：eNBSecurityModeCommandUE全能力的所有算法中按照预配置的算法列表选择优先级最高的算法。SecurityModeCompleteAS预期证明方式：从日志文件获得样本数据。校验RRC需求名称：校验RRC信令的完整性需求描述：如TS33.401，7.4.1章所述，“UE和eNB应正确处理RRC完整性校验失败的事件。如果在开启完整性保护之后，发现完整性校验失败（即完整性校验失败或者MAC-I缺失），则该消息应该被丢弃。”。测试用例：测试编号：5.2.2.6预置条件：在测试环境中，eNB上激活RRC保护。eNBeNB接收到包含错误MAC-I或不包含MAC-I的RRC消息预期结果：eNB在反向测试中丢弃RRC消息预期证明方式：从日志文件获得样本数据。选择EIA0需求名称：选择EIA0测试编号：测试编号：5.2.2.7预置条件：测试环境包含UEeNB。UE可以是模拟终端。厂商提供文档说明如何在eNB上激活和去激活EIA0。测试步骤：正向：eNBS1UEeNBUEeNBS1EIA0UEeNBUE预期结果：SecurityModeCommandEIA0SecurityModeCommandEIA0预期证明方式：从日志文件获得样本数据。eNB需求名称：eNB密钥更新需求描述：如TS33.401，7.2.9.1章所述，“KeNB,KRRC-enc,KRRC-int,KUP-int,andKUP-enc都可以被更新，在同一个无线承载下的PDCP计数器即将重置时，eNB触发密钥更新流程。”。测试用例：测试编号：5.2.2.8预置条件：测试环境包含UE。UE可以是模拟终端。测试步骤：eNBUEUERRC或UPeNBPDCPUERRC或UP消PDCP或PDCPeNB预期结果：eNB触发小区内切换并获得一个新的KeNB。预期证明方式：从日志文件获得PDCP计数器重置和小区内切换的样本数据。这个样本数据可以被截屏作为证据。AS需求名称：AS完整性算法选择eNB测试用例：预置条件：使用UE进行测试环境。可以模拟UE。测试步骤：eNB发送安全模式命令消息。UE回复与安全模式完整的消息。预期结果：eNBUEEPSeNBMACAS包含结果的截图。X2需求名称：X2切换的降级保护如TS33.4017.2.4.2.2eNB在PathSwitcheNBUE安全能力给MME”。如TS33.5015.1.1UE测试用例：测试编号：5.2.2.10预置条件：测试环境包含源eNB和目标eNB。源eNB可以是模拟基站。测试步骤：目标eNB发送PathSwitch消息到MME。预期结果：PathSwitch消息包含UE的EPS安全能力。包含结果的截图。eNBAS需求名称：eNB切换过程中的AS保护算法的选择。TS3.4072.4.227..4..3eNEPS（eNB选择eNBUE测试用例：测试编号：5.2.2.11预置条件：eNBHandoverRequesteNB测试用例2：UE eNBeNB上述测试用例假设目标eNB选择的算法不同于从源eNB获得的旧的算法。预期结果：对于两个测试用例：UEHandoverCommandHandoverComplete消息的消息认证码被成功校验，AS完整性保护算法被正确选择和激活。预期证明方式：包含结果的截图。eNBRRCUP需求名称：eNB对下行RRC和UP数据的加密需求描述：如TSSecurityModeCommandRRC和UP数据的加密。”。测试用例：测试编号：5.2.2.12测试目的：验证密。预置条件：UEeNBUEASRRCUP。UEUu测试步骤：UEUuSecurityModeCommandRRCUPSecurityModeCommand消息中的算法标识符和算法区分符参数执行下列测试： 3 SNOW，AES，ZUC3SecurityModeCommand注意：上述需求的测试用例参见GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第1部分:通用要求》，5.2.3.2.4章中定义的测试流程。预期结果：务可正常执行。预期证明方式：适用于展示的证据，如包含操作结果的截图。映射UENR需求名称：UE的NR如TSMeNB的NR的NR-设置NEA0,128-NEA1，128-NEA2,128-NEA3,NIA0,128-NIA1,128-NIA2,128-NIA3与EEA0,128-EEA1,128-EEA2,128-EEA3,EIA0,128-EIA1,128-EIA2,128-EIA3一一对应-将剩余比特位置零”。测试用例：测试名称：映射UE的NR安全能力测试编号：5.2.2.13预置条件：接口。测试步骤：MeNBS1UENRMeNBSNSNAdditionRequestNR预期结果：SNAdditionRequest包NR安能，NEA0, 128-NEA1, 128-NEA3,预期证明方式：适用于展示的证据，如包含操作结果的截图。UENRSgNB需求名称：UE的NR安全能力仅发送到SgNB需求描述：如TS33.401，E.3.4.3章所述，“在添加SgNB建立EN-DC连接时，MeNB应将已创建的UENR安全能力发送给SgNB。除此流程外，MeNB不得发送任何已创建的UENR安全能力。”。测试用例：测试编号：5.2.2.14预置条件：UEeNBUEX2测试步骤：MeNBSNAdditionRequestUE从。X2UENR预期结果：UE的NR安全能力仅发送到SgNB。预期证明方式：适用于展示的证据，如包含操作结果的截图。在X2eNBNR需求名称：在X2切换过程中目标eNB获得NR安全能力的降级保护需求描述：如TSeNB在X2UE的NRPathSwitchUENR如TS33.5015.1.1UE测试用例：测试名称：在X2切换过程中目标eNB获得NR安全能力的降级保护测试编号：5.2.2.14测试目的：验证阻止在X2切换过程中目标eNB获得的NR安全能力的降级。预置条件：测试环境包含源eNB和目标eNB。源eNB可以是模拟基站。测试步骤：目标eNB发送PathSwitch消息到MME。预期结果：PathSwitch消息包含UE的NR安全能力。预期证明方式：包含结果的截图。UEeNB需求名称：对UE和eNB之间的用户数据的完整性保护需求描述：如TS33.401，5.1.4章所述，“eNB和UE之间的用户平面数据包可能在Uu接口上得到完整性保护”。测试用例：测试名称：对UE和eNB之间的用户数据的完整性保护。测试编号：5.2.2.16测试目的：验证用户数据包是否通过Uu接口得到完整性保护预置条件：UE测试步骤：1)eNB发送具有完整性保护指示“打开”的RRCConnectionReconfiguration。2)整性保护。预期结果：在eNB发送RRCConnectionReconfiguration后，通过Uu接口在UE和eNB之间发送的任何用户平面数据包都受到完整性保护。预期证明方式：适用于界面的证据，例如包含操作结果的屏幕截图。UP需求描述：如TS33.401，7.3.3章所述，“eNB应在本地配置有UP完整性保护策略”。测试用例：测试名称：选择正确的UP完整性保护策略。测试编号：5.2.2.17测试目的：验证eNB是否在本地配置了UP完整性保护策略预置条件：UE测试步骤：1)2)eNB发送具有完整性保护指示“打开”的RRCConnectionReconfiguration。3)整性保护。预期结果：在eNB发送RRCConnectionReconfiguration后，通过Uu接口在UE和eNB之间发送的任何用户平面数据包都受到完整性保护。预期证明方式：适用于界面的证据，例如包含操作结果的屏幕截图。UPIP需求名称：UPIP需求描述：如TS33.401，7.3.3eNB从MMEUPeNBUPEPSEIA7UEeNBUP测试用例：测试名称：选择正确的UPIP策略。测试编号：5.2.2.18测试目的：验证eNB是否在本地配置了UP完整性保护策略预置条件：UE测试步骤：1)MME通过EIA7发送EPS安全能力，表明UE支持UPIP。但是MME确实向eNB发送UPIP策略。2)eNB发送具有完整性保护指示“打开”的RRCConnectionReconfiguration。3)整性保护。预期结果：在eNB发送RRCConnectionReconfiguration后，通过Uu接口在UE和eNB之间发送的任何用户平面数据包都受到完整性保护。预期证明方式：适用于界面的证据，例如包含操作结果的屏幕截图。S1UPIP需求名称：在S1切换中选择正确的UPIP策略。TS33.401，7.3.3S1MMEMME将UEUPEPSeNBMMEeNBUE的UPeNBeNBEPSUP的UPMMEUPeNBMMEeNBEPSUPIP的UPeNBUPMMEeNBEPSEIA7UEEPCeNBUP测试用例：测试名称：在S1切换中选择正确的UPIP策略。测试编号：5.2.2.19测试目的：验证eNB在S1切换时对UPIP策略的选择是否正确预置条件：UE1)MME通过EIA7发送EPS安全能力，表明UE支持UPIP。MME向目标eNB发送一个所需的UPIP策略。。4)测试用例2：4)测试用例3：预期结果：对于测试用例1和2，在eNB发送RRCConnectionReconfiguration后，通过Uu接口在UE和eNB之间发送的任何用户平面数据包都受到完整性保护。对于测试用例3，在eNB发送RRCConnectionReconfiguration后，通过Uu接口在UE和eNB之间发送的任何用户平面数据包都不受完整性保护。预期证明方式：适用于界面的证据，例如包含操作结果的屏幕截图。UPIP需求名称：UPIP策略的招标下调防范。需求描述：如TS33.401，7.3.3eNBUEUP完E-RABID给MMEeNBeNBeNBEPSEIA7UEEPC测试用例：测试名称：UPIP策略的招标下调防范。测试编号：5.2.2.20测试目的：验证在x2切换中阻止向下投标UPIP策略预置条件：UP。预期结果：对于测试用例1，必需的UPIP策略在路径切换请求消息中。对于测试用例2，不需要的UPIP策略在路径切换请求消息中。预期证明方式：包含结果的屏幕截图。基站设备的技术基线安全保障要求参见GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第1部分：通用要求》5.2.3章节。基站设备的操作系统安全保障要求参见GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第1部分：通用要求》5.2.4章节。Web基站设备的Web安全保障要求参见GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第1部分：通用要求》5.2.5章节。基站设备的网络设备安全保障要求参见GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第1部分：通用要求》5.2.6章节。基站加固的安全保障要求参见GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第1部分：通用要求》5.3章节。基站设备特定的基本脆弱性测试要求参见GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第1部分：通用要求》5.4章节。MME概述GB/TXXXXX-XXXXSCASMMEGB/TXXXXX-XXXX1MME概述本章规定MME特定的安全功能性需求和测试用例。3GPPMME作为GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第1部分：通用要求》章节5.2.2的补充，MME应满足以下：本标准的SCAS目的是MME符合所有安全相关的适用于MME的强制要求：-参考3GPPTS33.401与行业标准YD/T3948-2021《移动通信网络设备安全保障要求移动性管理实体（MME）》;-参考其他安全标准引用3GPPTS33.401或被3GPPTS33.401引用。适用于MME的安全流程，典型的包含在移动性管理流程之中，一起测试，例如包括：-在附着或TAU流程中包含的AKA认证；-在附着或TAU流程中包含安全模式控制；-在inter-RAT移动性流程中包含安全上下文映射的推演。2GSIM需求名称：2GSIM禁止接入需求参考：待定需求描述：使用2GSIM或UICC上的SIM应用接入E-UTRAN应被禁止，如3GPPTS33.401,章节6.1.1所述。测试用例：测试名称：2GSIM禁止接入测试编号：6.2.2.2.1测试目的：确认使用2GSIM接入EPS将被禁止。预置条件：具备HSS的测试环境，HSS可仿真。测试步骤：HSS的认证数据响应中，包含2G的认证向量。预期结果：当收到来自于HSS的2G认证向量时，MME拒绝UE认证。重同步需求名称：包含RAND,AUTS需求参考：待定需求描述：当重同步失败时，MME应包含RAND,AUTS，如3GPPTS33.401,章节6.1.2所述。测试用例：测试名称：重同步测试编号：6.2.2.2.2测试目的：确认重同步流程正确。预置条件：测试环境具备UE和HSS，UE和HSS可仿真。测试步骤：MEAUTHENTICATIONFAILUREAUTS预期结果：在HSS请求的认证数据中，MME包含存储的RAND和收到的AUTS。需求名称：附着消息完整性检查需求参考：待定MME33.401，章节6.1.4测试用例：测试名称：附着消息完整性检查测试编号：6.2.2.2.3测试目的：通过附着请求的完整性检查来验证安全的用户标识是否正确工作。预置条件：测试环境具备新的和原MME，新MME可以仿真。测试步骤：旧MME接收来自新MME的具有不正确完整性保护的标识请求消息。预期结果：旧MME发送指示无法检索用户标识的响应。EPSSGSN需求名称：不转发EPS认证数据给SGSN需求参考：待定需求描述：EPS认证数据不应从MME转发到SGSN，如3GPPTS33.401，章节6.1.4所述。测试用例：测试名称：不转发EPS认证数据给SGSN测试编号：6.2.2.2.4测试目的：验证EPS身份认证数据是否保留在EPC中。预置条件：测试环境具备MME和SGSN，SGSN可以仿真。测试步骤：MME接收来自SGSN的标识请求消息。预期结果：对SGSN的响应不包括EPS认证数据。EPS需求名称：不同安全域间不转发未使用的EPS认证数据需求参考：待定需求描述：不应在属于不同服务域（PLMN）的MME之间转发未使用的EPS认证向量或非当前的EPS安全上下文，如3GPPTS33.401中章节6.1.5所述。测试用例：测试名称：不同安全域间不转发未使用的EPS认证数据测试编号：6.2.2.2.5测试目的：验证未使用的EPS认证数据应保留在同一个服务域中。预置条件：旧MME和新的MME部署在不同的服务域中，新的MME可仿真。测试步骤：旧MME从新的MME接收到IdentificationRequest消息。预期结果：旧MME向新的MME给出响应，但该响应不包括未使用的EPS认证数据。需求名称：降级保护需求参考：待定需求描述：安全模式命令应包含UE的安全能力，如3GPPTS33.401中章节7.2所述。测试用例：测试名称：降级保护测试编号：6.2.2.3.1测试目的：验证不能实现从UE到MME的接口中删除UE能力的降级攻击。预置条件：具备测试UE的环境，UE可仿真。测试步骤：附着请求消息保护UE的安全能力。预期结果：MME在安全模式命令中包含相同的UE安全能力。NAS需求名称：NAS完整性算法选择需求参考：待定需求描述：MME应使用完整性算法保护安全模式命令，该完整性算法应是UEEPS安全能力中的算法列表中的具有最高优先级的算法，如3GPPTS33.401中章节7.2.4.3.1所述。测试用例：测试名称：NAS完整性算法选择测试编号：6.2.2.3.2测试目的：验证NAS完整性算法选择和使用的正确性。预置条件：具备测试UE的环境，UE可仿真。测试步骤：MME发送安全模式命令，UE以安全模式完成应答MME。预期结果：MME选择完整性算法，该完整性算法应是UEEPSMMEMAC（）。NASNAS需求名称：NAS需求参考：需求描述：EIA03GPPTS33.4015.1.4.1威胁参考：安全目标参考：待定测试用例：测试名称：NAS完整性保护为空测试编号：6.2.2.3.3测试目的：验证NAS完整性保护算法为空的正确使用。预置条件：具备UE的测试环境（非紧急呼叫场景），UE可仿真。测试步骤：成功认证UE后，MME发送安全模式命令消息。预期结果：所选择的完整性保护算法不是EIA0。NAS需求名称：NAS机密性保护需求参考：待定UE向MMENAS3GPPTS33.4017.2.4.3.1测试用例：测试名称：NAS机密性保护测试编号：6.2.2.3.4测试目的：验证NAS机密性保护算法使用的正确性。预置条件：具备UE的测试环境，UE可仿真。测试步骤：MME接收到未经机密性保护的安全模式完成消息。预期结果：如果所选择的机密性算法不是EEA0,则MME拒绝该消息。intra-RATX2需求名称：X2切换中降级保护需求参考：待定需求描述：MME应验证从eNB接收到的UEEPS安全能力与MME已存储的UEEPS安全能力相同，如3GPPTS33.401中章节7.2.4.2.2所述。测试用例：测试名称：X2切换中降级保护测试编号：6.2.2.4.1测试目的：验证能阻止X2切换中降级攻击。预置条件：具备eNB的测试环境。eNB可仿真。配置MME，用以记录UEEPS安全能力不匹配事件。测试步骤：MME接收切换消息，且该消息中的UEEPS安全能力与MME中所存储的该UEEPS安全能力不同。预期结果：MME记录UEEPS安全能力不匹配事件。MMENAS需求名称：MME改变时NAS完整性保护算法选择需求参考：待定需求描述：当MME和NAS算法改变时，目标MME应启动NAS安全模式命令过程，该过程中发给UE的消息（TS33.401UEUEMME应选择NAS算法，该NAS算法应是UEEPS安全能力中的算法列表中的具有最高优先级的算法（参考TS33.4017.2.4.3.1），如3GPPTS33.4017.2.4.3.2测试用例：测试名称：MME改变时NAS完整性保护算法选择测试编号：6.2.2.4.2测试目的：验证NAS完整性保护算法选择的正确性。预置条件：测试源MME和目标MME环境，源MME可仿真。测试步骤：MMES10MMEMMEUEEPSNASMMENASUEEPSMMEMME预期结果：目标MME启动一个NAS安全模式命令过程，包括选择的算法和UE安全功能。inter-RAT2GSIM需求名称：GSM用户禁止在空闲态移动到E-UTRAN需求参考：待定需求描述：如果上下文响应/SGSN上下文响应中的移动管理上下文指示GSM安全模式，MME应中止该过程，如3GPPTS33.401中章节9.1.2所述。测试用例：测试名称：GSM用户禁止在空闲态移动到E-UTRAN测试编号：6.2.2.5.1测试目的：验证2G用户不能在空闲态获得EPS服务。预置条件：测试环境具备源SGSN和目标MME，源SGSN可仿真。测试步骤：目标MME接收上下文响应中指示GSM安全模式的移动管理上下文。预期结果：MME确认SGSN的上下文响应，以适当的失败原因终止该过程。2GSIM需求名称：GSM用户禁止切换到E-UTRAN需求参考：待定GSM即包含3GPPTS33.4019.2.2测试用例：测试名称：GSM用户禁止切换到E-UTRAN测试编号：6.2.2.5.2测试目的：验证GSM用户不能通过切换获得EPS服务。预置条件：测试环境具备源SGSN和目标MME，源SGSN可仿真。测试步骤：目标MME接受向前重配置请求消息中指示GSM安全模式的移动管理上下文。预期结果：MME响应SGSN的向前重配置请求，以适当的失败原因终止该过程。SRVCC2GSIM需求名称：GSM用户禁止使用SRVCC进入E-UTRAN需求参考：待定需求描述：如果MME从SRVCC增强的源MSC服务器收到电路域到分组域的切换请求中的GPRSKc'，则MME应拒绝该请求，如3GPPTS33.401中章节14.3.1所述。测试用例：测试名称：GSM用户禁止使用SRVCC进入E-UTRAN测试编号：6.2.2.5.3测试目的：验证GSM用户不能通过SRVCC到E-UTRAN来获得EPS服务。预置条件：测试环境具备源MSC服务器和目标MME，源MSC服务器可仿真。测试步骤：目标MME接收电路域到分组域的切换请求中的GPRSKc'和CKSN'PS。预期结果：MME拒绝该请求。IMS需求名称：当鉴权失败时释放非紧急承载需求参考：待定需求描述：当UE或MME中鉴权失败时，MME或UE应释放任何已建立的非紧急承载，如3GPPTS33.401中章节15.1所述。测试用例：测试名称：当鉴权失败时释放非紧急承载测试编号：6.2.2.6.1测试目的：确保MME执行在没有鉴权成功时只有紧急承载可以使用。预置条件：测试环境具备MME和UE，UE可仿真，服务网络策略允许未鉴权的IMS紧急会话。测试步骤：在UE和网络之间已经建立了非紧急承载。然后UE发送EPS紧急承载服务请求，然后MME启动鉴权，该鉴权失败。UE不释放任何已建立的非紧急承载。预期结果：MME释放任何已建立的非紧急承载，但允许继续建立紧急承载。MMEGB/T5.2.3MMEGB/T5.2.4WebMME的Web安全保障要求参见GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第1部分：通用要求》5.2.5章节。MMEGB/T5.2.6MMEMMEGB/TMMEMME特定的基本脆弱性测试要求参见GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第1部分：通用要求》5.4章节。PGW概述GB/TXXXXX-XXXXGB/T44PGW特定安全功能性要求和测试用例3GPPPGW3GPPPGW除了GB/T15.2.2PGW应假定PGW符合以下与PGW相关的所有必选安全相关规范中的要求:-3GPPTS33.401:“EPSsecurityarchitecture”;-3GPPTS23.401、3GPPTS23.060等;-3GPPTS32.251:“PacketSwitched(PS)domaincharging”由于PDNGW是终结SGi接口的网关，所以PGW的安全流程与网关功能紧密相关。例如：-基于每个用户的包过滤（例如通过深度包检测）。-应该给每个IP-CAN承载分配一个唯一的身份号码实现计费。（即Chargingid）.-TEID在一个逻辑节点的一个IP地址内，是唯一的标识符。-移动性绑定-非激活的紧急PDN连接释放需求名称：基于用户的包过滤测试名称：基于用户的包过滤测试编号：7.2.1.2测试目的：测试名称：基于用户的包过滤测试编号：7.2.1.2测试目的：验证PGW支持基于每个用户的包过滤。预置条件：a)测试者有权限在PGWPGW能够实现基于每个用户的包过滤。b)用户（UE1UE2）PGW。c) PGW（e.g.tcpdump）。测试步骤：PGWUE1UE2PGWUE1SGiUE2SGiUE1PGWUE2PGW4)测试者使用网络流量分析器检查过滤的数据包。预期结果：PGW可以根据配置的过滤策略对每个用户的数据包进行过滤，例如PGW可以在步骤2中将UE1的数据包转发到SGi，并在步骤3中丢弃来自UE2的数据包。预期的证明方式：适用于该接口的证据，如包含操作结果的屏幕截图，pcap文件能够显示UE2的包被正确接收，但SGi接口上不可用，而UE1的包被正确发送到SGi。ChargingID需求名称：ChargingID的唯一性需求描述：每个IP-CAN承载分配一个唯一的身份号码实现计费IDIP-CANIP-CANIP-CANChargingIDChargingID测试方法：测试名称：ChargingID的唯一性测试编号：7.2.1.3测试目的：验证CreateSessionResponse内的theInformationElementBearerContext中设置的ChargingID是唯一的。预置条件：测试环境中部署了PGW、S-GWPCRF。PCRFS-GW可以是真实设备，也可以是模拟的。PGWS-GW测试步骤：测试者监听PGW和S-GW之间的流量。为了实现在PGW上的InitialUEattach，测试者触发一个以上(例如至少10000个)连续的CreateSessionRequest(使用真实的或模拟的S-GW)，以便设置一个新的IP-CAN承载。3）P-GW创建一个UE/S-GW上下文，并与PCRF(真实的或模拟的)进行通信，实现QOS和APN解析。该流程应成功地允许P-GW向S-GW发送CreateSessionResponse，其至少包含以下内容:成功的条件用于控制面的PGW的F-TEIDPDNAddressAllocation(PAA)d)ABearerContextsCreated.4）测试者验证在每个生成的CreateSessionResponse中创建的BearerContexts中的ChargingID是否不同。预期结果：分配给不同CreatSessionRequest请求的每个IP-CAN承载的ChargingID是唯一的。预期的证明方式：包含触发的GTP消息（pcap跟踪）的文档。TEID需求名称：TEID的唯一性需求描述：TEID是一个逻辑节点的一个IP地址的唯一的身份标识。注：TEID不会同时分配给多个激活的GTP隧道。在GTP隧道被终止，并且与此GTP隧道相关的TEID被释放后，可以重用该TEID。测试用例：测试名称：TEID的唯一性测试编号：7.2.1.4测试目的：验证为每个新建的控制面和数据面的GTP隧道分配的TEID是唯一的。预置条件：测试环境中部署了PGW和S-GW,PCRF。PCRF和S-GW可以是真实设备，也可以是模拟的。测试者能够跟踪PGW和S-GW之间的流量（真实的或者模拟的）。测试步骤：1)测试者监听PGW和S-GW之间的流量。测试者触发一个以上(例如至少500CreateSessionRequest(使用真实的或模拟的SGW)，例如实现在PGW上的InitialUEattach，并且GTPheaderTEID设置成0到F-TEID中不同的值。P-GWUE/S-GWPCRF(真实的或模拟的)QOSAPNP-GW向S-W发送CratSssinRspnse内容:成功的条件PGWF-TEIDPDNAddressAllocation(PAA)d)ABearerContextsCreated4)测试者验证在每个生成的CreateSessionResponse中创建的F-TEID是唯一的。预期结果：分配给不同CreatSessionResponse中的每个TEID是唯一的。预期的证明方式：包含触发的GTP消息（pcap跟踪）的文档。需求名称：在可信非3gpp访问期间对迁移绑定进行MN-HA身份扩展验证需求描述：PDN-GW应验证MN-HA身份验证扩展。测试用例：测试名称：移动性绑定测试编号：7.2.1.5测试目的：测试PGW是否正确验证MN-HA身份验证扩展。预置条件：UE和PGW在测试环境中连接。UE可以是模拟的。测试者可以访问3GPPAAA服务器和PDNGW之间的S6b接口。测试者可以访问基于MIPv4FACoA的PGW和UE之间的S2a接口。测试步骤：PGW(UE的归属网络代理)在3GPP接入网中处于活动状态。测试者使用任何包分析器捕获S6b和S2a接口上的报文。3)测试者通过S6b接口过滤从3GPPAAA服务器传输到PGW的身份验证和授权信息中的MN-HA密钥。4) UE通过可信的非3gppIP接入网向PGW发送注册请求消息。5)测试者通过S2a接口过滤UE发送给PGW的注册请求和PGW发送给UE的注册响应。6)测试者使用注册请求中的SPI值来标识MN-HA密钥，以计算身份验证扩展的Authenticator值。7)测试者验证计算的Authenticator值是否与注册请求消息中的Authenticator值相同。8)测试者还检查注册响应消息中的响应代码，以验证PGW验证的正确性。预期结果：注册响应信息中的响应码为“0”。预期的证明方式：可视化的证明方式，如包含操作结果的截图。PDN需求名称：紧急PDN连接释放需求描述：当紧急PDN连接处于非活动状态(即不传输任何数据包)时，PGW应启动该连接的所有承载方的停用。测试用例：测试名称：非激活的紧急PDN连接释放测试编号：7.2.1.6测试目的：验证PGW是否去激活在配置时间周期内处于非激活状态的紧急PDN连接的所有承载，以防止资源耗尽。预置条件：a)测试环境中连接了UE、PGW和S-GW网络产品。b)可以模拟UE和S-GW。测试者可以访问PGW配置文件。测试者可以访问基于GTP的S5/S8接口。测试步骤：测试者检查PGW配置文件，以找到PDN连接的非激活超时值。测试者启动紧急附着流程。测试者使用数据包分析仪，捕获PGW和S-GW之间的S5/S8接口上的数据包。 测试者过滤附着流程中带有“emergency”请求类型的PDNCONNECTIVITYREQUEST消息。 测试者过滤从PGW发送到SGW的DELETEBEARERREQUEST消息(ProcedureTransactionIdentifier,EPSBearerIdentity,Causes)。 测试者还过滤从SGW发送到PGW的相应DELETEBEARERRESPONSE消息(EPSBearerIdentity,UserLocationInformation)。 测试者验证DELETEBEARERREQUEST消息的原因值是否为“PDNconnectioninactivitytimerexpires ”。如果是，继续，否则转到步骤5。 为了确认紧急承载释放,测试者比较UE的EPS承载身份是否与三种消息(PDNCONNECTIVITYREQUEST,DELETEBEARERREQUESTandDELETEBEARERRESPONSE)中的身份相同。如果相同，说明非激活的紧急PDN连接没有被释放，即使配置的时间已经超时。预期结果：PGW根据配置的超时值释放非激活的紧急承载。预期的证明方式：可视化的证明方式，如包含操作结果的截图。GB/TXXXXX-XXXX15.2.3.2.15.2.3.2.25.2.3.2.35.2.3.2.45.2.3.2.5见GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第1部分：通用要求》的5.2.3.3。见GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第1部分：通用要求》的5.2.3.4。GTPTEID需求名称：不可预测的GTPTEID需求描述：GTPTEID第不可预测的。测试用例：测试名称：不可预测的GTPTEID测试编号：7.2.2.4.1测试目的：验证GTPTEID是不可预测的预置条件：a)测试环境中P-GW、S-GW、PCRF已部署，PCRF和S-GW可以是真实或模拟网元。b)能够跟踪P-GW和S-GW之间的流量。测试步骤：对P-GW和S-GW之间的流量进行监听；在用户A向P-GW初始化附着的过程中，连续触发10次CreateSessionRequest,。10次请求中，设置GTP隧道头的TEID为0，设置F-TEID为不同的值；测试者连续触发1次CreateSessionRequest。该请求来自另一个S-GW，用于另一个UE（如用户B）；4)P-GW创建用户B和S-GW之间的上下文，并与PCRF交互进行QoS和APN解析。P-GW向S-GW返回CreateSessionResponsea)成功原因；b)控制面PGW的FTEID；PDN地址分配；创建的承载上下文。5)测试者尝试从初始的10个FTEID中，为用户B最后的CreateSessionResponse预测一个FTEID。预期结果：a)测试者在用户B最后的CreateSessionResponse中无法预测一个F-TEID。预期的证明方式：如果结果是F-TEID不可预测，应包含触发GTP消息的文件（例如pcap抓包文件）；如果结果是F-TEID可预测，应包含能预测的具体原因描述。日志见GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第1部分：通用要求》的5.2.3.6。见GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第1部分：通用要求》的5.2.4。Web见GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第1部分：通用要求》的5.2.5。见GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第1部分：通用要求》的5.2.6.1。见GB/TXXXXX-XXXX《移动通信网络设备安全保障要求第1部分：通用要求》的5.2.6.2。IP需求名称：IP地址重分配间隔需求描述：PGW支持IP地址重新分配间隔。测试用例：测试名称：IP地址重分配间隔测试编号：7.2.5.3测试目的：验证PGW是否支持IP地址重新分配间隔预置条件：文档描述如何配置IP地址分配间隔测试步骤：根据产品文