可靠安全路由对关键通信网络连通性至关紧要,确保数据包到达预期目的地时不被拦截、修改或下降路线安全不足可令整个网络易受攻击,如互联网协议伪信、路由劫机和中位人攻击

随着全局IP网络基础设施日益复杂和普遍化,核心路由协议安全-包括边界网关协议和资源公钥基础设施-是网络安全全局的一个固有方面。恶意行为方和威胁向量以网络路由层为目标可造成严重中断,如数据泄漏、网络故障和未经授权获取敏感信息

手机澳门银河娱乐平台地球CableLabs刚发布网络安全框架配置安全简介或RSP基础提高互联网路由系统安全RSP是一个可操作并适应性指南,与国家标准技术学院网络安全框架使互联网服务提供商、企业网络、云服务提供商和大小组织能主动识别风险并减轻威胁以加强路由安全

手机澳门银河娱乐平台地球RSP开发成CableLabs和电缆产业长期领导和承诺建设和维护更安全互联网生态系统开发响应NIST请求提交插件示例映射到 CSF目的是解决与特定企业活动或运营相关联的网络安全风险

路由安全简介和谁使用它

网络工程师、IT管理员、网络安全专业人员和决策者参与网络安全风险管理是优先候选程序,使用RSP-完全侧重于路由协议和服务-作为整体网络战略的一个工具,加强组织内部现有的安全政策和风险管理程序

银河游戏登录RSP描述互联网路由安全使用的各种技术,包括BGP、互联网路由登记器、自主系统路由过滤和RPKI此外,它概述了改善BGP安全的若干关键建议,包括路由源授权书、路由验证、BGP同级认证、前缀过滤和监测异常

路由安全配置

通过映射安全最佳做法和标准以适应关键类别和子类NISTCSF1.1核心功能-识别、保护、检测、响应和恢复-RSP可帮助组织执行下列任务:

• 识别系统、资产、数据和风险与IP网络相关
• 保护IP网络自评并坚持网络安全原则
• 检测网络安全干扰或IP网络服务与数据腐化
• 响应IP网络服务或数据异常
• 恢复IP网络处理网络安全事件

RSP框架改善安全和管理互联网路由选择风险一键关键基础设施网络安全拼图银河游戏登录和任何安全努力一样,RSP将随时间演化以反映NISTCSF的变化,包括2024年初到来的CSF2.0更新、路由安全技术的进步和快速冒出安全威胁全景

手机澳门银河娱乐平台地球RSP由CableLabs电缆路由工程安全信任工作组开发手机澳门银河娱乐平台地球CREST工作组由线路安全技术员组成,他们来自CableLabs、NCTA-Internet电视协会和全世界各地的网络运营商,包括来自世界各地的代表阿姆斯特朗,宪章,comcast,库克斯,东链接,自由全局,密哥市,罗杰斯/Shaw并视频天文.关于CREST工作组的更多资料,请联系我们.

网络生态系统利益攸关方对RSP反馈,请发送注释陶万市.我们还将通过论坛等渠道与更广泛的互联网界接触M级3AAWG提高认知度并进一步改进剖面图以惠及所有AS操作者,包括ISPs、云服务提供商、政府机构、大学和其他组织

今日5G移动网络在全球迅速部署显示GISA移动经济2021北美5G移动连接占2020年所有移动连接的3%,但预计到2025年这一数字将上升至51%。

除加速部署公共5G网络外,基于无证频谱和开放5G解决方案支持开放接口和互操作性私5G网络也正在出现预测5G网络-公共网和私网-在不久的将来将居主导地位

从安全角度讲,5G网络引入新安全增强和新安全挑战5G核心网络移向服务化虚拟化架构将带来新的安全挑战银河游戏登录安全部署5G网络保护用户和5G网络基础设施对使用和管理5G技术执行官和从业者都最为关注。

填补5G安全标准空白

好消息是国家网络安全英才中心NCCE部分国家标准技术学院5G网络安全指南帮助组织有效减轻5G安全风险具体地说,NCCE力求解决当前5G网络安全标准开发方面的差距,该标准开发主要侧重于5G组件间接口安全这些标准不具体说明网络安全保护 基础IT组件支持并操作5G系统

手机澳门银河娱乐平台地球电缆线带友友协作并协同NCCE开发5G网络安全实践指南和5G安全参考架构以降低5G网络安全风险安全云托管IT基础

指南为托管5G核心网络提供实施安全云环境的建议-例如,利用服务器硬件信任根以远程证明云计算平台可信性至今为止3GPSA3尚未完成5G核心虚拟化安全冲击研究NCCE为保障5G云平台提供指南和建议将有助于填补当前5G安全标准中的空白,并有助于为3GP在这一领域的工作提供参考

分享5G技术

我们鼓励你审查指南初稿并分享你的知识6月27日.提交反馈在线或发送邮件5G-security@nist.gov.

手机澳门银河娱乐平台地球CableLabs发布一套最佳常用实践 帮助加速部署资源公共密钥基础设施RPKI),它能降低IP前缀劫机风险

所有为住宅用户和企业用户服务宽带网络均由访问网络和IP网络组成接入网络连接住宅和商业馆舍与宽带提供商IP网络IP网络互连用边界网关协议组成互联网

IP前缀劫机常见干扰BGP并交换IP网络间流量,它可能意外发生(例如误配置)或故意发生(例如恶意方发生)。

IP前缀劫机事件早在1997年就发生,当时顶级自主系统不小心公告属于网络运营商的大量IP前缀路线,制造路由黑洞并严重干扰互联网自那以来,IP前缀经常发生,给数亿互联网用户服务中断,并被视为互联网可用性最大威胁之一

幸运的是网络运营商和大行业联手解决IP前缀劫机风险具体地说,RPKI标准化互联网工程工作队配有部署策略message Maware移动反故障工作组³AAWG)并正由电缆运营商和其他网络运营商部署以防止IP前缀劫持RPKI允许IP地址空间的合法所有者加密维护前缀的所有权并允许其他各方验证接收BGP路线与可信密码断言对检测前缀劫机约三分之一互联网上宣布的IP前缀使用RPKI数字签名

手机澳门银河娱乐平台地球帮助加速全网部署RPKI并增强所有网络的恢复能力,CableLabs发布RPKI部署最佳常用方法文档中手机澳门银河娱乐平台地球这份文件由CableLabs专家及其成员(包括成员)编写宪章,comcast,库克斯并自由全局RPKI成功部署网络

RPKI部署BCP提供分五步指南部署路由授权和路由验证这两个RPKI两个主要组件此外,它指导RPKI和BGP的监测,以确保路由基础设施持续健康

手机澳门银河娱乐平台地球为此,我们请求你下载CableLabsBCP资源以部署并维护网络中的RPKIRPKI大规模部署后,我们可以尽量减少IP前缀劫机风险并增强互联网的安全和恢复能力

假基础站、 Rogue基础站、国际移动用户识别器或Stingrai四种词都指由硬件和软件组成工具,允许通过无线电访问网对移动用户进行被动主动攻击攻击工具(以下简称FBS)利用移动网络安全漏洞从2G(第二代)到3G、4G和5G5G有改进,待会再讨论

移动网络代代相传,手机基站定期播送网络信息移动设备或用户设备监听这些广播消息,选择适当的手机并连接手机和移动网络因实战挑战 广播消息不受保密性 真实性或完整性保护结果,广播消息易伪或篡改某些解锁消息也没有受保护 并允许假冒缺少对移动广播消息和某些无卡消息的安全保护使FBS成为可能

FBS可采取多种形式,如单集成设备或多分离组件后表[1]FBS通常由无线收发器、笔记本电脑和手机组成无线收发器广播无线电信号冒充合法基站笔记本电脑连接收发机(例如通过USB接口)并控制广播内容和广播信号强度手机常用于捕捉合法基站广播消息并输入笔记本电脑以简化收发机配置两种形式中都可用小脚印绑定FBS,允许将其留在不可知地点(例如安装到街杆上)或方便携带(例如背包内)。

FBS常播送与合法网络相同的网络标识符,但带强信号诱导用户离开FBS信号成功需要多强答案直到最近才为人们所理解根据实验研究2FBS信号必须大于30db强信号35db强时成功率约80%40db强时成功率提高至100%在这些实验中,FBS用与合法单元相同的频率和波段播送相同消息FBS的另一策略是播送相同的网络标识符,但带不同的跟踪区码,诱导UE相信它已输入一个新的跟踪区并切换FBS这项战略可以更容易地将UE引向FBS并会帮助降低FBS成功所需的信号强度精确信号强度需求 无法用实验量测

i宿营FBS,UE受主动式攻击和被动式攻击被动攻击时,敌手只监听UE和合法基站的广播信号而不干扰通信(例如信号注入)。被动攻击的后果包括-但不限于-身份失窃和定位跟踪窃听往往成为主动攻击的踏脚石 敌手还注入信号主动攻击者可以是中间人或侧人攻击者

MITM攻击中攻击者正走UE和另一个实体通信之道,对通信几乎可以做任何事情,例如读取、注射、修改和删除消息一种攻击方式是将UE降级2G弱或空密码允许窃听MITM攻击的另一个实例是aLTEr[3],它仅篡改LTE网络dNS请求,不降级或篡改控制消息用户平面数据LTE加密,但如果加密(例如AES反模式)由于缺乏完整性保护而易失能,则仍可篡改

在MOTS攻击中,攻击者对通信的控制量不同于MITM攻击攻击者多发消息从UE获取信息(例如通过身份请求窃取IMSI),向UE发送恶意消息(例如按网短信)或从UE拦截服务(例如代表UE响应电话[4])。MOTS攻击者不引导UE连接它,仍然可以干扰现有通信-例如,通过注入略强信号,这些信号有适当时间覆盖合法消息中选定部分[2]

FBS自2G以来一直威胁数代移动网络的安全3GPP过去曾研究FBS缓冲问题,但由于实际约束如密码密钥管理部署挑战以及时序同步困难等没有成功5G发布15[5],网络侧检测FBS说明,帮助减少风险,尽管未能防止FBS5G发布15还介绍用户永久标识码公开密钥加密5G发布16[6]正重新研究FBS提出了各种解决办法,包括保护广播完整性、分页和解锁消息还建议其他检测方法

我们认为FBS主要来自缺乏完整性保护广播消息基本解决办法是保护信号完整性(例如使用公钥数字签名)。虽然挑战仍然有这样一个解决方案,但我们认为这些挑战并非不可克服。其它解决方案基于攻击签名,当攻击演进改变攻击技巧和行为时,这些签名可能帮助但最终可绕过期待3GPSA3协议长期解决5G中FBS问题

学习更多5G未来订阅我们的博客

引用

[1] Li、Zhenhua、Weiwei Wang、Christo Wilson、Chen、Chenqian、Taeho Jung、LanZhang、Kebin Liu、YunhaFBS-Radar:野外解封假基站

阳市 市 市 金市 金市 宋民金市 金市静信令:物理信号反射LTE

RupprechtDKHolzT和PopperC2019年5月IEE安全隐私座谈会记录

GoldeNRedonK和SeifertJP2013年8月第22届USENIX安全座谈会记录

3GPPTS33.501,“安全架构和5G系统程序”(发布15)v155.0,2019年6月

3GPP TR 33.809,“研究5G安全增强反假基站”(释放16)v0.5.02019

上头5G银河游戏登录手机通信(第五代)是当今最热技术之一,目前正在开发中3GP.5G除提供快捷速度、高带宽和低延缓度外,还支持更多使用案例,例如:

• 增强移动宽带
• 大规模机器类型通信
• 超可靠低延迟通信

即时部署全球后,隐私安全保护对5G至关重要通话、通信和移动数据必须保护认证、保密和完整性验证和密钥协议构成移动通信安全的基石,提供用户与网络之间的互认证,并提供保护信号消息和用户数据所需的密码密钥搭建因此,每一代细胞网络定义至少一种认证方法4G定义EPS-AKA5G定义三种认证方法:5G-AKA、EAP-AKA'和EAP-TLS网络从业者询问什么驱动新5G认证方法的采用,它们与4G认证有何不同,以及它们彼此有何不同

手机澳门银河娱乐平台地球回答这些问题,CableLabs研究并比较4G和5G认证.5G认证提高4GEPS-AKA认证数领域5G提供统一认证框架支持更多使用案例、改善UE身份保护、增强家庭网络控制并增加密钥分离本研究还指出5G认证并非无弱并需要持续演化

详情请下载4G和5G验证白纸确定联系陶万市if you have questions. 如果你有问题