1、 ICS 33.060.99 M 36 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 演进分组系统 (EPS) 移动通信网络设备安全保障要求 移动性管理实体(MME) Security assurance requirement for mobile network product class of Evolved Packet System (EPS)- Mobility Management Entity (MME) (报批稿) -发布 -实施 中 华 人 民 共 和 国 工 业 和 信 息 化 部 发布 YD YD/T XXXXXXXX I 目 次 前言 . II 1 范
2、围 . 1 2 规范性引用文件 . 1 3 术语、定义和缩略语 . 1 3.1 术语和定义 . 1 3.2 缩略语 . 1 4 MME 特定安全需求和测试用例 . 2 4.1 概述 . 2 4.2 MME 特定安全功能性需求和测试用例 . 2 4.2.1 概述 . 2 4.2.2 3GPP 标准中的 MME 特定安全功能性需求和测试用例 . 2 4.2.3 技术基线 . 10 4.2.4 操作系统 . 10 4.2.5 Web 服务 . 11 4.2.6 网络设备 . 11 4.3 MME 加固安全 . 11 4.4 MME 特定的基本脆弱性测试 . 11 参考文献 . 12 YD/T XXX
3、XXXXX II 前 言 本标准是演进分组系统(EPS)移动通信系统网络设备安全要求系列标准之一,该系列标准的结构和名称预计如下: a) YD/T 3807移动通信网络设备安全保障通用要求; b) YD/T XXXX演进分组系统(EPS)网络设备安全保障要求 移动性管理实体(MME); c) 演进分组系统(EPS)网络设备安全保障要求 分组数据网网关(PGW); d) 演进分组系统(EPS)网络设备安全保障要求 演进基站(eNB); 本标准按照GB/T 1.1-2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提
4、出并归口。 本标准起草单位:中国联合网络通信集团有限公司、中国信息通信研究院、上海诺基亚贝尔股份有限公司、华为技术有限公司、中国移动通信集团有限公司、中国电信集团有限公司。 本标准主要起草人:高枫、夏俊杰、杨红梅、袁琦、胡志远、李赫、庄小君、齐闵鹏、陈璟、陆伟、王建伟、马铮、蒋春元、林兆冀、孔令飞。 YD/T XXXXXXXX 1 演进分组系统 (EPS) 移动通信网络设备安全保障要求 移动性管理实体(MME) 1 范围 本标准规定了演进分组系统(EPS)移动通信网移动性管理实体(MME)的安全保障目标、需求、测试用例。 本标准适用于演进分组系统(EPS)移动通信网络设备安全评估。 2 规范性
5、引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件, 仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 YD/T 3807-2020 移动通信网络设备安全保障通用要求 3GPP TS 33.401 V15.8 3GPP 系统架构演进(SAE) :安全架构(3GPP System Architecture Evolution (SAE) Security architecture) 3 术语、定义和缩略语 3.1 术语和定义 下列术语和定义适用于本文件。 3.1.1 MME 应用 MME Application 为MME网络产品
6、模型的移动性管理实体功能和OAM功能执行软件包的运行过程 (典型的多于一个)。 3.2 缩略语 下列缩略语适用于本文件。 AKA AUTS EPC EPS E-UTRAN GPRS 认证和密钥协商 重同步失败的认证失败消息 演进的分组核心网 演进的分组系统 演进的 UTRAN 通用分组无线业务 Authentication and Key Agreement Authentication failure Message with Synchronisation Failure Evolved Packet Core Evolved Packet System Evolved UTRAN Gen
7、eral Packet Radio Service YD/T XXXXXXXX 2 GSM HSS MME MSC NAS PLMN RAND SCAS SGSN SIM SRVCC TAU UE UICC 全球移动通信系统 归属用户服务器 移动性管理实体 移动交换中心 非接入层 公用陆地移动网络 随机数 安全保障规范 服务 GPRS 支持节点 用户身份识别模块 单无线频率语音呼叫连续性 跟踪区更新 用户设备 UMTS 集成电路卡 Global System for Mobile Communications Home Subscriber Server Mobility Management
8、 Entity Mobile Switching Center Non-Access Stratum Public Land Mobile Network RANDom number Security Assurance Specification Serving GPRS Support Node Subscriber Identification Module Single Radio Voice Call Continuity Tracking Area Update User Equipment UMTS Integrated Circuit Card 4 MME 特定安全需求和测试用
9、例 4.1 概述 YD/T 3807-2020适用于MME。测试准备见YD/T 3807-2020中4.1.2。 4.2 MME 特定安全功能性需求和测试用例 4.2.1 概述 本章规定MME特定的安全功能性需求和测试用例。 4.2.2 3GPP 标准中的 MME 特定安全功能性需求和测试用例 4.2.2.1 通用要求 MME应满足YD/T 3807-2020中4.2.2的要求,并满足以下要求: 适用于MME的要求: - 见3GPP TS 33.401 V15.8; - 其他安全标准引用3GPP TS 33.401 V15.8或被3GPP TS 33.401 V15.8引用。 适用于MME的安
10、全流程,包含在移动性管理流程之中应一起测试,例如包括: - 在附着或TAU流程中包含的AKA认证; - 在附着或TAU流程中包含安全模式控制; - 在inter-RAT移动性流程中包含安全上下文映射的推演。 4.2.2.2 认证和密钥协商流程 4.2.2.2.1 2G SIM 禁止接入 需求名称需求名称:2G SIM禁止接入 YD/T XXXXXXXX 3 需求参考需求参考:待定 需求描述需求描述: 使用2G SIM或UICC上的SIM应用接入E-UTRAN应被禁止, 如3GPP TS 33.401 V15.8章节6.1.1所述。 威胁参考威胁参考:待定 安全目标参考安全目标参考:待定 测试用
11、例测试用例: 4.2.2.2.2 重同步 需求名称需求名称:包含RAND, AUTS 需求参考需求参考:待定 需求描述需求描述:当重同步失败时,MME应包含RAND, AUTS,如3GPP TS 33.401 V15.8章节6.1.2所述。 威胁参考威胁参考:待定 安全目标参考安全目标参考:待定 测试用例测试用例: 4.2.2.2.3 附着消息完整性检查 需求名称需求名称:附着消息完整性检查 测试名称:测试名称:2G SIM禁止接入 测试编号:测试编号:4.2.2.2.1 测试目的:测试目的: 确认使用2G SIM接入EPS将被禁止。 预置条件:预置条件: 具备HSS的测试环境,HSS可仿真。
12、 测试步骤:测试步骤: HSS的认证数据响应中,包含2G的认证向量。 预期结果:预期结果: 当收到来自于HSS的2G认证向量时,MME拒绝UE认证。 测试名称:测试名称:重同步 测试编号:测试编号:4.2.2.2.2 测试目的:测试目的:确认重同步流程正确。 预置条件:预置条件: 测试环境具备UE和HSS,UE和HSS可仿真。 测试步骤:测试步骤: ME收到AUTHENTICATION FAILURE消息, 带有原因值21 “重同步失败” 和重同步令牌AUTS。 预期结果:预期结果: 在HSS请求的认证数据中,MME包含存储的RAND和收到的AUTS。 YD/T XXXXXXXX 4 需求参考
13、需求参考:待定 需求描述需求描述:如果无法识别用户或完整性检查失败,则MME应发送一个响应,指示无法检索用户标识,如3GPP TS 33.401 V15.8章节6.1.4所述。 威胁参考威胁参考:待定 安全目标参考安全目标参考:待定 测试用例测试用例: 4.2.2.2.4 不转发 EPS 认证数据给 SGSN 需求名称需求名称:不转发EPS认证数据给SGSN 需求参考需求参考:待定 需求描述需求描述:EPS认证数据不应从MME转发到SGSN,如3GPP TS 33.401 V15.8章节6.1.4所述。 威胁参考威胁参考:待定 安全目标参考安全目标参考:待定 测试用例测试用例: 4.2.2.2
14、.5 不同安全域间不转发未使用的 EPS 认证数据 需求名称需求名称:不同安全域间不转发未使用的EPS认证数据 需求参考需求参考:待定 测试名称:测试名称:附着消息完整性检查 测试编号:测试编号:4.2.2.2.3 测试目的:测试目的:通过附着请求的完整性检查来验证安全的用户标识是否正确工作。 预置条件:预置条件: 测试环境具备新的和原MME,新MME可以仿真。 测试步骤:测试步骤: 旧MME接收来自新MME的具有不正确完整性保护的标识请求消息。 预期结果:预期结果: 旧MME发送指示无法检索用户标识的响应。 测试名称:测试名称:不转发EPS认证数据给SGSN 测试编号:测试编号:4.2.2.
15、2.4 测试目的:测试目的:验证EPS身份认证数据是否保留在EPC中。 预置条件:预置条件: 测试环境具备MME和SGSN,SGSN可以仿真。 测试步骤:测试步骤: MME接收来自SGSN的标识请求消息。 预期结果:预期结果: 对SGSN的响应不包括EPS认证数据。 YD/T XXXXXXXX 5 需求描述需求描述:不应在属于不同服务域(PLMN)的MME之间转发未使用的EPS认证向量或非当前的EPS安全上下文,如3GPP TS 33.401 V15.8中章节6.1.5所述。 威胁参考威胁参考:待定 安全目标参考安全目标参考:待定 测试用例测试用例: 4.2.2.3 安全模式流程 4.2.2.
16、3.1 降级保护 需求名称需求名称:降级保护 需求参考需求参考:待定 需求描述需求描述:安全模式命令应包含UE的安全能力,如3GPP TS 33.401 V15.8中章节7.2所述。降级保护体现在安全模式流程中,保护UE安全能力中的算法没有被造假,即UE安全能力没有被降级篡改,如3GPP TS 33.401 V15.8中章节7.2.4.1所述。 威胁参考威胁参考:待定 安全目标参考安全目标参考:待定 测试用例测试用例: 测试名称:测试名称:不同安全域间不转发未使用的EPS认证数据 测试编号:测试编号:4.2.2.2.5 测试目的:测试目的:验证未使用的EPS认证数据应保留在同一个服务域中。 预
17、置条件:预置条件: 旧MME和新的MME部署在不同的服务域中,新的MME可仿真。 测试步骤:测试步骤: 旧MME从新的MME接收到Identification Request消息。 预期结果:预期结果: 旧MME向新的MME给出响应,但该响应不包括未使用的EPS认证数据。 测试名称:测试名称:降级保护 测试编号:测试编号:4.2.2.3.1 测试目的:测试目的:验证MME能够对UE的安全能力进行防降级保护 预置条件:预置条件: 具备测试UE的环境,UE可仿真。 测试步骤:测试步骤: 1) 获取UE的附着请求消息 2) 获取MME向UE发送的安全模式命令消息 预期结果:预期结果: MME在安全模
18、式命令中携带的UE安全能力与UE在附着请求中携带的UE安全能力一致。 YD/T XXXXXXXX 6 4.2.2.3.2 NAS 完整性算法选择和使用 需求名称需求名称:NAS完整性算法选择 需求参考需求参考:待定 需求描述需求描述:MME应使用完整性算法保护安全模式命令,该完整性算法应是UE EPS安全能力中的算法列表中的具有最高优先级的算法, 如3GPP TS 33.401 V15.8中章节7.2.4.3.1所述。 威胁参考威胁参考:待定 安全目标参考安全目标参考:待定 测试用例测试用例: 4.2.2.3.3 NAS 完整性保护为空 需求名称需求名称: NAS完整性保护为空 需求参考需求参
19、考:待定 需求描述需求描述: EIA0仅在未经认证的紧急呼叫中使用, 如3GPP TS 33.401 V15.8中章节5.1.4.1所述。 威胁参考威胁参考:待定 安全目标参考安全目标参考:待定 测试用例测试用例: 测试名称:测试名称: NAS完整性算法选择 测试编号:测试编号:4.2.2.3.2 测试目的:测试目的:验证NAS完整性算法选择和使用的正确性。 预置条件:预置条件: 具备测试UE的环境,UE可仿真。 测试步骤:测试步骤: MME发送安全模式命令,UE以安全模式完成应答MME。 预期结果:预期结果: a) MME选择完整性算法,该完整性算法应是UE EPS安全能力中的算法列表中的具
20、有最高优先级的算法。MME检测安全模式完成消息的MAC(消息认证码)。 b) 安全模式完成消息的MAC (消息认证码) 验证成功, 则NAS完整性算法的选择和使用正确。 测试名称:测试名称:NAS完整性保护为空 测试编号:测试编号:4.2.2.3.3 测试目的:测试目的:验证NAS完整性保护算法为空的正确使用。 预置条件:预置条件: 具备UE的测试环境(非紧急呼叫场景),UE可仿真。 测试步骤:测试步骤: 成功认证UE后,MME发送安全模式命令消息。 YD/T XXXXXXXX 7 4.2.2.3.4 NAS 机密性算法保护 需求名称需求名称: NAS机密性保护 需求参考需求参考:待定 需求描
21、述需求描述: UE向MME发送NAS安全模式完成消息, 该消息经过机密性和完整性保护, 如3GPP TS 33.401 V15.8中章节7.2.4.3.1所述。 威胁参考威胁参考:待定 安全目标参考安全目标参考:待定 测试用例测试用例: 4.2.2.4 intra-RAT 移动性安全 4.2.2.4.1 X2 切换中降级保护 需求名称需求名称: X2切换中降级保护 需求参考需求参考:待定 需求描述需求描述: MME应验证从eNB接收到的UE EPS安全能力与MME已存储的UE EPS安全能力相同,如3GPP TS 33.401 V15.8中章节7.2.4.2.2所述。降级保护体现在X2切换中,
22、保护UE安全能力中的算法没有被造假,即UE安全能力没有被降级篡改,如3GPP TS 33.401 V15.8中章节7.2.4.2.2所述。 威胁参考威胁参考:待定 安全目标参考安全目标参考:待定 测试用例测试用例: 预期结果:预期结果: 所选择的完整性保护算法不是EIA0。 测试名称:测试名称:NAS机密性保护 测试编号:测试编号:4.2.2.3.4 测试目的:测试目的:验证NAS机密性保护算法使用的正确性。 预置条件:预置条件: 具备UE的测试环境,UE可仿真。 测试步骤:测试步骤: MME接收到未经机密性保护的安全模式完成消息。 预期结果:预期结果: 如果所选择的机密性算法不是EEA0,则
23、MME拒绝该消息。 测试名称:测试名称: X2切换中降级保护 测试编号:测试编号:4.2.2.4.1 测试目的:测试目的:验证能阻止X2切换中降级攻击。 预置条件:预置条件: 具备eNB的测试环境。eNB可仿真。 YD/T XXXXXXXX 8 4.2.2.4.2 MME 改变时 NAS 完整性保护算法选择 需求名称需求名称:MME改变时NAS完整性保护算法选择 需求参考需求参考:待定 需求描述需求描述:当MME和NAS算法改变时,目标MME应启动NAS安全模式命令过程,该过程中发给UE的消息(参考3GPP TS 33.401 V15.8章节7.2.4.4)包括选择的算法和UE安全能力(检测攻
24、击者对UE安全能力的修改)。MME应选择NAS算法,该NAS算法应是UE EPS安全能力中的算法列表中的具有最高优先级的算法(参考3GPP TS 33.401 V15.8章节7.2.4.3.1),如3GPP TS 33.401 V15.8中章节7.2.4.3.2所述。 威胁参考威胁参考:待定 安全目标参考安全目标参考:待定 测试用例测试用例: 4.2.2.5 inter-RAT 移动性安全 4.2.2.5.1 空闲态无 2G SIM 卡接入 需求名称需求名称:GSM用户禁止在空闲态移动到E-UTRAN 需求参考需求参考:待定 需求描述需求描述:如果上下文响应/SGSN上下文响应中的移动管理上下
25、文指示GSM安全模式,MME应中止该过程,如3GPP TS 33.401 V15.8中章节9.1.2所述。 威胁参考威胁参考:待定 配置MME,用以记录UE EPS安全能力不匹配事件。 测试步骤:测试步骤: MME接收切换消息,且该消息中的UE EPS安全能力与MME中所存储的该UE EPS安全能力不同。 预期结果:预期结果: MME记录UE EPS安全能力不匹配事件。 测试名称:测试名称:MME改变时NAS完整性保护算法选择 测试编号:测试编号:4.2.2.4.2 测试目的:测试目的:验证NAS完整性保护算法选择的正确性。 预置条件:预置条件: 测试源MME和目标MME环境,源MME可仿真。
26、 测试步骤:测试步骤: 1)目标MME通过S10接口从源MME接收源MME使用的UE EPS安全能力和NAS算法; 2)目标MME选择NAS算法,该完整性算法应是UE EPS安全能力中的算法列表中的具有最高优先级的算法,假设目标MME从列表里选择的算法与从源MME接收到的算法不同。 预期结果:预期结果: 目标MME启动一个NAS安全模式命令过程,包括选择的算法和UE安全功能。 YD/T XXXXXXXX 9 安全目标参考安全目标参考:待定 测试用例测试用例: 4.2.2.5.2 切换无 2G SIM 卡接入 需求名称需求名称:GSM用户禁止切换到E-UTRAN 需求参考需求参考:待定 需求描述
27、需求描述: 如果向前重配置请求消息中的移动管理上下文指示GSM安全模式 (即包含Kc) ,MME应中止非紧急呼叫程序,如3GPP TS 33.401 V15.8中章节9.2.2所述。 威胁参考威胁参考:待定 安全目标参考安全目标参考:待定 测试用例测试用例: 4.2.2.5.3 SRVCC 无 2G SIM 卡接入 需求名称需求名称:GSM用户禁止使用SRVCC进入E-UTRAN 需求参考需求参考:待定 需求描述需求描述:如果MME从SRVCC增强的源MSC服务器收到电路域到分组域的切换请求中的GPRS Kc,则MME应拒绝该请求,如3GPP TS 33.401 V15.8中章节14.3.1所
28、述。 威胁参考威胁参考:待定 测试名称:测试名称:GSM用户禁止在空闲态移动到E-UTRAN 测试编号:测试编号:4.2.2.5.1 测试目的:测试目的:验证2G用户不能在空闲态获得EPS服务。 预置条件:预置条件: 测试环境具备源SGSN和目标MME,源SGSN可仿真。 测试步骤:测试步骤: 目标MME接收上下文响应中指示GSM安全模式的移动管理上下文。 预期结果:预期结果: MME确认SGSN的上下文响应,以适当的失败原因终止该过程。 测试名称:测试名称: GSM用户禁止切换到E-UTRAN 测试编号:测试编号:4.2.2.5.2 测试目的:测试目的:验证GSM用户不能通过切换获得EPS服
29、务。 预置条件:预置条件: 测试环境具备源SGSN和目标MME,源SGSN可仿真。 测试步骤:测试步骤: 目标MME接受向前重配置请求消息中指示GSM安全模式的移动管理上下文。 预期结果:预期结果: MME响应SGSN的向前重配置请求,以适当的失败原因终止该过程。 YD/T XXXXXXXX 10 安全目标参考安全目标参考:待定 测试用例测试用例: 4.2.2.6 IMS 紧急会话处理安全 4.2.2.6.1 释放非紧急承载 需求名称需求名称:当鉴权失败时释放非紧急承载 需求参考需求参考:待定 需求描述需求描述: 当UE或MME中鉴权失败时, MME或UE应释放任何已建立的非紧急承载, 如3G
30、PP TS 33.401 V15.8中章节15.1所述。 威胁参考威胁参考:待定 安全目标参考安全目标参考:待定 测试用例测试用例: 4.2.3 技术基线 MME的技术基线安全保障要求见3807-2020的4.2.3。 4.2.4 操作系统 测试名称:测试名称:GSM用户禁止使用SRVCC进入E-UTRAN 测试编号:测试编号:4.2.2.5.3 测试目的:测试目的:验证GSM用户不能通过SRVCC到E-UTRAN来获得EPS服务。 预置条件:预置条件: 测试环境具备源MSC服务器和目标MME,源MSC服务器可仿真。 测试步骤:测试步骤: 目标MME接收电路域到分组域的切换请求中的GPRS K
31、c和CKSNPS。 预期结果:预期结果: MME拒绝该请求。 测试名称:测试名称:当鉴权失败时释放非紧急承载 测试编号:测试编号:4.2.2.6.1 测试目的:测试目的:确保MME执行在没有鉴权成功时只有紧急承载可以使用。 预置条件:预置条件: 测试环境具备MME和UE,UE可仿真,服务网络策略允许未鉴权的IMS紧急会话。 测试步骤:测试步骤: 在UE和网络之间已经建立了非紧急承载。然后UE发送EPS紧急承载服务请求,然后MME启动鉴权,该鉴权失败。UE不释放任何已建立的非紧急承载。 预期结果:预期结果: MME释放任何已建立的非紧急承载,但允许继续建立紧急承载。 YD/T XXXXXXXX
32、11 MME的操作系统安全保障要求见YD/T 3807-2020的4.2.4。 4.2.5 Web 服务 MME的Web安全保障要求见YD/T 3807-2020的4.2.5。 4.2.6 网络设备 MME的网络设备安全保障要求见YD/T 3807-2020的4.2.6。 4.3 MME 加固安全 MME加固的安全保障要求见YD/T 3807-2020的4.3。 4.4 MME 特定的基本脆弱性测试 MME特定的基本脆弱性测试要求见YD/T 3807-2020的4.4。 YD/T XXXXXXXX 12 参考文献 1 3GPP TS 33.116 V15 Security Assurance Specification(SCAS) for the MME network product class(06/2018) 2 3GPP TS 33.117 V15.1 Catalogue of General Security Assurance Requirements(09/2018) 3 3GPP TR 21.905 Vocabulary for 3GPP Specifications