專欄文章

3GPP SCAS 標準文件概述

詮隼科技/鄭仲翔

為了提供安全的網路架構，3GPP公布了一系列針對網路單元的安全風險分析、測試案例等技術報告(TR)和技術規範(TS)，如圖1。技術報告TR 33.805^[1]，旨在介紹一項針對行動網路產品所提出的安全保證及評估框架。該框架名為3GPP Security Assurance Methodology （SECAM），跳脫了傳統的互通性議題，為不同的網路產品級別提供共同且可測試的基線安全性質。

TR 33.805文件先研究各種可達到上述目標的業界做法，最後選出SECAM作為最適合的方法。為了確保每個網路級別都有單一的保證等級與安全基線，藉此達到具認證水平的自我評估，文件會在適當時機整合SECAM與一般性準則的概念，並於必要時調整SECAM的結構、呼應3GPP的情境。TR 33.805涵蓋的主要領域包含：

Ÿ   為相關風險模型和必要保證等級所訂定的協議內容。

Ÿ   SeCurity Assurance Specifications（SCAS）建構過程的定義。本領域對網路產品級別與有關的測試案件，提出了相對應的安全性要求。

Ÿ   安全保證、評估、認證所需的角色及過程介紹。

圖1、3GPP SCAS系列文件

行動通訊設備在製造過程中，須符合SCAS檢測，其流程可分為三個階段。首先會先對欲檢測設備進行評估，此評估需藉由具有公信力的機構進行，像是在GSMA體系中，須具備ISO/IEC 17025認證的測試實驗室才可進行測試。接著廠商拿到評估報告後可自行宣布或是交由認證方來頒發證書，以證明此設備產品具備3GPP所要求的安全性，最後交由資安實驗室針對設備的弱點進行規範檢測及防駭漏洞檢測，如圖2所示。

技術報告TR 33.916^[2]則是基於TR 33.805所制定的，內容包含如何撰寫網路設備的SCAS文件，有哪些步驟、安全描述、測試案例包含哪些內容等。技術報告TR 33.926^[3]從安全的角度對網路設備進行分類，並分析網路設備會面臨到的安全風險。

圖2、5G安全驗證流程^[1]

其中在5G行動通訊系統的安全性方面，國際標準組織3GPP制定了TS 33.5XX系列的5G行動通訊資安檢測標準(5G Security Assurance Specification, SCAS)，如表1所示。SCAS包含5G基地台與核心網功能的目標、需求與測試案例，可用於驗證5G設備在資安方面是否符合需求，有助於提升電信營運商部署5G基礎建設之安全性。

表1、5G行動通訊資安檢測標準

參考資料：

[1]    3GPP, “3GPP TR 33.805 V12.0.0, Study on security assurance methodology for 3GPP network products.,” 2013. [Online]. Available: https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx?specificationId=2304. [Accessed: 08-Apr-2021].

[2]    3GPP, “3GPP TR 33.916 V16.0.0, Security Assurance Methodology (SCAS) for 3GPP network products.,” 2020. [Online]. Available: https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx?specificationId=2345. [Accessed: 08-Apr-2021].

[3]    3GPP, “3GPP TR 33.926 V16.3.0, Security Assurance Specification (SCAS) threats and critical assets in 3GPP network product classes,” 2020. [Online]. Available: https://www.3gpp.org/ftp/Specs/archive/33_series/33.926/33926-g30.zip. [Accessed: 08-Apr-2021].