《AI 驅動的電信網路規劃與設計 🌐》 58/100 5G 安全架構：SEPP / SUPI 保護-新一代安全設計

📘 AI時代系列(4)：AI 驅動的電信網路規劃與設計 🌐

58/100 第六週：📌 電信安全與防護

58. 5G 安全架構：SEPP / SUPI 保護 —— 新一代安全設計。

________________________________________

🎯 單元導讀

5G 網路在設計時，將「安全」提升到核心層級。與 4G/3G 不同，5G 在 漫遊、核心網控制信令、用戶身份保護 上有全新安全架構。

👉 其中兩大關鍵技術：

• SEPP（Security Edge Protection Proxy）：跨營運商邊界的安全代理，保護漫遊控制信令。

• SUPI（Subscription Permanent Identifier）保護：避免使用者身份（IMSI 類似資訊）在無線傳輸中被攔截。

________________________________________

🧠 一、SEPP（Security Edge Protection Proxy）

• 定義：5G 核心網中，用於跨 PLMN（Public Land Mobile Network）之間的安全閘道。

• 功能：

o 透過 HTTP/2 + TLS 保護漫遊信令。

o 提供 端對端完整性保護與隱私遮罩。

o 支援 應用層安全 (JSON Web Encryption, JWE)，確保資料不被篡改。

• 應用場景：

• 國際漫遊（例如台灣用戶到日本使用 5G）。

• 防止信令被中間人（MITM）攻擊。

• 對比 4G：4G 漫遊主要依靠 IPsec 與 Diameter，但存在弱點；5G SEPP 更強化應用層安全。

________________________________________

🧠 二、SUPI（Subscription Permanent Identifier）保護

• 定義：SUPI 是 5G 用戶永久身份標識，相當於 4G IMSI。

• 問題：在 2G/3G/4G 時代，IMSI 明文傳輸，易被「IMSI Catcher 偽基站」攔截。

• 解決方案：

o 5G 引入 SUCI（Subscription Concealed Identifier）。

o SUPI 透過 公鑰加密 在 UE 側轉換成 SUCI，再傳送至網路。

o 只有 Home Network 才能解密，避免身份暴露。

• 應用場景：

• 防止用戶身份被追蹤或定位。

• 提升隱私保護，符合 GDPR 與個資法規。

________________________________________

🔁 三、ASCII 架構示意

[UE] ---- 無線鏈路 ---- [gNB] ----> [Serving Network]

| |

SUPI → SUCI (加密) SEPP (跨營運商信令保護)

| |

↓ ↓

[Home Network] <------------> [Roaming Partner]

(解密 SUPI) (SEPP → SEPP 安全隧道)

這張圖展示了 5G 網路中使用者身分與跨營運商信令保護的安全流程。

當 UE（使用者設備）透過無線鏈路連接到 gNB（基站）並進入 Serving Network 時，原本的 SUPI（Subscriber Permanent Identifier，永久用戶身分識別碼） 不會直接傳輸，而是先在終端側加密成 SUCI（Subscription Concealed Identifier），避免用戶真實身分外洩。當涉及跨營運商漫遊時，SEPP（Security Edge Protection Proxy） 會建立營運商之間的 安全信令隧道，確保交換過程不被竊聽或竄改。隨後，SUCI 在 Home Network 中被解密回 SUPI，完成身分驗證，並透過 SEPP 與 Roaming Partner 間的安全通道進行協作。這樣的設計，兼顧了 用戶隱私保護、信令完整性與跨域漫遊安全性。

________________________________________

🧪 四、防護與挑戰

1. SEPP

o 優點：應用層信令加密、防篡改。

o 挑戰：跨營運商協調複雜，效能要求高。

2. SUPI 保護

o 優點：解決 IMSI Catcher 問題，大幅提升隱私。

o 挑戰：需依賴公鑰基礎設施（PKI），若金鑰管理不當仍有風險。

________________________________________

💼 五、實務題

1. 基礎題

o 問題：SEPP 在 5G 中的主要功能是什麼？

o 答案：跨營運商信令的安全代理，確保完整性、隱私與防篡改。

2. 應用題

o 問題：如何避免 5G 用戶身份像 4G IMSI 一樣被攔截？

o 答案：透過 SUPI → SUCI 加密機制，用戶身份不以明文傳輸。

3. 設計題

o 問題：如何設計一個安全的 5G 漫遊架構？

o 答案：在跨 PLMN 邊界部署 SEPP，確保 HTTP/2 信令加密，並結合 PKI 驗證。

4. 診斷題

o 問題：若發現漫遊用戶信令被竊聽，可能是哪裡出現問題？

o 答案：SEPP 未正確配置，或使用不安全的傳輸通道。

5. 進階題

o 問題：SUPI 保護如何幫助符合法規（如 GDPR）？

o 答案：避免用戶身份長期暴露，降低隱私風險，符合法規「資料最小化」原則。

________________________________________

✅ 六、小結與啟示

• SEPP：保護跨網信令，確保漫遊時數據完整性與隱私。

• SUPI 保護：避免用戶身份被攔截，徹底解決 IMSI Catcher 問題。

• 5G 安全設計相較於 4G 更加 全面、隱私優先、合規導向。

👉 SEPP 與 SUPI 保護是 5G 安全架構的兩大支柱，工程師必須熟悉其原理與實作。