2.2.1接入安全 当各类用户设备(UE)通过基站(NR)接入5G核心网时,5G核心网会对用户设备进行接入认证、访问控制等,并在数据传输过程中进行数据加密和完整性保护。 在5GC系统中,通过双向认证方式,确保接入设备接入真实安全的5G核心网,杜绝接入“假基站”,同时通过UDM和AUSF对接入设备进行鉴权认证。对于3GPP接入和非3GPP接入,采用统一的接入流程和认证方式,并支撑EPS-AKA、5G-AKA、EAP-AKA’等多种不同的认证方法。5G鉴权过程增强了归属网的控制,防止拜访网中可能存在的欺诈。 2.2.2 网络功能安全设计SA核心网中AUSF和SEPP是直接服务于网络安全的。AUSF提供终端鉴权和保护控制信息列表,作为生产者为AMF提供UE鉴权服务;SEPP在运营商之间建立TLS安全传输通道,对需要保护的信息进行机密性和完整性保护,有效防止数据在网间传输时被篡改或窃听。 5G核心网在设计之初便考虑了通过统一的认证框架实现接入认证,支撑多种接入技术的异构融合组网。 SA核心网具备根据SUCI/SUPI信息查询确认特定AUSF/UDM的功能,AUSF/UDM具备根据SUCI还原SUPI的功能。终端和gNodeB之间、终端和AMF之间提供对信令进行强制完整性保护及可选的加密保护,以及对用户数据可选的加密保护和可选的完整性保护。 2.2.3 管理安全5GC NF通过MANO进行管理和编排。MANO支撑分权分域的安全管理场景。 分权管理:为不同级别的用户提供不同的操作权限,以达到可见/不可见、可管理/不可管理的目的。在系统中,权就是操作集,系统有默认的操作集,包括安全管理员、管理员、操作员、监控员、维护员,也可以自定义操作集。 分域管理:集中控制节点的数据或操作维护功能,按管理域,划分成多个虚拟管理实体,实现不同域的用户管理。系统支撑地域(行政区域)、业务域(厂商、专业、网元类型)、资源池(资源池以及资源池下的租户)的域维度。 2.2.4 能力开放安全5GC支撑网络能力开放,通过能力开放接口将网络能力开放给第三方应用,以便第三方按照各自的需求设计定制化的网络服务。能力开放安全着眼于开放接口的安全防护,使用安全的协议规范。当第三方用户设备通过API接入时,需要进行认证。 2.2.5数据安全5GC数据安全体系基于数据最小化、匿名化、加密传输、访问控制的数据保护原则建立。 2.2.6 网络切片安全针对切片非法访问,应加强切片管理组件的身份认证、权限管控和数据访问控制等安全措施。此外,做好切片安全隔离。对于安全要求高的行业实施物理隔离,采用专用服务器和网络设备部署切片网元;对于普通场景要做好切片与多切片共享网元间的网络隔离。针对不同安全需求的业务和不同敏感级别的数据传输,网络切片选取各种切片隔离机制,包括RAN隔离、承载隔离和核心网隔离。其中RAN隔离重点针对无限频谱资源和基站处理资源;承载隔离则通过软隔离和硬隔离实现在时隙层面的物理隔离;核心网隔离实现网络切片间、功能间、用户间隔离。
|