5G 网络切片安全能力
为支持不同业务的端到端安全保护,需要灵活的安全架构,提供多层次的切片安全保障,
当垂直行业用户有特定的安全需求时,可向运营商定制不同等级安全保护的网络切片。差异化
安全能力包括管理安全能力、网络设备资源安全能力,如图所示。
1、安全管理能力:
1)5G 网络的安全态势可视能力:包括应用层安全、基础设施安全、用户面/信令面/管理
面的安全监控可视,实现人工+自动化的快速响应闭环,保障运营商网络和数据不受来自外部
和内部用户的入侵和破坏,同时对内部人员误操作和非法操作进行审计监控,作为事后追溯的
可靠证据来源,便与事后责任追踪。可为行业客户提供切片安全态势感知 portal。
2)安全服务:针对不同行业用户的差异化安全诉求,网络切片提供可分级的安全运维能
力和安全服务,例如:企业可选择异常终端检测能力,可提供网络流量清洗,恶意网址检测,
网络封堵服务。此外,在客户有需求时,还可提供安全测试、安全培训、代码审计、等保测评、
安全集成等安全服务。
2、网络协议安全能力:
1)接入鉴权:5G 切片可利用 5G 系统所提供的基础鉴权能力,即首次认证及统一认证框
架(默认能力)实现用户接入鉴权并建立独立于接入技术的统一的密钥体系,5G 同时提供可
选的切片认证和二次认证机制,实现灵活的支持各种应用场景的身份鉴权。
2)信令面及数据面保护:终端和 gNB 之间、终端和 AMF 之间提供对信令的强制完整性
保护和可选的加密保护,对用户数据可选的加密保护和可选的完整性保护。对于语音、视频以
及普通用户数据,空口不启用用户面完整性保护;对于物联网数据业务,以及可靠性要求较高
的特殊数据业务,空口启用用户面完整性保护。
3)隐私保护:使用临时用户识别(5G-GUTI 或 5G-TMSI)替代国际移动用户识别号
(SUPI)进行保护,为解决 UE 初始接入消息用户信息泄露的风险,可使用增强空口隐私保护,
即 SUPI 加密(SUCI)机制。
4)SBA 安全:5GC 功能模块间可通过 NRF 发现及授权服务,可选使用 HTTPS 保护传递
信息安全并通过 TLS 双向身份认证防止假冒 NF 接入网络,实现 SBA 架构下的安全能力。
3、设备资源安全能力:
评论0