5G電力虛擬專網(wǎng)環(huán)境零信任安全接入及交互技術(shù)要求

T/ZJSEEXXXX—XXXX

5G電力虛擬專網(wǎng)環(huán)境零信任安全接入及交互技術(shù)要求

1范圍

本文件規(guī)定了5G電力虛擬專網(wǎng)環(huán)境零信任安全接入與交互的總體架構(gòu)、訪問(wèn)主體技術(shù)要求、接入通

道技術(shù)要求、安全交互技術(shù)要求和支撐系統(tǒng)技術(shù)要求。

本文件適用于5G電力虛擬專網(wǎng)環(huán)境零信任安全接入與交互設(shè)計(jì)、開發(fā)和選型。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T29242-2012信息安全技術(shù)鑒別與授權(quán)安全斷言標(biāo)記語(yǔ)言

GB/T37032物聯(lián)網(wǎng)標(biāo)識(shí)體系總則

QGDW12098-2021電力物聯(lián)網(wǎng)術(shù)語(yǔ)

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

邊緣物聯(lián)代理IoTedgeagent

在智慧物聯(lián)體系中部署于邊緣側(cè)的裝置或軟件模塊，利用本地通信網(wǎng)絡(luò)對(duì)(智能）傳感器、采集控

制終端、表計(jì)、監(jiān)測(cè)裝置等終端進(jìn)行統(tǒng)一接入，實(shí)現(xiàn)對(duì)多種通信方式和協(xié)議規(guī)約的適配，根據(jù)統(tǒng)一邊緣

計(jì)算框架對(duì)數(shù)據(jù)進(jìn)行邊緣處理和標(biāo)淮化建模，并通過(guò)安全接入平臺(tái)發(fā)送到物聯(lián)管理平臺(tái)或主站系統(tǒng)。

[來(lái)源：QGDW12098-2021，3.3.7]

終端零信任代理terminalzerotrustagent

代理終端完成零信任處理的軟件實(shí)體，身份認(rèn)證和訪問(wèn)控制的策略執(zhí)行點(diǎn)。物聯(lián)網(wǎng)中，終端零信任

代理和物聯(lián)網(wǎng)終端可為不同的物理實(shí)體，但終端和終端零信任代理之間應(yīng)有可信通道進(jìn)行交互。

安全接入secureaccess

提供基于零信任的內(nèi)網(wǎng)應(yīng)用資源接入，通過(guò)身份認(rèn)證、權(quán)限控制等模塊，確保更安全、更隱私地訪

問(wèn)業(yè)務(wù)。

安全交互secureaccessandinteraction

基于零信任的內(nèi)網(wǎng)應(yīng)用資源安全信息交互的過(guò)程。

訪問(wèn)主體accesssubject

能訪問(wèn)客體的主動(dòng)實(shí)體。

[來(lái)源：GB/T29242-2012，3.7]

注：訪問(wèn)主體可以是發(fā)起訪問(wèn)的設(shè)備、用戶、應(yīng)用等。

訪問(wèn)客體accessobject

被訪問(wèn)的目標(biāo)資源。

注：訪問(wèn)客體例如服務(wù)器、數(shù)據(jù)庫(kù)、打印服務(wù)、網(wǎng)絡(luò)等。

1

T/ZJSEEXXXX—XXXX

終端terminal

電力5G終端，包含CPE、FTU、DTU、融合終端等。

5G核心網(wǎng)5Gcorenetwork

采用第五代移動(dòng)通信技術(shù)，對(duì)用戶面和控制面分離，采用服務(wù)化架構(gòu)設(shè)計(jì)，主要由網(wǎng)絡(luò)功能（NF）

組成，采用分布式的功能，根據(jù)實(shí)際需要部署，新的網(wǎng)絡(luò)功能加入或撤出，并不影響整體網(wǎng)絡(luò)的功能。

切片NetworkSlicing

電信運(yùn)營(yíng)商從統(tǒng)一電信基礎(chǔ)設(shè)施分離出的虛擬網(wǎng)絡(luò)，實(shí)現(xiàn)端到端資源隔離，以適配各種類型的業(yè)務(wù)

應(yīng)用。基于不同技術(shù)實(shí)現(xiàn)方式，依照資源隔離強(qiáng)度高低網(wǎng)絡(luò)切片可分為硬切片和軟切片兩種類型。

電力專用UPFUserPlaneFunction

電力系統(tǒng)負(fù)責(zé)處理數(shù)據(jù)傳輸?shù)臄?shù)據(jù)平面功能。

邊緣計(jì)算節(jié)點(diǎn)Edgecomputingnode

在靠近用戶的網(wǎng)絡(luò)邊緣側(cè)構(gòu)建的業(yè)務(wù)平臺(tái)，提供存儲(chǔ)、計(jì)算、網(wǎng)絡(luò)等資源，將部分關(guān)鍵業(yè)務(wù)應(yīng)用下

沉到接入網(wǎng)絡(luò)邊緣，以減少網(wǎng)絡(luò)傳輸和多級(jí)轉(zhuǎn)發(fā)帶來(lái)的寬度和時(shí)延損耗。邊緣節(jié)點(diǎn)位置介于用戶和云中

心之間，相比較傳統(tǒng)的云中心，邊緣節(jié)點(diǎn)更接近用戶（數(shù)據(jù)源）。

共享運(yùn)營(yíng)商UPFSharedoperatorUserPlaneFunction

適用于共享運(yùn)營(yíng)商的無(wú)線網(wǎng)和核心網(wǎng)的用戶平面功能，5G核心網(wǎng)系統(tǒng)架構(gòu)的重要組成部分，主要負(fù)

責(zé)5G核心網(wǎng)中用戶平面數(shù)據(jù)包的路由和轉(zhuǎn)發(fā)相關(guān)功能。為不同業(yè)務(wù)UPF部署虛擬防火墻或?qū)Ｓ觅Y源塊進(jìn)

行訪問(wèn)控制與資源隔離。

零信任探針zerotrustNETprobe

圍繞資源訪問(wèn)控制的安全策略、技術(shù)與過(guò)程中偵聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)包的網(wǎng)絡(luò)探針。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

ACL：訪問(wèn)控制列表（AccessControlList）

CPE：用戶駐地設(shè)備（Customer-premisesEquipment）

DTU：數(shù)據(jù)傳輸單元（DataTransferunit）

FTU：饋線終端裝置（FeederTerminalUnit）

IP：互聯(lián)網(wǎng)協(xié)議（InternetProtocol）

IPsec：互聯(lián)網(wǎng)安全協(xié)議（InternetProtocolSecurity）

MAC：媒體訪問(wèn)控制（MediaAccessControl）

MEC：移動(dòng)邊緣計(jì)算（MobileEdgeComputing）

NAT：網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation）

NEF：網(wǎng)元功能（NetworkElementFunction）

QoS：服務(wù)質(zhì)量（QualityofService）

RAN：無(wú)線接入網(wǎng)（RadioAccessNetwork）

SSAL：國(guó)家電網(wǎng)公司安全應(yīng)用層協(xié)議（StateGridSecureApplicationLayer）

SSL：安全套接字協(xié)議（SecureSocketsLayer）

SMF：業(yè)務(wù)管理功能（ServiceManagementFunction）

TLS：傳輸層安全（TransportLayerSecurity）

UPF：用戶面功能（UserPlaneFunction）

VPN：虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork）

2

T/ZJSEEXXXX—XXXX

5總體架構(gòu)

5G電力虛擬專網(wǎng)零信任安全防護(hù)架構(gòu)，主要包括安全接入（包括訪問(wèn)主體和接入通道）和安全交

互（包括支撐系統(tǒng)和訪問(wèn)客體）兩個(gè)部分，架構(gòu)示意圖見(jiàn)圖1。

接入主體為能訪問(wèn)客體的各類電力5G終端，主要形式為：CPE、FTU、DTU、融合終端等。

接入通道為5G電力虛擬專網(wǎng)，實(shí)現(xiàn)終端接入通信。

支撐系統(tǒng)為零信任管理平臺(tái)，包含零信任安全代理和零信任安全控制中心。零信任安全控制中心

應(yīng)具備對(duì)整個(gè)訪問(wèn)過(guò)程的持續(xù)安全監(jiān)測(cè)、信任評(píng)估和動(dòng)態(tài)更新訪問(wèn)控制策略等功能，零信任安全代理應(yīng)

具備訪問(wèn)流量的重定向和訪問(wèn)控制策略執(zhí)行、流量加密等功能。

訪問(wèn)客體為主體訪問(wèn)的電力信息系統(tǒng)及其資源。

圖15G電力虛擬專網(wǎng)零信任安全防護(hù)架構(gòu)

6訪問(wèn)主體技術(shù)要求

終端要求

6.1.1身份要求

終端身份滿足下列技術(shù)要求：

a)為終端賦予全局唯一性編碼，可以內(nèi)置芯片、內(nèi)置證書或者設(shè)備唯一性標(biāo)識(shí)為基礎(chǔ)，編碼方式

可參照GB/T37032執(zhí)行；

b)終端宜能存儲(chǔ)終端身份信息，無(wú)法存儲(chǔ)終端身份信息的終端，終端身份信息應(yīng)存儲(chǔ)在終端零信

任代理所在實(shí)體上，零信任代理應(yīng)能夠根據(jù)終端屬性索引終端身份；

c)處理零信任相關(guān)業(yè)務(wù)的數(shù)據(jù)包中應(yīng)攜帶終端身份信息。

6.1.2密鑰協(xié)商

密鑰協(xié)商認(rèn)證應(yīng)滿足下列技術(shù)要求：

a)終端數(shù)據(jù)安全傳輸、敏感內(nèi)容加密、數(shù)字簽名采用國(guó)家密碼部門認(rèn)可的加密算法；

b)終端與接入網(wǎng)關(guān)通信采用SSL/TLS、IPSec、SSAL等安全協(xié)議；

c)通過(guò)密鑰協(xié)商后方可與應(yīng)用系統(tǒng)進(jìn)行連接；

d)協(xié)商完成后，后續(xù)數(shù)據(jù)傳輸經(jīng)加密處理。

3

T/ZJSEEXXXX—XXXX

6.1.3邊界隔離安全要求

邊界隔離應(yīng)滿足下列技術(shù)要求：

a)在邊界處部署防火墻、ACL等訪問(wèn)控制機(jī)制，配置必需的訪問(wèn)控制策略；

b)在電力邊界處部署網(wǎng)絡(luò)入侵檢測(cè)裝置，配置并啟用入侵檢測(cè)規(guī)則；

c)在電力邊界處部署惡意代碼檢測(cè)裝置，啟動(dòng)阻斷能力；

d)電力邊界具備流量分析和存儲(chǔ)能力，流量存儲(chǔ)時(shí)間大于6個(gè)月。

6.1.4認(rèn)證與鑒權(quán)

接入認(rèn)證與鑒權(quán)應(yīng)滿足下列技術(shù)要求：

a)支持APN撥號(hào)功能，支持終端注冊(cè)功能；

b)支持二次鑒權(quán)功能。

加密傳輸

6.2.1終端加密

終端加密應(yīng)滿足下列技術(shù)要求：

a)終端默認(rèn)至少啟用一種加密算法，用于空口數(shù)據(jù)加密和完整性保護(hù)；

b)終端通信加密應(yīng)采用硬件密碼模塊或軟件密碼模塊實(shí)現(xiàn)。

6.2.2數(shù)據(jù)加密

數(shù)據(jù)加密技術(shù)應(yīng)滿足下列技術(shù)要求：

a)傳輸內(nèi)容加密：采用傳輸層加密保護(hù)方式，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行通道加密；

b)控制指令加密：執(zhí)行控制操作時(shí)，對(duì)控制指令進(jìn)行應(yīng)用層加密保護(hù)。

7接入通道技術(shù)要求

5G電力虛擬專網(wǎng)

7.1.15G電力虛擬專網(wǎng)應(yīng)滿足下列技術(shù)要求：

a)防止不可信任的終端接入網(wǎng)絡(luò)；

b)采用數(shù)字證書等方法設(shè)置雙向的身份認(rèn)證機(jī)制，提高連接的可靠性和安全性；

c)終端接入網(wǎng)絡(luò)時(shí)，建立一個(gè)加密的傳輸通道，提高數(shù)據(jù)的安全性；

d)提升防護(hù)物理硬件，加強(qiáng)集成度，縮減其容易被侵入的物理接口；

e)5G核心網(wǎng)采用IPsec等保護(hù)措施，提高N2、N4信令數(shù)據(jù)及N3、N6口用戶業(yè)務(wù)數(shù)據(jù)的機(jī)密性

和完整性；

f)5G核心網(wǎng)設(shè)置不同等級(jí)的切片應(yīng)用，支持不同等級(jí)應(yīng)用切片的訪問(wèn)隔離；

g)5G核心網(wǎng)具備切片間虛擬機(jī)資源隔離能力，縮減其資源故障影響；

h)電力專用UPF在邊界處部署防火墻實(shí)現(xiàn)邏輯隔離；

i)邊緣計(jì)算節(jié)點(diǎn)承載的業(yè)務(wù)應(yīng)用，使用虛擬防火墻或VLAN方式進(jìn)行業(yè)務(wù)訪問(wèn)控制與業(yè)務(wù)隔離；

j)為不同業(yè)務(wù)共享運(yùn)營(yíng)商UPF部署虛擬防火墻或?qū)Ｓ觅Y源塊進(jìn)行訪問(wèn)控制與資源隔離。

MEC環(huán)境

7.2.1連接要求

MEC應(yīng)具備向上連接5G運(yùn)營(yíng)商核心網(wǎng)，向下連接終端設(shè)備能力，應(yīng)支持云端算力下沉、終端算力

上移。

7.2.2能力開放要求

能力開放要求包括MEC平臺(tái)能力開放、無(wú)線網(wǎng)絡(luò)能力開放和核心網(wǎng)能力開放，MEC平臺(tái)開放應(yīng)可與

5G運(yùn)營(yíng)商核心網(wǎng)進(jìn)行能力協(xié)同，并應(yīng)滿足下列技術(shù)要求：

4

T/ZJSEEXXXX—XXXX

a)無(wú)線網(wǎng)絡(luò)能力開放：無(wú)線網(wǎng)絡(luò)（RAN）的接口（API）與MEC接口網(wǎng)關(guān)（APIGW）協(xié)同，將用戶

位置信息、單元（Cell）/用戶/承載帶寬信息開放給終端設(shè)備；

b)核心網(wǎng)開放：MEC接口網(wǎng)關(guān)向中心NEF獲取用戶計(jì)費(fèi)、QoS、業(yè)務(wù)控制等策略。用戶策略更新

后，中心NEF將策略下發(fā)到MEC接口網(wǎng)絡(luò)上，或由SMF下發(fā)到UPF上；

c)MEC平臺(tái)能力開放：編解碼轉(zhuǎn)換、IP安全協(xié)議、人工智能等能力，通過(guò)開放接口提供給本地終

端設(shè)備。在邊緣節(jié)點(diǎn)的MEC平臺(tái)上可以集成不同種類的第三方應(yīng)用，對(duì)不同的MEC商業(yè)場(chǎng)景，

可額外部署防火墻、NAT等網(wǎng)絡(luò)功能。

8安全交互技術(shù)要求

統(tǒng)一身份認(rèn)證

8.1.1身份認(rèn)證應(yīng)為訪問(wèn)主體與零信任管理平臺(tái)的交互過(guò)程。

8.1.2終端身份認(rèn)證技術(shù)應(yīng)滿足下列要求：

a)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性，身份鑒別信息具有復(fù)雜度要求并定

期更換；

b)具有登錄失敗處理功能，配置并啟用結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出

等相關(guān)措施；

c)當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)。

持續(xù)信任評(píng)估

8.2.1持續(xù)信任評(píng)估應(yīng)為零信任管理平臺(tái)內(nèi)部對(duì)各類數(shù)據(jù)的計(jì)算處理交互過(guò)程。

8.2.2終端信任評(píng)估技術(shù)應(yīng)滿足下列要求：

a)基于終端信任度量開展持續(xù)動(dòng)態(tài)信任評(píng)估；

b)以終端設(shè)備信息、終端運(yùn)行數(shù)據(jù)為基礎(chǔ)評(píng)估數(shù)據(jù)；

c)可根據(jù)當(dāng)前認(rèn)證方式、風(fēng)險(xiǎn)狀態(tài)、環(huán)境因素等相關(guān)信息進(jìn)行動(dòng)態(tài)信任值調(diào)整；

d)常見(jiàn)的影響信任評(píng)估的物理或行為因素包括下列內(nèi)容：

1)包括主體（所對(duì)應(yīng)的數(shù)字身份）個(gè)體行為的基線偏差；

2)主體與群體的基線偏差、主體環(huán)境的攻擊行為；

3)主體環(huán)境的風(fēng)險(xiǎn)行為等影響信任的關(guān)鍵要素。

e)當(dāng)信任值低于設(shè)定閾值應(yīng)進(jìn)行報(bào)警操作，提示異常行為，并依據(jù)信任策略進(jìn)行進(jìn)一步操作。

動(dòng)態(tài)訪問(wèn)控制

8.3.1動(dòng)態(tài)訪問(wèn)控制應(yīng)為零信任管理平臺(tái)與訪問(wèn)客體的交互過(guò)程。

8.3.2動(dòng)態(tài)訪問(wèn)控制能力應(yīng)基于統(tǒng)一身份認(rèn)證能力和持續(xù)信任評(píng)估能力。

8.3.3訪問(wèn)控制策略

訪問(wèn)控制策略技術(shù)應(yīng)包含：

a)結(jié)合當(dāng)前身份認(rèn)證值、信任評(píng)估值等數(shù)據(jù)，生成基于當(dāng)前環(huán)境下的最小訪問(wèn)策略；

b)訪問(wèn)控制持續(xù)接收來(lái)自信任評(píng)估引擎的評(píng)估數(shù)據(jù)，以會(huì)話為基本單元，遵循最小權(quán)限原則，對(duì)

所有的訪問(wèn)請(qǐng)求進(jìn)行基于上下文屬性，信任等級(jí)和安全策略的動(dòng)態(tài)權(quán)限判定，最終決定是否為

訪問(wèn)請(qǐng)求授予資源的訪問(wèn)權(quán)限；

c)動(dòng)態(tài)訪問(wèn)控制，可通過(guò)實(shí)時(shí)信任評(píng)估，實(shí)現(xiàn)信任值低于設(shè)定閾值的危險(xiǎn)訪問(wèn)會(huì)話自動(dòng)終止等能

力。

5G核心網(wǎng)安全交互

8.4.15G核心網(wǎng)安全交互應(yīng)為零信任管理平臺(tái)與5G核心網(wǎng)的交互過(guò)程。

8.4.25G核心網(wǎng)安全交互技術(shù)應(yīng)支持下列內(nèi)容：

a)通過(guò)獲取UPF的業(yè)務(wù)轉(zhuǎn)發(fā)數(shù)據(jù)流，作為零信任管理平臺(tái)分析數(shù)據(jù)；

5

T/ZJSEEXXXX—XXXX

b)通過(guò)能力開放應(yīng)用，獲取5G運(yùn)營(yíng)商核心網(wǎng)終端注冊(cè)、認(rèn)證等控制數(shù)據(jù)流，作為零信任管理平

臺(tái)分析數(shù)據(jù)。

9支撐系統(tǒng)技術(shù)要求

終端零信任探針

9.1.1探針部署

零信任探針部署應(yīng)滿足下列技術(shù)要求：

a)兼容主流的廠商、設(shè)備與芯片，包括：

5G智能網(wǎng)關(guān)、無(wú)線5GCPE、臺(tái)區(qū)智能融合終端、邊緣物聯(lián)代理、5GMEC/UPE、工業(yè)路由器等

物聯(lián)終端設(shè)備；

a)支持動(dòng)態(tài)負(fù)載調(diào)節(jié)、心跳監(jiān)控和可裁剪軟件架構(gòu)；

b)部署方式多樣，支持軟件、容器、固件、模組等多形態(tài)靈活化部署方式。

9.1.2數(shù)據(jù)采集

終端設(shè)備可通過(guò)內(nèi)置探針?lè)绞讲杉K端設(shè)備信息、終端運(yùn)行數(shù)據(jù)，應(yīng)至少包括下列內(nèi)容：

a)終端設(shè)備信息：操作系統(tǒng)信息、CPU信息、內(nèi)存信息、存儲(chǔ)信息、網(wǎng)卡信息；

b)終端運(yùn)行數(shù)據(jù)：端口信息、進(jìn)程信息、文件信息、軟件信息。

零信任管理平臺(tái)

9.2.1安全技術(shù)要求

9.2.1.1零信任安全代理應(yīng)實(shí)時(shí)接收零信任安全控制中心發(fā)送的策略決定和動(dòng)態(tài)調(diào)整策略，應(yīng)采用動(dòng)

態(tài)會(huì)話管理。

9.2.1.2零信任安全代理執(zhí)行策略決定，包括建立或阻斷終端和資源之間的數(shù)據(jù)訪問(wèn)信道，應(yīng)滿足下

列技術(shù)要求：

a)策略管理：零信任安全代理負(fù)責(zé)建立終端與資源之間的連接，將生成終端用于訪問(wèn)資源的任何

身份認(rèn)證令牌或憑證；

b)策略引擎：零信任安全控制中心負(fù)責(zé)收到訪問(wèn)請(qǐng)求后，進(jìn)行信任評(píng)估、策略決定，確定拒絕或

授予對(duì)被訪問(wèn)資源的訪問(wèn)權(quán)限；

c)策略執(zhí)行：零信任安全控制中心負(fù)責(zé)實(shí)施動(dòng)態(tài)身份鑒別，啟動(dòng)、監(jiān)控和終止終端與資源之間的

數(shù)據(jù)訪問(wèn)信道。

9.2.2終端信任度量

信任度量應(yīng)滿足下列技術(shù)要求：

a)終端信任計(jì)算：具備終端信任度量基準(zhǔn)，明確終端信任等級(jí)，信任度量作為終端接入和業(yè)務(wù)訪

問(wèn)判定條件；終端信任算法使用安全策略和IP黑名單、威脅情報(bào)等外部源作為輸入；

b)終端信任度量：信任度量算法基于終端屬性計(jì)算終端信任值，信任度量屬性集可包括終端廠商

和版本信息、終端可信評(píng)估值、終端監(jiān)測(cè)軟件評(píng)估信息；

c)信任度量調(diào)整：信任度量屬性集和信任度量算法根據(jù)安全因素和環(huán)境形式動(dòng)態(tài)調(diào)整。

9.2.3訪問(wèn)控制策略

訪問(wèn)控制策略技術(shù)應(yīng)滿足下列技術(shù)要求：

a)包括身份認(rèn)證策略和訪問(wèn)控制策略；

b)包括主體身份、客體身份信息；

c)管理可采用基于屬性的訪問(wèn)控制模型。

9.2.4訪問(wèn)通道管控

訪問(wèn)通道管控應(yīng)滿足下列技術(shù)要求：

a)訪問(wèn)通道的建立采用先認(rèn)證再通信的模式；

6

T/ZJSEEXXXX—XXXX

b)采用會(huì)話管理措施，確保所有流量在訪問(wèn)控制策略許可下傳輸。

7

ICS點(diǎn)擊此處添加ICS號(hào)

CCS點(diǎn)擊此處添加CCS號(hào)

ZJSEE

浙江省電力學(xué)會(huì)標(biāo)準(zhǔn)

T/ZJSEEXXXX—XXXX

5G電力虛擬專網(wǎng)環(huán)境零信任安全接入及交

互技術(shù)要求

Zero-trustsecureaccessandinteractionspecificationfor5Gelectricvirtualprivate

networkenvironment

（征求意見(jiàn)稿）

2023-XX-XX發(fā)布2023-XX-XX實(shí)施

浙江省電力學(xué)會(huì)發(fā)布

T/ZJSEEXXXX—XXXX

5G電力虛擬專網(wǎng)環(huán)境零信任安全接入及交互技術(shù)要求

1范圍

本文件規(guī)定了5G電力虛擬專網(wǎng)環(huán)境零信任安全接入與交互的總體架構(gòu)、訪問(wèn)主體技術(shù)要求、接入通

道技術(shù)要求、安全交互技術(shù)要求和支撐系統(tǒng)技術(shù)要求。

本文件適用于5G電力虛擬專網(wǎng)環(huán)境零信任安全接入與交互設(shè)計(jì)、開發(fā)和選型。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T29242-2012信息安全技術(shù)鑒別與授權(quán)安全斷言標(biāo)記語(yǔ)言

GB/T37032物聯(lián)網(wǎng)標(biāo)識(shí)體系總則

QGDW12098-2021電力物聯(lián)網(wǎng)術(shù)語(yǔ)

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

邊緣物聯(lián)代理IoTedgeagent

在智慧物聯(lián)體系中部署于邊緣側(cè)的裝置或軟件模塊，利用本地通信網(wǎng)絡(luò)對(duì)(智能）傳感器、采集控

制終端、表計(jì)、監(jiān)測(cè)裝置等終端進(jìn)行統(tǒng)一接入，實(shí)現(xiàn)對(duì)多種通信方式和協(xié)議規(guī)約的適配，根據(jù)統(tǒng)一邊緣

計(jì)算框架對(duì)數(shù)據(jù)進(jìn)行邊緣處理和標(biāo)淮化建模，并通過(guò)安全接入平臺(tái)發(fā)送到物聯(lián)管理平臺(tái)或主站系統(tǒng)。

[來(lái)源：QGDW12098-2021，3.3.7]

終端零信任代理terminalzerotrustagent

代理終端完成零信任處理的軟件實(shí)體，身份認(rèn)證和訪問(wèn)控制的策略執(zhí)行點(diǎn)。物聯(lián)網(wǎng)中，終端零信任

代理和物聯(lián)網(wǎng)終端可為不同的物理實(shí)體，但終端和終端零信任代理之間應(yīng)有可信通道進(jìn)行交互。

安全接入secureaccess

提供基于零信任的內(nèi)網(wǎng)應(yīng)用資源接入，通過(guò)身份認(rèn)證、權(quán)限控制等模塊，確保更安全、更隱私地訪

問(wèn)業(yè)務(wù)。

安全交互secureaccessandinteraction

基于零信任的內(nèi)網(wǎng)應(yīng)用資源安全信息交互的過(guò)程。

訪問(wèn)主體accesssubject

能訪問(wèn)客體的主動(dòng)實(shí)體。

[來(lái)源：GB/T29242-2012，3.7]

注：訪問(wèn)主體可以是發(fā)起訪問(wèn)的設(shè)備、用戶、應(yīng)用等。

訪問(wèn)客體accessobject

被訪問(wèn)的目標(biāo)資源。

注：訪問(wèn)客體例如服務(wù)器、數(shù)據(jù)庫(kù)、打印服務(wù)、網(wǎng)絡(luò)等。

1

T/ZJSEEXXXX—XXXX

終端terminal

電力5G終端，包含CPE、FTU、DTU、融合終端等。

5G核心網(wǎng)5Gcorenetwork

采用第五代移動(dòng)通信技術(shù)，對(duì)用戶面和控制面分離，采用服務(wù)化架構(gòu)設(shè)計(jì)，主要由網(wǎng)絡(luò)功能（NF）

組成，采用分布式的功能，根據(jù)實(shí)際需要部署，新的網(wǎng)絡(luò)功能加入或撤出，并不影響整體網(wǎng)絡(luò)的功能。

切片NetworkSlicing

電信運(yùn)營(yíng)商從統(tǒng)一電信基礎(chǔ)設(shè)施分離出的虛擬網(wǎng)絡(luò)，實(shí)現(xiàn)端到端資源隔離，以適配各種類型的業(yè)務(wù)

應(yīng)用?；诓煌夹g(shù)實(shí)現(xiàn)方式，依照資源隔離強(qiáng)度高低網(wǎng)絡(luò)切片可分為硬切片和軟切片兩種類型。

電力專用UPFUserPlaneFunction

電力系統(tǒng)負(fù)責(zé)處理數(shù)據(jù)傳輸?shù)臄?shù)據(jù)平面功能。

邊緣計(jì)算節(jié)點(diǎn)Edgecomputingnode

在靠近用戶的網(wǎng)絡(luò)邊緣側(cè)構(gòu)建的業(yè)務(wù)平臺(tái)，提供存儲(chǔ)、計(jì)算、網(wǎng)絡(luò)等資源，將部分關(guān)鍵業(yè)務(wù)應(yīng)用下

沉到接入網(wǎng)絡(luò)邊緣，以減少網(wǎng)絡(luò)傳輸和多級(jí)轉(zhuǎn)發(fā)帶來(lái)的寬度和時(shí)延損耗。邊緣節(jié)點(diǎn)位置介于用戶和云中

心之間，相比較傳統(tǒng)的云中心，邊緣節(jié)點(diǎn)更接近用戶（數(shù)據(jù)源）。

共享運(yùn)營(yíng)商UPFSharedoperatorUserPlaneFunction

適用于共享運(yùn)營(yíng)商的無(wú)線網(wǎng)和核心網(wǎng)的用戶平面功能，5G核心網(wǎng)系統(tǒng)架構(gòu)的重要組成部分，主要負(fù)

責(zé)5G核心網(wǎng)中用戶平面數(shù)據(jù)包的路由和轉(zhuǎn)發(fā)相關(guān)功能。為不同業(yè)務(wù)UPF部署虛擬防火墻或?qū)Ｓ觅Y源塊進(jìn)

行訪問(wèn)控制與資源隔離。

零信任探針zerotrustNETprobe

圍繞資源訪問(wèn)控制的安全策略、技術(shù)與過(guò)程中偵聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)包的網(wǎng)絡(luò)探針。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

ACL：訪問(wèn)控制列表（AccessControlList）

CPE：用戶駐地設(shè)備（Customer-premisesEquipment）

DTU：數(shù)據(jù)傳輸單元（DataTransferunit）

FTU：饋線終端裝置（FeederTerminalUnit）

IP：互聯(lián)網(wǎng)協(xié)議（InternetProtocol）

IPsec：互聯(lián)網(wǎng)安全協(xié)議（InternetProtocolSecurity）

MAC：媒體訪問(wèn)控制（MediaAccessControl）

MEC：移動(dòng)邊緣計(jì)算（MobileEdgeComputing）

NAT：網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation）

NEF：網(wǎng)元功能（NetworkElementFunction）

QoS：服務(wù)質(zhì)量（QualityofService）

RAN：無(wú)線接入網(wǎng)（RadioAccessNetwork）

SSAL：國(guó)家電網(wǎng)公司安全應(yīng)用層協(xié)議（StateGridSecureApplicationLayer）

SSL：安全套接字協(xié)議（SecureSocketsLayer）

SMF：業(yè)務(wù)管理功能（ServiceManagementFunction）

TLS：傳輸層安全（TransportLayerSecurity）

UPF：用戶面功能（UserPlaneFunction）

VPN：虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork）

2

T/ZJSEEXXXX—XXXX

5總體架構(gòu)

5G電力虛擬專網(wǎng)零信任安全防護(hù)架構(gòu)，主要包括安全接入（包括訪問(wèn)主體和接入通道）和安全交

互（包括支撐系統(tǒng)和訪問(wèn)客體）兩個(gè)部分，架構(gòu)示意圖見(jiàn)圖1。

接入主體為能訪問(wèn)客體的各類電力5G終端，主要形式為：CPE、FTU、DTU、融合終端等。

接入通道為5G電力虛擬專網(wǎng)，實(shí)現(xiàn)終端接入通信。

支撐系統(tǒng)為零信任管理平臺(tái)，包含零信任安全代理和零信任安全控制中心。零信任安全控制中心

應(yīng)具備對(duì)整個(gè)訪問(wèn)過(guò)程的持續(xù)安全監(jiān)測(cè)、信任評(píng)估和動(dòng)態(tài)更新訪問(wèn)控制策略等功能，零信任安全代理應(yīng)

具備訪問(wèn)流量的重定向和訪問(wèn)控制策略執(zhí)行、流量加密等功能。

訪問(wèn)客體為主體訪問(wèn)的電力信息系統(tǒng)及其資源。

圖15G電力虛擬專網(wǎng)零信任安全防護(hù)架構(gòu)

6訪問(wèn)主體技術(shù)要求

終端要求

6.1.1身份要求

終端身份滿足下列技術(shù)要求：

a)為終端賦予全局唯一性編碼，可以內(nèi)置芯片、內(nèi)置證書或者設(shè)備唯一性標(biāo)識(shí)為基礎(chǔ)，編碼方式

可參照GB/T37032執(zhí)行；

b)終端宜能存儲(chǔ)終端身份信息，無(wú)法存儲(chǔ)終端身份信息的終端，終端身份信息應(yīng)存儲(chǔ)在終端零信

任代理所在實(shí)體上，零信任代理應(yīng)能夠根據(jù)終端屬性索引終端身份；

c)處理零信任相關(guān)業(yè)務(wù)的數(shù)據(jù)包中應(yīng)攜帶終端身份信息。

6.1.2密鑰協(xié)商

密鑰協(xié)商認(rèn)證應(yīng)滿足下列技術(shù)要求：

a)終端數(shù)據(jù)安全傳輸、敏感內(nèi)容加密、數(shù)字簽名采用國(guó)家密碼部門認(rèn)可的加密算法；

b)終端與接入網(wǎng)關(guān)通信采用SSL/TLS、IPSec、SSAL等安全協(xié)議；

c)通過(guò)密鑰協(xié)商后方可與應(yīng)用系統(tǒng)進(jìn)行連接；

d)協(xié)商完成后，后續(xù)數(shù)據(jù)傳輸經(jīng)加密處理。

3

T/ZJSEEXXXX—XXXX

6.1.3邊界隔離安全要求

邊界隔離應(yīng)滿足下列技術(shù)要求：

a)在邊界處部署防火墻、ACL等訪問(wèn)控制機(jī)制，配置必需的訪問(wèn)控制策略；

b)在電力邊界處部署網(wǎng)絡(luò)入侵檢測(cè)裝置，配置并啟用入侵檢測(cè)規(guī)則；

c)在電力邊界處部署惡意代碼檢測(cè)裝置，啟動(dòng)阻斷能力；

d)電力邊界具備流量分析和存儲(chǔ)能力，流量存儲(chǔ)時(shí)間大于6個(gè)月。

6.1.4認(rèn)證與鑒權(quán)

接入認(rèn)證與鑒權(quán)應(yīng)滿足下列技術(shù)要求：

a)支持APN撥號(hào)功能，支持終端注冊(cè)功能；

b)支持二次鑒權(quán)功能。

加密傳輸

6.2.1終端加密

終端加密應(yīng)滿足下列技術(shù)要求：

a)終端默認(rèn)至少啟用一種加密算法，用于空口數(shù)據(jù)加密和完整性保護(hù)；

b)終端通信加密應(yīng)采用硬件密碼模塊或軟件密碼模塊實(shí)現(xiàn)。

6.2.2數(shù)據(jù)加密

數(shù)據(jù)加密技術(shù)應(yīng)滿足下列技術(shù)要求：

a)傳輸內(nèi)容加密：采用傳輸層加密保護(hù)方式，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行通道加密；

b)控制指令加密：執(zhí)行控制操作時(shí)，對(duì)控制指令進(jìn)行應(yīng)用層加密保護(hù)。

7接入通道技術(shù)要求

5G電力虛擬專網(wǎng)

7.1.15G電力虛擬專網(wǎng)應(yīng)滿足下列技術(shù)要求：

a)防止不可信任的終端接入網(wǎng)絡(luò)；

b)采用數(shù)字證書等方法設(shè)置雙向的身份認(rèn)證機(jī)制，提高連接的可靠性和安全性；

c)終端接入網(wǎng)絡(luò)時(shí)，建立一個(gè)加密的傳輸通道，提高數(shù)據(jù)的安全性；

d)提升防護(hù)物理硬件，加強(qiáng)集成度，縮減其容易被侵入的物理接口；

e)5G核心網(wǎng)采用IPsec等保護(hù)措施，提高N2、N4信令數(shù)據(jù)及N3、N6口用戶業(yè)務(wù)數(shù)據(jù)的機(jī)密性

和完整性；

f)5G核心網(wǎng)設(shè)置不同等級(jí)的切片應(yīng)用，支持不同等級(jí)應(yīng)用切片的訪問(wèn)隔離；

g)5G核心網(wǎng)具備切片間虛擬機(jī)資源隔離能力，縮減其資源故障影響；

h)電力專用UPF在邊界處部署防火墻實(shí)現(xiàn)邏輯隔離；

i)邊緣計(jì)算節(jié)點(diǎn)承載的業(yè)務(wù)應(yīng)用，使用虛擬防火墻或VLAN方式進(jìn)行業(yè)務(wù)訪問(wèn)控制與業(yè)務(wù)隔離；

j)為不同業(yè)務(wù)共享運(yùn)營(yíng)商UPF部署虛擬防火墻或?qū)Ｓ觅Y源塊進(jìn)行訪問(wèn)控制與資源隔離。

MEC環(huán)境

7.2.1連接要求

MEC應(yīng)具備向上連接5G運(yùn)營(yíng)商核心網(wǎng)，向下連接終端設(shè)備能力，應(yīng)支持云端算力下沉、終端算力

上移。

7.2.2能力開放要求

能力開放要求包括MEC平臺(tái)能力開放、無(wú)線網(wǎng)絡(luò)能力開放和核心網(wǎng)能力開放，MEC平臺(tái)開放應(yīng)可與

5G運(yùn)營(yíng)商核心網(wǎng)進(jìn)行能力協(xié)同，并應(yīng)滿足下列技術(shù)要求：

4

T/ZJSEEXXXX—XXXX

a)無(wú)線網(wǎng)絡(luò)能力開放：無(wú)線網(wǎng)絡(luò)（RAN）的接口（API）與MEC接口網(wǎng)關(guān)（APIGW）協(xié)同，將用戶

位置信息、單元（Cell）/用戶/承載帶寬信息開放給終端設(shè)備；

b)核心網(wǎng)開放：MEC接口網(wǎng)關(guān)向中心NEF獲取用戶計(jì)費(fèi)、QoS、業(yè)務(wù)控制等策略。用戶策略更新

后，中心NEF將策略下發(fā)到MEC接口網(wǎng)絡(luò)上，或由SMF下發(fā)到UPF上；

c)MEC平臺(tái)能力開放：編解碼轉(zhuǎn)換、IP安全協(xié)議、人工智能等能力，通過(guò)開放接口提供給本地終

端設(shè)備。在邊緣節(jié)點(diǎn)的MEC平臺(tái)上可以集成不同種類的第三方應(yīng)用，對(duì)不同的MEC商業(yè)場(chǎng)景，

可額外部署防火墻、NAT等網(wǎng)絡(luò)功能。

8安全交互技術(shù)要求

統(tǒng)一身份認(rèn)證

8.1.1身份認(rèn)證應(yīng)為訪問(wèn)主體與零信任管理平臺(tái)的交互過(guò)程。

8.1.2終端身份認(rèn)證技術(shù)應(yīng)滿足下列要求：

a)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性，身份鑒別信息具有復(fù)雜度要求并定

期更換；

b)具有登錄失敗處理功能，配置并啟用結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出

等相關(guān)措施；

c)當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)。

持續(xù)信任評(píng)估

8.2.1持續(xù)信任評(píng)估應(yīng)為零信任管理平臺(tái)內(nèi)部對(duì)各類數(shù)據(jù)的計(jì)算處理交互過(guò)程。

8.2.2終端信任評(píng)估技術(shù)應(yīng)滿足下列要求：

a)基于終端信任度量開展持續(xù)動(dòng)態(tài)信任評(píng)估；

b)以終端設(shè)備信息、終端運(yùn)行數(shù)據(jù)為基礎(chǔ)評(píng)估數(shù)據(jù)；

c)可根據(jù)當(dāng)前認(rèn)證方式、風(fēng)險(xiǎn)狀態(tài)、環(huán)境因素等相關(guān)信息進(jìn)行動(dòng)態(tài)信任值調(diào)整；

d)常見(jiàn)的影響信任評(píng)估的物理或行為因素包括下列內(nèi)容：

1)包括主體（所對(duì)應(yīng)的數(shù)字身份）個(gè)體行為的基線偏差；

2)主體與群體的基線偏差、主體環(huán)境的攻擊行為；

3)主體環(huán)境的風(fēng)險(xiǎn)行為等影響信任的關(guān)鍵要素。

e)當(dāng)信任值低于設(shè)定閾值應(yīng)進(jìn)行報(bào)警操作，提示異常行為，并依據(jù)信任策略進(jìn)行進(jìn)一步操作。

動(dòng)態(tài)訪問(wèn)控制

8.3.1動(dòng)態(tài)訪問(wèn)控制應(yīng)為零信任管理平臺(tái)與訪問(wèn)客體的交互過(guò)程。

8.3.2動(dòng)態(tài)訪問(wèn)控制能力應(yīng)基于統(tǒng)一身份認(rèn)證能力和持續(xù)信任評(píng)估能力。

8.3.3訪問(wèn)控制策略

訪問(wèn)控制策略技術(shù)應(yīng)包含：

a)結(jié)合當(dāng)前身份認(rèn)證值、信任評(píng)估值等數(shù)據(jù)，生成基于當(dāng)前環(huán)境下的最小訪問(wèn)策略；

b)訪問(wèn)控制持續(xù)