混合專網(wǎng)模式的5G核心網(wǎng)安全技術(shù)要求_第1頁(yè)
混合專網(wǎng)模式的5G核心網(wǎng)安全技術(shù)要求_第2頁(yè)
混合專網(wǎng)模式的5G核心網(wǎng)安全技術(shù)要求_第3頁(yè)
混合專網(wǎng)模式的5G核心網(wǎng)安全技術(shù)要求_第4頁(yè)
混合專網(wǎng)模式的5G核心網(wǎng)安全技術(shù)要求_第5頁(yè)
已閱讀5頁(yè),還剩6頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

2混合專網(wǎng)模式的5G核心網(wǎng)安全技術(shù)要求本文件規(guī)定了混合專網(wǎng)模式下的5G核心網(wǎng)安全技術(shù)要求,主要包括下沉網(wǎng)元在物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等方面的部署技術(shù)要求,明確了下沉網(wǎng)元與5G核心網(wǎng)之間的安全控制要求本文件適用于混合專網(wǎng)模式下的5G核心網(wǎng)的建設(shè)、部署和運(yùn)營(yíng)。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對(duì)應(yīng)的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。位于運(yùn)營(yíng)商側(cè)省、區(qū)域中心的數(shù)據(jù)中心機(jī)房本地節(jié)點(diǎn)localnode位于園區(qū)、企業(yè)客戶側(cè)的數(shù)據(jù)中心機(jī)房下列縮略語(yǔ)適用于本文件。3GPP第三代合作伙伴計(jì)劃3rdGenerationPartnershipP5G第五代移動(dòng)通信技術(shù)5thGenerationMobileCoaunicationAMF接入和移動(dòng)性管理功能AccessandMobilityManagenDDoS分布式拒絕服務(wù)攻擊DistributedDenialofServiceIP互聯(lián)網(wǎng)協(xié)議MAC媒體接入控制NetworkFunctionSMF會(huì)話管理功能SessionManagementFuUDR統(tǒng)一數(shù)據(jù)存儲(chǔ)7網(wǎng)絡(luò)安全技術(shù)要求身份認(rèn)證的要求如下:a)應(yīng)在本地節(jié)點(diǎn)NF和中央節(jié)點(diǎn)NF之間的管理面和控制面進(jìn)行雙向身份驗(yàn)證,避免非授權(quán)訪問;b)對(duì)采用預(yù)共享密鑰進(jìn)行合法性驗(yàn)證的,預(yù)共享密鑰應(yīng)隨機(jī)產(chǎn)生,且對(duì)其最小長(zhǎng)度進(jìn)行限制,確保密鑰使用安全性;c)應(yīng)支持本地節(jié)點(diǎn)NF和中央節(jié)點(diǎn)NF之間會(huì)話的有效期配置。啟用會(huì)話超時(shí)重認(rèn)證機(jī)制時(shí),重認(rèn)證應(yīng)不影響用戶業(yè)務(wù)的正常運(yùn)行。7.2.1控制面訪問控制控制面訪問控制要求如下:a)應(yīng)按照最小訪問控制原則限制控制面訪問權(quán)限;b)應(yīng)實(shí)施安全隔離策略和措施,限制本地節(jié)點(diǎn)對(duì)中央節(jié)點(diǎn)網(wǎng)絡(luò)的訪問,僅允許訪問授權(quán)的功能和服務(wù),例如,本地UPF可以訪問中央SMF,但應(yīng)禁止訪問中央AMF;c)可采用IP地址或MAC地址等白名單方式限制節(jié)點(diǎn)之間的互訪;d)應(yīng)對(duì)本地節(jié)點(diǎn)NF進(jìn)行訪問控制,服務(wù)于不同垂直行業(yè)用戶的本地節(jié)點(diǎn)NF設(shè)備之間的控制面不能相互訪問。7.2.2管理面訪問控制管理面訪問控制要求如下:a)應(yīng)按照最小訪問控制原則限制管理面訪問權(quán)限。應(yīng)對(duì)本地節(jié)點(diǎn)NF的維護(hù)管理進(jìn)行基于角色的訪問控制,客戶與供應(yīng)商均只能訪問與其相關(guān)的數(shù)據(jù);b)應(yīng)對(duì)本地節(jié)點(diǎn)NF的遠(yuǎn)程管理維護(hù)進(jìn)行訪問控制,只允許特定IP地址才能訪問本地節(jié)點(diǎn)NF的管理功能;c)應(yīng)限制通過管理網(wǎng)絡(luò)進(jìn)行本地節(jié)點(diǎn)NF和中央節(jié)點(diǎn)NF之間的相互訪問;d)應(yīng)嚴(yán)格限制本地節(jié)點(diǎn)UDM的管理能力,在不影響專網(wǎng)業(yè)務(wù)開展的前提下只啟用網(wǎng)絡(luò)配置、系統(tǒng)配置等保障UDM可用性的管理能力,不建議啟用數(shù)據(jù)管理能力,降低本地節(jié)點(diǎn)UDM中的數(shù)據(jù)被非授權(quán)操作的風(fēng)險(xiǎn)。7.3網(wǎng)絡(luò)入侵防范網(wǎng)絡(luò)入侵防范要求如下:a)應(yīng)支持對(duì)本地節(jié)點(diǎn)NF和中央節(jié)點(diǎn)NF的網(wǎng)絡(luò)入侵威脅進(jìn)行防范,阻止或限制本地節(jié)點(diǎn)NF和中央節(jié)點(diǎn)NF的網(wǎng)絡(luò)攻擊和異常行為;b)本地節(jié)點(diǎn)NF和中央節(jié)點(diǎn)NF應(yīng)具備主機(jī)入侵檢測(cè)能力,包括賬號(hào)異常檢測(cè)、反彈shell檢測(cè)、關(guān)鍵文件篡改檢測(cè),虛擬機(jī)/容器逃逸檢測(cè)等c)應(yīng)支持對(duì)本地節(jié)點(diǎn)NF和中央節(jié)點(diǎn)NF的網(wǎng)絡(luò)流量進(jìn)行還原、分析和統(tǒng)計(jì)的能力,并提供流量審計(jì)功能,審計(jì)記錄保持不少于180天,并支持事后追溯和審計(jì)結(jié)果導(dǎo)出:d)應(yīng)具備能檢測(cè)信令異常流量的能力,包括但不限于畸形或異常IP數(shù)據(jù)包、不符合3GPP規(guī)范的消息包等;e)應(yīng)有過濾機(jī)制丟棄從本地節(jié)點(diǎn)NF發(fā)送到中央節(jié)點(diǎn)的異常數(shù)據(jù)包;5f)應(yīng)能限制本地節(jié)點(diǎn)NF與中央節(jié)點(diǎn)NF之間的信令數(shù)據(jù)傳輸速率,防止信令流的過載導(dǎo)致中央節(jié)點(diǎn)g)應(yīng)具有流量控制能力,可以對(duì)在一定時(shí)期內(nèi)持續(xù)發(fā)送異常報(bào)文超過閥值的本地節(jié)點(diǎn)NF進(jìn)行流量控制,并發(fā)出告警8數(shù)據(jù)安全技術(shù)要求8.1數(shù)據(jù)傳輸安全數(shù)據(jù)傳輸安全要求如下:a)應(yīng)對(duì)中央節(jié)點(diǎn)NF和本地節(jié)點(diǎn)NF之間傳輸?shù)男帕詈凸芾頂?shù)據(jù)進(jìn)行完整性保護(hù);b)中央節(jié)點(diǎn)NF和本地節(jié)點(diǎn)NF之間的信令和管理數(shù)據(jù)傳輸應(yīng)采用加密通道;c)中央節(jié)點(diǎn)向本地節(jié)點(diǎn)下發(fā)鑒權(quán)訂閱數(shù)據(jù)時(shí),不同的本地節(jié)點(diǎn)應(yīng)建立不同的安全連接,分別獨(dú)立各自協(xié)商密鑰;d)本地節(jié)點(diǎn)的UDM應(yīng)對(duì)收到的操作/訂閱數(shù)據(jù)進(jìn)行完整性校驗(yàn)。數(shù)據(jù)存儲(chǔ)安全要求如下:a)中央節(jié)點(diǎn)NF中歸屬不同客戶/園區(qū)的數(shù)據(jù)應(yīng)進(jìn)行隔離;b)中央節(jié)點(diǎn)和本地節(jié)點(diǎn)中的認(rèn)證訂閱數(shù)據(jù)等敏感數(shù)據(jù)應(yīng)加密存儲(chǔ);c)當(dāng)認(rèn)證訂閱數(shù)據(jù)從中央節(jié)點(diǎn)的UDM中導(dǎo)出時(shí),應(yīng)對(duì)其進(jìn)行加密;d)不同本地節(jié)點(diǎn)的認(rèn)證訂閱數(shù)據(jù)應(yīng)使用不同的加密密鑰進(jìn)行加密:e)中央節(jié)點(diǎn)和本地節(jié)點(diǎn)應(yīng)具備數(shù)據(jù)備份與恢復(fù)功能8.3數(shù)據(jù)訪問控制數(shù)據(jù)訪問控制要求如下:a)本地節(jié)點(diǎn)UDM/UDR應(yīng)只能讀取所屬客戶/園區(qū)的數(shù)據(jù),不能讀取其他數(shù)據(jù):b)應(yīng)禁止將訂間數(shù)據(jù)從本地節(jié)點(diǎn)同步到中央節(jié)點(diǎn)c)應(yīng)禁止本地NF更改中央節(jié)點(diǎn)UDM/UDR存儲(chǔ)的認(rèn)證訂閱數(shù)據(jù):d)在不影響專網(wǎng)業(yè)務(wù)開展的前提下,存儲(chǔ)在本地節(jié)點(diǎn)UDM的認(rèn)證訂閱數(shù)據(jù)只允許被授權(quán)的中央節(jié)點(diǎn)e)應(yīng)禁止將本地節(jié)點(diǎn)的訂閱數(shù)據(jù)同步到其他本地節(jié)點(diǎn):f)應(yīng)對(duì)本地節(jié)點(diǎn)存儲(chǔ)的訂閱數(shù)據(jù)和運(yùn)營(yíng)相關(guān)的業(yè)務(wù)敗據(jù)進(jìn)行訪問控制,并根據(jù)國(guó)家相關(guān)規(guī)定對(duì)數(shù)據(jù)進(jìn)行脫敏?;旌蠈>W(wǎng)模式5G核心網(wǎng)安全風(fēng)險(xiǎn)A.1物理安全風(fēng)險(xiǎn)運(yùn)營(yíng)商對(duì)部署在本地節(jié)點(diǎn)的5G核心網(wǎng)下沉網(wǎng)元的管控力度較弱,可能存在的物理安全風(fēng)險(xiǎn)如下:a)攻擊者可能通過物理端口非法接入并非授權(quán)控制本地節(jié)點(diǎn)的NF:b)攻擊者可能通過本地節(jié)點(diǎn)上NF外掛的存儲(chǔ)設(shè)備啟動(dòng)系統(tǒng),運(yùn)行惡意軟件包c(diǎn))攻擊者可能通過使本地節(jié)點(diǎn)的NF進(jìn)入恢復(fù)模式來重置其密碼從而控制系統(tǒng):d)攻擊者可能對(duì)本地節(jié)點(diǎn)的NF設(shè)備進(jìn)行物理破壞,影響其可用性。A.2網(wǎng)絡(luò)安全風(fēng)險(xiǎn)5G核心網(wǎng)下沉網(wǎng)元部署在本地節(jié)點(diǎn),可能面臨的網(wǎng)絡(luò)安全鳳險(xiǎn)如下:a)如果沒有嚴(yán)格限制可以訪問本地節(jié)點(diǎn)NF的IP協(xié)議和地址,則存在由企業(yè)網(wǎng)引入的安全風(fēng)險(xiǎn),本地節(jié)點(diǎn)NF可能被企業(yè)側(cè)惡意攻擊甚至是被非授權(quán)控制b)如果缺乏有效的身份鑒權(quán)機(jī)制,非授權(quán)虛假設(shè)備可能仿冒本地節(jié)點(diǎn)NF與5G核心網(wǎng)中央節(jié)點(diǎn)進(jìn)行互通,獲取敏感數(shù)據(jù)?;蛘甙l(fā)布虛假數(shù)據(jù),從而使5G核心網(wǎng)無法正常工作;c)如果缺乏有效的路由信息控制措施,則非法受控的本地節(jié)點(diǎn)NF可能訪問5G核心網(wǎng)中央節(jié)點(diǎn)的所有NF,并發(fā)起進(jìn)一步攻擊,影響5G核心網(wǎng)的正常運(yùn)行;d)如果在互通接口缺乏流量管控措施,則非法受控的本地節(jié)點(diǎn)NF可能向5G核心網(wǎng)中央節(jié)點(diǎn)發(fā)送大量異常信令包或者畸形包,可能導(dǎo)致5G核心網(wǎng)中央節(jié)點(diǎn)處理異常,影響5G核心網(wǎng)的正常運(yùn)行。A.3數(shù)據(jù)安全風(fēng)險(xiǎn)當(dāng)在本地節(jié)點(diǎn)部署下沉網(wǎng)元時(shí),一些操作數(shù)據(jù)會(huì)被傳輸?shù)奖镜毓?jié)點(diǎn)并存儲(chǔ)在本地節(jié)點(diǎn)的NF上,例如分組檢測(cè)規(guī)則、轉(zhuǎn)發(fā)動(dòng)作規(guī)則、服務(wù)質(zhì)量執(zhí)行規(guī)則等將被傳送到本地UPF;策略和計(jì)費(fèi)控制規(guī)則等將被傳送到本地SMF。當(dāng)UDM部署在本地節(jié)點(diǎn)時(shí),一些訂閱數(shù)據(jù)也會(huì)傳輸并存儲(chǔ)到本地節(jié)點(diǎn),如接入和移動(dòng)訂閱數(shù)據(jù)、SMF選擇訂閱數(shù)據(jù),甚至鑒權(quán)訂閱數(shù)據(jù)。當(dāng)這些數(shù)據(jù)被傳輸、存儲(chǔ)到本地節(jié)點(diǎn)時(shí),可能面臨安全風(fēng)險(xiǎn);a)當(dāng)數(shù)據(jù)在5G核心網(wǎng)中央節(jié)點(diǎn)和本地節(jié)點(diǎn)NF之間傳輸時(shí),可能會(huì)被中途竊聽或慕改;b)攻擊者可能會(huì)竊取或篡改本地節(jié)點(diǎn)NF上存儲(chǔ)的操作/訂閱數(shù)據(jù),影響業(yè)務(wù)的正常運(yùn)行;c)如果5G核心網(wǎng)中央節(jié)點(diǎn)沒有進(jìn)行適當(dāng)?shù)膿p作控制,與一個(gè)垂直行業(yè)用戶相關(guān)的操作/訂閱數(shù)據(jù)可能會(huì)被傳輸?shù)椒?wù)另一個(gè)垂直行業(yè)用戶的其他本地節(jié)點(diǎn)上;d)受攻擊的本地節(jié)點(diǎn)上的UDM可能會(huì)向中央節(jié)點(diǎn)的LDM發(fā)布虛假的訂閱數(shù)據(jù),或者刪除或算改中央[2]3GPPTS23.501v17.4.050系統(tǒng)架構(gòu)(Syst

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論