5G邊緣計算安全技術要求

5G邊緣計算安全技術要求本文件規(guī)定了5G邊緣計算的認證和授權、接口、用戶同意等安全要求及安全流程。本文件適用于4G/5G核心網網元、部署在UE中的邊緣使能客戶端(EEC)、邊緣配置服務器(ECS)、邊緣使能服務器(EES)以及邊緣應用服務(EAS)的安全能力建設和運維等2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件：不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。移動通信網安全技術要求面向邊緣計算的5G系統(tǒng)增強技術要求3GPPTS21.9053GPP標準詞匯(VoAPlcabularyfor3GPPSpecifications)3GPPTS23.558v17.7.0使能邊緣應用架構(ArchitectureforenablingEdgeApplicationsAPIFramework(CAPIF)for3GPPnorthbound3GPPTS33.187v17.0.0機器類型通信和其他移動數據應用通信增強的安全要求(SecurtyaspectsofMachine-TypeCommunications(MTC)andothermobiledataapplications3GPPTS33.210vl7.1.03G安全；網絡域安全；IP網絡層安全(30security;NetworkDomainSecurity(NDS);IPnetwork3GPPTS33.310v17.5.0網絡域安全：認證架構(NetworkDomainSecurity(NDS);Authentication3GPPTR33.867v17.1.03GPP業(yè)務的用戶同意研究(SudyonUserConsentfor3GPPservices)IETFRFC7515EAP-TLS認證協(xié)議(JSONWebSignature(JWS))IETFRFC7858基于TLS的DNS協(xié)議(SpecificationforDNSoverTransIETFRFC8310基于TLSIETFRFC9110HTIETFRFC9113超文本傳輸協(xié)議2(HTTP/2)3術語、定義和縮略語3.1術語和定義3GPPTS21.905界定的術語和定義適用于本文件。2下列縮略語適用于本文件。3GPP第三代合作伙伴計劃AF應用功能針對應用的認證和密鑰管理API應用程序接口DNS城名服務器EAS邊緣應用服務端EASDF邊緣應用服務器發(fā)現功能ECS邊緣配置服務端EEC邊緣使能客戶端EES邊緣使能服務端FQDN全地址域名GBA通用引導構架GPSI公共用戶標識符HTTP超文本傳輸協(xié)議IP互聯網協(xié)議JSONJavaScript對象表示法JWTJSON網絡令牌NEF網絡能力開放功能PO0過程控制對象PSK預共享密鑰SCEF業(yè)務能力開放功能SCS業(yè)務能力服務器SMF會話管理功能TLS傳輸層安全協(xié)議UPF用戶面功能URI統(tǒng)一資源標識符AuthenticationandKeyManagementforApplicationProgrammingInDomainNameServerEdgeApplicationServerDiscFullQualifiedDonainNameGenericBootstrappingArchitectureGenericPublicSubscriptionIdenLocalPDUSessionNetworkExposureFunctionTransportLayerUserPlaneFunction5G邊緣計算安全技術要求涉及到面向邊緣計算的5G核心網架構以及應用層架構，這兩種架構是相互獨立的，且分別具有不同的安全要求和安全流程。面向邊緣計算的5G核心網參考架構和連接模型應符合YD/TXXXX-XXXX《面向邊緣計算的5G系統(tǒng)增強技術要求》的第4章的要求，架構中包含邊緣應用服務器發(fā)現功能(EASDP),其相關安全流程在本文件6.7及6.8中規(guī)定。面向邊緣計算的應用層架構如圖1所示，其網元及接口應符合3GPPTS23.558v17.7.0的規(guī)定。主要包括以下實體，4G/5G核心網網元、部署在UE中的邊緣使能客戶端(EEC)、邊緣配置服務端(ECS)、邊緣使能服務端(EES)以及邊緣應用服務端(EAS)。34EES能力開放中EAS的認證和授權：EES應通過ED應確定EAS是否可授權訪問EES的服務和開放EEC的能力。邊緣計算架構應支持EAS獲得用戶授權后訪問用戶敏感信息(例如用戶位置)的能力。5.2接口安全EDGE-1至EDGE-4以及EDGE-6至EDGE-9接口應支持機密性保護、完整性保護和抗重放保由于所有接口都具有機密性和完整性保護，因此3GPPTS23.558v17.7.0中規(guī)定的隱私要求AR--h是隱式支持的。5.3用戶同意用戶同意指的是運營商可在取得用戶(自然人)的同意后，處理個人信息，即用戶許可，另外，運營商也可根據其他法規(guī)條款直接處理個人信息。邊緣計算的用戶同意應符合3GPPTR33.867v17.1.0的要求。6安全流程6.1EDGE接口安全對于接口EDGE-1或者EDGE-4,EEC、EES和ECS應支持并使用IETFRFC9113和IETFRFC9110中規(guī)定的帶有"htps"URI的HTTP/2。此外，TLS配置文件應符合3GPPTS33.210v17.1.0的6.2規(guī)定的配置文件。對于EDGE-2、EDGE-7和EDGE-8接口，如果使用NEFAPI,則應重用NEF的安全流程，包括YD/T3628-2019第12章規(guī)定的NEF-AF接口保護和CAPIF支持，即使用TLS。如果使用SCEFAPI,則應重用3GPPTS33.187v17.0.0的5.5中規(guī)定的SCEF-SCS/AS的安全流程，即使用TLS。對于EDGE-3、EDGE-6和EDGE-9接口，EAS、EES和ECS應支IETFRFC9110中規(guī)定的帶有"htps"URI的HTTP/2。此外，TLS配置文件應符合3GPPTS33.210v17.1.0的6.2的配置文件。6.2EEC和ECS的認證和授權ECS應配置EES使用的授權方式(包括令牌授權或本地授權)信息。EEC和ECS之間的認證應在執(zhí)行TLS握手協(xié)議期間進行。注1:認證方法的詳組信息相關要求(例如，ns證書，使用AKMA或GBA作為生成TLSPSK的方法)不在本文件的范圍內。如果EEC將GPSI發(fā)送給ECS,則ECS也應對GPSI進行隊證。注2:如何認證GPSI的相關要求不在本文件的范圍內。認證成功后，ECS應根據本地授權策略對EEC進行授權。認證授權成功后，ECS根據配置信息決定候選EES是否需要獲得OAuth2.0訪問令牌，并為每個使用令牌授權的候選EES分別頒發(fā)EES訪問令牌。ECS、EEC和EES分別扮演IETFRFC6749中定義的授權服務器、客戶端和資源服務器的角色。應使用“客戶端憑證”授權類型和承載令牌。應遵循IETFRFC7519中規(guī)定的JSON網絡令牌(WT)進行編碼，應遵循ETFRFC7515中規(guī)定的JSON簽名配置文件對令牌進行保護。本令牌配置文件也適用于本文件6.3。JWT形式的EES訪問令牌的56.3EEC和EES的認證和授權EEC和EES之間的認證應在執(zhí)行TLS握手協(xié)議期間進行注1:認證方法的詳細信息相關要求(例如，TLS證書，使用AKMA或GBA作為生成TLSPSK的方法)不在如果EEC將GPSI發(fā)送給ECS,則ECS也應對GPSI進行認證。注2:如何認證GPSI的相關要求不在本文件的范圍內。對于EES授權EEC,如果EEC從ECS收到OAuth2.0訪問令牌，EEC應牌配置文件在6.2中定義。如果EES需要使用訪問令牌進行授權，則EES應使用令牌授權EEC。否則，EES應通過本地授權方式授權EEC。認證和授權成功后，EES應處理請求，并將響應發(fā)送回EEC。6.4EES和ECS的認證和授權EES在同一PLMN域內或從第三方域獲取注冊信息。該信息應包括ECS的地址和根CA證書的詳細信息，可包括注冊令牌。EES和ECS已預配置用于TLS雙向認證的認證憑證。應使用TLS為EES與ECS之間的接口提供完整性保護、機密性保護和抗重放保護。TLS實施和使用的安全配置文件應遵循3GPPTS33.210v17.1.0的6.2定義的配置文件相關要求證書應遵循3GPPTS33.310v17.5.0的6.1.3a規(guī)定的配置文件相關要求。終端實體證書中的身份應用于認證和策略核查。終端實體證書中的身份應基于3GPPTS23.558v173.0中的端點信息(例如ECS應根據本地授權策略對EES進行授權。6.5EES能力開放的認證和授權根據3GPPTS23.558vl7.7.0的8.7.3CAPIF將3GPP核心網的網絡能力重新開放給EAS。如果使用CAPIF,則EES能力開放中的認證和授權應使用3GPPTS33.122y17.1.0中規(guī)定的CAPIF安全功能模塊。如果不使用CAPIF,則應使用基于證書的TLS進行雙向認證。TLS和證書應遵循3GPPTS33.210y17.1.0和3GPPTS33.310v17.5.0中規(guī)定的配置文件，授權應基于EES的本地授權策略6.6EES間的認證和授權如6.1所述，TLS用于EES之間的EDGE-9接口安全。對于EES之間的認證，應使用X,509證書。證書的配置文件應遵循3GPPTS33.310v17.5.0的6.1.3a定義的配置文件相關要求。終端實體證書中的身份應用于認證和策略核查，并應基于3GPPTS23.558中的端點信息