- 1、本文档共11页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
2
YD/TXXXXX—xXXX
混合专网模式的5G核心网安全技术要求
1范围
本文件规定了混合专网模式下的5G核心网安全技术要求,主要包括下沉网元在物理安全、网络安全、
数据安全等方面的部署技术要求,明确了下沉网元与5G核心网之间的安全控制要求本文件适用于混合专网模式下的5G核心网的建设、部署和运营。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T22239-2019信息安全技术网络安全等级保护基本要求
3术语和定义
下列术语和定义适用于本文件。
3.1
中央节点centralnode
位于运营商侧省、区域中心的数据中心机房
3.2
本地节点localnode
位于园区、企业客户侧的数据中心机房
4缩略语
下列缩略语适用于本文件。
3GPP第三代合作伙伴计划
3rdGenerationPartnershipProject
5G第五代移动通信技术
5thGenerationMobileCoaunicationTechnology
AMF接入和移动性管理功能
AccessandMobilityManagenentFunction
DDoS分布式拒绝服务攻击
DistributedDenialofService
IP互联网协议
InternetProtocol
MAC媒体接入控制
MediaAccessControl
NF网络功能
NetworkFunction
SMF会话管理功能
SessionManagementFunction
UDM统一数据管理
UnifiedDataManagement
UDR统一数据存储
UnifiedDataRepository
7网络安全技术要求
7.1身份认证
身份认证的要求如下:
a)应在本地节点NF和中央节点NF之间的管理面和控制面进行双向身份验证,避免非授权访问;
b)对采用预共享密钥进行合法性验证的,预共享密钥应随机产生,且对其最小长度进行限制,确保密钥使用安全性;
c)应支持本地节点NF和中央节点NF之间会话的有效期配置。启用会话超时重认证机制时,重认证应不影响用户业务的正常运行。
7.2访问控制
7.2.1控制面访问控制
控制面访问控制要求如下:
a)应按照最小访问控制原则限制控制面访问权限;
b)应实施安全隔离策略和措施,限制本地节点对中央节点网络的访问,仅允许访问授权的功能和服务,例如,本地UPF可以访问中央SMF,但应禁止访问中央AMF;
c)可采用IP地址或MAC地址等白名单方式限制节点之间的互访;
d)应对本地节点NF进行访问控制,服务于不同垂直行业用户的本地节点NF设备之间的控制面不能相互访问。
7.2.2管理面访问控制
管理面访问控制要求如下:
a)应按照最小访问控制原则限制管理面访问权限。应对本地节点NF的维护管理进行基于角色的访问控制,客户与供应商均只能访问与其相关的数据;
b)应对本地节点NF的远程管理维护进行访问控制,只允许特定IP地址才能访问本地节点NF的管理功能;
c)应限制通过管理网络进行本地节点NF和中央节点NF之间的相互访问;
d)应严格限制本地节点UDM的管理能力,在不影响专网业务开展的前提下只启用网络配置、系统配置等保障UDM可用性的管理能力,不建议启用数据管理能力,降低本地节点UDM中的数据被非授权操作的风险。
7.3网络入侵防范
网络入侵防范要求如下:
a)应支持对本地节点NF和中央节点NF的网络入侵威胁进行防范,阻止或限制本地节点NF和中央节点NF的网络攻击和异常行为;
b)本地节点NF和中央节点NF应具备主机入侵检测能力,包括账号异常检测、反弹shell检测、关键文件篡改检测,虚拟机/容器逃逸检测等
c)应支持对本地节点NF和中央节点NF
文档评论(0)