混合专网模式的5G核心网安全技术要求.docx

2

YD/TXXXXX—xXXX

混合专网模式的5G核心网安全技术要求

1范围

本文件规定了混合专网模式下的5G核心网安全技术要求，主要包括下沉网元在物理安全、网络安全、

数据安全等方面的部署技术要求，明确了下沉网元与5G核心网之间的安全控制要求本文件适用于混合专网模式下的5G核心网的建设、部署和运营。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本(包括所有的修改单)适用于本文件。

GB/T22239-2019信息安全技术网络安全等级保护基本要求

3术语和定义

下列术语和定义适用于本文件。

3.1

中央节点centralnode

位于运营商侧省、区域中心的数据中心机房

3.2

本地节点localnode

位于园区、企业客户侧的数据中心机房

4缩略语

下列缩略语适用于本文件。

3GPP第三代合作伙伴计划

3rdGenerationPartnershipProject

5G第五代移动通信技术

5thGenerationMobileCoaunicationTechnology

AMF接入和移动性管理功能

AccessandMobilityManagenentFunction

DDoS分布式拒绝服务攻击

DistributedDenialofService

IP互联网协议

InternetProtocol

MAC媒体接入控制

MediaAccessControl

NF网络功能

NetworkFunction

SMF会话管理功能

SessionManagementFunction

UDM统一数据管理

UnifiedDataManagement

UDR统一数据存储

UnifiedDataRepository

7网络安全技术要求

7.1身份认证

身份认证的要求如下：

a)应在本地节点NF和中央节点NF之间的管理面和控制面进行双向身份验证，避免非授权访问；

b)对采用预共享密钥进行合法性验证的，预共享密钥应随机产生，且对其最小长度进行限制，确必威体育官网网址钥使用安全性；

c)应支持本地节点NF和中央节点NF之间会话的有效期配置。启用会话超时重认证机制时，重认证应不影响用户业务的正常运行。

7.2访问控制

7.2.1控制面访问控制

控制面访问控制要求如下：

a)应按照最小访问控制原则限制控制面访问权限；

b)应实施安全隔离策略和措施，限制本地节点对中央节点网络的访问，仅允许访问授权的功能和服务，例如，本地UPF可以访问中央SMF,但应禁止访问中央AMF;

c)可采用IP地址或MAC地址等白名单方式限制节点之间的互访；

d)应对本地节点NF进行访问控制，服务于不同垂直行业用户的本地节点NF设备之间的控制面不能相互访问。

7.2.2管理面访问控制

管理面访问控制要求如下：

a)应按照最小访问控制原则限制管理面访问权限。应对本地节点NF的维护管理进行基于角色的访问控制，客户与供应商均只能访问与其相关的数据；

b)应对本地节点NF的远程管理维护进行访问控制，只允许特定IP地址才能访问本地节点NF的管理功能；

c)应限制通过管理网络进行本地节点NF和中央节点NF之间的相互访问；

d)应严格限制本地节点UDM的管理能力，在不影响专网业务开展的前提下只启用网络配置、系统配置等保障UDM可用性的管理能力，不建议启用数据管理能力，降低本地节点UDM中的数据被非授权操作的风险。

7.3网络入侵防范

网络入侵防范要求如下：

a)应支持对本地节点NF和中央节点NF的网络入侵威胁进行防范，阻止或限制本地节点NF和中央节点NF的网络攻击和异常行为；

b)本地节点NF和中央节点NF应具备主机入侵检测能力，包括账号异常检测、反弹shell检测、关键文件篡改检测，虚拟机/容器逃逸检测等

c)应支持对本地节点NF和中央节点NF