5Ga安全

jinzhao1993

2.2.1接入安全

当各类用户设备(UE)通过基站(NR)接入5G核心网时，5G核心网会对用户设备进行接入认证、访问控制等，并在数据传输过程中进行数据加密和完整性保护。

在5GC系统中，通过双向认证方式，确保接入设备接入真实安全的5G核心网，杜绝接入“假基站”，同时通过UDM和AUSF对接入设备进行鉴权认证。对于3GPP接入和非3GPP接入，采用统一的接入流程和认证方式，并支撑EPS-AKA、5G-AKA、EAP-AKA’等多种不同的认证方法。5G鉴权过程增强了归属网的控制，防止拜访网中可能存在的欺诈。

2.2.2 网络功能安全设计

SA核心网中AUSF和SEPP是直接服务于网络安全的。AUSF提供终端鉴权和保护控制信息列表，作为生产者为AMF提供UE鉴权服务；SEPP在运营商之间建立TLS安全传输通道，对需要保护的信息进行机密性和完整性保护，有效防止数据在网间传输时被篡改或窃听。

5G核心网在设计之初便考虑了通过统一的认证框架实现接入认证，支撑多种接入技术的异构融合组网。

SA核心网具备根据SUCI/SUPI信息查询确认特定AUSF/UDM的功能，AUSF/UDM具备根据SUCI还原SUPI的功能。终端和gNodeB之间、终端和AMF之间提供对信令进行强制完整性保护及可选的加密保护，以及对用户数据可选的加密保护和可选的完整性保护。

2.2.3 管理安全

5GC NF通过MANO进行管理和编排。MANO支撑分权分域的安全管理场景。

分权管理：为不同级别的用户提供不同的操作权限，以达到可见/不可见、可管理/不可管理的目的。在系统中，权就是操作集，系统有默认的操作集，包括安全管理员、管理员、操作员、监控员、维护员，也可以自定义操作集。

分域管理：集中控制节点的数据或操作维护功能，按管理域，划分成多个虚拟管理实体，实现不同域的用户管理。系统支撑地域(行政区域)、业务域(厂商、专业、网元类型)、资源池(资源池以及资源池下的租户)的域维度。

2.2.4 能力开放安全

5GC支撑网络能力开放，通过能力开放接口将网络能力开放给第三方应用，以便第三方按照各自的需求设计定制化的网络服务。能力开放安全着眼于开放接口的安全防护，使用安全的协议规范。当第三方用户设备通过API接入时，需要进行认证。

2.2.5数据安全

5GC数据安全体系基于数据最小化、匿名化、加密传输、访问控制的数据保护原则建立。

2.2.6 网络切片安全

针对切片非法访问，应加强切片管理组件的身份认证、权限管控和数据访问控制等安全措施。此外，做好切片安全隔离。对于安全要求高的行业实施物理隔离，采用专用服务器和网络设备部署切片网元；对于普通场景要做好切片与多切片共享网元间的网络隔离。针对不同安全需求的业务和不同敏感级别的数据传输，网络切片选取各种切片隔离机制，包括RAN隔离、承载隔离和核心网隔离。其中RAN隔离重点针对无限频谱资源和基站处理资源；承载隔离则通过软隔离和硬隔离实现在时隙层面的物理隔离；核心网隔离实现网络切片间、功能间、用户间隔离。