《中国信科&大唐移动:工业园区5G专网部署白皮书(31页).pdf》由会员分享,可在线阅读,更多相关《中国信科&大唐移动:工业园区5G专网部署白皮书(31页).pdf(31页珍藏版)》请在三个皮匠报告上搜索。
1、信息安全方案参考 3GPP 安全架构,5G 专网可以划分为 4 个域:接入域、网络域、业务域和管理域。其中,接入域包含终端和基站设备;网络域是 5G 核心网;管理域为 5G 基站和核心网的网管及运营支撑系统;业务域包含工业互联网园区各业务系统。网络的信息安全方案包括以下几个方面:网络接入安全基于 5G AKA(5G Authentication and Key Agreement,5G 认证与密钥协商)安全认证机制对终端进行身份认证,确保只有合法的终端能够接入 5G 网络。接入认证的同时,5G AKA 机制能够为终端及网络协商出加密及完整性保护密钥,在网络接入层面和非接入层面对终端信令及用户数
2、据进行加密和 /或完整性保护,防止用户信息被篡改、窃听。使用外部数据网络对终端进行二次认证,防止终端被窃取导致的非法访问。当前的行业终端主要采用无线网关,如 CPE(Customer Premise Equipment,客户终端设备)。CPE 通常位于无人值守的户外,其所使用的 USIM 卡可能被攻击者窃取,然后插入其他设备中冒充正常 CPE 接入移动网络发起网络攻击。二次认证是在终端与 5G 网络之间的双向认证之后,与业务网络之间执行的附加认证,采用 EAP-AKA(Extensible Authentication Protocol-Authentication and Key Agreement,可扩展认证协议认证与密钥协商)认证方式。网络域安全保障网络节点安全、网络节点之间消息传输安全,解决 5G 核心网虚拟化和服务化架构开放性引入的安全问题,保证核心网系统可信、可靠运行。通过采用可信服务器增强物理安全,主机系统加固提升软件系统的安全。通过负荷分担、多点部署、故障检测和恢复,实现核心网设备 99.999%的可靠性。通过核心网网元的认证和传输层安全,保证网元之间的可靠通信。