基于DN-AAA的5G专网接入安全管控方案研究及应用_董芸.pdf
《基于DN-AAA的5G专网接入安全管控方案研究及应用_董芸.pdf》由会员分享,可在线阅读,更多相关《基于DN-AAA的5G专网接入安全管控方案研究及应用_董芸.pdf(8页珍藏版)》请在咨信网上搜索。
1、784|信 息 安 全 研 究Journal of Information Security Research第 9 卷 第 8 期 2023 年 8 月Vol.9 No.8 Aug.2023DOI:10.12379/j.issn.2096-1057.2023.08.10 收稿日期:2 0 2 2-1 2-2 1 基金项目:国家重点研发计划项目(2 0 1 9 Y F B 2 1 0 2 3 0 0)引用格式:董芸,何余锋,王菲,等.基于D N-AAA的5 G专网接入安全管控方案研究及应用J.信息安全研究,2 0 2 3,9(8):7 8 47 9 1基于D N-A A A的5 G专网接入安全
2、管控方案研究及应用董 芸 何余锋 王 菲 林 锋(北京首信科技股份有限公司 北京 1 0 0 0 1 5)(d o n g y u n c a p i t e k.c o m.c n)R e s e a r c ha n dA p p l i c a t i o no f 5 GP r i v a t eN e t w o r kA c c e s sS e c u r i t yM a n a g e m e n t a n dC o n t r o l S c h e m eB a s e do nD N-A A AD o n gY u n,H eY u f e n g,W a n gF
3、e i,a n dL i nF e n g(B e i j i n gC a p i t e kC o.,L t d.,B e i j i n g1 0 0 0 1 5)A b s t r a c t 5 G s e c u r i t yi sa ni m p o r t a n tf o u n d a t i o n a n ds o l i d g u a r a n t e ef o rt h e h i g h-q u a l i t yd e v e l o p m e n to f5 G,a n dt h e5 G c o n v e r g e d a p p l i c a
4、 t i o n s e c u r i t ys t r a t e g y n e e d st o m e e tt h ed i v e r s i f i e da n dd i f f e r e n t i a t e dn e e d so fs e r v i c e s.O p e r a t o r sc a no p e n5 G s e c u r i t yc a p a b i l i t i e st oi n d u s t r yc u s t o m e r sa n dg i v et h e mt h em e a n st oi n d e p e
5、n d e n t l yc o n t r o lm a n a g e m e n t,h e l p i n gt op r o m o t e t h el a r g e-s c a l ed e v e l o p m e n to f5 Gi n d u s t r ya p p l i c a t i o n s.T h i sp a p e rf i r s t i n t r o d u c e st h ec o n c e p ta n dd e v e l o p m e n t s t a t u so f 5 Gp r i v a t en e t w o r k
6、,a n a l y z e s t h e c u r r e n t s i t u a t i o no f 5 Gp r i v a t en e t w o r ka c c e s ss e c u r i t yc o n t r o lr e q u i r e m e n t sa n di m p l e m e n t a t i o ns c h e m e s,p u t sf o r w a r da5 Gp r i v a t en e t w o r ka c c e s ss e c u r i t y m a n a g e m e n ta n dc o
7、n t r o ls c h e m eb a s e do nD N-AAA,i n c l u d i n gn e t w o r k i n gs c h e m ea n ds y s t e mc a p a b i l i t y,a n df i n a l l yi n t r o d u c e st h ea p p l i c a t i o np r a c t i c eo ft h es c h e m ei nf o u ri n d u s t r ys c e n a r i o so fc a m p u s,f i n a n c e,p o w e r
8、a n di n d u s t r y,a n dv e r i f i e st h ee f f e c t i v e n e s sa n df e a s i b i l i t yo ft h es c h e m eb yt e s t i n g,i tp r o v i d e sau s e f u lr e f e r e n c ef o rt h ec o n s t r u c t i o no f a c c e s ss e c u r i t ym a n a g e m e n t a n dc o n t r o l c a p a b i l i t
9、i e so f 5 Gp r i v a t en e t w o r k s.K e yw o r d s D N-AAA;5 Gp r i v a t en e t w o r k;s e c u r i t ya c c e s s;a c c e s sc o n t r o l;a u t o n o m o u sO&M摘 要 5 G安全是5 G高质量发展的重要基础和坚实保障,5 G融合应用安全策略需满足业务多样化、差异化的需求,运营商可以将5 G安全能力开放给行业客户,赋予行业客户自主安全管控的手段,促进5 G行业应用规模化发展.首先介绍了5 G专网发展现状,分析了5 G专网接
10、入安全管控需求及实 现 方 案 的 现 状,提 出 了 基 于 数 据 网 络 认 证 授 权 计 费(d a t a n e t w o r k-a u t h e n t i c a t i o n,a u t h o r i z a t i o n,a c c o u n t i n g,D N-AAA)的5 G专网接入安全管控方案,包括组网方案和系统能力,最后介绍了该方案在校园、金融、电力、工业4个行业场景的应用实践,并测试验证了方案的有效性和可行性,为5 G专网的接入安全管控能力的建设提供了有益参考.关键词 D N-AAA;5 G专网;接入安全;准入控制;自主运维中图法分类号 T P
11、 3 0 9 网址 http:/|785技 术 应 用Technical Applications 5 G技术为政府和企业数字化转型提供了新一代网络底座.工业和信息化部等1 0部门联合出台的5 G应用“扬帆”行动计划(2 0 2 12 0 2 3年)提出,到2 0 2 3年,我国5 G应用发展水平显著提升,综合实力持续 增强.打 造信息技术(i n f o r m a t i o nt e c h n o l o g y,I T)、通信技术(c o mm u n i c a t i o nt e c h-n o l o g y,C T)、运营技术(o p e r a t i o n a l t
12、 e c h n o l o g y,OT)深度融合新生态,实现重点领域5 G应用深度和广度的双突破,构建技术产业和标准体系双支柱,网络、平台、安全等基础能力进一步提升,5 G应用“扬帆远航”的局面逐步形成.5 G安全是5 G高质量发展的重要基础和坚实保障.为了解决行业痛点,5 G融合应用安全策略需要满足业务多样化、差异化的需求.运营商提供的5 G专网服务不仅要为行业客户建立相对隔离、相对可靠、较高性能的业务通道,还要能够基于行业客户的业务需求提供定制化配置和安全管控能力.运营商可以将5 G专网安全能力开放并前置给行业客户,由行业客户按需配置和管理5 G专网资源,实现运营商标准产品到企业定制化
13、能力的转变,同时赋予行业客户自主安全管控的手段,提升5 G专网的安全等级,助力企业业务与5 G深度融合.1 5 G专网发展现状5 G专网是基于5 G网络技术为行业客户量身定制、业务相对隔离、质量有所保障、安全有所增强的专用网络通道,根据建设方式可分为虚拟专网、独立专网和混合专网3类1.我国5 G专网行业应用在项目数量和应用领域全球领先,覆盖了国民经济重点行业.根据中国信通院对5 G行业应用发展的问卷调研显示,八成行业单位认为5 G应用能提质降本增效,提升安全可靠性.5 G成为支撑行业转型升级的重要驱动力,助力企业在提质增效、节约成本、提升安全可靠性、节能减排等方面实现突破2.伴随5 G业务发展
14、,5 G的技术规范也在不断发展演进.R 1 5版本聚焦高速率大带宽应用,R 1 6版本聚焦高可靠低时延应用,R 1 7版本聚焦中高速大连接应用.R 1 7版本中引入的降低能力(r e d u c e dc a p a b i l i t y,R e d C a p)技术可以大幅降低5 G终端芯片和模组成本,进一步促进5 G专网应用发展.在当前的5 G专网应用中,既有物联网卡应用,也有人联网卡应用;既有单域网络访问场景(即只访问企业内网),也有双域网络访问场景(即同时访问企业内网和互联网);既有针对固定区域的局域接入场景,也有全国漫游的广域接入场景.5 G专网技术具有灵活的技术架构,可以针对应用
15、场景按需定制,从而满足行业应用对网络服务差异化的要求.2 5 G专网接入安全管控现状分析在5 G专网业务推广初期,行业客户对5 G专网的核心诉求主要体现在可移动性、超低时延、通道隔离、网络稳定性等基础特性,运营商提供的解决方案主要体现在数据面的保障,比如用户面功能(u s e rp l a n e f u n c t i o n,U P F)下沉、网络切片、多接入边缘计算(m u l t i-a c c e s se d g ec o m p u t i n g,M E C)等,5 G专网接入安全管控能力建设相对滞后.从2 0 2 2年起,5 G专网业务进入快速发展期,行业客户逐渐意识到5 G
16、专网接入安全的重要性,不断提出对终端接入安全和自主管控的需求.无行业客户自主管控的5 G专网就像一个黑盒,行业客户无法感知终端接入和使用情况,无法自主即时性地进行数据配置并对异常终端实时管控,也不具备日志审计和I P溯源能力,对运营商提供的5 G专网服务、终端接入安全存在安全顾虑,阻碍了5 G专网与垂直行业应用融合发展.前期5 G专网接入安全管控实现方案主要使用4 G网络时期常用的技术,例如在主认证阶段实现机卡绑定、虚拟私有拨号网络(v i r t u a lp r i v a t ed i a l u p n e t w o r k s,V P D N)认证、跟踪区代码(t r a c k
17、i n ga r e ac o d e,T A C)限制等方式实现一定程度的接入鉴权能力,功能受限且不能满足客户自主配置、自主运维管理的需求,需要针对客户的多样化接入安全管控需求提供更有效、更便捷、具备更强能力的解决方案.国际3 G P P标准组织关于5 G的主要技术标准3-6中对5 G接入行业网络二次认证功能、流程、安全要求有明确的标准定义及说明,数据网络认证授权计费(d a t an e t w o r k-a u t h e n t i c a t i o n,a u t h o r-i z a t i o n,a c c o u n t i n g,D N-AAA)网元是3 G P P
18、定义的实现二次认证的核心功能网元,它将5 G安全786|信 息 安 全 研 究Journal of Information Security Research第 9 卷 第 8 期 2023 年 8 月Vol.9 No.8 Aug.2023能力开放给行业客户,增强5 G专网管控能力,但标准规范中缺少实例化应用部署方案以及系统功能梳理,其应用尚在探索示范期.本文结合3 G P P规范定义和国内行业需求,系统性地阐述了基于D N-AAA的5 G专网接入安全管控实例化部署方案及系统能力,并给出在多个行业的应用实践情况下为5 G专网接入安全管控能力建设提供可参考、可复制的解决方案.通过该方案,行业客户
19、可以具备对5 G专网的可感知、可管控和可溯源能力,可实现移动终端边界限制管理、时段管理及网络访问域管理,终端数据一目了然;自主管理终端鉴权和授权信息,对异常终端可实时断线并加入黑名单进行管控;可随时查看多种日志信息和I P溯源信息.D N-AAA系统作为5 G专网中的主要功能单元,可成为运营商推广5 G专网的必要抓手,同时也是满足行业客户5 G专网高等级接入安全和自主管控需求的必要手段.3 5 G专网接入安全管控方案3.1 基于D N-A A A的安全接入二次认证终端在接入5 G网络时,由5 G核心网网元统一 数 据 管 理 功 能(u n i f i e d d a t a m a n a
20、g e m e n t,UDM)实体对卡进行主认证7.主认证后,为了防止非授权终端接入企业内网,核心网的会话管理功能(s e s s i o n m a n a g e m e n tf u n c t i o n,S MF)实体向D N-AAA系统发起二次认证请求,D N-AAA认证终端是否可接入企业内网,认证通过并回复授权信息后,S MF为终端建立协议数据单元(p r o-t o c o l d a t au n i t,P DU)会话并提供网络服务,否则不能为其建立P DU会话.通过在5 G专网中建设D N-AAA系统,运营商将核心网络侧安全管理能力前置给行业客户,使行业客户拥有更加安全
21、、灵活和便捷的5 G专网自主管控、自主运维能力.3.2 组网建议为满足行业应用场景差异化的业务需求和安全需求,在符合3 G P P和国家行业标准的基础上,运营商核心网与D N-AAA系统可以采用3种不同的组网对接方案.3.2.1 直连组网方案当S MF和D N-AAA同时归属于运营商或企业时,S MF和D N-AAA可以直接通过内网互通,组网方案如图1所示:图1 S MF和D N-AAA直连组网方案3.2.2 A A A代理转发方案当S MF归属于运营商、D N-AAA归属于企业时,由于S M F属于运营商可信域,D N-A A A属于运营商非可信域,直接对接会导致以下几个问题:1)核心网关键
22、网元S MF直接对外暴露,一旦被攻击将影响大网业务,存在很大的网络安全风险;2)S M F和D N-A A A存在强耦合关系,两者变动都需要对端配合,网元数量越多维护就越复杂;3)无法解决双域场景中企业D N-AAA认证失败或无响应时影响用户访问公网的问题.基于上述原因,在运营商网络中建设认证授权计费代理转发网关(a u t h e n t i c a t i o n,a u t h o r i z a t i o n,a c c o u n t i n g-p r o x y,A A A-P),作为对企业D N-A A A的统一接入转发点,实现S MF和D N-AAA的隔离和解耦合,并满足双
23、域网络访问场景需求,组网方案如图2所示:图2 S MF和D N-AAA通过AAA-P代理网关转发组网方案3.2.3 U P F转发方案当S MF归属于运营商、D N-AAA归属于企业时,也可以通过下沉到客户侧的U P F转发S MF和D N-AAA之间的R a d i u s交互消息,组网方案如图3所示.此场景需要S MF和U P F具备相关能力特性.网址 http:/|787技 术 应 用Technical Applications图3 S MF和D N-AAA通过U P F转发组网方案S MF通过N 4接口封装R a d i u s消息发送给U P F,U P F解封装后发送给D N-AA
24、A.D N-AAA发送的R a d i u s消息经U P F封装成N 4接口消息发送给S MF,S MF解封装后获得R a d i u s原始消息进行处理.这种组网方式下,D N-AAA客户端依然是S MF,没有实现解耦和安全隔离.3.3 消息交互流程D N-AAA与5 G核心网进行交互的二次认证流程如图4所示,交互流程遵循3 G P P及R F C8-1 0相关规范(简化了终端与核心网中除S MF外其他网元交互的相关流程).图4 D N-AAA消息交互流程3.4 5 G专网接入安全管控能力基于D N-AAA系统的5 G专网接入安全管控能力主要体现在企业网准入控制、企业业务支撑以及企业自主运
25、维3个方面.3.4.1 企业网准入控制终端接入5 G时,运营商核心网会对号卡进行主认证,主要检查号卡是否属于运营商合法号卡、是否欠费、是否签约企业数据网络名称(d a t an e t-w o r kn a m e,D NN)等,并根据签约信息进行资源分配,创建终端连接通道.不同于主认证,企业侧通过D N-AAA系统可以实现对终端身份以及终端接入条件的合法性校验,从而满足企业对接入终端的自主准入控制需求.企业网准入控制能力主要体现在以下几个方面:1)终端身份自主认证.可以分别在终端和D N-AAA中配置用户名密码或者证书,终端接入企业网时,D N-AAA对终端用户名密码或者证书、用户状态进行合
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 DN AAA 接入 安全 方案 研究 应用 董芸
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。