安全架构概述
安全域
安全体系结构概述
该图说明了以下安全域:
- 网络接入安全性(I):一组安全功能,使UE能够安全地通过网络进行身份验证和接入服务,包括3GPP接入和非3GPP 接入,特别是防止对(无线)接口的攻击。 此外,它还包括从SN到AN的接入安全性的安全上下文交付。
- 网络域安全性(II):一组安全功能,使网络节点能够安全地交换信令数据和用户平面数据。
- 用户域安全性(III):将用户接入保护到移动设备的一组安全功能。
- 应用流程域安全性(IV):一组安全性功能,使用户域和提供者域中的应用流程能够安全地交换消息。应用流程域安全性超出了本文档的范围。
- SBA域安全性(V):一组安全功能,它使SBA体系结构的网络功能能够在服务网络域内与其他网络域进行安全通信。 这些功能包括网络功能注册,发现和授权安全方面,以及对基于服务的接口的保护。
与TS 33.401 [10]相比,SBA域安全性是一种新的安全功能。 - 安全性(VI)的可见性和可配置性:一组功能,使用户能够获知安全功能是否正在运行。
注 : 图中未显示安全性的可见性和可配置性。
5G核心网络周边的安全实体
为了保护通过N32接口发送的消息,5G系统架构引入了安全边缘保护代理(SEPP)作为位于PLMN网络边界的实体:
- 接收来自网络功能的所有服务层消息,并在将它们从N32接口上的网络发送出去之前保护它们
- 接收N32接口上的所有消息,并在验证安全性后将其转发到相应的网络功能(如果存在)。
SEPP为跨两个不同PLMN的两个NF之间交换的所有服务层信息实现应用层安全性。
5G核心网络中的安全实体
5G系统架构在5G核心网络中引入了以下安全实体:
AUSF: AU身份验证服务器功能;
ARPF: 身份验证凭据存储库和处理功能;
SIDF: 用户标识符隐藏功能;
SEAF: 安全锚函数。