科技论文
SMF白名单设置为只允许指定IP地址的访问
时间:2021-12-28 14:38 所属分类:科技论文 点击次数:
对5G专网安全策略的探讨。
3.15GC安全防护。
5GC应保证它的安全可靠,从而保证其关键控制功能。
1)网格单元加固。
应尽可能减少权限,尽量减少系统内核,卸载不需要的相关组件和过于复杂的密码管理,并在安全补丁和日志审计等方面对5GC网元进行安全加固。
2)保障服务平台。
NDS/IP协议应在5GC上实现,实现数据的保密、完整性保护,同时引入了双向身份认证和保密数据完全传输。当5GC构建基础平台时,不必要的功能也应该被削减,并且加强它,以减少因为开放源码软件引入的相关等闲,同时加强存储单元,支持脚本和镜像文件的加密存储。
3)安全检查。
配置存储容器和虚拟机的安全检测机制,当发现异常时,隔离虚拟机,并快速启动新的虚拟主机,以保证相关业务正常运行。
3.2沉网单元单元安全保护。
1.物质安全。
UPF可部署于客户园区,应保证其物理安全性,一是机柜应具备防拆、防盗等功能,而对于有本地维修的主机设备,则应采取取消console口的权限。另外,下陷UPF还应具备对其物理链路状态的监测功能,及时捕捉链路中的异常情况,保护链路不被恶意攻击或盗用,当设备端倪DNA时,应是触发报警,控制本地加载序列,禁用外挂或软件引导系统,升级补丁和程序源检测,并使用可信计算确保物理服务器可信;确认只执行了经过验证的代码。
2.数据保障。
沉降式UDF应该仅保留在会话期间的用户敏感信息,会话结束后应立即清除相关信息。与此同时,相关的信息也要及时存储。此外,还应注意数据的保密性、完整性等方面的保护措施。
3.通信、认证、接口等控制。
在与经过授权的设备进行同步通信的情况下,应对下沉UDF进行双向认证和授权。对于控制数据流,应支持限制发送SMF和接收来自SMF的信令数据大小,防止信令流超载。与此同时,要限制用户带宽,避免单用户大量占用资源。而且关于接口的西安之,应该只允许白名单中的IP地址和相应的协议访问,所以应该将SMF白名单设置为只允许指定IP地址的访问,而不能处理发送有安全风险的消息类型。
3.3三类5G专网的安全策略。
1.独立的专网安全策略。
自主网应保证5GC可用性和安全性,应结合无线侧身份认证,避免恶意或未授权用户访问独立专网。
2.Virtual专网安全策略。
虚拟化专网要从切片、无线接入、核心层等隔离和资源保障,同时要保证数据传输的稳定性和可靠性,二次认证做了接入控制与流量的限制,并做好物流与物流之间的安全保障。
3.专网安全策略的部分共享。
局部共享的专用网络需要在网元控制、接入控制和业务隔离等方面做好资源保障,同时为下陷网元做好安全保护。做好沉网元与公网5GC之间的安全控制,沉陷网元与企业网络的安全保证。
5G专用网可以在不同领域中相互推广,安全是不可或缺的基础。文章对5G专用网作了基本讨论,并对三种网络环境下的安全隐患及相应的对策进行了分析,以保证5G专用网的可靠运行,后续还可根据大网安全能力进行开放,为5G行业用户提供更丰富的差异化安全服务。
